SCL-Schwellenwerte (Spam Confidence Level) in Exchange
Hinweis
Im November 2016 hat Microsoft die Erstellung von Spamdefinitionsupdates für die SmartScreen-Filter in Exchange und Outlook eingestellt. Die vorhandenen SmartScreen-Spamdefinitionen wurden beibehalten, aber ihre Wirksamkeit wird im Laufe der Zeit wahrscheinlich beeinträchtigt. Weitere Informationen finden Sie unter Support für SmartScreen in Outlook und Exchange eingestellt.
In Exchange Server können Sie bestimmte Aktionen für Nachrichten gemäß den SCL-Schwellenwerten (Spam Confidence Level) definieren. Beispielsweise können Sie verschiedene Schwellenwerte für das Ablehnen, Löschen oder Quarantänen von Nachrichten auf einem Exchange-Server definieren, auf dem der Inhaltsfilter-Agent ausgeführt wird. Diese SCL-Schwellenwerte und -Aktionen sind seit Exchange Server 2010 im Wesentlichen unverändert.
Der Inhaltsfilter-Agent weist zu einem späten Zeitpunkt im Antispamzyklus eine SCL-Bewertung für Nachrichten zu, nachdem andere Antispam-Agents eingehende Nachrichten verarbeitet haben. Viele der anderen Antispam-Agents, die eingehende Nachrichten verarbeiten, bevor diese vom Inhaltsfilter-Agent verarbeitet werden, sind absolut hinsichtlich der Aktionen für eine Nachricht. Der Verbindungsfilter-Agent auf einem Edge-Transport-Server weist z. B. Nachrichten zurück, die von einer in einer Echtzeit-Sperrliste enthaltenen IP-Adresse gesendet wurden. Auf ähnliche Weise werden Nachrichten vom Absenderfilter-Agent basierend auf einer Liste blockierter Absender und vom Empfängerfilter-Agent basierend auf einer Liste blockierter Empfänger blockiert. Wenn Nachrichten zuerst verarbeitet werden, können die anderen Antispam-Agents die Anzahl von Nachrichten deutlich verringern, (in den meisten Fällen absolut unerwünschte Nachrichten), die vom Inhaltsfilter-Agent verarbeitet werden müssen. Weitere Informationen zur Reihenfolge, in der Antispam-Agents Nachrichten verarbeiten, finden Sie unter Antispamschutz in Exchange Server.
Da die Inhaltsfilterung zu keinem genauen Resultat führt, ist es wichtig zu wissen, wie die Aktionen des Inhaltsfilter-Agents basierend auf unterschiedlichen SCL-Werten angepasst werden können. Durch sorgfältiges Überwachen und Anpassen der SCL-Schwellenwerte können Sie die folgenden Bedingungen minimieren:
Die Anzahl der Nachrichten in einem Spamquarantänepostfach und seine Größe
Die Anzahl von legitimen E-Mail-Nachrichten, die fälschlicherweise unter Quarantäne gestellt oder in den Junk-E-Mail-Ordner des Benutzers (falsch positive Ergebnisse) verschoben wurden
Die Anzahl unerwünschter Spam-E-Mail-Nachrichten, die im Postfach des Benutzers eingehen (Nachrichten sollten nicht einmal im Junk-E-Mail-Ordner eingehen)
Die Anzahl der Spam-E-Mail-Nachrichten, die im Posteingang des Benutzers eingehen
Die Kombination dieser SCL-Schwellenwerte im Inhaltsfilter-Agent und der SCL-Schwellenwerte des Junk-E-Mail-Ordners für das Benutzerpostfach unterstützt Sie beim Implementieren einer umfassenderen und genaueren Antispamstrategie, die die Gesamtkosten der Bereitstellung und Verwaltung einer Antispamlösung innerhalb der gesamten Exchange-Organisation verringern kann.
SCL-Schwellenwertaktionen
Durch Anpassen der SCL-Schwellenwertaktionen können Sie die Inhaltsfilteraktion eskalieren, die für Nachrichten ausgeführt wird, bei denen eine höhere Wahrscheinlichkeit für Spam besteht. Zum Verständnis dieser Funktion ist es hilfreich, die verschiedenen SCL-Schwellenwertaktionen sowie deren Implementierung zu verstehen:
SCL-Löschschwellenwert: Wenn der SCL-Wert der Nachricht größer oder gleich dem SCL-Löschschwellenwert ist, löscht der Inhaltsfilter-Agent die Nachricht im Hintergrund. Es findet keine Kommunikation auf Protokollebene statt, die den Quellmessagingserver oder den Absender informiert, dass die Nachricht gelöscht wurde. Wenn der SCL-Wert der Nachricht kleiner als der SCL-Schwellenwert zum Löschen ist, vergleicht der Inhaltsfilter-Agent den SCL-Wert mit dem SCL-Schwellenwert zum Zurückweisen.
SCL-Ablehnungsschwellenwert: Wenn der SCL-Wert der Nachricht größer oder gleich dem SCL-Ablehnungsschwellenwert, aber kleiner als der SCL-Löschschwellenwert ist, lehnt der Inhaltsfilter-Agent die Nachricht ab und sendet eine Ablehnungsantwort an das sendende System. Sie können die Zurückweisungsantwort anpassen. In einigen Fällen wird ein Unzustellbarkeitsbericht (auch NDR, Benachrichtigung über den Zustellungsstatus, DSN oder Unzustellbarkeitsnachricht genannt) an den ursprünglichen Absender der Nachricht gesendet. Wenn der SCL-Wert der Nachricht kleiner ist als der SCL-Schwellenwert zum Zurückweisen, vergleicht der Inhaltsfilter-Agent den SCL-Wert mit dem SCL-Schwellenwert zum Isolieren.
SCL-Quarantäneschwellenwert: Wenn der SCL-Wert der Nachricht größer oder gleich dem SCL-Quarantäneschwellenwert, aber kleiner als der SCL-Ablehnungsschwellenwert ist, sendet der Inhaltsfilter-Agent die Nachricht an das Spamquarantänepostfach. Weitere Informationen zum Konfigurieren des Spamquarantänepostfachs finden Sie unter Konfigurieren eines Spamquarantänepostfachs.
Administratoren müssen in regelmäßigen Abständen das Spamquarantänepostfach überprüfen, um festzustellen, ob nicht zu viele offensichtliche Spamnachrichten unnötigerweise isoliert (der SCL-Schwellenwert zum Isolieren ist zu hoch), und ob nicht zu viele legitime E-Mails isoliert werden (der SCL-Schwellenwert zum Isolieren ist zu niedrig). Informationen zum Anzeigen der Ergebnisse von Antispamtests für Nachrichten in Quarantäne finden Sie unter Anzeigen von Antispamstempeln in Outlook.
Wenn der SCL-Wert der Nachricht kleiner ist als der SCL-Schwellenwert zum Isolieren, wird die Nachricht an den entsprechenden Postfachserver übermittelt, auf dem der SCL-Schwellenwert des Junk-E-Mail-Ordners für die Organisation oder das Postfach ausgewertet wird.
SCL-Junk-Email Ordnerschwellenwert: Wenn der SCL-Wert der Nachricht größer als der SCL-Junk-Email Ordnerschwellenwert ist, der für die Organisation oder für das Postfach konfiguriert ist, wird die Nachricht an den Junk-Email-Ordner übermittelt. Wenn der SCL-Wert der Nachricht kleiner als oder gleich dem Schwellenwert des Junk-E-Mail-Ordners ist, wird die Nachricht an den Posteingang übermittelt.
Im Gegensatz zu anderen SCL-Schwellenwerten, die vom Inhaltsfilter-Agent gesteuert werden, wird der SCL-Schwellenwert des Junk-E-Mail-Ordners von der Junk-E-Mail-Regel (eine ausgeblendete Posteingangsregel mit dem Namen „Junk-E-Mail-Regel") gesteuert, die in jedem Postfach standardmäßig aktiviert ist. Der Inhaltsfilter-Agent weist einer Nachricht den SCL-Wert zu, die Junk-E-Mail-Regel ist jedoch für die Zustellung der Nachricht an den Junk-E-Mail-Ordner zuständig. Weitere Informationen finden Sie unter Verwenden der Exchange-Verwaltungsshell zum Aktivieren oder Deaktivieren der Junk-E-Mail-Regel in einem Postfach.
Der Inhaltsfilter-Agent und der Junk-E-Mail-Ordner verarbeiten den SCL-Schwellenwert auf unterschiedliche Weise. Der Inhaltsfilter-Agent verwendet größer als oder gleich für den SCL-Schwellenwert, aber der Junk-Email Ordner verwendet größer als. Wenn Sie beispielsweise den Inhaltsfilter-Agent mit einem SCL-Löschschwellenwert von 8 konfigurieren, werden alle Nachrichten mit einer SCL von 8 oder höher automatisch gelöscht. Wenn Sie jedoch den Ordner Junk Email mit einem SCL-Schwellenwert von 4 konfigurieren, werden alle Nachrichten mit einer SCL von 5 oder höher in den Ordner Junk Email verschoben, während Nachrichten mit einer SCL von 4 oder niedriger an den Posteingang übermittelt werden.
Gültigkeitsbereich von SCL-Schwellenwerten
Sie können die SCL-Schwellenwerte an den folgenden Stellen konfigurieren:
Serverkonfiguration: Die SCL-Lösch-, Ablehnungs- und Quarantäneschwellenwerte für den Inhaltsfilter-Agent.
Organisationskonfiguration: Der SCL-Junk-Email Ordnerschwellenwert für die Exchange-Organisation.
Postfachkonfiguration: Die SCL-Schwellenwerte für bestimmte Postfächer.
SCL-Schwellenwerte im Inhaltsfilter-Agent
Sie können das Set-ContentFilterConfig -Cmdlet zum Konfigurieren der SCL-Schwellenwerte zum Löschen, Zurückweisen und Isolieren auf dem Edge-Transport-Server oder dem Postfachserver verwenden, auf dem der Inhaltsfilter-Agent ausgeführt wird. Nachdem Sie die Spamfunktionen und -messgrößen analysiert haben, die von den Antispamprotokollierungs- und -Berichtsfunktionen bereitgestellt werden, können Sie nach Bedarf weitere Anpassungen an diesen SCL-Schwellenwerten vornehmen.
In der folgenden Tabelle sind die SCL-Schwellenwertparameter beschrieben, die mit dem Set-ContentFilterConfig -Cmdlet verwendet werden können.
| Parameter | Beschreibung |
|---|---|
| SCLDeleteEnabled | Aktiviert und deaktiviert den SCL-Löschschwellenwert. Gültige Werte sind $true oder $false. Der Standardwert ist $false, was bedeutet, dass der SCL-Löschschwellenwert standardmäßig nicht aktiviert ist. Sie legen den SCL-Löschschwellenwert mit dem SCLDeleteThreshold-Parameter fest. |
| SCLDeleteThreshold | Der SCL-Wert, der verwendet wird, wenn der SCL-Schwellenwert zum Löschen aktiviert ist. Eine Nachricht mit einem SCL-Wert, der größer als oder gleich diesem Wert ist, wird automatisch gelöscht. Der Maximalwert beträgt 9, dies ist auch der Standardwert. Wenn Sie den SCL-Schwellenwert zum Löschen aktivieren, sollte dieser Wert größer als alle anderen SCL-Schwellenwerte sein. |
| SCLRejectEnabled | Aktiviert und deaktiviert den SCL-Ablehnungsschwellenwert. Gültige Werte sind $true oder $false. Der Standardwert ist $true. Dies bedeutet, dass der SCL-Ablehnungsschwellenwert standardmäßig aktiviert ist. Sie legen den SCL-Ablehnungsschwellenwert mit dem SCLRejectThreshold-Parameter fest. |
| SCLRejectThreshold | Der SCL-Wert, der verwendet wird, wenn der SCL-Schwellenwert zum Zurückweisen aktiviert ist. Eine Nachricht mit einem SCL-Wert, der größer als oder gleich diesem Wert ist, wird zurückgewiesen, und ein Unzustellbarkeitsbericht wird an den Absender gesendet. Der Maximalwert lautet 9, und der Standardwert lautet 7. Wenn Sie den SCL-Schwellenwert zum Zurückweisen aktivieren, sollte dieser Wert kleiner sein als der SCL-Schwellenwert zum Löschen und größer sein als der SCL-Schwellenwert zum Isolieren und der Schwellenwert des Junk-E-Mail-Ordners. |
| SCLQuarantineEnabled | Aktiviert und deaktiviert den SCL-Quarantäneschwellenwert. Gültige Werte sind $true oder $false. Der Standardwert ist $false, was bedeutet, dass der SCL-Quarantäneschwellenwert nicht standardmäßig aktiviert ist. Sie legen den SCL-Quarantäneschwellenwert mit dem Parameter SCLQuarantineThreshold fest. Weitere Informationen zum Konfigurieren des Spamquarantänepostfachs, das für Nachrichten in Quarantäne erforderlich ist, finden Sie unter Konfigurieren eines Spamquarantänepostfachs. |
| SCLQuarantineThreshold | Der SCL-Wert, der verwendet wird, wenn der SCL-Schwellenwert zum Isolieren aktiviert ist. Eine Nachricht mit einem SCL-Wert, der größer als oder gleich diesem Wert ist, wird an das Spamquarantänepostfach umgeleitet. Der Maximalwert beträgt 9, dies ist auch der Standardwert. Wenn Sie den SCL-Schwellenwert zum Isolieren aktivieren, sollte dieser Wert kleiner sein als der SCL-Schwellenwert zum Zurückweisen und größer sein als der SCL-Schwellenwert des Junk-E-Mail-Ordners (der SCLJunkThreshold-Parameter der Set-OrganizationConfig- oder Set-Mailbox-Cmdlets). |
Beispiele für Konfigurationen von SCL-Schwellenwerten im Inhaltsfilter-Agent finden Sie unter Verwenden der Exchange-Verwaltungsshell zum Konfigurieren der SCL-Schwellenwerte für Inhaltsfilterung.
SCL-Schwellenwerte für die Organisation
Sie können den SCLJunkThreshold-Parameter im Set-OrganizationConfig-Cmdlet zum Festlegen des SCL-Schwellenwerts des Junk-E-Mail-Ordners für alle Postfächer in der Organisation verwenden. Dies ist der einzige SCL-Schwellenwert, den Sie auf Organisationsebene konfigurieren können. Der SCL-Wert wird Nachrichten in der Regel vom Inhaltsfilter-Agent zugewiesen.
In der folgenden Tabelle ist der Set-OrganizationConfig-Parameter im SCLJunkThreshold-Cmdlet beschrieben.
| Parameter | Beschreibung |
|---|---|
| SCLJunkThreshold | Der SCL-Wert, der verwendet wird, wenn die Junk-E-Mail-Regel im Postfach aktiviert ist und kein SCL-Schwellenwert des Junk-E-Mail-Ordners für das Postfach konfiguriert ist. Eine Nachricht mit einem SCL-Wert, der größer als dieser Wert ist, wird von der Junk-E-Mail-Regel in den Junk-Email Ordner verschoben. Der Höchstwert ist 9, und der Standardwert ist 4. Dies bedeutet, dass Nachrichten mit einem SCL-Wert von 5 oder höher in den Ordner Junk-Email verschoben werden und Nachrichten mit einem SCL-Wert von 4 oder niedriger an den Posteingang übermittelt werden. |
Hinweise:
Der SCL-Schwellenwert des Junk-E-Mail-Ordners ist standardmäßig aktiviert, da die Junk-E-Mail-Regel in allen Postfächern standardmäßig aktiviert ist. Wenn die Junk-E-Mail-Regel im Postfach deaktiviert ist, ist der SCL-Schwellenwert des Junk-E-Mail-Ordners (für die Organisation oder das Postfach) für das Postfach deaktiviert.
Sie können die Junk-E-Mail-Regel in einem Postfach mithilfe des Parameters Enabled im Cmdlet Set-MailboxJunkEmailConfiguration deaktivieren, jedoch erst, nachdem das Postfach in Outlook (im Exchange-Cachemodus) oder Outlook im Web geöffnet wurde.
Sie können die Verfügbarkeit der Junk-E-Mail-Einstellungen in Outlook im Web steuern und so die Benutzer daran hindern, die Junk-E-Mail-Regel in ihrem eigenen Postfach zu aktivieren bzw. zu deaktivieren.
Weitere Informationen finden Sie im Thema Configure Exchange antispam settings on mailboxes.
SCL-Schwellenwerte für ein Postfach
Sie können das Set-Mailbox -Cmdlet zum Konfigurieren aller SCL-Schwellenwerte für ein Postfach verwenden. Für das Set-ContentFilterConfig -Cmdlet können dieselben SCL-Parameter verwendet werden wie für das Set-Mailbox -Cmdlet:
SCLDeleteEnabled
SCLDeleteThreshold
SCLRejectEnabled
SCLRejectThreshold
SCLQuarantineEnabled
SCLQuarantineThreshold
Im Gegensatz zu den SCL-Schwellenwertparametern für Set-ContentFilterConfig akzeptieren die Parameter im Cmdlet Set-Mailbox auch den Wert $null (der Wert ist leer), der den Standardwert für alle SCL-Schwellenwerte im Postfach darstellt. Dieser leere Standardwert gibt an, dass keine SCL-Schwellenwerte für das Postfach konfiguriert sind, sodass der Inhaltsfilter-Agent seine SCL-Schwellenwerteinstellungen für Nachrichten verwendet, die an das Postfach gesendet werden.
Wenn Sie einen SCL-Schwellenwert für ein Postfach konfigurieren (der Wert ist nicht leer), setzt die Einstellung den entsprechenden SCL-Schwellenwert im Inhaltsfilter-Agent für an das Postfach gesendete Nachrichten außer Kraft. Die SCL-Schwellenwerte, die Sie für das Postfach konfigurieren, werden in Active Directory gespeichert und von Microsoft Exchange EdgeSync-Dienst auf abonnierte Edge-Transport-Server repliziert.
Die Ergebnisse sind ähnlich für den SCLJunkThreshold-Parameter, der für Set-OrganizationConfig und Set-Mailbox verfügbar ist: Der SCL-Junk-Email Ordnerschwellenwert, den Sie für das Postfach konfigurieren (der Wert ist nicht leer), setzt den SCL-Wert für die Organisation für Nachrichten außer Kraft, die an das Postfach gesendet werden.
Hinweis
SCL-Schwellenwerte für ein Postfach werden nicht für Nachrichten erzwungen, die von Verteilergruppen empfangen werden.
Die SCL-Schwellenwerteinstellung, die für ein Postfach eindeutig ist, ermöglicht das Aktivieren oder Deaktivieren des SCL-Schwellenwerts des Junk-E-Mail-Ordners. In der folgenden Tabelle ist der SCLJunkEnabled-Parameter beschrieben, der ausschließlich mit dem Set-Mailbox-Cmdlet verwendet werden kann.
| Parameter | Beschreibung |
|---|---|
| SCLJunkEnabled | Aktiviert und deaktiviert den SCL-Junk-Email Ordnerschwellenwert für das Postfach. Gültige Werte sind $true, $falseoder $null (leer). Der Standardwert ist leer ($null), d. h. der SCL-Junk-Email Ordnerschwellenwert ist nicht für das Postfach konfiguriert und wird dadurch gesteuert, ob die Junk-E-Mail-Regel im Postfach aktiviert oder deaktiviert ist. Der Standardmäßige SCL-Junk-Email-Ordnerschwellenwert wird durch den Parameter SCLJunkThreshold im Cmdlet Set-OrganizationConfig festgelegt. Sie können diesen Wert für das Postfach überschreiben, indem Sie den Parameter SCLJunkThreshold im Cmdlet Set-Mailbox verwenden . |
Hinweise:
Sie können den SCL-Junk-Email Ordnerschwellenwert für ein Postfach deaktivieren, indem Sie die Junk-E-Mail-Regel im Postfach deaktivieren. Das Deaktivieren der Regel verhindert jedoch auch, dass die Regel die Sammlung der sicheren Absender des Postfachs (Liste sicherer Absender, Liste sicherer Empfänger, Liste blockierter Absender) verwendet, um Nachrichten in den Junk-Email Ordner zu verschieben oder Nachrichten aus dem Junk-Email Ordner zu behalten.
Auch wenn die Junk-E-Mail-Regel im Postfach deaktiviert ist und der SCL-Schwellenwert des Junk-E-Mail-Ordners für das Postfach deaktiviert ist, kann der clientseitige Outlook-Junk-E-Mail-Filter weiterhin Nachrichten in den Junk-E-Mail-Ordner verschieben.
Weitere Informationen finden Sie im Thema Configure Exchange antispam settings on mailboxes.
Überwachen der SCL-Schwellenwerte
Sie können mehrere integrierte Skripts verwenden, die %ExchangeInstallPath%Scripts sich im Ordner befinden, z. B.Get-AntispamSCLHistogram.ps1, um Ergebnisdaten zu filtern. Wenn die Daten anzeigen, dass sofortige Anpassungen erforderlich sind, konfigurieren Sie die SCL-Schwellenwerte erneut. Erfassen Sie andernfalls die Daten, und analysieren Sie die Spamberichte, damit Sie bestimmen können, ob Anpassungen erforderlich sind.