Antispamschutz in Exchange 2016

[Dieses Thema gehört zur Vorabdokumentation und kann in künftigen Versionen geändert werden. Leere Themen wurden als Platzhalter hinzugefügt. Wenn Sie Feedback dazu haben, freuen wir uns über Ihre Nachricht. Senden Sie uns eine E-Mail an: ExchangeHelpFeedback@microsoft.com.]  

Gilt für:Exchange Server 2016

Erfahren Sie mehr über die integrierten Antispamfeatures in Exchange 2016, um die Anzahl unerwünschter, an Ihre Organisation gesendeter E-Mails (oder Junk-E-Mails) zu verringern.

Spammer oder böswillige Absender verwenden eine Vielzahl von Techniken, um ungewünschte E-Mails an Ihre Organisation zu senden. Kein einzelnes Tool und kein einzelner Vorgang kann Spam vollständig beseitigen. Daher bietet Microsoft Exchange einen mehrschichtigen, facettenreichen Ansatz zur Verringerung dieser unerwünschten Nachrichten. Exchange verwendet Transport-Agents, um Antispamschutz bereitzustellen, und die integrierten Agents in Exchange Server 2016 wurden weitgehend unverändert aus Exchange Server 2010 übernommen. In Exchange 2016 sind Konfiguration und Verwaltung dieser Agents nur über die Exchange-Verwaltungsshell möglich.

Für zusätzliche Antispamfeatures und einfachere Verwaltung können Sie Exchange Online Protection (EOP) erwerben, das Teil von Microsoft Office 365 ist. Weitere Informationen zum Antispamschutz in Office 365 finden Sie unter Office 365-Antispamschutz für E-Mails.

Inhalt

Antispam-Agents auf Postfachservern

Antispam-Agents auf Edge-Transport-Servern

Antispamstempel

Strategie für ein Antispamkonzept

Typischerweise werden Antispam-Agents auf einem Postfachserver aktiviert, wenn Ihre Organisation nicht über einen Edge-Transport-Server verfügt oder eingehende Nachrichten nicht im Vorfeld nach Spam filtert. Weitere Informationen finden Sie unter Aktivieren der Antispamfunktionen auf Postfachservern.

Wie allen Transport-Agents ist jedem Antispam-Agent ein Prioritätswert zugewiesen. Je niedriger der Wert ist, desto höher ist die Priorität: ein Antispam-Agent mit Priorität 1 wird also vor einem Agent mit Priorität 9 eine Aktion für eine Nachricht ausführen. Das SMTP-Ereignis in der Transportpipeline, für die der Antispam-Agent registriert ist, spielt jedoch auch eine große Rolle, um die Reihenfolge zu bestimmen, in der Antispam-Agents Aktionen für Nachrichten ausführen. Ein Antispam-Agent mit niedriger Priorität, der früh in der Transportpipeline registriert ist, führt eine Aktion für eine Nachricht aus, bevor ein Antispam-Agent mit hoher Priorität, der später in der Transportpipeline registriert ist, eine Aktion ausführen kann.

Basierend auf dem Standardprioritätswert des Agents und dem SMTP-Ereignis, für das der Agent registriert ist, ist dies die Reihenfolge, in der die Antispam-Agents auf Nachrichten auf Postfachservern angewendet werden:

  1. Absenderfilter-Agent   Die Absenderfilterung vergleicht den sendenden Server mit einer Liste von Absendern oder Absenderdomänen, die am Senden von Nachrichten an Ihre Organisation gehindert werden. Weitere Informationen finden Sie unter Absenderfilterung.

  2. Sender-ID-Agent   Sender ID verwendet die IP-Adresse des sendenden Servers und die PRA (Purported Responsible Address) des Absenders zum Bestimmen, ob die E-Mail-Adresse des Absenders gefälscht ist. Weitere Informationen finden Sie unter Sender ID.

  3. Inhaltsfilter-Agent   Der Inhaltsfilter-Agent weist jeder Nachricht basierend auf Daten von legitimen Nachrichten und Spamnachrichten eine SCL-Bewertung (Spam Confidence Level) zu. Weitere Informationen finden Sie unter Inhaltsfilterung.

    Die Spamquarantäne ist eine Komponente des Inhaltsfilter-Agents, durch die das Risiko reduziert wird, dass legitime, fälschlicherweise als Spam klassifizierte Nachrichten verloren gehen. Die Spamquarantäne stellt einen temporären Speicherort für verdächtige Nachrichten bereit, damit sie von einem Administrator untersucht werden können. Weitere Informationen finden Sie unter Spamfilter-Quarantäne in Exchange 2016.

    Die Inhaltsfilterung verwendet auch das Feature "Aggregation von Listen sicherer Adressen". Die Aggregation von Listen sicherer Adressen erfasst Daten zu sicheren Listen, die Benutzer in Microsoft, Outlook und Outlook im Web konfigurieren, und stellt diese Daten dem Inhaltsfilter-Agent zur Verfügung. Weitere Informationen finden Sie unter Aggregation von Listen sicherer Adressen.

  4. Protokollanalyse-Agent (Absenderzuverlässigkeit)   Der Protokollanalyse-Agent ist der Agent, der die Absenderzuverlässigkeit bereitstellt. Anhand mehrerer Tests wird ein Absenderzuverlässigkeitsgrad (Sender Reputation Level) für eingehende Nachrichten berechnet, der die auszuführende Aktion für diese Nachrichten bestimmt. Weitere Informationen finden Sie unter Absenderzuverlässigkeit und der Protokollanalyse-Agent.

Zurück zum Seitenanfang

Wenn in Ihrer Organisation ein Edge-Transport-Server im Umkreisnetzwerk installiert ist, werden alle Antispam-Agents, die auf einem Postfachserver verfügbar sind, standardmäßig auf dem Edge-Transport-Server installiert und aktiviert. Folgende Antispam-Agents sind jedoch nur auf Edge-Transport-Servern verfügbar:

  • Verbindungsfilter-Agent   Die Verbindungsfilterung verwendet eine Liste blockierter IP-Adressen, eine Liste zugelassener IP-Adressen, Anbieter für blockierte IP-Adressen und Anbieter für zugelassene IP-Adressen, um zu bestimmen, ob eine Verbindung blockiert oder zugelassen werden sollte. Weitere Informationen finden Sie unter Verbindungsfilterung auf Edge-Transport-Servern.

  • Empfängerfilter-Agent   Die Empfängerfilterung verwendet eine Liste blockierter Empfänger, um Nachrichten zu identifizieren, die nicht in die Organisation gelangen dürfen. Der Empfängerfilter verwendet auch das lokale Empfängerverzeichnis, um an ungültige Empfänger gesendete Nachrichten abzulehnen. Weitere Informationen finden Sie unter Empfängerfilter auf Edge-Transport-Servern.

    noteHinweis:
    Obwohl der Empfängerfilter-Agent auf Postfachservern verfügbar ist, sollten Sie ihn nicht konfigurieren. Wenn ein Empfängerfilter auf einem Postfachserver einen ungültigen oder gesperrten Empfänger in einer Nachricht entdeckt, die andere gültige Empfänger enthält, wird die Nachricht zurückgewiesen. Wenn Sie die Anti-Spam-Agents auf einem Postfachserver installieren, wird der Empfängerfilter-Agent aktiviert. Er wird aber nicht zum Sperren von Empfängern konfiguriert.
  • Anlagenfilter-Agent   Die Anlagenfilterung blockiert Nachrichten oder Anlagen auf Grundlage des Dateinamens, der Erweiterung oder des MIME-Inhaltstyps der Anlage. Weitere Informationen finden Sie unter Anlagenfilterung auf Edge-Transport-Servern.

Basierend auf dem Standardprioritätswert des Antispam-Agents und dem SMTP-Ereignis in der Transportpipeline, für das der Agent registriert ist, werden die Antispam-Agents auf Nachrichten auf dem Edge-Transport-Server in dieser Reihenfolge angewendet:

  1. Verbindungsfilter-Agent

  2. Absenderfilter-Agent

  3. Empfängerfilter-Agent

  4. Sender ID-Agent

  5. Inhaltsfilter-Agent

  6. Protokollanalyse-Agent (Absenderzuverlässigkeit)

  7. Anlagenfilter-Agent

Zurück zum Seitenanfang

Antispamstempel werden auf Nachrichten angewendet und von den Antispam-Agents verwendet. Sie können die Antispamstempel anzeigen, um sie zur Diagnose von Problemen mit Spam zu nutzen. Weitere Informationen finden Sie unter Antispamstempel.

Zurück zum Seitenanfang

Antispam ist ein Balanceakt zwischen dem Blockieren unerwünschter Nachrichten und den Zulassen legitimer Nachrichten. Wenn Sie die Antispamfeatures zu restriktiv konfigurieren, werden Sie wahrscheinlich zu viele legitime Nachrichten (falsch positive Ergebnisse) blockieren. Wenn Sie die Antispamfeatures zu lose konfigurieren, gelangt wahrscheinlich zu viel Spam in Ihre Organisation.

Hier sind einige bewährte Methoden für das Konfigurieren der integrierten Antispamfeatures in Exchange:

  • Lehnen Sie Nachrichten ab, die vom Verbindungsfilter-Agent, vom Empfängerfilter-Agent und vom Absenderfilter-Agent identifiziert werden, statt die Nachrichten in Quarantäne zu setzen oder Antispamstempel anzuwenden. Dieser Ansatz empfiehlt sich aus folgenden Gründen:

    • Nachrichten, die mit den Standardeinstellungen für die Verbindungsfilterung, Empfängerfilterung oder Absenderfilterung identifiziert werden, erfordern in der Regel keine weiteren Tests, um festzustellen, ob sie unerwünscht sind. Wenn Sie beispielsweise die Absenderfilterung für die Blockierung bestimmter Absender konfiguriert haben, besteht kein Grund, Nachrichten von diesen Absendern weiter zu verarbeiten. (Sie hätten die Absender nicht in die Liste blockierter Absender aufgenommen, wenn deren Nachrichten nicht abgelehnt werden sollten.)

    • Das Konfigurieren einer aggressiveren Stufe für die Antispam-Agents, die Nachrichten frühzeitig in der Transportpipeline untersuchen, spart Verarbeitung, Bandbreite und Datenträgerressourcen. Je weiter eine Nachricht in der Transportpipeline gelangt, desto höher ist die Anzahl der Variablen, die die verbleibenden Antispamfeatures auswerten müssen, um die Nachricht erfolgreich als Spam zu identifizieren. Lehnen Sie offensichtliche Nachrichten frühzeitig ab, damit Sie mehrdeutige Nachrichten später verarbeiten können.

  • Sie müssen die Effektivität der Antispamfeatures auf ihren aktuellen Konfigurationsebenen überwachen. Durch die Überwachung können Sie auf Trends reagieren und die Aggressivität der Einstellungen erhöhen oder verringern. Starten Sie mit den Standardeinstellungen, um die Anzahl der falsch positiven Ergebnisse zu minimieren. Wenn Sie die Menge an Spam und falsch positiven Ergebnissen überwachen, können Sie die Aggressivität der Einstellungen basierend auf dem Typ von Spam und Spamangriffen, die in Ihrer Organisation auftreten, erhöhen.

Zurück zum Seitenanfang

 
Anzeigen: