Antispamstempel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-07-06

In Microsoft Exchange Server 2007 helfen Ihnen Antispamstempel beim Analysieren Spam-bezogener Probleme durch Anwenden von Diagnosemetadaten oder "Stempel", wie absenderspezifische Daten, Ergebnisse der Rechenrätselüberprüfung und Ergebnisse der Inhaltsfilterung, auf Nachrichten, während diese die Antispamfunktionen durchlaufen, die eingehende Nachrichten aus dem Internet filtern. 

In diesem Thema wird erläutert, wie Antispamstempel angezeigt werden und die verschiedenen Antispamstempel beschrieben: Der Antispambericht, der PCL-Stempel (Phishing Confidence Level), der SCL-Stempel (Spam Confidence Level) und der Sender ID-Stempel.

Sie können Antispamstempel als Diagnosetools verwenden, um zu ermitteln, welche Maßnahmen bei falsch positiven Ergebnissen und bei unter Spamverdacht stehenden Nachrichten zu ergreifen sind, die Personen in ihren Postfächern erhalten.

Anzeigen der Antispamstempel

Sie können Antispamstempel mithilfe von Microsoft Office Outlook 2007 anzeigen. Weitere Informationen zum Anzeigen von Antispamstempeln finden Sie unter Anzeigen von Antispamstempeln in Outlook 2007.

Antispambericht

Der Antispambericht ist ein Zusammenfassungsbericht der Ergebnisse der Antispamfilter, die auf eine E-Mail-Nachricht angewendet wurden. Der Inhaltsfilter-Agent wendet diesen Stempel auf den Nachrichtenumschlag in Form einer X-Kopfzeile wie folgt an.

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance 

In Tabelle 1 sind die Filterinformationen beschrieben, die in einem Antispambericht angezeigt werden können.

Hinweis

Der Antispambericht zeigt nur Informationen der Filter an, die auf die bestimmte Nachricht angewendet wurden. Ein Antispambericht enthält normalerweise nicht alle in Tabelle 1 aufgeführten Informationen. Sie können beispielsweise den folgenden Antispambericht erhalten: DV:3.1.3924.1409;SID:SenderIDStatus Fail;PCL:PhishingLevel SUSPICIOUS;CW:CustomList;PP:Presolved;TIME:TimeBasedFeatures.

Tabelle 1   Filterinformationen in einem Antispambericht

Stempel Beschreibung

SID

Der Sender ID-Stempel (SID) basiert auf dem SPF (Sender Policy Framework), das die Verwendung von Domänen in E-Mails autorisiert. Das SPF wird im Nachrichtenumschlag als Received-SPF angezeigt. Der Auswertungsvorgang der Sender ID generiert einen Sender ID-Status für die Nachricht. Dieser Status kann als einer der folgenden Werte zurückgegeben werden:

  • Pass    Die IP-Adresse und das an die Sender ID-Überprüfung übergebene Purported Responsible Domain-Paar.

  • Neutral   Die Sender ID-Überprüfung ergab kein aussagekräftiges Ergebnis.

  • Softfail   Die IP-Adresse befindet sich möglicherweise nicht im SPF (Sender Policy Framework). Softfail wird als weniger vertrauenswürdig als Neutral angesehen.

  • Fail   Die IP-Adresse ist nicht im SPF aufgelistet.

  • None   Es sind keine veröffentlichten SPF-Daten (Sender Policy Framework) im DNS (Domänennamensystem) des Absenders vorhanden.

  • TempError   Es liegt ein vorübergehender DNS-Fehler vor, z. B. ein nicht verfügbarer DNS-Server.

  • PermError   Der DNS-Datensatz ist ungültig, z. B. ein Fehler im Datensatzformat.

Weitere Informationen zur Sender ID finden Sie unter Sender ID.

DV

Der Stempel "DAT-Version (DV)" kennzeichnet die Version der Spamdefinitionsdatei, die beim Überprüfen dieser Nachricht verwendet wurde.

SA

Der SA-Stempel (Signature Action) gibt an, dass die Nachricht aufgrund einer in der Nachricht gefundenen Signatur entweder wiederhergestellt oder gelöscht wurde.

SV

Der SV-Stempel (Signature DAT Version) kennzeichnet die Version der Signaturdatei, die beim Überprüfen der Nachricht verwendet wurde.

PCL

Der PCL (Phishing Confidence Level) der Nachricht zeigt die folgenden Werte an, die auf dem später in diesem Thema beschriebenen PCL-Stempel basieren:

  • Neutral   Der Inhalt der Nachricht wird wahrscheinlich nicht zum Phishing genutzt.

  • Verdächtig   Der Inhalt der Nachricht wird wahrscheinlich zum Phishing genutzt.

Outlook verwendet den PCL-Stempel, um den Inhalt von verdächtigen Nachrichten zu blockieren. 

SCL (Spam Confidence Level)

Die SCL-Bewertung (Spam Confidence Level) der Nachricht zeigt die Bewertung der Nachricht auf Grundlage ihres Inhalts an. Der SCL-Wert liegt zwischen 0 und 9, wobei 0 mit geringerer Wahrscheinlichkeit und 9 mit höherer Wahrscheinlichkeit als Spam angesehen wird. Die von Exchange Server und Outlook eingeleiteten Maßnahmen hängen von Ihren Einstellungen für den SCL-Schwellenwert ab. Weitere Informationen zu SCL-Schwellenwerten und Maßnahmen finden Sie unter Anpassen des Schwellenwerts für die SCL-Bewertung (Spam Confidence Level).

CW

Die benutzerdefinierte Gewichtung (Custom Weight, CW) einer Nachricht gibt an, dass die Nachricht ein nicht zugelassenes Wort oder einen nicht zugelassenen Ausdruck enthält und dass der SCL-Wert bzw. die "Gewichtung" dieses nicht zugelassenen Worts oder Ausdrucks in die abschließende SCL-Auswertung einbezogen wurde:

  • Nicht zugelassene Ausdrücke oder Sperrausdrücke haben eine maximale Gewichtung und ändern die SCL-Auswertung zu 9.

  • Zugelassene Wörter oder Ausdrücke oder Zulassungsausdrücke haben eine minimale Gewichtung und ändern die SCL-Auswertung zu 0.

Weitere Informationen zum Hinzufügen zugelassener und nicht zugelassener Wörter oder Ausdrücke zum Inhaltsfilter-Agent finden Sie unter Konfigurieren von Zulassungs- und Sperrausdrücken für Inhaltsfilterung.

PP

Der PP-Stempel (Presolved Puzzle) gibt an, dass der Absender wahrscheinlich kein böswillige Absender ist, wenn dessen Nachricht einen gültigen, gelösten Rechenpoststempel enthält, der auf der E-Mail-Poststempelüberprüfung von Outlook basiert. In diesem Fall senkt der Inhaltsfilter-Agent die SCL-Bewertung.

Der Inhaltsfilter-Agent ändert die SCL-Bewertung nicht, wenn die E-Mail-Poststempelüberprüfung aktiviert ist und eine der folgenden Bedingungen zutrifft:

  • Eine eingehende Nachricht enthält keine Kopfzeile mit Rechenpoststempel.

  • Die Kopfzeile mit dem Rechenpoststempel ist ungültig.

Weitere Informationen zur Poststempelüberprüfung finden Sie unter Aktivieren oder Deaktivieren der E-Mail-Poststempelüberprüfung von Outlook.

TIME: TimeBasedFeatures

Der Stempel TIME gibt an, dass zwischen dem Absenden und dem Eingang der Nachricht ein beachtlicher Zeitunterschied herrscht. Der TIME-Stempel wird zum Bestimmen der abschließenden SCL-Bewertung für die Nachricht verwendet.

MIME:MIMECompliance

Der MIME-Stempel gibt an, dass die E-Mail-Nachricht nicht MIME-kompatibel ist.

P100:PhishingBlock

Der P100-Stempel gibt an, dass die Nachricht eine URL enthält, die in einer Phishing-Definitionsdatei enthalten ist.

IPOnAllowList

Der Stempel IPOnAllowList gibt an, dass sich die IP-Adresse des Absenders in der Liste der zulässigen IP-Adressen befindet. Weitere Informationen über die Liste der zulässigen IP-Adressen finden Sie unter Verbindungsfilterung.

MessageSecurityAntispamBypass

Der Stempel MessageSecurityAntispamBypass gibt an, dass der Inhalt der Nachricht nicht gefiltert wurde, und dass dem Absender die Berechtigung erteilt wurde, die Antispamfilter zu umgehen.

SenderBypassed

Der Stempel SenderBypassed gibt an, dass der Inhaltsfilter-Agent für Nachrichten keine Inhaltsfilterung ausführt, die von diesem Absender empfangen werden. Weitere Informationen finden Sie unter Angeben von Empfänger- und Absenderausnahmen für die Inhaltsfilterung.

AllRecipientsBypassed

Der Stempel AllRecipientsBypassed gibt an, dass eine der folgenden Bedingungen für alle in der Nachricht aufgeführten Empfänger zutrifft:

  • Der Parameter AntispamBypassedEnabled ist für das Postfach des Empfängers auf den Wert $True eingestellt. Dies ist eine Einstellung auf Empfängerebene, die nur von einem Administrator festgelegt werden kann. Weitere Informationen zu dieser Einstellung finden Sie unter Set-Mailbox.

  • Der Nachrichtenabsender befindet sich in der Outlook-Liste der sicheren Absender des Empfängers. Weitere Informationen zur Liste der sicheren Absender finden Sie unter Konfigurieren der Aggregation von Listen sicherer Adressen.

  • Der Inhaltsfilter-Agent führt keine Inhaltsfilterung für Nachrichten aus, die an diesen Empfänger gesendet wurden. Weitere Informationen zu Empfängerausnahmen finden Sie unter Angeben von Empfänger- und Absenderausnahmen für die Inhaltsfilterung.

PCL-Stempel (Phishing Confidence Level)

Der PCL-Stempel (Phishing Confidence Level) ist eine Eigenschaft, die Microsoft Exchange auf jede E-Mail-Nachricht anwendet, wenn die Nachricht vom Inhaltsfilter-Agent verarbeitet wird. Der PCL-Stempel wird wie folgt als X-Kopfzeile im Nachrichtenumschlag angezeigt:

X-MS-Exchange-Organization-PCL:<status> 

Der PCL-Stempel zeigt die Bewertung der Nachricht auf Grundlage ihres Inhalts an. Der PCL-Wert liegt zwischen 1 und 8. Die Werte werden zum Bestimmen verwendet, welche Maßnahme Outlook bei Nachrichten einleitet. Outlook verwendet den PCL-Stempel, um den Inhalt verdächtiger Nachrichten zu blockieren. Eine PCL-Bewertung zwischen 1 und 3 gibt den Status Neutral im Antispambericht zurück. Das bedeutet, der Inhalt der Nachricht wird wahrscheinlich nicht zum Phishing genutzt. Eine PCL-Bewertung zwischen 4 und 8 gibt den Status Verdächtig im Antispambericht zurück. Das bedeutet, der Inhalt der Nachricht wird wahrscheinlich zum Phishing genutzt.

SCL-Stempel (Spam Confidence Level)

Der SCL-Stempel zeigt die Bewertung der Nachricht auf Grundlage ihres Inhalts an. Der SCL-Stempel wird wie folgt als X-Kopfzeile im Nachrichtenumschlag angezeigt:

X-MS-Exchange-Organization-SCL:<status>

Der Inhaltsfilter-Agent verwendet die Microsoft SmartScreen-Technologie, um die Inhalte von Nachrichten zu bewerten und diesen eine SCL-Bewertung zuzuweisen. Der SCL-Wert liegt zwischen 0 und 9, wobei die Wahrscheinlichkeit bei 0 eher gering und bei 9 eher hoch ist, dass es sich um Spam handelt. Die von Exchange Server und Outlook eingeleiteten Maßnahmen hängen von Ihren Einstellungen für den SCL-Schwellenwert ab. Weitere Informationen zu SCL-Schwellenwerten und Maßnahmen finden Sie unter Anpassen des Schwellenwerts für die SCL-Bewertung (Spam Confidence Level).

Sender ID-Stempel

Der Sender ID-Stempel (SID) basiert auf dem SPF (Sender Policy Framework), das die Verwendung von Domänen in E-Mails autorisiert. Das SPF wird im Nachrichtenumschlag als Received-SPF angezeigt. Der Sender ID-Stempel wird wie folgt als X-Kopfzeile im Nachrichtenumschlag angezeigt:

X-MS-Exchange-Organization-SenderIdResult:<status>

Der Auswertungsvorgang der Sender ID generiert einen Sender ID-Status für die Nachricht. Dieser Status kann auf einen der folgenden Werte festgelegt werden:

  • Pass    Die IP-Adresse und das an die Sender ID-Überprüfung übergebene Purported Responsible Domain-Paar.

  • Neutral   Die Sender ID-Überprüfung ergab kein aussagekräftiges Ergebnis.

  • Soft Fail   Die IP-Adresse ist möglicherweise nicht im SPF aufgelistet. Softfail wird als weniger vertrauenswürdig als Neutral angesehen.

  • Fail   Die IP-Adresse ist nicht im SPF aufgelistet.

  • None   Es sind keine veröffentlichten SPF-Daten (Sender Policy Framework) im DNS des Absenders vorhanden.

  • TempError   Es liegt ein vorübergehender DNS-Fehler vor, z. B. ein nicht verfügbarer DNS-Server.

  • PermError   Der DNS-Datensatz ist ungültig, z. B. ein Fehler im Datensatzformat.

Weitere Informationen zum Konfigurieren der Sender ID finden Sie unter Konfigurieren von Sender ID.

Weitere Informationen

Weitere Informationen zur Inhaltsfilterung finden Sie unter den folgenden Themen:

Weitere Informationen zur Sender ID finden Sie unter den folgenden Themen: