Grundlegendes zur Kopfzeilenfirewall
Gilt für: Exchange Server 2010
Letztes Änderungsdatum des Themas: 2010-01-27
In Microsoft Exchange Server 2010 ist die Kopfzeilenfirewall ein Mechanismus, der bestimmte Kopfzeilenfelder aus ein- und ausgehenden Nachrichten entfernt. Computer mit Exchange 2010, auf denen die Hub-Transport- oder Edge-Transport-Serverrolle installiert ist, fügen benutzerdefinierte X-Kopfzeilenfelder in den Nachrichtenkopf ein. Eine X-Kopfzeile ist ein benutzerdefiniertes, inoffizielles Kopfzeilenfeld, das im Nachrichtenkopf vorhanden ist. X-Kopfzeilen werden in RFC 2822 nicht ausdrücklich erwähnt, doch die Verwendung eines nicht definierten Kopfzeilenfelds, das mit X- beginnt, hat sich zu einer akzeptierten Methode entwickelt, um einer Nachricht inoffizielle Kopfzeilenfelder hinzuzufügen. Messaginganwendungen, wie z. B. Antipsam-, Antivirus- oder Messagingserveranwendungen, können einer Nachricht ihre eigenen X-Kopfzeilen hinzufügen. X-Kopfzeilenfelder bleiben zwar normalerweise erhalten, werden aber von Messagingservern und -clients, die keine X-Kopfzeilenfelder verwenden, ignoriert.
Die X-Kopfzeilenfelder enthalten Einzelheiten zu den Aktionen, die durch den Transportserver für die Nachricht ausgeführt werden, z. B. für die SCL-Bewertung (Spam Confidence Level), die Ergebnisse der Inhaltsfilterung und den Status der Regelverarbeitung. Die Offenlegung solcher Informationen gegenüber nicht autorisierten Quellen kann ein potenzielles Sicherheitsrisiko darstellen.
Die Kopfzeilenfirewall verhindert das Spoofing dieser X-Kopfzeilen, indem diese aus eingehenden Nachrichten entfernt werden, die aus nicht vertrauenswürdigen Quellen in die Exchange-Organisation gelangen. Die Kopfzeilenfirewall verhindert die Offenlegung dieser X-Kopfzeilen, indem diese aus ausgehenden Nachrichten entfernt werden, die an nicht vertrauenswürdige Ziele außerhalb der Exchange-Organisation adressiert sind. Die Kopfzeilenfirewall verhindert außerdem das Spoofing von Standardroutingkopfzeilen, die zum Verfolgen des Routingverlaufs einer Nachricht verwendet werden.
Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Transportservern gibt? Informationen hierzu finden Sie unter Verwalten von Transportservern.
Inhalt
In Exchange 2010 verwendete benutzerdefinierte Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen
Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen
Kopfzeilenfirewall für Routingkopfzeilen
Kopfzeilenfirewall und frühere Versionen von Exchange
In Exchange 2010 verwendete benutzerdefinierte Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen
Organisations-X-Kopfzeilen beginnen mit X-MS-Exchange-Organization-. Gesamtstruktur-X-Kopfzeilen beginnen mit X-MS-Exchange-Forest-.
In der folgenden Tabelle sind einige der Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen beschrieben, die in Nachrichten in einer Exchange 2010-Organisation verwendet werden.
Auswahl einiger Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die in Nachrichten in einer Exchange 2010-Organisation verwendet werden
| X-Kopfzeile | Beschreibung |
|---|---|
X-MS-Exchange-Forest-RulesExecuted |
Diese X-Kopfzeile listet die Transportregeln auf, die für die Nachricht ausgeführt wurden. |
X-MS-Exchange-Organization-Antispam-Report |
Diese X-Kopfzeile ist ein Zusammenfassungsbericht der Ergebnisse der Antispamfilter, die auf die E-Mail-Nachricht durch den Inhaltsfilter-Agent angewendet wurden. |
X-MS-Exchange-Organization-AuthAs |
Diese X-Kopfzeile ist immer vorhanden, wenn die Sicherheit einer Nachricht bewertet wurde. Diese X-Kopfzeile gibt die Authentifizierungsquelle an. Die möglichen Werte sind |
X-MS-Exchange-Organization-AuthDomain |
Diese X-Kopfzeile wird während der domänensicheren Authentifizierung mit Daten aufgefüllt. Der Wert ist der vollständig qualifizierte Domänenname (FQDN) der remote authentifizierten Domäne. |
X-MS-Exchange-Organization-AuthMechanism |
Diese X-Kopfzeile listet die Transportregeln auf, die für die Nachricht ausgeführt wurden. Der Wert ist eine zweistellige hexadezimale Zahl. |
X-MS-Exchange-Organization-AuthSource |
Diese X-Kopfzeile gibt den FQDN des Servercomputers an, der die Authentifizierung der Nachricht für die Organisation ausgewertet hat. |
X-MS-Exchange-Organization-Journal-Report |
Diese X-Kopfzeile gibt Journalberichte im Transportvorgang an. Sobald die Nachricht den Transportserver verlässt, ändert sich die Kopfzeile in "X-MS-Journal-Report". |
X-MS-Exchange-Organization-OriginalArrivalTime |
Diese X-Kopfzeile gibt die Uhrzeit an, zu der die Nachricht erstmals in die Exchange-Organisation eingegangen ist. |
X-MS-Exchange-Organization-Original-Sender |
Diese X-Kopfzeile gibt den ursprünglichen Absender einer isolierten Nachricht zu dem Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist. |
X-MS-Exchange-Organization-OriginalSize |
Diese X-Kopfzeile gibt die ursprüngliche Größe einer isolierten Nachricht zu dem Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist. |
X-MS-Exchange-Organization-Original-Scl |
Diese X-Kopfzeile gibt die ursprüngliche SCL-Bewertung einer isolierten Nachricht zu dem Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist. |
X-MS-Exchange-Organization-PCL |
Diese X-Kopfzeile gibt die PCL-Bewertung (Phishing Confidence Level) an. Die möglichen PCL-Werte sind 1 bis 8. Ein größerer Wert weist auf eine verdächtige Nachricht hin. Weitere Informationen finden Sie unter Grundlegendes zu Antispamstempeln. |
X-MS-Exchange-Organization-Quarantine |
Diese X-Kopfzeile gibt an, dass die Nachricht im Quarantänepostfach für Spam isoliert wurde und dass eine Benachrichtigung über den Zustellungsstatus (Delivery Status Notification, DSN) gesendet wurde. Sie kann auch angeben, dass die Nachricht isoliert und vom Administrator freigegeben wurde. Diese X-Kopfzeile verhindert, dass die freigegebene Nachricht erneut an das Quarantänepostfach für Span übermittelt wird. Weitere Informationen finden Sie unter Freigeben von Nachrichten unter Quarantäne aus dem Quarantänepostfach für Spam. |
X-MS-Exchange-Organization-SCL |
Diese X-Kopfzeile gibt die SCL-Bewertung der Nachricht an. Die möglichen SCL-Werte sind 0 bis 9. Ein größerer Wert weist auf eine verdächtige Nachricht hin. Der Sonderwert -1 nimmt die Nachricht von der Verarbeitung durch den Inhaltsfilter-Agent aus. Weitere Informationen finden Sie unter Grundlegendes zur Inhaltsfilterung. |
X-MS-Exchange-Organization-SenderIdResult |
Diese X-Kopfzeile enthält die Ergebnisse des Sender ID-Agents. Der Sender ID-Agent verwendet das SPF (Sender Policy Framework) zum Vergleichen der Quell-IP-Adresse der Nachricht mit der Domäne, die in der E-Mail-Adresse des Absenders verwendet wird. Die Ergebnisse der Sender ID werden verwendet, um die SCL-Bewertung für eine Nachricht zu berechnen. Weitere Informationen finden Sie unter Grundlegendes zur Sender ID. |
Nach oben
Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen
Exchange 2010 wendet die Kopfzeilenfirewall auf folgende Weise auf Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen an, die in Nachrichten vorhanden sind:
- Berechtigungen, die zum Beibehalten oder Entfernen bestimmter X-Kopfzeilen in Nachrichten verwendet werden können, werden Sendeconnectors oder Empfangsconnectors zugewiesen.
- Die Kopfzeilenfirewall wird automatisch für X-Kopfzeilen in Nachrichten während anderer Nachrichtenübermittlungsarten implementiert.
Anwenden der Kopfzeilenfirewall auf Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen in Nachrichten
Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die in eingehenden Nachrichten vorhanden sind, besteht aus zwei besonderen Berechtigungen, die einem Empfangsconnector zugewiesen werden, der auf einem Hub-Transport- oder einem Edge-Transport-Server konfiguriert ist:
- Wenn die Berechtigungen dem Empfangsconnector zugewiesen werden, wird die Kopfzeilenfirewall nicht auf die Nachricht angewendet. Die Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen in Nachrichten bleiben erhalten.
- Wenn die Berechtigungen nicht auf den Empfangsconnector angewendet werden, wird die Kopfzeilenfirewall auf die Nachricht angewendet. Die Organisations-X-Kopfzeilen oder Gesamtstruktur-X-Kopfzeilen werden aus der Nachricht entfernt.
In der folgenden Tabelle sind die Kopfzeilenfirewall-Berechtigungen für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen beschrieben, die für einen Empfangsconnector verfügbar sind.
Kopfzeilenfirewall-Berechtigungen für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die für einen Empfangsconnector für eingehende Nachrichten verfügbar sind
| Berechtigung | Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. | Berechtigungsgruppe, in der die Sicherheitsprinzipale Mitglieder sind. | Standardmäßig der Verwendungstyp, der dem Empfangsconnector die Berechtigungsgruppen zuweist. | Beschreibung |
|---|---|---|---|---|
Ms-Exch-Accept-Headers-Organization |
|
ExchangeServers |
|
Diese Berechtigung gilt für Organisations-X-Kopfzeilen. Organisations-X-Kopfzeilen beginnen mit X-MS-Exchange-Organization-. Wenn diese Berechtigung nicht erteilt wird, entfernt der empfangende Server alle Organisationskopfzeilen aus der Nachricht. |
Ms-Exch-Accept-Headers-Forest |
|
ExchangeServers |
|
Diese Berechtigung gilt für Gesamtstruktur-X-Kopfzeilen. Gesamtstruktur-X-Kopfzeilen beginnen mit X-MS-Exchange-Forest-. Wenn diese Berechtigung nicht erteilt wird, entfernt der empfangende Server alle Gesamtstrukturkopfzeilen aus der Nachricht. |
.gif "Bb232136.note(de-de,EXCHG.140).gif")
Hinweis:
Wenn Sie die Kopfzeilenfirewall in einem benutzerdefinierten Empfangsconnectorszenario auf Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen anwenden möchten, verwenden Sie eine der folgenden Methoden:
- Erstellen Sie einen Empfangsconnector, und wählen Sie einen anderen Verwendungstyp als
Internalaus. Der Verwendungstyp des Empfangsconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines SMTP-Empfangsconnectors. - Ändern Sie einen vorhandenen Empfangsconnector, und entfernen Sie die Berechtigungsgruppe "ExchangeServers". Weitere Informationen finden Sie unter Konfigurieren der Eigenschaften von Empfangsconnectors.
- Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigung "Ms-Exch-Accept-Headers-Organization" und die Berechtigung "Ms-Exch-Accept-Headers-Forest" von einem Sicherheitsprinzipal zu entfernen, der für den Empfangsconnector konfiguriert ist. Diese Methode funktioniert nicht, wenn die Berechtigung dem Sicherheitsprinzipal mithilfe einer Berechtigungsgruppe zugewiesen wurde. Sie können die zugewiesenen Berechtigungen oder die Gruppenmitgliedschaft einer Berechtigungsgruppe nicht ändern. Weitere Informationen finden Sie unter Remove-ADPermission.
- Verwenden Sie das Cmdlet Add-ADPermission, um einem Sicherheitsprinzipal, der für den Empfangsconnector konfiguriert ist, die Berechtigung "Ms-Exch-Accept-Headers-Organization" und die Berechtigung "Ms-Exch-Accept-Headers-Forest" zu verweigern. Weitere Informationen finden Sie unter Add-ADPermission.
Anwenden der Kopfzeilenfirewall auf Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen in ausgehenden Nachrichten
Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die in ausgehenden Nachrichten vorhanden sind, besteht aus zwei besonderen Berechtigungen, die einem Sendeconnector zugewiesen werden, der auf einem Hub-Transport- oder einem Edge-Transport-Server konfiguriert ist:
- Wenn die Berechtigungen dem Sendeconnector zugewiesen werden, wird die Kopfzeilenfirewall nicht auf die Nachricht angewendet. Die Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen in Nachrichten bleiben erhalten.
- Wenn die Berechtigungen nicht auf den Sendeconnector angewendet werden, wird die Kopfzeilenfirewall auf die Nachricht angewendet. Die Organisations-X-Kopfzeilen und die Gesamtstruktur-X-Kopfzeilen werden aus der Nachricht entfernt.
In der folgenden Tabelle sind die Kopfzeilenfirewall-Berechtigungen für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen beschrieben, die für einen Sendeconnector verfügbar sind.
Kopfzeilenfirewall-Berechtigungen für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die für einen Sendeconnector für ausgehende Nachrichten verfügbar sind
| Berechtigung | Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. | Standardmäßig der Verwendungstyp, der die Sicherheitsprinzipale dem Sendeconnector zuweist. | Beschreibung |
|---|---|---|---|
Ms-Exch-Send-Headers-Organization |
|
|
Diese Berechtigung gilt für Organisations-X-Kopfzeilen. Organisations-X-Kopfzeilen beginnen mit X-MS-Exchange-Organization-. Wenn diese Berechtigung nicht erteilt wird, entfernt der sendende Server alle Organisationskopfzeilen aus der Nachricht. |
Ms-Exch-Send-Headers-Forest |
|
|
Diese Berechtigung gilt für Gesamtstruktur-X-Kopfzeilen. Gesamtstruktur-X-Kopfzeilen beginnen mit X-MS-Exchange-Forest-. Wenn diese Berechtigung nicht erteilt wird, entfernt der sendende Server alle Gesamtstrukturkopfzeilen aus der Nachricht. |
Wenn Sie die Kopfzeilenfirewall in einem benutzerdefinierten Sendeconnectorszenario für Organisations-X-Kopfzeilen oder Gesamtstruktur-X-Kopfzeilen anwenden möchten, verwenden Sie eine der folgenden Methoden:
- Erstellen Sie einen Sendeconnector, und wählen Sie einen anderen Verwendungstyp als
InternaloderPartneraus. Der Verwendungstyp des Sendeconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines SMTP-Sendeconnectors. - Entfernen Sie einen Sicherheitsprinzipal, der die Berechtigung "Ms-Exch-Send-Headers-Organization" und die Berechtigung "Ms-Exch-Send-Headers-Forest" zuweist, vom Connector. Weitere Informationen finden Sie unter Konfigurieren der Eigenschaften von Sendeconnectors.
- Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigungen "Ms-Exch-Send-Headers-Organization" und "Ms-Exch-Send-Headers-Forest" von einem der Sicherheitsprinzipale zu entfernen, die für den Sendeconnector konfiguriert sind. Weitere Informationen finden Sie unter Remove-ADPermission.
- Verwenden Sie das Cmdlet Add-ADPermission, um einem der Sicherheitsprinzipale, die für den Sendeconnector konfiguriert sind, die Berechtigungen "Ms-Exch-Send-Headers-Organization" und "Ms-Exch-Send-Headers-Forest" zu verweigern. Weitere Informationen finden Sie unter Add-ADPermission.
Anwenden der Kopfzeilenfirewall auf Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen aus anderen Nachrichtenquellen
Nachrichten können in die Exchange 2010-Transportpipeline auf einem Hub-Transport- oder einem Edge-Transport-Server eingehen, ohne dass Sende- oder Empfangsconnectors verwendet werden. Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen wird auf Nachrichten angewendet, die aus diesen anderen Nachrichtenquellen stammen. Die folgende Liste beschreibt diese Quellen:
- PICKUP-Verzeichnis Das PICKUP-Verzeichnis wird von Administratoren oder Anwendungen zum Übermitteln von Nachrichtendateien verwendet. Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen wird immer auf die Nachrichtendateien im PICKUP-Verzeichnis angewendet. Weitere Informationen zum PICKUP-Verzeichnis finden Sie unter Grundlegendes zu den PICKUP- und Wiedergabeverzeichnissen.
- Wiedergabeverzeichnis Das Wiedergabeverzeichnis wird zum erneuten Übermitteln von Nachrichten verwendet, die aus Exchange 2010-Nachrichtenwarteschlangen exportiert wurden. Wie die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen auf diese Nachrichten angewendet wird, wird durch das
X-CreatedBy:-Kopfzeilenfeld in der Nachrichtendatei gesteuert:- Wenn der Wert des Kopfzeilenfelds
MSExchange14ist, wird die Kopfzeilenfirewall nicht auf die Nachricht angewendet. - Wenn der Wert von
X-CreatedBy:nichtMSExchange14ist, wird die Kopfzeilenfirewall angewendet. - Wenn das
X-CreatedBy:-Kopfzeilenfeld nicht in der Nachrichtendatei vorhanden ist, wird die Kopfzeilenfirewall angewendet.
Weitere Informationen zum Wiedergabeverzeichnis finden Sie unter Grundlegendes zu den PICKUP- und Wiedergabeverzeichnissen.
- Wenn der Wert des Kopfzeilenfelds
- Ablageverzeichnis Das Ablageverzeichnis wird von fremden Connectors auf Hub-Transport-Servern verwendet, um Nachrichten an Messagingserver zu senden, die zum Übertragen von Nachrichten nicht SMTP (Simple Mail Transfer Protocol) verwenden. Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen wird auf Nachrichtendateien angewendet, bevor sie im Ablageverzeichnis gespeichert werden. Weitere Informationen zu fremden Connectors finden Sie unter Grundlegendes zu fremden Connectors.
- Informationsspeichertreiber Der Informationsspeichertreiber ist auf Hub-Transport-Servern vorhanden, um Nachrichten in Postfächer und aus Postfächern auf Postfachservern zu transportieren. Für ausgehende Nachrichten, die in Postfächern erstellt und aus diesen übermittelt werden, wird die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen immer angewendet. Für eingehende Nachrichten wird die Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen selektiv angewendet. Die in der folgenden Liste angegebenen X-Kopfzeilen werden von der Kopfzeilenfirewall nicht für eingehende Nachrichten an Postfachempfänger blockiert:
- X-MS-Exchange-Organization-SCL
- X-MS-Exchange-Organization-AuthDomain
- X-MS-Exchange-Organization-AuthMechanism
- X-MS-Exchange-Organization-AuthSource
- X-MS-Exchange-Organization-AuthAs
- X-MS-Exchange-Organization-OriginalArrivalTime
- X-MS-Exchange-Organization-OriginalSize
Weitere Informationen zum Informationsspeichertreiber finden Sie unter Grundlegendes zur Transportpipeline.
- DSN-Nachrichten Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen wird immer auf die ursprüngliche Nachricht oder den ursprünglichen Nachrichtenkopf angewendet, der an die DSN-Nachricht angehängt ist. Weitere Informationen zu DSN-Nachrichten finden Sie unter Verwalten von Benachrichtigungen über den Zustellungsstatus.
- Agent-Übermittlung Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen wird nicht auf Nachrichten angewendet, die von Agents übermittelt werden.
Nach oben
Kopfzeilenfirewall für Routingkopfzeilen
Routingkopfzeilen sind Standard-SMTP-Kopfzeilenfelder, die in RFC 2821 und RFC 2822 definiert sind. Routingkopfzeilen stempeln eine Nachricht mithilfe von Informationen zu den verschiedenen Messagingservern, die für die Zustellung der Nachricht an den Empfänger verwendet wurden. Die verfügbaren Routingkopfzeilen werden in der folgenden Liste beschrieben.
- Received: Eine andere Instanz dieses Kopfzeilenfelds wird dem Nachrichtenkopf von jedem Messagingserver hinzugefügt, der die Nachricht angenommen und an den Empfänger weitergeleitet hat. Die
Received:-Kopfzeile enthält normalerweise den Namen des Messagingservers und einen Datums-/Uhrzeitstempel. - Resent-*: "Resent"-Kopfzeilenfelder sind Informationskopfzeilenfelder, die zum Bestimmen verwendet werden können, ob eine Nachricht von einem Benutzer weitergeleitet wurde. Die folgenden "Resent"-Kopfzeilenfelder sind verfügbar:
Resent-Date:,Resent-From:,Resent-Sender:,Resent-To:,Resent-Cc:,Resent-Bcc:undResent-Message-ID:.
Die "Resent"-Felder werden verwendet, damit die Nachricht dem Empfänger so erscheint, als wäre sie direkt vom ursprünglichen Absender gesendet worden. Der Empfänger kann den Nachrichtenkopf anzeigen und ermitteln, wer die Nachricht weitergeleitet hat.
In Nachrichten eingefügte Routingkopfzeilen können verwendet werden, um eine falsche Darstellung des Routingpfads zu geben, den eine Nachricht bis zum Eingang beim Empfänger durchlaufen hat. Exchange 2010 verwendet zwei verschiedene Methoden zum Anwenden der Kopfzeilenfirewall auf in Nachrichten vorhandene Routingkopfzeilen:
- Berechtigungen werden Sende- oder Empfangsconnectors zugewiesen, die zum Beibehalten oder Entfernen von Routingkopfzeilen in Nachrichten verwendet werden können.
- Die Kopfzeilenfirewall wird automatisch für Routingkopfzeilen in Nachrichten während anderer Nachrichtenübermittlungsarten implementiert.
Anwenden der Kopfzeilenfirewall auf Routingkopfzeilen in eingehenden Nachrichten
Empfangsconnectors verfügen über die Berechtigung "Ms-Exch-Accept-Headers-Routing", die zum Annehmen oder Zurückweisen von Routingkopfzeilen verwendet wird, die in einer eingehenden Nachricht vorhanden sind:
- Wird diese Berechtigung erteilt, bleiben alle Routingkopfzeilen in der eingehenden Nachricht erhalten.
- Wird diese Berechtigung nicht erteilt, werden alle Routingkopfzeilen aus der eingehenden Nachricht entfernt.
In der folgenden Tabelle ist die Standardanwendung der Berechtigung "Ms-Exch-Accept-Headers-Routing" für einen Empfangsconnector beschrieben.
Standardanwendung der Berechtigung "Ms-Exch-Accept-Headers-Routing" für einen Empfangsconnector
| Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. | Berechtigungsgruppe, in der die Sicherheitsprinzipale Mitglieder sind. | Standardmäßig der Verwendungstyp, der dem Empfangsconnector die Berechtigungsgruppen zuweist. |
|---|---|---|
Anonymes Benutzerkonto |
Anonymous |
|
Authentifizierte Benutzerkonten |
ExchangeUsers |
|
|
ExchangeServers |
|
Universelle Sicherheitsgruppe "Exchange Legacy Interop" |
ExchangeLegacyServers |
|
Partnerserverkonto |
Partner |
|
Die Berechtigung "Ms-Exch-Accept-Headers-Routing" wird allen Verwendungstypen mit Ausnahme von Custom zugewiesen. Wenn Sie die Kopfzeilenfirewall in einem benutzerdefinierten Empfangsconnectorszenario auf Routingkopfzeilen anwenden möchten, führen Sie die folgenden Schritte aus:
- Führen Sie eine der folgenden Aktionen aus:
- Erstellen Sie einen Empfangsconnector, und wählen Sie den Verwendungstyp
Customaus. Weisen Sie dem Empfangsconnector keine Berechtigungsgruppen zu. Sie können die zugewiesenen Berechtigungen oder die Gruppenmitgliedschaft einer Berechtigungsgruppe nicht ändern. - Ändern Sie einen vorhandenen Empfangsconnector, und legen Sie den Parameter PermissionGroups auf den Wert
Nonefest.
- Erstellen Sie einen Empfangsconnector, und wählen Sie den Verwendungstyp
- Verwenden Sie das Cmdlet Add-ADPermission, um die entsprechenden Sicherheitsprinzipale hinzuzufügen, die auf dem Empfangsconnector erforderlich sind. Stellen Sie sicher, dass keinem der Sicherheitsprinzipale die Berechtigung "Ms-Exch-Accept-Headers-Routing" zugewiesen wurde. Wenn dies erforderlich sein sollte, verwenden Sie das Cmdlet Add-ADPermission, um dem Sicherheitsprinzipal, der für die Verwendung des Empfangsconnectors konfiguriert werden soll, die Berechtigung "Ms-Exch-Accept-Headers-Routing" zu verweigern.
Weitere Informationen hierzu finden Sie unter den folgenden Themen:
- Erstellen eines SMTP-Empfangsconnectors
- Konfigurieren der Eigenschaften von Empfangsconnectors
- Add-ADPermission
- Remove-ADPermission
Anwenden der Kopfzeilenfirewall auf Routingkopfzeilen in ausgehenden Nachrichten
Sendeconnectors verfügen über die Berechtigung "Ms-Exch-Send-Headers-Routing", die zum Zulassen oder Entfernen von Routingkopfzeilen verwendet wird, die in einer ausgehenden Nachricht vorhanden sind:
- Wird diese Berechtigung erteilt, bleiben alle Routingkopfzeilen in der ausgehenden Nachricht erhalten.
- Wird diese Berechtigung nicht erteilt, werden alle Routingkopfzeilen aus der ausgehenden Nachricht entfernt.
In der folgenden Tabelle ist die Standardanwendung der Berechtigung "Ms-Exch-Send-Headers-Routing" für einen Sendeconnector beschrieben.
Standardanwendung der Berechtigung "Ms-Exch-Send-Headers-Routing" für einen Sendeconnector
| Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. | Standardmäßig der Verwendungstyp, der die Sicherheitsprinzipale dem Sendeconnector zuweist. |
|---|---|
|
|
Anonymes Benutzerkonto |
|
Partnerserver |
|
Die Berechtigung "Ms-Exch-Send-Headers-Routing" wird allen Verwendungstypen mit Ausnahme von Custom zugewiesen. Wenn Sie die Kopfzeilenfirewall in einem benutzerdefinierten Sendeconnectorszenario auf Routingkopfzeilen anwenden möchten, verwenden Sie eine der folgenden Methoden:
- Erstellen Sie einen Sendeconnector, und wählen Sie den Verwendungstyp
Customaus. Der Verwendungstyp des Sendeconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines SMTP-Sendeconnectors. - Entfernen Sie einen Sicherheitsprinzipal, der die Berechtigung "Ms-Exch-Send-Headers-Routing" zuweist, vom Connector. Weitere Informationen finden Sie unter Konfigurieren der Eigenschaften von Sendeconnectors.
- Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigung "Ms-Exch-Send-Headers-Routing" von einem der Sicherheitsprinzipale zu entfernen, die für den Sendeconnector konfiguriert sind. Weitere Informationen finden Sie unter Remove-ADPermission.
- Verwenden Sie das Cmdlet Add-ADPermission, um einem der Sicherheitsprinzipale, die für den Sendeconnector konfiguriert sind, die Berechtigung "Ms-Exch-Send-Headers-Routing" zu verweigern. Weitere Informationen finden Sie unter Add-ADPermission.
Anwenden der Kopfzeilenfirewall auf Routingkopfzeilen aus anderen Nachrichtenquellen
Nachrichten können in die Exchange 2010-Transportpipeline auf einem Hub-Transport- oder einem Edge-Transport-Server eingehen, ohne dass Sende- oder Empfangsconnectors verwendet werden. Die Kopfzeilenfirewall für Routingkopfzeilen wird auf andere Nachrichtenquellen angewendet, die in der folgenden Liste beschrieben werden:
- PICKUP-Verzeichnis Das PICKUP-Verzeichnis wird von Administratoren oder Anwendungen zum Übermitteln von Nachrichtendateien verwendet. Die Kopfzeilenfirewall für Routingkopfzeilen wird immer auf die Nachrichtendateien im PICKUP-Verzeichnis angewendet. Weitere Informationen zum PICKUP-Verzeichnis finden Sie unter Grundlegendes zu den PICKUP- und Wiedergabeverzeichnissen.
- Informationsspeichertreiber Der Informationsspeichertreiber ist auf Hub-Transport-Servern vorhanden, um Nachrichten in Postfächer und aus Postfächern auf Postfachservern zu transportieren. Die Kopfzeilenfirewall für Routingkopfzeilen wird immer auf alle Nachrichten angewendet, die aus Postfächern auf Postfachservern gesendet werden. Die Kopfzeilenfirewall für Routingkopfzeilen wird nicht auf eingehende Nachrichten für die Zustellung in Empfängerpostfächern angewendet. Weitere Informationen zum Informationsspeichertreiber finden Sie unter Grundlegendes zur Transportpipeline.
- DSN-Nachrichten Die Kopfzeilenfirewall für Routingkopfzeilen wird immer auf die ursprüngliche Nachricht oder den ursprüngliche Nachrichtenkopf angewendet, der an die DSN-Nachricht angehängt ist. Weitere Informationen zu DSN-Nachrichten finden Sie unter Verwalten von Benachrichtigungen über den Zustellungsstatus.
- Wiedergabeverzeichnis, Ablageverzeichnis und Agent-Übermittlung Die Kopfzeilenfirewall für Routingkopfzeilen wird nicht auf Nachrichten angewendet, die vom Wiedergabeverzeichnis, vom Ablageverzeichnis oder von Agents übermittelt werden.
Nach oben
Kopfzeilenfirewall und frühere Versionen von Exchange
Exchange 2003 und frühere Versionen von Exchange verwenden die Organisations-X-Kopfzeilen oder Gesamtstruktur-X-Kopfzeilen nicht. Exchange 2010 behandelt Versionen von Exchange, die älter sind als Exchange 2007, als nicht vertrauenswürdige Nachrichtenquellen. Die Kopfzeilenfirewall wird auf alle Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen angewendet, die von Servern stammen, die frühere Versionen von Exchange ausführen. Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen wird auch auf Nachrichten angewendet, die in der Exchange-Organisation vorhandenen Servern zugestellt werden, die frühere Versionen von Exchange ausführen.
Frühere Versionen von Exchange verwenden das proprietäre Verb X-EXCH50, um Informationen zu Nachrichten und Empfängern zu übermitteln, die nicht in die E-Mail-Nachricht aufgenommen werden können. Diese Informationen werden als Exch50-BLOB (Binary Large Object) übertragen. Das Exch50-BLOB ist eine Sammlung binärer Daten, die als einzelnes Objekt gespeichert werden. Exch50 enthält Daten, z. B. die SCL-Bewertung (Spam Confidence Level), Adressumschreibungsinformationen und weitere MAPI-Eigenschaften, die über keine MIME-Entsprechung verfügen. Da es sich bei X-EXCH50 um ein proprietäres ESMTP-Verb (Extended Simple Mail Transfer Protocol) handelt, können Exch50-Daten nicht von Servern, auf denen Exchange nicht installiert ist, weitergegeben werden. Weitere Informationen finden Sie unter Exchange 2003 - Planning Roadmap for Upgrade and Coexistence.
Routinggruppenconnectors zwischen Servercomputern, auf denen Exchange 2010 oder Exchange 2003 installiert ist, werden automatisch für die Unterstützung des Sendens und Empfangens von EXCH50-Daten konfiguriert. Sendeconnectors und Empfangsconnectors besitzen Berechtigungen, die den EXCH50-Befehl aktivieren.
In der folgenden Tabelle werden die Berechtigungen beschrieben, die den EXCH50-Befehl für einen Empfangsconnector für eingehende Nachrichten erlauben. Wenn eine dieser Berechtigungen nicht erteilt und eine Nachricht gesendet wird, die den EXCH50-Befehl enthält, nimmt der Server die Nachricht an, ohne den EXCH50-Befehl einzuschließen.
Berechtigungen, die den EXCH50-Befehl für einen Empfangsconnector für eingehende Nachrichten erlauben
| Berechtigung | Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. | Berechtigungsgruppe, in der die Sicherheitsprinzipale Mitglieder sind. | Standardmäßig der Verwendungstyp, der dem Empfangsconnector die Berechtigungsgruppen zuweist. |
|---|---|---|---|
Ms-Exch-Accept-Exch50 |
|
ExchangeServers |
|
Ms-Exch-Accept-Exch50 |
Universelle Sicherheitsgruppe "Exchange Legacy Interop" |
ExchangeLegacyServers |
|
Wenn Sie dem EXCH50-Befehl in einem benutzerdefinierten Empfangsconnectorszenario blockieren möchten, verwenden Sie eine der folgenden Methoden:
- Erstellen Sie einen Empfangsconnector, und wählen Sie einen anderen Verwendungstyp als
Internalaus. Der Verwendungstyp des Empfangsconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines SMTP-Empfangsconnectors. - Ändern Sie einen vorhandenen Empfangsconnector, und entfernen Sie die Berechtigungsgruppe "ExchangeServers". Weitere Informationen finden Sie unter Konfigurieren der Eigenschaften von Empfangsconnectors.
- Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigung "Ms-Exch-Accept-Exch50" von einem Sicherheitsprinzipal zu entfernen, der für den Empfangsconnector konfiguriert ist. Diese Methode funktioniert nicht, wenn die Berechtigung dem Sicherheitsprinzipal mithilfe einer Berechtigungsgruppe zugewiesen wurde. Sie können die zugewiesenen Berechtigungen oder die Gruppenmitgliedschaft einer Berechtigungsgruppe nicht ändern. Weitere Informationen finden Sie unter Remove-ADPermission.
- Verwenden Sie das Cmdlet Add-ADPermission, um einem Sicherheitsprinzipal, der für den Empfangsconnector konfiguriert ist, die Berechtigung "Ms-Exch-Accept-Exch50" zu verweigern. Weitere Informationen finden Sie unter Add-ADPermission.
In der folgenden Tabelle werden die Berechtigungen beschrieben, die den EXCH50-Befehl für einen Sendeconnector für ausgehende Nachrichten erlauben. Wenn diese Berechtigung nicht gewährt und eine Nachricht gesendet wird, die den EXCH50-Befehl enthält, sendet der Server die Nachricht, ohne den EXCH50-Befehl einzuschließen.
Berechtigungen, die den EXCH50-Befehl für einen Sendeconnector für ausgehende Nachrichten erlauben
| Berechtigung | Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. | Standardmäßig der Verwendungstyp, der die Sicherheitsprinzipale dem Sendeconnector zuweist. |
|---|---|---|
Ms-Exch-Send-Exch50 |
|
|
Wenn Sie dem EXCH50-Befehl in einem benutzerdefinierten Sendeconnectorszenario blockieren möchten, können Sie eine der folgenden Methoden verwenden:
- Erstellen Sie einen Sendeconnector, und wählen Sie einen anderen Verwendungstyp als
Internalaus. Der Verwendungstyp des Sendeconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines SMTP-Sendeconnectors. - Entfernen Sie einen Sicherheitsprinzipal, der die Berechtigung "Ms-Exch-Send-Exch50" zuweist, vom Connector.
- Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigung "Ms-Exch-Send-Exch50" von einem der Sicherheitsprinzipale zu entfernen, die für den Sendeconnector konfiguriert sind. Weitere Informationen finden Sie unter Remove-ADPermission.
- Verwenden Sie das Cmdlet Add-ADPermission, um einem der Sicherheitsprinzipale, die für den Sendeconnector konfiguriert sind, die Berechtigung "Ms-Exch-Send-Exch50" zu verweigern. Weitere Informationen finden Sie unter Add-ADPermission.
Nach oben