Intelligent Message Filter
Lesen sie zum Thema Spam auch die Seiten Microsoft Spamschutz und Spam und UCE und IMF HowTo
IMF und NoSpamProxy
IMF ist eine einfach zu installierende und zu betreibende Filterlösung, die aber
nur bedingt an individuelle Wünschen angepasst werden kann. Im Wesentlichen
basiert die IMF-Funktion auf der Blockade von Verbindungen über entsprechend
auszuwählende RBL-Listen, die Ablehnung ungültiger Empfänger und eine nicht
weiter offen gelegte Mustererkennung, anhand der Mails klassifiziert und
abgelehnt bzw. nach Junk-E-Mail verschoben werden. Mir reicht das nicht. (Siehe
auch NoSpamProxy)
Howto zur Einrichtung auf Exchange 2007: E2K7 Antispam
Achtung:
IMF 2.0 ist Bestandteil von Exchange 2003 SP2. Ein gesonderter Download ist
nicht mehr erforderlich. Wer IMF1.0 installiert hat, muss diese Software vor der
Installation von SP2 über die Systemsteuerung entfernen.
Bilder zur Aktivierung finden Sie weiter unten.
Beachten Sie, dass Out of Office-Regeln ausgeführt werden, auch wenn IMF auf dem Postfachserver die Nachricht in den Junk-E-Mail Ordner verschiebt.
Das Thema Spam beschäftigt schon einige Jahre die Nutzer von E-Mail. Hier kann auch Microsoft nicht untätig bleiben und rüstet Exchange mit einigen Funktionen nach. Microsoft nutzt dazu drei Techniken:'
- Outlook 2003 Junk-Mail Filter
Outlook 2003 nutzt einen clientbasierten Spamfilter, um eingehende Nachrichten in einen Junk-Mail Ordner zu verschieben. Durch die Implementation im Client werden trotzdem alle Mails erst mal im Posteingang abgelegt.
Siehe auch Outlook Spamschutz - Intelligent Message Filter
Die gleiche Filtertechnik wird als IMF für den Einsatz auf dem Server nachgeliefert. Damit werden die Spam Nachrichten schon auf dem Server analysiert, gekennzeichnet und verlagert
http://www.Microsoft.com/technet/prodtechnol/exchange/downloads/2003/imf/default.mspx - CallerID
Microsoft arbeitet auch mit SPF zusammen um einen gemeinsamen Standard zur Qualifizierung der einliefernden Mailserver zu erstellen. - SenderID in Exchange 2003 SP2
http://msexchangeteam.com//archive/2005/10/13/412487.aspx -
http://msexchangeteam.com//archive/2005/08/24/409730.aspx
Exchange Server 2003 Service Pack 2 (SP2) anti-spam features - order of execution -
http://msexchangeteam.com//archive/2005/07/18/407838.aspx
Exchange 2003 Server Service Pack 2 (SP2) Anti-Spam Framework
IMF Lizenz und Download
Anfangs war von Microsoft vorgesehen, dass IMF nur von Firmen genutzt werden darf, die einen Vertrag mit "Software Assurance" angeschlossen haben. Dies ist nicht mehr der Fall. IMF steht allen Exchange 2003 Kunden "kostenlos" zur Verfügung.
- Exchange Produktseite
http://www.Microsoft.com/exchange/downloads/2003/imf/default.asp
http://www.Microsoft.com/technet/prodtechnol/exchange/downloads/2003/imf/default.mspx - Bereitstellungshandbuch für Microsoft Exchange Intelligent Message Filter http://www.Microsoft.com/technet/prodtechnol/exchange/2003/library/imfdeploy.mspx
- Download DEUTSCH
http://www.Microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=C1B08F7B-8CAF-4147-B074-8C9C8F277071 - Download Englisch
http://www.Microsoft.com/downloads/details.aspx?FamilyId=C1B08F7B-8CAF-4147-B074-8C9C8F277071&displaylang=en - Readme zu IMF
http://go.Microsoft.com/fwlink/?LinkId=28271 - Deployment Guide
http://go.Microsoft.com/fwlink/?LinkId=27922
Bitte lesen sie auch unbedingt das Handbuch zum Produkt. Die folgende Information ist nur ein kurzer Einstieg
IMF Deinstallation
Wenn Sie IMF jedoch wieder deinstallieren wollen, dann sollten sehr genau wissen, welcher Benutzer IMF installiert hat. Denn nur wenn dieser Benutzer angemeldet ist, sehen Sie in den Einstellungen unter Software auch die Deinstallationsroutine.
Sollte das nicht gehen, dann könnte ihnen der folgende BLOG-Eintrag weiterhelfen
- Update: Manually removing IMF v1
http://exchangepedia.com/blog/2006/11/update-manually-removing-imf-v1.html
Die Schritte zur manuellen Deinstallation von IMF 1.0
- Alle Exchange Dienste Stoppen
Die betrifft nicht nur den Informationsspeicher, sondern auch SMTP und sonstige Antivirenprodukte., die sich in Exchange einbinden - Ordner C:\Programme\Exchsrvr\bin\MSCFV1 umbenennen
Hier wurden die IMF V1-Dateien abgelegt. Löschen Sie den Ordner erst später, wenn die manuelle Deinstallation von IMF1 und die Installation von Exchange 2003 SP2 erfolgreich war. - Umbenennen von ContentFilter.dll file in \Exchsrvr\bin\
Damit wird verhindert, dass beim nächsten starte diese alte DLL wieder verwendet wird. Auch diese DLL sollten Sie nicht sofort löschen. - Regedit: Export von
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange
Als Sicherung sollten die diesen Zweig als REG-Datei exportieren - Regedit: Löschen von
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\ControlFilterVersion
Diesen Teilbaum sollten Sie entfernen - Server neu starten und Service Pack installieren
Nach dem Neustart sollen Sie Exchange 2003 SP2 problemlos installieren können.
IMF im Einsatz
Der IMF Filter analysiert die eingehenden Nachrichten anhand einiger von Microsoft aufgestellten Regeln. Die Regeln sind angeblich identisch zu den Clientregeln von Outlook 2003. Diese Regeldatenbank muss immer mal wieder aktualisiert werden.
Dazu nimmt er aber auf jeden Fall die Nachrichten erst an. Es ist nicht notwendig auf ALLEN Servern die IMF-Filter zu installieren. Es ist ausreichend, wenn eine eingehende Nachricht bei einem Exchange Server geprüft wird. Bei größeren Installationen ist es natürlich sinnvoll, dass eine Mail sehr früh analysiert wird. Nach der Analyse wird eine Wahrscheinlichkeit für Spam der Mail in einem verborgenen Feld hinzugefügt.
IMF 1.0 Konfiguration
An globaler Stelle werden die entsprechenden Schwellwerte eingestellt, ab wann eine Mal als Spam erkannt wird.
Die Funktion der Erkennung muss auf jedem virtuellen Server explizit erst aktiviert werden.
Ab dem Moment profitieren alle Nutzer von einer serverbasierten Verschiebung von Werbemails in den Junk-Mail Ordner. Also auch bei Nutzung von OMA, OWA oder ActiveSync. Allerdings ist auch das Problem denkbar, dass erwünschte Nachrichten ungesehen in "Junk-Mail" landen. Besonders wenn Sie viele Werbemails erhalten und gefiltert werden, wird das Problem schwerwiegender.
Den Erfolg der Installation und die Aktivieren können Sie im Eventlog kontrollieren:
Weitere Events im Umfeld des IMF sind.
Quelle |
EventID |
Beschreibung |
MSIInstaller |
1005 |
Der Windows Installer hat einen Neustart des Systems initiiert, um die Konfiguration von "Intelligenter Nachrichtenfilter von Microsoft Exchange" fortzusetzen bzw. abzuschließen. |
MSIInstaller |
11707 |
Produkt: Intelligenter Nachrichtenfilter von Microsoft Exchange |
MSIInstaller |
1005 |
Der Windows Installer hat einen Neustart des Systems initiiert, um die Konfiguration von "Intelligenter Nachrichtenfilter von Microsoft Exchange" fortzusetzen bzw. abzuschließen. |
IMF 2.0 Aktivierung
Seit Exchange 2003 SP2 wird IMF 2.0 automatisch mit installiert. Aber auch IMF 2.0 ist per Default erst einmal deaktiviert. Es muss auch erst aktiviert werden. Dazu müssen Sie zuerst die Eigenschaften des virtuellen SMTP-Servers bearbeiten.
Unter den erweiterten Einstellungen sehen Sie nicht nur die zugewiesenen IP-Adressen, sondern auch, ob Filter aktiviert sind. Bei ihnen dürfte da noch ein "Nein" stehen.
Über den Punkt "Bearbeiten" können Sie dann die gewünschten Filter aktivieren
Über diesen Weg wird nicht nur IMF 2.0 aktiviert, sondern auch die anderen Filter (RBL, Empfängerfilter etc.) müssen hier aktiviert werden. Wenn Sie mehrere virtuelle SMTP-Server haben, dann müssen Sie diese Einstellung je Instanz durchführen.
Mit IMF2 können Sie sogar über eine XML-Datei eigene Wortlisten etc. erhalten kann. Details finden sich in den SP2 Release Notes unter http://download.Microsoft.com/download/F/B/5/FB5C54AF-FE5C-48E9-BE97-F9E8207325AB/DE_Ex_2003_SP2_RelNotes.htm
Allerdings steht in den Release Notes zum Service Pack 2 auch:
"Microsoft Exchange Intelligent Message Filter Exchange
Server 2003 SP2 erstellt während des Updates von Exchange Server 2003 oder
Exchange Server 2003 SP1 den Registrierungsschlüssel mit dem Namen
ContentFilter unter HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange nicht,
wenn Intelligent Message Filter, Version 1, zuvor nicht installiert wurde. Um eine erweiterte Funktionalität zu ermöglichen (z. B. ändern des
Archivverzeichnisses), müssen daher der Schlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Exchange\ContentFilter manuell
erstellt und der SMTP-Dienst erneut gestartet werden."
http://download.Microsoft.com/download/F/B/5/FB5C54AF-FE5C-48E9-BE97-F9E8207325AB/DE_Ex_2003_SP2_RelNotes.htm
Sie sehen also, es ist immer eine gute Idee, zumindest die Release Notes zu lesen und nicht einfach ein Setup zu starten.
IMF Internals
Anhand diese Felds "X-SCL" entscheidet später der Postfachserver, ob die Mail im Posteingang oder im Junkmail landet.
Ein Server mit installiertem IMF prüft die Existenz dieses Headers ab. Ist er vorhanden.
- X-SCL Header für Microsoft IMF
http://msdn.Microsoft.com/library/default.asp?URL=/library/en-us/e2k3/e2k3/ast_anti_spam.asp - Spam Confidence Level
http://msdn.Microsoft.com/library/default.asp?URL=/library/en-us/e2k3/e2k3/ast_spam_confidence_level.asp - Exchange 2003 Spam-Infrastruktur
http://msdn.Microsoft.com/library/default.asp?URL=/library/en-us/e2k3/e2k3/ast_anti_spam_infrastructure.asp - Turning on Filter Junk Email in Exchange 2007 via an OWA Script
http://gsexdev.blogspot.com/2007/07/turning-on-filter-junk-email-in.html
Allerdings sollten Sie wissen, dass die IMF-Logik nur greift, wenn die Einlieferung per SMTP über nicht authentifizierte Verbindung erfolgt. Wenn sich ein Absender über SMTP anmeldet oder die Mail von einem Exchange Server zum anderen Server innerhalb der Organisation über Connectoren übertragen wird, dann erfolgt keine erneute IMF-Bewertung.
Statt dessen wird der SCL-Level von einem Server zum anderen als Bestandteil der "xexch50"-Blob übertragen. Sobald Sie also zwischen zwei Exchange Servern ein Relay schalten, dann wird der SCL-Level nicht übertragen und das Empfängersystem wird erneut eine SCL-Ermittlung starten, sofern die Übertragung anonym erfolgt.
Damit wissen Sie nun aber auch, wie sie z.B. eine 100%tige Zustellung von Systemdiensten und anderen internen SMTP-Sendern erreichen können: Die Absender müssen sich bei Exchange 2000/2003 einfach nur per SMTP authentifizieren. Alle Nachrichten von authentifizierten Absendern erhalten den SCL -1 und werden daher nie als Spam behandelt. Leider gibt es noch viel zu viele Systeme, die zwar per SMTP eine Mail versenden können aber eine Anmeldung nicht unterstützen. Dann bleibt ihnen nur einen weiteren Mailserver ohne IMF zu konfigurieren oder ein Relay zur Authentifizierung einzusetzen.
IMF und Filter der Absenderdomain
Man kann seit Exchange 2003 mit IMF eine Liste der Domänen pflegen von der man keine Mail annehmen will. für mich ist es verwunderlich, welchen Schutz dies bieten soll, da ich die Absenderadresse und die Domain sehr einfach fälschen kann (Fälschung) Aber wenn Sie viele Einträge pflegen wollen, dann ist eine manuelle Pflege in der GUI natürlich nicht effektiv. Sie müssen aber nur wissen, wo die Daten gespeichert sind.
Die Daten stehen in der Konfigurationspartition im Active Directory.
Feld: msExchTurfListNames Object: CN=Default Message Filter, CN=Message Delivery, CN=Global Settings, CN=<orgname>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=deindomain,DC=tld
Über eine LDIF-Datei kann ich die Liste der Domäne einfach importieren. Hier eine Beispiel LDF-Datei zum Anpassen:
dn: CN=Default Message Filter,CN=Message Delivery,CN=Global Settings,CN=<orgname>, CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=msxfaq,DC=local changetype: modify replace: msExchTurfListNames msExchTurfListNames: spammer@spamdomain2.de msExchTurfListNames: *@spammer.de
Der Import erfolgt dann über die Kommandozeile
LDIFDE -i -f dateiname
IMF Custom Weight Feature mit MSExchange.UCEContentFilter.xml
Auch wenn die Anpassung von IMF selten erforderlich ist, so kann es doch mal passieren, dass man bestimmte Domains "Allowlisten" möchte, auch wenn ich das für keine Gute Idee halte, da Spammer "besondere" Domains natürlich auch missbrauchen. Wenn Sie also unbedingt die Mails von eBay erhalten wollen, dann ist das ein wenig geeigneter Weg.
Es beginnt damit, das Sie eine Datei "MSExchange.UCEContentFilter.xml" anlegen und dort die Werte entsprechend eintragen
<?xml version="1.0" encoding="UTF-16"?> <CustomWeightEntries xmlns="http://schemas.microsoft.com/2005/CustomWeight"> <CustomWeightEntry Type="BOTH" Change="1" Text="MSXFAQ Newsletter"/> <CustomWeightEntry Type="BODY" Change="-2" Text="Net at Work"/> <CustomWeightEntry Type="BODY" Change="-7" Text="Frank Carius"/> <CustomWeightEntry Type="SUBJECT" Change="MIN" Text="Backupbericht"/> <CustomWeightEntry Type="SUBJECT" Change="MAX" Text="SPAM"/> </CustomWeightEntries>
Beachten Sie, dass Sie diese XML-Datei mit Notepad bearbeiten können aber unbedingt als UNICODE im Zielverzeichnis: "C:\ProgrammeFiles\Exchsrvr\bin\MSCFV2\6.5.7942.0" abspeichern müssen.
Als zweiten Schritt müssen Sie noch die DLL auf dem Server registrieren
regsvr32 MSExchange.UCEContentFilter.dll
Damit wird nun jede Mail auch gegen diese Parameter geprüft und der SCL entsprechend dem XML-Wert entsprechend geändert. Wenn man dies dann mit einer "Move to Junk-Mail"-Einstellung kombiniert, sollte es ihnen auch möglich sein, Mails mit "SPAM"-Tags von vorgelagerten Gateways direkt in den Junk-E-Mail Ordner abzulegen.
Diese Funktion gibt es erst seit Exchange 2003 SP2. Im Readme zum SP2 finden Sie weitere Hinweise zur Konfiguration der XML-Datei
- Exchange Server 2003 Aktualisieren des Intelligenten
Nachrichtenfilters von Exchange Server
http://technet.microsoft.com/de-de/library/aa998975(EXCHG.65).aspx - http://www.microsoft.com/technet/technetmag/issues/2006/10/WeightLists
- http://technet.microsoft.com/en-us/magazine/cc160903.aspx
- http://blogs.technet.com/b/exchange/archive/2006/04/12/425060.aspx
- http://blogs.mcbsys.com/mark/post/Exchange-IMF-and-Custom-Weight-Lists.aspx
- http://dnn.mssbsfaq.de/SBS2003/Exchange2003/HOWTOCustomweightingFktdesIMFkonfigurieren/tabid/689/language/de-DE/Default.aspx
- http://exchangepedia.com/blog/2006/12/imf-wheres-Allowlist.html
- 907974 Event ID 7514 is logged in the Application log when you enable the custom word list feature
"Junk E-mail Rule"
Eine Schlüsselkomponenten bei der Verarbeitung von Junk E-mails auf dem Exchange Server sind die Regeln im Postfach. Wenn Sie mit MFCMAPI mal etwas genauer im Posteingang die verborgenen Nachrichten anzeigen lassen, dann finden Sie auch eine "Junk E-mail Rule". Diese Junk-E-Mail Regel wird durch Outlook 2003/2007 oder OWA beim ersten Zugriff des Benutzers erstellt und enthält auch die Konfiguration des Clients.
Ist diese Regel nicht vorhanden, dann wird auf diesem Postfach auch nicht die Serverlogik aktiv, um Nachrichten schon auf dem Server in den Ordner "Junk E-Mail" zu verschieben. Ohne diese Regel wird dann maximal der Outlook Client mit seinem Clientfilter die Nachrichten erkennen und verschieben. Manchmal ist diese Regel korrupt. Dann kann ein Löschen mit MFCMAPI dies korrigieren. Leider ist der Aufbau der Regel nicht bekannt und sie kann auch nicht in Outlook selbst direkt bearbeitet werden. Allerdings werden wohl hier auch Einstellungen zu Safe Sender etc. hinterlegt.
Leider legt Outlook 2003 im online Mode diese Regel nicht automatisch an, sondern erst wenn der Benutzer über die Optionen an den Spamschutzeinstellungen etwas ändert. Über OWA muss man ebenfalls in den Optionen den Spamschutz erst aktivieren. Outlook 2003 im Cached Mode setzt die Regel alleine. Alle älteren Outlooks wissen nicht, wie man die Regel setzt. Vielleicht erklärt dies, warum in einigen Postfächern der Exchange Store keine Junk-E-Mails selbst sofort verschiebt.
- 832358 Duplicate junk e-mail messages appear in the Junk E-mail folder in Outlook 2003
- IMF and the Junk E-mail folder in Outlook
http://blogs.technet.com/evand/archive/2005/01/31/363935.aspx
Details über die Junk-E-Mail regeln und wie man sie auf allen Postfächern setzen kann
IMF und SafeSender
Als Anwender von Outlook können Sie auch Absender als "Safe" kennzeichnen. Outlook speichert diese Safe-Sender-Liste im Postfach mit ab. Ein Prozess, der auf dem Exchange 2007 Server manuell zu starten ist, sammelt diese Daten ein und publiziert diese im Active Directory. Hier ein Auzug
dn: CN=Carius\, Frank,OU=Technik,OU=Abteilung,DC=netatwork,DC=de msExchSafeRecipientsHash:: CQzfHyoji9eQ9M/b msExchSafeSendersHash:: vPYDAMDNDwAH1hoA/o9FAN91TADpLk0AlfdeAE4aXwBpXn4ApPODAKMcpwCRk7sAf3nQAFEN+QBeaA kBBkwYAdFrHwF9CyMBpA9bAePOZQHIn4oBO92XAaXKvgHELsIBV+3JAUMS1AH+KvcBeI4IAkfCHgJJ aE4CH2yQAnltqAIV0qoCbCKwAoy/vAJmx8ECbgPXAkiv/QKo7RQDIzUuA7AGewP9MpMD3LmeAy....
Diese Daten können dann über den Edge-Sync-Prozess zum Edge-Server übertragen werden, so dass er bestimmte Empfänger "white-listed."
IMF und Windows Update
Eine wesentliche Komponente von IMF ist die Datenbank mit den Mustern zur Erkennung der Werbenachrichten, die natürlich immer mal aktualisiert werden muss. Das kann Exchange selbst machen bzw. der Windows Update Dienst direkt von Microsoft oder über den WSUS-Server. Wenn Sie aber mit dem Internet Explorer auf die Windows Update Webseite gehen, dann finden Sie erst mal keine Update für IMF. Aber auch hierfür gibt es einen Trick:
Auf der Seite http://www.Microsoft.com/technet/prodtechnol/exchange/2003/articles/watercooler.mspx steht, wie Sie diese Anzeige auch aktivieren. Sie müssen dazu einfach einen Registrierungsschlüssel setzen
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange] "ContentFilterState"=dword:00000001
Alternativ hier eine REG-Datei, die Sie beim Download mit der Endung. ".REG" speichern und durch einen Doppelklick importieren können:
Wenn Sie dann das nächste mal auf dem Exchange Server auf Windowsupdate surfen, dann finden Sie unter dem Produkt "Exchange Server" die aktuellen Exchange IMF Updates, sofern es welche zu installieren gibt.
(Vielen Dank an Heinrich Haskamp für den Tipp und das Bild)
Auch im Exchange Team-Blog gibt es Tools für das Update
- Microsoft Update VBScript zur Aktualisierung von IMF2
http://blogs.technet.com/b/exchange/archive/2006/04/12/425060.aspx - Demystifying Exchange Server 2003 SP2 IMF Updates
http://blogs.technet.com/b/exchange/archive/2006/04/12/425060.aspx
VBscript zum automatischen Update
IMF und interne Sender
Mit der Kenntnis um die interne Funktion von IMF, bzw. dass nur anonyme Verbindungen per SMTP "bewertet" werden, wissen Sie nun auch, wie Sie z.B. ihren Faxserver per SMTP anbinden, damit dessen Nachrichten nicht als Spam erkannt und vielleicht abgelehnt werden. Dazu gibt es folgende Optionen
- SMTP Authentifizierung
Der Faxserver wird so konfiguriert, dass eingehende Faxe per SMTP mit Anmeldung an Exchange übermittelt werden (Siehe SMTP authentifiziert senden) - Eigener virtueller SMTP-Server ohne IMF
Kann der Absender kein SMTPAUTH, dann kann alternativ ein z.B. ein weiterer virtueller SMTP-Server eingerichtet werden, auf dem IMF nicht aktiviert wird. Damit nun dieser Server natürlich nicht jedem zur Verfügung steht, sollte hier z.B.: über IP-Beschränkungen nur die Erreichbarkeit für erlaubte Absendersysteme sichergestellt werden
Über diese Möglichkeiten können Sie auch interne "vertraute" Systeme eine ungestörte Übermittlung von Nachrichten an Exchange erlauben, ohne IMF komplett zu deaktivieren.
IMF und POP3Connector
Wenn ihr Exchange Server die Mails nicht direkt empfängt, sondern ein POP3-Sammelkonto ihr Posteingang ist, dann sollten Sie sich genau den POP3-Helfer anschauen, der die Nachrichten vom Providerpostfach abholt und an ihren Exchange Server versendet. Hier gibt es zwei Fallstricke:
- IMF Ablehnung bei SMTP-Eingang
Die meisten POP3-Sammelprogramme senden die Nachrichten dann per SMTP an ihren Exchange Server. Sie dürfen nicht die Funktion des Ablehnens (Reject) von IMF nutzen, da Sie die Mail ja bereits vollständig empfangen haben. Würde nun IMF die Mail ablehnen, dann versuchen es die meisten POP3-Sammler einfach eine erneute Zustellung oder verwerfen die Mail. (Sie ist also dann einfach gelöscht). Ich kenne keinen POP3-Sammler, der eine unzustellbarkeit an den Absender generiert. - CDO statt SMTP
Der POP3 Connector des Small Business Service (SBS) stellt die Nachrichten nicht per SMTP an ihren Exchange Server zu, sondern über CDO und damit der "End of Data" Event sink von SMTP nicht greift, welcher IMF nutzt. Solche Mails werden als überhaupt nicht durch IMF auf dem Server verarbeitet.
Vielleicht sollten Sie sich neben all en anderen Problemen von POP3 Sammelkonten (POP3 Probleme) einen alternativen Weg der Anbindung suchen.
IMF und Performance Monitor
Die Funktion des IMF lässt sich auch mit Perfmon überwachen. Allerdings muss dabei beachtet werden, dass nach der Installation die entsprechenden Counter noch nicht vorhanden sind. Damit IMF die gewünschten Performance Counter anlegt, muss IMF erst auf dem virtuellen SMTP-Server aktiviert werden undeine Mail über SMTP empfangen worden sein.
IMF legt erst dann die Counter an und protokolliert dazu im Eventlog die Meldung
Ereignistyp: Informationen Ereignisquelle: LoadPerf Ereigniskategorie: Keine Ereigniskennung: 1000 Die Leistungsindikatoren für den Dienst MSExchangeUCF (MSExchangeUCF) wurden geladen. Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.
Erst dann können Sie mit Perfmon die Statistik anschauen.
Sie sehen die absolute Anzahl an Mails sortiert nach dem SCL-Wert zwischen 0 und 9. Diese Grafik sieht je nach ihrer "Spamrate" natürlich unterschiedlich aus. Hier mal drei Beispiele:
|
Eine Firma mit sehr wenig Spam oder einem davor geschalteten
Spamfilter, so dass bei IMF nicht mehr so viel ankommt. Allerdings könnte solche ein Bild auch erscheinen, wenn die IMF-Erkennung nicht mehr effektiv die Mails klassifizieren kann oder ihr System überwiegend interne Mails von vertrauenswürdigen Systemen bekommt. |
|
Das durchschnittliche Bild für die Spam Thematik heute. In den meisten Fällen halten sich gute Mails und Spams von Volumen Her die Waage bzw. der gute Anteil überwiegt. |
|
Eine durch Spam sehr stark belastete Firma. Deutlich ist das
Missverhältnis zwischen wenig als 0-4 klassifizierten Nachrichten und
sehr vielen als 8 und schlechter eingestuften Nachrichten zu sehen.
Wobei diese Bild sich wunderbar für die Bestimmung eines SCL-Werts für IMF herziehen lässt. Es ist gut zu sehen, dass ein SCL-Wert von 6,5 oder 4 nicht wirklich mehr Spam Mails blockiert aber das Risiko einer falsch klassifizierten Mail natürlich stark zunimmt. In diesem Fall wäre vermutlich ein SCL von 7 ein passabler Wert, wenn Sie die Mail ablehen können oder 8, wenn Sie das False Positive Risiko aufgrund dem Einsatz der Quarantäne "Junk-E-Mail" minimieren müssen. |
Allerdings kann der Performance Monitor nur die Werte nur so anzeigen, wie dieser Sie auch erkannt hat. Wird eine Mail durch SmartScreen nicht als Spam erkannt, dann hat die einen zu guten Wert.
Erfahrungen mit IMF
Nun kann man Microsoft entweder blind vertrauen oder man möchte IMF installieren, aber in den ersten Tagen erst mal nur "zuschauen". Da stellt sich die Frage, wie der SCL-Wert angezeigt werden kann. Outlook bietet hierzu erst einmal keine Möglichkeit, aber dank Paul Bowden gibt es auch hier Abhilfe. So können Sie den SCL der Nachrichten selbst ansehen und später dann die Kriterien einstellen, ab welcher Stufe ihr IMF diese Nachrichten blockieren oder nach Junk-Mail schieben soll.
IMF Add-ons
Aufgrund der Einschränkungen von IMF gibt es natürlich Dritthersteller, die teils kostenfrei, teils als kommerzielle Erweiterung Funktionen ergänzt haben.
-
Mailbox Manager
Ganz kostenfrei mit Exchange gibt es den Mailbox Manager, um ausgewählte Ordner von zu alten Daten zu leeren. - IMFCompanion
http://stoekenbroek.com/imfcompanion.htm
Viewer für ARCHIVE-Verzeichnis, in dem "suspekte" Mails landen - Webseite um Mails aus dem IMF Archiv wieder loszulassen http://hellomate.typepad.com/exchange/2004/06/imf_archive_man.html
- IMF Archiv Viewer 2.0
http://workspaces.gotdotnet.com/imfarchive
http://www.gotdotnet.com/Workspaces/Workspace.aspx?id=e8728572-3a4e-425a-9b26-a3fda0d06fee
(Eventuell müssen Sie Sich mit Passport anmelden und dann im Workspace Directory nach IMF suchen
Auf der Webseite von GotDotNet findet sich auch eine Hilfsanwendung "IMF Archiv Viewer", welche in das Archiv Verzeichnis ihres virtuellen SMTP-Servers schaut und ihnen die gefilterten Nachrichten anzeigt. Weiterhin kann der Archiv Viewer ausgewählte Nachrichten aus dem Archiv wieder in umlauf bringen und damit dem Anwender zustellen. Damit ist dann auch eine Kontrolle der Quarantäne mit Freigabe von False Positive-Nachrichten möglich. - NEMX Erweiterung (Kommerziell)
http://www.nemx.com/products/powertools/ExchangeIMF.asp
Erweitert IMF um einige Funktionen, z.B.: Allowlisting - Kommerzielles Tool zum Extrahieren der Spams aus dem IMFArchiv zur Analyse und Resubmit durch den User http://www.sirana.com/products/spamcenter/
- IMFStats 40 US-$
http://www.digitallabs.net/imfs
Kleines Tool, welches aber meiner Ansicht nach nicht mehr Ergebnisse als Perfmon liefert - IMFTune
Kommerzielles IMF Add-on
www.windeveloper.com/imftune
Offene Fragen
So schön die Funktion des IMF aussieht, so bleiben einige Fragen offen bzw. einige Optionen sind nicht verfügbar:
- Mangelnde Transparenz
Es ist nicht ersichtlich, nach welchen Kriterien und Regeln der Filter eine Spam-Nachricht erkennt. Angeblich "lernt" er sogar selbst. Wo steht diese Datenbank und was kann der Administrator tun, wenn eine Mail irrtümlich geblockt wird ? - Update
An keiner Stelle ist ersichtlich, wie die Regeldatenbank aktualisiert wird. Anders als bei Virenscannern gibt es keinen Weg, immer wieder neue "Patterns" zu laden. - Globale Einstellung
Es ist anscheinend nicht möglich, die Einstellungen der Schwelle oder der Analyse feiner zu steuern. Die gesamte Organisation wird über einen Kamm geschoren. Es ist nicht möglich, Pro Benutzer, Gruppe, Speichergruppe, Server, Empfängerrichtlinie oder anderen Kriterien eine Auswahl zu treffen. Damit wird diese - Keine Clientsteuerung
Die Anwender selbst haben keine Chance, eigene Einstellungen vorzunehmen. Nicht mal eine eigene Allowlist ist möglich. - False Positive
Viele Nutzer werden es als bequem befinden, dass angebliche Spams direkt in Junk-Mail landen. Nur ist der Filter von Hause aus auf Stufe 8 relativ "schwach" eingestellt. Aber selbst hierbei hatten wir schon am ersten Tag einige wichtige Mails in den Junk-Mail Order verschoben. Aber selbst in der schwachen Stellung kommen sehr viele Junkmails weiterhin durch. Der Junkmail-Filter in Outlook ist daher ebenfalls notwendig. - Neue Techniken
Anscheinend nutzt IMF weder die eigenen Techniken wie MARID, SPF/CallerID noch neue Filter (Unscharfe Prüfsummen, DCC etc.). Ein Contentscanner oder Bayes-Ffilter wird auf Dauer nicht bestehen können, da die Wege zum Austricksen schon beschrieben sind und auch genutzt werden.
Ich denke IMF ist eine nette Funktion und die API und Bereitstellung eines Standards ist hilfreich für andere Firmen, die flexiblere und leistungsfähigere Systeme entwickeln können. So könnten andere Produkte ebenfalls den X-SCL-Header setzen und damit die Funktion des Store nutzen, solche Nachrichten in Junk-Mail abzulegen. Die Zukunft wird zeigen, wie leistungsfähig die nächsten Filter von Microsoft sind.
Weitere Links
- NoSpamProxy
- Spam und UCE
- Microsoft Spamschutz
- BLOG
http://blogs.msdn.com/evand/archive/2005/01/31/363935.aspx
Code: SCL-Skript - Tired of spam? Find out about the upcoming Exchange Server Intelligent
Message Filter
http://www.Microsoft.com/exchange/techinfo/security/imfoverview.asp - SmartScreen Technologie
http://go.Microsoft.com/fwlink/?LinkId=25910 - Bereitstellungshandbuch für Microsoft Exchange Intelligent Message Filter http://go.Microsoft.com/fwlink/?LinkId=27922
- http://www.Microsoft.com/presspass/features/2003/nov03/11-17spamfilter.asp
-
Protocol Sink Template
http://msdn.Microsoft.com/library/default.asp?URL=/library/en-us/e2k3/e2k3/ast_protocol_sink_template.asp
The protocol sink template supports three actions für messages assigned an SCL value higher than the Block Threshold:
- No Action. The message is stamped with an appropriate SCL rating and allowed into the organization.
- Reject. The message is not accepted and the connecting server is responsible für generating the non-delivery report (NDR).
- Delete. The message is accepted and subsequently deleted. There is no notification sent to the sender or recipient that the message has been deleted. -
IMF Technet Magazin Jan/Feb 2006 New Weapons In The Fight Against Spam
http://www.Microsoft.com/technet/technetmag/issues/2006/01/NewWeapons/default.aspx -
IMF Funktionsweise im Detail
http://blogs.technet.com/b/exchange/archive/2005/07/18/407838.aspx - http://www.MSExchange.org/tutorials/Microsoft-Exchange-Intelligent-Message-Filter.html
-
IMF auf dem Exchange Blog
http://msgoodies.blogspot.com/2004/10/intelligent-messaging-filtering.html - JunkMail Ordner Anlegescript per HTTP
http://blogs.technet.com/evand/archive/2005/01/31/363935.aspx - Erweiterungen für IMF
http://www.nemx.com/products/powertools/HowTo/ExchangeSCL.asp - IMFTune
http://www.windeveloper.com/imftune/default.htm - IMF2 Aktivierungsanleitung
http://www.vladville.com/articles/exchangesp2imf.asp - Turning on Filter Junk Email in Exchange 2007 via an OWA Script
http://gsexdev.blogspot.com/2007/07/turning-on-filter-junk-email-in.html - IMF v2 - will not move to Junk-e-Mail folder
http://www.tech-archive.net/Archive/Exchange/microsoft.public.exchange.admin/2006-05/msg02917.html - Enabling Junk Email through OWA
http://www.exchangeinbox.com/articles/007/enablejunk.htm - Bringing Together the Exchange Anti-SPAM Cocktail
http://www.exchangeinbox.com/article.aspx?i=25