Verbindungsfilterung auf Edge-Transport-Servern
Gilt für: Exchange Server 2013
Verbindungsfilterung ist ein Antispamfeature in Microsoft Exchange Server 2013, das E-Mails basierend auf der Nachrichtenquelle zulässt oder blockiert. Die Verbindungsfilterung wird vom Verbindungsfilter-Agent ausgeführt, der nur auf Edge-Transport-Servern verfügbar ist. Der Verbindungsfilter-Agent verwendet die IP-Adresse des E-Mail-Servers, um zu bestimmen, welche Aktion ggf. für eine eingehende Nachricht ausgeführt werden soll.
Standardmäßig ist der Verbindungsfilter-Agent der erste Antispam-Agent, der eine eingehende Nachricht auf einem Edge-Transport-Server auswertet. Die IP-Quelladresse der SMTP-Verbindung wird mit den zugelassenen und blockierten IP-Adressen abgeglichen. Wenn die Quell-IP-Adresse in der Liste der zulässigen IP-Adressen enthalten ist, ist keine weitere Verarbeitung erforderlich. Die Nachricht wird dann gesendet. Wenn die Quell-IP-Adresse blockiert ist, wird die SMTP-Verbindung getrennt. Wenn die Quell-IP-Adresse nicht zulässig oder blockiert ist, wird die Nachricht durch die anderen Antispam-Agents auf dem Edge-Transport-Server übertragen.
Die Verbindungsfilterung vergleicht die IP-Adresse des Quell-E-Mail-Servers mit Werten in den folgenden Datenspeichern:
- IP-Zulassungsliste
- IP-Sperrliste
- IP-Zulassungslistenanbieter
- IP-Sperrlistenanbieter
Konfigurieren Sie mindestens einen IP-Adressdatenspeicher, damit die Verbindungsfilterung funktioniert. Wenn Sie keine IP-Adressdaten angeben, müssen Sie den Verbindungsfilter-Agent deaktivieren. Weitere Informationen finden Sie unter Verwalten der Verbindungsfilterung auf Edge-Transport-Servern.
IP-Sperrliste
Die IP-Sperrliste enthält die IP-Adressen von E-Mail-Servern, die Sie blockieren möchten. Sie verwalten die IP-Adressen in der IP-Sperrliste manuell. Sie können einzelne IP-Adressen oder IP-Adressbereiche hinzufügen. Sie können einen Ablaufzeitraum angeben, die bestimmt, wie lange der IP-Adresseintrag blockiert wird. Wenn die Ablaufzeit erreicht ist, wird der IP-Adresseintrag in der IP-Sperrliste deaktiviert.
Wenn der Verbindungsfilter-Agent die Quell-IP-Adresse in der IP-Sperrliste findet, wird die SMTP-Verbindung gelöscht, nachdem alle RCPT TO-Header (Umschlagempfänger) in der Nachricht verarbeitet wurden.
IP-Adressen können auch automatisch der IP-Sperrliste hinzugefügt werden, indem die Funktion Sender Reputation des Protokollanalyse-Agents verwendet wird. Weitere Informationen finden Sie unter Absenderzuverlässigkeit und der Protokollanalyse-Agent.
IP-Zulassungsliste
Die IP-Zulassungsliste enthält die IP-Adressen von E-Mail-Servern, die Sie als vertrauenswürdige E-Mail-Quellen festlegen möchten. Email von E-Mail-Servern, die Sie in der IP-Positivliste angeben, ist von der Verarbeitung durch andere Exchange-Antispam-Agents ausgenommen.
Sie verwalten die IP-Adressen in der IP-Positivliste manuell. Sie können einzelne IP-Adressen oder IP-Adressbereiche hinzufügen. Sie können einen Ablaufzeitraum angeben, die bestimmt, wie lange der IP-Adresseintrag zugelassen wird. Wenn die Ablaufzeit erreicht ist, wird der Eintrag in der IP-Zulassungsliste deaktiviert.
IP-Sperrlistenanbieter
Anbieter von IP-Sperrlisten werden häufig als Echtzeitblocklisten oder RBLs bezeichnet. Ip Blocklist-Anbieter kompilieren Listen von E-Mail-Server-IP-Adressen, die Spam senden. Viele Anbieter von IP-Sperrlisten kompilieren auch Listen von E-Mail-Server-IP-Adressen, die für Spam verwendet werden können. Beispiele hierfür sind E-Mail-Server, die für open relay konfiguriert sind, Internetdienstanbieter (ISPs), die dynamische IP-Adressen zuweisen, und ISPs, die SMTP-Mailserverdatenverkehr von DFÜ-Konten zulassen.
Wenn Sie die Verbindungsfilterung für die Verwendung eines Anbieters für sperrte IP-Adressen konfigurieren, vergleicht der Verbindungsfilter-Agent die IP-Adresse des E-Mail-Servers, der eine Verbindung herstellt, mit der Liste der IP-Adressen beim Anbieter der IP-Sperrliste. Bei einer Übereinstimmung gelangt die Nachricht nicht in Ihre Organisation. Sie können die Verbindungsfilterung so konfigurieren, dass mehrere Anbieter von IP-Sperrlisten verwendet werden, und Sie weisen jedem Anbieter unterschiedliche Prioritätswerte zu.
Der Verbindungsfilter-Agent überprüft die Quell-IP-Adresse in der IP-Zulassungsliste und der IP-Sperrliste. Wenn die IP-Adresse in keiner der Listen vorhanden ist, fragt der Verbindungsfilter-Agent den Anbieter der IP-Sperrliste gemäß dem prioritätsbasierten Wert ab, den Sie zugewiesen haben. Wenn die IP-Adresse bei einem Ip-Blocklist-Anbieter definiert ist, wartet der Edge-Transport-Server auf den RCPT TO-Header und verarbeitet diesen, antwortet auf den sendenden E-Mail-Server mit einem SMTP 550 Fehler und schließt die Verbindung. Die Verbindung wird nicht sofort gelöscht, sodass der Verbindungsversuch protokolliert werden kann, und weil Sie Empfänger angeben können, die davon ausgenommen sind, dass Nachrichten von allen IP-Sperrlistenanbietern blockiert werden.
Wenn die IP-Adresse bei keinem der Anbieter von IP-Sperrlisten definiert ist, übergibt der Inhaltsfilter-Agent die Nachricht an den nächsten Transport-Agent auf dem Edge-Transport-Server.
Für jeden Ip-Sperrlistenanbieter können Sie den Fehler anpassen, der SMTP 550 an den Absender zurückgegeben wird, wenn eine Nachricht blockiert wird. Identifizieren Sie den Ip-Sperrlistenanbieter, der die Nachrichtenquelle als Spam identifiziert hat. Wenn ein legitimer Quell-E-Mail-Server fälschlicherweise als Spamquelle identifiziert wird, kann sich der Administrator an den Anbieter von IP-Sperrlisten wenden und die erforderlichen Schritte ausführen, um den E-Mail-Server aus dem Anbieter für die IP-Sperrliste zu entfernen.
Anbieter von IP-Sperrlisten können verschiedene Codes zurückgeben, um zu ermitteln, warum eine IP-Adresse in ihren Listen definiert ist. Die meisten Anbieter von IP-Sperrlisten geben Bitmasken- oder Absolute-Value-Datentypen zurück. Innerhalb dieser Datentypen kann der Ip-Sperrlistenanbieter mehrere Werte verwenden, um die IP-Adresse nach Bedrohungstyp zu klassifizieren.
Es gibt Probleme, die bei der Verwendung von IP-Sperrlistenanbietern zu berücksichtigen sind:
Ausfälle oder Verzögerungen beim Ip-Sperrlistenanbieterdienst können zu Verzögerungen bei der Verarbeitung von Nachrichten auf dem Edge-Transport-Server führen. Wählen Sie reliable IP Blocklist Providers (Zuverlässige IP-Sperrlistenanbieter) aus.
Quellserver, die Sie als legitim einschätzen, können fälschlicherweise als Spamquellen gekennzeichnet werden. Der Mailserver kann beispielsweise unbeabsichtigt für offenes Relay konfiguriert sein. Wählen Sie IP-Sperrlistenanbieter aus, die klare Verfahren für die Auswertung und Entfernung von ihren Diensten bereitstellen.
Beispiele für Bitmasken und absolute Werte
Dieser Abschnitt zeigt ein Beispiel für die Statuscodes, die von den meisten Blocklistanbietern zurückgegeben werden. Einzelheiten zu den vom Anbieter zurückgegebenen Statuscodes finden Sie in der Dokumentation des jeweiligen Anbieters.
Für Bitmaskendatentypen gibt der Ip-Sperrlistenanbieterdienst den Statuscode 127.0.0 zurück. x, wobei die ganze Zahl x einem der in der folgenden Tabelle aufgeführten Werte entspricht.
| Wert | Statuscode |
|---|---|
| 1 | Die IP-Adresse befindet sich in einer IP-Sperrliste. |
| 2 | Der SMTP-Server ist als offenes Relay konfiguriert. |
| 4 | Die IP-Adresse unterstützt eine Einwähl-IP-Adresse. |
Für Absolute-Werttypen gibt der Anbieter der IP-Sperrliste explizite Antworten zurück, die definieren, warum die IP-Adresse in ihren Blocklisten definiert ist. Die folgende Tabelle enthält Beispiele für absolute Werte und die dazugehörigen expliziten Antworten.
| Wert | Explizite Antwort |
|---|---|
| 127.0.0.2 | Die IP-Adresse ist eine direkte Spamquelle. |
| 127.0.0.4 | Die IP-Adresse ist ein Massenversender von E-Mails. |
| 127.0.0.5 | Der Remoteserver, von dem die Nachricht gesendet wird, ist dafür bekannt, dass er mehrstufige offene Relays unterstützt. |
IP-Zulassungslistenanbieter
Ip-Zulassungslistenanbieter werden auch als sichere Listen oder Positivlisten bezeichnet. Ip-Zulassungslistenanbieter werden genau wie IP-Sperrlistenanbieter konfiguriert, aber die Ergebnisse sind das Gegenteil: Sie definieren E-Mail-Server-IP-Adressen, die definitiv nicht mit Spamaktivitäten verknüpft sind. Wenn die IP-Adresse des E-Mail-Servers, der eine Verbindung herstellt, bei einem Anbieter für zugelassene IP-Adressen definiert ist, ist die Nachricht von der Verarbeitung durch andere Exchange-Antispam-Agents ausgenommen. Aus diesem Grund werden IP-Sperrlistenanbieter viel häufiger verwendet als Anbieter für zugelassene IP-Adressen. Wählen Sie Ihre IP-Zulassungslistenanbieter sorgfältig aus.
Testen von Ip-Sperrlistenanbietern und Zugelassenen IP-Adressenanbietern
Nachdem Sie die Verbindungsfilterung so konfiguriert haben, dass sie einen IP-Sperrlistenanbieter oder einen Anbieter für zugelassene IP-Adressen verwendet, können Sie Tests ausführen, um zu überprüfen, ob die Anbieter ordnungsgemäß funktionieren. Die meisten Anbieter stellen Test-IP-Adressen bereit, mit denen Sie ihre Dienste testen können. Wenn Sie einen Anbieter testen, gibt der Verbindungsfilter-Agent eine DNS-Abfrage aus, die zu einer bestimmten Antwort des Anbieters führen sollte. Weitere Informationen zum Testen von IP-Adressen mit einem Anbieterdienst für blockierte IP-Adressen oder einem Anbieterdienst für zugelassene IP-Adressen finden Sie unter Verwalten der Verbindungsfilterung auf Edge-Transportservern.
Konfigurieren der Verbindungsfilterung für Edge-Transport-Server, die nicht direkt mit dem Internet verbunden sind
Sie können die Verbindungsfilterung auf Edge-Transport-Servern nutzen, die E-Mail-Nachrichten nicht direkt aus dem Internet empfangen. In diesem Szenario befindet sich der Edge-Transport-Server hinter einem anderen Mailserver, der direkt über das Internet eingehende Nachrichten empfängt und verarbeitet. Ihre Organisation kann beispielsweise E-Mail-Datenverkehr über einen Antispamserver, einen Dienst oder eine Appliance senden, bevor die Nachrichten den Edge-Transport-Server erreichen. In diesem Szenario muss der Verbindungsfilter-Agent in der Lage sein, die richtige IP-Quelladresse aus der Nachricht zu extrahieren. Um die Quell-IP-Adresse aus der Nachricht zu extrahieren, muss der Verbindungsfilter-Agent die Werte des Felds "Empfangener Header" im Nachrichtenheader analysieren und diese Werte mit den bekannten IP-Adressen des E-Mail-Servers vergleichen, der sich zwischen dem Edge-Transport-Server und dem Internet befindet.
Jeder Mailserver, der eine SMTP-Nachricht akzeptiert und über den Übermittlungspfad weiterleitet, fügt der Nachrichtenkopfzeile ein eigenes Kopfzeilenfeld Received hinzu. Die Kopfzeile Received enthält meist den Domänennamen und die IP-Adresse des Mailservers, der die Nachricht verarbeitet hat.
Wenn der Edge-Transport-Server Nachrichten nicht direkt aus dem Internet akzeptiert, müssen Sie den Parameter InternalSMTPServers im Cmdlet Set-TransportConfig auf einem Exchange 2013-Postfachserver verwenden, um die IP-Adresse des E-Mail-Servers zu identifizieren, der sich zwischen dem Edge-Transport-Server und dem Internet befindet. Die IP-Adressdaten werden von EdgeSync auf die Edge-Transport-Server repliziert. Wenn Nachrichten vom Edge-Transport-Server empfangen werden, geht der Verbindungsfilter-Agent davon aus, dass eine IP-Adresse in einem Empfangenen Headerfeld, die nicht mit einem wert übereinstimmt, der durch den Parameter InternalSMTPServers angegeben wird, die Quell-IP-Adresse ist, die überprüft werden muss. Deshalb müssen Sie alle internen SMTP-Server angeben, damit die Verbindungsfilterung ordnungsgemäß funktioniert.