Absenderzuverlässigkeit

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2006-09-18

Der Absenderzuverlässigkeits-Agent ist eine Antispamfunktion, die auf Computern aktiviert ist, auf denen die Microsoft Exchange Server 2007-Serverfunktion Edge-Transport installiert ist, um Nachrichten anhand zahlreicher Eigenschaften des Absenders zu blocken. Die Absenderzuverlässigkeit verwendet bestehende Daten zum Absender, um die Aktion zu bestimmen, die ggf. für eine eingehende Nachricht ausgeführt werden soll.

Beim Konfigurieren von Antispam-Agents auf einem Edge-Transport-Server bearbeitet der Agent Nachrichten kumulativ, um die Anzahl der unerwünschten Nachrichten zu verringern, die in die Organisation gelangen. Weitere Informationen über das Planen und Bereitstellen von Antispam-Agents finden Sie unter Antispam- und Antivirusfunktionen.

Berechnung des Absenderzuverlässigkeitsgrads

Aus folgender Statistik wird ein Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) berechnet:

• HELO/EHLO-Analyse   Zweck der SMTP-Befehle HELO und EHLO ist es, dem empfangenden SMTP-Server den Domänennamen, beispielsweise Contoso.com, oder die IP-Adresse des sendenden SMTP-Servers bereitzustellen. Böswillige Benutzer und Spammer fälschen die HELO/EHLO-Anweisung häufig auf verschieden Arten. Beispielsweise geben Sie eine IP-Adresse ein, die nicht der IP-Adresse entspricht, von der die Verbindung tatsächlich hergestellt wurde. Spammer fügen auch Domänen in die HELO-Anweisung ein, von denen bekannt ist, dass sie von dem empfangenden Server lokal unterstützt werden, in dem Versuch der Vortäuschung, dass sich die Domänen innerhalb der Organisation befinden. In anderen Fällen ändern Spammer wiederum die Domäne, die in der HELO-Anweisung übergeben wird. Rechtmäßige Benutzer mögen zwar auch verschiedene Sätze von Domänen in ihren HELO-Anweisungen verwenden, doch sind diese normalerweise relativ konstant.

  Daher kann die Analyse der HELO/EHLO-Anweisung auf Absenderbasis darauf hinweisen, dass es sich bei dem Absender wahrscheinlich um einen Spammer handelt. Ein Absender, der beispielsweise innerhalb eines bestimmten Zeitraums viele verschiedene, aber eindeutige HELO/EHLO-Anweisungen bereitstellt, ist mit höherer Wahrscheinlichkeit ein Spammer. Absender, die in der HELO-Anweisung konsistent eine IP-Adresse angeben, die nicht der Ursprungs-IP-Adresse entspricht, wie sie vom Verbindungsfilter-Agent ermittelt wird, sind ebenso mit höherer Wahrscheinlichkeit Spammer, wie es Remoteabsender sind, die in der HELO-Anweisung konsistent den Namen einer lokalen Domäne angeben, die sich in derselben Organisation wie der Edge-Transport-Server befindet.

• Reverse-DNS-Lookup   Die Absenderzuverlässigkeit überprüft auch, ob die Ursprungs-IP-Adresse, von der der Absender die Nachricht übermittelt hat, dem registrierten Domänennamen entspricht, der vom Absender mit dem SMTP-Befehl HELO oder EHLO übermittelt wird.

  Die Absenderzuverlässigkeit führt eine Reverse-DNS-Abfrage aus, indem die Ursprungs-IP-Adresse an DNS übermittelt wird. Das von DNS zurückgegebene Ergebnis ist der Domänenname, der für diese IP-Adresse von der zuständigen Stelle für die Vergabe von Domänennamen registriert wurde. Die Absenderzuverlässigkeit vergleicht den von DNS zurückgegebenen Domänennamen mit dem Domänennamen, der vom Absender mit dem SMTP-Befehl HELO/EHLO übermittelt wurde Wenn sich die Domänennamen nicht entsprechen, ist der Absender wahrscheinlich ein Spammer, und der Wert der SRL-Gesamtbewertung für diesen Absender wird nach oben angepasst.

  Der Sender ID-Agent führt eine ähnliche Aufgabe aus, aber sein Erfolg hängt von rechtmäßigen Absendern ab, die ihre DNS-Infrastruktur aktualisieren, um alle E-Mail sendenden SMTP-Server in deren Organisation zu identifizieren. Mit einem Reverse-DNS-Lookup können Sie bei der Identifizierung potenzieller Spammer helfen.

• Analyse von SCL-Bewertungen für Nachrichten eines bestimmten Absenders   Wenn der Inhaltsfilter-Agent eine Nachricht verarbeitet, weist er dieser eine SCL-Bewertung (Spam Confidence Level) zu. Die SCL-Bewertung ist eine Zahl von 0 bis 9. Eine höhere SCL-Bewertung zeigt an, dass es sich bei einer Nachricht mit größerer Wahrscheinlichkeit um Spam handelt. Die Daten über jeden Absender und die SCL-Bewertungen ihrer Nachrichten sind beständig verfügbar für die Analyse durch die Absenderzuverlässigkeit. Die Absenderzuverlässigkeit berechnet die Statistik für einen Absender aus dem Verhältnis aller Nachrichten dieses Absenders mit einer niedrigen SCL-Bewertung in der Vergangenheit und allen Nachrichten dieses Absenders mit einer hohen SCL-Bewertung in der Vergangenheit. Zusätzlich fließt die Anzahl der Nachrichten mit einer hohen SCL-Bewertung, die der Absender innerhalb des letzten Tags versendet hat, in die SRL-Gesamtbewertung ein.

• Open Proxy-Test für Absender   Ein Open Proxy ("offener Proxy") ist ein Proxyserver, der ortsunabhängig alle Verbindungsanforderungen akzeptiert und den Datenverkehr so weiterleitet, als ob er von den lokalen Hosts stammte. Proxyserver leiten TCP-Verkehr durch Firewallhosts weiter, um Benutzeranwendungen einen transparenten Zugriff hinter die Firewall zu gestatten Da Proxyprotokolle schlank und von Benutzeranwendungsprotokollen unabhängig sind, können Proxys von vielen verschiedenen Diensten verwendet werden. Proxys können auch zur gemeinsamen Nutzung einer Internetverbindung durch mehrere Hosts verwendet werden. Proxys werden normalerweise so eingerichtet, dass nur vertrauenswürdige Hosts innerhalb der Firewall den jeweiligen Proxy passieren dürfen.

  Open Proxys können aus jedem der folgenden Gründe vorhanden sein:

  • Unabsichtliche Fehlkonfiguration

  • Böswillige Programme des Typs Trojanisches Pferd. Ein Trojanisches Pferd ist ein Programm, dass sich als ein anderes gängiges Programm ausgibt, um Informationen abzurufen.

  Open Proxys, die häufig auch über unzureichende Protokollierung verfügen, bieten böswilligen Benutzern eine ideale Möglichkeit, um ihre wahre Identität zu verbergen sowie um DoS-Angriffe (Denial of Service) zu starten oder um Spam zu senden. Da Proxyserver zunehmend als "standardmäßig offen" konfiguriert werden, treten Open Proxys immer häufiger auf. Darüber hinaus können böswillige Benutzer mehrere Open Proxys verwenden, um die Ursprungs-IP-Adresse des Absenders zu verschleiern.

  Wenn die Absenderzuverlässigkeit einen Open Proxy-Test durchführt, wird eine SMTP-Anforderung formatiert, um von dem offenen Proxyserver aus eine Verbindung zurück zum Edge-Transport-Server herzustellen. Wenn von dem Proxyserver eine SMTP-Anforderung empfangen wird, stellt die Absenderzuverlässigkeit fest, dass es sich bei dem Proxyserver um einen Open Proxy handelt, und aktualisiert die Open Proxy-Teststatistik dieses Absenders entsprechend.

Die Absenderzuverlässigkeit wägt die jede einzelne Statistik ab und berechnet einen Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) für jeden Absender. Der Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) ist eine Zahl zwischen 0 und 9 zur Vorhersage der Wahrscheinlichkeit, dass ein bestimmter Absender ein Spammer oder in anderer Weise böswilliger Benutzer ist. Ein Wert von 0 gibt an, dass es sich bei dem Absender wahrscheinlich nicht um einen Spammer handelt. Ein Wert von 9 gibt an, dass es sich bei dem Absender wahrscheinlich um einen Spammer handelt.

Sie können einen Sperrschwellenwert zwischen 0 und 9 konfigurieren, ab dem die Absenderzuverlässigkeit eine Anforderung an den Absenderfilter-Agent ausgibt, wodurch der Absender dann am Senden einer Nachricht in die Organisation gehindert wird. Wenn ein Absender geblockt wird, wird er der Liste der geblockten Absender für einen konfigurierbaren Zeitraum hinzugefügt. Die Art der Verarbeitung von geblockten Nachrichten hängt von der Konfiguration des Absenderfilter-Agents ab. Folgende Aktionen stehen für die Verarbeitung geblockter Nachrichten zur Wahl:

• Ablehnen

• Löschen und archivieren

• Akzeptieren und als geblockten Absender kennzeichnen

Wenn ein Absender in die Sperrliste oder den IP-Zuverlässigkeitsdienst von Microsoft aufgenommen wurde, gibt die Absenderzuverlässigkeit eine sofortige Anforderung an den Absenderfilter-Agent aus, um den Absender zu blocken. Um von dieser Funktionalität profitieren zu können, müssen Sie die automatischen Antispamupdates von Microsoft Exchange aktivieren und konfigurieren.

Für Absender, die nicht analysiert wurden, legt der Edge-Transport-Server standardmäßig eine Bewertung von 0 fest. Nachdem eine Absender mindestens 20 Nachrichten gesendet hat, berechnet die Absenderzuverlässigkeits einen SRL auf Grundlage der zuvor in diesem Thema beschriebenen Statistik.

Verwenden eines Absenderzuverlässigkeitsgrads (Sender Reputation Level, SRL)

Die Absenderzuverlässigkeit verarbeitet Nachrichten zwischen zwei Phasen der SMTP-Sitzung:

• Während des SMTP-Befehls MAIL FROM:   Die Absenderzuverlässigkeit verarbeitet eine Nachricht nur, wenn diese vom Verbindungsfilter-Agent, vom Absenderfilter-Agent, vom Empfängerfilter-Agent oder vom Sender ID-Agent geblockt oder anderweitig verarbeitet wurde. In einem solchen Fall ruft die Absenderzuverlässigkeit die aktuelle SRL-Bewertung des Absenders aus dessen Absenderprofil ab, das für ihn in der Edge-Transport-Datenbank beständig geführt wird. Nach dem Abrufen und Auswerten dieser Bewertung gibt die Konfiguration des Edge-Transport-Servers das Verhalten vor, das aufgrund des Sperrschwellenwerts bei der jeweiligen Verbindung auftritt.

• Nach dem SMTP-Befehl "end of data" (Ende der Daten)   Der SMTP-Befehl "Ende der Datenübertragung" (End of Data Transfer, _EOD) wird ausgeführt, nachdem alle tatsächlichen Nachrichtendaten gesendet wurden. Zu diesem Zeitpunkt der SMTP-Sitzung wurde die Nachricht bereits von zahlreichen Antispam-Agents verarbeitet. Als Begleiteffekt der Antispamverarbeitung wird die Statistik, die Absenderzuverlässigkeit benötigt, aktualisiert. Deshalb verfügt die Absenderzuverlässigkeit über die Daten, die zum Berechnen oder Neuberechnen einer SRL-Bewertung für den Absender notwendig sind.

Weitere Informationen finden Sie unter Konfigurieren der Absenderzuverlässigkeit.

Weitere Informationen

Weitere Informationen zu Antispamfeatures in Outlook 2007 finden Sie unter den folgenden Themen:

• Antispam- und Antivirusfunktionen

• Verwalten der Antispam- und Antivirenfunktionen

Weitere Informationen zum Konfigurieren der Absenderzuverlässigkeit finden Sie unter den folgenden Themen:

• Konfigurieren der Absenderzuverlässigkeit

• Aktivieren der Absenderzuverlässigkeit

• Festlegen des Sperrschwellenwerts für den Absenderzuverlässigkeitsgrad

• Aktivieren oder Deaktivieren der Erkennung offener Proxyserver für die Absenderzuverlässigkeit

• Konfigurieren des ausgehenden Zugriffs für die Erkennung von offenen Proxyservern für die Absenderzuverlässigkeit