Spamschutz in Microsoft Exchange Server richtig konfigurieren

Spamschutz in Exchange verstehen

In Exchange stehen verschiedene Filter zur Verfügung, mit denen der Spamschutz gesteuert wird. Dabei handelt es sich vor allem um folgende Filter:

• Inhaltsfilter-Agent
• Sender ID-Agent
• Absenderfilter-Agent
• Empfängerfilter-Agent
• Protokollanalyse-Agent für die Absenderzuverlässigkeit

Der Inhaltsfilter prüft den Inhalt des Textes von E-Mails, und die Sender-ID verwendet ebenfalls die IP-Adresse des Sendeservers und zusätzlich die E-Mail-Adresse des Senders. Der Empfängerfilter vergleicht den Empfänger der E-Mail auf Gültigkeit und andere Werte des Empfängers. Der Protokollanalyse-Agent verwendet die Absenderzuverlässigkeit und prüft ebenfalls die IP-Adresse des sendenden Servers.

Die Reihenfolge der Prüfung auf Edge-Transport-Servern ist:

1. Verbindungsfilter-Agent
2. Absenderfilter-Agent
3. Empfängerfilter-Agent
4. Sender-ID-Agent
5. Inhaltsfilter-Agent
6. Protokollanalyse-Agent für die Absenderzuverlässigkeit
7. Anlagenfilter-Agent

Der Verbindungsfilter und der Anlagenfilter ist nur für Edge-Transport-Server verfügbar. Diese beiden Filter lassen sich nicht auf Postfachservern bereitstellen. Der Verbindungsfilter überprüft die IP-Adresse des Sendeservers, und kann auf dieser Basis die Verbindung blockieren. Der Anlagefilter prüft die Dateinamen und Dateinamenerweiterungen von Anhängen.

Ein Filter übergibt die Mail jeweils an den nächsten, so dass alle Filter Nachrichten auf Spamverdacht überprüfen können.

Spamschutz konfigurieren

Auf Edge-Transport-Servern ist der Spamschutz automatisch aktiv. Sollen die entsprechenden Filter auch auf Postfachservern installiert werden, verwendet man folgenden Befehl:

& $env:ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1

Nach der Installation muss der Transportdienst auf dem Postfachserver neu gestartet werden:

Restart-Service MSExchangeTransport

Im Rahmen der Konfiguration muss man beim Einsatz des Spamschutzes auf Exchange Server darauf achten, dass die IP-Adresse der anderen Exchange Server hinterlegt werden, damit die Spamfilter die Mails dieser Server nicht auf Spamverdacht prüfen. Das wird mit dem folgenden Befehl erreicht:

Set-TransportConfig -InternalSMTPServers @{Add="<IP1>","<IP2>"...}

Die Daten lassen sich in der Exchange Management Shell anzeigen:

Get-TransportConfig | fl InternalSMTPServers

Die Funktion der Spamfilter kann in der Exchange Management Shell überprüft werden:

Get-TransportAgent

Die Konfiguration des Inhaltsfilters ist in der Exchange Management Shell möglich. Auch die Abfrage der Daten lässt sich mit der Exchange Management Shell durchführen. Dazu werden folgende Befehle verwendet:

Get-ContentFilterConfig | Format-Table Name,Enabled; Get-SenderFilterConfig | Format-Table Name,Enabled; Get-SenderIDConfig | Format-Table Name,Enabled; Get-SenderReputationConfig | Format-Table Name,Enabled

Weitere Informationen zu den Spamfiltern rufen Sie mit folgenden Befehlen ab:

Get-ContentFilterConfig | Format-List *Enabled,RejectionResponse,*Postmark*,Bypassed*,Quarantine*;
Get-SenderFilterConfig | Format-List *Enabled,*Block*
Get-SenderIDConfig | Format-List *Enabled*,*Action,Bypassed*
Get-SenderReputationConfig | Format-List *Enabled*,*Proxy*,*Block*,*Ports*

Spam Confidence Level (SCL) im Überblick

Exchange Server weist E-Mails einen Spam Confidence Level (SCL) zu. Je höher der Wert, umso wahrscheinlicher ist es, dass es sich bei der E-Mail um Spam handelt. Im Zusammenspiel mit Microsoft Outlook kann ein Administrator entscheiden, dass E-Mails mit einem gewissen Wert, zum Beispiel höher als SCL 6, direkt in den Junk-Mail-Ordner in Outlook geschoben werden.

Zusätzlich gibt es in Exchange Server die Möglichkeit, mit Transportregeln E-Mails basierend auf ihrem SCL-Wert zu behandeln.