Grundlegendes zur Antispam- und Antivirusfunktionalität

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-11-28

Spammer oder böswillige Absender verwenden eine Vielzahl von Techniken, um Spam in Ihre Organisation zu senden. Kein Tool oder Verfahren kann sämtliche Spamnachrichten beseitigen. Microsoft Exchange Server 2010 baut auf der Grundlage von Exchange Server 2007 auf, um einen mehrschichtigen, diversifizierten und facettenreichen Ansatz zur Verringerung von Spam und Viren zur Verfügung zu stellen. Exchange 2010 enthält eine Vielzahl von Antispam- und Antivirenfunktionen, die zusammen arbeiten, um das Spamvolumen zu verringern, das in Ihre Organisation gelangt.

Sie können die Zahl der Virenausbrüche oder Angriffe durch bösartige Software, die auch als Malware bezeichnet wird, in Ihrer Organisation verringern, wenn Sie das Gesamtaufkommen an Spam reduzieren, das in Ihre Organisation gelangt. Wenn Sie den Großteil des Spams auf dem Computer beseitigen, auf dem die Edge-Transport-Serverrolle installiert ist, sparen Sie Verarbeitungsressourcen, Bandbreite und Speicherplatz, wenn Nachrichten zu einem späteren Zeitpunkt der Nachrichtenübermittlung auf Viren und andere Malware überprüft werden.

Der mehrschichtige Ansatz zur Verringerung von Spam bezieht sich auf die Konfiguration mehrerer Antispam- und Antivirenfunktionen, die die eingehenden Nachrichten in einer bestimmten Reihenfolge filtern. Jede Funktion filtert die eingehende Nachricht auf ein bestimmtes Merkmal oder eine Gruppe verwandter Merkmale.

In den folgenden Abschnitten werden die einzelnen Antispam- und Antivirenfunktionen kurz beschrieben:

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Transportservern gibt? Weitere Informationen finden Sie hier: Verwalten von Transportservern.

Inhalt

Antispam- und Antivirenfilter

Antispamstempel

Microsoft Update für Antispamdienste

Verwenden von Exchange Hosted Services

Antispamstrategie

Antispam- und Antivirenfilter

Die Antispam- und Antivirenfilter werden in einer bestimmten Reihenfolge angewendet. Weitere Informationen finden Sie unter Grundlegendes zu Antispam- und Antiviren-Nachrichtenübermittlung. Es gilt die folgende Reihenfolge:

  1. Verbindungsfilter   Verbindungsfilter untersuchen die IP-Adresse des Remoteservers, der versucht, Nachrichten zu senden, um die Aktion zu bestimmen, die ggf. auf eine eingehende Nachricht angewendet werden soll. Die Remote-IP-Adresse steht dem Verbindungsfilter-Agent als Nebenprodukt der zugrunde liegenden TCP-/IP-Verbindung zur Verfügung, die für die SMTP-Sitzung erforderlich ist. Verbindungsfilter verwenden eine Vielzahl von IP-Sperrlisten, IP-Zulassungslisten sowie Anbieter für Listen blockierter oder zugelassener IP-Adressen, um zu bestimmen, ob die Verbindung von einer bestimmten IP-Adresse in der Organisation blockiert oder zugelassen werden soll.

  2. Absenderfilter   Absenderfilter vergleichen die Absender im SMTP-Befehl MAIL FROM: mit einer vom Administrator definierten Liste der Absender oder Absenderdomänen, die keine Nachrichten an die Organisation senden dürfen, um die Aktion zu bestimmen, die ggf. für die eingehende Nachricht ausgeführt werden soll.

  3. Empfängerfilter   Empfängerfilter vergleichen die Nachrichtenempfänger für den SMTP-Befehl RCPT TO: mit einer vom Administrator definierten Empfängersperrliste. Wird dabei eine Übereinstimmung gefunden, darf die Nachricht nicht in die Organisation gelangen. Der Empfängerfilter vergleicht außerdem Empfänger in eingehenden Nachrichten mit dem lokalen Empfängerverzeichnis, um zu bestimmen, ob die Nachricht an gültige Empfänger gerichtet ist. Wenn einen Nachricht nicht an gültige Empfänger adressiert ist, kann die Nachricht am Netzwerkumkreis der Organisation zurückgewiesen werden.

  4. Sender ID   Sender ID stützt sich auf die IP-Adresse des sendenden Servers und die PRA (Purported Responsible Address) des Absenders, um zu bestimmen, ob der Absender gefälscht wurde oder nicht. Die PRA wird basierend auf den folgenden Nachrichtenköpfen berechnet:

    • Resent-Sender:

    • Resent-From:

    • Sender:

    • From:

    Weitere Informationen zur PRA finden Sie unter Grundlegendes zur Sender ID und in RFC 4407.

  5. Inhaltsfilter   Inhaltsfilter verwenden Microsoft SmartScreen-Technologie, um den Inhalt einer Nachricht zu bewerten. Der intelligente Nachrichtenfilter ist die zugrunde liegende Technologie bei Exchange-Inhaltsfiltern. Der intelligente Nachrichtenfilter basiert auf patentierter Technologie für maschinelles Lernen von Microsoft Research. Im Verlauf der Entwicklung lernte der intelligente Nachrichtenfilter, zwischen den Merkmalen legitimer E-Mail-Nachrichten und denen von Spam zu unterscheiden. Mit regelmäßigen Updates durch den Microsoft Exchange-Antispamupdatedienst wird sichergestellt, dass immer die aktuellsten Informationen berücksichtigt werden, wenn der intelligente Nachrichtenfilter ausgeführt wird. Der intelligente Nachrichtenfilter erkennt auf der Grundlage der Merkmale mehrerer Millionen Nachrichten die Indikatoren von legitimen und von Spamnachrichten wieder. Der intelligente Nachrichtenfilter kann mit hoher Wahrscheinlichkeit beurteilen, ob eine eingehende E-Mail-Nachricht eine legitime Nachricht oder Spam ist.

    Die Spamquarantäne ist eine Funktion des Inhaltsfilter-Agents, durch die das Risiko reduziert wird, dass legitime Nachrichten verloren gehen, weil sie fälschlicherweise als Spam klassifiziert wurden. Die Spamquarantäne stellt einen temporären Speicherort für Nachrichten bereit, die als Spam erkannt wurden und nicht an ein Benutzerpostfach in der Organisation gesendet werden sollen.

    Inhaltsfilter verwenden auch die Funktion "Aggregation von Listen sicherer Adressen". Die Aggregation von Listen sicherer Adressen sammelt Daten aus den sicheren Antispamlisten, die Benutzer von MicrosoftOutlook und Outlook Web App konfigurieren. Diese Daten werden dann dem Inhaltsfilter-Agent auf dem Computer zur Verfügung gestellt, auf dem die Edge-Transport-Serverrolle in Exchange 2010 installiert ist.

    Wenn ein Exchange-Administrator die Aggregation von Listen sicherer Adressen aktiviert und ordnungsgemäß konfiguriert, übergibt der Inhaltsfilter-Agent sichere E-Mail-Nachrichten ohne weitere Verarbeitung an das Unternehmenspostfach. E-Mail-Nachrichten, die Outlook-Benutzer von Kontakten erhalten oder die diese Benutzer ihrer Liste sicherer Absender sowie vertrauenswürdiger Kontakte in Outlook hinzugefügt haben, werden vom Inhaltsfilter-Agent als sicher eingestuft. Als sicher eingestufte Nachrichten werden folglich nicht als Spam klassifiziert und versehentlich aus dem Messagingsystem gefiltert.

  6. Absenderzuverlässigkeit   Die Absenderzuverlässigkeit stützt sich auf bestehende Daten zur IP-Adresse des sendenden Servers, um die Aktion zu bestimmen, die ggf. für eine eingehende Nachricht ausgeführt werden soll. Der Protokollanalyse-Agent ist der zugrunde liegende Agent, der die Funktion für die Absenderzuverlässigkeit implementiert. Ein Absenderzuverlässigkeitsgrad wird für mehrere Absendermerkmale berechnet, die aus der Nachrichtenanalyse und externen Tests abgeleitet werden.

    Absender, deren Absenderzuverlässigkeitsgrad einen konfigurierbaren Schwellenwert überschreitet, werden vorübergehend blockiert. Zukünftige Verbindungen dieser Absender werden für eine Dauer von bis zu 48 Stunden abgelehnt.

    Zusätzlich zur lokal berechneten IP-Zuverlässigkeit nutzt Exchange 2010 auch die Vorteile der Antispamupdates für die IP-Zuverlässigkeit, die über Microsoft Update verfügbar sind. Diese Updates stellen Absenderzuverlässigkeitsinformationen zu IP-Adressen bereit, die als Absender von Spam bekannt sind.

  7. **Anlagenfilter   **Anlagenfilter filtern Nachrichten basierend auf dem Dateinamen der Anlage, der Erweiterung des Dateinamens oder dem MIME-Inhaltstyp der Datei. Sie können Anlagenfilter so konfigurieren, dass Nachrichten und ihre Anlagen blockiert werden, die Anlage entfernt und die Nachricht zugestellt oder die Nachricht samt Anlage ohne Benachrichtigung gelöscht wird.

  8. **Microsoft Forefront Protection 2010 for Exchange Server   **Forefront Protection 2010 for Exchange Server (FPE) ist ein Antivirussoftwarepaket, das eng in Exchange 2010 integriert ist und Antivirenschutz für die Exchange-Umgebung bietet. Der von FPE zur Verfügung gestellte Antivirenschutz ist sprachenunabhängig. Die Installation und Verwaltung des Produkts sowie Endbenutzerbenachrichtigungen sind in 11 Serversprachen verfügbar. Weitere Informationen finden Sie unter Microsoft Forefront Protection 2010 for Exchange Server.

  9. Junk-E-Mail-Filter von Outlook   Der Junk-E-Mail-Filter von Outlook verwendet modernste Technik, um zu beurteilen, ob eine Nachricht als Junk-E-Mail-Nachricht behandelt werden soll. Hierbei werden zahlreiche Faktoren herangezogen, z. B. die Zeit, zu der die Nachricht gesendet wurde, der Inhalt und die Struktur der Nachricht sowie die Metadaten, die von den Exchange Server-Antispamfiltern gesammelt werden. Nachrichten, die vom Filter erfasst werden, werden in einen gesonderten Ordner für Junk-E-Mail verschoben, wo der Empfänger später darauf zugreifen kann.

Zurück zum Seitenanfang

Antispamstempel

Antispamstempel helfen Ihnen bei der Diagnose spambezogener Probleme, indem Diagnosemetadaten, "Stempel" genannt, (z. B. absenderspezifische Informationen, Ergebnisse der Poststempelüberprüfung und Ergebnisse der Inhaltsfilterung) auf Nachrichten angewendet werden, während sie die Antispamfunktionen passieren, die aus dem Internet eingehende Nachrichten filtern. Diese Stempel sind für den E-Mail-Client des Benutzers sichtbar und codieren absenderspezifische Informationen, die Version der Spamfilter-Definitionsdatei, die Ergebnisse der Outlook-Poststempelüberprüfung und die Ergebnisse der Inhaltsfilterung.

Zurück zum Seitenanfang

Microsoft Update für Antispamdienste

Exchange 2010 stellt zusätzliche Dienste zur Verfügung, um sicherzustellen, dass Antispamkomponenten auf dem aktuellen Stand sind, wobei die bewährte Infrastruktur von Microsoft Update genutzt wird.

Über Microsoft Update stehen Ihnen in Form der Standard-Antispamfilterupdates für Microsoft Exchange 2010 nun alle zwei Wochen Antispamupdates zur Verfügung.

Bei dem Antispamupdatedienst von Forefront Security for Exchange Server handelt es sich um einen Premiumdienst, der den Inhaltsfilter täglich über Microsoft Update aktualisiert. Der Premiumdienst schließt darüber hinaus Updates für Spamsignaturen und den IP-Zuverlässigkeitsdienst ein, die bei Bedarf – mitunter auch mehrmals täglich – zur Verfügung gestellt werden. Mithilfe der Spamsignaturupdates werden die jüngsten Spamaktionen identifiziert. In den Updates für den IP-Zuverlässigkeitsdienst werden Absenderzuverlässigkeitsinformationen zu IP-Adressen zur Verfügung gestellt, die als Absender von Spam bekannt sind.

Hinweis

Zur Verwendung des Premiumdiensts müssen Sie über die Exchange Enterprise-Clientzugriffslizenz (Client Access License, CAL) verfügen.

Zurück zum Seitenanfang

Verwenden von Exchange Hosted Services

Spamfilter werden durch Microsoft Exchange Hosted Services erweitert oder stehen dort als Dienst zur Verfügung.

Exchange Hosted Services ist eine Gruppe von vier unterschiedlichen Hosted Services:

  • Hosted Filtering unterstützt Organisationen beim Schutz vor per E-Mail übertragener Malware

  • Hosted Archive unterstützt sie bei der Einhaltung von Aufbewahrungsanforderungen

  • Hosted Encryption unterstützt sie bei der Verschlüsselung vertraulicher Daten

  • Hosted Continuity unterstützt sie durch E-Mail-Zugriff während und im Anschluss an Notfallsituationen

Diese Dienste werden auf allen intern verwalteten Exchange-Servern vor Ort oder in Hosted Exchange-E-Mail-Dienste integriert, die über Dienstanbieter zur Verfügung gestellt werden. Weitere Informationen zu Exchange Hosted Services finden Sie unter Microsoft Exchange Hosted Services.

Zurück zum Seitenanfang

Antispamstrategie

Ihre Strategie für das Konfigurieren der Antispamfunktionen und das Einrichten des Aggressivitätsgrads der Einstellungen für den Antispam-Agent erfordern sorgfältige Planung und Berechnung. Wenn Sie alle Antispamfilter auf die aggressivste Stufe festlegen und alle Antispamfunktionen so konfigurieren, dass alle verdächtigen Nachrichten abgelehnt werden, wird die Wahrscheinlichkeit erhöht, dass auch Nachrichten abgelehnt werden, die kein Spam sind. Andererseits tritt möglicherweise keine Verringerung des Spamvolumens ein, das in Ihre Organisation gelangt, wenn Sie die Antispamfunktionen nicht ausreichend aggressiv und den SCL-Schwellenwert (Spam Confidence Level) zu hoch festlegen.

Es wird empfohlen, eine Nachricht abzulehnen, wenn Exchange über den Verbindungsfilter-Agent, der Empfängerfilter-Agent oder den Absenderfilter-Agent eine verdächtige Nachricht erkennt. Dieser Ansatz ist besser als das Isolieren solcher Nachrichten oder das Zuweisen von Metadaten, z. B. Antispamstempel, zu solchen Nachrichten. Der Anlagenfilter-Agent und der Empfängerfilter-Agent blockieren automatisch Nachrichten, die vom jeweiligen Filter identifiziert werden. Der Absenderfilter-Agent kann konfiguriert werden.

Dies wird empfohlen, da die zugrunde liegende SCL-Bewertung im Verbindungsfilter, Empfängerfilter oder Absenderfilter relativ hoch ist. Wenn der Administrator besondere zu blockierende Absender konfiguriert hat, besteht bei der Absenderfilterung kein Grund, die Absenderfilterdaten solchen Nachrichten zuzuweisen und mit ihrer Verarbeitung fortzufahren. In den meisten Organisationen sollten blockierte Nachrichten abgelehnt werden. (Wenn Sie nicht möchten, dass die Nachrichten abgelehnt werden, schließen Sie sie nicht in die Liste blockierter Absender ein.)

Die gleiche Logik gilt für Echtzeitsperrlisten-Dienste (RBL) und Absenderfilter, obwohl der zugrunde liegende Vertrauensgrad nicht so hoch wie bei der IP-Sperrliste ist. Sie sollten beachten, dass im weiteren Verlauf der Nachrichtenübermittlung die Wahrscheinlichkeit für falsch positive Befunde steigt, weil die Antispamfunktionen eine größere Anzahl von Variablen auswerten. Sie werden ggf. feststellen, dass Sie durch aggressiveres Konfigurieren der ersten Antispamfunktionen in der Antispamkette das Spamvolumen verringern. Somit sparen Sie Verarbeitungs-, Bandbreiten- und Datenträgerressourcen, die Sie zum Verarbeiten weniger eindeutiger Nachrichten verwenden können.

Schließlich müssen Sie die Überwachung der Gesamteffektivität der Antispamfunktionen planen. Dank einer sorgfältigen Überwachung können Sie die Antispamfunktionen fortlaufend für Ihre Umgebung optimieren. Bei diesem Ansatz sollten Sie zu Beginn nur eine weniger aggressive Konfiguration der Antispamfunktionen vorsehen. So können Sie die Anzahl falsch positiver Befunde so gering wie möglich halten. Im Laufe des Überwachens und Anpassens der Antispamfunktionen können Sie immer aggressiver gegen die Art von Spam und die Spamangriffe vorgehen, der bzw. denen Ihre Organisation ausgesetzt ist.

Zurück zum Seitenanfang

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.