Grundlegendes zur Empfängerfilterung

  • Artikel

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2010-01-18

Der Empfängerfilter-Agent ist ein Antispam-Agent, der auf Computern aktiviert ist, auf denen Microsoft Exchange Server 2010 mit installierter Edge-Transport-Serverrolle ausgeführt wird. Der Empfängerfilter-Agent verwendet die RCPT-TO-SMTP-Kopfzeile (Simple Mail Transport Protocol), um gegebenenfalls die Aktion zu bestimmen, die auf eine eingehende Nachricht angewendet werden soll.

Beim Konfigurieren von Antispam-Agents auf einem Edge-Transport-Server bearbeitet der Agent Nachrichten kumulativ, um die Anzahl der unerwünschten Nachrichten zu verringern, die in die Organisation gelangen. Weitere Informationen zum Planen und Bereitstellen von Agents zur Bekämpfung von Spam finden Sie unter Grundlegendes zur Antispam- und Antivirusfunktionalität.

Der Empfängerfilter-Agent blockt Nachrichten entsprechend den Eigenschaften des beabsichtigten Empfängers in der Organisation. Der Empfängerfilter-Agent kann Ihnen dabei helfen, in folgenden Szenarios die Annahme von Nachrichten zu verhindern:

  • Nicht vorhandene Empfänger   Sie können die Zustellung an Empfänger verhindern, die nicht im Adressbuch der Organisation vorhanden sind. Möglicherweise möchten Sie die Zustellung an häufig missbrauchte Kontonamen wie administrator@contoso.com oder support@contoso.com unterbinden.
  • Eingeschränkte Verteilerlisten   Sie können die Zustellung von Internet Mail an Verteilerlisten verhindern, die nur von internen Benutzern verwendet werden sollten.
  • Postfächer, die keine Nachrichten über das Internet empfangen dürfen sollen   Sie können die Zustellung von Internet-E-Mails an ein bestimmtes Postfach bzw. an einen Alias verhindern, das/der normalerweise innerhalb der Organisation verwendet wird, z. B. Helpdesk.

Der Empfängerfilter-Agent verarbeitet Empfänger, die in einer der beiden folgenden Datenquellen gespeichert sind:

  • Empfängersperrliste   Eine vom Administrator definierte Liste von Empfängern, für die über das Internet eingehende Nachrichten nie akzeptiert werden sollen.
  • Empfänger-Lookup   Überprüfung, dass der Empfänger in der Organisation vorhanden ist. Empfänger-Lookup erfordert Zugriff auf Active Directory-Informationen, die von EdgeSync für Active Directory Lightweight Directory Services (AD LDS) bereitgestellt werden.

Weitere Informationen zu Empfängersperrlisten und der Empfänger-Lookup-Funktion finden Sie weiter unten in diesem Thema unter "Empfängerdatenquellen".

Wenn der Empfängerfilter-Agent aktiviert wird, wird entsprechend der Eigenschaften des Empfängers mit eingehenden Nachrichten eine der folgenden Aktionen ausgeführt. Diese Empfänger werden durch die RCPT TO-Kopfzeile identifiziert.

  • Wenn die eingehende Nachricht einen Empfänger enthält, der in der Empfängersperrliste steht, sendet der Edge-Transport-Server einen SMTP-Sitzungsfehler "550 5.1.1 User unknown" (Unbekannter Benutzer) an den Absenderserver.
  • Wenn die eingehende Nachricht einen Empfänger enthält, der keinem Empfänger im Empfänger-Lookup entspricht, sendet der Edge-Transport-Server den SMTP-Sitzungsfehler "550 5.1.1 User unknown" (Unbekannter Benutzer) an den Absenderserver.
  • Wenn der Empfänger weder in der Empfängersperrliste steht noch im Empfänger-Lookup zu finden ist, sendet der Edge-Transport-Server die SMTP-Antwort "250 2.1.5 Recipient OK" (Gültiger Empfänger) an den Absenderserver, und der nächste Antispam-Agent in der Reihe verarbeitet die Nachricht.

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Antispam- und Antivirenfunktionen gibt? Informationen hierzu finden Sie unter Verwalten der Antispam- und Antivirenfunktionen.

Inhalt

Konfigurieren von AD LDS für den Empfänger-Lookup

Empfängerdatenquellen

Teergrubenfunktion (Tarpitting)

Konfigurieren des Teergrubenintervalls

Mehrere Namespaces

Konfigurieren von AD LDS für den Empfänger-Lookup

Eins der effektivsten Verfahren zum Verringern von Spam besteht in der Überprüfung von Empfängern vor dem Akzeptieren eingehender Nachrichten aus dem Internet. Daher empfiehlt es sich, für die AD LDS-Instanz, die auf dem Edge-Transport-Server ausgeführt wird, die Synchronisierung mit Active Directory auszuführen. Standardmäßig wird AD LDS auf dem Edge-Transport-Server installiert und konfiguriert. Sie müssen AD LDS jedoch für die Kommunikation mit einem globalen Katalogserver einer Active Directory-Domäne konfigurieren. In den meisten Fällen muss auch die Firewall für das Aktivieren bestimmter Anschlüsse für die Kommunikation mit AD LDS konfiguriert werden. Weitere Informationen finden Sie unter Grundlegendes zu Edge-Abonnements.

Nachdem Sie AD LDS für die Replikation einer Empfängersperrliste von Active Directory konfiguriert haben, müssen Sie anschließend die Sperrung von Nachrichten an Empfänger aktivieren, die nicht in der Exchange-Organisation vorhanden sind. Die Nachrichtensperrung wird auf der Registerkarte Blockierte Empfänger auf der Seite Empfängerfilterung Eigenschaften in der Exchange-Verwaltungskonsole aktiviert. Darüber hinaus können Sie die Nachrichtensperrung auch mithilfe des Cmdlets Set-RecipientFilterConfig in der Exchange-Verwaltungsshell aktivieren. Weitere Informationen finden Sie unter Set-RecipientFilterConfig.

Nach oben

Empfängerdatenquellen

Wie bereits erwähnt, verwendet der Empfängerfilter-Agent zwei Datenquellen zum Vergleichen von Empfängern in eingehenden Nachrichten: die Empfängersperrliste und Empfänger-Lookup.

Empfängersperrliste

Die Empfängersperrliste wird von den Administratoren des Edge-Transport-Servers verwaltet. Die Daten der Empfängersperrliste werden in der Edge-Transport-Serverinstanz von AD LDS gespeichert. Blockierte Empfänger müssen auf jedem Edge-Transport-Servercomputer einzeln eingegeben werden.

Die Empfänger, die vom Empfängerfilter-Agent blockiert werden sollen, können in der Exchange-Verwaltungskonsole auf der Seite Empfängerfilterung Eigenschaften auf der Registerkarte Blockierte Empfänger eingegeben werden. Zum Eingeben der Empfänger können Sie das Cmdlet Set-RecipientFilterConfig in der Shell verwenden. Weitere Informationen zum Konfigurieren des Empfängerfilter-Agents finden Sie unter Konfigurieren der Eigenschaften von Empfängerfiltern.

Empfänger-Lookup

Ein Vorteil des Empfängerfilter-Agents besteht darin, dass verifiziert werden kann, ob sich die Empfänger einer eingehenden Nachricht in Ihrer Organisation befinden, bevor Exchange 2010 die Nachricht in Ihre Organisation übermittelt wird. Diese Funktion basiert auf einer Empfängerdatenquelle, die dem Edge-Transport-Server zur Verfügung steht. Da der Edge-Transport-Server kein der Active Directory-Domäne beigetretener Computer ist und von der Organisation durch eine Firewall getrennt sein kann, müssen Sie eine Empfänger-Lookup-Datenquelle konfigurieren, die vom Edge-Transport-Server verwendet werden soll.

Die Edge-Transport-Serverrolle verwendet AD LDS für die Konfiguration und Datenspeicherung. Weitere Informationen finden Sie unter Grundlegendes zu Edge-Abonnements.

Nach oben

Teergrubenfunktion (Tarpitting)

Die Empfänger-Lookup-Funktion ermöglicht einem Absenderserver die Überprüfung, ob eine E-Mail-Adresse gültig ist oder nicht. Wie bereits erwähnt, sendet der Edge-Transport-Server, wenn es sich bei dem Empfänger einer eingehenden Nachricht um einen bekannten Empfänger handelt, eine SMTP-Antwort "250 2.1.5 Recipient OK" (Gültiger Empfänger) an den Absenderserver zurück. Diese Funktionalität bietet eine ideale Umgebung für einen Verzeichnisdiebstahl-Angriff.

Ein Verzeichnisdiebstahl-Angriff ist ein Versuch, gültige E-Mail-Adressen einer bestimmten Organisation zu sammeln, um diese Adressen einer Spamdatenbank hinzuzufügen. Da alle Erlöse aus Spam darauf beruhen, Personen dazu zu bringen, E-Mail-Nachrichten zu öffnen, sind Adressen, die als aktiv bekannt sind, eine Art Ware, für die bösartige Benutzer oder Spammer Geld bezahlen. Da das SMTP-Protokoll Rückmeldungen für bekannte und unbekannte Absender liefert, kann ein Spammer ein automatisiertes Programm schreiben, das gemeinsame Namen oder Wörterbucheinträge verwendet, um E-Mail-Adressen an eine bestimmte Domäne zu konstruieren. Das Programm sammelt dann alle E-Mail-Adressen, die eine SMTP-Antwort "250 2.1.5 Recipient OK" (Gültiger Empfänger) zurückgeben, und verwirft alle E-Mail-Adressen, die einen SMTP-Sitzungsfehler "550 5.1.1 User unknown" (Unbekannter Benutzer) zurückgeben. Der Spammer kann nun die gültigen E-Mail-Adressen verkaufen oder als Empfänger für unerwünschte Nachrichten verwenden.

Zur Bekämpfung von Verzeichnisdiebstahl-Angriffen enthält Exchange 2010 eine Teergrubenfunktion (Tarpitting). Beim Teergrubenverfahren handelt es sich um eine Methode, bei der Serverantworten auf bestimmte SMTP-Kommunikationsmuster, die auf hohe Volumen von Spam oder anderen unerwünschten Nachrichten hindeuten, künstlich verzögert werden. Das Ziel des Teergrubenverfahrens ist es, den Kommunikationsprozess für solchen E-Mail-Verkehr zu verlangsamen, damit sich die Kosten des Versendens von Spam für die Person oder Organisation, von der die Spamnachrichten gesendet werden, erhöhen. Durch das Teergrubenverfahren werden Verzeichnisdiebstahl-Angriffe zu kostspielig, um sie effizient automatisieren zu können.

Wenn die Teergrubenfunktion nicht konfiguriert ist, gibt Exchange Server sofort de SMTP-Sitzungsfehler "550 5.1.1 User unknown" (Unbekannter Benutzer) an den Absender zurück, wenn ein Empfänger nicht im Empfänger-Lookup gefunden wird. Alternativ wartet SMTP bei konfigurierter Teergrubenfunktion eine festgelegte Anzahl von Sekunden, bevor der Fehler "550 5.1.1 User unknown" (Unbekannter Benutzer) zurückgegeben wird. Diese Pause innerhalb der SMTP-Sitzung erschwert die Automatisierung eines Verzeichnisdiebstahl-Angriffs und erhöht die Kosten für den Spammer. Das Teergrubenverfahren ist für Empfangsconnectors standardmäßig auf 5 Sekunden festgelegt.

Zur Konfiguration des Zeitintervalls, nach dem SMTP den Fehler "550 5.1.1 User unknown" (Unbekannter Benutzer) zurückgibt, verwenden Sie die Exchange-Verwaltungskonsole oder die Shell, um den Wert TarpitInterval auf dem Empfangsconnector festzulegen. Weitere Informationen zum Verwalten und Konfigurieren von Empfangsconnectors finden Sie unter Grundlegendes zu Empfangsconnectors.

