Microsoft Exchange Server – Tipps und Tricks Teil III

Spam mit den Bordmitteln von Exchange 2007 effektiv ausschalten

Mit der Übernahme von Sybari hast sich Microsoft weiteres Know-how in Sachen Spam- und Virenabwehr ins Haus geholt. Das Resultat der Übernahme spiegelt sich im Bereich des Exchange Server 2007 im Rahmen des Produkts Forefront wider. Allerdings ist für eine effektive Spam-Abwehr weder Microsofts Forefront noch ein Anti-Spam-Werkzeug eines anderen Herstellers nötig, da der Exchange Server 2007 und Outlook 2003/2007 bereits aufmerksame Spam-Wächter mitbringen.

Es ist davon auszugehen, dass ein Mittelständler mehrere Mailserver mit unterschiedlichen Funktionen in seiner Exchange-Organisation im Einsatz hat. Bei kleinen Organisationen muss dagegen meist ein einzelner Server alle Funktionen vereinigen. Um auch hier effektiv mit Bordmitteln gegen die Spam-Flut vorzugehen müsste allerdings in diesem Fall noch ein weiterer Exchange Server 2007 angeschafft werden.

Als Mailclient wird für diese Betrachtung der Einsatz von Microsoft Outlook vorausgesetzt, das bereits im Office-Paket enthalten ist und daher ohnehin meist Verwendung findet.

Die Minimalausstattung für effektive Spam-Abwehr mit Exchange-Bordmitteln lautet also:

• Mindestens ein Microsoft Exchange Server 2007 mit der Funktion „Edge-Transport“ (siehe Abbildung 1) und Active Directory Application Mode (ADAM).

• Mindestens ein Microsoft Exchange Server 2007, der als normaler Mailserver konfiguriert ist.

• Outlook 2003, Outlook 2007 bzw. entsprechende Office-Editionen.

Aufbau der Bordmittel

Hinter der obligatorischen Firewall steht ein Exchange-Server, der als Edge-Transport-Server das Tor bzw. Gateway zum Internet darstellt (siehe Abbildung 2). Idealer Weise ist dieser Server in einer DMZ (demilitarisierte Zone, auch Perimeternetzwerk genannt) platziert. Dieser Edge-Transport Server ist prädestiniert für die Überprüfung eingehender Mails, da bei einer Vorfilterung Bandbreite und Speicherplatz im Intranet gespart wird.

Zur Kommunikation mit dem Intranet sind entsprechende Ports offen zu halten (SMTP, LDAP und RCP; weitere Informationen siehe Exchange Technische Referenz, Link am Ende dieses Textes). Passiert Spam-Mail den Filter des Exchange Server 2007, kann die Mail auch noch beim Empfänger (via Outlook) als Spam identifiziert und in den persönlichen Junk-Mail-Ordner des Benutzers geleitet werden.

Das deutsche Briefgeheimnis und die Konsequenz für die IT

Eine bedeutende Errungenschaft deutscher Gesetzgebung ist das Post- oder Fernmeldegeheimnis. Eine Verletzung nach § 206 StGB liegt vor, wenn ein Unternehmen eine zur Übermittlung anvertraute Sendung unterdrückt. Konkret auf den E-Mail-Verkehr angewendet, machen sich Unternehmen dann strafbar, wenn sie ihren Mitarbeitern private E-Mailnutzung gestatten und gleichzeitig eine E-Mail-Filterung durchführen.

Gegen eine Schadensabwehr von Viren oder anderen bösartigen Code dürfte in der Regel wohl nichts einzuwenden sein (OLG Karlsruhe, AZ 1 Ws 152/04 vom 10.1.2005), doch beim Filtern von Spam sieht die Situation unter Umständen ganz anders aus.

Rahmenbedingungen von Spam-Filtern

Um den gesetzlichen Bestimmungen zu genügen, bietet sich eine IT-Compliance an, die Folgendes bestimmt:

• Die private Nutzung des dienstlichen E-Mail-Kontos wird untersagt

• Der Arbeitnehmer stimmt der Anti-Spam-Software zu

• Spam-Mails werden in einen Quarantäne-Ordner umgeleitet. Der Arbeitnehmer hat hiervon Kenntnis. Er hat die Möglichkeit, die Spam-Mails einzusehen oder sie ungesehen zu löschen

Bei der Auslegung der Rechtmäßigkeit von Spam-Filtern wird es wahrscheinlich in der Zukunft noch einige Urteile geben. Daher ist eine regelmäßige Überprüfung der Rechtslage notwendig.

Outlook & Exchange

Exchange und Outlook bieten sich als perfektes Gespann an, da sich der Edge-Transport-Server nach der Outlook-Liste der zuverlässigen Absender richtet. Mailadressen in den persönlichen Outlook-Kontakten können als Spammer ausgeschlossen werden. Damit geht keine Mail verloren, die eventuell wegen diverser anderer Rahmenbedingungen abgewiesen werden könnte. Das kann beispielsweise nach Analyse des Namens oder des Hostnamen des Mailservers im SCL-Filter (Spam Confidence Level, SCL) schnell passieren. Typische „Kandidaten“ für eine Fehlfunktion sind osteuropäische Namen oder Hostnamen von Mailservern mit vielen Ziffern.

Anti-Spamfilter von Exchange Server 2007

Der Exchange Server 2007 besitzt folgende Anti-Spam-Funktionen:

• Verbindungsfilterung – Verbindungsfilter untersuchen die IP-Adresse des sendenden E-Mail-Servers

• Inhaltsfilterung – Inhaltsfilter bewerten den Inhalt der Mail

• Empfängerfilterung – Empfängerfilter vergleichen im SMTP-Befehl „rcpt to:“ den Empfängernamen mit einer definierten Sperrliste

• Absenderfilterung – Absenderfilter vergleichen im SMTP-Befehl „mail from:“ den Absender mit einer benutzerdefinierten Liste von zulässigen Absenderdomänen und Absendernamen

• Anlagenfilterung – Anlagenfilter beschränken die zulässigen E-Mail-Anhänge (z.B. keine Anhänge mit der Endung *.cmd)

• Filterung durch Absenderzuverlässigkeit – Dieser Filter bewertet die IP-Adresse des Senders auf Zuverlässigkeit. Anhand eines Schwellwerts kann eine Granularität des Filters eingestellt werden

• Filterung über Sender-ID für eingehende Nachrichten – Dieser Filter überprüft, ob die Sender-ID gefälscht worden ist

Damit die Standard-Anti-Spamfilter immer up-to-date sind, stellt Microsoft alle 14 Tage ein Update für Exchange Server 2007 bereit.

Exemplarisches Beispiel – Inhaltsfilterung

Für eine Inhaltsfilterung muss Folgendes eingerichtet werden (siehe auch Abbildung 3):

• Aktivieren der Verbindungsfilterung (Standardeinstellung)

• Eintragen von benutzerdefinierten Wörtern in die Zulassungs- und Sperrlisten

• Konfigurieren des Inhaltsfilter-Agenten, indem ein SCL-Schwellwert angegeben wird. Abhängig von der SCL-Bewertung werden Mails gelöscht, zurückgewiesen oder in ein Quarantäneverzeichnis verschoben. Der Inhaltsfilter-Agent ist eine Bewertungssoftware von Microsoft und sollte regelmäßig auf Aktualität überprüft werden. Ein zu großer SCL-Schwellwert hat eventuell den Effekt, dass sich auch seriöse Mails in dem Filter verfangen und nicht zugestellt werden. Hier hilft ein niedriger SCL-Schwellwert in Kombination mit den Outlook Junk-Mail-Funktionen.

Fazit

Der Exchange Server 2007 bietet ein umfangreiches Leistungsspektrum hinsichtlich der Abwehr von Spam. Die wenigen Schlupflöcher für Spammer sind die „intelligenten“ Filter-Agenten, die unter Umständen einen zu geringen SCL-Schwellwert eingestellt haben. Ansonsten ist die Handhabung der Konfigurationsdialoge erfreulich einfach. Wenn die gesetzlichen Rahmenbedingungen eingehalten werden, sind Spam und seine Folgen kein Thema. Auf Zukauf weiterer Produkte zur Spamabwehr kann daher verzichtet werden. Ein wirklicher Wehrmutstropfen ist jedoch, dass die Spam-Filter nur auf Edge-Transport-Servern verfügbar sind.