Im zweiten Teil der Exchange 2013 Malware & Anti-Spam Agents Konfiguration werden die einzelnen Anti-Spam Agents konfiguriert. (Zum ersten Teil)
Anti-Spam Agents – IP Block List
Mit diesem Agent lassen sich IP-Adressen blockieren. Es können manuell einzelne IP-Adressen hinterlegt werden oder auch ganze dynamisch generierten Listen von kostenlosen Anbietern wie „spamcop.net“.
IP Block List Provider
IP Block List Provider sind kostenlose Anbieter solcher IP-Blacklists. Beim Eintreffen einer E-Mail wird die IP-Adresse des Absenders an den jeweiligen Anbieter geschickt und wenn dieser keine Rückantwort liefert, steht die IP nicht auf seiner Liste.
In diesem Beispiel wird der IP Block List Provider „zen.spamhaus.org“ hinzugefügt:
Add-IPBlockListProvider -name zen.spamhaus.org -lookupdomain zen.spamhaus.org
Diese IP Block List Provider haben sich in meiner Exchange Server 2013 Umgebung bewährt und filtern schon sehr viele IP Adressen und haben dabei ein sehr gutes false/positive Verhältnis.
Add-IPBlockListProvider -name bl.spamcop.net -lookupdomain bl.spamcop.net Add-IPBlockListProvider -name zen.spamhaus.org -lookupdomain zen.spamhaus.org Add-IPBlockListProvider -name dnsbl.sorbs.net -lookupdomain dnsbl.sorbs.net Add-IPBlockListProvider -name ix.dnsbl.manitu.net -lookupdomain ix.dnsbl.manitu.net Add-IPBlockListProvider -name cbl.abuseat.org -lookupdomain cbl.abuseat.org Add-IPBlockListProvider -name spam.dnsbl.sorbs.net -lookupdomain spam.dnsbl.sorbs.net Add-IPBlockListProvider -name b.barracudacentral.org -lookupdomain b.barracudacentral.org Add-IPBlockListProvider -name sbl-xbl.spamhaus.org -lookupdomain sbl-xbl.spamhaus.org Add-IPBlockListProvider -name psbl.surriel.com -lookupdomain psbl.surriel.com
Anti-Spam Agents – Content Filter
Der Content Filter Agents analysiert die E-Mail auf Inhalt und gibt dieser einen SCL-Wert. Nun muss nur noch konfiguriert werden, was bei welchem SCL passieren soll. Es gibt hier 3 Möglichkeiten:
- E-Mail in Quarantäne verschieben
- E-Mail ablehnen und Nachricht an Absender
- E-Mail ohne Nachricht an Absender löschen
Content Filter – Quarantäne-Postfach
Für den Content Filter kann ein Quarantäne-Postfach konfiguriert werden. In dieses werden dann E-Mails mit einem definierbaren SCL-Wert verschoben. In diesem Quarantäne-Postfach können dann ggf. gefilterte E-Mail entlassen oder gelöscht werden. Es empfiehlt sich auf jeden Fall ein gesondertes Postfach für diesem Zweck anzulegen, wann dann bei Bedarf eingebunden werden kann.
In diesem Beispiel werden alle E-Mails mit einem SCL-Wert größer 6 in das Quarantäne-Postfach „spam@test.local“ verschoben:
Set-ContentFilterConfig -SCLRejectEnabled $true -SCLQuarantineThreshold 6 -SCLDeleteEnabled $false -SCLRejectEnabled $false -QuarantineMailbox spam@test.local
Anti-Spam Agents – Sender ID
Der Sender ID Filter überprüft den SPF-Record der jeweiligen Domain und reagiert dann mit einer der folgenden Aktionen:
- E-Mail mit Status kennzeichnen
- E-Mail ablehnen und Nachricht an Absender
- E-Mail ohne Nachricht an Absender löschen
E-Mails bei denen der SPF-Record nicht korrekt ist, sollten bei externen Servern abgelehnt werden. Der Absender bekommt dann eine Unzustellbarkeitsmeldung und kann ggf. reagieren. Man kann die E-Mail natürlich auch ohne Meldung sofort löschen, dann bekommt der Absender aber keine Benachrichtigung.
Set-SenderIdConfig -Enabled $true -ExternalMailEnabled $true -SpoofedDomainAction Reject -TempErrorAction StampStatus
Sender ID Filter – Ausnahme
Ich habe oft erlebt, dass grade kleiner Firmen den SPF-Record falsch setzen und damit E-Mail abgelehnt werden. Für solche Fälle kann die jeweilige Absender-Domain ausgeschlossen werden:
Set-SenderIdConfig -BypassedSenderDomains test.de
Hallo,
danke für den Artikel.
Eine Anmerkung: Die Liste ‚zen.spamhaus.org‘ schließt meines Wissens nach die Liste ’sbl-xbl.spamhaus.org‘ mit ein. Demnach kann dieser Eintrag in der liste der IP-Blocklist-Betreiber entfallen.
Gruß
Stefan
Hallo Manuel,
ein ganz nützlicher Artikel! Danke dafür!
Eine Anmerkung: alle SORBS (dnsbl.sorbs.net, spam.dnsbl.sorbs.net) Listen sollte man nicht mehr verwenden, weil sie schon seit Jahren auf Erpressung großer Mailanbieter wie 1und1(ionos), Gmail, GMX, Telekom uvm. gesetzt haben. Alle IP Blöcke dieser Anbieter sind dort gelistet!
Ansonsten ist eine funktionsfähige Anleitung auch für Exchange 2019.
Gruß
Alex
Hallo Alex,
heute verwenden wir auch andere Anbieter. Vor fast 10 Jahren hat es so noch ganz gut funktioniert 😉
Schönes Wochenende
Manuel