Exchange Server 2013 – Malware Scanner & Anti Spam Agents #2

Im zweiten Teil der Exchange 2013 Malware & Anti-Spam Agents Konfiguration werden die einzelnen Anti-Spam Agents konfiguriert. (Zum ersten Teil)

Anti-Spam Agents – IP Block List

Mit diesem Agent lassen sich IP-Adressen blockieren. Es können manuell einzelne IP-Adressen hinterlegt werden oder auch ganze dynamisch generierten Listen von kostenlosen Anbietern wie „spamcop.net“.

IP Block List Provider

IP Block List Provider sind kostenlose Anbieter solcher IP-Blacklists. Beim Eintreffen einer E-Mail wird die IP-Adresse des Absenders an den jeweiligen Anbieter geschickt und wenn dieser keine Rückantwort liefert, steht die IP nicht auf seiner Liste.

In diesem Beispiel wird der IP Block List Provider „zen.spamhaus.org“ hinzugefügt:

Add-IPBlockListProvider -name zen.spamhaus.org -lookupdomain zen.spamhaus.org

Diese IP Block List Provider haben sich in meiner Exchange Server 2013 Umgebung bewährt und filtern schon sehr viele IP Adressen und haben dabei ein sehr gutes false/positive Verhältnis.

Add-IPBlockListProvider -name bl.spamcop.net -lookupdomain bl.spamcop.net
Add-IPBlockListProvider -name zen.spamhaus.org -lookupdomain zen.spamhaus.org
Add-IPBlockListProvider -name dnsbl.sorbs.net -lookupdomain dnsbl.sorbs.net
Add-IPBlockListProvider -name ix.dnsbl.manitu.net -lookupdomain ix.dnsbl.manitu.net
Add-IPBlockListProvider -name cbl.abuseat.org -lookupdomain cbl.abuseat.org
Add-IPBlockListProvider -name spam.dnsbl.sorbs.net -lookupdomain spam.dnsbl.sorbs.net
Add-IPBlockListProvider -name b.barracudacentral.org -lookupdomain b.barracudacentral.org
Add-IPBlockListProvider -name sbl-xbl.spamhaus.org -lookupdomain sbl-xbl.spamhaus.org
Add-IPBlockListProvider -name psbl.surriel.com -lookupdomain psbl.surriel.com

Anti-Spam Agents – Content Filter

Der Content Filter Agents analysiert die E-Mail auf Inhalt und gibt dieser einen SCL-Wert. Nun muss nur noch konfiguriert werden, was bei welchem SCL passieren soll. Es gibt hier 3 Möglichkeiten:

  • E-Mail in Quarantäne verschieben
  • E-Mail ablehnen und Nachricht an Absender
  • E-Mail ohne Nachricht an Absender löschen

Content Filter – Quarantäne-Postfach

Für den Content Filter kann ein Quarantäne-Postfach konfiguriert werden. In dieses werden dann E-Mails mit einem definierbaren SCL-Wert verschoben. In diesem Quarantäne-Postfach können dann ggf. gefilterte E-Mail entlassen oder gelöscht werden. Es empfiehlt sich auf jeden Fall ein gesondertes Postfach für diesem Zweck anzulegen, wann dann bei Bedarf eingebunden werden kann.

In diesem Beispiel werden alle E-Mails mit einem SCL-Wert größer 6 in das Quarantäne-Postfach „spam@test.local“ verschoben:

Set-ContentFilterConfig -SCLRejectEnabled $true -SCLQuarantineThreshold 6 -SCLDeleteEnabled $false -SCLRejectEnabled $false -QuarantineMailbox spam@test.local

Anti-Spam Agents – Sender ID

Der Sender ID Filter überprüft den SPF-Record der jeweiligen Domain und reagiert dann mit einer der folgenden Aktionen:

  • E-Mail mit Status kennzeichnen
  • E-Mail ablehnen und Nachricht an Absender
  • E-Mail ohne Nachricht an Absender löschen

E-Mails bei denen der SPF-Record nicht korrekt ist, sollten bei externen Servern abgelehnt werden. Der Absender bekommt dann eine Unzustellbarkeitsmeldung und kann ggf. reagieren. Man kann die E-Mail natürlich auch ohne Meldung sofort löschen, dann bekommt der Absender aber keine Benachrichtigung.

Set-SenderIdConfig -Enabled $true -ExternalMailEnabled $true -SpoofedDomainAction Reject -TempErrorAction StampStatus

Sender ID Filter – Ausnahme

Ich habe oft erlebt, dass grade kleiner Firmen den SPF-Record falsch setzen und damit E-Mail abgelehnt werden. Für solche Fälle kann die jeweilige Absender-Domain ausgeschlossen werden:

Set-SenderIdConfig -BypassedSenderDomains test.de

4 Gedanken zu “Exchange Server 2013 – Malware Scanner & Anti Spam Agents #2”

  1. Hallo,
    danke für den Artikel.
    Eine Anmerkung: Die Liste ‚zen.spamhaus.org‘ schließt meines Wissens nach die Liste ’sbl-xbl.spamhaus.org‘ mit ein. Demnach kann dieser Eintrag in der liste der IP-Blocklist-Betreiber entfallen.

    Gruß
    Stefan

  2. Hallo Manuel,

    ein ganz nützlicher Artikel! Danke dafür!
    Eine Anmerkung: alle SORBS (dnsbl.sorbs.net, spam.dnsbl.sorbs.net) Listen sollte man nicht mehr verwenden, weil sie schon seit Jahren auf Erpressung großer Mailanbieter wie 1und1(ionos), Gmail, GMX, Telekom uvm. gesetzt haben. Alle IP Blöcke dieser Anbieter sind dort gelistet!
    Ansonsten ist eine funktionsfähige Anleitung auch für Exchange 2019.

    Gruß
    Alex

    • Hallo Alex,
      heute verwenden wir auch andere Anbieter. Vor fast 10 Jahren hat es so noch ganz gut funktioniert 😉

      Schönes Wochenende
      Manuel

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.