Filtern von Empfängern auf Edge-Transport-Servern in Exchange Server

  • Artikel

Die Empfängerfilterung ist ein Antispamfeature in Exchange Server, das auf dem RCPT TO SMTP-Header basiert, um zu bestimmen, welche Aktion ggf. für eine eingehende Nachricht ausgeführt werden soll. Die Empfängerfilterung wird vom Empfängerfilter-Agent durchgeführt und ist im Wesentlichen gegenüber Exchange Server 2010 unverändert.

Der Empfängerfilter-Agent blockt Nachrichten entsprechend den Eigenschaften des beabsichtigten Empfängers in der Organisation. Der Empfängerfilter-Agent kann Ihnen dabei helfen, in folgenden Szenarios die Annahme von Nachrichten zu verhindern:

  • Nicht vorhandene Empfänger: Sie können die Zustellung an Empfänger verhindern, die sich nicht im Adressbuch der Organisation befinden. Beispielsweise können Sie die Übermittlung von häufig missbrauchten Kontonamen wie administrator@contoso.com oder support@contoso.combeenden.

  • Eingeschränkte Verteilergruppen: Sie können die Übermittlung von Internet-E-Mails an Verteilergruppen verhindern, die nur von internen Benutzern verwendet werden sollen.

  • Postfächer, die niemals Nachrichten aus dem Internet empfangen sollten: Sie können die Übermittlung von Internet-E-Mails an ein bestimmtes Postfach oder einen Bestimmten Alias verhindern, der normalerweise innerhalb der Organisation verwendet wird, z. B. Helpdesk.

Der Empfängerfilter-Agent wirkt auf Empfänger aus einer oder beiden der folgenden Datenquellen:

  • Empfängerblockierungsliste: Eine vom Administrator definierte Liste von Empfängern, die niemals Nachrichten aus dem Internet empfangen sollen.

  • Empfängersuche: Fragt Active Directory ab, um zu überprüfen, ob der Empfänger in der Organisation vorhanden ist. Auf einem Edge-Transport-Server erfordert die Empfängersuche Zugriff auf Active Directory-Informationen, die von EdgeSync für die lokale Instanz von Active Directory Lightweight Directory Services (AD LDS) bereitgestellt werden. Weitere Informationen finden Sie unter Edge-Abonnements.

Wenn der Empfängerfilter-Agent aktiviert wird, wird entsprechend der Eigenschaften des Empfängers mit eingehenden Nachrichten eine der folgenden Aktionen ausgeführt. Diese Empfänger werden durch den RCPT TO-Header angegeben.

  • Wenn die eingehende Nachricht einen Empfänger enthält, der sich in der Liste Empfängerblockierung befindet, sendet der Exchange-Server einen 550 5.1.1 User unknown SMTP-Sitzungsfehler an den sendenden Server.

  • Wenn die eingehende Nachricht einen Empfänger enthält, der mit keinem Empfänger in der Empfängersuche übereinstimmt, sendet der Exchange-Server einen 550 5.1.1 User unknown SMTP-Sitzungsfehler an den sendenden Server.

  • Wenn sich der Empfänger nicht in der Liste Empfängerblockierung befindet und der Empfänger in der Empfängersuche gefunden wird, sendet der Exchange-Server eine 250 2.1.5 Recipient OK SMTP-Antwort an den sendenden Server, und der nächste Antispam-Agent in der Kette verarbeitet die Nachricht.

Hinweis

Obwohl der Empfängerfilter-Agent auf Postfachservern verfügbar ist, sollten Sie ihn nicht konfigurieren. Wenn ein Empfängerfilter auf einem Postfachserver einen ungültigen oder gesperrten Empfänger in einer Nachricht entdeckt, die andere gültige Empfänger enthält, wird die Nachricht zurückgewiesen. Der Empfängerfilter-Agent wird aktiviert, wenn Sie die Antispam-Agents auf einem Postfachserver installieren, aber er ist nicht für das Blockieren von Empfängern konfiguriert. Weitere Informationen finden Sie unter Aktivieren der Antispamfunktionen auf Postfachservern.

Konfigurieren der Empfängersuche

Eins der effektivsten Verfahren zum Verringern von Spam besteht in der Überprüfung von Empfängern vor dem Akzeptieren eingehender Nachrichten aus dem Internet. Mit dem Cmdlet Set-RecipientFilterConfig der Exchange-Verwaltungsshell aktivieren Sie die Blockierung von Nachrichten, die an in der Exchange-Organisation nicht vorhandene Empfänger gesendet werden, sowie die Blockierung bestimmter Empfänger.

Teergrubenfunktion (Tarpitting)

Die Empfängersuchfunktion ermöglicht einem Absenderserver die Überprüfung, ob eine E-Mail-Adresse gültig ist oder nicht. Wie bereits erwähnt, sendet der Exchange-Server, wenn der Empfänger einer eingehenden Nachricht ein bekannter Empfänger ist, eine 250 2.1.5 Recipient OK SMTP-Antwort an den sendenden Server zurück. Diese Funktion bietet eine ideale Umgebung für einen Directory Harvest-Angriff, bei dem ein Spammer ein automatisiertes Programm verwendet, um E-Mail-Adressen zu sammeln, die eine 250 2.1.5 Recipient OK SMTP-Antwort zurückgeben.

Um Angriffe auf die Verzeichnisernte zu bekämpfen, bietet Exchange Tarpitting-Funktionen. Tarpitting ist die Praxis, Serverantworten für bestimmte SMTP-Kommunikationsmuster, die auf ein hohes E-Mail-Volumen hinweisen, künstlich zu verzögern, sodass die Kosten für das Senden von Spam für den Spammer steigen.

Wenn tarpitting nicht konfiguriert ist, gibt der Exchange-Server sofort einen 550 5.1.1 User unknown SMTP-Sitzungsfehler an den Absender zurück, wenn sich ein Empfänger nicht in der Empfängersuche befindet. Wenn tarpitting konfiguriert ist, wartet der Exchange-Server alternativ eine angegebene Anzahl von Sekunden, bevor er den 550 5.1.1 User unknown Fehler zurückgibt. Diese Pause innerhalb der SMTP-Sitzung erschwert die Automatisierung eines Verzeichnisdiebstahl-Angriffs und erhöht die Kosten für den Spammer. Das Teergrubenverfahren ist für Empfangsconnectors standardmäßig auf 5 Sekunden festgelegt.

Um die Verzögerung zu konfigurieren, bevor SMTP den 550 5.1.1 User unknown Fehler zurückgibt, legen Sie das Tarpittingintervall mithilfe des TarpitInterval-Parameters im Cmdlet Set-ReceiveConnector fest. Weitere Informationen finden Sie unter Nachrichteneinschränkungen für Empfangsconnectors.

Mehrere Namespaces

Der Empfängerfilter-Agent führt Empfängersuchen nur für autoritative Domänen durch. Wenn Ihre Organisation Nachrichten im Auftrag einer anderen Domäne akzeptiert und weiterleitet, die als interne oder externe Relaydomäne konfiguriert ist, wendet der Empfängerfilter-Agent keine Empfängersuche auf die Empfänger in diesen Domänen an. Wenn der Empfänger allerdings in der Liste blockierter Empfänger angegeben ist, wird der Empfänger weiter vom Empfängerfilter-Agent blockiert.

Sie können auch akzeptierte Domänen lokal auf einem Edge-Transport-Server konfigurieren. Wenn die Domäne als interne oder externe Relaydomäne konfiguriert ist, führt der Empfängerfilter-Agent auf dem Edge-Transport-Server keine Empfängersuche in diesen Domänen durch.