Bewährte Vorgehensweisen für die FOPE-Konfiguration

  • Artikel

 

Gilt für: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Letzte Änderung des Themas: 2013-05-17

Unsere Kunden haben festgestellt, dass die folgenden Informationen zum Forefront Online Protection für Exchange-Dienst (FOPE) äußerst hilfreich waren, um den Dienst optimal zu verwenden und um die möglichst reibungslose Ausführung sicherzustellen. Ein Video, in dem das Konfigurieren der in diesem Thema beschriebenen Optionen erläutert wird, finden Sie unter Bewährte Vorgehensweisen für die Konfiguration von Forefront Online Protection for Exchange (nur in englischer Sprache verfügbar).

Verzeichnissynchronisierungstool

Das kostenlose Verzeichnissynchronisierungstool stellt eine gute Methode zum sicheren und automatischen Synchronisieren gültiger Endbenutzerproxyadressen (und der zugehörigen sicheren Absender, falls verfügbar) zwischen lokalen Active Directory-, FOPE- und EHA-Diensten (Exchange Hosted Archive) dar. Das Verzeichnissynchronisierungstool ist unter der folgenden Adresse verfügbar: https://www.microsoft.com/downloads/details.aspx?FamilyID=3cda6dcc-1124-4e0b-b991-de9d85ed12e1&DisplayLang=en

Sobald Sie das Verzeichnissynchronisierungstool heruntergeladen haben, können Sie mit dessen Hilfe eine Benutzerliste (und die zugehörigen E-Mail-Adressen) in das Hosted Services-Netzwerk hochladen. Die hochgeladene Benutzerliste kann anschließend für die verzeichnisbasierte Edge-Blockierung (durch Festlegen der verzeichnisbasierten Edge-Blockierung für die Domäne auf den Modus "Ablehnen"), für den Quarantänezugriff oder für die Archivdienste verwendet werden.

Wenn in Ihrem Unternehmen keine Microsoft Windows Active Directory-Umgebung vorhanden ist, können Sie die Benutzerlistenquelle auf "Verwaltungskonsole" oder auf "Sicheres FTP" festlegen (alternative Optionen zum Hochladen von Benutzerlisten).

Weitere Informationen z. B. eine grundlegende Übersicht, Installationsanweisungen und Supportinformationen zu FOPE-DST, finden Sie unter Das Verzeichnissynchronisierungstool.

SPF-Eintragseinstellungen

SPF wird zum Verhindern der nicht autorisierten Verwendung eines Domänennamens beim Senden der E-Mail-Kommunikation verwendet (diese Technik wird auch als "Spoofing" bezeichnet). Dies erfolgt durch die Bereitstellung eines Mechanismus zum Überprüfen der sendenden Hosts. Befolgen Sie beim Konfigurieren der SPF-Datensatzeinstellungen die folgenden Tipps:

  1. Für Domänen, bei denen ausgehende Nachrichten über das Filternetzwerk gesendet werden, können Sie "spf.messaging.microsoft.com" sowie die individuellen IP-Adressen Ihres Postausgangsservers in Ihren SPF-Datensatz einfügen. SPF wird zum Verhindern der nicht autorisierten Verwendung eines Domänennamens beim Senden der E-Mail-Kommunikation verwendet (diese Technik wird auch als "Spoofing" bezeichnet). Dies erfolgt durch die Bereitstellung eines Mechanismus zum Überprüfen der sendenden Hosts.

    Wichtig

    Diese Anweisungen gelten nur für Domänen, die ausgehende E-Mails über das Filternetzwerk senden.

  2. Da mithilfe von SPF überprüft wird, ob eine bestimmte IP-Adresse für das Senden von E-Mails für eine bestimmte Domäne autorisiert ist, müssen die ausgehenden IP-Adressen für das Filternetzwerk ebenfalls in den SPF-Datensatz eingefügt werden. Die einfachste Möglichkeit, eine ganze Gruppe von IP-Adressen hinzuzufügen, ist die Verwendung der Anweisung "include: spf.messaging.microsoft.com" in Ihrem SPF-Datensatz.

  3. Zusätzlich können Sie alle IP-Adressen Ihres Postausgangsservers hinzufügen. Diese IP-Adressen sind erforderlich, um sicherzustellen, dass E-Mails an andere FOPE-Clients zugestellt werden. Die einzelnen IP-Adressen müssen über eine ip4:-Anweisung hinzugefügt werden. Wenn Sie beispielsweise "127.0.0.1" als zulässige IP-Adresse für das Senden ausgehender E-Mails einfügen möchten, fügen Sie dem SPF-Datensatz die Anweisung "ip4:127.0.0.1" hinzu. Wenn Sie alle autorisierten IP-Adressen kennen, sollten sie mithilfe des "–all (Fail)"-Qualifizierers hinzugefügt werden. Wenn Sie nicht sicher sind, ob Sie über die vollständige Liste der IP-Adressen verfügen, sollten Sie den "~all (SoftFail)"-Qualifizierer verwenden.

    Beispiel:

    "Contoso.com" verfügt über die folgenden drei Postausgangsserver:

    127.0.0.1

    127.0.0.2

    127.0.0.3

    Der ursprüngliche SPF-Datensatz von Contoso lautete folgendermaßen:

    "v=spf1 ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

    Nach dem Routing der E-Mail über FOPE lautet der SPF-Datensatz von Contoso folgendermaßen:

    "v=spf1 include:spf.messaging.microsoft.com ip4:127.0.0.1 ip4:127.0.0.2 ip4:127.0.0.3 -all"

Netzwerkverbindungseinstellungen

Mithilfe der folgenden Tipps können Sie eine reibungslose und fortlaufende Datenübertragung mit dem Hosted Filtering-Dienst sicherstellen.

  • Konfigurieren Sie die Einstellungen auf dem SMTP-Server mit einem Verbindungstimeout von 60 Sekunden.

  • Nachdem die Firewallregeln so eingeschränkt wurden, dass nur eingehende SMTP-Verbindungen von den vom Hosted Filtering-Dienst verwendeten IP-Adressen zugelassen werden, empfiehlt es sich, den SMTP-Server so zu konfigurieren, dass möglichst viele gleichzeitige eingehende Verbindungen des Diensts zugelassen werden.

  • Wenn vom Server ausgehende E-Mails über den Hosted Filtering-Dienst gesendet werden, wird zudem empfohlen, den Server so zu konfigurieren, dass pro Verbindung maximal 50 Nachrichten gesendet und weniger als 50 gleichzeitige Verbindungen verwendet werden. Unter normalen Bedingungen tragen diese Einstellungen dazu bei, einen reibungslosen und kontinuierlichen Datentransfer zwischen Server und Dienst sicherzustellen.

Sicherheit

IP-Beschränkungen

Der Zugriff auf die abonnierten Dienste kann auf Benutzer eingeschränkt werden, die von angegebenen IP-Adressen aus auf die Websites zugreifen. In dieser Konfiguration wird kein Zugriff von anderen IP-Adressen zugelassen. Dadurch wird das Risiko eines nicht autorisierten Zugriffs minimiert. Die IP-Einschränkungseinstellungen sind im Unternehmensbereich, im Domänenbereich und im Benutzerbereich verfügbar.

Kennwortrichtlinien

Für alle Konten sollten stets sichere Kennwörter verwendet werden. Dies gilt insbesondere für Administratorkonten. Die folgenden Richtlinien helfen Ihnen, sichere Kennwörter zu erstellen:

  • Sie enthalten Klein- und Großbuchstaben, Zahlen und Sonderzeichen (?, !, @, $).

  • Legen Sie fest, dass Kennwörter regelmäßig ablaufen, z. B. alle 3, 4 oder 6 Monate.

ASF (Additional Spam Filtering)-Optionen

Es stehen auch ASF (Additional Spam Filtering)-Optionen zur Verfügung. Es wird empfohlen, standardmäßig alle ASF-Optionen zu deaktivieren. Mögliche Ausnahmen:

  • Bilderlinks zu Remotesites – Diese Einstellung empfiehlt sich für Benutzer, die viele Marketing-E-Mails, Werbung oder Newsletters empfangen, die Inhalt mit Spameigenschaften aufweisen.

  • Fehler bei SPF-Datensatz – Diese Einstellung empfiehlt sich für Organisationen, die Bedenken haben, dass sie Phishingnachrichten erhalten.

  • Authentifizierung der Absenderadresse – Organisationen, die Bedenken im Hinblick auf Phishing haben, wird empfohlen, die Einstellung zu aktivieren, insbesondere, wenn die eigenen Benutzer gespooft werden. Es empfiehlt sich jedoch grundsätzlich, die Option als Reaktion auf eine Eskalation zu aktivieren, statt sie standardmäßig zu aktivieren.

Ausführlichere Informationen über diese ASF-Optionen finden Sie unter Konfigurieren zusätzlicher ASF (Additional Spam Filtering)-Optionen.

Tipp

Sie sollten Ihre ASF-Optionen im Testmodus aktivieren, um für die Optimierung der auf Ihrer Umgebung basierenden Spamblockierung aggressive Spamoptionen zu erkennen. Für Kunden mit hohem Spamanteil wird empfohlen, diese Optionen vor dem Implementieren in die Produktionsumgebung zu testen.

Auf dem Desktop empfangene Spamnachrichten sollten von den Kunden zur Überprüfung per E-Mail an das Spam-Team des Hosted Filtering-Diensts weitergeleitet werden (Adresse: "abuse@messaging.microsoft.com").

Die Kunden haben zudem die Möglichkeit, ihren Endbenutzern die Installation des Junk-E-Mail-Berichtsprogramms zu gestatten. Bei der Verwendung mit Microsoft® Office Outlook® bietet das Junk-E-Mail-Berichtsprogramm dem Endbenutzer die Möglichkeit, Junk-E-Mails umgehend zur Analyse an "abuse@messaging.microsoft.com" zu senden, um die Effektivität der Junk-E-Mail-Filterung zu verbessern.

Sie können das Junk-E-Mail-Berichtsprogramm hier herunterladen: https://go.microsoft.com/fwlink/?LinkID=147248 (in englischer Sprache)

Sie können Ihre Domäne auch so konfigurieren, dass den Endbenutzern beim Anmelden bei der Quarantäne-Website der Downloadlink für das Junk-E-Mail-Berichtsprogramm angezeigt wird.

Ausführlichere Informationen zum Junk-E-Mail-Berichtsprogramm finden Sie unter Junk E-Mail Reporting Add-In for Microsoft Office Outlook.

Falsch positive Übermittlungen

Der überwiegende Teil der Nachrichten, die als falsch positiv übermittelt werden, sind tatsächlich Spamnachrichten, die ordnungsgemäß gefiltert wurden, vom Empfänger jedoch weiterhin erwünscht sind.

Wenn sich Administratoren einen Überblick über die Art und Anzahl der dem Hosted Filtering-Dienst als falsch positive übermittelte Nachrichten verschaffen möchten, sollten sie das Feature zum Kopieren falsch positiv übermittelter Nachrichten konfigurieren, um zu Überprüfungszwecken eine Kopie der Nachricht zu erhalten.

Wichtig

Vor dem Senden einer falsch positiven Übermittlung müssen Sich Endbenutzer bei der Quarantäne-Website anmelden, um die Nachricht zunächst anzuzeigen. Alternativ dazu können Sie die Nachricht für die Anzeige wiederherstellen und sie anschließend an die Adresse "false_positive@messaging.microsoft.com" weiterleiten.

Zum Ermitteln falsch positiver Nachrichten müssen die vollständige Nachricht und alle Internetkopfzeilen an das Postfach false_positive weitergeleitet werden.

