Antispam- und Antivirusfunktionen

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-08-07

Spammer oder böswillige Absender verwenden eine Vielzahl von Techniken, um Spam in Ihre Organisation zu senden. Kein Tool oder Verfahren kann sämtliche Spamnachrichten beseitigen. Microsoft Exchange Server 2007 setzt auf Exchange Server 2003 auf, um einen mehrschichtigen, diversifizierten und facettenreichen Ansatz zur Verringerung von Spam und Viren zur Verfügung zu stellen. Exchange 2007 enthält eine Vielzahl von Antispam- und Antivirenfunktionen, die sich ergänzen, um das Spamvolumen zu verringern, das in Ihre Organisation gelangt. Exchange 2007 enthält außerdem eine verbesserte Infrastruktur für Antivirenanwendungen.

Sie können die Zahl der Virenausbrüche oder Angriffe durch bösartige Software, die auch als Malware bezeichnet wird, in Ihrer Organisation verringern, wenn Sie das Gesamtaufkommen an Spam reduzieren, das in Ihre Organisation gelangt. Wenn Sie das Spamvolumen auf dem Computer beseitigen, auf dem die Serverfunktion Edge-Transport installiert ist, sparen Sie große Mengen an Verarbeitungsressourcen, Bandbreite und Speicherplatz, wenn Nachrichten später im Lauf des Nachrichtenflusses auf Viren und andere Malware überprüft werden.

Der mehrschichtige Ansatz zur Verringerung von Spam bezieht sich auf die Konfiguration mehrerer Antispam- und Antivirenfunktionen, die die eingehenden Nachrichten in einer bestimmten Reihenfolge filtern. Jede Funktion filtert die eingehende Nachricht auf ein bestimmtes Merkmal oder eine Gruppe verwandter Merkmale.

In den folgenden Abschnitten werden die einzelnen Antispam- und Antivirenfunktionen kurz beschrieben:

Antispam- und Antivirenfilter

Die Antispam- und Antivirenfilter werden in der folgenden Reihenfolge angewendet: Weitere Informationen finden Sie unter Informationen zur Antispam- und Antivirennachrichtenübermittlung.

• Verbindungsfilter   Verbindungsfilter untersuchen die IP-Adresse des Remoteservers, der versucht, Nachrichten zu senden, um die Aktion zu bestimmen, die ggf. auf eine eingehende Nachricht angewendet werden soll. Die Remote-IP-Adresse steht dem Verbindungsfilter-Agent als Nebenprodukt der zugrunde liegenden TCP-/IP-Verbindung zur Verfügung, die für die SMTP-Sitzung (Simple Mail Transfer Protocol) erforderlich ist. Verbindungsfilter verwenden eine Vielzahl von IP-Sperrlisten, IP-Zulassungslisten sowie Anbieter für geblockte oder für zugelassene IP-Adressen, um zu bestimmen, ob die Verbindung von einer bestimmten IP-Adresse in der Organisation blockiert oder zugelassen werden soll.

• Absenderfilter   Absenderfilter vergleichen die Absender im SMTP-Befehl MAIL FROM: mit einer vom Administrator definierten Liste der Absender oder Absenderdomänen, die keine Nachrichten an die Organisation senden dürfen, um die Aktion zu bestimmen, die ggf. für die eingehende Nachricht ausgeführt werden soll.

• Empfängerfilter   Empfängerfilter vergleichen die Nachrichtenempfänger für den SMTP-Befehl RCPT TO: mit einer vom Administrator definierten Empfängersperrliste. Wird eine Entsprechung gefunden, wird verhindert, dass die Nachricht in die Organisation gelangt. Der Empfängerfilter vergleicht außerdem Empfänger in eingehenden Nachrichten mit dem lokalen Empfängerverzeichnis, um zu bestimmen, ob die Nachricht an gültige Empfänger gerichtet ist. Wenn eine Nachricht nicht an gültige Empfänger gerichtet ist, kann sie an der Netzwerkgrenze der Organisation zurückgewiesen werden.

• Sender ID   Sender ID stützt sich auf die IP-Adresse des sendenden Servers und die PRA (Purported Responsible Address) des Absenders, um zu bestimmen, ob der Absender gefälscht wurde oder nicht. Die PRA wird basierend auf den folgenden Nachrichtenkopfzeilen berechnet:

  • Resent-Sender:

  • Resent-From:

  • Sender:

  • From:

  Weitere Informationen zur PRA finden Sie unter Sender ID und in RFC 4407.

• Inhaltsfilter   Inhaltsfilter verwenden Microsoft SmartScreen-Technologie, um den Inhalt einer Nachricht zu bewerten. Der intelligente Nachrichtenfilter ist die zugrunde liegende Technologie bei Exchange-Inhaltsfiltern. Intelligent Message Filter basiert auf patentierter Technologie für maschinelles Lernen von Microsoft Research. Im Verlauf der Entwicklung lernte Intelligent Message Filter, zwischen den Merkmalen legitimer E-Mail-Nachrichten und denen von Spam zu unterscheiden. Regelmäßige Aktualisierungen mithilfe des Antispamaktualisierungsdiensts von Microsoft stellen sicher, dass stets die aktuellsten Informationen verfügbar sind, wenn der intelligente Nachrichtenfilter ausgeführt wird. Intelligent Message Filter erkennt auf der Grundlage der Merkmale mehrerer Millionen Nachrichten die Indikatoren von legitimen und von Spamnachrichten wieder. Intelligent Message Filter kann die Wahrscheinlichkeit genau beurteilen, ob eine eingehende E-Mail-Nachricht eine legitime Nachricht oder Spam ist.

  Die Spamquarantäne ist eine Funktion des Inhaltsfilter-Agents, durch die das Risiko reduziert wird, dass legitime Nachrichten verloren gehen, weil sie fälschlicherweise als Spam klassifiziert wurden. Die Spamquarantäne stellt einen temporären Speicherort für Nachrichten bereit, die als Spam erkannt wurden und nicht an ein Benutzerpostfach in der Organisation gesendet werden sollen.

  Inhaltsfilter verwenden auch die Funktion "Aggregation von Listen sicherer Adressen". Die Aggregation von Listen sicherer Adressen sammelt Daten aus den sicheren Antispamlisten, die Benutzer von Microsoft Outlook und Office Outlook Web Access konfigurieren. Diese Daten werden dann dem Inhaltsfilter-Agent auf dem Computer zur Verfügung gestellt, auf dem die Serverfunktion Edge-Transport in Exchange 2007 installiert ist.

  Wenn ein Exchange-Administrator die Aggregation von Listen sicherer Adressen aktiviert und ordnungsgemäß konfiguriert, übergibt der Inhaltsfilter-Agent sichere E-Mail-Nachrichten ohne weitere Verarbeitung an das Unternehmenspostfach. E-Mail-Nachrichten, die Outlook-Benutzer von Kontakten erhalten oder die diese Benutzer ihrer Liste sicherer Absender sowie vertrauenswürdiger Kontakte in Outlook hinzugefügt haben, werden vom Inhaltsfilter-Agent als sicher eingestuft. Dies hat zur Folge, dass Nachrichten, die als sicher erkannt werden, nicht als Spam klassifiziert und unabsichtlich aus dem Nachrichtensystem gefiltert werden.

• Absenderzuverlässigkeit   Die Absenderzuverlässigkeit stützt sich auf bestehende Daten zur IP-Adresse des sendenden Servers, um die Aktion zu bestimmen, die ggf. für eine eingehende Nachricht ausgeführt werden soll. Der Protokollanalyse-Agent ist der zugrunde liegende Agent, der die Funktion für die Absenderzuverlässigkeit implementiert. Ein Absenderzuverlässigkeitsgrad wird für mehrere Absendermerkmale berechnet, die aus der Nachrichtenanalyse und externen Tests abgeleitet werden.

  Absender, deren Absenderzuverlässigkeitsgrad einen konfigurierbaren Schwellenwert überschreitet, werden vorübergehend geblockt. Zukünftige Verbindungen dieser Absender werden für eine Dauer von bis zu 48 Stunden abgelehnt.

  Zusätzlich zur lokal berechneten IP-Zuverlässigkeit nutzt Exchange 2007 auch die Vorteile der Antispamaktualisierungen für die IP-Zuverlässigkeit, die über Microsoft Update verfügbar sind. Diese Aktualisierungen stellen Absenderzuverlässigkeitsinformationen zu IP-Adressen bereit, die als Absender von Spam bekannt sind.

• Anlagenfilter   Anlagenfilter filtern Nachrichten basierend auf dem Dateinamen der Anlage, der Erweiterung des Dateinamens oder dem MIME-Inhaltstyp der Datei. Sie können Anlagenfilter so konfigurieren, dass Nachrichten und ihre Anlagen blockiert werden, die Anlage entfernt und die Nachricht zugestellt oder die Nachricht samt Anlage ohne Benachrichtigung gelöscht wird.

• Microsoft Forefront Security für Exchange Server   Forefront Security für Exchange Server ist ein Antivirussoftwarepaket, das eng in Exchange 2007 integriert ist und Antivirenschutz für die Exchange-Umgebung bietet. Der Antivirenschutz, der von Forefront Security für Exchange Server zur Verfügung gestellt wird, ist sprachenunabhängig. Die Installation und Verwaltung des Produkts sowie Endbenutzerbenachrichtigungen sind in 11 Serversprachen verfügbar. Weitere Informationen finden Sie unter Protecting Your Microsoft Exchange Organization with Microsoft Forefront Security for Exchange Server.

• Junk-E-Mail-Filter von Outlook   Der Junk-E-Mail-Filter von Outlook verwendet modernste Technik, um zu beurteilen, ob eine Nachricht als Junk-E-Mail-Nachricht behandelt werden soll. Hierbei werden zahlreiche Faktoren herangezogen, z. B. die Zeit, zu der die Nachricht gesendet wurde, der Inhalt und die Struktur der Nachricht sowie die Metadaten, die von den Exchange Server-Antispamfiltern gesammelt werden. Nachrichten, die vom Filter erfasst werden, werden in einen gesonderten Ordner für Junk-E-Mail verschoben, wo der Empfänger später darauf zugreifen kann.

Antispamstempel

Antispamstempel helfen Ihnen bei der Diagnose spambezogener Probleme, indem Diagnosemetadaten, "Stempel" genannt" (z. B. absenderspezifische Informationen, Ergebnisse der Poststempelüberprüfung und Ergebnisse der Inhaltsfilterung) auf Nachrichten angewendet werden, während sie die Antispamfunktionen passieren, die aus dem Internet eingehende Nachrichten filtern. Diese Stempel sind für den E-Mail-Client des Benutzers sichtbar und codieren absenderspezifische Informationen, die Version der Spamfilter-Definitionsdatei, die Ergebnisse der Outlook-Poststempelüberprüfung und die Ergebnisse der Inhaltsfilterung.

Microsoft Update für Antispamdienste

Exchange 2007 stellt nun zusätzliche Dienste zur Verfügung, um sicherzustellen, dass Antispamkomponenten auf dem aktuellen Stand sind, wobei die bewährte Infrastruktur von Microsoft Update genutzt wird.

Über Microsoft Update stehen Ihnen in Form der Standard-Antispamfilteraktualisierungen für Microsoft Exchange 2007 nun alle zwei Wochen Antispamaktualisierungen zur Verfügung.

Der Forefront Security-Antispamaktualisierungsdienst für Exchange Server ist ein Premiumdienst, durch den die Inhaltsfilter täglich über Microsoft Update aktualisiert werden. Der Premiumdienst schließt darüber hinaus Aktualisierungen für Spamsignaturen und den IP-Zuverlässigkeitsdienst ein, die bei Bedarf – mitunter auch mehrmals täglich – zur Verfügung gestellt werden. In den Spamsignaturaktualisierungen werden die jüngsten Spamaktionen identifiziert. In den Aktualisierungen für den IP-Zuverlässigkeitsdienst werden Absenderzuverlässigkeitsinformationen zu IP-Adressen zur Verfügung gestellt, die als Absender von Spam bekannt sind.

Verwenden von IPv6-Empfangsconnectors

Wenn Exchange Server 2007 Service Pack 1 (SP1) auf einem Computer bereitgestellt wird, der Windows Server 2008 ausführt, können Sie IP-Adressen und IP-Adressbereiche im Internetprotokollformat Version 4 (IPv4), im Internetprotokollformat Version 6 (IPv6) oder in beiden Formaten eingeben. In einer Standardinstallation von Windows Server 2008 ist die Unterstützung für IPv4 und IPv6 aktiviert.

Es wird dringend davon abgeraten, Empfangsconnectors für das Akzeptieren von anonymen Verbindungen von unbekannten IPv6-Adressen zu konfigurieren. Wenn Ihre Organisation Nachrichten von Absendern empfangen muss, die IPv6-Adressen verwenden, erstellen Sie einen dedizierten Empfangsconnector, der die Remote-IP-Adressen auf bestimmte IPv6-Adressen beschränkt, die diese Absender verwenden.

Wenn Sie einen Empfangsconnector für das Akzeptieren von anonymen Verbindungen von unbekannten IPv6-Adressen konfigurieren, wird das Spamaufkommen, das bei Ihrer Organisation eingeht, vermutlich zunehmen. Aktuell ist kein ausreichend breit als Industriestandard akzeptiertes Protokoll für das Nachschlagen von IPv6-Adressen vorhanden. Die meisten Anbieter von IP-Sperrlisten unterstützen keine IPv6-Adressen. Wenn Sie daher anonyme Verbindungen von unbekannten IPv6-Adressen auf einem Empfangsconnector zulassen, erhöhen Sie die Wahrscheinlichkeit, dass Spammer die Anbieter von IP-Sperrlisten umgehen und Spam erfolgreich an Ihre Organisation zustellen.

Verwenden von Exchange Hosted Services

Spamfilter wurden verbessert und sind nun auch als Dienst in den Microsoft Exchange Hosted Services verfügbar. Bei Exchange Hosted Services handelt es sich um eine Gruppe von vier unterschiedlichen Hosted Services:

• Hosted Filtering unterstützt Organisationen beim Schutz vor per E-Mail übertragener Malware, einschließlich Viren und Spam.

• Mit Hosted Archive können Aufbewahrungsanforderungen erfüllt werden, um die Einhaltung von Vorschriften sicherzustellen.

• Mit Hosted Encryption können vertrauliche Daten verschlüsselt werden.

• Mit Hosted Continuity bleibt der E-Mail-Zugriff während und im Anschluss an Notfallsituationen erhalten.

Diese Dienste werden auf allen intern verwalteten Exchange-Servern vor Ort oder in Hosted Exchange-E-Mail-Dienste integriert, die über Dienstanbieter zur Verfügung gestellt werden. Weitere Informationen zu Exchange Hosted Services finden Sie unter Microsoft Exchange Hosted Services.

Weitere Informationen

Weitere Informationen zu den Antispam- und Antivirenfunktionen finden Sie unter den folgenden Themen:

• Antispamstempel

• Anlagenfilterung

• Verbindungsfilterung

• Inhaltsfilterung

• Benutzerhandbuch "Microsoft Forefront Security für Exchange Server"

• Schützen Ihrer Microsoft Exchange-Organisation mit Microsoft Forefront Security für Exchange Server

• Empfängerfilterung

• Aggregation von Listen sicherer Adressen

• Anpassen des Schwellenwerts für die SCL-Bewertung (Spam Confidence Level)

• Quarantänepostfach für Spam

• Absenderfilterung

• Sender ID

• Absenderzuverlässigkeit

• Konfigurieren von Antispamfeatures zum Verringern des Spamvolumens

• Informationen zur Antispam- und Antivirennachrichtenübermittlung

• Antispamaktualisierungen

• Planen der Antivirusbereitstellung