TechNet
Exportieren (0) Drucken
Alle erweitern

Antispamstempel

[Dieses Thema gehört zur Vorabdokumentation und kann in künftigen Versionen geändert werden. Leere Themen wurden als Platzhalter hinzugefügt. Wenn Sie Feedback dazu haben, freuen wir uns über Ihre Nachricht. Senden Sie uns eine E-Mail an: ExchangeHelpFeedback@microsoft.com.]  

Gilt für:Exchange Server 2016

Hier erfahren Sie, wie die auf Nachrichten in Exchange 2016 angewendeten Antispamstempel verwendet werden, um verdächtige Spamnachrichten zu untersuchen.

Antispamstempel in Exchange Server 2016 wenden Diagnosemetadaten, oder Stempel, (z. B. absenderspezifische Informationen, Ergebnisse der Poststempelüberprüfung und Ergebnisse der Inhaltsfilterung) auf Nachrichten an, während sie die Antispamfunktionen passieren, die aus dem Internet eingehende Nachrichten filtern. Sie können Antispamstempel verwenden, um die Ergebnisse der Antispamfilterung für eine Nachricht anzuzeigen und Spamprobleme zu diagnostizieren. Die Antispamfunktionen und Stempel sind im Wesentlichen gegenüber Exchange Server 2010 unverändert. Es gibt vier wesentliche Exchange-Antispamstempel:

  • PCL-Stempel (Phishing Confidence Level)

  • Sender ID-Stempel

  • SCL-Stempel (Spam Confidence Level)

  • Antispambericht-Stempel

Die Antispamstempel werden Nachrichten als X-Header-Felder im Nachrichtenkopf hinzugefügt. Sie können Antispamstempel einer Nachricht mit MicrosoftOutlook anzeigen. Weitere Informationen finden Sie unter Anzeigen von Antispamstempeln in Outlook.

Der PCL-Stempel zeigt die Wahrscheinlichkeit an, dass eine Nachricht basierend auf ihrem Inhalt eine Phishingnachricht ist. Der PCL-Stempel wird angewendet, wenn die Nachricht vom Inhaltsfilter-Agent verarbeitet wird. Weitere Informationen zu Inhaltsfilterung finden Sie unter Inhaltsfilterung.

Die PCL-Werte werden in der folgenden Tabelle beschrieben.

 

PCL-Wert Erkenntnis Beschreibung

1 bis 3

Neutral

Der Inhalt der Nachricht wird wahrscheinlich nicht zum Phishing genutzt.

4 bis 8

Suspicious

Der Inhalt der Nachricht wird wahrscheinlich zum Phishing genutzt.

Der PCL-Wert wird im X-Header X-MS-Exchange-Organization-PCL: angezeigt, und die PCL-Bewertung wird im Antispambericht-Stempel als PCL:PhishingLevel <Verdict> angezeigt. Outlook verwendet den PCL-Stempel, um den Inhalt von verdächtigen Nachrichten zu blockieren.

Der Sender ID-Stempel basiert auf dem SPF (Sender Policy Framework), das die Verwendung von Domänen in E-Mails autorisiert. Der Sender ID-Agent bestimmt den Sender ID-Status der Nachricht. Diese Werte werden in der folgenden Tabelle beschrieben.

 

Status Beschreibung

Pass

Die IP-Adresse und die PRA (Purported Responsible Address) haben die Sender ID-Überprüfung bestanden.

Neutral

Die veröffentlichten Sender ID-Daten sind explizit nicht eindeutig.

SoftFail

Die IP-Adresse für die PRA ist möglicherweise im Nicht-Berechtigungssatz enthalten.

Fail

Die IP-Adresse ist nicht zulässig. Die eingehende E-Mail enthält keine PRA, oder die sendende Domäne ist nicht vorhanden.

None

Es sind keine veröffentlichten SPF-Daten (Sender Policy Framework) im DNS des Absenders vorhanden.

TempError

Es liegt ein vorübergehender DNS-Fehler vor, z. B. ein nicht verfügbarer DNS-Server.

PermError

Der DNS-Datensatz ist ungültig, z. B. ein Fehler im Datensatzformat.

Der Sender ID-Stempel wird im X-Header X-MS-Exchange-Organization-SenderIdResult: und auch im Antispambericht-Stempel als SenderIDStatus <Status> angezeigt. Das SPF-Ergebnis wird im Header Received-SPF angezeigt.

Weitere Informationen hierzu finden Sie in den folgenden Themen:

Nach oben

Der SCL-Stempel zeigt die Bewertung der Nachricht auf Grundlage ihres Inhalts an. Der Inhaltsfilter-Agent verwendet Microsoft SmartScreen-Technologie für die Bewertung des Inhalts einer Nachricht sowie zum Zuweisen einer SCL-Bewertung zu jeder Nachricht. Die SCL-Werte werden in der folgenden Tabelle beschrieben.

 

SCL-Wert Beschreibung

0 bis 9

0 gibt eine äußerst geringe Wahrscheinlichkeit an, dass es sich bei der Nachricht um Spam handelt.

9 gibt eine äußerst hohe Wahrscheinlichkeit an, dass es sich bei der Nachricht um Spam handelt.

-1

Die Nachricht hat Antispamüberprüfungen umgangen (z. B. stammte die Nachricht von einem internen Absender).

Der SCL-Wert wird im X-Header X-MS-Exchange-Organization-SCL: angezeigt.

Die von Exchange und Outlook auf Grundlage des SCL-Werts eingeleiteten Maßnahmen hängen von Ihren Einstellungen für den SCL-Schwellenwert ab. Weitere Informationen finden Sie unter SCL-Schwellenwerte (Spam Confidence Level) in Exchange.

Nach oben

Der Antispambericht-Stempel ist eine Zusammenfassung der Ergebnisse der Antispamfilter, die auf die E-Mail-Nachricht angewendet wurden. Der Inhaltsfilter-Agent wendet diesen Stempel auf die Nachricht in Form des X-Headers X-MS-Exchange-Organization-Antispam-Report: an. Der Antispambericht verwendet die folgende Syntax:

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance;OrigIP:<SourceIPAddress>

Die Antispam-Filterinformationen, die im Antispambericht-Stempel angezeigt werden können, werden in der folgenden Tabelle beschrieben. Beachten Sie, dass der Antispambericht-Stempel nur Ergebnisse und Schlussfolgerungen von Antispamfiltern enthält, die auf die Nachricht angewendet wurden. Daher enthält der Antispambericht-Stempel in der Regel nicht alle möglichen Stempel und Werte.

 

Stempel Beschreibung

DV

Der Stempel "DAT-Version (DV)" kennzeichnet die Version der Spamdefinitionsdatei, die beim Überprüfen dieser Nachricht verwendet wurde.

SA

Der SA-Stempel (Signature Action) gibt an, dass die Nachricht aufgrund einer in der Nachricht gefundenen Signatur entweder wiederhergestellt oder gelöscht wurde.

SV

Der SV-Stempel (Signature DAT Version) kennzeichnet die Version der Signaturdatei, die beim Überprüfen der Nachricht verwendet wurde.

CW

Der CW-Stempel (Custom Weight) gibt an, dass die Nachricht ein nicht zugelassenes Wort oder einen nicht zugelassenen Ausdruck enthält und dass der SCL-Wert bzw. die "Gewichtung" dieses nicht zugelassenen Worts oder Ausdrucks in die abschließende SCL-Bewertung einbezogen wurde:

  • Nicht zugelassene Ausdrücke oder Sperrausdrücke haben eine maximale Gewichtung und ändern die SCL-Auswertung zu 9.

  • Zugelassene Wörter oder Ausdrücke oder Zulassungsausdrücke haben eine minimale Gewichtung und ändern die SCL-Auswertung zu 0.

Weitere Informationen zum Hinzufügen zugelassener und nicht zugelassener Wörter oder Ausdrücke zum Inhaltsfilter-Agent finden Sie unter Verfahren zur Inhaltsfilterung.

PP

Der PP-Stempel (Presolved Puzzle) gibt an, dass der Absender wahrscheinlich kein böswilliger Absender ist, wenn dessen Nachricht einen gültigen, gelösten Rechenpoststempel enthält, der auf der E-Mail-Poststempelüberprüfung von Outlook basiert. In diesem Fall senkt der Inhaltsfilter-Agent die SCL-Bewertung.

Der Inhaltsfilter-Agent ändert die SCL-Bewertung nicht, wenn die E-Mail-Poststempelüberprüfung aktiviert ist und eine der folgenden Bedingungen zutrifft:

  • Eine eingehende Nachricht enthält keine Kopfzeile mit Rechenpoststempel.

  • Die Kopfzeile mit dem Rechenpoststempel ist ungültig.

Weitere Informationen zur Poststempelüberprüfung finden Sie unter Inhaltsfilterung.

TIME:TimeBasedFeatures

Gibt an, dass zwischen dem Absenden und dem Eingang der Nachricht ein beachtlicher Zeitunterschied herrscht. Der TIME-Stempel wird zum Bestimmen der abschließenden SCL-Bewertung für die Nachricht verwendet.

OrigIP

Gibt die IP-Adresse des Quellmessagingservers an.

MIME:MIMECompliance

Gibt an, dass die E-Mail nicht MIME-kompatibel ist.

P100:PhishingBlock

Gibt an, dass die Nachricht eine URL enthält, die in einer Phishing-Definitionsdatei enthalten ist.

IPOnAllowList

Gibt an, dass sich die IP-Adresse des Absenders in der Liste der zulässigen IP-Adressen befindet. Weitere Informationen zur IP-Zulassungsliste finden Sie unter IP-Zulassungsliste.

MessageSecurityAntispamBypass

Gibt an, dass der Inhalt der Nachricht nicht gefiltert wurde und dass dem Absender die Berechtigung erteilt wurde, die Antispamfilter zu umgehen.

SenderBypassed

Gibt an, dass der Inhaltsfilter-Agent für Nachrichten keine Inhaltsfilterung ausführt, die von diesem Absender empfangen werden. Weitere Informationen finden Sie unter Verfahren zur Inhaltsfilterung.

AllRecipientsBypassed

Gibt an, dass eine der folgenden Bedingungen für alle in der Nachricht aufgeführten Empfänger zutrifft:

Nach oben

 
Anzeigen:
© 2016 Microsoft