Richtlinienfilter

Richtlinienregeln

Zusätzlich zur Spam- und Virenfilterung können Sie mithilfe von Richtlinienregeln in der FOPE-Verwaltungskonsole spezielle Unternehmensrichtlinien erzwingen, indem Sie anpassbare Filterungsregeln konfigurieren. Sie können einen speziellen Regelsatz erstellen, mit dessen Hilfe Nachrichten identifiziert und spezielle Aktionen ausgeführt werden, wenn sie vom Hosted Filtering-Dienst verarbeitet werden. Sie können beispielsweise eine Richtlinienregel erstellen, durch die eingehende E-Mails abgelehnt werden, wenn sie im Feld "Betreff" ein bestimmtes Wort oder einen bestimmten Ausdruck enthalten. Ferner können Sie mithilfe von Richtlinienregelfiltern umfangreiche Listen mit Werten (beispielsweise mit E-Mail-Adressen, Domänen und Schlüsselwörtern) für mehrere Richtlinienregeln hinzufügen und verwalten, indem Sie eine Datei (ein Wörterbuch) hochladen.

Richtlinienregeln können für eine Vielzahl von E-Mail-Zuordnungskriterien konfiguriert werden:

  • Kopfzeilenfeldnamen und -werte

  • IP-Adressen, Domänen und E-Mail-Adressen des Absenders

  • Domänen und E-Mail-Adressen des Empfängers

  • Dateinamen und Dateierweiterungen von Anlagen

  • Betreff, Text und andere Nachrichteneigenschaften (Größe, Anzahl der Empfänger) von E-Mails

Weitere Informationen zu Richtlinienregeln finden Sie unter Richtlinienregeln.

Verhindern von Phishing und Spoofing

Der Richtlinienfilter kann verwendet werden, um Firmennetzwerke gegen E-Mail-Angriffe zu verteidigen und vertrauliche Informationen der Endbenutzer zu schützen.

Zusätzlicher Phishingschutz kann dadurch erreicht werden, dass persönliche Informationen in E-Mails, die aus dem Unternehmen gesendet werden, erkannt werden. Mithilfe der folgenden regulären Ausdrücke kann beispielsweise die Übermittlung persönlicher Finanzdaten oder -informationen erkannt werden, durch die möglicherweise die Privatsphäre gefährdet ist:

  • \d\d\d\d\s\d\d\d\d\s\d\d\d\d\s\d\d\d\d (MasterCard, Visa)

  • \d\d\d\d\s\d\d\d\d\d\d\s\d\d\d\d\d (American Express)

  • \d\d\d\d\d\d\d\d\d\d\d\d\d\d\d\d (eine beliebige 16-stellige Zahl)

  • \d\d\d\-\d\d\-\d\d\d\d (Sozialversicherungsnummern)

Spam und Phishing können durch das Blockieren von eingehenden E-Mails verhindert werden, die den Anschein erwecken, von Ihrer Domäne gesendet worden zu sein. Erstellen Sie eine Ablehnungsregel für Nachrichten aus Ihrer Unternehmensdomäne an dieselbe Unternehmensdomäne ihredomäne.com, um diese Senderfälschung zu unterbinden.

Wichtig

Sie sollten diese Regel nur erstellen, wenn Sie sicher sind, dass von Ihrer Domäne keine seriösen E-Mails über das Internet an Ihren E-Mail-Server gesendet werden.

Erweiterungsblockierung

Der Richtlinienfilter kann in vielfältiger Weise verwendet werden, um Firmennetzwerke gegen E-Mail-Angriffe zu verteidigen und vertrauliche Informationen der Endbenutzer zu schützen.

Für die Bedrohungsabwehr durch die Blockierung von Dateierweiterungen sollten zumindest die folgenden Erweiterungen blockiert werden: EXE, PIF, SCR, VBS

Für erhöhten Schutz empfiehlt sich die Blockierung einiger oder aller der folgenden Erweiterungen: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, exe, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, pif, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh

Siehe auch

Konzepte

Erstes Anmelden beim FOPE-Administration Center

Andere Ressourcen

Video – Bewährte Vorgehensweisen für die Konfiguration von Forefront Online Protection for Exchange (Video möglicherweise in englischer Sprache)