Verbindungsfilterung

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2009-10-06

Der Verbindungsfilter-Agent ist ein Antispam-Agent, der auf Computern aktiviert ist, auf denen die Microsoft Exchange Server 2007-Serverfunktion Edge-Transport installiert ist. Der Verbindungsfilter-Agent verwendet die IP-Adresse des Remoteservers, der versucht, eine Verbindung herzustellen, um gegebenenfalls die Aktion zu bestimmen, die auf eine eingehende Nachricht angewendet werden soll. Die Remote-IP-Adresse steht dem Verbindungsfilter-Agent als Nebenprodukt der zugrunde liegenden TCP-/IP-Verbindung zur Verfügung, die für die SMTP-Sitzung (Simple Mail Transfer Protocol) erforderlich ist. Da der Verbindungsfilter-Agent die Gültigkeit der IP-Adresse des Remoteservers, von dem die Nachricht gesendet wird, bewerten muss, wird er normalerweise auf dem Edge-Transport-Server aktiviert, der über eine Verbindung mit dem Internet verfügt. Sie können aber auch zusätzliche Konfigurationen vornehmen, damit der Verbindungsfilter-Agent tiefer im Pfad der eingehenden Nachrichten ausgeführt wird.

Beim Konfigurieren von Antispam-Agents auf einem Edge-Transport-Server bearbeitet der Agent Nachrichten kumulativ, um die Anzahl der unerwünschten Nachrichten zu verringern, die in die Organisation gelangen. Zur Verringerung der Redundanz sowie zur Verbesserung der Gesamtleistung und Effizienz des Systems müssen Sie verstehen, in welcher Reihenfolge die Agents eingehende Nachrichten bewerten. Das Verständnis der Reihenfolge, in der eingehende Nachrichten von den Filtern bewertet werden, hilft Ihnen dabei, Ihre Konfiguration der Edge-Transport-Server zu optimieren. Weitere Informationen über das Planen und Bereitstellen von Antispam-Agents finden Sie unter Antispam- und Antivirusfunktionen.

Wenn der Verbindungsfilter-Agent aktiviert wird, ist er der erste Antispam-Agent, der ausgeführt wird, wenn eine eingehende Nachricht bewertet wird.

Wenn eine eingehende Nachricht an den Edge-Transport-Server übermittelt wird, auf dem der Verbindungsfilter-Agent aktiviert ist, wird die IP-Adresse der SMTP-Verbindung mit IP-Zulassungs- und IP-Sperrlisten abgeglichen. Wenn die Quell-IP-Adresse in einer IP-Zulassungsliste gefunden wird, wird die Nachricht ohne weitere Verarbeitung durch andere Antispam-Agents an ihr Ziel gesendet. Wird die IP-Adresse auf einer IP-Sperrliste gefunden, wird die SMTP-Verbindung nach Verarbeitung aller RCPT TO-Kopfzeilen der Nachricht unterbrochen.

Wenn die Quell-IP-Adresse weder auf einer IP-Zulassungs- noch auf einer IP-Sperrliste zu finden ist, wird die Nachricht an weitere Antispam-Agents übergeben, wenn solche konfiguriert sind.

Detaillierte Informationen zum Konfigurieren des Verbindungsfilter-Agents finden Sie unter Konfigurieren der Verbindungsfilterung.

IP-Zulassungslisten und IP-Sperrlisten

Der Verbindungsfilter-Agent vergleicht die IP-Adresse des Servers, von dem eine Nachricht gesendet wird, mit allen der folgenden Datenspeicher mit IP-Adressen:

• Vom Administrator definierte IP-Zulassungslisten und IP-Sperrlisten

• Anbieter für geblockte IP-Adressen

• Anbieter für zugelassene IP-Adressen

Weitere Informationen zu Anbietern für geblockte IP-Adressen finden Sie weiter unten in diesem Thema unter "Anbieter für geblockte IP-Adressen".

Mindestens einer dieser Datenspeicher mit IP-Adressen muss konfiguriert werden, damit der Verbindungsfilter-Agent funktioniert. Wenn die Datenspeicher mit IP-Adressen nicht die IP-Adressen von den IP-Zulassungs- oder IP-Sperrlisten enthalten, oder wenn Sie keine Anbieter für geblockte oder für zugelassene IP-Adressen konfiguriert haben, sollte der Verbindungsfilter-Agent deaktiviert werden.

Vom Administrator definierte IP-Zulassungslisten und IP-Sperrlisten

Administratoren von Edge-Transport-Servern pflegen vom Administrator definierte Listen von IP-Adressen. IP-Adressen, die zugelassen oder geblockt werden sollen, können mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell eingegeben und gelöscht werden. IP-Adressen können einzeln, als IP-Adressbereich oder als IP-Adresse und Subnetmask hinzugefügt werden.

Beim Hinzufügen einer einzelnen IP-Adresse oder eines IP-Adressbereichs müssen Sie die IP-Adresse bzw. den IP-Adressbereich als zu blockende oder als zuzulassende IP-Adresse angeben. Zusätzlich können Sie einen Ablaufzeitpunkt für jeden erstellten IP-Sperrlisteneintrag angeben. Beim Festlegen eines Ablaufzeitpunkts gibt dieser an, wie lange der IP-Sperrlisteneintrag aktiv bleibt. Bei Erreichen des Ablaufzeitpunkts wird der IP-Sperrlisteneintrag deaktiviert.

Durch die Verwendung der vom Administrator definierten IP-Zulassungs- und IP-Sperrlisten kann die Verbindungsfilterung für die Unterstützung der folgenden Szenarios konfiguriert werden:

• IP-Adressen aus den IP-Sperrlisten von Anbietern für geblockte IP-Adressen ausnehmen   , Möglicherweise müssen IP-Adressen aus den IP-Sperrlisten von Anbietern für geblockte IP-Adressen ausgenommen werden, wenn rechtmäßige Absender unabsichtlich in eine IP-Sperrliste eines Anbieters für geblockte IP-Adressen aufgenommen werden. Beispielsweise können rechtmäßige Absender irrtümlich in eine IP-Sperrliste aufgenommen werden, wenn ein SMTP-Server unbeabsichtigt für offenes Relay konfiguriert wurde. In diesem Szenario wird der Absender wahrscheinlich versuchen, die Fehlkonfiguration zu korrigieren und seine IP-Adresse von der IP-Sperrliste des Anbieters für geblockte IP-Adressen zu entfernen.

  Weitere Informationen zu Anbietern für geblockte IP-Adressen finden Sie weiter unten in diesem Thema unter "Anbieter für geblockte IP-Adressen".

• Den Zugriff von IP-Adressen verweigern, die eine Quelle für unerwünschte E-Mail-Nachrichten sind, jedoch nicht in einer IP-Sperrliste eines Anbieters für geblockte IP-Adressen gefunden wurden.   Manchmal erhalten Sie eine große Menge unerwünschter Nachrichten von einer Quelle, die noch nicht durch einen von Ihnen abonnierten Dienst für Echtzeitsperrlisten (Real-time Block List, RBL) identifiziert wurde.

Anbieter für geblockte IP-Adressen

Anbieterdienste für geblockte IP-Adressen können bei der Verringerung der Anzahl unerwünschter E-Mail-Nachrichten, die in Ihrer Organisation eingehen, helfen.

Anbieterdienste für geblockte IP-Adressen stellen Listen von IP-Adressen zusammen, von denen in der Vergangenheit Spam ausgegangen ist. Zusätzlich stellen manche Anbieter für geblockte IP-Adressen Listen von IP-Adressen zur Verfügung, bei denen SMTP als offenes Relay konfiguriert ist. Es gibt auch Anbieterdienste für geblockte IP-Adressen, die Listen von IP-Adressen bereitstellen, die DFÜ-Zugriff unterstützen. Internetdienstanbieter (Internet Service Provider, ISP), die ihren Kunden DFÜ-Zugriffsdienste zur Verfügung stellen, weisen jeder DFÜ-Sitzung dynamische IP-Adressen zu. Einige ISPs blocken SMTP-Verkehr von DFÜ-Konten. Diese ISPs sowie die dazugehörigen DFÜ-IP-Bereiche werden normalerweise nicht in IP-Sperrlisten aufgenommen. Manche ISPs gestatten aber Clients das Senden von SMTP-Verkehr über DFÜ-Konten. Böswillige Benutzer profitieren von ISPs, die SMTP-Verkehr zulassen, indem sie Spam von dynamisch zugewiesenen IP-Adressen senden. Wenn die IP-Adresse dann in eine IP-Sperrliste aufgenommen wird, startet der böswillige Benutzer eine neue DFÜ-Sitzung und erhält eine neue IP-Adresse. Häufig kann ein einzelner Anbieter für geblockte IP-Adressen eine Liste von IP-Adressen bereitstellen, die all diese Spambedrohungen abdeckt.

Sie können mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell mehrere Konfigurationen von Anbietern für geblockte IP-Adressen konfigurieren. Jeder Dienst benötigt eine gesonderte Konfiguration des Anbieters für geblockte IP-Adressen in der Exchange-Verwaltungskonsole oder in der Exchange-Verwaltungsshell.

Wenn der Verbindungsfilter-Agent für die Verwendung eines Anbieters für geblockte IP-Adressen konfiguriert wird, fragt der Agent den Anbieterdienst für geblockte IP-Adressen ab, um zu ermitteln, ob für die IP-Adressen, die eine Verbindung herstellen, eine Entsprechung vorhanden ist, bevor die Nachricht in die Organisation eingelassen wird.

Bevor der Verbindungsfilter-Agent zur Überprüfung einer IP-Adresse den Anbieter für geblockte IP-Adressen kontaktiert, wird die IP-Adresse mit der vom Administrator definierten IP-Zulassungs- und IP-Sperrliste verglichen. Wenn die IP-Adresse weder auf der vom Administrator definierten IP-Zulassungs- noch auf der IP-Sperrliste vorhanden ist, fragt der Verbindungsfilter-Agent die Anbieterdienste für geblockte IP-Adressen in der Reihenfolge der jedem Anbieter zugewiesenen Prioritätsbewertung ab. Wenn die IP-Adresse auf der IP-Sperrliste eines Anbieters für geblockte IP-Adressen vorhanden ist, wartet der Edge-Transport-Server auf die RCPT TO-Kopfzeile, analysiert diese, antwortet dem Absendersystem mit einem SMTP-Fehler 550 und beendet die Verbindung. Wird die IP-Adresse auf keiner der IP-Sperrlisten aller Anbieter für geblockte IP-Adressen gefunden, verarbeitet der nächste Agent in der Antispamkette die Verbindung. Weitere Informationen zur Reihenfolge, in der standardmäßige Antispam- und Antivirus-Agents eingehende Nachrichten aus dem Internet filtern, finden Sie unter Antispam- und Antivirusfunktionen.

Wenn Sie den Verbindungsfilter-Agent verwenden, handelt es sich um eine bewährte Methode, bei der Verwaltung des Zugriffs auf Ihre Organisation mindestens einen Anbieter für geblockte IP-Adressen zu verwenden. Die Verwendung der von einem Administrator definierten Sperrlisten zur Pflege Ihrer eigenen IP-Sperrlisten ist äußerst zeitaufwändig und kann hinsichtlich der notwendigen Personalressourcen in den meisten Organisationen unmöglich sein. Daher wird dringend die Verwendung eines externen Anbieterdiensts für geblockte IP-Adressen, dessen einziger Zweck die Pflege von IP-Sperrlisten ist, empfohlen.

Mit der Verwendung eines Anbieters für geblockte IP-Adressen können aber auch Nachteile verbunden sein. Da der Verbindungsfilter-Agent für jede unbekannte IP-Adresse eine externe Organisation abfragen muss, können Ausfälle oder Verzögerungen bei dem Anbieterdienst für geblockte IP-Adressen zu Verzögerungen bei der Verarbeitung von Nachrichten auf dem Edge-Transport-Server führen. In Extremfällen könnten solche Ausfälle oder Verzögerungen zu einem Engpass bei der Nachrichtenübermittlung auf dem Edge-Transport-Server führen.

Der andere Nachteil bei der Verwendung eines externen Anbieterdiensts für geblockte IP-Adressen besteht darin, dass rechtmäßige Absender manchmal irrtümlich der IP-Sperrliste von Anbietern für geblockte IP-Adressen hinzugefügt werden. Dies ist aufgrund einer fehlerhaften SMTP-Konfiguration möglich, z. B. wenn der SMTP-Server unbeabsichtigt als offenes Relay konfiguriert wurde.

Anbieter für zugelassene IP-Adressen

Eingehende Nachrichten können auch mithilfe von Anbieterdiensten für zugelassene IP-Adressen, die IP-Zulassungslisten bereitstellen, verwaltet werden. IP-Zulassungslisten werden in der Softwarebranche manchmal auch als "IP-Listen sicherer Absender" (Safe Lists) oder "weiße Listen" bezeichnet. Anbieter für zugelassene IP-Adressen pflegen Listen von IP-Adressen, von denen sicher bekannt ist, dass sie mit keiner Spamaktivität in Zusammenhang stehen. Wenn ein Anbieter für zugelassene IP-Adressen eine IP-Zulassungsentsprechung zurückgibt, die anzeigt, dass die IP-Adresse des Absenders eher ein vertrauenswürdiger bzw. "sicherer" Absender ist, leitet der Verbindungsfilter-Agent die Nachricht an den nächsten Agent in der Antispamkette weiter.

Informationen zum Konfigurieren von Anbietern für zugelassene IP-Adressen finden Sie unter Konfigurieren der Verbindungsfilterung.

Weitere Informationen

Weitere Informationen zum Konfigurieren der Verbindungsfilterung mithilfe der Exchange-Verwaltungskonsole finden Sie unter folgenden Themen:

• Konfigurieren der Verbindungsfilterung

• Aktivieren der Verbindungsfilterung

• So fügen Sie der IP-Zulassungs- und IP-Sperrliste IP-Adressen hinzu

• Konfigurieren der Anbieter für zugelassene und geblockte IP-Adressen

Weitere Informationen zum Konfigurieren der Verbindungsfilterung mithilfe der Exchange-Verwaltungsshell finden Sie unter Cmdlets des Verbindungsfilter-Agents.