Informationen zur Verbindungsfilterung

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-07-21

Der Verbindungsfilter-Agent ist ein Antispam-Agent, der auf Computern unter MicrosoftExchange Server 2010 aktiviert ist, auf denen die Edge-Transport-Serverrolle installiert ist. Der Verbindungsfilter-Agent verwendet die IP-Adresse des Remoteservers, der versucht, eine Verbindung herzustellen, um die Aktion zu bestimmen, die auf eine eingehende Nachricht angewendet werden soll. Die Remote-IP-Adresse steht dem Verbindungsfilter-Agent als Nebenprodukt der zugrunde liegenden TCP-/IP-Verbindung zur Verfügung, die für die SMTP-Sitzung erforderlich ist. Da der Verbindungsfilter-Agent die Gültigkeit der IP-Adresse des Remoteservers, von dem die Nachricht gesendet wird, auswerten muss, wird er normalerweise auf dem Edge-Transport-Server aktiviert, der über eine Verbindung mit dem Internet verfügt. Sie können aber auch zusätzliche Konfigurationen vornehmen, damit der Verbindungsfilter-Agent tiefer im Pfad der eingehenden Nachrichten ausgeführt wird.

Beim Konfigurieren von Antispam-Agents auf einem Edge-Transport-Server bearbeitet der Agent Nachrichten kumulativ, um die Anzahl der unerwünschten Nachrichten zu verringern, die in die Organisation gelangen. Zur Verringerung der Redundanz sowie zur Verbesserung der Gesamtleistung und Effizienz des Systems müssen Sie verstehen, in welcher Reihenfolge die Agents eingehende Nachrichten bewerten. Das Verständnis der Reihenfolge, in der eingehende Nachrichten von den Filtern bewertet werden, hilft Ihnen dabei, Ihre Konfiguration der Edge-Transport-Server zu optimieren. Weitere Informationen über das Planen und Bereitstellen von Antispam-Agents finden Sie unter Grundlegendes zur Antispam- und Antivirusfunktionalität.

Wenn der Verbindungsfilter-Agent aktiviert wird, ist er der erste Antispam-Agent, der ausgeführt wird, wenn eine eingehende Nachricht bewertet wird.

Wenn eine eingehende Nachricht an den Edge-Transport-Server übermittelt wird, auf dem der Verbindungsfilter-Agent aktiviert ist, wird die IP-Adresse der SMTP-Verbindung mit IP-Zulassungs- und IP-Sperrlisten abgeglichen. Wird die IP-Adresse auf einer Liste blockierter IP-Adressen gefunden, wird die SMTP-Verbindung nach Verarbeitung aller RCPT TO-Kopfzeilen der Nachricht unterbrochen.

HinweisHinweis:
Das Timing, mit dem eine bestimmte Verbindung unterbrochen wird, kann von weiteren Antispamkonfigurationen abhängig sein. So können Sie beispielsweise angeben, welche Empfänger immer E-Mail-Nachrichten empfangen dürfen sollen, selbst wenn die Quell-IP-Adresse geblockt ist. Zusätzlich können auch weitere Agents konfiguriert sein, die die zu analysierenden Inhalte des DATA-Befehls verwenden. Der Verbindungsfilter-Agent unterbricht Verbindungen immer gemäß der Antispam-Gesamtkonfiguration.

Wenn die Quell-IP-Adresse auf keiner Liste zugelassener oder blockierte IP-Adressen zu finden ist, wird die Nachricht an weitere Antispam-Agents übergeben, wenn solche konfiguriert sind.

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Antispam- und Antivirenfunktionen gibt? Siehe Verwalten der Antispam- und Antivirenfunktionen.

Inhalt

Listen zugelassener oder blockierter IP-Adressen

Konfigurieren der Verbindungsfilterung für Edge-Transport-Server, die nicht der erste SMTP-Eingangspunkt sind

Testen der Funktionalität von Listen zugelassener oder blockierter IP-Adressen

Der Verbindungsfilter-Agent vergleicht die IP-Adresse des Servers, von dem eine Nachricht gesendet wird, mit allen der folgenden Datenspeicher für IP-Adressen:

  • Vom Administrator definierte Listen zugelassener oder blockierter IP-Adressen

  • Anbieter für Listen blockierter IP-Adressen

  • Anbieter für Listen zugelassener IP-Adressen

Weitere Informationen zu Anbietern für blolckierte IP-Adressen finden Sie weiter unten in diesem Thema unter "Anbieter für blockierte IP-Adressen".

Mindestens einer dieser Datenspeicher mit IP-Adressen muss konfiguriert werden, damit der Verbindungsfilter-Agent funktioniert. Wenn die Datenspeicher mit IP-Adressen nicht die IP-Adressen aus den Listen zugelassener oder blockierter IP-Adressen enthalten, oder wenn Sie keine Anbieter für blockierte oder für zugelassene IP-Adressen konfiguriert haben, sollte der Verbindungsfilter-Agent deaktiviert werden.

Administratoren von Edge-Transport-Servern pflegen vom Administrator definierte Listen von IP-Adressen. IP-Adressen, die zugelassen oder geblockt werden sollen, können mithilfe der Exchange-Verwaltungskonsole (EMC) oder der Exchange-Verwaltungsshell eingegeben und gelöscht werden. IP-Adressen können einzeln, als IP-Adressbereich oder als IP-Adresse und Subnetmask hinzugefügt werden.

Beim Hinzufügen einer einzelnen IP-Adresse oder eines IP-Adressbereichs müssen Sie die IP-Adresse bzw. den IP-Adressbereich als Liste zugelassener oder blockierter IP-Adressen angeben. Zusätzlich können Sie einen Ablaufzeitpunkt für jeden erstellten IP-Sperrlisteneintrag angeben. Beim Festlegen eines Ablaufzeitpunkts gibt dieser an, wie lange der IP-Sperrlisteneintrag aktiv bleibt. Bei Erreichen des Ablaufzeitpunkts wird der IP-Sperrlisteneintrag deaktiviert.

Durch die Verwendung der vom Administrator definierten Listen zugelassener oder blockierter IP-Adressen kann die Verbindungsfilterung für die Unterstützung der folgenden Szenarios konfiguriert werden:

  • Ausschließen von IP-Adressen aus den IP-Sperrlisten von Anbietern für blockierte IP-Adressen   

    Möglicherweise müssen IP-Adressen aus den IP-Sperrlisten von Anbietern für blockierte IP-Adressen ausgenommen werden, wenn rechtmäßige Absender unabsichtlich in eine IP-Sperrliste eines Anbieters für blockierte IP-Adressen aufgenommen werden. Beispielsweise können rechtmäßige Absender irrtümlich in eine IP-Sperrliste aufgenommen werden, wenn ein SMTP-Server unbeabsichtigt für offenes Relay konfiguriert wurde. In diesem Szenario wird der Absender wahrscheinlich versuchen, die Fehlkonfiguration zu korrigieren und seine IP-Adresse von der IP-Sperrliste des Anbieters für blockierte IP-Adressen zu entfernen.

    Weitere Informationen zu Anbietern für blolckierte IP-Adressen finden Sie weiter unten in diesem Thema unter "Anbieter für blockierte IP-Adressen".

  • Verweigern des Zugriffs von IP-Adressen, die eine Quelle für unerwünschte E-Mail-Nachrichten sind, aber nicht in einer IP-Sperrliste eines Anbieters für blockierte IP-Adressen gefunden werden   

    Es ist möglich, dass Sie manchmal eine große Menge unerwünschter Nachrichten von einer Quelle erhalten, die noch nicht von einem Echtzeitsperrlisten-Dienst (Real-Time Block List, RBL), den Sie abonniert haben, identifiziert wurde.

Anbieterdienste für blockierte IP-Adressen können bei der Verringerung der Anzahl unerwünschter E-Mail-Nachrichten, die in Ihrer Organisation eingehen, helfen.

HinweisHinweis:
Anbieterdienste für blockierte IP-Adressen werden häufig auch als Echtzeit-Sperrlistendienste (Real-Time Block List, RBL) bezeichnet. Die EMC bezeichnet Echtzeit-Sperrlistendienste als „Dienste für IP-Sperrlistenanbieter“. Die Begriffe „Dienste für IP-Sperrlistenanbieter“, „RBL-Dienste“ und „Anbieterdienste für blockierte IP-Adressen“ sind Synonyme.

Anbieterdienste für blockierte IP-Adressen stellen Listen von IP-Adressen zusammen, von denen in der Vergangenheit Spam ausgegangen ist. Zusätzlich stellen manche Anbieter für blockierte IP-Adressen Listen von IP-Adressen zur Verfügung, bei denen SMTP als offenes Relay konfiguriert ist. Es gibt auch Anbieterdienste für blockierte IP-Adressen, die Listen von IP-Adressen bereitstellen, die DFÜ-Zugriff unterstützen. Internetdienstanbieter (Internet Service Providers, ISPs), die ihren Kunden DFÜ-Zugriffsdienste zur Verfügung stellen, weisen jeder DFÜ-Sitzung dynamische IP-Adressen zu. Einige ISPs blocken SMTP-Verkehr von DFÜ-Konten. Diese ISPs sowie die dazugehörigen DFÜ-IP-Bereiche werden normalerweise nicht in IP-Sperrlisten aufgenommen. Manche ISPs gestatten aber Clients das Senden von SMTP-Verkehr über DFÜ-Konten. Böswillige Benutzer profitieren von ISPs, die SMTP-Verkehr zulassen, indem sie Spam von dynamisch zugewiesenen IP-Adressen senden. Wenn die IP-Adresse dann in eine IP-Sperrliste aufgenommen wird, startet der böswillige Benutzer eine neue DFÜ-Sitzung und erhält eine neue IP-Adresse. Häufig kann ein einzelner Anbieter für blockierte IP-Adressen eine Liste von IP-Adressen bereitstellen, die all diese Spambedrohungen abdeckt.

Sie können mit der EMC oder der Shell mehrere Konfigurationen von Anbietern für blockierte IP-Adressen erstellen. Jeder Dienst erfordert eine separate Konfiguration der Anbieter für blockierte IP-Adressen in der EMC oder der Shell.

Wenn der Verbindungsfilter-Agent für die Verwendung eines Anbieters für blockierte IP-Adressen konfiguriert wird, fragt der Agent den Anbieterdienst für blockierte IP-Adressen ab, um zu ermitteln, ob für die IP-Adressen, die eine Verbindung herstellen, eine Entsprechung vorhanden ist, bevor die Nachricht in die Organisation eingelassen wird.

Bevor der Verbindungsfilter-Agent zur Überprüfung einer IP-Adresse den Anbieter für blockierte IP-Adressen kontaktiert, wird die IP-Adresse mit der vom Administrator definierten Listen zugelassener oder blockierter IP-Adressen verglichen. Wenn die IP-Adresse weder auf der vom Administrator definierten Liste zugelassener IP-Adressen noch auf der Liste zugelassnere IP-Adressen vorhanden ist, fragt der Verbindungsfilter-Agent die Anbieterdienste für blockierte IP-Adressen in der Reihenfolge der jedem Anbieter zugewiesenen Prioritätsbewertung ab. Wenn die IP-Adresse auf der Liste blockierter IP-Adressen eines Anbieters für blockierte IP-Adressen vorhanden ist, wartet der Edge-Transport-Server auf die RCPT TO-Kopfzeile, analysiert diese, antwortet dem Absendersystem mit einem SMTP-Fehler 550 und beendet die Verbindung. Wird die IP-Adresse auf keiner der Listen blockierter IP-Adressen aller Anbieter für blockierte IP-Adressen gefunden, verarbeitet der nächste Agent in der Antispamkette die Verbindung. Weitere Informationen zur Reihenfolge, in der standardmäßige Antispam- und Antivirus-Agents eingehende Nachrichten aus dem Internet filtern, finden Sie unter Grundlegendes zur Antispam- und Antivirusfunktionalität.

Wenn Sie den Verbindungsfilter-Agent verwenden, handelt es sich um eine bewährte Methode, bei der Verwaltung des Zugriffs auf Ihre Organisation mindestens einen Anbieter für blockierte IP-Adressen zu verwenden. Die Verwendung der von einem Administrator definierten Sperrlisten zur Pflege Ihrer eigenen IP-Sperrlisten ist zeitaufwändig und kann hinsichtlich der notwendigen Personalressourcen in den meisten Organisationen unmöglich sein. Daher wird dringend die Verwendung eines externen Anbieterdiensts für blockierte IP-Adressen, dessen einziger Zweck die Pflege von IP-Sperrlisten ist, empfohlen.

Mit der Verwendung eines Anbieters für blockierte IP-Adressen können aber auch Nachteile verbunden sein. Da der Verbindungsfilter-Agent für jede unbekannte IP-Adresse eine externe Organisation abfragen muss, können Ausfälle oder Verzögerungen bei dem Anbieterdienst für blockierte IP-Adressen zu Verzögerungen bei der Verarbeitung von Nachrichten auf dem Edge-Transport-Server führen. In Extremfällen könnten solche Ausfälle oder Verzögerungen zu einem Engpass bei der Nachrichtenübermittlung auf dem Edge-Transport-Server führen.

Der andere Nachteil bei der Verwendung eines externen Anbieterdiensts für blockierte IP-Adressen besteht darin, dass rechtmäßige Absender manchmal irrtümlich der IP-Sperrliste von Anbietern für blockierte IP-Adressen hinzugefügt werden. Rechtmäßige Absender können zum Beispiel als Folge einer SMTP-Fehlkonfiguration, bei der der SMTP-Server unbeabsichtigt als offenes Relay konfiguriert wurde, der IP-Sperrliste hinzugefügt werden, die von einem Anbieter für blockierte IP-Adressen gepflegt wird.

Für jeden konfigurierten Anbieterdienst für blockierte IP-Adressen können Sie den SMTP-Fehler 550 anpassen, der an den Absender zurückgegeben wird, wenn die Absender-IP-Adresse bei einem Anbieterdienst für blockierte IP-Adressen gefunden und daraufhin vom Verbindungsfilter-Agent geblockt wird. Es handelt sich um eine bewährte Methode, den SMTP-Fehler 550 so anzupassen, dass darin der Anbieterdienst für blockierte IP-Adressen angegeben wird, von dem der Absender als geblockte IP-Adresse identifiziert wird. Diese bewährte Methode erlaubt es legitimen Absendern, sich mit dem Anbieterdienst für blockierte IP-Adressen in Verbindung zu setzen, um sich aus der IP-Sperrliste des Anbieterdiensts für blockierte IP-Adressen entfernen zu lassen.

Verschiedene Anbieterdienste für blockierte IP-Adressen können unterschiedliche Codes zurückgeben, wenn die IP-Adresse eines Remoteservers, von dem eine Nachricht gesendet wird, einer IP-Adresse in der IP-Sperrliste eines Anbieterdiensts für blockierte IP-Adressen entspricht. Die meisten Anbieterdienste für blockierte IP-Adressen geben einen der folgenden Datentypen zurück: Bitmaske oder absoluter Wert. Innerhalb dieser Datentypen können mehrere Werte vorhanden sein, die den Typ der Liste spezifizieren, auf dem die übermittelte IP-Adresse gefunden wurde.

Dieser Abschnitt enthält ein Beispiel der Statuscodes, die von den meisten IP-Sperrlistenanbietern zurückgegeben werden. Einzelheiten zu den vom Anbieter zurückgegebenen Statuscodes finden Sie in der Dokumentation des jeweiligen Anbieters.

Bei Bitmasken-Datentypen gibt der Dienst für IP-Sperrlistenanbieter den Statuscode "127.0.0.x" zurück, wobei die ganze Zahl x einem der in der folgenden Tabelle aufgeführten Werte entspricht.

Werte und Statuscodes für Bitmasken-Datentypen

Wert Statuscode

1

Die IP-Adresse steht in einer IP-Sperrliste.

2

Der SMTP-Server ist als offenes Relay konfiguriert.

4

Die IP-Adresse unterstützt eine Einwähl-IP-Adresse.

Bei "Absoluter Wert"-Datentypen gibt der Anbieterdienst für blockierte IP-Adressen explizite Antworten zurück, die auf dem Grund für das Blocken der IP-Adresse basieren. In der folgenden Tabelle werden einige Beispiele für absolute Werte mit den dazugehörigen expliziten Antworten dargestellt.

Werte und Statuscodes für "Absoluter Wert"-Datentypen

Wert Explizite Antwort

127.0.0.2

Die IP-Adresse ist eine direkte Spamquelle.

127.0.0.4

Die IP-Adresse ist ein Massenversender von E-Mails.

127.0.0.5

Der Remoteserver, von dem die Nachricht gesendet wird, ist dafür bekannt, dass er mehrstufige offene Relays unterstützt.

Eingehende Nachrichten können auch mithilfe von Anbieterdiensten für Listen zugelassener IP-Adressen, die Listen zugelassener IP-Adressen bereitstellen, verwaltet werden. Listen zugelassener IP-Adressen werden in der Softwarebranche manchmal auch als "IP-Listen sicherer Absender" (Safe Lists) oder "weiße Listen" bezeichnet. Anbieter für Listen zugelassener IP-Adressen pflegen Listen von IP-Adressen, von denen sicher bekannt ist, dass sie mit keiner Spamaktivität in Zusammenhang stehen. Wenn ein Anbieter für Listen zugelassener IP-Adressen eine IP-Zulassungsentsprechung zurückgibt, die anzeigt, dass die IP-Adresse des Absenders eher ein vertrauenswürdiger bzw. "sicherer" Absender ist, leitet der Verbindungsfilter-Agent die Nachricht an den nächsten Agent in der Antispamkette weiter.

Nach oben

In manchen Organisationen ist die Edge-Transport-Serverrolle auf Computern installiert, die keine SMTP-Anforderungen direkt im Internet verarbeiten. In diesem Szenario befindet sich der Edge-Transport-Server hinter einem anderen SMTP-Front-End-Server, der direkt über das Internet eingehende Nachrichten verarbeitet. In diesem Szenario muss der Verbindungsfilter-Agent in der Lage sein, die richtige Absender-IP-Adresse aus der Nachricht zu extrahieren. Um die Absender-IP-Adresse extrahieren und bewerten zu können, muss der Verbindungsfilter-Agent die Received-Kopfzeilen der Nachricht analysieren und diese Kopfzeilen mit dem bekannten SMTP-Server im Umkreisnetzwerk vergleichen.

Wenn ein RFC-konformer SMTP-Server eine Nachricht empfängt, aktualisiert der Server die Received-Kopfzeile der Nachricht mit dem Domänennamen und der IP-Adresse des Absenders. Deshalb fügt der SMTP-Server für jeden SMTP-Server, der sich zwischen dem ursprünglichen Absender und dem Edge-Transport-Server befindet, der Received-Kopfzeile einen zusätzlichen Eintrag hinzu.

Wenn Sie Ihr Umkreisnetzwerk für die Unterstützung von Exchange 2010 konfigurieren, müssen Sie alle IP-Adressen der in Ihrem Umkreisnetzwerk vorhandenen SMTP-Server angeben. Die IP-Adressdaten werden von EdgeSync auf die Edge-Transport-Server repliziert. Wenn der Computer, auf dem der Verbindungsfilter-Agent ausgeführt wird, Nachrichten empfängt, wird von der IP-Adresse in der Received-Kopfzeile, die keiner SMTP-Server-IP-Adresse in Ihrem Umkreisnetzwerk entspricht, angenommen, dass es sich dabei um die Ursprungs-IP-Adresse handelt.

Sie müssen alle internen SMTP-Server des Konfigurationsobjekts für den Transport in der Active Directory-Gesamtstruktur angeben, bevor Sie die Verbindungsfilterung ausführen. Geben Sie die internen SMTP-Server mit dem InternalSMTPServersParameter des Cmdlets Set-TransportConfig an.

Nach oben

Nach der Konfiguration eines Anbieterdiensts für blockierte IP-Adressen oder eines Anbieterdiensts für zugelassene IP-Adressen können Sie testen, ob die Verbindungsfilterung für den jeweiligen Dienst richtig konfiguriert ist. Die meisten Anbieterdienste für blockierte bzw. für zugelassene IP-Adressen stellen Test-IP-Adressen zur Verfügung, mit denen Sie Ihre Dienste testen können. Wenn Sie einen Testlauf mit einem Anbieterdienst für Listen blockierter bzw. für Listen zugelassener IP-Adressen ausführen, sendet der Verbindungsfilter-Agent eine DNS-Abfrage (Domain Name System) mit einer Echtzeit-Sperrlisten-IP-Adresse, die eine Reaktion mit einer ganz bestimmten Antwort auslösen sollte. Weitere Informationen zum Testen von IP-Adressen bei einem Anbieterdienst für Listen blockierter oder zugelassener IP-Adressen finden Sie unter Test-IPAllowListProviderTest-IPBlockListProvider.

Nach oben

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.
Anzeigen: