Empfängerfilterung auf Edge-Transport-Servern in Exchange Server

Die Empfängerfilterung ist ein Antispamfeature in Exchange Server, das den RCPT TO SMTP-Header verwendet, um zu bestimmen, welche Aktion für eine eingehende Nachricht ausgeführt werden soll. Die Empfängerfilterung wird vom Empfängerfilter-Agent ausgeführt und ist seit Exchange Server 2010 im Wesentlichen unverändert.

Der Empfängerfilter-Agent blockt Nachrichten entsprechend den Eigenschaften des beabsichtigten Empfängers in der Organisation. Der Empfängerfilter-Agent kann Ihnen dabei helfen, in folgenden Szenarios die Annahme von Nachrichten zu verhindern:

  • Nicht vorhandene Empfänger: Sie können die Zustellung an Empfänger verhindern, die sich nicht im Adressbuch der Organisation befinden. For example, you may want to stop delivery to frequently misused account names, such as administrator@contoso.com or support@contoso.com.

  • Eingeschränkte Verteilergruppen: Sie können die Zustellung von Internet-E-Mails an Verteilergruppen verhindern, die nur von internen Benutzern verwendet werden sollten.

  • Postfächer, die niemals Nachrichten aus dem Internet empfangen sollten: Sie können die Zustellung von Internet-E-Mails an ein bestimmtes Postfach oder einen Alias verhindern, das in der Regel innerhalb der Organisation verwendet wird, z. B. Helpdesk.

Der Empfängerfilter-Agent reagiert auf Empfänger aus einer oder beiden der folgenden Datenquellen:

  • Empfängersperrliste: Eine vom Administrator definierte Liste von Empfängern, die niemals Nachrichten aus dem Internet empfangen sollten.

  • Empfängersuche: Fragt Active Directory ab, um zu überprüfen, ob der Empfänger in der Organisation vorhanden ist. Auf einem Edge-Transport-Server erfordert die Empfängersuche Zugriff auf Active Directory-Informationen, die von EdgeSync für die lokale Instanz von Active Directory Lightweight Directory Services (AD LDS) bereitgestellt werden. Weitere Informationen finden Sie unter Edge-Abonnements.

Wenn der Empfängerfilter-Agent aktiviert wird, wird entsprechend der Eigenschaften des Empfängers mit eingehenden Nachrichten eine der folgenden Aktionen ausgeführt. Diese Empfänger werden durch die RCPT TO-Kopfzeile gekennzeichnet.

  • Wenn die eingehende Nachricht einen Empfänger enthält, der in der Empfängerblockierungsliste enthalten ist, sendet der Exchange Server einen 550 5.1.1 User unknown SMTP-Sitzungsfehler an den sendenden Server.

  • Wenn die eingehende Nachricht einen Empfänger enthält, der keinem Empfänger in der Empfängersuche entspricht, sendet der Exchange Server einen 550 5.1.1 User unknown SMTP-Sitzungsfehler an den sendenden Server.

  • Wenn sich der Empfänger nicht in der Liste "Empfängerblockierung" befindet und der Empfänger in der Empfängersuche gefunden wird, sendet der Exchange Server eine 250 2.1.5 Recipient OK SMTP-Antwort an den sendenden Server, und der nächste Antispam-Agent in der Kette verarbeitet die Nachricht.

Hinweis

Obwohl der Empfängerfilter-Agent auf Postfachservern verfügbar ist, sollten Sie ihn nicht konfigurieren. Wenn ein Empfängerfilter auf einem Postfachserver einen ungültigen oder gesperrten Empfänger in einer Nachricht entdeckt, die andere gültige Empfänger enthält, wird die Nachricht zurückgewiesen. Wenn Sie die Anti-Spam-Agents auf einem Postfachserver installieren, wird der Empfängerfilter-Agent aktiviert. Er wird aber nicht zum Sperren von Empfängern konfiguriert. Weitere Informationen finden Sie unter Aktivieren der Antispamfunktionen auf Postfachservern.

Konfigurieren der Empfängersuche

Eins der effektivsten Verfahren zum Verringern von Spam besteht in der Überprüfung von Empfängern vor dem Akzeptieren eingehender Nachrichten aus dem Internet. Mit dem Cmdlet Set-RecipientFilterConfig der Exchange-Verwaltungsshell aktivieren Sie die Blockierung von Nachrichten, die an in der Exchange-Organisation nicht vorhandene Empfänger gesendet werden, sowie die Blockierung bestimmter Empfänger.

Teergrubenfunktion (Tarpitting)

Die Empfängersuchfunktion ermöglicht einem Absenderserver die Überprüfung, ob eine E-Mail-Adresse gültig ist oder nicht. Wie bereits erwähnt, sendet der Exchange Server, wenn der Empfänger einer eingehenden Nachricht ein bekannter Empfänger ist, eine 250 2.1.5 Recipient OK SMTP-Antwort an den sendenden Server zurück. Diese Funktionalität bietet eine ideale Umgebung für einen Verzeichnisernteangriff, bei dem ein Spammer ein automatisiertes Programm verwendet, um E-Mail-Adressen zu sammeln, die eine 250 2.1.5 Recipient OK SMTP-Antwort zurückgeben.

Um Angriffe auf die Verzeichnisernte zu verhindern, enthält Exchange Tarinting-Funktionen. Bei der Verzögerung werden Serverantworten für bestimmte SMTP-Kommunikationsmuster, die auf hohe E-Mail-Mengen hinweisen, künstlicher Verzögert, sodass die Kosten für das Senden von Spam für den Spammer steigen.

Wenn das Tarpitting nicht konfiguriert ist, gibt der Exchange Server sofort einen 550 5.1.1 User unknown SMTP-Sitzungsfehler an den Absender zurück, wenn sich ein Empfänger nicht in der Empfängersuche befindet. Wenn das Planen konfiguriert ist, wartet der Exchange Server alternativ eine angegebene Anzahl von Sekunden, bevor der Fehler zurückgegeben 550 5.1.1 User unknown wird. Diese Pause innerhalb der SMTP-Sitzung erschwert die Automatisierung eines Verzeichnisdiebstahl-Angriffs und erhöht die Kosten für den Spammer. Das Teergrubenverfahren ist für Empfangsconnectors standardmäßig auf 5 Sekunden festgelegt.

Um die Verzögerung zu konfigurieren, bevor SMTP den 550 5.1.1 User unknown Fehler zurückgibt, legen Sie das Tarpitinterval-Intervall mithilfe des Parameters "TarpitInterval" für das Cmdlet "Set-ReceiveConnector" fest. Weitere Informationen finden Sie unter Nachrichteneinschränkungen für Empfangsconnectors.

Mehrere Namespaces

Der Empfängerfilter-Agent führt Empfängersuchen nur für autoritative Domänen durch. Wenn Ihre Organisation Nachrichten im Auftrag einer anderen Domäne akzeptiert und weiterleitet, die als interne oder externe Relaydomäne konfiguriert ist, wendet der Empfängerfilter-Agent keine Empfängersuche auf die Empfänger in diesen Domänen an. Wenn der Empfänger allerdings in der Liste blockierter Empfänger angegeben ist, wird der Empfänger weiter vom Empfängerfilter-Agent blockiert.

Sie können auch akzeptierte Domänen lokal auf einem Edge-Transport-Server konfigurieren. Wenn die Domäne als interne oder externe Relaydomäne konfiguriert ist, führt der Empfängerfilter-Agent auf dem Edge-Transport-Server keine Empfängersuche in diesen Domänen durch.