Antispamschutz in Exchange 2016Antispam protection in Exchange 2016

Zusammenfassung: erfahren Sie mehr über die integrierten Antispamfunktionen in Exchange 2016 um unerwünschte (oder junk) an Ihre Organisation gesendeten e-Mails zu reduzieren.Summary: Learn about the built-in antispam features in Exchange 2016 to reduce unwanted (or junk) email sent to your organization.

Spammeroder böswillige Absender verwenden eine Reihe von Techniken unerwünschte e-Mails in Ihrer Organisation zu senden. Keine einzelnen Tool oder Prozess kann alle Spam löschen. Microsoft Exchange bietet jedoch einen mehrstufigen, facettenreiche Ansatz für diese unerwünschten Nachrichten reduziert. Exchange-Transport-Agents anzugebende Anti-Spam Protection verwendet, und die integrierten verfügbaren Agents im Exchange Server 2016 sind relativ unverändert aus Exchange Server 2010. In Exchange steht 2016, Konfiguration und Verwaltung von diese Agents nur in der Exchange-Verwaltungsshell.Spammers, or malicious senders, use a variety of techniques to send unwanted email into your organization. No single tool or process can eliminate all spam. However, Microsoft Exchange provides a layered, multifaceted approach to reducing these unwanted messages. Exchange uses transport agents to provide antispam protection, and the built-in agents that are available in Exchange Server 2016 are relatively unchanged from Exchange Server 2010. In Exchange 2016, configuration and management of these agents is available only in the Exchange Management Shell.

Für zusätzliche Antispamfeatures und einfachere Verwaltung können Sie Exchange Online Protection (EOP) erwerben, das Teil von Microsoft Office 365 ist. Weitere Informationen zum Antispamschutz in Office 365 finden Sie unter Office 365-Antispamschutz für E-Mails.For more antispam features and easier management, you can purchase Exchange Online Protection (EOP) that's part of Microsoft Office 365. To learn more about Office 365 antispam protection, see Office 365 Email antispam Protection.

Antispam-Agents auf PostfachservernAntispam agents on Mailbox servers

Typischerweise werden Antispam-Agents auf einem Postfachserver aktiviert, wenn Ihre Organisation nicht über einen Edge-Transport-Server verfügt oder eingehende Nachrichten nicht im Vorfeld nach Spam filtert. Weitere Informationen finden Sie unter Aktivieren der Antispamfunktionen auf Postfachservern.Typically, you enable the antispam agents on a Mailbox server if your organization doesn't have an Edge Transport server, or if it doesn't do other antispam filtering on incoming messages. For more information, see Enable antispam functionality on Mailbox servers.

Wie allen Transport-Agents ist jedem Antispam-Agent ein Prioritätswert zugewiesen. Je niedriger der Wert ist, desto höher ist die Priorität: ein Antispam-Agent mit Priorität 1 wird also vor einem Agent mit Priorität 9 eine Aktion für eine Nachricht ausführen. Das SMTP-Ereignis in der Transportpipeline, für die der Antispam-Agent registriert ist, spielt jedoch auch eine große Rolle, um die Reihenfolge zu bestimmen, in der Antispam-Agents Aktionen für Nachrichten ausführen. Ein Antispam-Agent mit niedriger Priorität, der früh in der Transportpipeline registriert ist, führt eine Aktion für eine Nachricht aus, bevor ein Antispam-Agent mit hoher Priorität, der später in der Transportpipeline registriert ist, eine Aktion ausführen kann.Like all transport agents, each antispam agent is assigned a priority value. A lower value indicates a higher priority, so typically, an antispam agent with priority 1 acts on a message before an antispam agent with priority 9. However, the SMTP event in the transport pipeline where the antispam agent is registered is also very important in determining the order that antispam agent acts on messages. A low priority antispam agent that's registered early in the transport pipeline acts on messages before a high priority antispam agent that's registered later in the transport pipeline.

Basierend auf dem Standardprioritätswert des Agents und dem SMTP-Ereignis, für das der Agent registriert ist, ist dies die Reihenfolge, in der die Antispam-Agents auf Nachrichten auf Postfachservern angewendet werden:Based on the default priority value of the agent and the SMTP event where the agent is registered, this is the order that the antispam agents are applied to messages on Mailbox servers:

  1. Absenderfilter-Agent: Absenderfilter vergleicht sendenden Servers zu einer Liste von Absender oder Absenderdomänen, die nicht am Senden von Nachrichten in Ihrer Organisation zulässig sind. Weitere Informationen finden Sie unter Absenderfilter.Sender Filter agent: Sender filtering compares the sending server to a list of senders or sender domains that are prohibited from sending messages to your organization. For more information, see Sender filtering.

  2. Sender ID-Agent: Sender ID stützt sich auf die IP-Adresse des sendenden Servers und der Purported verantwortlich-Adresse (PRA) des Absenders zu ermitteln, ob die e-Mail-Adresse des Absenders manipuliert ist. Weitere Informationen finden Sie unter Sender ID.Sender ID agent: Sender ID relies on the IP address of the sending server and the Purported Responsible Address (PRA) of the sender to determine whether the sending email address is spoofed. For more information, see Sender ID.

  3. Inhaltsfilter-Agent: Content-Filterung Agent jede Nachricht basierend auf Daten von legitimen und Spamnachrichten eine Spam Confidence Level (SCL) zugewiesen. Weitere Informationen finden Sie unter Content-Filterung.Content Filter agent: Content filtering agent assigns a spam confidence level (SCL) to each message based on data from legitimate and spam messages. For more information, see Content filtering.

    Die Spamquarantäne ist eine Komponente des Inhaltsfilter-Agents, durch die das Risiko reduziert wird, dass legitime, fälschlicherweise als Spam klassifizierte Nachrichten verloren gehen. Die Spamquarantäne stellt einen temporären Speicherort für verdächtige Nachrichten bereit, damit sie von einem Administrator untersucht werden können. Weitere Informationen finden Sie unter Spamfilter-Quarantäne in Exchange 2016.Spam quarantine is a component of the Content Filter agent that reduces the risk of losing legitimate messages that are incorrectly classified as spam. Spam quarantine provides a temporary storage location for suspicious messages so an administrator can review the messages. For more information, see Spam quarantine in Exchange 2016.

    Filterung von Inhalten verwendet auch das Feature Aggregation von Listen sicherer Adressen. Aggregation von Listen sicherer Adressen sammelt Liste sicherer Daten, die Benutzer in Microsoft Outlook und Outlook im Web konfigurieren und stellt diese Informationen an dem Inhaltsfilter-Agent zur Verfügung. Weitere Informationen finden Sie unter Aggregation von Listen sicherer Adressen.Content filtering also uses the safelist aggregation feature. Safelist aggregation collects safe list data that users configure in Microsoft, Outlook, and Outlook on the web and makes this information available to the Content Filter agent. For more information, see Safelist aggregation.

  4. Protokoll-Analyse-Agent (Sender Reputation): der Protokoll Analysis-Agent ist der Agent, der Absenderzuverlässigkeits bereitstellt. Absenderzuverlässigkeits verwendet mehrere Tests ein Sender Reputation Level (SRL) berechnet auf eingehende Nachrichten, die bestimmt die Aktion, die auf diese Nachrichten angewendet werden. Weitere Informationen finden Sie unter Absenderzuverlässigkeits und das Protokoll-Analyse-Agent.Protocol Analysis agent (sender reputation): The Protocol Analysis agent is the agent that provides sender reputation. Sender reputation uses several tests to calculate a sender reputation level (SRL) on incoming messages that determines the action to take on those messages. For more information, see Sender reputation and the Protocol Analysis agent.

Antispam-Agents auf Edge-Transport-ServernAntispam agents on Edge Transport servers

Wenn in Ihrer Organisation ein Edge-Transport-Server im Umkreisnetzwerk installiert ist, werden alle Antispam-Agents, die auf einem Postfachserver verfügbar sind, standardmäßig auf dem Edge-Transport-Server installiert und aktiviert. Folgende Antispam-Agents sind jedoch nur auf Edge-Transport-Servern verfügbar:If your organization has an Edge Transport server installed in the perimeter network, all of the antispam agents that are available on a Mailbox server are installed and enabled by default on the Edge Transport server. However, the following antispam agents are available only on Edge Transport servers:

  • Verbindungsfilter-Agent: Verbindungsfilter verwendet eine IP-Sperrliste und IP-Zulassungsliste Liste blockierter IP-Adressen Anbieter für zugelassene IP-Adressen Anbieter um festzustellen, ob eine Verbindung blockiert oder zugelassen werden soll. Weitere Informationen finden Sie unter verbindungsfilterung auf Edge-Transport-Servern.Connection Filtering agent: Connection filtering uses an IP block list, IP allow list, IP block list providers, and IP allow list providers to determine whether a connection should be blocked or allowed. For more information, see Connection filtering on Edge Transport servers.

  • Empfängerfilter-Agent: Empfänger-Filterung verwendet eine Liste blockierter Empfänger zur Identifikation von Nachrichten, die an der Organisation. Der Empfängerfilter verwendet auch das lokale Verzeichnis Empfänger ablehnen von Nachrichten, die an ungültige Empfänger gesendet. Weitere Informationen finden Sie unter Empfänger-Filterung auf Edge-Transport-Servern.Recipient Filter agent: Recipient filtering uses a recipient block list to identify messages that aren't allowed to enter the organization. The recipient filter also uses the local recipient directory to reject messages sent to invalid recipients. For more information, see Recipient filtering on Edge Transport servers.

    Hinweis

    Obwohl der Empfängerfilter-Agent auf Postfachservern verfügbar ist, sollten Sie ihn nicht konfigurieren. Wenn ein Empfängerfilter auf einem Postfachserver einen ungültigen oder gesperrten Empfänger in einer Nachricht entdeckt, die andere gültige Empfänger enthält, wird die Nachricht zurückgewiesen. Wenn Sie die Anti-Spam-Agents auf einem Postfachserver installieren, wird der Empfängerfilter-Agent aktiviert. Er wird aber nicht zum Sperren von Empfängern konfiguriert.Although the Recipient Filter agent is available on Mailbox servers, you shouldn't configure it. When recipient filtering on a Mailbox server detects one invalid or blocked recipient in a message that contains other valid recipients, the message is rejected. The Recipient Filter agent is enabled when you install the antispam agents on a Mailbox server, but it isn't configured to block any recipients.

  • Anlagenfilter-Agent: Anlagenfilter blockiert Nachrichten oder Anlagen basierend auf dem Dateinamen der Anlage, die Erweiterung oder den MIME-Inhaltstyp. Weitere Informationen finden Sie unter anlagenfilterung auf Edge-Transport-Servern.Attachment Filtering agent: Attachment filtering blocks messages or attachments based on the attachment file name, extension, or MIME content type. For more information, see Attachment filtering on Edge Transport servers.

Basierend auf dem Standardprioritätswert des Antispam-Agents und dem SMTP-Ereignis in der Transportpipeline, für das der Agent registriert ist, werden die Antispam-Agents auf Nachrichten auf dem Edge-Transport-Server in dieser Reihenfolge angewendet:Based on the default priority value of the antispam agent, and the SMTP event in the transport pipeline where the agent is registered, this is the order that the antispam agents are applied to messages on Edge Transport servers:

  1. Verbindungsfilter-AgentConnection Filtering agent

  2. Absenderfilter-AgentSender Filter agent

  3. Empfängerfilter-AgentRecipient Filter agent

  4. Sender ID-AgentSender ID agent

  5. Inhaltsfilter-AgentContent Filter agent

  6. Protokollanalyse-Agent (Absenderzuverlässigkeit)Protocol Analysis agent (sender reputation)

  7. Anlagenfilter-AgentAttachment Filtering agent

AntispamstempelAntispam stamps

Antispam-Stempel auf Nachrichten angewendet werden und die antispam-Agents verwendet werden. Sie können die antispam Zeitstempel, mit denen Sie die Spam-Probleme diagnostizieren anzeigen. Weitere Informationen finden Sie unter Anti-Spam-Stempel.Antispam stamps are applied to messages and are used by the antispam agents. You can view the antispam stamps to help you diagnose spam-related problems. For more information, see Antispam stamps.

Strategie für ein AntispamkonzeptStrategy for antispam approach

Antispam ist ein Balanceakt zwischen dem Blockieren unerwünschter Nachrichten und den Zulassen legitimer Nachrichten. Wenn Sie die Antispamfeatures zu restriktiv konfigurieren, werden Sie wahrscheinlich zu viele legitime Nachrichten (falsch positive Ergebnisse) blockieren. Wenn Sie die Antispamfeatures zu lose konfigurieren, gelangt wahrscheinlich zu viel Spam in Ihre Organisation.Antispam is a balancing act between blocking unwanted messages and allowing legitimate messages. If you configure the antispam features too aggressively, you'll likely block too many legitimate messages (false positives). If you configure the antispam features too loosely, you likely allow too much spam into your organization.

Hier sind einige bewährte Methoden für das Konfigurieren der integrierten Antispamfeatures in Exchange:These are some best practices to consider when configuring the built-in antispam features in Exchange:

  • Lehnen Sie Nachrichten ab, die vom Verbindungsfilter-Agent, vom Empfängerfilter-Agent und vom Absenderfilter-Agent identifiziert werden, statt die Nachrichten in Quarantäne zu setzen oder Antispamstempel anzuwenden. Dieser Ansatz empfiehlt sich aus folgenden Gründen:Reject messages that are identified by the Connection Filtering agent, Recipient Filter agent, and Sender Filter agent rather than quarantining the messages or applying antispam stamps. This approach is recommended for these reasons:

    • Nachrichten, die von den Standardeinstellungen für die Verbindungsfilter identifiziert werden, Empfänger filtern oder Absender Filtern in der Regel erfordern keine weiteren Tests zu ermitteln, ob sie unerwünschte sind. Wenn Sie Absenderfilter in bestimmten Liste blockierter Absender konfiguriert haben, besteht beispielsweise keinen Grund für die Verarbeitung von Nachrichten von diesen Absendern fort. (Wenn Sie die Nachrichten abgelehnt möchten haben, Sie würde nicht auf die Liste der blockierten Absender platziert haben).Messages that are identified by the default settings of the connection filtering, recipient filtering, or sender filtering typically don't require further tests to determine if they're unwanted. For example, if you configured sender filtering to block specific senders, there's no reason to continue to process messages from those senders. (If you didn't want the messages rejected, you wouldn't have put them on the blocked senders list).

    • Konfigurieren einer aggressiveren Ebene für die antispam-Agents, die Nachrichten in der Transportpipeline früh auftreten speichert Verarbeitung, Bandbreite und Datenträgerressourcen. Je weiter in die Transportpipeline durchläuft eine Nachricht, die größere Anzahl von Variablen, die verbleibenden Antispamfunktionen ausgewertet werden soll, um die Nachricht als Spam erfolgreich zu ermitteln müssen. Frühe ablehnen Sie offensichtliche Nachrichten, damit später mehrdeutige Nachrichten verarbeitet werden können.Configuring a more aggressive level for the antispam agents that encounter messages early in the transport pipeline saves processing, bandwidth, and disk resources. The farther in transport pipeline a message travels, the greater number of variables that the remaining antispam features need to evaluate to successfully identify the message as spam. Reject obvious messages early so you can process ambiguous messages later.

  • Sie müssen die Effektivität der Antispamfeatures auf ihren aktuellen Konfigurationsebenen überwachen. Durch die Überwachung können Sie auf Trends reagieren und die Aggressivität der Einstellungen erhöhen oder verringern. Starten Sie mit den Standardeinstellungen, um die Anzahl der falsch positiven Ergebnisse zu minimieren. Wenn Sie die Menge an Spam und falsch positiven Ergebnissen überwachen, können Sie die Aggressivität der Einstellungen basierend auf dem Typ von Spam und Spamangriffen, die in Ihrer Organisation auftreten, erhöhen.You need to monitor the effectiveness of the antispam features at their current configuration levels. Monitoring allows you to react to trends and increase or decrease the aggressiveness of the settings. You should start with the default settings to minimize the number of false positives. As you monitor the amount of spam and false positives, you can increase the aggressiveness of the settings based on the type of spam and spam attacks that your organization experiences.

See alsoSee also

Office 365 e-Mail Anti-Spam-SchutzOffice 365 email antispam protection