Absenderzuverlässigkeit und der Protokollanalyse-Agent
Gilt für: Exchange Server 2013
Absenderzuverlässigkeit ist Teil der Exchange-Antispamfunktion, die Nachrichten gemäß vielen Merkmalen des Absenders blockiert. Die Absenderzulässigkeit basiert auf persistenten Daten über den Absender, um zu bestimmen, welche Aktion ggf. für eine eingehende Nachricht ausgeführt werden soll. Der Protokollanalyse-Agent ist der zugrunde liegende Agent für die Funktion der Absenderzuverlässigkeit.
Wenn Sie Antispam-Agents auf einem Exchange-Server konfigurieren, reagieren die Agents kumulativ auf Nachrichten, um die Anzahl der unerwünschten Nachrichten zu reduzieren, die in die Organisation gelangen.
Berechnung der Absender-Reputationsstufe
Aus folgender Statistik wird ein Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) berechnet:
HELO/EHLO-Analyse: Die HELO- und EHLO-SMTP-Befehle sollen den Domänennamen, z. B. Contoso.com, oder die IP-Adresse des sendenden SMTP-Servers an den empfangenden SMTP-Server bereitstellen. Böswillige Benutzer und Spammer fälschen die HELO/EHLO-Anweisung häufig auf verschieden Arten. Beispielsweise geben sie eine IP-Adresse ein, die nicht der IP-Adresse entspricht, über welche die Verbindung tatsächlich hergestellt wurde. Spammer fügen auch Domänen in die HELO-Anweisung ein, von denen bekannt ist, dass sie von dem empfangenden Server lokal unterstützt werden, in dem Versuch der Vortäuschung, dass sich die Domänen innerhalb der Organisation befinden. In anderen Fällen ändern Spammer die Domäne, die in der HELO-Anweisung übergeben wird. Rechtmäßige Benutzer mögen zwar auch verschiedene Sätze von Domänen in ihren HELO-Anweisungen verwenden, doch sind diese normalerweise relativ konstant.
Daher kann die Analyse der HELO/EHLO-Anweisung pro Absender darauf hindeuten, dass der Absender wahrscheinlich ein Spammer ist. Ein Absender, der beispielsweise innerhalb eines bestimmten Zeitraums viele verschiedene, aber eindeutige HELO/EHLO-Anweisungen bereitstellt, ist mit höherer Wahrscheinlichkeit ein Spammer. Absender, die in der HELO-Anweisung konsistent eine IP-Adresse angeben, die nicht mit der ursprünglichen IP-Adresse übereinstimmt, wie vom Verbindungsfilter-Agent bestimmt, sind ebenfalls eher Spammer. Remoteabsender, die kontinuierlich einen lokalen Domänennamen in der HELO-Anweisung übermitteln, der sich in der gleichen Organisation wie der Exchange-Server befindet, sind ebenfalls mit höherer Wahrscheinlichkeit Spammer.
Reverse-DNS-Lookup: Absenderzurückruf überprüft auch, ob die ursprüngliche IP-Adresse, von der der Absender die Nachricht übertragen hat, mit dem registrierten Domänennamen übereinstimmt, den der Absender im HELO- oder EHLO-SMTP-Befehl übermittelt.
Die Absenderzuverlässigkeit führt eine Reverse-DNS-Abfrage aus, indem die Ursprungs-IP-Adresse an DNS übermittelt wird. Das von DNS zurückgegebene Ergebnis ist der Domänenname, der für diese IP-Adresse von der zuständigen Stelle für die Vergabe von Domänennamen registriert wurde. Die Absenderzuverlässigkeit vergleicht den von DNS zurückgegebenen Domänennamen mit dem Domänennamen, der vom Absender mit dem SMTP-Befehl HELO/EHLO übermittelt wurde. Wenn sich die Domänennamen nicht entsprechen, ist der Absender wahrscheinlich ein Spammer, und der Wert der SRL-Gesamtbewertung für diesen Absender wird erhöht.
Der Sender ID-Agent führt einen ähnlichen Task aus, aber sein Erfolg hängt von rechtmäßigen Absendern ab, die ihre DNS-Infrastruktur aktualisieren, um alle E-Mail sendenden SMTP-Server in deren Organisation zu identifizieren. Mit einem Reverse-DNS-Lookup können Sie bei der Identifizierung potenzieller Spammer helfen.
Analyse von SCL-Bewertungen für Nachrichten von einem bestimmten Absender: Wenn der Inhaltsfilter-Agent eine Nachricht verarbeitet, weist er der Nachricht eine SCL-Bewertung (Spam Confidence Level) zu. Die SCL-Bewertung ist eine Zahl von 0 bis 9. Eine höhere SCL-Bewertung zeigt an, dass es sich bei einer Nachricht mit größerer Wahrscheinlichkeit um Spam handelt. Die Daten über jeden Absender und die SCL-Bewertungen ihrer Nachrichten sind beständig verfügbar für die Analyse durch die Absenderzuverlässigkeit. Die Absenderzuverlässigkeit berechnet die Statistik für einen Absender aus dem Verhältnis aller Nachrichten dieses Absenders mit einer niedrigen SCL-Bewertung in der Vergangenheit und allen Nachrichten dieses Absenders mit einer hohen SCL-Bewertung in der Vergangenheit. Zusätzlich fließt die Anzahl der Nachrichten mit einer hohen SCL-Bewertung, die der Absender innerhalb des letzten Tags versendet hat, in die SRL-Gesamtbewertung ein.
Test des offenen Proxys des Absenders: Ein geöffneter Proxy ist ein Proxyserver, der Verbindungsanforderungen von beliebigen Orten akzeptiert und den Datenverkehr weiterleitet, als ob er von den lokalen Hosts stammt. Proxyserver leiten TCP-Verkehr durch Firewallhosts weiter, um Benutzeranwendungen einen transparenten Zugriff hinter die Firewall zu gestatten. Da Proxyprotokolle schlank und von Benutzeranwendungsprotokollen unabhängig sind, können Proxys von vielen verschiedenen Diensten verwendet werden. Proxys können auch zur gemeinsamen Nutzung einer Internetverbindung durch mehrere Hosts verwendet werden. Proxys werden normalerweise so eingerichtet, dass nur vertrauenswürdige Hosts innerhalb der Firewall den jeweiligen Proxy passieren dürfen. Ein rechtmäßiger Absender kann aufgrund einer unabsichtlichen Fehlkonfiguration oder aufgrund von Schadsoftware auch ein offener Proxy sein.
Offene Proxys bieten böswilligen Benutzern eine ideale Möglichkeit, um ihre wahre Identität zu verbergen sowie um DoS-Angriffe (Denial of Service) zu starten oder um Spam zu senden. Da Proxyserver zunehmend als standardmäßig offen konfiguriert werden, treten offene Proxys immer häufiger auf. Darüber hinaus können böswillige Benutzer mehrere offene Proxys verwenden, um die Ursprungs-IP-Adresse des Absenders zu verschleiern.
Wenn die Absenderzuverlässigkeit einen Open Proxy-Test durchführt, wird eine SMTP-Anforderung formatiert, um von dem offenen Proxyserver aus eine Verbindung zurück zum Exchange-Server herzustellen. Wenn eine SMTP-Anforderung von dem Proxyserver empfangen wird, überprüft die Absenderzuverlässigkeit, ob es sich bei dem Proxyserver um einen offenen Proxy handelt, und aktualisiert die Open Proxy-Teststatistik dieses Absenders entsprechend.
Die Absenderzuverlässigkeit wägt die jede einzelne Statistik ab und berechnet einen Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) für jeden Absender. Der Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) ist eine Zahl zwischen 0 und 9 zur Vorhersage der Wahrscheinlichkeit, dass ein bestimmter Absender ein Versender von Spam oder in anderer Weise böswilliger Benutzer ist. Ein Wert von 0 gibt an, dass es sich bei dem Absender wahrscheinlich nicht um einen Spammer handelt; ein Wert von 9 gibt an, dass es sich bei dem Absender wahrscheinlich um einen Spammer handelt.
Sie können einen Sperrschwellenwert zwischen 0 und 9 konfigurieren, ab dem die Absenderzuverlässigkeit eine Anforderung an den Absenderfilter-Agent ausgibt, wodurch der Absender am Senden einer Nachricht in die Organisation gehindert wird. Wenn ein Absender blockiert wird, wird er für einen konfigurierbaren Zeitraum der Liste der blockierten Absender hinzugefügt. Die Art der Verarbeitung von blockierten Nachrichten hängt von der Konfiguration des Absenderfilter-Agents ab. Folgende Aktionen stehen für die Verarbeitung blockierter Nachrichten zur Wahl:
Ablehnen
Löschen und archivieren
Akzeptieren und als blockierten Absender kennzeichnen
Wenn ein Absender in die Liste blockierter IP-Adressen oder den IP-Zuverlässigkeitsdienst von Microsoft aufgenommen wurde, gibt die Absenderzuverlässigkeit eine sofortige Anforderung an den Absenderfilter-Agent aus, um den Absender zu blockieren. Um diese Funktionalität nutzen zu können, müssen Sie den Microsoft Exchange Antispam-Updatedienst aktivieren und konfigurieren.
Für Absender, die nicht analysiert wurden, legt die Absenderzuverlässigkeit standardmäßig eine Bewertung von 0 fest. Nachdem ein Absender 20 oder mehr Nachrichten gesendet hat, berechnet die Absenderreputation eine SRL, die auf den weiter oben in diesem Thema aufgeführten Statistiken basiert.
Verwendung der SRL
Die Absenderzuverlässigkeit führt in zwei Phasen der SMTP-Sitzung Aktionen für Nachrichten aus:
Beim Befehl MAIL FROM: SMTP: Absenderreputation wirkt nur auf eine Nachricht, wenn die Nachricht vom Verbindungsfilter-Agent, Absenderfilter-Agent, Empfängerfilter-Agent oder Absender-ID-Agent blockiert oder anderweitig bearbeitet wurde. In diesem Fall ruft die Absenderzuverlässigkeit die aktuelle SRL-Bewertung des Absenders aus dessen Absenderprofil ab, das auf dem Exchange-Server gespeichert wird. Nach dem Abrufen und Auswerten dieser Bewertung gibt die Konfiguration des Exchange-Servers das Verhalten vor, das aufgrund des Sperrschwellenwerts bei der jeweiligen Verbindung auftritt.
Nach dem SMTP-Befehl "Datenende": Der SMTP-Befehl zum Ende der Datenübertragung (End of Data Transfer, EOD) wird angegeben, wenn alle tatsächlichen Nachrichtendaten gesendet werden. An diesem Punkt in der SMTP-Sitzung haben viele der Antispam-Agents die Nachricht verarbeitet. Als Nebenprodukt der Antispamverarbeitung werden die Statistiken aktualisiert, von denen die Absenderreputation abhängt. Deshalb verfügt die Absenderzuverlässigkeit über die Daten, die zum Berechnen oder Neuberechnen einer SRL-Bewertung für den Absender notwendig sind.
Weitere Informationen finden Sie unter Verwalten der Absenderzuverlässigkeit.
Aktivieren und Konfigurieren der Erkennung von offenen Proxyservern
Die Absenderzulässigkeit wertet mehrere Absendermerkmale aus, um eine SRL zu berechnen. Zu den Merkmalen, die die Absenderreputation auswertet, gehören die Ergebnisse eines Tests für offene Proxyserver. Spammer leiten Nachrichten häufig über offene Proxyserver im Internet weiter. Durch das Weiterleiten von Spam über offene Proxyserver können Spammer Nachrichten senden, die anscheinend von einem anderen Server als ihrem eigenen Server stammen.
Wenn die Absenderzuverlässigkeit einen SRL-Wert berechnet, versucht sie, mithilfe einer Vielzahl gängiger Proxyprotokolle, wie etwa SOCKS4, SOCKS5, HTTP, Telnet, Cisco oder Wingate, eine Verbindung mit der Absender-IP-Adresse herzustellen. Absenderzuverlässigkeit formatiert eine protokollspezifische Anforderung, um mithilfe einer SMTP-Anforderung vom geöffneten Proxyserver eine Verbindung mit dem Edge-Transport-Server herzustellen. Wenn eine SMTP-Anforderung von dem Proxyserver empfangen wird, überprüft die Absenderzuverlässigkeit, ob es sich bei dem Proxyserver um einen offenen Proxyserver handelt, und passt die SRL-Bewertung diesem Ergebnis entsprechend an. Standardmäßig ist die Erkennung von offenen Proxyservern für die Absenderreputation aktiviert.
Weitere Informationen zum Aktivieren und Konfigurieren der Erkennung von offenen Proxyservern finden Sie unter Verwalten der Absenderzulässigkeit.
Festlegen des SRL-Sperrschwellenwerts
Der Absenderzuverlässigkeitsgrad (Sender Reputation Level, SRL) ist eine Zahl zwischen 0 und 9 zur Vorhersage der Wahrscheinlichkeit, dass ein bestimmter Absender ein Versender von Spam oder in anderer Weise böswilliger Benutzer ist. Sie müssen einen Schwellenwert für die Absenderblockierung durch SRL festlegen. Dieser SRL-Blockschwellenwert definiert den SRL-Wert, der überschritten werden muss, damit die Absenderzulässigkeit einen Absender blockiert. Standardmäßig ist srl auf 7 festgelegt. Sie sollten die Effektivität des Agents auf der Standardebene überwachen. Möglicherweise stellen Sie fest, dass Sie den Wert anpassen können, um die Anforderungen Ihrer Organisation zu erfüllen. Wenn Sie andere Antispam-Agents aggressiv festlegen, können Sie möglicherweise einen höheren SRL-Schwellenwert für die Absenderzuverlässigkeit festlegen, als wenn die anderen Antispam-Agents nicht aggressiv festgelegt würden. Weitere Informationen zum Anpassen von Antispamkonfigurationen, damit sie zusammenarbeiten, um Spam zu reduzieren, finden Sie unter Antispamschutz.
Wenn auf einem Edge-Transport-Server der SRL-Blockschwellenwert für einen bestimmten Absender überschritten wird, fügt die Absenderzulässigkeit den Absender der IP-Sperrliste im Verbindungsfilter-Agent hinzu. Manchmal senden Versender von Spam Batches von Spamnachrichten über einen einzelnen Absender. In diesem Szenario wird der Absender für einen konfigurierbaren Zeitraum zur Liste blockierter Absender hinzugefügt, wenn die Absenderzuverlässigkeit einen SRL-Wert berechnet, der den SRL-Sperrschwellenwert überschreitet. Die standardmäßige Dauer ist 24 Stunden. Nach 24 Stunden wird der Absender aus der Liste blockierter Absender entfernt und kann erneut Nachrichten senden.
Wenn ein Absender zur IP-Sperrliste hinzugefügt wird, löscht die Absenderzuverlässigkeit das Profil für den Absender. Die Absenderzuverlässigkeit löscht das vorhandene Profil des blockierten Absenders, da dieses angibt, dass der SRL-Wert des Absenders den SRL-Sperrschwellenwert überschreitet. Dies würde dazu führen, dass der blockierte Absender erneut zur IP-Sperrliste hinzugefügt würde, sobald der Sperrzeitraum für den Absender abgelaufen wäre.
Weitere Informationen finden Sie unter Verwalten der Absenderzuverlässigkeit.