Eine der Hauptaufgaben des Edge-Servers besteht darin, Spam-Nachrichten von der Exchange-Organisation fern zu halten. Für diesen Zweck sind auf dem Edge-Server die Anti-Spam-Features installiert. Diese können Sie zwar auch auf den Hub-Transport-Servern Ihrer Exchange-Organisation installieren, jedoch ist es sinnvoller, Spam so früh wie möglich aus dem Nachrichtenfluss zu filtern. Wenn Sie diese dennoch verwenden möchten, führen Sie.\Install-AntispamAgents.ps1 im Ordner Scripts auf dem Hub-Transport-Server aus, auf dem die Agents installiert werden sollen.
Auf dem Edge-Server können Sie die Antispam-Agents bequem über die Verwaltungskonsole konfigurieren. Diese Möglichkeit besteht auf den Hub-Transport-Servern leider nicht. Dort können Sie die Agents nur über die Management Shell konfigurieren.
Der Verbindungsfilter-Agent wird auf alle Nachrichten angewendet, die von anonymen Internet-Quellen stammen. Er bietet die Funktionen IP-Sperrliste, IP-Sperrlistenanbieter, IP-Zulassungsliste und Anbieter für zugelassene IP-Adressen. Jede dieser Funktionen kann separat aktiviert oder deaktiviert und konfiguriert werden:
In der IP-Zulassungsliste vermerken Sie die IP-Adressen von Mail-Systemen, denen Sie vertrauen und deren Nachrichten nicht auf Spam gefiltert werden sollen.
Set-IPAllowListConfig –Enabled <$true|$false> Add-IPAllowListEntry –IPAddress <IP> -ExpirationTime <Wert>
Um einen Eintrag aus der IP-Zulassungsliste zu entfernen, müssen Sie die Kennung des Eintrags angeben. Am leichtesten entfernen Sie einen Eintrag so:
Get-IPAllowListEntry –IPAddress <IP> | Remove-IPAllowListEntry
Ein Anbieter für zugelassene IP-Adressen (sog. Whitelists) stellt IP-Adressen von vertrauenswürdigen Mailsysteme zur Verfügung, sodass Sie diese nicht selbst konfigurieren müssen.
Set-IPAllowListProvider –Identity <Name> –Enabled <$true|$false>
Um einen Anbieter hinzuzufügen, verwenden Sie folgenden Befehl:
Add-IPAllowListProvider –Name <Name> -LookupDomain <Domain> -AnyMatch $true
In der IP-Sperrliste vermerken Sie die IP-Adressen von Mail-Systemen, denen Sie nicht vertrauen und von denen Ihre Exchange-Organisation keine Nachrichten entgegen nehmen soll.
Set-IPBlockListConfig –Enabled <$true|$false>
Einen Eintrag zur IP-Sperrliste fügen Sie mit folgendem Befehl hinzu:
Add-IPBlockListEntry –IPAddress <IP>
Sie können auch ganze Bereiche zur IP-Sperrliste hinzufügen, wobei Sie die Möglichkeit haben, ein Subnetz, z. B. 192.168.178.0/24 oder einen IP-Bereich wie 192.168.178.100 – 192.168.178.159 hinzuzufügen.
Add-IPBlockListEntry –IPRange <Bereich>
Einen Eintrag aus der Sperrliste entfernen Sie am einfachsten so:
Get-IPBlockListEntry –IPAddress <IP> | Remove-IPBlockListEntry
IP-Sperrlistenanbieter sind das gleiche wie IP-Zulassungslistenanbieter. Der Exchange-Server überprüft, ob die IP-Adresse des Absenders auf der Blacklist des Anbieters aufgeführt wird und trennt die Verbindung, wenn der Sperrlistenanbieter einen entsprechenden Returncode zurücksendet.
Sie de-/aktivieren einen einzelnen Provider mit folgendem Befehl:
Set-IPBlockListProvider –Identity <Name> –Enabled <$true|$false>
Einen IP-Sperrlistenanbieter können Sie mit folgendem Befehl hinzufügen:
Add-IPBlockListProvider –Name <Name> -LookupDomain <Domain> -AnyMatch $true
Sie haben die Möglichkeit, Empfänger in Ihrer Exchange-Organisation als Ausnahme zu konfigurieren, die auch dann Nachrichten empfangen können, wenn der absendende Server auf der Blocklist aufgeführt wird.
Set-IPBlockListProvidersConfig –BypassedRecipients <E-Mail-Adresse>
Die Inhaltsfilterung verwendet Algorithmen, Sie können mit folgendem Befehl die Konfiguration anzeigen lassen:
Get-ContentFilterConfig
Mit den Parametern –BypassedSenders <Wert>, –BypassedRecipients <Wert> und –BypassedSenderDomains <Wert> können Sie Ausnahmen konfigurieren. Der Parameter –QuarantineMailbox <Wert> können Sie ein Postfach angeben, an das alle abgelehnten Nachrichten weitergeleitet werden.
Mit folgendem Befehl können Sie eine Phrase zum Inhaltsfilter hinzufügen:
Add-ContentFilterPhrase –Phrase <Wert> -Influence <GoodWord|BadWord>
Die Empfängerfilterung ermöglicht es uns, Nachrichten an gewisse Benutzer unserer Exchange-Organisation zu blockieren. Zusätzlich ermöglicht die Empfängerfilterung es, Nachrichten zu blockieren, die an Benutzer gesendet wurden, die kein Konto in unserer Exchange-Organisation haben (Recipient Validation).
Set-RecipientFilterConfig –BlockedRecipients <Wert> -RecipientValidationEnabled <$true|$false> -BlockListEnabled <$true|$false> -ExternalMailEnabled <$true|$false> -InternalMailEnabled $true|$false>
Wenn Sie einen blockierten Empfänger zur Liste hinzufügen oder von der Liste entfernen möchten, müssen Sie immer die gesamte Liste an blockierten Empfängern eingeben, die am Ende gelten soll. Da dies bei großen Listen sehr aufwendig sein kann, erledigen Sie diese Aufgabe am einfachsten in der Verwaltungskonsole.
Auf der Management Shell erledigen Sie die Aufgabe, indem Sie die Liste der blockierten Empfänger in einer Variable (hier $Liste) speichern. Anschließend fügen Sie Empfänger hinzu oder entfernen welche aus der Liste. Abschließend übergeben Sie den Wert der Variable $Liste an das Cmdlet::
$Liste = Get-RecipientFilterConfig $Liste.BlockedRecipients += „<Empfänger>“ $Liste.BlockedRecipients -= „<Empfänger>“ Set-RecipientFilterConfig –BlockedRecipient $Liste.BlockedRecipients
Die Absenderfilterung verwendet die SMTP-Kopfzeile MAIL FROM:, um die passende Aktion für eine eingehende Nachricht zu bestimmen. Damit lassen sich Nachrichten auf der Basis der Absenderadresse filtern. Dies kann für einzelne Benutzer oder für ganze Domänen erfolgen. Der folgende Befehl legt fest, ob die Absenderfilterung aktiv ist:
Set-SenderFilterConfig <$true|$false>
Sie können die Absenderfilterung mit folgenden Parametern konfigurieren:
Set-SenderFilterConfig -BlockedSenders <Wert> # Blockiert einzelne Absenderadressen -BlockedDomains <Wert> # Blockiert einzelne Domains -BlockedDomainsandSubdomains <Wert> # Blockiert Domains und Subdomains -BlankSenderBlockingEnabled <$true|$false> # Legt fest, dass Nachrichten ohne Absender blockiert werden. -Action <StampStatus|Reject> # Legt fest, ob die Nachricht zurückgewiesen oder mit einem Hinweis versehen werden soll, dass die Nachricht von einem geblockten Absender stammt.
Das Löschen und Hinzufügen von Benutzern erfolgt wie bei der Empfängerfilterung.
Die Sender-ID ist ein Verfahren, bei dem der Exchange-Server die SMTP-Kopfzeile RECIEVED verwendet und das DNS abfragt, um die passende Aktion für eine eingehende Nachricht zu ermitteln.
Damit die Überprüfung von Sender-ID möglich ist, erstellen die Administratoren sogenannte SPF-Datensätze (Sender Policy Framework) in der DNS-Zone ihrer SMTP-Domäne. Dieser Eintrag enthält die zuständigen Mail-Server, die für diese SMTP-Domäne Nachrichten versenden dürfen. Auf diese Weise soll einer Absenderfälschung entgegengewirkt werden, die man auch Spoofing nennt.
Beim Eingang einer Nachricht fragt der Exchange-Server den DNS-Server des Absenders ab, um zu überprüfen, ob die IP-Adresse, von der die Nachricht empfangen wurde, dazu berechtigt ist, Nachrichten für die in der Kopfzeile genannte Domäne zu versenden. Die IP-Adresse des autorisierten Servers wird PRA Purpoted Responsible Address genannt.
Anhand des SPF-Datensatzes aktualisiert der Exchange-Server die Nachrichtenmetadaten mit einem Sender-ID-Status. Dieser Status kann Pass, Neutral, Soft fail, Fail, None, TempError oder PermError sein. Weitere Informationen finden Sie im Microsoft Technet unter http://technet.microsoft.com/de-DE/library/aa996295(v=exchg.141).aspx.
Sie können festlegen, wie ein Exchange-Server verfahren soll, wenn eine Nachricht gefälscht wurde oder bei deren Überprüfung kein DNS-Server erreichbar war. Als Optionen stehen zur Auswahl: Löschen, Nachricht ablehnen oder Stempeln des Status.
Mit folgendem Cmdlet können Sie Sender-ID bearbeiten:
Set-SenderIDConfig –SpoofedDomainAction <Aktion> -TempErrorAction <Aktion> -BypassedRecipients <Wert> -BypassedSenderDomains <Wert>
Die Liste der -BypassedRecipients und -BypassedSenderDomains können Sie wie bei der Empfänger- und Absenderverwaltung nur als gesamte Liste bearbeiten.
Das Konzept der Absenderzuverlässigkeit wird verwendet, um Nachrichten auf der Basis von verschiedenen Absendereigenschaften zu blockieren. Anhand dieser Eigenschaften wird ermittelt, was mit einer eingehenden Nachricht geschehen soll. Zur Ermittlung des Absenderzuverlässigkeitsgrad (Sender Reputation Level SRL) werden folgende Elemente verwendet:
Aus den Ergebnissen wird der Sender Reputation Level SRL für den Absender ermittelt. Dabei handelt es sich um eine Zahl zwischen 0 und 9. Der Schwellenwert, den Sie konfigurieren, bestimmt, ob ein Absender für eine gewisse Zeit (1 – 48 Stunden) in die IP-Sperrliste aufgenommen wird.
Mit folgendem Befehl können Sie die Absenderzuverlässigkeit konfigurieren:
Set-SenderReputationConfig –OpenProxyDetectionEnabled <$true|$false> -Sender-BlockingEnabled <$true|$false> -SrlBlockThreshold <Wert> -SenderBlockingPeriod <Wert>
Mit der Anlagenfilterung überprüft der Exchange-Server die Anlagen von Nachrichten. Dabei kann er die Filterung anhand von Dateinamen und Dateinamenerweiterungen (FileName) oder anhand von MIME-Inhaltstypen (ContentType) durchführen. In der Konfiguration haben Sie die Möglichkeit festzulegen, wie mit Nachrichten verfahren werden soll, die durch die Anlagenfilterung erfasst wurden. Dabei haben Sie die Auswahl zwischen den Aktionen Reject, Strip und SilentDelete. Standardmäßig ist das System auf Strip eingestellt. Dabei werden die Anlagen entfernt und die Nachricht ohne diese an den Empfänger weitergeleitet. Der Empfänger sieht, welche Anlagen warum entfernt wurden.
Die Konfiguration der Anlagenfilterung können Sie sich mit
Get-AttachmentFilterListConfig
anzeigen lassen und mit
Set-AttachmentFilterListConfig –Action <Wert>
die Einstellung bearbeiten. Die Filtereinträge erstellen Sie mit folgendem Befehl:
Add-AttachmentFilterEntry –Name <Inhaltstyp> -Type <FileName|ContentType>
Den Inhaltstyp geben Sie entweder mit dem Dateinamen (z. B. *.pdf) und -Type FileName oder als MIME-Wert (z. B. image/jpeg) und –Type ContentType an. Eine Liste mit MIME-Inhaltstypen finden Sie unter blog.essigkrug.net oder in diesem Dokument: http://ip-klaeden.dyndns.org/netz/iuk98/kap5/mimetype.txt.