Konfigurieren der Verbindungsfilterung
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-07-06
Dieses Thema bietet eine Übersicht über das Konfigurieren der Verbindungsfilterung. Informationen zu angepassten oder stärker erweiterten Konfigurationen finden Sie in den Links in jedem Abschnitt dieses Themas. Weitere Informationen zu der Funktionsweise der Verbindungsfilterung finden Sie unter Verbindungsfilterung.
Hinweis
Vom Standpunkt konfigurierbarer Komponenten auf einem Computer, auf dem die Serverfunktion Edge-Transport installiert ist, betrachtet, bezieht sich das Feature für die Verbindungsfilterung auf eine Sammlung von IP-Sperrlisten, IP-Zulassungslisten, Anbietern für geblockte IP-Adressen und Anbietern für zugelassene IP-Adressen. Die Verbindungsfilterung wird zum Erweitern des Servers verwendet.
Beim Konfigurieren der Verbindungsfilterung müssen Sie die folgenden Schritte ausführen:
Aktivieren von Komponenten für die Verbindungsfilterung.
Hinzufügen von IP-Adressen zu den IP-Zulassungs- und IP-Sperrlisten
Konfigurieren der Anbieter für zugelassene und der Anbieter für geblockte IP-Adressen
Konfigurieren der Verbindungsfilterung für Edge-Transport-Server, die nicht der erste SMTP-Eingangspunkt (Simple Mail Transfer Protocol) sind.
Testen der IP-Sperr- und IP-Zulassungsfunktionalität
Wichtig
Konfigurationsänderungen an der Verbindungsfilterung, die mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell vorgenommen werden, wirken sich nur auf den lokalen Computer aus, auf dem die Serverfunktion Edge-Transport installiert ist. Wenn in Ihrer Organisation mehrere Instanzen der Serverfunktion Edge-Transport ausgeführt werden, müssen Sie Änderungen an der Verbindungsfilterkonfiguration auf jeden der Computer anwenden.
Aktivieren der Komponenten für die Verbindungsfilterung
Standardmäßig ist die Verbindungsfilterung auf dem Edge-Transport-Server für eingehende Nachrichten über das Internet ohne Authentifizierung aktiviert. Diese Nachrichten werden als externe Nachrichten behandelt. Sie können den Filter in einzelnen Computerkonfigurationen mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell deaktivieren.
Wenn auf einem Computer die Verbindungsfilterung konfiguriert ist, filtert der Verbindungsfilter-Agent alle Nachrichten, die über alle Empfangsconnectors auf dem betreffenden Computer eingehen. Wie weiter oben in diesem Thema erwähnt, werden nur Nachrichten aus externen Quellen gefiltert. Externe Quellen sind als nicht authentifizierte Quellen definiert. Diese werden als anonyme Internetquellen betrachtet.
Weitere Informationen zum Konfigurieren von Empfangsconnectors und Bestimmen von Nachrichtenquellenkategorien finden Sie unter Empfangsconnectors.
Als bewährte Methode hat sich herausgestellt, Nachrichten von vertrauenswürdigen Partnern oder aus der eigenen Organisation nicht zu filtern. Beim Ausführen von Antispamfiltern besteht immer die Gefahr, dass die Filter falsch positive Befunde ermitteln. Sie sollten Antispam-Agents nur für Nachrichten aus möglicherweise nicht vertrauenswürdigen und unbekannten Quellen aktivieren, um die Gefahr zu verringern, legitime E-Mail-Nachrichten falsch zu behandeln. Die Verbindungsfilterung kann für Nachrichten aus beliebigen Quellen mithilfe der Exchange-Verwaltungsshell aktiviert oder deaktiviert werden.
Weitere Informationen zum Aktivieren der Verbindungsfilterung finden Sie unter Aktivieren der Verbindungsfilterung.
Hinzufügen von IP-Adressen zu den IP-Sperr- und IP-Zulassungslisten
Wie bereits unter Verbindungsfilterung erläutert, handelt es sich bei den IP-Sperr- und IP-Zulassungslisten um vom Administrator definierte Listen, in denen IP-Adressen sowie IP-Adressbereiche angegeben sind, die von der Verbindungsfilterung verarbeitet werden. Wenn eine Absender-IP-Adresse einer in der IP-Sperrliste enthaltenen IP-Adresse bzw. einem IP-Adressbereich entspricht, verarbeitet der Verbindungsfilter-Agent alle RCPT TO-Kopfzeilen in der Nachricht und weist dann die Nachricht nach dem MAIL FROM-Befehl zurück. Wenn eine Absender-IP-Adresse einer in der IP-Zulassungsliste enthaltenen IP-Adresse bzw. einem IP-Adressbereich entspricht, sendet der Verbindungsfilter-Agent die Nachricht an ihr Ziel, ohne dass sie von weiteren Antispam-Agents verarbeitet wird. Weitere Informationen zur Zusammenarbeit der Antispam-Agents und der Reihenfolge, in der sie angewendet werden, finden Sie unter Antispam- und Antivirusfunktionen.
Hinweis
Die Verwendung von IPv6-Adressen (Internet Protocol Version 6) und IP-Adressbereiche wird nur unterstützt, wenn auf einem Computer unter Windows Server 2008 Microsoft Exchange Server 2007 Service Pack 1 (SP1) installiert ist, wenn auf diesem Computer IPv6 und IPv4 (Internet Protocol Version 4) aktiviert sind und wenn das Netzwerk beide IP-Adressversionen unterstützt. Wenn Exchange 2007 SP1 in dieser Konfiguration implementiert ist, können alle Serverfunktionen Daten an Geräte, Server und Clients senden bzw. von diesen empfangen, die IPv6-Adressen verwenden. In einer Standardinstallation von Windows Server 2008 ist die Unterstützung für IPv4 und IPv6 aktiviert. Wenn Exchange 2007 SP1 unter Windows Server 2003 installiert ist, werden IPv6-Adressen nicht unterstützt. Weitere Informationen über die Unterstützung von IPv6-Adressen in Exchange 2007 SP1 finden Sie unter IPv6-Unterstützung in Exchange 2007 SP1 und SP2.
Weitere Informationen zum Hinzufügen von IP-Adressen zu der IP-Zulassungs- und der IP-Sperrliste finden Sie unter So fügen Sie der IP-Zulassungs- und IP-Sperrliste IP-Adressen hinzu.
Konfigurieren der Anbieter für geblockte und der Anbieter für zugelassene IP-Adressen
Anbieterdienste für geblockte IP-Adressen und für zugelassen IP-Adressen können dabei helfen, das Spamaufkommen zu verringern und die gesamte Nachrichtenverarbeitungsleistung auf Ihrem Edge-Transport-Server zu verbessern. Sie sollten in Betracht ziehen, mehrere Anbieterdienste für geblockte IP-Adressen und Anbieterdienste für zugelassene IP-Adressen zu konfigurieren.
Hinweis
Mehrere Anbieterdienste für geblockte IP-Adressen werden mitunter auch als Echtzeit-Sperrlistendienste (Real-Time Block List, RBL) bezeichnet. Anbieterdienste für zugelassene IP-Adressen werden mitunter auch als Listen sicherer Absender (Safe List) bezeichnet.
Für jeden konfigurierten Anbieterdienst für geblockte IP-Adressen können Sie den SMTP-Fehler 550 anpassen, der an den Absender zurückgegeben wird, wenn die Absender-IP-Adresse bei einem Anbieterdienst für geblockte IP-Adressen gefunden und daraufhin vom Verbindungsfilter-Agent geblockt wird. Es handelt sich um eine bewährte Methode, den SMTP-Fehler 550 so anzupassen, dass darin der Anbieterdienst für geblockte IP-Adressen angegeben wird, von dem der Absender als geblockte IP-Adresse identifiziert wird. Diese bewährte Methode erlaubt es legitimen Absendern, sich mit dem Anbieterdienst für geblockte IP-Adressen in Verbindung zu setzen, um sich aus der IP-Sperrliste des Anbieterdiensts für geblockte IP-Adressen entfernen zu lassen.
Verschiedene Anbieterdienste für geblockte IP-Adressen können unterschiedliche Codes zurückgeben, wenn die IP-Adresse eines Remoteservers, von dem eine Nachricht gesendet wird, einer IP-Adresse in der IP-Sperrliste eines Anbieterdiensts für geblockte IP-Adressen entspricht. Die meisten Anbieterdienste für geblockte IP-Adressen geben einen der folgenden Datentypen zurück: Bitmaske oder absoluter Wert. Innerhalb dieser Datentypen können mehrere Werte vorhanden sein, die den Typ der Liste spezifizieren, auf dem die übermittelte IP-Adresse gefunden wurde.
Bitmasken-Beispiel
Dieser Abschnitt enthält ein Beispiel der Statuscodes, die von den meisten Anbietern für geblockte IP-Adressen zurückgegeben werden. Informationen zu den Statuscodes, die Anbieter zurückgeben, finden Sie in der Dokumentation des jeweiligen Anbieters.
Bei Bitmasken-Datentypen gibt der Anbieterdienst für geblockte IP-Adressen einen Statuscode von "127.0.0.x" zurück, wobei die ganze Zahl x einer der in der folgenden Tabelle aufgeführten Werte sein kann.
Werte und Statuscodes für Bitmasken Datentypen
| Wert | Statuscode |
|---|---|
1 |
Die IP-Adresse steht in einer IP-Sperrliste. |
2 |
Der SMTP-Server ist für offenes Relay konfiguriert. |
4 |
Die IP-Adresse unterstützt eine Einwähl-IP-Adresse. |
Bei "Absoluter Wert"-Datentypen gibt der Anbieterdienst für geblockte IP-Adressen explizite Antworten zurück, die auf dem Grund für das Blocken der IP-Adresse basieren. In der folgenden Tabelle werden einige Beispiele für absolute Werte mit den dazugehörigen expliziten Antworten dargestellt.
Werte und Statuscodes für "Absoluter Wert"-Datentypen
| Wert | Explizite Antwort |
|---|---|
127.0.0.2 |
Die IP-Adresse ist eine direkte Spamquelle. |
127.0.0.4 |
Die IP-Adresse ist ein Massenversender von E-Mails. |
127.0.0.5 |
Der Remoteserver, von dem die Nachricht gesendet wird, ist dafür bekannt, dass er mehrstufige offene Relays unterstützt. |
Informationen zum Konfigurieren von Anbietern für zugelassene IP-Adressen und Anbietern für geblockte IP-Adressen finden Sie unter Konfigurieren der Anbieter für zugelassene und geblockte IP-Adressen.
Konfigurieren der Verbindungsfilterung für Edge-Transport-Server, die nicht der erste SMTP-Eingangspunkt sind
In manchen Organisationen ist die Serverfunktion Edge-Transport auf Computern installiert, die keine SMTP-Anforderungen direkt im Internet verarbeiten. In diesem Szenario befindet sich der Edge-Transport-Server hinter einem anderen SMTP-Front-End-Server, der direkt über das Internet eingehende Nachrichten verarbeitet. In diesem Szenario muss der Verbindungsfilter-Agent in der Lage sein, die richtige Absender-IP-Adresse aus der Nachricht zu extrahieren. Um die Absender-IP-Adresse extrahieren und bewerten zu können, muss der Verbindungsfilter-Agent die Received-Kopfzeilen der Nachricht analysieren und diese Kopfzeilen mit dem bekannten SMTP-Server im Umkreisnetzwerk vergleichen.
Wenn ein RFC-konformer SMTP-Server eine Nachricht empfängt, aktualisiert der Server die Received-Kopfzeile der Nachricht mit dem Domänennamen und der IP-Adresse des Absenders. Deshalb fügt der SMTP-Server für jeden SMTP-Server, der sich zwischen dem ursprünglichen Absender und dem Edge-Transport-Server befindet, der Received-Kopfzeile einen zusätzlichen Eintrag hinzu.
Wenn Sie Ihr Umkreisnetzwerk für die Unterstützung von Microsoft Exchange Server 2007 konfigurieren, müssen Sie alle IP-Adressen der in Ihrem Umkreisnetzwerk vorhandenen SMTP-Server angeben. Die IP-Adressdaten werden von EdgeSync auf die Edge-Transport-Server repliziert. Wenn der Computer, auf dem der Verbindungsfilter-Agent ausgeführt wird, Nachrichten empfängt, wird von der IP-Adresse in der Received-Kopfzeile, die keiner SMTP-Server-IP-Adresse in Ihrem Umkreisnetzwerk entspricht, angenommen, dass es sich dabei um die Ursprungs-IP-Adresse handelt.
Sie müssen alle internen SMTP-Server des Konfigurationsobjekts für den Transport in der Active Directory-Gesamtstruktur angeben, bevor Sie die Verbindungsfilterung ausführen. Geben Sie die internen SMTP-Server mithilfe des Parameters InternalSMTPServers des Cmdlets Set-TransportConfig an.
Testen der IP-Sperr- und IP-Zulassungsfunktionalität
Nach der Konfiguration eines Anbieterdiensts für geblockte IP-Adressen oder eines Anbieterdiensts für zugelassene IP-Adressen können Sie testen, ob die Verbindungsfilterung für den jeweiligen Dienst richtig konfiguriert ist. Die meisten Anbieterdienste für geblockte bzw. für zugelassene IP-Adressen stellen Test-IP-Adressen zur Verfügung, mit denen Sie Ihre Dienste testen können. Wenn Sie einen Testlauf mit einem Anbieterdienst für geblockte bzw. für zugelassene IP-Adressen ausführen, sendet der Verbindungsfilter-Agent eine DNS-Abfrage (Domain Name System) mit einer Echtzeit-Sperrlisten-IP-Adresse, die eine Reaktion mit einer ganz bestimmten Antwort auslösen sollte. Weitere Informationen zu Echtzeit-Sperrlistendiensten finden Sie unter Verbindungsfilterung. Weitere Informationen zum Testen von IP-Adressen bei einem Anbieterdienst für geblockte bzw. für zugelassene IP-Adressen finden Sie unter Test-IPAllowListProvider and Test-IPBlockListProvider.
Weitere Informationen
Weitere Informationen zum Konfigurieren der Verbindungsfilterung mithilfe der Exchange-Verwaltungskonsole finden Sie unter folgenden Themen:
So fügen Sie der IP-Zulassungs- und IP-Sperrliste IP-Adressen hinzu
Konfigurieren der Anbieter für zugelassene und geblockte IP-Adressen
Weitere Informationen zum Konfigurieren der Verbindungsfilterung mithilfe der Exchange-Verwaltungsshell finden Sie unter folgenden Themen: