Transport- und Nachrichtenflussfeatures in Exchange Server 2003

  • Artikel

 

Letztes Änderungsdatum des Themas: 2006-05-02

In Microsoft® Exchange Server 2003 werden einige neue Features und Funktionen zur Verbesserung des Transports und des Nachrichtenflusses eingeführt. In diesem Thema werden die folgenden Aspekte erläutert:

  • Verbesserung des Verbindungsstatus
    In diesem Abschnitt wird beschrieben, wie die Verbesserung des Verbindungsstatus die Menge der innerhalb der Exchange-Organisation replizierten Verbindungsstatusinformationen reduziert, wodurch Leistungseinbußen verringert werden.
  • Konfigurieren der gesamtstrukturübergreifenden Authentifizierung
    Da Exchange 2003 das Fälschen von E-Mail-Adressen verhindert, müssen Sie bestimmte Konfigurationsschritte ausführen, um die gesamtstrukturübergreifende Authentifizierung zu aktivieren. In diesem Abschnitt wird veranschaulicht, wie die gesamtstrukturübergreifende Authentifizierung aktiviert wird.
  • Internet Mail-Assistent
    Exchange 2003 enthält eine neue Version des Internet Mail-Assistenten, der Sie durch die Konfiguration der Internet Mail-Übermittlung in Ihrer Organisation führt. In diesem Abschnitt wird erläutert, wie Sie den Assistenten zum Einrichten der Internet Mail-Übermittlung verwenden.
  • Diagnoseprotokollierung und Codes für Benachrichtigungen über den Übermittlungsstatus (DSN)
    Exchange 2003 bietet jetzt Diagnoseprotokollierung für Benachrichtigungen über den Übermittlungsstatus (DSNs). Außerdem wurden einige neue DSN-Codes implementiert. In diesem Abschnitt wird die Konfiguration der DSN-Diagnoseprotokollierung sowie die verfügbaren, neuen DSN-Codes von Exchange 2003 erläutert.
  • Unterstützung für das Verschieben der X.400- (MTA-) und SMTP-Warteschlangenverzeichnisse
    In Exchange 2003 können Sie mithilfe des Exchange-System-Managers den Speicherort der SMTP- und X.400-Warteschlangendaten ändern. In diesem Abschnitt erhalten Sie detaillierte Informationen darüber, wie Sie den Exchange-System-Manager verwenden, um Warteschlangenverzeichnisse zu verschieben.
  • Verbindungsfilterung
    Exchange 2003 unterstützt eine Verbindungsfilterung auf der Grundlage von Sperrlisten. In diesem Abschnitt wird die Funktionsweise der Verbindungsfilterung und deren Einrichtung auf einem Exchange-Server beschrieben.
  • Empfängerfilterung
    Exchange 2003 unterstützt außerdem die Empfängerfilterung. Auf diese Weise können E-Mail-Nachrichten an Benutzer, die sich nicht im Microsoft Active Directory®-Verzeichnisdienst befinden, sowie E-Mail-Nachrichten, die an festgelegte Empfänger unerwünschter kommerzieller E-Mail-Nachrichten gerichtet sind, problemlos gefiltert werden.
  • Neu in SP2: Absenderkennungsfilterung
    In Exchange Server 2003 SP2 können Absenderkennungsfilterungs-Feautures verwendet werden. Bei der Absenderkennung handelt es sich um eine Initiative der E-Mail-Anbieter, die einen größeren Schutz vor unerwünschten kommerziellen E-Mail-Nachrichten und Phishing ermöglicht. Mithilfe der Absenderkennung kann insbesondere der Missbrauch von Domänen verhindert werden.
  • Neu in SP2: Intelligente Nachrichtenfilterung
    Beim Installieren von Exchange Server 2003 SP2 wird auch die intelligente Nachrichtenfilterung installiert.
  • So wenden Sie die aktivierten Filter an
    In diesem Abschnitt wird die Anwendung der Filter und Einschränkungen bei einer SMTP-Sitzung erläutert.
  • Verbesserte Möglichkeiten zum Einschränken der Übertragung an virtuelle SMTP-Server
    In diesem Abschnitt erhalten Sie Informationen zum Einschränken der Übertragung basierend auf Sicherheitsgruppen von Exchange 2003.
  • Verbesserte Möglichkeiten zum Einschränken der Weiterleitung auf einem virtuellen SMTP-Server
    In diesem Abschnitt erhalten Sie Informationen zum Einschränken der Weiterleitung basierend auf Sicherheitsgruppen von Exchange 2003.

Exchange 2003 bietet darüber hinaus die folgenden neuen Features zur Verbesserung der Übermittlung und der Übertragung von E-Mail-Nachrichten:

  • Einen neuen, als abfragebasierte Verteilergruppe bezeichneten Verteilergruppentyp, mit dem unter Verwendung einer LDAP-Abfrage Mitgliedschaften in Verteilergruppen dynamisch erstellt werden können. Weitere Informationen finden Sie in „Abfragebasierte Verteilergruppen“ und „Verbesserte Nachrichtenverfolgung“ unter Verwaltungsfeatures in Exchange Server 2003.
  • Sie können jetzt die Anzahl der Personen einschränken, die E-Mail-Nachrichten an eine Verteilergruppe senden dürfen. Weitere Informationen finden Sie in „Verbesserte Möglichkeiten zur Einschränkung von Übermittlungen an Benutzer und Verteilergruppen (Eingeschränkte Verteilergruppen)“ unter Verwaltungsfeatures in Exchange Server 2003.
  • Sie haben in Exchange 2003 die Möglichkeit, Nachrichten nach der Kategorisierung (dabei handelt es sich um die Phase, in der Benutzer gesucht und Verteilergruppen in einzelne Empfänger aufgelöst werden) und während des Routingvorgangs zu verfolgen. Weiterhin können Sie mithilfe des Exchange-System-Managers Nachrichtenprotokolldateien verschieben. Weitere Informationen finden Sie in „Verbesserte Nachrichtenverfolgung“ unter Verwaltungsfeatures in Exchange Server 2003.
  • Die Warteschlangenanzeige wurde verbessert. Es werden mehr Warteschlangen angezeigt, wodurch die Fehlerdiagnose bei der Nachrichtenübertragung vereinfacht wird. Weitere Informationen finden Sie in „Verbesserungen der Warteschlangenanzeige“ unter Verwaltungsfeatures in Exchange Server 2003.
  • Durch das in den Postfachspeichern verfügbare Archivierungsfeature lassen sich alle Empfänger archivieren, einschließlich Bcc-Empfängern. Weitere Informationen finden Sie in „Einbeziehen von Bcc-Empfängern in archivierte Nachrichten“ unter Verwaltungsfeatures in Exchange Server 2003.

Verbesserung des Verbindungsstatus

Exchange verwendet Verbindungsstatusrouting, um je nach derzeitigem Status der Messagingverbindungen und der Kosten die geeignete Übertragungsmethode zwischen Servern festzulegen. Wenn kein anderer Pfad für die Nachricht vorhanden ist bzw. eine Verbindung oszilliert (d. h., eine Verbindung ist in kurzen Abständen abwechselnd verfügbar und nicht verfügbar), verbessert Exchange 2003 die Übertragung der Verbindungsstatusinformationen. Exchange 2003 reduziert den Umfang der Verbindungsstatusinformationen, indem versucht wird festzustellen, ob der Verbindungsstatus oszillierend ist oder kein anderer Pfad existiert. Wenn eine dieser Bedingungen zutrifft, unterdrückt Exchange die Verbindungsstatusinformationen.

Verbesserte Verfügbarkeit des Verbindungsstatus

In Exchange 2003 ist der Verbindungsstatus immer als verfügbar gekennzeichnet, auch wenn kein anderer Pfad für eine Verbindung verfügbar ist. Exchange ändert den Verbindungsstatus nicht mehr in Nicht verfügbar, wenn kein anderer Pfad vorhanden ist. Zu versendende Nachrichten werden von Exchange stattdessen in einer Warteschlange angeordnet und übertragen, wenn die Route zur Verfügung steht. Mit dieser Änderung wird die Leistung verbessert, da weniger Verbindungsstatusinformationen weitergegeben werden.

Verbesserungen des Verbindungsstatus für oszillierende Verbindungen

Eine weitere wichtige Änderung beim Verbindungsstatusrouting von Exchange 2003 betrifft oszillierende Verbindungen. Exchange 2003 überprüft die Verbindungsstatuswarteschlange. Wenn bei einem Connector in einem bestimmten Intervall mehrere Statusänderungskonflikte auftreten, wird dieser Connector als oszillierende Verbindung eingestuft, und der Verbindungsstatus bleibt verfügbar. Es ist besser, einen oszillierenden Connector aktiviert zu lassen als dessen Verbindungsstatus fortlaufend zu ändern. Dadurch wird der Umfang der zwischen den Servern übertragenen Verbindungsstatusinformationen deutlich reduziert.

Konfigurieren einer gesamtstrukturübergreifenden SMTP-Mail-Collaboration

Um gefälschte Identitäten (Spoofing) zu verhindern, erfordert Exchange 2003 eine Authentifizierung, bevor der Name eines Absenders in den Anzeigenamen in der Globalen Adressliste (GAL) aufgelöst wird. Aus diesem Grund wird ein Benutzer in einer Organisation, die sich über zwei Gesamtstrukturen erstreckt, beim Senden von Nachrichten von einer Gesamtstruktur in die andere nicht authentifiziert. Außerdem wird der Name des Benutzers nicht in einen Anzeigenamen in der globalen Adressliste (GAL) aufgelöst, auch wenn der Benutzer in der Zielgesamtstruktur als Kontakt vorhanden ist.

Für die Aktivierung von gesamtstrukturübergreifenden E-Mail-Nachrichten in Exchange 2003 sind weitere Konfigurationsschritte erforderlich, um Kontakte außerhalb Ihrer Organisation in die Anzeigenamen in Active Directory auflösen zu können. Zum Aktivieren der Auflösung dieser Kontakte stehen zwei Optionen zur Verfügung:

  • Option 1 (empfohlen)   Verwenden Sie die Authentifizierung, sodass Benutzer, die E-Mail-Nachrichten von einer Gesamtstruktur in eine andere senden, authentifizierte Benutzer sind, deren Namen in die Anzeigenamen in der globalen Adressliste (GAL) aufgelöst werden.
  • Option 2   Schränken Sie den Zugriff auf den virtuellen SMTP-Server ein, der für gesamtstrukturübergreifende Zusammenarbeit verwendet wird, und konfigurieren Sie anschließend Exchange für die Auflösung anonymer E-Mail-Nachrichten. Diese Konfiguration wird zwar unterstützt, es empfiehlt sich jedoch nicht, sie zu verwenden. In der Standardeinstellung werden bei dieser Konfiguration die Exch50-Nachrichteneigenschaften (dies sind die erweiterten Eigenschaften einer Nachricht) bei der Übertragung von E-Mail-Nachrichten zwischen Gesamtstrukturen nicht übernommen.

Zum besseren Verständnis der Vorteile einer gesamtstrukturübergreifenden Übertragungskonfiguration sind nachfolgend zwei Beispielszenarios aufgeführt, eines mit anonymer E-Mail-Übertragung und eines mit authentifizierter gesamtstrukturübergreifender E-Mail-Übertragung.

Szenario: Anonyme E-Mail-Übertragung

E-Mail-Adressen werden bei der anonymen Übertragung nicht aufgelöst. Dadurch kann ein anonymer Benutzer mit einer gefälschten E-Mail-Adresse eines internen Benutzers zwar Nachrichten senden, deren Absenderadresse wird jedoch nicht in den Anzeigenamen der Globalen Adressliste (GAL) aufgelöst.

Beispiel:

Kim Akers ist als berechtigte interne Benutzerin in der Organisation Northwind Traders registriert. In der globalen Adressliste hat sie den Anzeigenamen Kim Akers und die E-Mail-Adresse kim@northwindtraders.com.

Kim muss zum Senden von E-Mail-Nachrichten authentifiziert sein. Da sie authentifiziert ist, sehen die Empfänger ihrer Nachrichten, dass Kim der Absender ist. Außerdem werden die Eigenschaften der Benutzerin Kim Akers in der GAL angezeigt. Wenn jedoch Ted Bremer versucht, Kims Adresse zu fälschen, indem er in die Zeile Von die Adresse kim@northwindtraders.com eingibt und diese Nachricht anschließend an den Exchange 2003-Server von Northwind Traders sendet, wird diese Adresse nicht in den Anzeigenamen von Kim aufgelöst, da Ted nicht authentifiziert ist. Beim Anzeigen dieser E-Mail-Nachricht in Microsoft Office Outlook® wird daher die Absenderadresse kim@northwindtraders.com angezeigt. Die E-Mail-Adresse wird nicht in den Anzeigenamen Kim Akers aufgelöst, wie dies bei authentifizierten E-Mail-Nachrichten von Kim der Fall ist.

Szenario: Gesamtstrukturübergreifende E-Mail-Übertragung

Bei diesem Szenario wird von einer Organisation ausgegangen, die sich über zwei Gesamtstrukturen erstreckt: die Gesamtstrukturen Adatum und Fabrikam. Beide Gesamtstrukturen verfügen jeweils über einzelne Domänen. Diese lauten adatum.com und fabrikam.com. Um die gesamtstrukturübergreifende E-Mail-Übertragung zu ermöglichen, sind alle Benutzer der Gesamtstruktur Adatum in Active Directory für die Gesamtstruktur Fabrikam als Kontakte verzeichnet. Ebenso werden alle Benutzer der Gesamtstruktur Fabrikam als Kontakte in Active Directory für die Gesamtstruktur Adatum angezeigt.

Wenn ein Benutzer der Adatum-Gesamtstruktur eine Nachricht an die Fabrikam-Gesamtstruktur sendet und diese über eine anonyme Verbindung übertragen wird, wird die Absenderadresse nicht aufgelöst, obwohl der Absender in Active Directory und im Globalen Adressbuch von Outlook als Kontakt vorhanden ist. Dies liegt darin begründet, dass Benutzer aus der Adatum-Gesamtstruktur keine authentifizierten Benutzer in der Fabrikam-Gesamtstruktur sind.

Beispiel:

Kim Akers ist eine Benutzerin in der Adatum-Gesamtstruktur. Ihre E-Mail-Adresse lautet kim@adatum.com, und ihr Anzeigename im Globalen Adressbuch (GAL) von Outlook ist Kim Akers. Adam Barr ist ein Benutzer in der Fabrikam-Gesamtstruktur. Seine E-Mail-Adresse lautet abarr@fabrikam.com, und sein Anzeigename im Globalen Adressbuch (GAL) von Outlook ist Adam Barr. Da Adam in der Adatum-Gesamtstruktur als Active Directory-Kontakt festgelegt ist, kann Kim die E-Mail-Nachrichten von Adam anzeigen lassen, und die E-Mail-Adresse von Adam wird im Globalen Adressbuch von Outlook in den Anzeigenamen Adam Barr aufgelöst. Wenn Adam eine E-Mail von Kim erhält, wird die E-Mail-Adresse nicht aufgelöst. Statt des Anzeigenamens von Kim, wie er im Globalen Adressbuch (GAL) eingerichtet ist, sieht Adam lediglich die unaufgelöste E-Mail-Adresse kim@adatum.com. Die E-Mail-Adresse von Kim wird nicht aufgelöst, da sie die E-Mail als anonymer Benutzer gesendet hat. Kim ist zwar beim Senden von Nachrichten authentifiziert, die Verbindung zwischen den beiden Gesamtstrukturen ist dies jedoch nicht.

Um sicherstellen zu können, dass die gesendeten Nachrichten einer Gesamtstruktur an die Empfänger in einer anderen Gesamtstruktur gelangen und die E-Mail-Adressen in die Anzeigenamen im Globalen Adressbuch (GAL) aufgelöst werden, sollte die gesamtstrukturübergreifende E-Mail-Übertragung aktiviert sein. In den folgenden Abschnitten werden die beiden verfügbaren Optionen für die Konfiguration der E-Mail-Übertragung zwischen zwei Gesamtstrukturen beschrieben.

Aktivieren der gesamtstrukturübergreifenden Authentifizierung

Um die gesamtstrukturübergreifende SMTP-Authentifizierung zu aktivieren, müssen Sie in jeder Gesamtstruktur einen Connector erstellen, der ein authentifiziertes Konto der jeweils anderen Gesamtstruktur verwendet. Dadurch wird bei jeder zwischen den beiden Gesamtstrukturen von einem authentifizierten Benutzer gesendeten E-Mail der Anzeigename in der Globalen Adressliste (GAL) aufgelöst. In diesem Abschnitt wird beschrieben, wie die gesamtstrukturübergreifende Authentifizierung aktiviert wird.

Führen Sie die folgenden Schritte unter Verwendung der Adatum- und Fabrikam-Beispielgesamtstruktur aus (siehe Abschnitt „Gesamtstrukturübergreifende E-Mail-Übertragung“ in diem Thema), um die gesamtstrukturübergreifende Authentifizierung einzurichten.

  1. Erstellen Sie in der Fabrikam-Gesamtstruktur ein Konto mit der Berechtigung zum Senden im Auftrag von. (Für die Benutzer der Adatum-Gesamtstruktur besteht auch ein Kontakt in der Fabrikam-Gesamtstruktur.Dadurch können Adatum-Benutzer über dieses Konto authentifizierte E-Mail-Nachrichten senden.) Konfigurieren Sie diese Berechtigungen auf allen Exchange-Servern, die eingehende E-Mail-Nachrichten der Adatum-Gesamtstruktur akzeptieren.
  2. Erstellen Sie auf einem Exchange-Server in der Adatum-Gesamtstruktur einen Connector, der für dieses Konto Authentifizierung bei ausgehenden Nachrichten erfordert.

Um die gesamtstrukturübergreifende Authentifizierung von Fabrikam zu Adatum einzurichten, wiederholen Sie diese Schritte, wobei Sie das Konto in der Adatum-Gesamtstruktur und den Connector in der Fabrikam-Gesamtstruktur erstellen. Ausführliche Anweisungen finden Sie in „Aktivieren einer gesamtstrukturübergreifenden SMTP-Authentifizierung“ im Bereitstellungshandbuch für Exchange Server 2003.

Aktivieren der gesamtstrukturübergreifenden Übertragung durch Auflösen anonymer E-Mail-Nachrichten

Sie können Exchange auch für die Auflösung von Kontakten außerhalb Ihrer Organisation in ihre Anzeigenamen in Active Directory konfigurieren, indem Sie Exchange so einstellen, dass anonyme E-Mail-Nachrichten aufgelöst werden. Im folgenden Beispiel wird eine Organisation verwendet, die sich über zwei Gesamtstrukturen mit den Namen Adatum und Fabrikam erstreckt.

Wichtig

Wenn Sie Exchange so konfigurieren, dass anonyme E-Mail-Übertragungen aufgelöst werden, können Benutzer mit bösartigen Absichten Nachrichten mit falscher Absenderadresse senden. Authentifizierte E-Mail-Nachrichten lassen sich dadurch nicht mehr von gefälschten Nachrichten unterscheiden. Um diesem Problem vorzubeugen, sollten Sie sicherstellen, dass der Zugriff auf den virtuellen SMTP-Server auf die IP-Adressen Ihres Exchange-Servers beschränkt ist.

Führen Sie die folgenden Schritte aus, um Adatum-Kontakte in ihre Anzeigenamen in der Fabrikam-Gesamtstruktur aufzulösen:

  1. Erstellen Sie in der Adatum-Gesamtstruktur einen Connector, der eine Verbindung zur Fabrikam-Gesamtstruktur herstellt.
  2. Schränken Sie den Zugriff auf den virtuellen SMTP-Server auf dem empfangenden Bridgeheadserver der Fabrikam-Gesamtstruktur nach IP-Adressen ein. Dadurch wird sichergestellt, dass nur Server der Adatum-Gesamtstruktur Nachrichten an diesen Server übermitteln können.
  3. Aktivieren Sie auf dem virtuellen SMTP-Server, der als Host des Connectors fungiert, die Einstellung Anonyme E-Mails auflösen.
  4. Ändern Sie einen Registrierungsschlüssel, um die erweiterten Nachrichteneigenschaften (Exch50-Eigenschaften) für alle Gesamtstrukturen zu übernehmen. Andernfalls können wichtige Nachrichteninformationen verloren gehen.

Nachdem Sie diese Schritte ausgeführt haben, werden die E-Mail-Adressen aller Benutzer, die Nachrichten von der Adatum-Gesamtstruktur an die Fabrikam-Gesamtstruktur senden, in die Anzeigenamen der Globalen Adressliste von Fabrikam aufgelöst. Anschließend müssen Sie die Schritte 1 bis 3 für die Fabrikam-Gesamtstruktur ausführen.

Gehen Sie folgendermaßen vor:

  • Richten Sie in der Adatum-Gesamtstruktur einen Connector für die Verbindung mit Fabrikam ein.
  • Schränken Sie den Zugriff auf den empfangenden Bridgeheadserver in der Fabrikam-Gesamtstruktur ein.
  • Aktivieren Sie auf dem virtuellen SMTP-Server des empfangenden Bridgeheadservers Anonyme E-Mails auflösen, um die Adatum-Kontakte in der Fabrikam-Gesamtstruktur aufzulösen.

In einer Produktionsumgebung würden Sie die Schritte dieses Beispiels für die Fabrikam-Kontakte in der Adatum-Gesamtstruktur wiederholen.

Schritt 1: Erstellen eines Connectors in der Gesamtstruktur für die Verbindung

Zunächst muss in der verbindenden Gesamtstruktur ein Connector erstellt werden. Ausführliche Anweisungen finden Sie unter Erstellen eines Connectors in der verbindungsherstellenden Gesamtstruktur.

Ausführliche Anweisungen zum Erstellen des zur gesamtstrukturübergreifenden Authentifizierung verwendeten Kontos finden Sie unter „Erstellen des für die gesamtstrukturübergreifende Authentifizierung verwendeten Kontos“ im Transport- und Routing-Handbuch für Exchange-Server.

Exchange leitet nun alle E-Mail-Nachrichten über diesen Connector an fabrikam.com weiter (die Gesamtstruktur von Fabrikam).

Schritt 2: Beschränken der IP-Adressen für den empfangenden Bridgeheadserver

Nachdem Sie den Connector in der Gesamtstruktur von Adatum (der Gesamtstruktur für die Verbindung) erstellt haben, müssen Sie den Zugriff auf den empfangenden Bridgeheadserver beschränken. Dazu genehmigen Sie das Senden von E-Mail an den empfangenden Bridgeheadserver in der Gesamtstruktur von Fabrikam nur für IP-Adressen der Verbindungsserver in der Gesamtstruktur von Adatum.

Ausführliche Anweisungen finden Sie in „Beschränken des Zugriffs auf den empfangenden Bridgeheadserver nach IP-Adressen“ im Transport- und Routing-Handbuch für Exchange Server 2003.

Schritt 3: Auflösen von anonymer E-Mail auf dem virtuellen SMTP-Server

Nachdem Sie den Zugriff auf den empfangenden Bridgeheadserver beschränkt haben, müssen Sie den virtuellen SMTP-Server auf diesem Bridgehead für das Auflösen anonymer E-Mail-Adressen konfigurieren.

Ausführliche Anweisungen finden Sie in „Konfigurieren eines virtuellen SMTP-Servers für das Auflösen anonymer E-Mail-Adressen“ im Transport- und Routing-Handbuch für Exchange Server 2003.

Schritt 4: Aktivieren des Registrierungsschlüssels zum gesamtstrukturübergreifenden Beibehalten der Nachrichteneigenschaften

Wie zuvor bereits erläutert wurde, werden die erweiterten Eigenschaften einer Nachricht beim anonymen Senden über Gesamtstrukturen nicht übertragen. Für einzelne Unternehmen, die ein Szenario mit mehreren Gesamtstrukturen implementieren, müssen diese Nachrichteneigenschaften übertragen werden, da Informationen über die Nachricht verloren gehen können. Die SCL-Eigenschaft, eine erweiterte Exchange-Eigenschaft, enthält z. B. eine Spambewertung, die von Lösungen von Drittanbietern erstellt wird. Diese Eigenschaft wird beim anonymen Senden von E-Mail nicht übertragen. Wenn in der Gesamtstruktur von Adatum eine Antispamlösung eines Drittanbieters bereitgestellt wird und eine in dieser Gesamtstruktur empfangene Nachricht für einen Empfänger in der Gesamtstruktur von Fabrikam vorgesehen ist, wird die SCL-Eigenschaft zwar von der Lösung des Drittanbieters auf die Nachricht gestempelt, beim Weiterleiten der Nachricht an die Gesamtstruktur von Fabrikam wird die erweiterte Eigenschaft mit der Spambewertung jedoch nicht übernommen.

Um sicherzustellen, dass die erweiterten Nachrichteneigenschaften beim anonymen Senden von E-Mail zwischen den Gesamtstrukturen übertragen werden, müssen Sie auf dem empfangenden Bridgeheadserver einen Registrierungsschlüssel aktivieren.

Zum Konfigurieren von Exchange für das Akzeptieren der erweiterten Nachrichteneigenschaften können Sie auf dem empfangenden Bridgeheadserver oder auf dem virtuellen SMTP-Server des Bridgeheads einen Registrierungsschlüssel einrichten. Durch das Aktivieren des Registrierungsschlüssels auf dem Exchange-Server werden alle virtuellen SMTP-Server auf dem Exchange-Server so konfiguriert, dass erweiterte Eigenschaften akzeptiert werden.

Konfigurieren des Exchange-Servers für das Akzeptieren von erweiterten Nachrichteneigenschaften bei anonymen Verbindungen

Gehen Sie folgendermaßen vor, um den Exchange-Server für das Akzeptieren von erweiterten Eigenschaften bei anonymen Verbindungen zu konfigurieren. Wenn Ihr Exchange-Server ausschließlich die Funktion eines Bridgeheadservers für die gesamtstrukturübergreifende Kommunikation übernimmt, sollten Sie diese Einstellung auf Serverebene vornehmen. Wenn auf diesem Exchange-Server weitere virtuelle SMTP-Server vorhanden sind, sollten Sie den Registrierungsschlüssel nur auf dem virtuellen SMTP-Server einrichten.

noteAnmerkung:
Wenn Sie diesen Registrierungsschlüssel auf einem Exchange-Server aktivieren, betrifft die Einstellung alle virtuellen SMTP-Server auf dem Exchange-Server. Wenn Sie diese Einstellung für einen einzelnen virtuellen SMTP-Server konfigurieren möchten, müssen Sie den Registrierungsschlüssel auf dem virtuellen SMTP-Server aktivieren.

Warnung

Eine fehlerhafte Bearbeitung der Registrierung kann zu ernsthaften Problemen führen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Dadurch entstandene Probleme können unter Umständen nicht mehr behoben werden. Sichern Sie vor dem Ändern der Registrierung alle wichtigen Daten.

Ausführliche Anweisungen finden Sie in „Aktivieren eines Exchange-Servers zum Akzeptieren anonym gesendeter erweiterter Nachrichteneigenschaften“ im Transport- und Routing-Handbuch für Exchange Server 2003.

Konfigurieren eines virtuellen SMTP-Servers zum Akzeptieren anonym gesendeter erweiterter Nachrichteneigenschaften

Gehen Sie folgendermaßen vor, um den virtuellen SMTP-Server auf dem Exchange-Server für das Akzeptieren von erweiterten Eigenschaften zu konfigurieren.

Ausführliche Anweisungen finden Sie in „Aktivieren eines virtuellen SMTP-Servers zum Akzeptieren anonym gesendeter erweiterter Nachrichteneigenschaften“ im Transport- und Routing-Handbuch für Exchange Server 2003.

Internet Mail-Assistent

In Exchange Server, Version 5.5, wurden Administratoren über den Internet Mail-Assistenten durch die Einrichtung von Internet Mail geführt. In Exchange 2003 wurde eine Version des Internet Mail-Assistenten implementiert, die Sie bei der Konfiguration von Verbindungen zwischen Internet Mail und Exchange 2000 Server oder Exchange Server 2003 unterstützt. Der Internet Mail-Assistent wurde in erster Linie für kleine und mittlere Unternehmen konzipiert, deren Umgebung weniger komplex als in Großunternehmen strukturiert ist.

Der Assistent führt Sie durch die Konfiguration des Servers mit Exchange für das Senden und Empfangen von Internet-E-Mail. Er erstellt den erforderlichen SMTP-Connector für ausgehende Internetmail und konfiguriert den virtuellen SMTP-Server zum Akzeptieren von eingehenden Nachrichten. Wenn Sie bereits SMTP-Connectors eingerichtet oder weitere virtuelle SMTP-Server auf dem Exchange-Server erstellt haben, können Sie den Internet Mail-Assistenten nicht ausführen. Sie müssen dazu Ihre Serverkonfiguration in den Standardzustand zurücksetzen.

noteAnmerkung:
Der Internet Mail-Assistent kann nur Internet-E-Mail für Exchange 2000 Server oder spätere Versionen konfigurieren. Wenn Sie frühere Versionen von Exchange ausführen, können diese Server zwar Internet-E-Mail senden und empfangen, Sie können zum Konfigurieren dieser Server für Internet Mail jedoch nicht den Internet Mail-Assistenten verwenden.

Beim Ausführen des Internet Mail-Assistenten wird eine Protokolldatei (Exchange Internet Mail Wizard.log) aller vorgenommenen Konfigurationsänderungen erstellt. Darin enthalten ist auch die Angabe, ob die Änderungen erfolgreich waren. Der Assistent speichert die Protokolldatei im Order Eigene Dateien des Benutzers, der den Assistenten ausführt.

In den nachstehenden Abschnitten wird erläutert, wie Sie den Internet Mail-Assistenten für folgende Vorgänge einsetzen können:

  • Konfigurieren eines Exchange-Servers zum Senden von Internet-E-Mail
  • Konfigurieren eines Exchange-Servers zum Empfangen von Internet-E-Mail
  • Konfigurieren eines Exchange-Servers oder mehrerer Server zum Senden und Empfangen von Internet-E-Mail
  • Konfigurieren eines mit zwei Netzwerken verbundenen Exchange-Servers für Internet-E-Mail

Konfigurieren eines Exchange-Servers zum Senden von Internet-E-Mail

Wenn Sie einen Exchange-Server zum Senden von Internet-E-Mail konfigurieren, wird der ausgewählte Server vom Internet Mail-Assistenten als ausgehender Bridgeheadserver konfiguriert. Dabei wird ein Connector auf diesem Server erstellt, über den Nachrichten an die angegebenen Internetadressen gesendet werden.

Ausführliche Anweisungen finden Sie unter Ausführen des Internet Mail-Assistenten und Konfigurieren des Servers für das Senden von Internet-E-Mail.

Konfigurieren eines Exchange-Servers zum Empfangen von Internet-E-Mail

Nachdem Sie den Internet Mail-Assistenten ausgeführt haben, akzeptiert der Exchange-Server sämtliche Internetmail für die angegebenen SMTP-Domänen.

Ausführliche Anweisungen finden Sie unter Ausführen des Internet Mail-Assistenten und Konfigurieren des Servers für das Empfangen von Internet-E-Mail.

Konfigurieren eines Exchange-Servers zum Senden und Empfangen von Internetmail

Nachdem Sie den Internet Mail-Assistenten ausgeführt haben, sendet und empfängt der Exchange-Server sämtliche Internetmail für die angegebenen SMTP-Domänen.

Ausführliche Anweisungen finden Sie unter Ausführen des Internet Mail-Assistenten und Konfigurieren des Servers für das Senden und Empfangen von Internet-E-Mail.

Konfigurieren eines mit zwei Netzwerken verbundenen Exchange-Servers für Internetmail

Nachdem Sie den Internet Mail-Assistenten ausgeführt haben, sendet und empfängt der Exchange-Server sämtliche Internetmail für die angegebenen SMTP-Domänen.

Ausführliche Anweisungen finden Sie unter Ausführen des Internet Mail-Assistenten auf einem mit zwei Netzwerken verbundenen Server.

DSN-Diagnoseprotokollierung und DSN-Codes

Exchange 2003 enthält die folgenden Verbesserungen an Benachrichtigungen über den Übermittlungsstatus (Delivery Status Notifications, DSNs).

  • Eine neue DSN-Protokollkategorie steht zur Verfügung.
  • Es wurden neue DSN-Codes hinzugefügt, um Probleme mit dem Nachrichtenfluss leichter beheben zu können.

Konfigurieren der DSN-Diagnoseprotokollierung

Sie können die Diagnoseprotokollierung für DSNs, auch als Unzustellbarkeitsberichte (NDRs – Non-Delivery Reports) bezeichnet, nun konfigurieren.

Ausführliche Anweisungen finden Sie unter Konfigurieren der Diagnoseprotokollierung für DSN.

DSN-Codes in Exchange Server 2003

In der folgenden Tabelle sind die DSN-Nachrichten aufgeführt, die in Exchange 2003 für Transport und Routing implementiert wurden.

Neue Benachrichtigungen über den Übermittlungsstatus in Exchange 2003

DSN-Code Ursache Lösung

4.2.2

In Exchange 2000 wird diese Benachrichtigung über den Übermittlungsstatus erstellt, wenn das Postfach des Empfängers seine Speicherbegrenzung überschreitet.

In Windows® 2000 und Microsoft Windows Server™ 2003 wird diese Meldung generiert, wenn die Speichergröße des Dropverzeichnisses (ein Verzeichnis, in das Nachrichten zur Übermittlung platziert werden können) das Datenträgerkontingent des virtuellen SMTP-Servers überschreitet. Das Datenträgerkontingent des virtuellen SMTP-Servers verfügt über die 11-fache Größe der maximalen Nachrichtengröße auf dem virtuellen Server. Wenn keine maximale Größe angegeben ist, beträgt das Datenträgerkontingent in der Standardeinstellung 22 MB. Wenn der Festplattenspeicher innerhalb der maximalen Nachrichtengröße des Kontingents ist oder der Festplattenspeicher 2 MB beträgt und keine maximale Nachrichtengröße angegeben ist, geht Exchange davon aus, dass die eingehende Nachricht das Datenträgerkontingent überschreitet, und erstellt die DSN-Nachricht.

Überprüfen Sie den Postfachspeicher und die Speicherbegrenzung für die Warteschlange.

4.4.9

Dies deutet auf einen temporären Routingfehler oder eine unzulässige Routingkonfiguration. Zu den möglichen Ursachen gehören:

  • Ein SMTP-Connector wurde mithilfe von DNS (anstelle eines Smarthosts) konfiguriert und ein Nicht-SMTP-Adressraum, z. B. eine X.400-Adresse, wurde diesem Connector hinzugefügt.
  • Eine Routinggruppe wurde erstellt, und ein Empfänger in dieser Routinggruppe sollte Nachrichten empfangen. Ein Routinggruppenconnector, der DNS verwendet, wurde zum Herstellen einer Verbindung zur Routinggruppe eingesetzt, und diese administrative Gruppe oder Routinggruppe wurde dann entfernt. Daher wurde die gesamte Mail, die an diese Routinggruppe gesendet wurde, im Format „MSGWIA.X500“ (Adressenverkapselung, die für Nicht-SMTP-Adressen verwendet wird) gesendet. DNS erkennt dieses Format nicht.

Durch Routing werden diese Probleme ermittelt, und Exchange sendet dann DSNs zurück.

  • Um die erste Problemsituation zu beheben, konfigurieren Sie den SMTP-Connector für die Verwendung eines Smarthosts an Stelle von DNS, um den Nicht-SMTP-Adressraum aufzulösen.
  • Um die zweite Problemsituation zu beheben, stellen Sie sicher, dass Sie alle Benutzer in der entfernten administrativen Gruppe oder Routinggruppe zu einer zulässigen Gruppe verschoben haben.

5.3.0

Exchange 2003 kann ohne den MTA (Message Transfer Agent) ausgeführt werden. Wenn versehentlich Mail zum MTA gesendet wurde, gibt Exchange diese DSN an den Absender zurück. Dieser Zustand wird nur erzwungen, wenn Sie den MTA-Dienst deaktiviert haben und den MTA/Store Driver mithilfe von bestimmten Registrierungseinstellungen deaktiviert haben. Fehlerhaft weitergeleitete Mail wird durch eine Standardkonfiguration in die MTA-Warteschlangen gesetzt.

Überprüfen Sie Ihre Routingtopologie. Stellen Sie mit dem Winroute-Tool sicher, dass die Routen ordnungsgemäß zwischen den Servern und Routinggruppen repliziert werden.

5.7.1

Allgemeiner Zugriff verweigert, Absenderzugriff verweigert – der Absender der Nachricht verfügt nicht über die erforderlichen Berechtigungen, um die Übermittlung durchzuführen.

Zu den möglichen Ursachen gehören:

  • Der Absender der Nachricht verfügt nicht über die erforderlichen Berechtigungen, um die Übermittlung durchzuführen.
  • Sie versuchen Ihre Nachrichten über einen anderen Exchange 2000-Server weiterzugeben, und der Server lässt die Weitergabe nicht zu. Der Remoteserver gibt den Code „5.7.1“ zurück.
  • Der Empfänger hat möglicherweise die Empfangseinschränkungen eines Postfachs aktiviert. (Wenn beispielsweise die Empfangseinschränkungen des Postfachs eines Empfängers so konfiguriert wurden, dass nur Nachrichten von einer Verteilergruppe empfangen, werden Nachrichten von Nicht-Mitgliedern abgelehnt und dieser DSN-Code zurückgegeben.)
  • Neu in Exchange 2003: Ein anonymer Benutzer hat versucht, Nachrichten an Empfänger oder Verteilergruppen zu senden, die nur Nachrichten von einer authentifizierten SMTP-Sitzung annehmen.

Überprüfen Sie die Berechtigungen und Attribute für den Kontakt, und senden Sie die Nachricht erneut. Stellen Sie außerdem bei anderen bekannten Problem sicher, dass Exchange 2000 Service Pack 1 oder höher ausgeführt wird. Überprüfen Sie in Exchange 2003 die Berechtigungen für die Verteilergruppe, um festzustellen, ob dies eine eingeschränkte Verteilergruppe ist.

Verschieben der X.400- (MTA) und SMTP-Warteschlangenverzeichnisse

In Exchange 2003 können Sie die Warteschlangenverzeichnisse für virtuelle SMTP-Server und das X.400-Protokoll ändern.

Ausführliche Anweisungen finden Sie unter Verschieben von X.400-Warteschlangendaten (MTA) und Verschieben von SMTP-Warteschlangendaten.

Verbindungsfilterung

Exchange Server 2003 unterstützt eine auf Sperrlisten basierte Verbindungsfilterung. Für die Verbindungsfilterung werden externe Dienste genutzt, die bekannte Quellen von unerwünschten E-Mail-Nachrichten, DFÜ-Benutzerkontenlisten sowie Server mit Weitergabepotenzial (auf Grundlage von IP-Adressen) auflisten. Die Verbindungsfilterung ergänzt Produkte von Drittanbietern zum Filtern von Inhalten. Dieses Feature ermöglicht Ihnen das Abgleichen einer eingehenden IP-Adresse anhand der Liste eines Sperrlistenanbieters mit den Kategorien, nach denen gefiltert werden soll. Wenn eine entsprechende IP-Adresse in der Liste des Sperrlistenanbieters gefunden wird, gibt SMTP als Antwort auf den Befehl RCPT TO den Fehler 550 5.x.x aus. An den Absender wird eine benutzerdefinierte Antwort auf den Fehler ausgegeben. (Der Befehl „RCPT TO” ist der SMTP-Befehl, den der verbindende Server ausstellt, um den beabsichtigten Nachrichtenempfänger zu identifizieren.) Darüber hinaus können Sie mehrere Verbindungsfilter verwenden und die Anwendungsreihenfolge dieser Filter festlegen.

In der Verbindungsfilterung können Sie folgende Vorgänge ausführen:

  • Festlegen von Verbindungsfilterungsregeln, die über einen Sperrlistendienstanbieter Folgendes überprüfen:
    • IP-Adressen von bekannten Absendern von unerwünschten kommerziellen E-Mail-Nachrichten
    • Server, die für offenes Relay konfiguriert sind
    • DFÜ-Benutzerkontenlisten
  • Konfigurieren von globalen Annahme- und Verweigerungslisten. Eine globale Annahmeliste ist eine Liste von IP-Adressen, von denen Sie Nachrichten akzeptieren. Eine globale Verweigerungsliste ist eine Liste von IP-Adressen, von denen Sie Nachrichten immer verweigern. Globale Annahme- und Verweigerungslisten können mit oder ohne Sperrlistendienstanbieter verwendet werden.
  • Konfigurieren einer Empfängeradresse als Ausnahme zu allen Verbindungsfilterungsregeln. Sie können eine Empfängeradresse als Ausnahme zu allen Verbindungsfilterungsregeln konfigurieren. Wenn Nachrichten an diese Adresse gesendet werden, werden diese automatisch akzeptiert, auch wenn der Absender auf einer Sperrliste aufgeführt wird.

Verwenden von Verbindungsfilterungsregeln

Wenn Sie eine Verbindungsfilterungsregel erstellen, führt SMTP mithilfe dieser Regel eine DNS-Suche in einer Liste durch, die von einem Sperrlistendienst eines Drittanbieters bereitgestellt wird. Der Verbindungsfilter gleicht jede eingehende IP-Adresse mit der Sperrliste des Drittanbieters ab. Der Sperrlistenanbieter gibt eine der folgenden Antworten aus:

  • Host wurde nicht gefunden   Zeigt an, dass die IP-Adresse nicht in der Sperrliste enthalten ist.
  • 127.0.0.x   Ein Antwortstatuscode, der anzeigt, dass für die IP-Adresse eine Übereinstimmung in der Liste der Verstöße gefunden wurde. Der Wert von x kann je nach Sperrlistenanbieter variieren.

Wenn sich die eingehende IP-Adresse in der Sperrliste befindet, gibt SMTP auf den Befehl RCPT TO den Fehler 5x.x zurück (RCPT TO ist der durch den verbindenden Server ausgegebene SMTP-Befehl zum Identifizieren des angegebenen Nachrichtenempfängers).

Die an den Absender zurückgegebene Antwort kann angepasst werden. Da Sperrlistenanbieter in der Regel unterschiedliche Kategorien für Verstöße festlegen, können Sie zusätzlich die Übereinstimmungen angeben, die Sie ablehnen möchten. Die meisten Sperrlistenanbieter filtern nach drei Verstoßtypen:

  • Quellen von unerwünschten kommerziellen E-Mail-Nachrichten. Diese Listen werden erstellt, indem nach unerwünschten kommerziellen E-Mail-Nachrichten gesucht und die Quelladresse der Liste hinzugefügt wird.
  • Bekannte Server für offenes Relay. Diese Listen werden durch das Identifizieren von SMTP-Servern für offenes Relay im Internet zusammengestellt. Die häufigste Ursache für einen Server für offenes Relay ist eine falsche Konfiguration durch den Systemadministrator.
  • DFÜ-Benutzerlisten. Diese Listen werden entweder aus vorhandenen ISP-Listen (Internet Service Provider) erstellt, die IP-Adressen mit DFÜ-Zugriff enthalten, oder durch die Prüfung von Adressen, die auf eine wahrscheinliche DFÜ-Verbindung hinweisen.

Abgleich gegen Regeln verstoßender IP-Adressen durch Sperrlistenanbieter

Wenn nach dem Einrichten Ihres Verbindungsfilters eine E-Mail-Nachricht an Ihre Organisation gesendet wird, erhält der Sperrlistenanbieter durch Exchange eine entsprechende Benachrichtigung. Der Anbieter überprüft dann, ob in seinem DNS ein Hostadresseneintrag (A-Record) vorliegt. Diese Informationen werden von Exchange in einem festgelegtem Format abgefragt. Wenn beispielsweise die Adresse der Verbindung 192.168.5.1 lautet und die Organisation des Sperrlistenanbieters contoso.org ist, fragt Exchange ab, ob folgender Eintrag vorliegt:

<reverse IP address of the connecting server>.<dns name for the block list organization> IN A 127. 0.0.x

In diesem Fall:

1.5.168.192..contoso.org

Wenn diese IP-Adresse in der Liste des Anbieters aufgeführt ist, gibt der Anbieter den Statuscode 127.0.0.x zurück, der auf eine problematische IP-Adresse und die Art des Verstoßes hinweist. Der Antwortcode 127.0.0.x wird von allen Sperrlistenanbietern zurückgegeben, wobei x die Art des Verstoßes anzeigt. Diese Nummer kann je nach Sperrlistenanbieter variieren.

Grundlagen zu den Antwortcodes der Sperrlistenanbieter

Wie bereits erwähnt, gibt der Sperrlistenanbieter immer den Statuscode 127.0.0.x zurück, wenn eine Übereinstimmung gefunden wird. Der Statuscode ist entweder ein expliziter Rückgabecode oder eine Bitmaske, d. h. ein Multifunktions-Rückgabecode. Wenn der Sperrlistenanbieter einen Wert zurückgibt, können Sie angeben, nach welchen Werten gefiltert werden soll. Wenn der Sperrlistenanbieter jedoch eine Bitmaske zurückgibt, müssen Sie die Funktionsweise einer Bitmaske verstehen, um die Übereinstimmungen angeben zu können, nach denen gefiltert werden soll.

Eine Bitmaske ist eine Methode, mit der überprüft werden kann, ob ein bestimmtes Bit für einen Eintrag gesetzt ist. Eine Bitmaske unterscheidet sich von einer normalen Maske darin, dass in ihr nach einem bestimmten Bitwert gesucht wird. Über eine Subnetmask wird dagegen nach einem Bereich von Werten gesucht. Betrachten Sie das folgende Beispiel.

Für jede Übereinstimmung mit der Sperrliste gibt der Sperrlistenanbieter die in der folgenden Tabelle aufgeführten Statuscodes zurück.

Beispiele für Sperrlisten-Statuscodes

Kategorie Zurückgegebener Statuscode

Bekannte Quelle von unerwünschten E-Mail-Nachrichten

127.0.0.3

DFÜ-Benutzerkonto

127.0.0.2

Bekannter Relayserver

127.0.0.4

Wenn jedoch eine IP-Adresse in zwei Listen enthalten ist, fügt der Sperrlistenanbieter die Werte des letzten Oktetts hinzu. Deshalb gibt ein Sperrlistenanbieter den Statuscode 127.0.7 zurück, wenn eine IP-Adresse in der Liste der bekannten Relayserver und der Liste der bekannten Quellen von unerwünschten E-Mail-Nachrichten aufgeführt ist. Die 7 ist dabei der kombinierte Wert des letzten Oktetts, das aufgrund bekannter Quellen von unerwünschten E-Mail-Nachrichten und bekannter Relayserver zurückgegeben wurde.

Soll nur nach bekannten Quellen von unerwünschten Werbe-E-Mail-Nachrichten gefiltert werden, geben Sie den Bitmaskenwert „0.0.0.3“ ein.Über die Sperrliste wird dann auf alle der möglichen Werte gefiltert, in diesem Fall auf 127.0.0.3, 127.0.0.5, 127.0.0.7 und 127.0.0.9.

Die folgende Tabelle enthält die den einzelnen Beispielstatuscodes zugeordneten Bitmaskenwerte.

Beispiele für Sperrlisten-Statuscodes und die entsprechenden Bitmasken

Kategorie Zurückgegebener Statuscode Bitmaske

Bekannte Quelle von unerwünschten E-Mail-Nachrichten

127.0.0.3

0.0.0.3

DFÜ-Benutzerkonto

127.0.0.2

0.0.0.2

Bekannter Relayserver

127.0.0.4

0.0.0.4

Bekannte Relayserver und DFÜ-Benutzerkonten

127.0.0.6

0.0.0.6

Im letzten Beispiel (Bekannte Relayserver und DFÜ-Benutzerkonten) wird mit der Bitmaske „0.0.0.6“ nur dann eine Übereinstimmung für eine IP-Adresse zurückgegeben, wenn diese sowohl in der Liste der bekannten Relayserver als auch in der DFÜ-Benutzerkontenliste aufgeführt ist. Ist die IP-Adresse nur in einer der beiden Listen enthalten, wird keine Übereinstimmung zurückgegeben. Mit einer Bitmaske können nicht mehrere Listen auf eine einzelne Übereinstimmung hin überprüft werden.

noteAnmerkung:
Mit einer Bitmaske wird immer nur ein einzelner Wert überprüft. Bei nach zwei Listen filternden Bitmaskenwerten für IP-Adressen werden durch die Maske nur Übereinstimmungen mit IP-Adressen angezeigt, die in beiden Listen enthalten sind. Wenn Sie eine IP-Adresse in einer der beiden Listen überprüfen möchten, geben Sie die Statuscodes für diese Einstellungen ein.

Festlegen von Ausnahmen zur Verbindungsfilterregel

Sie können eine Nachrichtenübermittlung an bestimmte Empfänger zulassen, auch wenn diese in einer Sperrliste aufgeführt sind. Dies ist nützlich, wenn Sie berechtigten Organisationen erlauben möchten, über das Postmaster-Konto mit Ihren Administratoren zu kommunizieren. Wenn zum Beispiel in einem berechtigten Unternehmen ein Server versehentlich zum Zulassen von offenem Relay konfiguriert wurde, werden E-Mail-Nachrichten von diesem Unternehmen an Ihre Benutzer gesperrt. Wenn jedoch der Verbindungsfilter so konfiguriert wurde, dass die Nachrichtenübermittlung an das Postmaster-Konto in Ihrer Organisation zugelassen wird, kann der Administrator in dem gesperrten Unternehmen Nachrichten an Ihr Postmaster-Konto schicken, um deren Problem mitzuteilen oder um nachzufragen, warum die Nachrichten abgelehnt wurden.

Aktivieren der Verbindungsfilterung

Im Folgenden wird das Verfahren zum Aktivieren der Verbindungsfilterung beschrieben:

  1. Erstellen Sie im Dialogfeld Eigenschaften für Nachrichtenübermittlung auf der Registerkarte Verbindungsfilterung die Verbindungsfilterung.
  2. Wenden Sie den Filter auf der Ebene des virtuellen SMTP-Servers an.
  3. Neu in SP2: Geben Sie die Server im internen Netzwerk an, für die die Verbindungsfilterung nicht gelten soll.

Die einzelnen Schritte werden in den folgenden Abschnitten ausführlich beschrieben.

Schritt 1: Konfigurieren der Verbindungsfilterung

Führen Sie zum Konfigurieren der Verbindungsfilterung die folgenden Aufgaben aus:

  • Erstellen Sie globale Annahme- und Verweigerungslisten.
  • Erstellen Sie Verbindungsfilterregeln.
  • Erstellen Sie Ausnahmen zu den Verbindungsfilterregeln.

Erstellen von globalen Annahme- und Verweigerungslisten

Mithilfe der Verbindungsfilterung können Sie globale Annahme- und Verweigerungslisten erstellen. Mit diesen Listen können Sie unabhängig von der Verwendung eines Sperrlistendienstanbieters festlegen, ob Nachrichten, die von bestimmten IP-Adressen gesendet werden, immer akzeptiert oder immer abgelehnt werden. Alle in der globalen Annahmeliste aufgeführten IP-Adressen werden automatisch akzeptiert. Dabei werden alle Verbindungsfilterregeln umgangen. Entsprechend werden alle in der globalen Verweigerungsliste aufgeführten IP-Adressen automatisch abgelehnt.

Einträge in der globalen Annahmeliste haben Vorrang vor Einträgen in der globalen Verweigerungsliste. Durch Exchange wird die globale Annahmeliste vor der globalen Verweigerungsliste überprüft. Wenn Sie Verbindungen von einem bestimmten Subnet und einer entsprechenden Subnetmask ablehnen möchten, aber Verbindungen von einer einzelnen IP-Adresse annehmen möchten, müssen Sie daher folgende Vorgänge durchführen:

  • Fügen Sie der globalen Annahmeliste die IP-Adresse hinzu, von der Verbindungen angenommen werden sollen.
  • Geben Sie in der globalen Verweigerungsliste das Subnet und die Maske für den IP-Adressbereich ein, aus dem Verbindungen abgelehnt werden sollen.

Wenn versucht wird, über eine in der globalen Annahmeliste enthaltene IP-Adresse eine Verbindung zu Ihrem Exchange-Server herzustellen, überprüft Exchange die globale Annahmeliste zuerst. Da Exchange eine Übereinstimmung für die IP-Adresse findet, wird die Verbindung angenommen, und es werden keine weiteren Verbindungsfilterungsprüfungen durchgeführt.

Ausführliche Anweisungen finden Sie in „How to Create a Global Accept List“ (nur auf Englisch verfügbar) und „How to Create a Global Deny List“ (nur auf Englisch verfügbar) unter Transport- und Routing-Handbuch für Exchange Server 2003.

Erstellen einer Verbindungsfilterregel

Ausführliche Anweisungen zum Erstellen einer Verbindungsfilterregel finden Sie unter „Erstellen eines Verbindungsfilters“ im Transport- und Routing-Handbuch für Exchange Server 2003.

Sie können Ausnahmen zur Verbindungsfilterregel erstellen. Insbesondere können Sie die Übermittlung von Nachrichten an bestimmte Empfänger zulassen (z. B. an den Postmaster), unabhängig davon, ob die IP-Adresse in einer Sperrliste aufgeführt ist.

Ausführliche Anweisungen finden Sie in „Festlegen einer Ausnahme für eine Verbindungsregel“ im Transport- und Routing-Handbuch für Exchange Server 2003.

Schritt 2: Anwenden des Verbindungsfilters auf die gewünschten virtuellen SMTP-Server

Nach dem Erstellen des Verbindungsfilters müssen Sie diesen auf die entsprechenden virtuellen SMTP-Server anwenden. Der Verbindungsfilter wird in der Regel auf die virtuellen SMTP-Server angewendet, die sich auf den Gatewayservern für die Annahme eingehender E-Mail-Nachrichten befinden. Gehen Sie folgendermaßen vor, um einen Verbindungsfilter auf einen virtuellen SMTP-Server anzuwenden.

Ausführliche Anweisungen finden Sie in „Anwenden eines Verbindungsfilters auf einen virtuellen SMTP-Server“ im Transport- und Routing-Handbuch für Exchange Server 2003.

Neu in SP2: Schritt 3: Angeben von Servern, für die die Verbindungsfilterung nicht gilt

In Exchange Server 2003 SP2 kann die Verbindungsfilterung außerhalb des Netzwerkumkreises aktiviert werden. Geben Sie dazu im Dialogfeld Eigenschaften für Nachrichtenübermittlung auf der Registerkarte Allgemein die IP-Adresse der Server des internen Netzwerks an, für die die IP-Adressenüberprüfung nicht gelten soll.

Sie können einzelne IP-Adressen oder Gruppen von IP-Adressen angeben. Sie müssen alle Server in der Organisation einschließen, die eingehende SMTP-Nachrichten verarbeiten. Sie müssen auch alle Server mit einschließen, die Nachrichten an die Bereitstellungsserver für die Absenderkennungs- und Verbindungsfilterung weiterleiten. Wenn sich Server, die SMTP-Nachrichten verarbeiten, im Umkreis befinden, sollten Sie alle Umkreis-IP-Adressen dieser Server mit einschließen.

Wenn eine IP-Adresse für die E-Mail-Nachricht, die vom Bereitstellungsserver für die Absenderkennungs- oder Verbindungsfilterung empfangen wurde, in dieser Liste gefunden wird, überspringt Exchange Server die IP-Adresse, ohne die Überprüfung der Absenderkennungsfilterung oder der Verbindungsfilterung für diese IP-Adresse auszuführen. Sie können der Liste bis zu 196 IP-Adressen hinzufügen.

Informationen zum Angeben des Servers im internen Netzwerk finden Sie in „Angeben von Daten zur IP-Adressenkonfiguration für die Verbindungsfilterung“ der Onlinehilfe zu Exchange Server 2003 SP2.

Empfängerfilterung für eingehende Nachrichten

Mit der Empfängerfilterung können Sie Nachrichten blockieren, die nur an ungültige Empfänger gesendet wurden. Sie können außerdem Nachrichten an alle Empfänger blockieren, die in einer Empfängerfilterliste aufgeführt sind, unabhängig davon, ob die Empfänger gültig sind.

Der Empfängerfilter blockiert Nachrichten an ungültige Empfänger, indem eingehende Nachrichten für jeden beabsichtigten Empfänger auf Grundlage einer Active Directory-Suche gefiltert werden. Sie können Nachrichten nach folgenden Kriterien filtern:

  • Das Objekt ist in Active Directory nicht vorhanden.
  • Der Absender verfügt nicht über die entsprechenden Berechtigungen.

Alle eingehenden Nachrichten, die diesen Kriterien entsprechen, werden abgelehnt. Der virtuelle SMTP-Server gibt während der SMTP-Sitzung den Fehler 550 5.x.x zurück.

noteAnmerkung:
Exchange führt nur Suchvorgänge in Active Directory durch und sperrt ungültige Empfänger für eingehende E-Mail-Nachrichten, die an eine autorisierende Domäne gesendet wurden. Diese Einstellung wird in den Empfängerrichtlinien konfiguriert.

Sie können die Empfängerfilterung auch so konfigurieren, dass Nachrichten gefiltert werden, die an eine bestimmte E-Mail-Adresse (gültig oder ungültig) in Ihrer Organisation gesendet wurden. Wenn eine Nachricht an einen der angegebenen Empfänger gesendet wird, gibt Exchange bei der SMTP-Sitzung den Fehler 5.x.x zurück.

Exchange akzeptiert in der Standardeinstellung Nachrichten für alle Empfänger (gültig oder ungültig) und sendet dann Unzustellbarkeitsberichte (NDR) für alle ungültigen Empfänger. Da unerwünschte Nachrichten oftmals von ungültigen Adressen gesendet werden, versucht Exchange außerdem, Unzustellbarkeitsberichte an nicht vorhandene Absender zurückzusenden. Dadurch werden zusätzliche Ressourcen verbraucht. Wenn Sie die Empfängerfilterung aktiviert haben, verwendet Exchange Ressourcen nicht länger auf diese Weise, da ungültige Empfänger gefiltert werden. Das Aktivieren der Empfängerfilterung zum Auflösen von Empfängern in Active Directory kann jedoch potenziell dazu führen, dass böswillige Absender gültige E-Mail-Adressen auflösen können. Dies liegt daran, dass SMTP-Sitzungen verschiedene Antworten für gültige und ungültige Empfänger ausgeben.

noteAnmerkung:
Die Empfängerfilterungsregeln gelten nur für anonyme Verbindungen. Bei authentifizierten Benutzern und Exchange-Servern wird diese Gültigkeitsprüfung nicht durchgeführt.

Aktivieren der Empfängerfilterung

Im Folgenden wird das Verfahren zum Aktivieren der Empfängerfilterung beschrieben:

  1. Erstellen Sie im Dialogfeld Eigenschaften für Nachrichtenübermittlung auf der Registerkarte Empfängerfilterung die Empfängerfilterung.
  2. Wenden Sie den Filter auf der Ebene des virtuellen SMTP-Servers an.

Die einzelnen Schritte werden in den folgenden Abschnitten ausführlich beschrieben.

Schritt 1: Erstellen eines Empfängerfilters

Zunächst muss ein Empfängerfilter erstellt werden. Ausführliche Anweisungen finden Sie in „Erstellen eines Empfängerfilters“ im Transport- und Routing-Handbuch für Exchange Server 2003.

Schritt 2: Anwenden des Empfängerfilters auf die gewünschten virtuellen SMTP-Server

Nach dem Erstellen des Empfängerfilters müssen Sie diesen auf die entsprechenden virtuellen SMTP-Server anwenden. Der Empfängerfilter wird in der Regel auf die virtuellen SMTP-Server angewendet, die sich auf den Gatewayservern befinden, die eingehende E-Mail-Nachrichten entgegennehmen. Gehen Sie folgendermaßen vor, um einen Empfängerfilter auf einen virtuellen SMTP-Server anzuwenden.

Ausführliche Anweisungen finden Sie in „Anwenden eines Empfängerfilters auf einen virtuellen SMTP-Server“ im Transport- und Routing-Handbuch für Exchange Server 2003.

Neu in SP2: Absenderkennungsfilterung

In Exchange Server 2003 SP2 kann die Absenderkennungsfilterung verwendet werden. Bei der Absenderkennung handelt es sich um eine Initiative der E-Mail-Anbieter, die einen größeren Schutz vor unerwünschten kommerziellen E-Mail-Nachrichten und Phishing ermöglicht. Das Absenderkennungs-Framework ist ein erstelltes Protokoll, mit dem insbesondere die Möglichkeit zum Fälschen von E-Mail-Domänen reduziert werden kann. Es bietet außerdem durch die Überprüfung des Absenders der E-Mail-Nachricht größeren Schutz vor Phishing. Weitere Informationen zur Absenderkennung finden Sie auf der Website zur Sender ID.

Konfigurieren der Absenderkennung

In der folgenden Übersicht werden die drei erforderlichen Schritte zum Konfigurieren der Absenderkennungsfilterung in Exchange Server 2003 SP2 erläutert.

  1. Geben Sie durch Auswählen eine der folgenden Optionen im Dialogfeld Eigenschaften für Nachrichtenübermittlung auf der Registerkarte Absenderkennungsfilterung an, wie der Server Nachrichten verarbeiten soll, für die bei der Absenderkennungsüberprüfung ein Fehler aufgetreten ist.
    • Wählen Sie Annehmen (der Absenderkennungsstatus wird für die weitere Antispamverarbeitung an die Nachricht angefügt) aus, wenn Sie möchten, dass der Absenderkennungsfilter die Überprüfungsergebnisse auf die Nachricht stempelt und eine Antispamverarbeitung erfolgt, z. B. Intelligent Message Filter. Hierbei handelt es sich um die Standardeinstellung.
    • Wählen Sie Löschen (die Nachricht wird angenommen und anschließend gelöscht;kein NDR zurück an den Absender gesendet) aus, wenn die E-Mail vom Absenderkennungsfilter angenommen und anschließend gelöscht werden soll, ohne einen Unzustellbarkeitsbericht (NDR – Non-Delivery Report) an den Benutzer zu senden.
    • Wählen Sie Ablehnen (die Nachricht wird nicht angenommen; der Absender ist zuständig für das Generieren von NDRs) aus, wenn der Absenderkennungsfilter die E-Mail auf der Ebene des SMTP-Protokolls ablehnen und eine Nachricht über den Unzustellbarkeitsbericht an den Benutzer senden soll. Für das Generieren von NDRs ist insbesondere der sendende Server zuständig.
  2. Geben Sie im Dialogfeld Eigenschaften für Nachrichtenübermittlung auf der Registerkarte Allgemein die IP-Adressen der Server des internen Netzwerks an, für die die IP-Adressenüberprüfung nicht gelten soll. Sie können einzelne IP-Adressen oder Gruppen von IP-Adressen angeben. Sie müssen alle Server in der Exchange-Organisation mit einschließen, die eingehende SMTP-Nachrichten verarbeiten. Sie müssen auch alle Server mit einschließen, die Nachrichten an die Bereitstellungsserver für die Absenderkennungs- und Verbindungsfilterung weiterleiten. Wenn sich Server, die SMTP-Nachrichten verarbeiten, im Umkreis befinden, sollten Sie alle Umkreis-IP-Adressen dieser Server mit einschließen. Wenn eine IP-Adresse für die E-Mail-Nachricht, die vom Bereitstellungsserver für die Absenderkennungs- oder Verbindungsfilterung empfangen wurde, in dieser Liste gefunden wird, überspringt Exchange Server die IP-Adresse, ohne die Überprüfung der Absenderkennungsfilterung oder der Verbindungsfilterung für diese IP-Adresse auszuführen. Sie können der Liste bis zu 196 IP-Adressen hinzufügen.
  3. Aktivieren Sie die Absenderkennung auf den virtuellen SMPT-Servern. Nach dem Konfigurieren der Optionen für die Senderkennungsfilterung müssen Sie die Senderkennungsfilterung auf den virtuellen SMTP-Servern in Ihrer Exchange-Organisation aktivieren.
    Ausführliche Informationen zum Durchführen dieser Aufgaben finden Sie in „Konfigurieren von Absenderkennungsfiltern“ der Onlinehilfe zu Exchange Server 2003 SP2.

Neu in SP2: Intelligente Nachrichtenfilterung

Beim Installieren von Exchange Server 2003 SP2 wird auch die intelligente Nachrichtenfilterung installiert und kann verwendet werden.

noteAnmerkung:
Wenn das Installationsprogramm für Exchange Server 2003 erkennt, dass Intelligent Message Filter ausgeführt wird, werden Sie zu dessen Deinstallation aufgefordert, bevor Exchange Server 2003 SP2 installiert werden kann.

Mit der intelligenten Nachrichtenfilterung können Sie unerwünschte kommerzielle E-Mail-Nachrichten, auch als Spam bezeichnet, auf den virtuellen SMTP-Gatewayservern blockieren. Virtuelle SMTP-Gatewayserver sind virtuelle SMTP-Server, die aus dem Internet eingehende E-Mail-Nachrichten akzeptieren.

Weitere Informationen zum intelligenten Nachrichtenfilter finden Sie auf der Exchange-Website zum Thema Intelligent Message Filter.

Konfigurieren der intelligenten Nachrichtenfilterung

In der folgenden Übersicht werden die erforderlichen Schritte zum Konfigurieren der Absenderkennungsfilterung in Exchange Server 2003 SP2 erläutert.

  1. Erstellen Sie mithilfe der Optionen im Dialogfeld Eigenschaften für Nachrichtenübermittlung auf der Registerkarte Intelligente Nachrichtenfilterung ein Intelligent Message Filter. Sie können zwei Schwellenwerte festlegen, durch die bestimmt wird, wie Intelligent Message Filter E-Mail-Nachrichten mit verschiedenen SCL-Bewertungen verarbeitet: einen Gateway-Schwellenwert (mit einer dazugehörigen Aktion, die für Nachrichten mit einem höheren Schwellenwert ausgeführt wird) und einen Postfachspeicher-Schwellenwert.
    • Wenn die SCL-Bewertung (Spamwahrscheinlichkeitbewertung) einer Nachricht über dem Gateway-Schwellenwert liegt, führt Intelligent Message Filter die von Ihnen angegebene Aktion aus. Zur Verfügung stehen die Optionen Archivieren, Löschen, Keine Aktion und Ablehnen.
    • Wenn die SCL-Bewertung einer Nachricht unter dem Gateway-Schwellenwert liegt, wird die Nachricht an den Exchange-Postfachspeicher des Empfängers gesendet. Wenn die SCL-Bewertung der Nachricht über dem Schwellenwert des Postfachspeichers liegt, wird die Nachricht im Exchange-Postfachspeicher an den Ordner Junk-E-Mail und nicht an den Posteingang des Benutzers übermittelt.
  2. Aktivieren Sie Intelligent Message Filter auf virtuellen SMTP-Servern. Nach dem Konfigurieren der Optionen für Intelligent Message Filter müssen Sie Intelligent Message Filter auf den virtuellen SMTP-Servern in Ihrer Exchange-Organisation aktivieren.

Ausführliche Informationen zum Durchführen dieser Aufgaben finden Sie in „Konfigurieren von Intelligent Message Filter“ der Onlinehilfe zu Exchange Server 2003 SP2.

Aktualisiert in SP2: Informationen zum Einsatz von Filtern

In Exchange Server 2003 werden folgende Filter unterstützt:

  • IP-Einschränkungen auf der Grundlage virtueller Server
  • Verbindungsfilterung
  • Empfängerfilterung
  • Absenderfilterung
  • Absenderkennungsfilterung
  • Intelligente Nachrichtenfilterung

Obwohl Verbindungsfilterung, Empfängerfilterung, Absenderfilterung, Senderkennungsfilterung und intelligente Nachrichtenfilterung alle unter Eigenschaften für Nachrichtenübermittlung konfiguriert werden, müssen diese Optionen auf den virtuellen Servern einzeln aktiviert werden. Im Gegensatz dazu werden IP-Einschränkungen direkt auf jedem virtuellen Server konfiguriert.

In diesem Abschnitt wird die Reihenfolge erläutert, in der diese Filter (nach der Konfiguration und Aktivierung) während einer SMTP-Sitzung überprüft werden. Filtereinstellungen und IP-Beschränkungen werden wie folgt überprüft.

noteAnmerkung:
Dieser Abschnitt wurde aktualisiert, um Informationen zum Antispamvorgang auf Servern bereitzustellen, auf denen Exchange Server 2003 SP2 ausgeführt wird. In diesem Beispiel wird davon ausgegangen, dass Exchange Server 2003 SP2 auf einem Gatewaycomputer installiert wird.
  1. Ein SMTP-Client versucht, eine Verbindung zum virtuellen SMTP-Server herzustellen.
  2. Die IP-Adresse des Clients, von dem die Verbindung ausgeht, wird mit den IP-Beschränkungen des virtuellen SMTP-Servers verglichen (wird im Dialogfeld Eigenschaften auf der Registerkarte Zugriff des virtuellen SMTP-Servers konfiguriert):
    • Wenn sich die IP-Adresse in der Liste der beschränkten IP-Adressen befindet, wird die Verbindung sofort getrennt.
    • Wenn sich die IP-Adresse nicht in der Liste der beschränkten IP-Adressen befindet, wird die Verbindung angenommen.
  3. Der SMTP-Client sendet einen EHLO- oder HELO-Befehl.
  4. Der SMTP-Client sendet einen MAIL FROM-Befehl aus, ähnlich dem folgenden Befehl:
    MAIL FROM: dylanm@contoso.com
  5. Die IP-Adresse des SMTP-Clients wird dann mit den Einträgen der globalen Annahmeliste verglichen (wird im Exchange-System-Manager im Dialogfeld Eigenschaften für Nachrichtenübermittlung auf der Registerkarte Verbindungsfilterung konfiguriert).
    • Wenn sich die IP-Adresse in der globalen Annahmeliste befindet, wird die globale Verweigerungsliste nicht überprüft. Es wird mit Schritt 7 fortgefahren.
    • Wenn sich die IP-Adresse nicht in der globalen Annahmeliste befindet, werden die Schritte 6 und 7 durchgeführt.
  6. Die IP-Adresse des SMTP-Clients wird dann mit den Einträgen der globalen Verweigerungsliste verglichen (wird im Exchange-System-Manager im Dialogfeld Eigenschaften für Nachrichtenübermittlung auf der Registerkarte Verbindungsfilterung konfiguriert).
    • Wenn sich die IP-Adresse des SMTP-Clients in der globalen Verweigerungsliste befindet, wird die Verbindung getrennt.
    • Wenn sich die IP-Adresse des SMTP-Clients nicht in der globalen Verweigerungsliste befindet, wird die Sitzung fortgesetzt.
  7. Bei der Absenderfilterung wird der im MAIL FROM-Befehl angegebene Absender mit den Einträgen der Liste gesperrter Absender verglichen (wird im Exchange-System-Manager im Dialogfeld Eigenschaften für Nachrichtenübermittlung auf der Registerkarte Absenderfilterung konfiguriert).
    • Wenn der Absender in die Liste gesperrter Absender eingetragen ist, wird je nach Konfiguration für die Absenderfilterung eine der beiden folgenden Aktionen durchgeführt:
      – Wenn für die Absenderfilterung die Verbindungstrennung konfiguriert ist, wird die Verbindung getrennt.
      – Wenn die Absenderfilterung so konfiguriert ist, dass Nachrichten angenommen werden, ohne den Absender zu benachrichtigen, wird die Sitzung fortgesetzt; die Nachrichten werden jedoch an das Badmail-Verzeichnis gesendet und dem vorgesehenen Empfänger nicht übermittelt.
    • Wenn der Absender nicht in die Absenderfilterliste eingetragen ist, sendet der virtuelle SMTP-Server eine Antwort wie beispielsweise die folgende zurück:
      250 2.1.0 dylanm@contoso.com...Sender OK
  8. Der SMTP-Server, von dem die Verbindung ausgeht, sendet einen RCPT TO-Befehl, z. B.:
    RCPT TO: kim@example.com
  9. Mit den Verbindungsfilterregeln wird die IP-Adresse, von der die Verbindung ausgeht, mit allen Sperrlisten der jeweiligen Sperrlistendienste verglichen.
    • Wenn sich die IP-Adresse des SMTP-Clients in der Annahmeliste befindet, werden die Verbindungsfilterregeln übersprungen. Es wird mit Schritt 10 fortgefahren.
    • Wenn sich die IP-Adresse des SMTP-Clients in der Sperrliste eines Sperrlistendiensts befindet, wird vom virtuellen SMTP-Server ein Fehlercode zurückgegeben und dann die für die Verbindungsfilterregel konfigurierte benutzerdefinierte Fehlermeldung gesendet.
    • Wenn sich die IP-Adresse des SMTP-Clients nicht in der Sperrliste eines Sperrlistendiensts befindet, wird die Sitzung fortgesetzt.
  10. Bei der Verbindungsfilterung wird überprüft, ob sich der gewünschte Empfänger in der Verbindungsfilterungs-Ausnahmeliste befindet.
    • Wenn der Empfänger sich in dieser Liste befindet, wird die Verbindung angenommen, und für den RCPT TO-Befehl werden keine weiteren Überprüfungen durchgeführt. Es wird mit Schritt 13 fortgefahren.
    • Wenn der Empfänger nicht in der Ausnahmeliste eingetragen ist, werden weitere Filterüberprüfungen durchgeführt.
  11. Wenn der Empfänger nicht in die für die Verbindungsfilterung konfigurierte Ausnahmeliste eingetragen ist, wird überprüft, ob er sich in einer der für Empfängerfilterung konfigurierten Listen mit gesperrten Empfängern befindet.
    • Wenn es sich bei dem Empfänger um einen gesperrten Empfänger handelt, wird vom virtuellen SMTP-Server die Fehlermeldung zurückgegeben, dass der Empfänger ungültig ist.
    • Wenn der Empfänger nicht gesperrt ist, wird die Sitzung fortgesetzt.
  12. Wenn der Empfänger nicht gesperrt ist, wird Active Directory überprüft, um sicherzustellen, dass der gewünschte Empfänger in Active Directory vorhanden ist.
    • Wenn es sich bei dem gewünschten Empfänger nicht um einen in Active Directory eingetragenen gültigen Empfänger handelt, wird vom virtuellen SMTP-Server die Fehlermeldung zurückgegeben, dass der Empfänger ungültig ist.
    • Wenn es sich um einen in Active Directory eingetragenen gültigen Empfänger handelt, wird die Sitzung fortgesetzt.
  13. Auf alle im RCPT TO-Befehl angegebenen weiteren Empfänger werden die Schritte 10 bis 12 angewendet.
  14. Der SMTP-Server, von dem die Verbindung ausgeht, sendet dann einen DATA-Befehl wie beispielsweise den folgenden:
    DATA
    To: Kim Akers
    From: dylanm@contoso.com<Dylan Miller>
    Subject: Mail Message
  15. Bei der Absenderfilterung wird dann überprüft, ob die Absenderadresse im Feld Von mit einem gesperrten Absender übereinstimmt.
    • Wenn der im DATA-Befehl angegebene Absender gesperrt ist, wird eine der beiden folgenden Aktionen durchgeführt:
      - Wenn für die Absenderfilterung die Verbindungstrennung konfiguriert ist, wird vom virtuellen SMTP-Server der Fehler 5.1.0 „Absender verweigert“ zurückgegeben und die Verbindung getrennt.
      - Wenn die Absenderfilterung so konfiguriert ist, dass Nachrichten angenommen werden, ohne den Absender zu benachrichtigen, wird die Sitzung fortgesetzt; die Nachrichten werden jedoch an das Badmail-Verzeichnis gesendet und dem vorgesehenen Empfänger nicht übermittelt.
    • Wenn der im DATA-Befehl angegebene Absender nicht gesperrt ist, wird die Nachricht akzeptiert und zur Übermittlung in der Warteschlange gespeichert.
  16. Nachrichten werden mithilfe der Absenderkennungsüberprüfung verarbeitet.
  17. Nachrichten werden mithilfe der intelligenten Nachrichtenfilterung verarbeitet.

Verbesserte Einschränkbarkeit von Übertragungen auf einem virtuellen SMTP-Server

Unter Exchange Server 2003 können Sie Übertragungen an einen virtuellen SMTP-Server über die Standard-DACL von Windows 2000 Server oder Windows 2003 Server auf eine beschränkte Anzahl von Sicherheitsprinzipien begrenzen. Auf diese Weise können Sie Benutzergruppen festlegen, die zum Senden von E-Mail-Nachrichten an einen virtuellen Server berechtigt sind.

noteAnmerkung:
Schränken Sie nicht die Übertragungen an virtuelle SMTP-Server ein, die Internet-E-Mail annehmen.

Ausführliche Anweisungen finden Sie in „Einschränken von Übertragungen an virtuelle SMTP-Server mithilfe von Sicherheitsgruppen“ im Transport- und Routing-Handbuch für Exchange Server 2003.

Verbesserte Einschränkbarkeit der Relayfunktion auf einem virtuellen SMTP-Server

Unter Exchange Server 2003 können Sie das Relay von Nachrichten über die Standard-DACL (Discretionary Access Control List) von Windows 2000 Server auf eine beschränkte Anzahl von Sicherheitsprinzipien begrenzen. Auf diese Weise können Sie Benutzergruppen festlegen, die zum Relay von Nachrichten über einen virtuellen Server berechtigt sind.

Die Relayeinschränkung für virtuelle Server ist von Nutzen, wenn Sie einer Gruppe von Benutzern das Relay von E-Mail-Nachrichten ins Internet gestatten, einer anderen Gruppe diese Berechtigung jedoch verweigern möchten.

Ausführliche Anweisungen finden Sie in „Einschränken der Weiterleitung mithilfe einer Sicherheitsgruppe“ im Transport- und Routing-Handbuch für Exchange Server 2003.