Informationen zur Antispam- und Antivirennachrichtenübermittlung
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2009-01-22
Wenn ein externer Benutzer E-Mail-Nachrichten an einen Servercomputer mit Microsoft Exchange sendet, der die Antispamfunktionen ausführt, werten die Antispamfunktionen kumulativ Merkmale der eingehenden Nachrichten aus und filtern dann entweder Nachrichten aus, die verdächtig sind, Spamnachrichten zu sein, oder weisen Nachrichten eine Bewertung basierend auf der Wahrscheinlichkeit zu, dass es sich um Spam handelt. Diese Bewertung wird zusammen mit der Nachricht als Nachrichteneigenschaft gespeichert, die als SCL-Bewertung (Spam Confidence Level) bezeichnet wird. Beim Senden der Nachricht an andere Servercomputer mit Exchange bleibt diese Bewertung mit der Nachricht erhalten.
Abbildung 1 zeigt die Reihenfolge, in der die Antispam-Standardfunktionen und Microsoft Forefront Security für Exchange Server eingehende Nachrichten aus dem Internet filtern. Die Antispam- und Antivirusfeatures werden standardmäßig in dieser Reihenfolge mit den Filtern zuerst angeordnet, die am wenigsten Ressourcen verwenden, während die Filter zuletzt folgen, die am meisten Ressourcen verwenden.
Hinweis
Zusätzliche Antispamfunktionen werden ggf. in Zukunft verfügbar sein. Nachdem neue Antispamfunktionen entwickelt wurden, werden sie in den Gesamtnachrichtenfluss integriert. Außerdem setzen die folgende Abbildung und die zugehörige Erläuterung voraus, dass der Exchange Server 2007-Edge-Transport-Server der erste SMTP-Server (Simple Mail Transfer Protocol) ist, der eingehende Nachrichten annimmt. In einigen Organisationen wird der Edge-Transport-Server möglicherweise hinter einem SMTP-Server eines Drittanbieters bereitgestellt. Wenn der Servercomputer mit Exchange 2007, der die Serverfunktion Edge-Transport ausführt, hinter einem SMTP-Gatewayserver eines Drittanbieters bereitgestellt wird, ist für den Exchange 2007-Edge-Transport-Server zusätzliche Konfiguration erforderlich. Insbesondere müssen Sie sicherstellen, dass alle SMTP-Gatewayserver in der Eigenschaft InternalSMTPServer des Objekts TransportConfig aufgelistet werden. Weitere Informationen finden Sie unter Set-TransportConfig.
Abbildung 1 Antispam-Standardfunktionen mit Antivirusfilterung für eingehende Nachrichten aus dem Internet
Wie in Abbildung 1 dargestellt, werden Filter in folgender Reihenfolge angewendet, wenn der Edge-Transport-Server mit dem Internet verbunden ist:
Ein SMTP-Server stellt eine Verbindung zu Exchange 2007 her und leitet eine SMTP-Sitzung ein.
Verbindungsfilterung
Absenderfilterung
Empfängerfilterung
Sender ID-Filterung
Inhaltsfilterung
Anlagenfilterung
Antivirusscan
Hinweis
Obwohl dieses Detail nicht in Abbildung 1 gezeigt wird, ruft die Verbindungsfilterung bei zwei Ereignissen Informationen ab. Das erste Ereignis, bei dem die Verbindungsfilterung Informationen abruft, wird in Abbildung 1 gezeigt. Dabei zeichnet die Verbindungsfilterung IP-Adressinformationen aus der Verbindung auf. Das erste Ereignis, bei dem die Verbindungsfilterung Informationen abruft, wird in Abbildung 3 gezeigt. Dabei analysiert der Absenderfilter-Agent die Nachrichtenkopfzeilen, um die erste externe IP-Adresse zu bestimmen. Agents können mehrere Ereignisse überwachen. Abbildung 1 erläutert die Nachrichtenübermittlung und zeigt zu diesem Zweck eine grobe Übersicht der ungefähren Reihenfolge, in der Agents angewendet werden, wenn alle Agents aktiviert sind. Weitere Informationen zu bestimmten Ereignissen sowie Angaben dazu, welche Agents welche Ereignisse überwachen, finden Sie unter Übersicht über Transport-Agents.
Verbindungsfilterung
Während der SMTP-Sitzung wendet Exchange 2007 Verbindungsfilterung mithilfe der folgenden Kriterien an (siehe Abbildung 2):
Abbildung 2 Nachrichtenfluss bei der Verbindungsfilterung
Der Verbindungsfilter-Agent untersuchen die vom Administrator definierte IP-Zulassungsliste. Wenn sich die IP-Adresse des sendenden Servers auf der vom Administrator definierten IP-Zulassungsliste befindet, wird die Nachricht von der Absenderfilterung verarbeitet.
Der Verbindungsfilter-Agent untersucht die lokale IP-Sperrliste. Wenn sich die IP-Adresse des sendenden Servers in der lokalen IP-Sperrliste befindet, wird die Nachricht ohne weitere Filterung automatisch abgelehnt.
Der Verbindungsfilter-Agent untersucht die Liste der zulässigen IP-Adressen, die von beliebigen IP-Zulassungslistenanbietern bereitstellt wird. Wenn sich die IP-Adresse des sendenden Servers auf der Liste der zulässigen IP-Adressen von IP-Zulassungslistenanbietern befindet, wird die Nachricht von der Absenderfilterung verarbeitet.
Der Verbindungsfilter-Agent untersucht die Echtzeitsperrlisten aller von Ihnen konfigurierten Anbieter für geblockte IP-Adressen. Wenn die IP-Adresse des sendenden Servers in einer Echtzeitsperrliste gefunden wurde, wird die Nachricht abgelehnt, und es werden keine weiteren Filter angewendet.
Weitere Informationen finden Sie unter Konfigurieren der Verbindungsfilterung.
Hinweis
Wenn der Verbindungsfilter-Agent auf einem Computer bereitgestellt wird, der sich hinter einem mit dem Internet verbundenen Server befindet, dann werden andere Filter vor dem Verbindungsfilter-Agent aufgerufen, z. B. Absenderfilterung und Empfängerfilterung.
Absenderfilterung
Nachdem die Verbindungsfilterung angewendet wurde, untersucht Exchange 2007 die E-Mail-Adresse des Absenders anhand der Liste der blockierten Absender, die Sie bei der Absenderfilterung konfigurieren (siehe Abbildung 3).
Abbildung 3 Nachrichtenfluss bei der Absenderfilterung
Der Absenderfilter-Agent überprüft dann die E-Mail-Adresse des Absenders, die in den Von: -Kopfzeilenfeldern im Nachrichtenumschlag und in der Nachrichtenkopfzeile enthalten ist. Wenn eines der Von: -Kopfzeilenfelder mit der Adresse in der Liste der blockierten Absender übereinstimmt, dann weist Exchange 2007 die Nachricht auf Protokollebene zurück und es werden keine weiteren Filter angewendet.
Hinweis
Selbst dann, wenn Empfänger in Ihrer Organisation Absender in ihre Microsoft Office Outlook-Liste der sicheren Absender aufgenommen haben, setzt die Absenderfilterung auf dem Edge-Transport-Server die Outlook-Einstellung des Empfängers außer Kraft und lehnt die Nachrichten ab.
Weitere Informationen zu Absenderfilterung finden Sie unter Konfigurieren der Absenderfilterung.
Weitere Informationen zu Nachrichtenumschlägen und Nachrichtenkopfzeilen finden Sie unter Verwalten des Wiedergabeverzeichnisses.
Empfängerfilterung
Wenn die Nachricht nicht von der Absenderfilterung abgelehnt wird, dann führt Exchange die Verbindungsfilterung erneut aus. Exchange wendet dann den Empfängerfilter-Agent an (wie in Abbildung 4 veranschaulicht).
Abbildung 4 Nachrichtenfluss bei der Empfängerfilterung
Der Empfängerfilter-Agent untersucht den Empfänger anhand der Empfängersperrliste, die Sie in den Einstellungen des Empfängerfilter-Agents konfiguriert haben. Wenn der beabsichtigte Empfänger mit einer E-Mail-Adresse in Ihrer Empfängersperrliste übereinstimmt, lehnt Exchange 2007 die Nachricht für diesen bestimmten Empfänger ab. Zusätzlich prüft der Empfängerfilter-Agent, ob der Empfänger in der Organisation vorhanden ist. Wenn der Empfänger in der Organisation nicht vorhanden ist, lehnt Exchange die Nachricht für diesen bestimmten Empfänger an.
Sollten mehrere Empfänger in der Nachricht aufgelistet sein, die nicht in der Empfängersperrliste enthalten sind, wird die Nachricht auch weiterhin verarbeitet. Andernfalls werden keine weiteren Filter angewendet, wenn die Nachricht nur an einen einzelnen geblockten Empfänger gerichtet ist.
Wenn eine Nachricht mit geblockten Empfängern verarbeitet wird, wird die Gruppe der geblockten Empfänger aus der Nachricht entfernt, und die Nachricht wird an die Organisation weitergeleitet. SMTP-Zurückweisungsantworten auf Protokollebene werden für jeden geblockten Empfänger an den Absender gesendet. Der Absenderzuverlässigkeits-Agent überwacht das Ereignis OnReject, um den Absenderzuverlässigkeitsgrad zu berechnen.
Weitere Informationen finden Sie unter Konfigurieren der Empfängerfilterung.
Sender ID-Filterung
Wenn die Nachricht weiterhin gültige Empfänger enthält, nachdem die Empfängerfilterung angewendet wurde, dann führt Exchange 2007 die Sender ID-Filterung aus, wie in Abbildung 5 dargestellt.
Abbildung 5 Nachrichtenfluss bei der Sender ID-Filterung
Zuerst ermittelt der Sender ID-Agent die Purported Responsible Address (PRA) der Nachricht mithilfe des in RFC 4407 beschriebenen Algorithmus. Dieser Schritt ist erforderlich, um den Absender der Nachricht genau zu identifizieren. Die PRA ist eine SMTP-Adresse, z. B. kim@contoso.com. Der Sender ID-Agent führt dann einen DNS-Suchvorgang (Domain Name Service) für den Domänenteil der PRA durch. Wenn diese Domäne einen SPF-Datensatz (Sender Policy Framework) veröffentlicht hat, verwendet der Agent den SPF-Datensatz, um die Nachricht gemäß der Spezifikation für RFC 4408 zu beurteilen. Wenn die Domäne keinen veröffentlichten SPF-Datensatz besitzt, stempelt der Sender ID-Agent die Nachricht mit dem Sender ID-Ergebnis "Keine". Weitere Informationen zu den für die Sender ID-Filterung verwendeten Stempeltypen finden Sie unter Antispamstempel.
Wenn der DNS des Absenders von einer blockierten Domäne oder einer blockierten Adresse stammt, können die folgenden Maßnahmen in Abhängigkeit von Ihrer Konfiguration von Sender ID-Aktionen ausgeführt werden:
Nachricht ablehnen Wenn für die Sender ID-Aktion die Option Nachricht ablehnen festgelegt wird, lehnt Exchange die Nachricht ab und sendet eine SMTP-Fehlerantwort an den sendenden Server. Die SMTP-Fehlerantwort ist eine Antwort auf 5xx-Protokollebene mit Text, der dem Status der Sender ID entspricht.
Nachricht löschen Wenn für die Sender ID-Aktion die Option Nachricht löschen festgelegt wird, löscht Exchange die Nachricht, ohne den sendenden Server über den Löschvorgang zu informieren. Tatsächlich sendet der Computer mit der installierten Serverfunktion Edge-Transport dem sendenden Server einen falschen SMTP-Befehl "OK" und löscht anschließend die Nachricht. Da der sendende Server annimmt, dass die Nachricht gesendet wurde, versucht er innerhalb der gleichen Sitzung nicht, die Nachricht erneut zu senden.
Nachrichten mit Sender ID-Ergebnis stempeln und Verarbeitungsvorgang fortsetzen Exchange stempelt die Nachricht mit dem Sender ID-Ergebnis und setzt die Verarbeitung der Nachricht fort. Diese Metadaten werden vom Inhaltsfilter-Agent ausgewertet, wenn eine SCL-Bewertung (Spam Confidence Level) berechnet wird. Zusätzlich verwendet die Absenderzuverlässigkeit die Metadaten der Nachricht zum Berechnen eines Absenderzuverlässigkeitsgrads (Sender Reputation Level, SRL) für den Absender der Nachricht.
Weitere Informationen finden Sie unter Konfigurieren von Sender ID.
Inhaltsfilterung
Bevor die Inhaltsfilterung von Exchange den intelligenten Exchange-Nachrichtenfilter aufruft, wird die Absenderfilterung erneut angewendet. Der Exchange-Server wendet dann den Inhaltsfilter-Agent an (wie in Abbildung 6 veranschaulicht).
Abbildung 6 Nachrichtenfluss bei der Inhaltsfilterung
Der Inhaltsfilter-Agent prüft die folgenden Bedingungen in der Nachricht. Wenn eine der Bedingungen zutrifft, umgeht die Nachricht die Inhaltsfilterung. Diese Nachrichten werden dann zur Verarbeitung an den Antivirusscan weitergeleitet.
Die IP-Adresse des Absenders ist in der IP-Zulassungsliste für die Verbindungsfilterung enthalten.
Alle Empfänger befinden sich in der Ausnahmeliste für die Inhaltsfilterung.
Für den Parameter AntiSpamBypassEnabled ist der Wert
$True
für alle Postfächer des Empfängers festgelegt.Alle Empfänger haben diesen Empfänger zu ihrer Outlook-Liste der sicheren Absender hinzugefügt, die auf dem Edge-Transport-Server mithilfe der Aggregation von Listen sicherer Adressen aktualisiert wird.
Der Absender ist ein vertrauenswürdiger Partner und befindet sich in der Liste der nicht gefilterten Absender der Organisation.
Zusätzlich zu den hier aufgeführten Bedingungen werden die Antispam-Agents während dieser Sitzung für Nachrichten deaktiviert, wenn die SMTP-Sitzung als vertrauenswürdiger Partner authentifiziert wurde und der Administrator die Berechtigung zum Umgehen von Antispam (Ms-Exch-Bypass-Anti-Spam) für Partner erteilt hat. Die Berechtigung zum Umgehen von Antispam wird den Partnern nicht standardmäßig erteilt, sondern muss von einem Administrator zugeordnet werden.
Wenn eine Nachricht keine der hier beschriebenen Bedingungen erfüllt, dann wird die Inhaltsfilterung angewendet. Bei der Inhaltsfilterung wird der Nachricht eine SCL-Bewertung zugeordnet. Auf Grundlage der SCL-Bewertung tritt eine der folgenden Aktionen ein:
Wenn die SCL-Bewertung der Nachricht gleich oder größer als der SCL-Löschschwellenwert und der SCL-Löschschwellenwert aktiviert ist, dann löscht der Inhaltsfilter-Agent die Nachricht. Es findet keine Kommunikation auf Protokollebene statt, die das sendende System oder den Absender informiert, dass die Nachricht gelöscht wurde. Wenn die SCL-Bewertung kleiner als der SCL-Löschschwellenwert ist, löscht der Inhaltsfilter-Agent die Nachricht nicht. In diesem Fall vergleicht der Inhaltsfilter-Agent den SCL-Wert mit dem SCL-Zurückweisungsschwellenwert.
Wenn die SCL-Bewertung der Nachricht gleich oder größer als der SCL-Zurückweisungsschwellenwert und der SCL-Zurückweisungsschwellenwert aktiviert ist, dann lehnt der Inhaltsfilter-Agent die Nachricht ab und sendet eine Zurückweisungsantwort an das sendende System. Sie können die Zurückweisungsantwort anpassen. In einigen Fällen wird ein Unzustellbarkeitsbericht an den ursprünglichen Absender der Nachricht gesendet. Wenn die SCL-Bewertung kleiner als der SCL-Zurückweisungsschwellenwert ist, lehnt der Inhaltsfilter-Agent die Nachricht nicht ab. In diesem Fall vergleicht der Inhaltsfilter-Agent den SCL-Wert mit dem SCL-Isolierungsschwellenwert.
Wenn die SCL-Bewertung der Nachricht gleich oder größer als der SCL-Isolierungsschwellenwert und der SCL-Isolierungsschwellenwert aktiviert ist, dann sendet der Inhaltsfilter-Agent die Nachricht an das Quarantänepostfach für Spam. Weitere Informationen zum Verwalten der Spamquarantäne finden Sie unter Konfigurieren und Verwalten des Quarantänepostfachs für Spam. Für die Nachricht wird dann mit der Anlagenfilterung fortgefahren.
Weitere Informationen hierzu finden Sie unter den folgenden Themen:
Anlagenfilterung
Nachdem die Inhaltsfilterung angewendet wurde, wendet Exchange die Anlagenfilterung an (wie in Abbildung 7 veranschaulicht).
Abbildung 7 Nachrichtenfluss bei der Anlagenfilterung
Sie können die Anlagenfilterung konfigurieren, um Anlagen auf Grundlage ihres MIME-Inhaltstyps, Dateinamens oder ihrer Dateinamenerweiterung zu blockieren. Wenn bei der Anlagenfilterung ein Inhaltstyp oder Dateiname erkannt wird, der blockiert wurde, dann wird eine der folgenden Aktionen auf Basis Ihrer Einstellungen für die Anlagenfilterung ausgeführt:
Reject Wenn die Einstellung der Aktion auf Reject festgelegt ist, wird die Zustellung der E-Mail-Nachricht und der Anlage an den Empfänger verhindert und vom System eine DSN-Fehlernachricht an den Absender gesendet. Sie können Ihre Zurückweisungsantwort anpassen.
Slient Delete Wenn die Einstellung der Aktion auf Silent Delete festgelegt ist, wird die Zustellung der E-Mail-Nachricht und der Anlage an den Empfänger verhindert. Es wird keine Benachrichtigung an den Absender gesendet, dass die E-Mail-Nachricht und die Anlage gesperrt wurden.
Strip Wenn die Einstellung der Aktion auf Strip festgelegt ist, wird die Anlage aus der E-Mail-Nachricht entfernt. Dieser Wert ermöglicht, dass die Nachricht und andere Anlagen, die keinem Eintrag der Anlagensperrliste entsprechen, dem Empfänger zugestellt werden. Der E-Mail-Nachricht des Empfängers wird eine Benachrichtigung hinzugefügt, dass die Anlage gesperrt wurde.
Wenn die Nachricht nicht zurückgewiesen oder gelöscht wurde bzw. die Anlagenfilterung keine gesperrten Anlagentypen ermittelt hat, dann wird die Nachricht auf Viren geprüft.
Weitere Informationen finden Sie unter Konfigurieren von Anlagenfiltern.
Virenüberprüfung
Nach dem Anwenden der Anlagenfilterung oder den Umgehen der Empfänger bei der Inhaltsfilterung erfolgt der Antivirenscan mit Forefront Security für Exchange Server (wie in Abbildung 8 veranschaulicht).
Abbildung 8 Nachrichtenfluss für den Antivirenscan mit Forefront Security für Exchange Server
Forefront Security für Exchange Server ist ein Antivirussoftwarepaket, das eng mit Exchange 2007 integriert ist und einen zusätzlichen Antivirusschutz für Ihre Exchange-Umgebung bietet. Wenn Forefront Security für Exchange Server Nachrichten erkennt, die scheinbar einen Virus enthalten, dann löscht das System die Nachricht, erstellt eine Benachrichtigung und sendet diese dann an das Postfach des Empfängers.
Weitere Informationen zu Forefront Security für Exchange Server finden Sie unter Protecting Your Microsoft Exchange Organization with Microsoft Forefront Security for Exchange Server.
Filtern unerwünschter E-Mail-Nachrichten in Outlook
Nachdem alle Filter angewendet wurden und für die Nachricht ein Antivirenscan erfolgt ist, wird die Nachricht an das vorgesehene Postfach des Empfängers gesendet und die Junk-E-Mail-Filterung angewendet (wie in Abbildung 9 veranschaulicht).
Abbildung 9 Nachrichtenfluss der Junk-E-Mail-Filterung von Outlook
Wenn die SCL-Bewertung für die Nachricht gleich oder größer als der SCL-Schwellenwert des Junk-E-Mail-Ordners ist, speichert der Postfachserver die Nachricht im Junk-E-Mail-Ordners des Outlook-Benutzers. Wenn der SCL-Wert für eine Nachricht kleiner als die Werte für SCL-Lösch-, -Zurückweisungs-, -Isolierungs- und SCL-Schwellenwerte des Junk-E-Mail-Ordners ist, speichert der Postfachserver die Nachricht im Posteingang des Benutzers. Weitere Informationen zu SCL-Schwellenwerten finden Sie unter Anpassen des Schwellenwerts für die SCL-Bewertung (Spam Confidence Level).
Weitere Informationen
Weitere Informationen zu den Antispam- und Antivirusfunktionen finden Sie unter den folgenden Themen: