SCL-Schwellenwerte (Spam Confidence Level) in Exchange

[Dieses Thema gehört zur Vorabdokumentation und kann in künftigen Versionen geändert werden. Leere Themen wurden als Platzhalter hinzugefügt. Wenn Sie Feedback dazu haben, freuen wir uns über Ihre Nachricht. Senden Sie uns eine E-Mail an: ExchangeHelpFeedback@microsoft.com.]  

Gilt für:Exchange Server 2016

Informationen zum Minimieren von Spam in Exchange 2016 durch Konfigurieren und Anpassen der SCL-Schwellenwerte (Spam Confidence Level, SCL)

noteHinweis:
Am 1. November 2016 wurde in Microsoft die Generierung von Spamdefinitionsupdates für die SmartScreen-Filter in Exchange und Outlook beendet. Die vorhandenen SmartScreen-Spamdefinitionen bleiben bestehen, ihre Effektivität wird aber im Laufe der Zeit wahrscheinlich abnehmen. Weitere Informationen finden Sie unter Veraltete Unterstützung für SmartScreen in Outlook und Exchange.

In Exchange Server 2016 können Sie bestimmte Aktionen für Nachrichten gemäß den Schwellenwerten der SCL-Bewertung (Spam Confidence Level) definieren. Sie können z. B. verschiedene Schwellenwerte für das Zurückweisen, Löschen oder Verschieben von Nachrichten in den Quarantäneordner auf einem Exchange-Server definieren, auf dem der Inhaltsfilter-Agent ausgeführt wird. Diese SCL-Schwellenwerte und Aktionen wurden weitgehend aus Exchange Server 2010 übernommen.

Der Inhaltsfilter-Agent weist zu einem späten Zeitpunkt im Antispamzyklus eine SCL-Bewertung für Nachrichten zu, nachdem andere Antispam-Agents eingehende Nachrichten verarbeitet haben. Viele der anderen Antispam-Agents, die eingehende Nachrichten verarbeiten, bevor diese vom Inhaltsfilter-Agent verarbeitet werden, sind absolut hinsichtlich der Aktionen für eine Nachricht. Der Verbindungsfilter-Agent auf einem Edge-Transport-Server weist z. B. Nachrichten zurück, die von einer in einer Echtzeit-Sperrliste enthaltenen IP-Adresse gesendet wurden. Auf ähnliche Weise werden Nachrichten vom Absenderfilter-Agent basierend auf einer Liste blockierter Absender und vom Empfängerfilter-Agent basierend auf einer Liste blockierter Empfänger blockiert. Wenn Nachrichten zuerst verarbeitet werden, können die anderen Antispam-Agents die Anzahl von Nachrichten deutlich verringern, (in den meisten Fällen absolut unerwünschte Nachrichten), die vom Inhaltsfilter-Agent verarbeitet werden müssen. Weitere Informationen zur Reihenfolge, in der Antispam-Agents Nachrichten verarbeiten, finden Sie unter Antispamschutz in Exchange 2016.

Da die Inhaltsfilterung zu keinem genauen Resultat führt, ist es wichtig zu wissen, wie die Aktionen des Inhaltsfilter-Agents basierend auf unterschiedlichen SCL-Werten angepasst werden können. Durch sorgfältiges Überwachen und Anpassen der SCL-Schwellenwerte können Sie die folgenden Bedingungen minimieren:

  • Die Anzahl der Nachrichten in einem Spamquarantänepostfach und seine Größe

  • Die Anzahl von legitimen E-Mail-Nachrichten, die fälschlicherweise unter Quarantäne gestellt oder in den Junk-E-Mail-Ordner des Benutzers (falsch positive Ergebnisse) verschoben wurden

  • Die Anzahl unerwünschter Spam-E-Mail-Nachrichten, die im Postfach des Benutzers eingehen (Nachrichten sollten nicht einmal im Junk-E-Mail-Ordner eingehen)

  • Die Anzahl der Spam-E-Mail-Nachrichten, die im Posteingang des Benutzers eingehen

Die Kombination dieser SCL-Schwellenwerte im Inhaltsfilter-Agent und der SCL-Schwellenwerte des Junk-E-Mail-Ordners für das Benutzerpostfach unterstützt Sie beim Implementieren einer umfassenderen und genaueren Antispamstrategie, die die Gesamtkosten der Bereitstellung und Verwaltung einer Antispamlösung innerhalb der gesamten Exchange-Organisation verringern kann.

Durch Anpassen der SCL-Schwellenwertaktionen können Sie die Inhaltsfilteraktion eskalieren, die für Nachrichten ausgeführt wird, bei denen eine höhere Wahrscheinlichkeit für Spam besteht. Zum Verständnis dieser Funktion ist es hilfreich, die verschiedenen SCL-Schwellenwertaktionen sowie deren Implementierung zu verstehen:

  • SCL-Schwellenwert zum Löschen   Wenn der SCL-Wert der Nachricht größer oder gleich dem SCL-Schwellenwert zum Löschen ist, löscht der Inhaltsfilter-Agent die Nachricht automatisch. Es findet keine Kommunikation auf Protokollebene statt, die den Quellmessagingserver oder den Absender informiert, dass die Nachricht gelöscht wurde. Wenn der SCL-Wert der Nachricht kleiner als der SCL-Schwellenwert zum Löschen ist, vergleicht der Inhaltsfilter-Agent den SCL-Wert mit dem SCL-Schwellenwert zum Zurückweisen.

  • SCL-Schwellenwert zum Zurückweisen   Wenn der SCL-Wert der Nachricht größer als oder gleich dem SCL-Schwellenwert zum Zurückweisen und kleiner als der SCL-Schwellenwert zum Löschen ist, weist der Inhaltsfilter-Agent die Nachricht zurück und sendet eine Zurückweisungsantwort an das sendende System. Sie können die Zurückweisungsantwort anpassen. In einigen Fällen wird ein Unzustellbarkeitsbericht (auch NDR, Benachrichtigung über den Zustellungsstatus, DSN oder Unzustellbarkeitsnachricht genannt) an den ursprünglichen Absender der Nachricht gesendet. Wenn der SCL-Wert der Nachricht kleiner ist als der SCL-Schwellenwert zum Zurückweisen, vergleicht der Inhaltsfilter-Agent den SCL-Wert mit dem SCL-Schwellenwert zum Isolieren.

  • SCL-Schwellenwert zum Isolieren   Wenn der SCL-Wert der Nachricht größer als oder gleich dem SCL-Schwellenwert zum Isolieren und kleiner als der SCL-Schwellenwert zum Zurückweisen ist, sendet der Inhaltsfilter-Agent die Nachricht an das Quarantänepostfach für Spam. Weitere Informationen zum Konfigurieren des Spamquarantänepostfachs finden Sie unter Konfigurieren eines Spamquarantänepostfachs.

    Administratoren müssen in regelmäßigen Abständen das Spamquarantänepostfach überprüfen, um festzustellen, ob nicht zu viele offensichtliche Spamnachrichten unnötigerweise isoliert (der SCL-Schwellenwert zum Isolieren ist zu hoch), und ob nicht zu viele legitime E-Mails isoliert werden (der SCL-Schwellenwert zum Isolieren ist zu niedrig). Informationen zum Anzeigen der Ergebnisse von Antispamtests für Nachrichten in Quarantäne finden Sie unter Anzeigen von Antispamstempeln in Outlook.

    Wenn der SCL-Wert der Nachricht kleiner ist als der SCL-Schwellenwert zum Isolieren, wird die Nachricht an den entsprechenden Postfachserver übermittelt, auf dem der SCL-Schwellenwert des Junk-E-Mail-Ordners für die Organisation oder das Postfach ausgewertet wird.

  • SCL-Schwellenwert des Junk-E-Mail-Ordner   Wenn der SCL-Wert der Nachricht größer ist als der SCL-Schwellenwert des Junk-E-Mail-Ordners, der für die Organisation oder das Postfach konfiguriert ist, wird die Nachricht an den Junk-E-Mail-Ordner übermittelt. Wenn der SCL-Wert der Nachricht kleiner als oder gleich dem Schwellenwert des Junk-E-Mail-Ordners ist, wird die Nachricht an den Posteingang übermittelt.

    Im Gegensatz zu anderen SCL-Schwellenwerten, die vom Inhaltsfilter-Agent gesteuert werden, wird der SCL-Schwellenwert des Junk-E-Mail-Ordners von der Junk-E-Mail-Regel (eine ausgeblendete Posteingangsregel mit dem Namen „Junk-E-Mail-Regel“) gesteuert, die in jedem Postfach standardmäßig aktiviert ist. Der Inhaltsfilter-Agent weist einer Nachricht den SCL-Wert zu, die Junk-E-Mail-Regel ist jedoch für die Zustellung der Nachricht an den Junk-E-Mail-Ordner zuständig. Weitere Informationen finden Sie unter Verwenden der.

Der Inhaltsfilter-Agent und der Junk-E-Mail-Ordner verarbeiten den SCL-Schwellenwert auf unterschiedliche Weise. Der Inhaltsfilter-Agent verwendet für den SCL-Schwellenwert einen größeren oder gleichen Wert, der Junk-E-Mail-Ordner verwendet einen größeren. Wenn Sie beispielsweise für den Löschvorgang im Inhaltsfilter-Agent einem SCL-Schwellenwert von 8 konfigurieren, werden alle Nachrichten mit einem SCL von 8 oder höher im Hintergrund gelöscht. Wenn Sie den Junk-E-Mail-Ordner jedoch mit einem SCL-Schwellenwert von 4 konfigurieren, werden alle Nachrichten mit einem SCL von 5 oder höher in den Junk-E-Mail-Ordner verschoben. Nachrichten mit einem SCL von 4 oder niedriger werden hingegen an den Posteingang gesendet.

Sie können die SCL-Schwellenwerte an den folgenden Stellen konfigurieren:

  • Serverkonfiguration   Die SCL-Schwellenwerte zum Löschen, Zurückweisen und Isolieren im Inhaltsfilter-Agent.

  • Organisationskonfiguration   Den SCL-Schwellenwert des Junk-E-Mail-Ordners für die Exchange-Organisation.

  • Postfachkonfiguration   Die SCL-Schwellenwerte für bestimmte Postfächer.

Sie können das Set-ContentFilterConfig-Cmdlet zum Konfigurieren der SCL-Schwellenwerte zum Löschen, Zurückweisen und Isolieren auf dem Edge-Transport-Server oder dem Postfachserver verwenden, auf dem der Inhaltsfilter-Agent ausgeführt wird. Nachdem Sie die Spamfunktionen und -messgrößen analysiert haben, die von den Antispamprotokollierungs- und -Berichtsfunktionen bereitgestellt werden, können Sie nach Bedarf weitere Anpassungen an diesen SCL-Schwellenwerten vornehmen.

In der folgenden Tabelle sind die SCL-Schwellenwertparameter beschrieben, die mit dem Set-ContentFilterConfig-Cmdlet verwendet werden können.

 

Parameter Beschreibung

SCLDeleteEnabled

Aktiviert und deaktiviert den SCL-Schwellenwert zum Löschen. Gültige Werte sind $true und $false. Der Standardwert ist $false, d. h. der SCL-Schwellenwert zum Löschen ist standardmäßig deaktiviert.

Sie können den SCL-Schwellenwert zum Löschen mit dem SCLDeleteThreshold-Parameter festlegen.

SCLDeleteThreshold

Der SCL-Wert, der verwendet wird, wenn der SCL-Schwellenwert zum Löschen aktiviert ist. Eine Nachricht mit einem SCL-Wert, der größer als oder gleich diesem Wert ist, wird automatisch gelöscht. Der Maximalwert beträgt 9, dies ist auch der Standardwert.

Wenn Sie den SCL-Schwellenwert zum Löschen aktivieren, sollte dieser Wert größer als alle anderen SCL-Schwellenwerte sein.

SCLRejectEnabled

Aktiviert und deaktiviert den SCL-Schwellenwert zum Zurückweisen. Gültige Werte sind $true und $false. Der Standardwert ist $true, d. h. der SCL-Schwellenwert zum Zurückweisen ist standardmäßig aktiviert.

Sie können den SCL-Schwellenwert zum Zurückweisen mit dem SCLRejectThreshold-Parameter festlegen.

SCLRejectThreshold

Der SCL-Wert, der verwendet wird, wenn der SCL-Schwellenwert zum Zurückweisen aktiviert ist. Eine Nachricht mit einem SCL-Wert, der größer als oder gleich diesem Wert ist, wird zurückgewiesen, und ein Unzustellbarkeitsbericht wird an den Absender gesendet. Der Maximalwert lautet 9, und der Standardwert lautet 7.

Wenn Sie den SCL-Schwellenwert zum Zurückweisen aktivieren, sollte dieser Wert kleiner sein als der SCL-Schwellenwert zum Löschen und größer sein als der SCL-Schwellenwert zum Isolieren und der Schwellenwert des Junk-E-Mail-Ordners.

SCLQuarantineEnabled

Aktiviert und deaktiviert den SCL-Schwellenwert zum Isolieren. Gültige Werte sind $true und $false. Der Standardwert ist $false, d. h. der SCL-Schwellenwert zum Isolieren ist standardmäßig deaktiviert.

Sie können den SCL-Schwellenwert zum Isolieren mit dem SCLQuarantineThreshold-Parameter festlegen.

Weitere Informationen zum Konfigurieren des Spamquarantänepostfachs, das für Nachrichten in Quarantäne erforderlich ist, finden Sie unter Konfigurieren eines Spamquarantänepostfachs.

SCLQuarantineThreshold

Der SCL-Wert, der verwendet wird, wenn der SCL-Schwellenwert zum Isolieren aktiviert ist. Eine Nachricht mit einem SCL-Wert, der größer als oder gleich diesem Wert ist, wird an das Spamquarantänepostfach umgeleitet. Der Maximalwert beträgt 9, dies ist auch der Standardwert.

Wenn Sie den SCL-Schwellenwert zum Isolieren aktivieren, sollte dieser Wert kleiner sein als der SCL-Schwellenwert zum Zurückweisen und größer sein als der SCL-Schwellenwert des Junk-E-Mail-Ordners (der SCLJunkThreshold-Parameter der Set-OrganizationConfig- oder Set-Mailbox-Cmdlets).

Beispiele für Konfigurationen von SCL-Schwellenwerten im Inhaltsfilter-Agent finden Sie unter Verwenden der Exchange-Verwaltungsshell zum Konfigurieren der SCL-Schwellenwerte für Inhaltsfilterung.

Sie können den SCLJunkThreshold-Parameter im Set-OrganizationConfig-Cmdlet zum Festlegen des SCL-Schwellenwerts des Junk-E-Mail-Ordners für alle Postfächer in der Organisation verwenden. Dies ist der einzige SCL-Schwellenwert, den Sie auf Organisationsebene konfigurieren können. Der SCL-Wert wird Nachrichten in der Regel vom Inhaltsfilter-Agent zugewiesen.

In der folgenden Tabelle ist der Set-OrganizationConfig-Parameter im SCLJunkThreshold-Cmdlet beschrieben.

 

Parameter Beschreibung

SCLJunkThreshold

Der SCL-Wert, der verwendet wird, wenn die Junk-E-Mail-Regel im Postfach aktiviert ist und kein SCL-Schwellenwert des Junk-E-Mail-Ordners für das Postfach konfiguriert ist.

Eine Nachricht mit einem SCL-Wert, der größer ist als dieser Wert, wird von der Junk-E-Mail-Regel in den Junk-E-Mail-Ordner verschoben. Der Maximalwert lautet 9, und der Standardwert lautet 4. Nachrichten mit einem SCL-Wert von 5 oder größer werden in den Junk-E-Mail-Ordner verschoben, und Nachrichten mit einem SCL-Wert von 4 oder kleiner werden an den Posteingang übermittelt.

Hinweise:

  • Der SCL-Schwellenwert des Junk-E-Mail-Ordners ist standardmäßig aktiviert, da die Junk-E-Mail-Regel in allen Postfächern standardmäßig aktiviert ist. Wenn die Junk-E-Mail-Regel im Postfach deaktiviert ist, ist der SCL-Schwellenwert des Junk-E-Mail-Ordners (für die Organisation oder das Postfach) für das Postfach deaktiviert.

  • Sie können die Junk-E-Mail-Regel in einem Postfach deaktivieren, indem Sie den Enabled-Parameter im Set-MailboxJunkEmailConfiguration-Cmdlet verwenden, nachdem das Postfach in Outlook (im Exchange-Cachemodus) oder Outlook im Web geöffnet wurde.

  • Sie können die Verfügbarkeit der Junk-E-Mail-Einstellungen in Outlook im Web steuern und so die Benutzer daran hindern, die Junk-E-Mail-Regel in ihrem eigenen Postfach zu aktivieren bzw. zu deaktivieren.

Weitere Informationen finden Sie im Thema Konfigurieren von Exchange-Antispameinstellungen für Postfächer.

Sie können das Set-Mailbox-Cmdlet zum Konfigurieren aller SCL-Schwellenwerte für ein Postfach verwenden. Für das Set-ContentFilterConfig-Cmdlet können dieselben SCL-Parameter verwendet werden wie für das Set-Mailbox-Cmdlet:

  • SCLDeleteEnabled

  • SCLDeleteThreshold

  • SCLRejectEnabled

  • SCLRejectThreshold

  • SCLQuarantineEnabled

  • SCLQuarantineThreshold

Im Gegensatz zu den SCL-Schwellenwertparametern in Set-ContentFilterConfig ist für die Parameter im Set-Mailbox-Cmdlet auch der Wert $null zulässig (der Wert ist leer), welcher dem Standardwert für alle SCL-Schwellenwerte für das Postfach entspricht. Dieser Standardwert gibt an, dass keine SCL-Schwellenwerte für das Postfach konfiguriert sind. Der Inhaltsfilter-Agent verwendet daher eigene SCL-Schwellenwerteinstellungen für Nachrichten, die an das Postfach gesendet werden.

Wenn Sie einen SCL-Schwellenwert für ein Postfach konfigurieren (der Wert ist nicht leer), setzt die Einstellung den entsprechenden SCL-Schwellenwert im Inhaltsfilter-Agent für an das Postfach gesendete Nachrichten außer Kraft. Die SCL-Schwellenwerte, die Sie für das Postfach konfigurieren, werden in Active Directory gespeichert und von Microsoft Exchange EdgeSync-Dienst auf abonnierte Edge-Transport-Server repliziert.

Die Ergebnisse für den SCLJunkThreshold-Parameter, der in Set-OrganizationConfig und Set-Mailbox verfügbar ist, sind ähnlich: Der SCL-Schwellenwert des Junk-E-Mail-Ordners, den Sie für das Postfach konfigurieren (der Wert ist nicht leer), setzt den SCL-Wert in der Organisation für an das Postfach gesendete Nachrichten außer Kraft.

noteHinweis:
SCL-Schwellenwerte für ein Postfach werden nicht für Nachrichten erzwungen, die von Verteilergruppen empfangen werden.

Die SCL-Schwellenwerteinstellung, die für ein Postfach eindeutig ist, ermöglicht das Aktivieren oder Deaktivieren des SCL-Schwellenwerts des Junk-E-Mail-Ordners. In der folgenden Tabelle ist der SCLJunkEnabled-Parameter beschrieben, der ausschließlich mit dem Set-Mailbox-Cmdlet verwendet werden kann.

 

Parameter Beschreibung

SCLJunkEnabled

Aktiviert und deaktiviert den SCL-Schwellenwert des Junk-E-Mail-Ordners für das Postfach. Gültige Werte sind $true,$false oder $null (leer). Der Standardwert ist leer ($null), d. h. der SCL-Schwellenwert des Junk-E-Mail-Ordners ist nicht für das Postfach konfiguriert und wird in Abhängigkeit davon gesteuert, ob die Junk-E-Mail-Regel für das Postfach aktiviert oder deaktivert ist.

Der Standardwert für den SCL-Schwellenwert des Junk-E-Mail-Ordners wird vom SCLJunkThreshold-Parameter im Set-OrganizationConfig-Cmdlet festgelegt. Sie können diesen Wert für das Postfach mit dem SCLJunkThreshold-Parameter im Set-Mailbox-Cmdlet außer Kraft setzen.

Hinweise:

  • Sie können den SCL-Schwellenwert des Junk-E-Mail-Ordner für ein Postfach deaktivieren, indem Sie die Junk-E-Mail-Regel im Postfach deaktivieren. Beim Deaktivieren der Regel wird auch die Regel daran gehindert, Nachrichten in den Junk-E-Mail-Ordner basierend auf der Sammlung von Listen sicherer Adressen (Liste sicherer Absender, Liste sicherer Empfänger, Liste blockierter Absender) zu verschieben bzw. nicht zu verschieben.

  • Auch wenn die Junk-E-Mail-Regel im Postfach deaktiviert ist und der SCL-Schwellenwert des Junk-E-Mail-Ordners für das Postfach deaktiviert ist, kann der clientseitige Outlook-Junk-E-Mail-Filter weiterhin Nachrichten in den Junk-E-Mail-Ordner verschieben.

Weitere Informationen finden Sie im Thema Konfigurieren von Exchange-Antispameinstellungen für Postfächer.

Zum Erfassen von Filterergebnisdaten können Sie verschiedene integrierte Skripts verwenden, die sich im Ordner %ExchangeInstallPath%Scripts befinden (z. B. get-AntispamSCLHistogram.ps1). Wenn die Daten anzeigen, dass sofortige Anpassungen erforderlich sind, konfigurieren Sie die SCL-Schwellenwerte erneut. Erfassen Sie andernfalls die Daten, und analysieren Sie die Spamberichte, damit Sie bestimmen können, ob Anpassungen erforderlich sind.

 
Anzeigen: