Grundlegendes zur Absenderzuverlässigkeit
Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Letztes Änderungsdatum des Themas: 2010-07-07
Die Absenderzuverlässigkeit ist eine Antispamfunktion, die auf Computern mit der MicrosoftExchange Server 2010-Edge-Transport-Serverrolle aktiviert wird, um Nachrichten basierend auf einer Vielzahl von Eigenschaften des Absenders zu blockieren. Die Absenderzuverlässigkeit verwendet gespeicherte Daten über den Absender, um die Aktion zu bestimmen, die ggf. für eine eingehende Nachricht ausgeführt werden soll.
Beim Konfigurieren von Antispam-Agents auf einem Edge-Transport-Server bearbeitet der Agent Nachrichten kumulativ, um die Anzahl der unerwünschten Nachrichten zu verringern, die in die Organisation gelangen. Weitere Informationen über das Planen und Bereitstellen von Antispam-Agents finden Sie unter Grundlegendes zur Antispam- und Antivirusfunktionalität.
Möchten Sie wissen, welche Verwaltungsaufgaben es im Zusammenhang mit Transportservern gibt? Informationen hierzu finden Sie unter Verwalten von Transportservern.
Inhalt
Berechnung des Absenderzuverlässigkeitsgrads
Verwenden eines Absenderzuverlässigkeitsgrads (Sender Reputation Level, SRL)
Aktivieren und Konfigurieren der Erkennung von offenen Proxyservern
Festlegen des SRL-Sperrschwellenwerts
Berechnung des Absenderzuverlässigkeitsgrads
Aus folgender Statistik wird ein Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) berechnet:
HELO/EHLO-Analyse Zweck der SMTP-Befehle HELO und EHLO ist es, dem empfangenden SMTP-Server den Domänennamen, beispielsweise Contoso.com, oder die IP-Adresse des sendenden SMTP-Servers bereitzustellen. Böswillige Benutzer und Spammer fälschen die HELO/EHLO-Anweisung häufig auf verschieden Arten. Beispielsweise geben sie eine IP-Adresse ein, die nicht der IP-Adresse entspricht, über welche die Verbindung tatsächlich hergestellt wurde. Spammer fügen auch Domänen in die HELO-Anweisung ein, von denen bekannt ist, dass sie von dem empfangenden Server lokal unterstützt werden, in dem Versuch der Vortäuschung, dass sich die Domänen innerhalb der Organisation befinden. In anderen Fällen ändern Spammer die Domäne, die in der HELO-Anweisung übergeben wird. Rechtmäßige Benutzer mögen zwar auch verschiedene Sätze von Domänen in ihren HELO-Anweisungen verwenden, doch sind diese normalerweise relativ konstant.
Daher kann die Analyse der HELO/EHLO-Anweisung auf Absenderbasis darauf hinweisen, dass es sich bei dem Absender wahrscheinlich um einen Spammer handelt. Ein Absender, der beispielsweise innerhalb eines bestimmten Zeitraums viele verschiedene, aber eindeutige HELO/EHLO-Anweisungen bereitstellt, ist mit höherer Wahrscheinlichkeit ein Spammer. Absender, die in der HELO-Anweisung konsistent eine IP-Adresse angeben, die nicht der Ursprungs-IP-Adresse entspricht, wie sie vom Verbindungsfilter-Agent ermittelt wird, sind ebenso mit höherer Wahrscheinlichkeit Spammer, wie es Remoteabsender sind, die in der HELO-Anweisung konsistent den Namen einer lokalen Domäne angeben, die sich in derselben Organisation wie der Edge-Transport-Server befindet.
Reverse-DNS-Lookup Die Absenderzuverlässigkeit überprüft auch, ob die Ursprungs-IP-Adresse, von der der Absender die Nachricht übermittelt hat, dem registrierten Domänennamen entspricht, der vom Absender mit dem SMTP-Befehl HELO oder EHLO übermittelt wird.
Die Absenderzuverlässigkeit führt eine Reverse-DNS-Abfrage aus, indem die Ursprungs-IP-Adresse an DNS übermittelt wird. Das von DNS zurückgegebene Ergebnis ist der Domänenname, der für diese IP-Adresse von der zuständigen Stelle für die Vergabe von Domänennamen registriert wurde. Die Absenderzuverlässigkeit vergleicht den von DNS zurückgegebenen Domänennamen mit dem Domänennamen, der vom Absender mit dem SMTP-Befehl HELO/EHLO übermittelt wurde. Wenn sich die Domänennamen nicht entsprechen, ist der Absender wahrscheinlich ein Spammer, und der Wert der SRL-Gesamtbewertung für diesen Absender wird nach oben angepasst.
Der Sender ID-Agent führt eine ähnliche Aufgabe aus, aber sein Erfolg hängt von rechtmäßigen Absendern ab, die ihre DNS-Infrastruktur aktualisieren, um alle E-Mail sendenden SMTP-Server in deren Organisation zu identifizieren. Mit einem Reverse-DNS-Lookup können Sie bei der Identifizierung potenzieller Spammer helfen.
Analyse von SCL-Bewertungen für Nachrichten eines bestimmten Absenders Wenn der Inhaltsfilter-Agent eine Nachricht verarbeitet, weist er dieser eine SCL-Bewertung (Spam Confidence Level) zu. Die SCL-Bewertung ist eine Zahl von 0 bis 9. Eine höhere SCL-Bewertung zeigt an, dass es sich bei einer Nachricht mit größerer Wahrscheinlichkeit um Spam handelt. Die Daten über jeden Absender und die SCL-Bewertungen ihrer Nachrichten sind beständig verfügbar für die Analyse durch die Absenderzuverlässigkeit. Die Absenderzuverlässigkeit berechnet die Statistik für einen Absender aus dem Verhältnis aller Nachrichten dieses Absenders mit einer niedrigen SCL-Bewertung in der Vergangenheit und allen Nachrichten dieses Absenders mit einer hohen SCL-Bewertung in der Vergangenheit. Zusätzlich fließt die Anzahl der Nachrichten mit einer hohen SCL-Bewertung, die der Absender innerhalb des letzten Tags versendet hat, in die SRL-Gesamtbewertung ein.
Open Proxy-Test für Absender Ein offener Proxy ist ein Proxyserver, der ortsunabhängig alle Verbindungsanforderungen akzeptiert und den Datenverkehr so weiterleitet, als ob er von den lokalen Hosts stammte. Proxyserver leiten TCP-Verkehr durch Firewallhosts weiter, um Benutzeranwendungen einen transparenten Zugriff hinter die Firewall zu gestatten Da Proxyprotokolle schlank und von Benutzeranwendungsprotokollen unabhängig sind, können Proxys von vielen verschiedenen Diensten verwendet werden. Proxys können auch zur gemeinsamen Nutzung einer Internetverbindung durch mehrere Hosts verwendet werden. Proxys werden normalerweise so eingerichtet, dass nur vertrauenswürdige Hosts innerhalb der Firewall den jeweiligen Proxy passieren dürfen.
Offene Proxys können aus jedem der folgenden Gründe vorhanden sein:
Unabsichtliche Fehlkonfiguration.
Böswillige Programme des Typs Trojanisches Pferd. Ein Trojanisches Pferd ist ein Programm, dass sich als ein anderes gängiges Programm ausgibt, um Informationen abzurufen.
Offene Proxys, die häufig auch über unzureichende Protokollierung verfügen, bieten böswilligen Benutzern eine ideale Möglichkeit, um ihre wahre Identität zu verbergen sowie um DoS-Angriffe (Denial of Service) zu starten oder um Spam zu senden. Da Proxyserver zunehmend als standardmäßig offen konfiguriert werden, treten offene Proxys immer häufiger auf. Darüber hinaus können böswillige Benutzer mehrere offene Proxys verwenden, um die Ursprungs-IP-Adresse des Absenders zu verschleiern.
Wenn die Absenderzuverlässigkeit einen Open Proxy-Test durchführt, wird eine SMTP-Anforderung formatiert, um von dem offenen Proxyserver aus eine Verbindung zurück zum Edge-Transport-Server herzustellen. Wenn eine SMTP-Anforderung von dem Proxyserver empfangen wird, überprüft die Absenderzuverlässigkeit, ob es sich bei dem Proxyserver um einen offenen Proxy handelt, und aktualisiert die Open Proxy-Teststatistik dieses Absenders entsprechend.
Die Absenderzuverlässigkeit wägt die jede einzelne Statistik ab und berechnet einen Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) für jeden Absender. Der Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) ist eine Zahl zwischen 0 und 9 zur Vorhersage der Wahrscheinlichkeit, dass ein bestimmter Absender ein Versender von Spam oder in anderer Weise böswilliger Benutzer ist. Ein Wert von 0 gibt an, dass es sich bei dem Absender wahrscheinlich nicht um einen Spammer handelt; ein Wert von 9 gibt an, dass es sich bei dem Absender wahrscheinlich um einen Spammer handelt.
Sie können einen Sperrschwellenwert zwischen 0 und 9 konfigurieren, ab dem die Absenderzuverlässigkeit eine Anforderung an den Absenderfilter-Agent ausgibt, wodurch der Absender am Senden einer Nachricht in die Organisation gehindert wird. Wenn ein Absender geblockt wird, wird er der Liste der geblockten Absender für einen konfigurierbaren Zeitraum hinzugefügt. Die Art der Verarbeitung von geblockten Nachrichten hängt von der Konfiguration des Absenderfilter-Agents ab. Folgende Aktionen stehen für die Verarbeitung geblockter Nachrichten zur Wahl:
Ablehnen
Löschen und archivieren
Akzeptieren und als geblockten Absender kennzeichnen
Wenn ein Absender in die IP-Sperrliste oder den IP-Zuverlässigkeitsdienst von Microsoft aufgenommen wurde, gibt die Absenderzuverlässigkeit eine sofortige Anforderung an den Absenderfilter-Agent aus, um den Absender zu blockieren. Um von dieser Funktionalität profitieren zu können, müssen Sie die automatischen Antispamupdates von Microsoft Exchange aktivieren und konfigurieren.
Für Absender, die nicht analysiert wurden, legt der Edge-Transport-Server standardmäßig eine Bewertung von 0 fest. Nachdem ein Absender mindestens 20 Nachrichten gesendet hat, berechnet die Absenderzuverlässigkeit auf Grundlage der zuvor in diesem Thema beschriebenen Statistik eine SRL-Bewertung.
Zurück zum Seitenanfang
Verwenden eines Absenderzuverlässigkeitsgrads (Sender Reputation Level, SRL)
Die Absenderzuverlässigkeit führt in zwei Phasen der SMTP-Sitzung Aktionen für Nachrichten aus:
Während des SMTP-Befehls MAIL FROM: Die Absenderzuverlässigkeit führt nur dann Aktionen für eine Nachricht aus, wenn diese vom Verbindungsfilter-Agent, vom Absenderfilter-Agent, vom Empfängerfilter-Agent oder vom Sender ID-Agent blockiert oder anderweitig verarbeitet wurde. In diesem Fall ruft die Absenderzuverlässigkeit die aktuelle SRL-Bewertung des Absenders aus dessen Absenderprofil ab, das in der Edge-Transport-Serverdatenbank gespeichert wird. Nach dem Abrufen und Auswerten dieser Bewertung gibt die Konfiguration des Edge-Transport-Servers das Verhalten vor, das aufgrund des Sperrschwellenwerts bei der jeweiligen Verbindung auftritt.
Nach dem SMTP-Befehl "end of data" (Ende der Daten) Der SMTP-Befehl "Ende der Datenübertragung" (End of Data Transfer, _EOD) wird ausgeführt, nachdem alle tatsächlichen Nachrichtendaten gesendet wurden. Zu diesem Zeitpunkt der SMTP-Sitzung wurde die Nachricht bereits von zahlreichen Antispam-Agents verarbeitet. Als Begleiteffekt der Antispamverarbeitung wird die Statistik, die Absenderzuverlässigkeit benötigt, aktualisiert. Deshalb verfügt die Absenderzuverlässigkeit über die Daten, die zum Berechnen oder Neuberechnen einer SRL-Bewertung für den Absender notwendig sind.
Weitere Informationen finden Sie unter Konfigurieren der Eigenschaften für die Absenderzuverlässigkeit.
Zurück zum Seitenanfang
Aktivieren und Konfigurieren der Erkennung von offenen Proxyservern
Die Absenderzuverlässigkeit wertet zur Berechnung der SRL-Bewertung mehrere Absendermerkmale aus. Zu den Eigenschaften, die die Absenderzuverlässigkeit auswertet, zählen die Ergebnisse eines Tests auf offene Proxyserver. Häufig leiten Versender von Spam Nachrichten über offene Proxyserver im Internet. Durch das Weiterleiten von Spam über offene Proxyserver können Versender von Spam Nachrichten senden, die von einem anderen als ihrem eigenen Server zu stammen scheinen.
Wenn die Absenderzuverlässigkeit einen SRL-Wert berechnet, versucht sie, mithilfe einer Vielzahl gängiger Proxyprotokolle, wie etwa SOCKS4, SOCKS5, HTTP, Telnet, Cisco oder Wingate, eine Verbindung mit der Absender-IP-Adresse herzustellen. Die Absenderzuverlässigkeit formatiert eine protokollspezifische Anforderung, um über den offenen Proxyserver mithilfe einer SMTP-Anforderung eine Verbindung mit dem Edge-Transport-Server herzustellen. Wenn eine SMTP-Anforderung von dem Proxyserver empfangen wird, überprüft die Absenderzuverlässigkeit, ob es sich bei dem Proxyserver um einen offenen Proxyserver handelt, und passt die SRL-Bewertung diesem Ergebnis entsprechend an. Die Erkennung offener Proxyserver ist für die Absenderzuverlässigkeit standardmäßig aktiviert.
Weitere Informationen zum Aktivieren der Erkennung von offenen Proxyservern finden Sie unter Konfigurieren der Eigenschaften für die Absenderzuverlässigkeit.
Weitere Informationen zum Konfigurieren der Erkennung von offenen Proxyservern finden Sie unter Konfigurieren des ausgehenden Zugriffs für die Erkennung von offenen Proxyservern für die Absenderzuverlässigkeit.
Zurück zum Seitenanfang
Festlegen des SRL-Sperrschwellenwerts
Der Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) ist eine Zahl zwischen 0 und 9 zur Vorhersage der Wahrscheinlichkeit, dass ein bestimmter Absender ein Versender von Spam oder in anderer Weise böswilliger Benutzer ist. Sie müssen einen Schwellenwert für die Absendersperrung durch SRL festlegen. Dieser SRL-Sperrschwellenwert definiert den SRL-Wert, der überschritten werden muss, damit die Absenderzuverlässigkeit einen Absender blockiert. Standardmäßig ist der SRL-Wert auf 7 festgelegt. Sie sollten die Wirksamkeit des Agents bei Verwendung der Standardeinstellung überwachen. Es kann möglich sein, dass der SRL-Wert angepasst werden muss, um die Anforderungen Ihrer Organisation zu erfüllen. Wenn Sie andere Antispam-Agents auf aggressive Werte festlegen, können Sie möglicherweise einen höheren SRL-Schwellenwert für die Absenderzuverlässigkeit festlegen als bei weniger aggressiven Werten für die anderen Antispam-Agents. Weitere Informationen zum Anpassen von Antispamkonfigurationen für ein effektives Zusammenwirken, um Spam zu verringern, finden Sie unter Grundlegendes zur Antispam- und Antivirusfunktionalität.
Wenn der SRL-Sperrschwellenwert für einen bestimmten Absender überschritten wird, fügt die Absenderzuverlässigkeit den Absender der IP-Sperrliste im Verbindungsfilter-Agent hinzu. Manchmal senden Versender von Spam Batches von Spamnachrichten über einen einzelnen Absender. In diesem Szenario wird der Absender für einen konfigurierbaren Zeitraum zur Absendersperrliste hinzugefügt, wenn die Absenderzuverlässigkeit einen SRL-Wert berechnet, der den SRL-Sperrschwellenwert überschreitet. Die standardmäßige Dauer ist 24 Stunden. Nach 24 Stunden wird der Absender aus der Absendersperrliste entfernt und kann erneut Nachrichten senden.
Wenn ein Absender zur IP-Sperrliste hinzugefügt wird, löscht die Absenderzuverlässigkeit das Profil für den Absender. Die Absenderzuverlässigkeit löscht das vorhandene Profil des blockierten Absenders, da dieses angibt, dass der SRL-Wert des Absenders den SRL-Sperrschwellenwert überschreitet. Dies würde dazu führen, dass der blockierte Absender erneut zur IP-Sperrliste hinzugefügt würde, sobald der Sperrzeitraum für den Absender abgelaufen wäre.
Weitere Informationen finden Sie unter Konfigurieren der Eigenschaften für die Absenderzuverlässigkeit.
Zurück zum Seitenanfang
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.