Nach oben

Konfigurieren des Teergrubenintervalls

Wie in Grundlegendes zur Empfängerfilterung erläutert, können Sie die Empfangsconnectors, die eingehende Nachrichten aus dem Internet verarbeiten, so konfigurieren, dass die SMTP-Antwort verlangsamt wird. Stellen Sie sicher, dass das Teergrubenverfahren auf den Empfangsconnectors aktiviert ist, insbesondere wenn die Empfänger-Lookup-Funktion der Empfängerfilterung aktiviert ist. Wenn das Teergrubenverfahren nicht aktiviert ist, die Empfänger-Lookup-Funktion jedoch schon, wird die Organisation einem Verzeichnisdiebstahl-Angriff ausgesetzt. Ein Verzeichnisdiebstahl-Angriff führt wahrscheinlich zu mehr Spam.

Wenn Sie ein Teergrubenintervall auf einem Empfangsconnector angeben, ist die Teergrubenfunktion aktiviert. Die Standardeinstellung ist 5 Sekunden. Es wird empfohlen, mit einem Wert von 5 (Sekunden) zu beginnen. Gehen Sie umsichtig vor, wenn Sie sich entscheiden, diesen Wert zu ändern. Ein übermäßig langes Intervall kann die normale Nachrichtenübermittlung unterbrechen, während ein zu kurzes Intervall möglicherweise nicht ausreichend effektiv beim Abwehren eines Verzeichnisdiebstahl-Angriffs ist. Wenn Sie den Wert für das Teergrubenintervall ändern, nehmen Sie die Änderung in kleinen Schritten vor.

Das Teergrubenintervall wird auf der Registerkarte Sicherheit der Eigenschaftenseiten des Empfangsconnectors in der Exchange-Verwaltungskonsole festgelegt. Weitere Informationen zum Konfigurieren des Teergrubenintervalls mithilfe der Exchange-Verwaltungskonsole verwenden, finden Sie unter Konfigurieren der Eigenschaften von Empfangsconnectors.

Darüber hinaus können Sie das Teergrubenintervall auch mithilfe des Cmdlets Set-ReceiveConnector in der Shell festlegen.

Nach oben

Mehrere Namespaces

Manche Organisationen akzeptieren E-Mail-Nachrichten für mehrere Domänen. So kann beispielsweise eine Organisation Nachrichten für beide Domänen Contoso.com und Woodgrovebank.com akzepieren. Manchmal sind Organisationen für alle Domänen autoritativ, für die Nachrichten akzeptiert werden. Im SMTP-Kontext ist die Organisation für eine Domäne autoritativ, wenn die Organisation die Postfächer dieser Domäne enthält und verwaltet. Diese Beziehung dehnt sich bis auf den Edge-Transport-Server aus. Ein Edge-Transport-Server kann Nachrichten für mehrere Domänen akzeptieren, kann aber nicht für alle diese Domänen autoritativ sein. Ein Edge-Transport-Server kann also beispielsweise so konfiguriert sein, dass er für alle Empfänger in der Domäne Contoso.com autoritativ ist, aber der Edge-Transport-Server akzeptiert immer noch Nachrichten für die Domäne Woodgrovebank.com und leitet sie weiter.

Wenn der Empfängerfilter-Agent aktiviert wird, führt er Empfänger-Lookups nur für die Domänen aus, die in der Transportserverkonfiguration als autoritativ angegeben sind. Wenn ein Edge-Transport-Server Nachrichten im Auftrag einer anderen Domäne akzeptiert und weiterleitet, der Edge-Transport-Server jedoch nicht als autoritativ konfiguriert ist, führt der Empfängerfilter-Agent kein Empfänger-Lookup aus. Wenn allerdings ein nicht autorisierter Empfänger in der Empfängersperrliste angegeben ist, wird der Empfänger dennoch blockiert.

Nach oben