Microsoft Exchange Server 2003 Service Pack 2 (Seite 3)

Die als SPAM erkannten und archivierten Mails einsehen und bearbeiten

Wurde in der Registerkarte „Intelligenter Nachrichtenfilter“ bei der Gateway-Konfiguration die Option „Archivieren“ ausgewählt, so werden als Spam deklarierte E-Mails standardmäßig im Ordner C:\Programme\Exchsrvr\Mailroot\vsi x\UceArchive abgelegt, wobei das Unterverzeichnis „vsi x“ für den x-ten „Virtuellen Standardserver für SMTP“ steht. Wurden weitere virtuelle SMTP-Server erzeugt (dazu klickt man mit der rechten Maustaste auf „Protokolle – SMTP“ und wählt den Befehl „Neu – Virtueller SMTP-Server“), so kann es hier weitere Unterverzeichnisse geben. Das Unterverzeichnis UceArchive wird jedoch erst erstellt, wenn die erste Spammail eingeht. UCE ist die Abkürzung für „unsolicited commercial e-mail“. Außerdem gibt es noch die Abkürzung UBE für „unsolicited bulk e-mail“. 

Speicherort des Spamarchivs verlegen

Ist mit hohem Spamaufkommen zu rechnen, so sollten Sie das Spam-Archivverzeichnis U-CEArchive auf eine separate Partition oder sogar eine andere Festplatte verlegen, damit die Partition, die die Exchange-Datenbanken enthält, nicht unkontrolliert volläuft. Dazu erstellen Sie in der Registrierdatenbank unter HKEY_Local_Machine\Software\Microsoft\Exchange\ContentFilter einen neuen Zeichenfolgewert namens ArchiveDir und geben einen vollständigen Pfad ein, z.B. E:\Spamarchiv.

Das Unterverzeichnis UceArchive wird automatisch generiert, wenn die erste Spammail ein-geht. Wollen Sie nicht auf den Eingang einer Spammail warten und IMF sofort testen, müssen Sie selbst Spam-Nachrichten an den Exchange-Server erfolgreich versenden, ohne dass diese zuvor z.B. durch einen Spamfilter Ihres Providers ausgefiltert werden. Dazu nutzen Sie erneut das Tool Smtpsend mit derselben Syntax wie zuvor:

smtpsend.exe 192.168.16.2 spamversender@spamcompany.local administrator@company.local test.txt

Hinweis: Lassen Sie die Command-Box offen, damit Sie den Befehl mit der Funktionstaste F3 später erneut absenden können, ohne ihn wieder einzutippen. Wir werden noch einige Tests mit unterschiedlichen SCL-Schwellenwerten durchführen.

Das Verzeichnis C:\Programme\Exchsrvr\Mailroot\vsi 1\UceArchive sollte jetzt erzeugt wor-den sein und die selbst zugesandte Spam-Nachricht enthalten:

Die in das UceArchive ausgefilterten Nachrichten müssen jedoch vom Administrator regelmäßig durchgesehen werden, um zu überprüfen, ob es sich wirklich um Spamnachrichten handelt oder um „falsche Positive“. Falsche Positive sind als Spam aussortierte Nachrichten, bei denen es sich in Wirklichkeit nicht um Spam handelt. Da es sich um wichtige Geschäftsinformationen handeln kann, müssen sie dem Anwender nachträglich zeitnah zugestellt werden, während die richtig als Spam erkannten Objekte des Verzeichnisses Uce-Archive regelmäßig gelöscht werden sollten, damit die Festplatte des Servers nicht vollläuft.

IMF Archive Manager zum Verwalten des UCE-Archivs

Um die Nachrichten im IMF-Spamarchiv komfortabel bearbeiten (einsehen, löschen nachträglich zustellen) zu können, können Sie das kostenlose Tool IMF Archive Manager auf dem Exchange-Server installieren.
http://blogs.technet.com/exchange/archive/2004/05/26/142607.aspx
http://www.gotdotnet.com/workspaces/workspace.aspx?id=e8728572-3a4e-425a-9b26-a3fda0d06fee
http://www.slipstick.com/emo/2004/up040610.htm#monitor

Beim Start der Installationsdatei IMFFilterManager.exe müssen Sie den Ort des Verzeichnisses UceArchive sowie des Verzeichnisses Pickup angegeben. Beide Verzeichnisse finden Sie standardmäßig unter „C:\Programme\Exchsrvr\Mailroot\vsi 1“. Danach zeigt der IMF Archiv Manager die ausgefilterten Nachrichten und deren Inhalt an.

Stellen Sie im IMF Archiv Manager aufgrund des Inhalts einer Nachricht fest, dass es sich um eine „falsche Positive“ handelt, so klicken Sie auf „ErneutSenden“. Dadurch wird die Nachricht unverändert an den Empfänger gesendet und aus dem UceArchive entfernt. Die richtig als Spam gefilterten Nachrichten löschen Sie über die Schaltfläche „Löschen“.

Standardmäßig zeigt der IMF Archiv Manager nicht den vom Gateway-Filter ermittelte SCL-Wert an. Das SCL-Feld ist in der obigen Abbildung leer. Um dieses zu ändern, müssen Sie eine weiter Änderung in der Registrierdatenbank des Exchange-Servers vornehmen. Erzeugen Sie unter HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange zuerst den neuen Schlüssel ContentFilter, legen Sie darunter den DWORD-Wert ArchiveSCL neu an und weisen Sie ihm den Wert „1“ zu:

In den Release Notes des Exchange Server 2003 SP2 finden Sie dazu folgende Aussagen: „Microsoft Exchange Intelligent Message Filter Exchange Server 2003 SP2 does not create the registry key named ContentFilter under HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange during an upgrade from Exchange Server 2003 or Exchange Server 2003 SP1, where Intelligent Message Filter version 1 was not previously installed. Therefore, to obtain an extended functionality (for example, change the Archive directory), you must manually create the HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter key and restart the SMTP service. After the restart of SMTP, all the values created under this key are automatically picked up and no additional restarts of services are required. If you are upgrading the computer where Intelligent Message Filter version 1 was previously installed, no action is required because the registry key is preserved during the upgrade.”

Beim SCL-Wert handelt es sich um eine Erweiterung des Nachrichtenkopfes. Setzt man den DWORD-Wert ArchiveSCL auf „0“, so wird der SCL-Wert nicht mitgespeichert. Damit der neue Schlüssel ContentFilter wirkt, muss der SMTP-Dienst neu gestartet werden. Außerdem wird der SCL-Wert von bereits gefilterten Nachrichten nicht nachträglich angezeigt. Sie müssen deshalb mit dem Tool Smtpsend erneut eine Spammail erzeugen, um den Erfolg dieser Registry-Manipulation zu überprüfen.

Das Feld SCL zeigt jetzt nicht nur den SCL-Wert „7“ an, sondern dahinter die prozentuale Wahrscheinlichkeit, mit der es sich bei dieser Nachricht um Spam handelt. Mit der Erkenntnis, dass unsere Spam-Testnachricht den SCL-Wert „7“ aufweist, können wir nun testen, wie der zweite SCL-Wert für die Junk-E-Mail-Konfiguration wirkt. Dazu erhöhen Sie im Exchange System-Manager den Gateway-SCL-Wert von „7“ auf „8“ und belassen den SCL-Schwellenwert für die Junk-E-Mail-Konfiguration auf „5“. Die Bereitstellung des Postfachinformationsspeichers muss erneut aufgehoben und wieder aktiviert werden, damit diese Änderung aktiv wird. Versenden Sie dann erneut die Spam-Testnachricht mit dem Tool Smtpsend. Da deren SCL-Wert mit „7“ kleiner als der Gateway-SCL-Schwellenwert „8“ ist, landet die Nachricht dieses Mal nicht im Ordner UCEArchive des Exchange-Servers. Da der SCL-Wert „7“ der Testnachricht aber größer als der SCL-Schwellenwert „5“ der Junk-E-Mail-Konfiguration ist, wird die Nachricht beim Administrator unter Outlook in den Ordner Junk-E-Mail statt in den Posteingang eingestellt.

Zum Test setzen Sie nun den SCL-Schwellenwert der Junk-E-Mail-Konfiguration von „5“ auf „7“ hoch. Heben Sie die Bereitstellung des Postfachinformationsspeichers auf und stellen Sie ihn wieder bereit, damit diese Änderung wirksam wird. Wenn Sie nun erneut die Spam-Testnachricht versenden, so wird sie unter Outlook im Posteingang erscheinen, und nicht im Ordner Junk-E-Mail. Damit ist bewiesen, dass der SCL-Schwellenwert für die Junk-E-Mail-Konfiguration nicht wirkt, wenn er gleich groß wie der SCL-Wert einer Spam-E-Mail ist, sondern nur dann, wenn er kleiner ist.

SCL-Werte von E-Mails in Outlook anzeigen

Im Outlookordner Junk-E-Mail werden die SCL-Werte von Spammails ebenfalls standardmäßig nicht angezeigt. Das wäre jedoch für den Administrator zur Feinjustierung der SCL-Schwellenwerte von IMF sehr hilfreich. Der Administrator könnte dann zuerst eine Zeitlang in Outlook die SCL-Werte daraufhin beurteilen, ab welchem Schwellenwert eine vertretbare Anzahl von „falschen Positiven“ irrtümlich als Spam ausgefiltert werden.

Unter http://www.smallbizserver.net/Default.aspx?tabid=69 können Sie aber das zusätzliche Outlook-Benutzerformular scl.cfg als Datei „Controlling SCL Rates Outlook.zip“ herunterladen. Entpacken Sie die Datei scl.cfg und kopieren Sie diese Outlook-Formulardatei in das Verzeichnis C:\Programme\Microsoft Outlook\Office 11\Forms\1031. Sie müssen das neue Formular zuerst in Outlook 2003 installieren. Öffnen Sie dazu unter „Extras – Optionen“ die Registerkarte „Weitere“, klicken Sie auf die Schaltfläche „Erweiterte Optionen“, dann auf „Benutzerformulare“ und „Formulare verwalten“. Wählen Sie „Installieren“, dann die Datei scl.cfg.

Schließen Sie die Outlook-Optionsfenster. Über „Extras – Lesebereich“ sollten Sie eventuell das Nachrichtenvorschaufenster ganz ausblenden oder die Option „unten“ wählen, um zusätzliche Spalten besser einsehen zu können. Im Ordner Junk-E-Mail klicken Sie nun die Spaltenüberschriftenzeile mit der rechten Maustaste an und wählen „Feldauswahl“. Wählen Sie in der Scroll-Leiste zuerst die Kategorie „Formulare“ aus und fügen Sie das Feld SCL Extension Form hinzu:

Im Fenster „Feldauswahl“ erscheint nun das Feld mit der Bezeichnung „SCL“. Ziehen Sie es mit der linken gedrückten Maustaste in die Zeile mit den Spaltenüberschriften.

Sie können in Outlook über „Ansicht – Anordnen nach – Aktuelle Ansicht – Ansichten definieren“ auch eine benutzerdefinierte Ansicht erstellen, dieser Ansicht die Bezeichnung „SCL-Spambewertung“ geben und die SCL-Spalte in diese neu definierte Ansicht aufnehmen. Damit können Sie dann auch in anderen Outlook-Ordnern diese Ansicht schnell auswählen und wieder abwählen.

Das „Custom Weighting Feature“

In den „Microsoft Exchange Server 2003 Service Pack 2 Release Notes“ wird das Custom Weighting Feature beschrieben. Der Administrator kann damit festlegen, ob der IMF-Filter nur die Betreffzeilen der Nachrichten, den Nachrichtentext oder beides auf Spam-Phrasen überprüft. Dieses Feature kann nicht über eine Benutzeroberfläche konfiguriert werden, sondern über eine Datei namens MSExchange.UceContentFilter.xml. Im genannten Artikel wird eine Beispieldatei gelistet und beschrieben.

Absenderkennungsfilterung

Das Exchange Server 2003 Service Pack 2 bietet neben dem „intelligenten Nachrichtenfilter“ (IMF) als weiteren Spamfilter die Absenderkennungsfilterung (Sender ID Filtering) an. Dieser Filter soll verifizieren, dass eine Nachricht wirklich von der Internet-Domäne verschickt wurde, von der sie laut Absenderadresse zu stammen vorgibt. Einige Gründe sprechen jedoch dafür, diesen Filter zumindest vorerst nicht zu aktivieren:

• Der Einsatz des Absenderkennungsfilters setzt voraus, dass Ihre externen Korrespondenzpartner einen SPF-Eintrag in den DNS-Datensatz (DNS Record) des SMTP-Servers einpflegen bzw. von deren Internet-Provider einpflegen lassen, was bisher oft nicht der Fall ist. Ein Mailserver, auf dem die Absenderkennungsfilterung aktiviert ist, überprüft bei jeder eingehenden Nachricht, ob die IP-Adresse, von der diese Nachricht stammt, im DNS Record der Absenderdomäne eingetragen ist. Dazu sendet der Mailserver eine Anfrage an die Absenderdomäne. 
• Sie selbst sollten ebenfalls einen SPF-Eintrag in den DNS Record Ihres SMTP-Servers einpflegen bzw. Ihren Internet-Provider dazu beauftragen.
• Fällt die Gegenabfrage des Mailservers nach einem SPF-Eintrag im DNS Record der Domäne des Versenders negativ aus, so kann es sich um Spam handeln, muss aber nicht. Genauso gut ist es möglich, dass der Versender bisher noch keinen SPF-Eintrag im DNS Record vornehmen ließ oder aber diesen anzupassen vergaß, als er z.B. den Provider wechselte oder aus Redundanzgründen (Ausfall eines SMTP-Servers) einen alternativen SMTP-Server hinzufügte. Deshalb sollte in der Registerkarte „Absenderkennungsfilter“ als mögliche Reaktion auf Fehler beim Überprüfen der Absenderkennung vorerst auf keinen Fall eine der beiden Optionen „Löschen“ oder „Ablehnen“ gewählt werden. Folglich bleibt nur die Option „Annehmen“ übrig. Damit ist aber nichts gewonnen. Stattdessen steigt die Belastung der Internetanbindung durch die zusätzlichen Sicherheitsabfragen und die Rückantworten.
• Man kann in Outlook ein Benutzerformular installieren (näheres z.B. unter http://blogs.technet.com/exchange/archive/2005/10/13/412487.aspx), mit denen der Wert der Sender ID in einer zusätzlichen Spalte angezeigt wird. Schaut man sich nach einiger Zeit die Sender ID-Werte von neu eingegangenen Nachrichten an, so stellt man fest, dass bei einem Großteil der Nachrichten der Wert „5“ angezeigt wird. Sie werden diesen Wert z.B. häufig bei Newslettern finden, die Sie abonniert haben. Er bedeutet, dass für die versendende Domäne bisher kein Sender ID-Record veröffentlicht wurde. Ein Wert „4“ steht für einen „soft fail“ und tritt oft auf, wenn es sich um gehostete Mailserver handelt. Anhand derartiger Beobachtungen kommt man schnell zu dem Schluss, dass der Absendererkennungsfilter wenig aussagefähig ist.
• Es ist technisch möglich, dass gewiefte Spamversender auch den Mechanismus Absenderkennungsfilterung aushebeln. Ebenso ist denkbar, dass Spamversender selbst falsche SPF-Einträge in DNS Records eintragen. Professionelle Spamversender werden nicht in Ländern aktiv, in denen der Spamversand rechtlich verfolgt wird, sondern oft irgendwo auf der Erde, wo derartigen Dingen seitens der Behörden bewusst nicht nachgegangen wird oder es den Mitarbeitern der in Frage kommenden Behörden schlichtweg am Know-how fehlt, um den sich ständig neuen und intelligenteren Tricks der technisch bestens versierten Spamversender Paroli zu bieten.
• Mit jedem zusätzlich aktivierten und konfigurierten Filter wachsen die möglichen Fehlerquellen, z.B. durch falsche Konfiguration. Die Wirkungsweise und das Zusammenspiel der eigenen Filter und der vom Internet-Provider vorgenommenen Maßnahmen werden immer undurchsichtiger. Hinzu kommt, dass durch das Einspielen von später veröffentlichten Service Packs oder Hotfixes sich neue Probleme einstellen können. Ein Systemadministrator, der sich nicht ausschließlich um das E-Mail-Geschäft kümmert, verliert dann schnell den Überblick. Werden die durch Spamfilter ausgesonderten Nachrichten nicht zeitnah kontrolliert, so besteht die Gefahr, dass zeitkritische Geschäftsnachrichten unerkannt irgendwo im System hängen bleiben. Das führt sehr schnell dazu, dass die Anwender das Vertrauen in das Mailsystem verlieren, und in jedem Fall wird ein Anwender lieber die ein oder anderer unerwünschte Werbenachricht löschen, als sich unsicher zu sein, ob wichtige Geschäftsnachrichten abhanden kommen.

Aus den genannten Bedenken wird die Konfiguration des Absenderkennungsfilters deshalb in dieser Abhandlung nicht weiter beschrieben. Stattdessen finden Sie nachfolgend Links zum Thema „Absenderkennungsfilter“ bzw. „Sender ID Filter“:

„Configuring and enabling Sender ID filtering in Exchange 2003 SP2“
http://www.msexchange.org/tutorials/Exchange_Server_2003
http://blogs.technet.com/exchange/archive/2005/10.aspx
http://www.anti-spamtools.org/SenderIDEmailPolicyTool/Default.aspx
You Had Me At EHLO... : Sender ID:
http://blogs.technet.com/exchange/archive/2005/10/13/412487.aspx 
Sender ID Tool:
http://www.anti-spamtools.org/SenderIDEmailPolicyTool/Default.aspx 
Tool zum Anzeigen der wirklichen Versenderadresse:
http://cameron-webb.com/blog/archive/2005/10/20/639.aspx
Cfg-Datei zum Anzeigen des SCL-Wertes:
http://www.slipstick.com/emo/2004/up040610.htm#monitor
Sender ID Framework Overview: Verification System Aims to Reduce Spam and Increase Safety Online:
http://www.microsoft.com/mscorp/safety/technologies/senderid/overview.mspx 
Sender ID Technology: Information for IT Professionals:
http://www.microsoft.com/mscorp/safety/technologies/senderid/technology.mspx 
Sender ID Resources: Tools and Information About the Technology:
http://www.microsoft.com/mscorp/safety/technologies/senderid/resources.mspx 

Beachten Sie außerdem den folgenden Hinweis aus den „Microsoft Exchange Server 2003 Service Pack 2 Release Notes“: 
Before you enable Sender ID on Exchange 2003 SP2 server, make sure that you apply the Windows Server 2003 hotfix that is referenced in Microsoft Knowledge Base article, „Windows Server 2003 may stop responding when you enable Sender ID filtering on an SMTP virtual server in Exchange Server 2003 SP2.”

Verbindungsfilterung – Sperrlistenanbieter konfigurieren

Im Internet gibt es Anbieter von Sperrlisten (Blacklist), in denen die IP-Adressen von SMTP-Server eingetragen sind, die von diesen Anbietern als Spamversender betrachtet werden. Diese Anbieter stellen ihre Listen entweder kostenlos oder entgeltlich zur Verfügung. Viele Internet-Provider bedienen sich solcher Sperrlisten, um die Spamflut einzudämmen. Bezieht Ihr Exchange-Server seine Eingangsnachrichten von einem Internet-Provider, der bereits gängige Sperrlisten nutzt, so können Sie auf die Einrichtung von Verbindungsfiltern auf Ihrem Exchange-Server eventuell verzichten. Unter www.kloth.net/services/dnsbl.php oder unter http://rbls.org/ können Sie überprüfen, ob ein SMTP-Server in einer DNS-Blacklist steht. Dazu tragen Sie die IP-Adresse des SMTP-Servers ein und erhalten dann eine Auflistung bekannter Webadressen mit schwarzen Listen. Bekannte Anbieter derartiger Sperrlisten sind z.B. ordb.org, blackholes.wirehub.net, bl.spamcop.net, list.dsbl.org, relays.ordb.org oder re-lays.visi.com.

Daneben gibt es die Möglichkeit, selbst IP-Adressen von SMTP-Servern anzugeben, von denen Sie eingehenden E-Mails immer (globale Annahmeliste, „Whitelist“) oder nie (globale Verweigerungsliste, „Blacklist“) annehmen wollen. Wenn Sie sowohl Sperrlistendienste als auch selbst definierte Annahme- oder Verweigerungslisten einsetzen, so haben die letzteren bei der Behandlung durch IMF Vorrang vor den Listen der externen Anbieter. Haben Sie also die IP-Adresse eines SMTP-Servers in die globale Verweigerungsliste aufgenommen, so werden eingehende E-Mails dieses SMTP-Servers auch dann geblockt, wenn er nicht auf einer Sperrliste eines externen Anbieters eingetragen ist.

Sie konfigurieren die Verbindungsfilterung im Exchange System-Manager, indem Sie in den Eigenschaften von „Globale Einstellungen – Nachrichtenübermittlung“ die Registerkarte „Verbindungsfilterung“ öffnen.

Ist die IP-Adresse eines SMTP-Servers in der Sperrliste eines hinzugefügten Sperrlistenanbieters eingetragen, so gibt dieser Anbieter einen Statuscode an den Exchange-Server zurück. Dieser Statuscode enthält den Grund, warum der SMTP-Server als Spamversender gelistet ist. Standardmäßig blockiert der Exchange-Server E-Mails mit beliebigem Statuscode. Dieses Verhalten kann aber über die Schaltfläche „Rückgabestatuscode“ eingeschränkt werden. Der RBL Provider (RBL = Relay Blacklist) gibt als Antwort „Host Not Found“ zurück, wenn die IP-Adresse des angefragten SMTP-Servers bei ihm nicht gelistet ist, oder aber einen Code von „127.0.0.1“ bis „127.0.0.9“, wobei dessen Bedeutung von Anbieter zu Anbieter variieren kann. Gängige Bedeutungen sind:

 Der konfigurierte Verbindungsfilter muss wie jeder andere Filter aktiviert werden. Dazu öffnen Sie die Eigenschaften des „Virtuellen Standardservers für SMTP“, klicken in der Registerkarte „Allgemein“ auf die Schaltfläche „Erweitert“, im nächsten Fenster auf die Schaltfläche „Bearbeiten“ und aktivieren im sich öffnenden Identifikationsfenster die Option „Verbindungsfilter anwenden“.
 

Weitere Informationen finden Sie unter „How to configure connection filtering to use Realtime Block Lists (RBLs) and how to configure recipient filtering in Exchange 2003”, http://support.microsoft.com/default.aspx?scid=kb;en-us;823866.

Was tun, wenn Ihr eigener SMTP-Server irrtümlich auf einer schwarzen Liste als Spamversender eingetragen ist?

Wenn sich Ihre Absender beschweren, dass von ihnen versandte E-Mails beim Empfänger nicht ankommen, oder aber dass E-Mails von bestimmten Absendern nicht eingetroffen sind, obwohl diese E-Mails laut Auskunft des Versenders mit richtiger Empfängeradresse verschickt wurden, so sollten Sie überprüfen, ob Ihr eigener SMTP-Server oder aber der SMTP-Server des Versenders auf einer schwarzen Liste steht und damit geblockt wird. Unter www.kloth.net/services/dnsbl.php oder unter http://rbls.org/ tragen Sie die IP-Adresse des SMTP-Servers ein und erhalten dann eine Auflistung bekannter Webadressen mit schwarzen Listen sowie der Information, auf welchen dieser Listen der SMTP-Server eingetragen ist. Steht der SMTP-Server Ihrer eigenen Domäne auf einer dieser schwarzen Listen und wird dieser SMTP-Server von Ihrem Internet-Provider verwaltet, so müssen Sie den Provider umgehend auffordern, für Abhilfe zu sorgen. Die Sperrlistenanbieter bieten auf ihrer Webseite dazu in der Regel ein Formular an, jedoch kann es dauern, bis der irrtümlich eingetragene SMTP-Server von allen schwarzen Listen gelöscht ist. Hilfreich ist es dann, wenn in weiser Voraussicht ein Ausfall-SMTP-Server konfiguriert wurde und einspringen kann.

Unzustellbarkeitsberichte und Übermittlungsberichte temporär deaktivieren

Neben den Spamfiltern gibt es noch weitere Möglichkeiten, sich vor Spamattacken zu schützen. Einige Spamversender nutzen z.B. die Unzustellbarkeitsberichte (NDR = non-delivery reports), die ein Exchange Server versendet, wenn eine eingehende E-Mail aufgrund eines nicht bekannten Postfachs nicht zugestellt werden kann. Der Versender soll so informiert werden, dass seine Nachricht das Ziel nicht erreicht hat, um z.B. eine falsch eingetippte Empfängeradresse korrigieren zu können. Daneben gibt es die Übermittlungsberichte (delivery reports), die dann an den Absender versendet werden, wenn dieser beim Verfassen der E-Mail unter Outlook die Option „Die Übermittlung dieser Nachricht bestätigen“ gewählt hatte. Diese Optionen sind unter Exchange Server 2003 standardmäßig aktiviert und können bei einer speziellen Spamattacke ausgenutzt werden, um Positivlisten zu generieren - Adresslisten, an die dann später erfolgreich Werbung verschickt werden kann. 

Hinzu kommt folgendes: Antispam-Software filtert oft keine Unzustellbarkeitsnachrichten. Ein Spamversender könnte diesen Umstand ausnutzen, seine Werbung in Form von Pixel statt als Buchstaben an nicht existente E-Mail-Adressen des Zielserver versenden (Spamfilter suchen nach Textphrasen, können diese aber nicht finden, wenn statt Buchstaben Bilder verschickt werden) und als Absenderadresse die eigentlichen Adressen der gewünschten Empfänger einsetzen. Der Zielserver stellt fest, dass es die Zieladresse nicht gibt, und sendet die Nachricht mitsamt der Werbung in Form einer Unzustellbarkeitsberichts an die gefälschte Absenderadresse weiter. Durch diese Vorgehensweise könnte der Spamversender versuchen, zu verhindern, dass er selbst auf eine Sperrliste (Blacklist) gerät.

Wenn Sie feststellen, dass Ihr Exchange-Server das Ziel eines solchen Angriffs ist, so können Sie temporär die Erstellung von Unzustellbarkeitsberichten oder Übermittlungsberichten deaktivieren. Dazu öffnen Sie im Exchange System-Manager unter „Globale Einstellungen – Internet-Nachrichtenformate“ die Eigenschaften von „Standard“ und deaktivieren in der Registerkarte „Erweitert“ die beiden Optionen „Übermittlungsberichte zulassen“ und „Unzustellbarkeitsberichte zulassen“.

Nicht standardmäßig aktiviert sind unter Exchange Server 2003 die Optionen „Abwesenheitsbenachrichtigungen zulassen“, „Automatische Antworten zulassen“ und „Automatische Weiterleitungen zulassen“, die Sie ebenfalls an dieser Stelle des Exchange System-Managers finden. Alle Optionen betreffen nur den externen Versand von automatisch erzeugten Nachrichten. Intern kann der Abwesenheitsassistent von Outlook deshalb wirksam eingesetzt werden, wenn die Option „Abwesenheitsbenachrichtigungen zulassen“ hier abgewählt wurde.

Zusammenfassung - Folgende Informationen sollten Sie griffbereit haben:

Den Versionsstand eines Exchange-Servers ermitteln Sie im Exchange System-Manager über die Registerkarte „Allgemein“ in den Eigenschaften des betreffenden Exchange-Servers.

Gibt es Exchange 2003 Front-End und Back-End Server, so muss das Service Pack 2 zuerst auf den Frond-End Servern installiert werden.

Produkte von Drittanbietern müssen auf Kompabilität mit dem Exchange 2003 Service Pack 2 untersucht werden.

Die Standardgröße des Postfachspeichers eines Exchange Servers 2003 Standard Edition mit SP2 beträgt 18 GB und kann über den DWORD-Eintrag Database Size Limit in GB in der Registrierdatenbank auf maximal 75 GB erhöht werden. Dieser DWORD-Wert muss dann unter HKEY_LOCAL_Machine\SYSTEM\CurrentControlSet\Services\MSExchangeIS\<Servername>\private GUID mit Regedit erstellt werden. An gleicher Stelle können zusätzlich die beiden DWORD-Werte Database Size Buffer in Percentage (dessen hartcodierte Standardeinstellung ist 10) und Database Size Check Start Time in Hours From Midnight (hartcodiert ist 4 für 4 Uhr morgens) eingefügt werden.

Wird ein Exchange Server mittels des Setup-Wiederherstellungsparameters (setup.exe /disasterrecovery) repariert, so müssen die Registryänderungen manuell neu gesetzt werden.

Überschreitet die logische Datenbankgröße (Größe der edb-Datei + Größe der stm-Datei ab-züglich der als gelöscht markierten Speicherblöcke) die maximale Größe der Datenbank, so erfolgt eine Warnung im Ereignisprotokoll. Hat der Administrator innerhalb 24 Stunden keine Gegenmaßnahmen getroffen, so wird die Datenbank offline genommen.

IMF kann nicht auf dem Knoten eines Clusters aktiviert werden.

Wird unter Small Business Server 2003 der integrierte POP Connector verwendet, so wirkt der IMF nicht.

Die Spamfilter werden zwar im Exchange System-Manager unter „Globale Einstellungen – Nachrichtenübermittlung“ konfiguriert, müssen aber über die Eigenschaften des virtuellen Standardservers für SMTP aktiviert oder deaktiviert werden. Änderungen werden oft erst dann wirksam, wenn die Bereitstellung der Datenbank aufgehoben und wieder aktiviert wird bzw. wenn der virtuelle Standardserver für SMTP beendet und wieder gestartet wird.

In der Registerkarte „Intelligenter Nachrichtenfilter“ ist die Beschreibung „Nachrichten verschieben, deren SCL-Bewertung größer oder gleich folgendem Wert ist“ falsch! Richtig ist, dass nur Nachrichten in den Outlook-Ordner „Junk-E-Mail“ verschoben werden, die größer (!!!) als der eingetragene SCL-Wert sind, und nicht solche mit einer SCL-Bewertung gleich dem eingetragenen Wert.

Als Spam ausgefilterte E-Mails werden entweder auf dem Exchange-Server im Verzeichnis C:\Programme\Exchsrvr\Mailroot\vsi x\UceArchive oder 
unter Outlook im Ordner Junk-E-Mail archiviert. Um den Archivordner auf dem Exchange-Server zu verschieben, muss in der Registry unter HKEY_Local_Machine\Software\Microsoft\Exchange\ContentFilter der Zeichenfolgewert ArchiveDir erstellt werden. Dort wird der gewünschte Pfad und Ordnername eingetragen. Mit dem kostenlosen Tool IMF Archive Manager können die in das Spamarchiv des Servers eingestellten E-Mails eingesehen, gelöscht oder nachträglich zugestellt werden. Sollen die SCL-Werte der dort archivierten E-Mails angezeigt werden, so muss in der Registry unter HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange zuerst der Schlüssel ContentFilter neu erstellt werden. Darunter muss dann der DWORD-Wert ArchiveSCL neu erstellt und auf „1“ gesetzt werden.

Um die SCL-Werte von E-Mails unter Outlook in einer neuen Spalte anzuzeigen, kann das Outlook-Benutzerformular scl.cfg installiert werden.

Unter www.kloth.net/services/dnsbl.php oder unter http://rbls.org/ können Sie überprüfen, ob ein SMTP-Server in Sperrlisten (Blacklist) gelistet ist. Ist Ihr eigener SMTP-Server dort gelistet, so könne Sie über die Webseite des Sperrlistenanbieters in der Regel online die Löschung von der Liste beantragen.

Wenn der Verdacht besteht, dass Spamversender die von Ihrem Exchange-Server automatisch versendeten Unzustellbarkeitsberichte oder Übermittlungsberichte für Spamattacken ausnutzen, so können Sie über „Globale Einstellungen – Internet-Nachrichtenformate“ in den Eigenschaften von „Standard“ und dort in der Registerkarte „Erweitert“ die beiden Optionen „Übermittlungsberichte zulassen“ und „Unzustellbarkeitsberichte zulassen“ temporär deaktivieren.

Literatur

Im Artikel „What's New in Exchange Server 2003“ (http://go.microsoft.com/fwlink/?LinkId=47591) wurden seitens Microsoft folgende Kapitel hinzugefügt oder bezüglich des Service Pack 2 ergänzt:

• Administration Features in Exchange Server 2003 
• Enabling or Disabling MAPI Access for a Specific User
• Enabling Direct Push Technology
• Managing Security Settings for Mobile Clients
• Remote Wiping of Mobile Devices 
• Global Address List Search for Mobile Clients
• Certificate-Based Authentication and S/MIME on Mobile Devices
• Tracking Public Folder Deletions
• Manually Stopping and Resuming Replication
• Synchronizing the Public Folder Hierarchy
• Using the Manage Public Folders Settings Wizard
• Moving Public Folder Content to a Different Server
• Performance and Scalability Features of Exchange Server 2003
• Improved Offline Address Book Performance
• Transport and Message Flow Features of Exchange Server 2003
• Step 3: Specifying the Servers to Exclude from Connection Filtering
• Sender ID Filtering
• Intelligent Message Filtering
• Understanding How Enabled Filters Are Applied
• Storage Features of Exchange Server 2003
• Database Size Limit Configuration and Management
• Schema Changes in Exchange Server 2003
  

Zusätzliche Literatur:

How Outlook 2003 SP2 and Exchange Server 2003 SP2 OAB Version 4 Work Together
http://www.microsoft.com/technet/prodtechnol/exchange/2003/insider/outlook-oab.mspx
OAB Version 4 in Exchange Server 2003 Service Pack 2
http://www.microsoft.com/technet/prodtechnol/exchange/2003/insider/oab4.mspx
Offline Address Book - Things to Consider
http://www.microsoft.com/technet/prodtechnol/exchange/2003/insider/offlineadd-consider.mspx
Exchange 2003 SP2 Webcasts 
Top 10 Reasons to Install Exchange Server 2003 SP2 
Exchange Server 2003 SP2 Release Notes 
Frequently Asked Questions About Exchange Server 2003 SP2 page
What Is New in Exchange Server 2003 
Exchange Server 2003 Support for Mobile Device 
New Mobility Features in Exchange Server 2003 SP2
Messaging and Security Feature Pack for Windows Mobile 5.0
How to configure connection filtering to use Realtime Block Lists (RBLs) and how to config-ure recipient filtering in Exchange 2003
http://support.microsoft.com/default.aspx?scid=kb;en-us;823866
HOW TO: Exchange Spam Filterung mit der Intelligenten Nachrichtenfilterung (IMF) bei POP basierter Emailabholung
http://dnn.sbsfaq.de/SBS2003/Exchange2003/HOWTOSpamFilterungmitIMFbeiPOPunddynIP/tabid/148/Default.aspx

[ Zurück ]

[ Zurück zur Artikelübersicht ]

Von Ulrich Schlüter, Autor des Buches "Integrationshandbuch Microsoft-Netzwerk