Freigeben über


Grundlegendes zu Antispam- und Antiviren-Nachrichtenübermittlung

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-11-28

Wenn ein externer Benutzer E-Mail-Nachrichten an einen Servercomputer mit Microsoft Exchange sendet, der die Antispamfunktionen ausführt, werten die Antispamfunktionen kumulativ Merkmale der eingehenden Nachrichten aus und filtern dann entweder Nachrichten aus, die im Verdacht stehen, Spamnachrichten zu sein, oder weisen Nachrichten eine Bewertung auf Basis der Wahrscheinlichkeit zu, dass es sich um Spam handelt. Diese Bewertung wird zusammen mit der Nachricht als Nachrichteneigenschaft gespeichert, die als SCL-Bewertung (Spam Confidence Level) bezeichnet wird. Beim Senden der Nachricht an andere Servercomputer mit Exchange bleibt diese Bewertung mit der Nachricht erhalten.

Die folgende Abbildung zeigt die Reihenfolge, in der die Antispam-Standardfunktionen und Microsoft Forefront Protection für Exchange Server eingehende Nachrichten aus dem Internet filtern. Die Antispam- und Antivirenfunktionen werden standardmäßig in dieser Reihenfolge angeordnet, und zwar mit den Filtern zuerst, die am wenigsten Ressourcen verwenden, während die Filter zuletzt folgen, die am meisten Ressourcen verwenden.

Hinweis

Die folgenden Abbildungen und die zugehörigen Erläuterungen setzen voraus, dass der Microsoft Exchange Server 2010-Edge-Transport-Server der erste SMTP-Server ist, der eingehende Nachrichten annimmt. In einigen Organisationen wird der Edge-Transport-Server möglicherweise hinter einem SMTP-Server eines Drittanbieters bereitgestellt. Wenn der Exchange 2010-Edge-Transport-Server hinter einem SMTP-Gatewayserver eines Drittanbieters bereitgestellt wird, ist für den Exchange 2010-Edge-Transport-Server zusätzliche Konfiguration erforderlich. Insbesondere müssen Sie sicherstellen, dass alle SMTP-Gatewayserver in der Eigenschaft InternalSMTPServer des Objekts TransportConfig aufgelistet werden. Weitere Informationen finden Sie unter Set-TransportConfig.

Weitere Informationen zu zusätzlichen Antispam- und Antivirenfunktionen von Exchange finden Sie unter Microsoft Forefront Protection 2010 für Exchange Server.

Antispam-Standardfunktionen mit Antivirenfilterung für eingehende Nachrichten aus dem Internet

Wie in der vorangehenden Abbildung gezeigt, werden bei der Verbindung eines SMTP-Servers mit Exchange 2010 und der Initiierung einer SMTP-Sitzung Filter in der folgenden Reihenfolge angewendet, wenn der Edge-Transport-Server mit dem Internet verbunden ist:

  • Verbindungsfilterung

  • Absenderfilterung

  • Empfängerfilterung

  • Sender ID-Filterung

  • Inhaltsfilterung

  • Filterung nach Absenderzuverlässigkeit

  • Anlagenfilterung

  • Antivirusscan

  • Outlook-Junk-E-Mail-Filterung

Hinweis

Die Verbindungsfilterung erfasst Informationen während zwei verschiedener Ereignisse. Beim ersten Ereignis erfasst die Verbindungsfilterung IP-Adressinformationen von der Verbindung (wie in der vorangehenden Abbildung dargestellt). Beim zweiten Ereignis sammelt die Verbindungsfilterung Informationen, wenn der Absenderfilter-Agent den Nachrichtenkopf analysiert, um die erste externe IP-Adresse zu bestimmen (wie in der Abbildung unter "Absenderfilterung" weiter unten in diesem Thema dargestellt). Agents können mehrere Ereignisse überwachen. Die vorangehende Abbildung erläutert den Meldungsfluss und zeigt zu diesem Zweck eine grobe Übersicht der ungefähren Reihenfolge, in der Agents angewendet werden, wenn alle Agents aktiviert sind. Weitere Informationen zu bestimmten Ereignissen sowie Angaben dazu, welche Agents welche Ereignisse überwachen, finden Sie unter Grundlegendes zu Transport-Agents.

Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Antispam- und Antivirenfunktionen gibt? Informationen hierzu finden Sie unter Verwalten der Antispam- und Antivirenfunktionen.

Inhalt

Verbindungsfilterung

Absenderfilterung

Empfängerfilterung

Sender ID-Filterung

Inhaltsfilterung

Filterung nach Absenderzuverlässigkeit

Anlagenfilterung

Virenüberprüfung

Junk-E-Mail-Filterung in Outlook

Verbindungsfilterung

Während der SMTP-Sitzung wendet Exchange 2010 Verbindungsfilterung mithilfe der in der folgenden Abbildung gezeigten Kriterien an:

Nachrichtenübermittlung bei der Verbindungsfilterung

Der folgende Vorgang wird ausgeführt:

  1. Der Verbindungsfilter-Agent untersucht die vom Administrator definierte IP-Zulassungsliste. Wenn sich die IP-Adresse des sendenden Servers auf der vom Administrator definierten IP-Zulassungsliste befindet, wird die Nachricht von der Absenderfilterung verarbeitet.

  2. Der Verbindungsfilter-Agent untersucht die lokale IP-Sperrliste. Wenn sich die IP-Adresse des sendenden Servers in der lokalen IP-Sperrliste befindet, wird die Nachricht ohne weitere Filterung automatisch abgelehnt.

  3. Der Verbindungsfilter-Agent untersucht die Liste der zulässigen IP-Adressen, die von beliebigen IP-Zulassungslistenanbietern bereitgestellt wird. Wenn sich die IP-Adresse des sendenden Servers auf der Liste der zulässigen IP-Adressen von IP-Zulassungslistenanbietern befindet, wird die Nachricht von der Absenderfilterung verarbeitet.

  4. Der Verbindungsfilter-Agent untersucht die Echtzeitsperrlisten aller von Ihnen konfigurierten Anbieter für blockierte IP-Adressen. Wenn die IP-Adresse des sendenden Servers in einer Echtzeitsperrliste gefunden wurde, wird die Nachricht abgelehnt, und es werden keine weiteren Filter angewendet.

Weitere Informationen finden Sie unter Informationen zur Verbindungsfilterung.

Hinweis

Wenn der Verbindungsfilter-Agent auf einem Computer bereitgestellt wird, der sich hinter einem mit dem Internet verbundenen Server befindet, werden andere Filter vor dem Verbindungsfilter-Agent aufgerufen, z. B. Absender- und Empfängerfilterung.

Zurück zum Seitenanfang

Absenderfilterung

Nachdem die Verbindungsfilterung angewendet wurde, untersucht Exchange 2010 die E-Mail-Adresse des Absenders anhand der Liste der gesperrten Absender, die Sie bei der Absenderfilterung konfigurieren, wie in der folgenden Abbildung dargestellt.

Nachrichtenübermittlung bei der Absenderfilterung

Der Absenderfilter-Agent überprüft dann die E-Mail-Adresse des Absenders, die in den "Von"-Kopffeldern im Nachrichtenumschlag und im Nachrichtenkopf enthalten ist. Wenn eines der "Von"-Kopffelder mit der Adresse in der Liste der gesperrten Absender übereinstimmt, weist Exchange 2010 die Nachricht auf Protokollebene zurück, und es werden keine weiteren Filter angewendet.

Hinweis

Selbst wenn Empfänger in Ihrer Organisation Absender in ihre Microsoft Outlook-Liste der sicheren Absender aufgenommen haben, setzt die Absenderfilterung auf dem Edge-Transport-Server die Outlook-Einstellung des Empfängers außer Kraft und lehnt die Nachrichten ab.

Weitere Informationen zur Absenderfilterung finden Sie unter Grundlegendes zur Absenderfilterung.

Weitere Informationen zum Nachrichtenumschlag und Nachrichtenkopf finden Sie unter Grundlegendes zu den PICKUP- und Wiedergabeverzeichnissen.

Zurück zum Seitenanfang

Empfängerfilterung

Wenn die Nachricht nicht von der Absenderfilterung abgelehnt wird, führt Exchange die Verbindungsfilterung erneut aus. Exchange wendet anschließend den Empfängerfilter-Agent an (wie in der folgenden Abbildung dargestellt).

Nachrichtenübermittlung bei der Empfängerfilterung

Der Empfängerfilter-Agent untersucht den Empfänger anhand der Empfängersperrliste, die Sie in den Einstellungen des Empfängerfilter-Agents konfiguriert haben. Wenn der beabsichtigte Empfänger mit einer E-Mail-Adresse in Ihrer Empfängersperrliste übereinstimmt, lehnt Exchange 2010 die Nachricht für diesen bestimmten Empfänger ab. Zusätzlich prüft der Empfängerfilter-Agent, ob der Empfänger in der Organisation vorhanden ist. Wenn der Empfänger in der Organisation nicht vorhanden ist, lehnt Exchange die Nachricht für diesen bestimmten Empfänger ab.

Sollten mehrere Empfänger in der Nachricht aufgelistet sein, die nicht in der Empfängersperrliste enthalten sind, wird die Nachricht auch weiterhin verarbeitet. Andernfalls werden keine weiteren Filter angewendet, wenn die Nachricht nur an einen einzelnen gesperrten Empfänger gerichtet ist.

Wenn eine Nachricht mit gesperrten Empfängern verarbeitet wird, wird die Gruppe der gesperrten Empfänger aus der Nachricht entfernt, und die Nachricht wird an die Organisation weitergeleitet. SMTP-Zurückweisungsantworten auf Protokollebene werden für jeden gesperrten Empfänger an den Absender gesendet. Der Absenderzuverlässigkeits-Agent überwacht das Ereignis OnReject, um den Absenderzuverlässigkeitsgrad zu berechnen.

Weitere Informationen finden Sie unter Grundlegendes zur Empfängerfilterung.

Zurück zum Seitenanfang

Sender ID-Filterung

Wenn die Nachricht weiterhin gültige Empfänger enthält, nachdem die Empfängerfilterung angewendet wurde, dann führt Exchange 2010 den Sender ID-Agent aus, wie in der folgenden Abbildung dargestellt.

Nachrichtenübermittlung bei der Sender ID-Filterung

Zuerst ermittelt der Sender ID-Agent die Purported Responsible Address (PRA) der Nachricht mithilfe des in RFC 4407 beschriebenen Algorithmus. Dieser Schritt ist erforderlich, um den Absender der Nachricht genau zu identifizieren. Die PRA ist eine SMTP-Adresse, z. B. "kim@contoso.com". Der Sender ID-Agent führt dann einen DNS-Suchvorgang (Domain Name Service) für den Domänenteil der PRA durch. Wenn diese Domäne einen SPF-Datensatz (Sender Policy Framework) veröffentlicht hat, verwendet der Agent den SPF-Datensatz, um die Nachricht gemäß der Spezifikation für RFC 4408 zu beurteilen. Wenn die Domäne keinen veröffentlichten SPF-Datensatz besitzt, stempelt der Sender ID-Agent die Nachricht mit dem Sender ID-Ergebnis "Keine". Weitere Informationen zu den für die Sender ID-Filterung verwendeten Stempeltypen finden Sie unter Grundlegendes zu Antispamstempeln.

Wenn der DNS des Absenders von einer blockierten Domäne oder einer blockierten Adresse stammt, können die folgenden Maßnahmen in Abhängigkeit von Ihrer Konfiguration von Sender ID-Aktionen ausgeführt werden:

  • Nachricht ablehnen   Wenn für die Sender ID-Aktion die Option Nachricht ablehnen festgelegt wird, lehnt Exchange die Nachricht ab und sendet eine SMTP-Fehlerantwort an den sendenden Server. Die SMTP-Fehlerantwort ist eine Protokollantwort der Stufe 5xx mit Text, der dem Sender ID-Status entspricht.

  • Nachricht löschen   Wenn für die Sender ID-Aktion die Option Nachricht löschen festgelegt wird, löscht Exchange die Nachricht, ohne den sendenden Server über den Löschvorgang zu informieren. Der Computer mit der installierten Edge-Transport-Serverrolle sendet dem sendenden Server einen falschen SMTP-Befehl "OK" und löscht anschließend die Nachricht. Da der sendende Server annimmt, dass die Nachricht gesendet wurde, versucht er innerhalb der gleichen Sitzung nicht, die Nachricht erneut zu senden.

  • Nachrichten mit Sender ID-Ergebnis stempeln und Verarbeitungsvorgang fortsetzen   Exchange stempelt die Nachricht mit dem Sender ID-Ergebnis und setzt die Verarbeitung der Nachricht fort. Diese Metadaten werden vom Inhaltsfilter-Agent ausgewertet, wenn eine SCL-Bewertung berechnet wird. Zusätzlich verwendet die Absenderzuverlässigkeit die Metadaten der Nachricht zum Berechnen eines Absenderzuverlässigkeitsgrads (Sender Reputation Level, SRL) für den Absender der Nachricht.

Weitere Informationen finden Sie unter Grundlegendes zur Sender ID.

Zurück zum Seitenanfang

Inhaltsfilterung

Bevor die Inhaltsfilterung von Exchange den intelligenten Exchange-Nachrichtenfilter aufruft, wird die Absenderfilterung erneut angewendet. Der Exchange-Server wendet dann den Inhaltsfilter-Agent an, wie in der folgenden Abbildung gezeigt.

Nachrichtenübermittlung bei der Inhaltsfilterung

Der Inhaltsfilter-Agent prüft die folgenden Bedingungen in der Nachricht. Wenn eine der Bedingungen zutrifft, umgeht die Nachricht die Inhalts- und Anlagenfilterung. Diese Nachrichten werden dann zur Verarbeitung an den Antivirenscan weitergeleitet. Die folgenden Bedingungen werden überprüft:

  • Die IP-Adresse des Absenders ist in der IP-Zulassungsliste für die Verbindungsfilterung enthalten.

  • Alle Empfänger befinden sich in der Ausnahmeliste für die Inhaltsfilterung.

  • Für den Parameter AntiSpamBypassEnabled ist der Wert $True für alle Postfächer des Empfängers festgelegt.

  • Alle Empfänger haben diesen Absender zu ihrer Outlook-Liste der sicheren Absender hinzugefügt, die auf dem Edge-Transport-Server mithilfe der Aggregation von Listen sicherer Adressen aktualisiert wird.

  • Der Absender ist ein vertrauenswürdiger Partner und befindet sich in der Liste der nicht gefilterten Absender der Organisation.

Zusätzlich zu den hier aufgeführten Bedingungen werden die Antispam-Agents während dieser Sitzung für Nachrichten deaktiviert, wenn die SMTP-Sitzung als vertrauenswürdiger Partner authentifiziert wurde und der Administrator die Berechtigung zum Umgehen von Antispam ("Ms-Exch-Bypass-Anti-Spam") für Partner erteilt hat. Die Berechtigung zum Umgehen von Antispam wird den Partnern nicht standardmäßig erteilt, sondern muss von einem Administrator zugewiesen werden.

Wenn eine Nachricht keine der beschriebenen Bedingungen erfüllt, wird die Inhaltsfilterung angewendet. Bei der Inhaltsfilterung wird der Nachricht eine SCL-Bewertung zugeordnet. Auf Grundlage der SCL-Bewertung tritt eine der folgenden Aktionen ein:

  • Wenn die SCL-Bewertung der Nachricht gleich dem oder größer als der SCL-Schwellenwert zum Löschen ist und dieser aktiviert ist, löscht der Inhaltsfilter-Agent die Nachricht. Es findet keine Kommunikation auf Protokollebene statt, die das sendende System oder den Absender informiert, dass die Nachricht gelöscht wurde. Wenn die SCL-Bewertung kleiner als der SCL-Schwellenwert zum Löschen ist, löscht der Inhaltsfilter-Agent die Nachricht nicht. In diesem Fall vergleicht der Inhaltsfilter-Agent den SCL-Wert mit dem SCL-Zurückweisungsschwellenwert.

  • Wenn die SCL-Bewertung der Nachricht gleich dem oder größer als der SCL-Zurückweisungsschwellenwert ist und dieser aktiviert ist, lehnt der Inhaltsfilter-Agent die Nachricht ab und sendet eine Zurückweisungsantwort an das sendende System. Sie können die Zurückweisungsantwort anpassen. In einigen Fällen wird ein Unzustellbarkeitsbericht an den ursprünglichen Absender der Nachricht gesendet. Wenn die SCL-Bewertung kleiner als der SCL-Zurückweisungsschwellenwert ist, lehnt der Inhaltsfilter-Agent die Nachricht nicht ab. In diesem Fall vergleicht der Inhaltsfilter-Agent den SCL-Wert mit dem SCL-Isolierungsschwellenwert.

  • Wenn die SCL-Bewertung der Nachricht gleich dem oder größer als der SCL-Isolierungsschwellenwert ist und dieser aktiviert ist, sendet der Inhaltsfilter-Agent die Nachricht an das Quarantänepostfach für Spam. Weitere Informationen zum Verwalten des Quarantänepostfachs für Spam finden Sie unter Grundlegendes zur Inhaltsfilterung. Für die Nachricht wird dann mit der Anlagenfilterung fortgefahren.

Weitere Informationen hierzu finden Sie in den folgenden Themen:

Zurück zum Seitenanfang

Filterung nach Absenderzuverlässigkeit

Nachdem die Inhaltsfilterung angewendet wurde, wendet Exchange die Filterung nach Absenderzuverlässigkeit an (wie in der folgenden Abbildung veranschaulicht).

Meldungsfluss für die Absenderzuverlässigkeit

Die Absenderzuverlässigkeit wägt alle folgenden Nachrichtenstatistiken ab und berechnet einen Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) für die einzelnen Absender:

  • HELO/EHLO-Analyse

  • Umgekehrte DNS-Suche

  • Analyse der SCL-Bewertungen für Nachrichten von bestimmten Absendern

  • Open Proxy-Test für Absender

Der Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) ist eine Zahl zwischen 0 und 9 zur Vorhersage der Wahrscheinlichkeit, dass ein bestimmter Absender ein Versender von Spam oder ein in anderer Weise böswilliger Benutzer ist. Ein Wert von 0 gibt an, dass es sich bei dem Absender wahrscheinlich nicht um einen Spammer handelt. Ein Wert von 9 gibt an, dass es sich bei dem Absender wahrscheinlich um einen Spammer handelt.

Sie können einen Sperrschwellenwert für den Absenderzuverlässigkeitsgrad zwischen 0 und 9 konfigurieren, ab dem die Absenderzuverlässigkeit eine Anforderung an den Absenderfilter-Agent ausgibt, wodurch der Absender dann am Senden einer Nachricht in die Organisation gehindert wird. Wenn ein Absender blockiert wird, wird er für einen konfigurierbaren Zeitraum der Liste der blockierten Absender hinzugefügt. Die Art der Verarbeitung von blockierten Nachrichten hängt von der Konfiguration des Absenderfilter-Agents ab. Folgende Aktionen stehen für die Verarbeitung blockierter Nachrichten zur Wahl:

  • Ablehnen

  • Löschen und archivieren

  • Akzeptieren und als blockierten Absender kennzeichnen

Wenn ein Absender in die IP-Sperrliste oder den IP-Zuverlässigkeitsdienst von Microsoft aufgenommen wurde, gibt der Absenderzuverlässigkeits-Agent eine sofortige Anforderung an den Absenderfilter-Agent aus, um den Absender zu blockieren. Um von dieser Funktionalität profitieren zu können, müssen Sie die automatischen Antispamupdates von Microsoft Exchange aktivieren und konfigurieren.

Für Absender, die nicht analysiert wurden, legt der Edge-Transport-Server standardmäßig eine Bewertung von 0 fest. Nachdem ein Absender mindestens 20 Nachrichten gesendet hat, berechnet die Absenderzuverlässigkeit einen Absenderzuverlässigkeitsgrad auf Grundlage der zuvor beschriebenen Statistik.

Weitere Informationen hierzu finden Sie in den folgenden Themen:

Zurück zum Seitenanfang

Anlagenfilterung

Nachdem die Filterung der Absenderzuverlässigkeit angewendet wurde, wendet Exchange die Anlagenfilterung an (wie in der folgenden Abbildung veranschaulicht).

Nachrichtenübermittlung bei der Anlagenfilterung

Sie können die Anlagenfilterung konfigurieren, um Anlagen auf Grundlage ihres MIME-Inhaltstyps, Dateinamens oder ihrer Dateinamenerweiterung zu blockieren. Wenn bei der Anlagenfilterung ein Inhaltstyp oder Dateiname erkannt wird, der blockiert wurde, dann wird eine der folgenden Aktionen auf Basis Ihrer Einstellungen für die Anlagenfilterung ausgeführt:

  • Reject   Wenn die Einstellung der Aktion auf Reject festgelegt ist, wird die Zustellung der E-Mail-Nachricht und der Anlage an den Empfänger verhindert und vom System eine DSN-Fehlernachricht (Benachrichtigung zum Zustellungsstatus) an den Absender gesendet. Sie können Ihre Zurückweisungsantwort anpassen.

  • Silent Delete   Wenn die Einstellung der Aktion auf Silent Delete festgelegt ist, wird die Zustellung der E-Mail-Nachricht und der Anlage an den Empfänger verhindert. Es wird keine Benachrichtigung an den Absender gesendet, dass die E-Mail-Nachricht und die Anlage gesperrt wurden.

  • Strip   Wenn die Einstellung der Aktion auf Strip festgelegt ist, wird die Anlage aus der E-Mail-Nachricht entfernt. Dieser Wert ermöglicht, dass die Nachricht und sonstige Anlagen, die keinem Eintrag der Anlagensperrliste entsprechen, dem Empfänger zugestellt werden. Der E-Mail-Nachricht des Empfängers wird eine Benachrichtigung hinzugefügt, dass die Anlage gesperrt wurde.

Wenn die Nachricht nicht zurückgewiesen oder gelöscht wurde bzw. die Anlagenfilterung keine gesperrten Anlagentypen ermittelt hat, wird die Nachricht auf Viren geprüft.

Weitere Informationen finden Sie unter Konfigurieren von Anlagenfiltern.

Zurück zum Seitenanfang

Virenüberprüfung

Nach dem Anwenden der Anlagenfilterung oder dem Umgehen der Empfänger bei der Inhaltsfilterung erfolgt der Antivirenscan mit Forefront Protection für Exchange Server (wie in der folgenden Abbildung veranschaulicht).

Antivirenscan für die Nachrichtenübermittlung durch Forefront Protection für Exchange Server

Forefront Protection für Exchange Server ist ein Antivirussoftwarepaket, das eng mit Exchange 2010 integriert ist und einen zusätzlichen Antivirusschutz für Ihre Exchange-Umgebung bietet. Wenn Forefront Protection für Exchange Server Nachrichten erkennt, die scheinbar einen Virus enthalten, dann löscht das System die Nachricht, erzeugt eine Benachrichtigung und sendet diese dann an das Postfach des Empfängers.

Weitere Informationen finden Sie unter Microsoft Forefront Protection 2010 für Exchange Server.

Zurück zum Seitenanfang

Junk-E-Mail-Filterung in Outlook

Nachdem alle Filter angewendet wurden und für die Nachricht ein Antivirenscan erfolgte, wird die Nachricht an das vorgesehene Postfach des Empfängers gesendet und die Junk-E-Mail-Filterung angewendet, wie in der folgenden Abbildung dargestellt.

Nachrichtenübermittlung bei Junk-E-Mail-Filterung in Outlook

Wenn die SCL-Bewertung für die Nachricht gleich dem oder größer als der SCL-Schwellenwert des Junk-E-Mail-Ordners ist und dieser Ordner aktiviert ist, speichert der Postfachserver die Nachricht im Junk-E-Mail-Ordners des Outlook-Benutzers. Wenn der SCL-Wert für eine Nachricht kleiner als die Werte für SCL-Lösch-, -Zurückweisungs-, -Isolierungs- und SCL-Schwellenwerte des Junk-E-Mail-Ordners ist, speichert der Postfachserver die Nachricht im Posteingang des Benutzers. Weitere Informationen zu SCL-Schwellenwerten finden Sie unter Grundlegendes zum SCL-Schwellenwert (Spam Confidence Level).

Zurück zum Seitenanfang

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.