Antispamschutz in Exchange Server

  • Artikel

Spammer oder böswillige Absender verwenden eine Vielzahl von Techniken, um ungewünschte E-Mails an Ihre Organisation zu senden. Kein einzelnes Tool und kein einzelner Vorgang kann Spam vollständig beseitigen. Daher bietet Microsoft Exchange einen mehrschichtigen, facettenreichen Ansatz zur Verringerung dieser unerwünschten Nachrichten. Exchange verwendet Transport-Agents, um Antispamschutz bereitzustellen, und die integrierten Agents, die in Exchange Server 2016 und Exchange Server 2019 verfügbar sind, sind gegenüber Exchange Server 2010 relativ unverändert. In Exchange 2016 und Exchange 2019 ist die Konfiguration und Verwaltung dieser Agents nur in der Exchange-Verwaltungsshell verfügbar.

Für weitere Antispamfeatures und eine einfachere Verwaltung können Sie Exchange Online Protection (EOP) erwerben, die Teil von Microsoft 365 und Office 365 ist. Weitere Informationen zu Microsoft 365 oder Office 365 Antispamschutz finden Sie unter Antispamschutz in EOP.

Antispam-Agents auf Postfachservern

Typischerweise werden Antispam-Agents auf einem Postfachserver aktiviert, wenn Ihre Organisation nicht über einen Edge-Transport-Server verfügt oder eingehende Nachrichten nicht im Vorfeld nach Spam filtert. Weitere Informationen finden Sie unter Aktivieren der Antispamfunktionen auf Postfachservern.

Wie allen Transport-Agents ist jedem Antispam-Agent ein Prioritätswert zugewiesen. Je niedriger der Wert ist, desto höher ist die Priorität: ein Antispam-Agent mit Priorität 1 wird also vor einem Agent mit Priorität 9 eine Aktion für eine Nachricht ausführen. Das SMTP-Ereignis in der Transportpipeline, für die der Antispam-Agent registriert ist, spielt jedoch auch eine große Rolle, um die Reihenfolge zu bestimmen, in der Antispam-Agents Aktionen für Nachrichten ausführen. Ein Antispam-Agent mit niedriger Priorität, der früh in der Transportpipeline registriert ist, führt eine Aktion für eine Nachricht aus, bevor ein Antispam-Agent mit hoher Priorität, der später in der Transportpipeline registriert ist, eine Aktion ausführen kann.

Basierend auf dem Standardprioritätswert des Agents und dem SMTP-Ereignis, für das der Agent registriert ist, ist dies die Reihenfolge, in der die Antispam-Agents auf Nachrichten auf Postfachservern angewendet werden:

  1. Absenderfilter-Agent: Die Absenderfilterung vergleicht den sendenden Server mit einer Liste von Absendern oder Absenderdomänen, denen das Senden von Nachrichten an Ihre Organisation untersagt ist. Weitere Informationen finden Sie unter Absenderfilterung.

  2. Absender-ID-Agent: Die Absender-ID basiert auf der IP-Adresse des sendenden Servers und der pra (Purported Responsible Address) des Absenders, um zu bestimmen, ob die sendende E-Mail-Adresse gespooft ist. Weitere Informationen finden Sie unter Sender ID.

  3. Inhaltsfilter-Agent: Der Inhaltsfilter-Agent weist jeder Nachricht basierend auf Daten aus legitimen Nachrichten und Spamnachrichten einen Spam-Konfidenzgrad (SCL) zu. Weitere Informationen finden Sie unter Inhaltsfilterung.

    Die Spamquarantäne ist eine Komponente des Inhaltsfilter-Agents, durch die das Risiko reduziert wird, dass legitime, fälschlicherweise als Spam klassifizierte Nachrichten verloren gehen. Die Spamquarantäne stellt einen temporären Speicherort für verdächtige Nachrichten bereit, damit sie von einem Administrator untersucht werden können. Weitere Informationen finden Sie unter Spamquarantäne im Exchange Server.

    Die Inhaltsfilterung verwendet auch das Feature "Aggregation von Listen sicherer Adressen". Die Aggregation von Listen sicherer Adressen erfasst Daten zu sicheren Listen, die Benutzer in Microsoft, Outlook und Outlook im Web konfigurieren, und stellt diese Daten dem Inhaltsfilter-Agent zur Verfügung. Weitere Informationen finden Sie unter Aggregation von Listen sicherer IP-Adressen.

  4. Protokollanalyse-Agent (Absenderreputation):Der Protokollanalyse-Agent ist der Agent, der die Absenderreputation bereitstellt. Anhand mehrerer Tests wird ein Absenderzuverlässigkeitsgrad (Sender Reputation Level) für eingehende Nachrichten berechnet, der die auszuführende Aktion für diese Nachrichten bestimmt. Weitere Informationen finden Sie unter Absenderzuverlässigkeit und der Protokollanalyse-Agent.

Antispam-Agents auf Edge-Transport-Servern

Wenn in Ihrer Organisation ein Edge-Transport-Server im Umkreisnetzwerk installiert ist, werden alle Antispam-Agents, die auf einem Postfachserver verfügbar sind, standardmäßig auf dem Edge-Transport-Server installiert und aktiviert. Folgende Antispam-Agents sind jedoch nur auf Edge-Transport-Servern verfügbar:

  • Verbindungsfilter-Agent: Verbindungsfilterung verwendet eine IP-Sperrliste, eine ZUGELASSENE IP-Liste, Anbieter von IP-Sperrlisten und IP-Zulassungslistenanbieter, um zu bestimmen, ob eine Verbindung blockiert oder zugelassen werden soll. Weitere Informationen finden Sie unter Verbindungsfilterung auf Edge-Transport-Servern.

  • Empfängerfilter-Agent: Die Empfängerfilterung verwendet eine Empfängerblockierungsliste, um Nachrichten zu identifizieren, die nicht in die Organisation gelangen dürfen. Der Empfängerfilter verwendet auch das lokale Empfängerverzeichnis, um an ungültige Empfänger gesendete Nachrichten abzulehnen. Weitere Informationen finden Sie unter Empfängerfilter auf Edge-Transport-Servern.

    Hinweis

    Obwohl der Empfängerfilter-Agent auf Postfachservern verfügbar ist, sollten Sie ihn nicht konfigurieren. Wenn ein Empfängerfilter auf einem Postfachserver einen ungültigen oder gesperrten Empfänger in einer Nachricht entdeckt, die andere gültige Empfänger enthält, wird die Nachricht zurückgewiesen. Der Empfängerfilter-Agent wird aktiviert, wenn Sie die Antispam-Agents auf einem Postfachserver installieren, aber er ist nicht für das Blockieren von Empfängern konfiguriert.

  • Anlagenfilter-Agent: Die Anlagenfilterung blockiert Nachrichten oder Anlagen basierend auf dem Dateinamen, der Erweiterung oder dem MIME-Inhaltstyp der Anlage. Weitere Informationen finden Sie unter Anlagenfilterung auf Edge-Transport-Servern.

Basierend auf dem Standardprioritätswert des Antispam-Agents und dem SMTP-Ereignis in der Transportpipeline, für das der Agent registriert ist, werden die Antispam-Agents auf Nachrichten auf dem Edge-Transport-Server in dieser Reihenfolge angewendet:

  1. Verbindungsfilter-Agent

  2. Absenderfilter-Agent

  3. Empfängerfilter-Agent

  4. Sender ID-Agent

  5. Inhaltsfilter-Agent

  6. Protokollanalyse-Agent (Absenderzuverlässigkeit)

  7. Anlagenfilter-Agent

Antispamstempel

Antispamstempel werden auf Nachrichten angewendet und von den Antispam-Agents verwendet. Sie können die Antispamstempel anzeigen, um sie zur Diagnose von Problemen mit Spam zu nutzen. Weitere Informationen finden Sie unter Antispamstempel.

Strategie für ein Antispamkonzept

Antispam ist ein Balanceakt zwischen dem Blockieren unerwünschter Nachrichten und den Zulassen legitimer Nachrichten. Wenn Sie die Antispamfeatures zu restriktiv konfigurieren, werden Sie wahrscheinlich zu viele legitime Nachrichten (falsch positive Ergebnisse) blockieren. Wenn Sie die Antispamfeatures zu lose konfigurieren, gelangt wahrscheinlich zu viel Spam in Ihre Organisation.

Hier sind einige bewährte Methoden für das Konfigurieren der integrierten Antispamfeatures in Exchange:

  • Lehnen Sie Nachrichten ab, die vom Verbindungsfilter-Agent, vom Empfängerfilter-Agent und vom Absenderfilter-Agent identifiziert werden, statt die Nachrichten in Quarantäne zu setzen oder Antispamstempel anzuwenden. Dieser Ansatz empfiehlt sich aus folgenden Gründen:

    • Nachrichten, die mit den Standardeinstellungen für die Verbindungsfilterung, Empfängerfilterung oder Absenderfilterung identifiziert werden, erfordern in der Regel keine weiteren Tests, um festzustellen, ob sie unerwünscht sind. Wenn Sie beispielsweise die Absenderfilterung für die Blockierung bestimmter Absender konfiguriert haben, besteht kein Grund, Nachrichten von diesen Absendern weiter zu verarbeiten. (Wenn Sie nicht möchten, dass die Nachrichten abgelehnt werden, hätten Sie sie nicht in die Liste der blockierten Absender eingefügt.)

    • Das Konfigurieren einer aggressiveren Ebene für antispam-Agents, die zu einem frühen Zeitpunkt in der Transportpipeline auf Nachrichten stoßen, spart Verarbeitung, Bandbreite und Datenträgerressourcen. Je weiter eine Nachricht in der Transportpipeline gelangt, desto höher ist die Anzahl der Variablen, die die verbleibenden Antispamfeatures auswerten müssen, um die Nachricht erfolgreich als Spam zu identifizieren. Lehnen Sie offensichtliche Nachrichten frühzeitig ab, damit Sie mehrdeutige Nachrichten später verarbeiten können.

  • Sie müssen die Effektivität der Antispamfeatures auf ihren aktuellen Konfigurationsebenen überwachen. Durch die Überwachung können Sie auf Trends reagieren und die Aggressivität der Einstellungen erhöhen oder verringern. Starten Sie mit den Standardeinstellungen, um die Anzahl der falsch positiven Ergebnisse zu minimieren. Wenn Sie die Menge an Spam und falsch positiven Ergebnissen überwachen, können Sie die Aggressivität der Einstellungen basierend auf dem Typ von Spam und Spamangriffen, die in Ihrer Organisation auftreten, erhöhen.

Siehe auch

Antispamschutz in EOP