Freigeben über

Informationen zur Kopfzeilenfirewall

  • Artikel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Letztes Änderungsdatum des Themas: 2007-09-13

In Microsoft Exchange Server 2007 ist die Kopfzeilenfirewall ein Mechanismus, der bestimmte Kopfzeilenfelder aus ein- und ausgehenden Nachrichten entfernt. Computer mit Exchange 2007 Exchange Server 2007, auf denen die Serverfunktion Hub-Transport oder Edge-Transport installiert ist, fügen benutzerdefinierte X-Kopfzeilenfelder in die Nachrichtenkopfzeile ein. Eine X-Kopfzeile ist ein benutzerdefiniertes, inoffizielles Kopfzeilenfeld, das in der Nachrichtenkopfzeile vorhanden ist. X-Kopfzeilen werden in RFC 2822 nicht ausdrücklich erwähnt, doch die Verwendung eines nicht definierten Kopfzeilenfelds, das mit "X-" beginnt, hat sich zu einer akzeptierten Methode entwickelt, um einer Nachricht inoffizielle Kopfzeilenfelder hinzuzufügen. Messaginganwendungen, wie z. B. Antipsam-, Antivirus- oder Messagingserveranwendungen, können einer Nachricht ihre eigenen X-Kopfzeilen hinzufügen. X-Kopfzeilenfelder bleiben zwar normalerweise erhalten, werden aber von Messagingservern und -clients, die keine X-Kopfzeilenfelder verwenden, ignoriert.

Die X-Kopfzeilenfelder enthalten Einzelheiten zu den Aktionen, die durch den Transportserver für die Nachricht ausgeführt werden, z. B. für die SCL-Bewertung (Spam Confidence Level), die Ergebnisse der Inhaltsfilterung und den Status der Regelverarbeitung. Die Offenlegung solcher Informationen gegenüber nicht autorisierten Quellen kann ein potenzielles Sicherheitsrisiko darstellen.

Die Kopfzeilenfirewall verhindert das Spoofing dieser X-Kopfzeilen, indem diese aus eingehenden Nachrichten entfernt werden, die aus nicht vertrauenswürdigen Quellen in die Exchange-Organisation gelangen. Die Kopfzeilenfirewall verhindert die Offenlegung dieser X-Kopfzeilen, indem diese aus ausgehenden Nachrichten entfernt werden, die an nicht vertrauenswürdige Ziele außerhalb der Exchange-Organisation adressiert sind. Die Kopfzeilenfirewall verhindert außerdem das Spoofing von Standardroutingkopfzeilen, die zum Verfolgen des Routingverlaufs einer Nachricht verwendet werden.

In Exchange 2007 verwendete benutzerdefinierte Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen

Organisations-X-Kopfzeilen beginnen mit "X-MS-Exchange-Organization-". Gesamtstruktur-X-Kopfzeilen beginnen mit "X-MS-Exchange-Forest-".

Tabelle 1 beschreibt einige der Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die in Nachrichten in einer Exchange 2007-Organisation verwendet werden.

Tabelle 1   Auswahl der Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die in Nachrichten in einer -Organisation verwendet werden

X-Kopfzeile Beschreibung

X-MS-Exchange-Forest-RulesExecuted

Diese X-Kopfzeile listet die Transportregeln auf, die für die Nachricht ausgeführt wurden.

X-MS-Exchange-Organization-Antispam-Report

Diese X-Kopfzeile ist ein Zusammenfassungsbericht der Ergebnisse der Antispamfilter, die auf die E-Mail-Nachricht durch den Inhaltsfilter-Agent angewendet wurden.

X-MS-Exchange-Organization-AuthAs

Diese X-Kopfzeile ist immer vorhanden, wenn die Sicherheit einer Nachricht bewertet wurde. Diese X-Kopfzeile gibt die Authentifizierungsquelle an. Die möglichen Werte sind Anonymous, Internal, External oder Partner.

X-MS-Exchange-Organization-AuthDomain

Diese X-Kopfzeile wird während der domänensicheren Authentifizierung mit Daten aufgefüllt. Der Wert ist der vollständig qualifizierte Domänenname (FQDN) der remote authentifizierten Domäne.

X-MS-Exchange-Organization-AuthMechanism

Diese X-Kopfzeile listet die Transportregeln auf, die für die Nachricht ausgeführt wurden. Der Wert ist eine zweistellige hexadezimale Zahl.

X-MS-Exchange-Organization-AuthSource

Diese X-Kopfzeile gibt den FQDN des Servercomputers an, der die Authentifizierung der Nachricht für die Organisation ausgewertet hat.

X-MS-Exchange-Organization-Journal-Report

Diese X-Kopfzeile gibt Journalberichte im Transportvorgang an. Sobald die Nachricht den Transportserver verlässt, ändert sich die Kopfzeile in "X-MS-Journal-Report".

X-MS-Exchange-Organization-OriginalArrivalTime

Diese X-Kopfzeile gibt die Uhrzeit an, zu der die Nachricht erstmals in die Exchange-Organisation eingegangen ist.

X-MS-Exchange-Organization-Original-Sender

Diese X-Kopfzeile gibt den ursprünglichen Absender einer Nachricht zu dem Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist.

X-MS-Exchange-Organization-OriginalSize

Diese X-Kopfzeile gibt die ursprüngliche Größe einer Nachricht zu dem Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist.

X-MS-Exchange-Organization-Original-Scl

Diese X-Kopfzeile gibt den ursprünglichen SCL einer Nachricht zu dem Zeitpunkt an, als sie erstmals in die Exchange-Organisation eingegangen ist.

X-MS-Exchange-Organization-PCL

Diese X-Kopfzeile gibt die PCL-Bewertung (Phishing Confidence Level) an. Die möglichen PCL-Werte sind 1 bis 8. Ein größerer Wert weist auf eine verdächtige Nachricht hin. Weitere Informationen finden Sie unter Antispamstempel.

X-MS-Exchange-Organization-Quarantine

Diese X-Kopfzeile gibt an, dass die Nachricht im Quarantänepostfach für Spam isoliert wurde und dass eine Benachrichtigung über den Übermittlungsstatus (Delivery Status Notification, DSN) gesendet wurde. Sie kann auch angeben, dass die Nachricht isoliert und vom Administrator freigegeben wurde. Diese X-Kopfzeile verhindert, dass die freigegebene Nachricht erneut an das Quarantänepostfach für Span übermittelt wird. Weitere Informationen finden Sie unter Wiederherstellen von Nachrichten unter Quarantäne aus dem Quarantänepostfach für Spam.

X-MS-Exchange-Organization-SCL

Diese X-Kopfzeile gibt die SCL-Bewertung der Nachricht an. Die möglichen SCL-Werte sind 0 bis 9. Ein größerer Wert weist auf eine verdächtige Nachricht hin. Der Sonderwert -1 nimmt die Nachricht von der Verarbeitung durch den Inhaltsfilter-Agent aus. Weitere Informationen finden Sie unter Konfigurieren der Inhaltsfilterung.

X-MS-Exchange-Organization-SenderIdResult

Diese X-Kopfzeile enthält die Ergebnisse des Sender ID-Agents. Der Sender ID-Agent verwendet das SPF (Sender Policy Framework) zum Vergleichen der Quell-IP-Adresse der Nachricht mit der Domäne, die in der E-Mail-Adresse des Absenders verwendet wird. Die Ergebnisse der Sender ID werden verwendet, um die SCL-Bewertung für eine Nachricht zu berechnen. Weitere Informationen finden Sie unter Sender ID.

Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen

Exchange 2007 wendet die Kopfzeilenfirewall auf folgende Weise auf Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen an, die in Nachrichten vorhanden sind:

  • Berechtigungen, die zum Beibehalten oder Entfernen bestimmter X-Kopfzeilen in Nachrichten verwendet werden können, werden Sendeconnectors oder Empfangsconnectors zugewiesen.

  • Die Kopfzeilenfirewall wird automatisch für X-Kopfzeilen in Nachrichten während anderer Nachrichtenübermittlungsarten implementiert.

Anwenden der Kopfzeilenfirewall auf Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen in Nachrichten

Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die in eingehenden Nachrichten vorhanden sind, besteht aus zwei besonderen Berechtigungen, die einem Empfangsconnector zugewiesen werden, der auf einem Hub-Transport-Server oder einem Edge-Transport-Server konfiguriert ist:

  • Wenn die Berechtigungen dem Empfangsconnector zugewiesen werden, wird die Kopfzeilenfirewall nicht auf die Nachricht angewendet. Die Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen in Nachrichten bleiben erhalten.

  • Wenn die Berechtigungen nicht auf den Empfangsconnector angewendet werden, wird die Kopfzeilenfirewall auf die Nachricht angewendet. Die Organisations-X-Kopfzeilen oder Gesamtstruktur-X-Kopfzeilen werden aus der Nachricht entfernt.

Tabelle 2 beschreibt die Kopfzeilenfirewall-Berechtigungen für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die für einen Empfangsconnector verfügbar sind.

Tabelle 2   Kopfzeilenfirewall-Berechtigungen für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die für einen Empfangsconnector für eingehende Nachrichten verfügbar sind

Berechtigung Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. Berechtigungsgruppe, in der die Sicherheitsprinzipale Mitglieder sind. Standardmäßig der Verwendungstyp, der dem Empfangsconnector die Berechtigungsgruppen zuweist. Beschreibung

Ms-Exch-Accept-Headers-Organization

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Servercomputer mit Exchange (Hinweis: nur auf Hub-Transport-Servern)

ExchangeServers

Internal

Diese Berechtigung gilt für Organisations-X-Kopfzeilen. Organisations-X-Kopfzeilen beginnen mit "X-MS-Exchange-Organization-". Wenn diese Berechtigung nicht erteilt wird, entfernt der empfangende Server alle Organisationskopfzeilen aus der Nachricht.

Ms-Exch-Accept-Headers-Forest

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Servercomputer mit Exchange (Hinweis: nur auf Hub-Transport-Servern)

ExchangeServers

Internal

Diese Berechtigung gilt für Gesamtstruktur-X-Kopfzeilen. Gesamtstruktur-X-Kopfzeilen beginnen mit "X-MS-Exchange-Forest-". Wenn diese Berechtigung nicht erteilt wird, entfernt der empfangende Server alle Gesamtstrukturkopfzeilen aus der Nachricht.

Wenn Sie die Kopfzeilenfirewall in einem benutzerdefinierten Empfangsconnectorszenario auf Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen anwenden möchten, verwenden Sie eine der folgenden Methoden:

  • Erstellen Sie einen neuen Empfangsconnector, und wählen Sie einen anderen Verwendungstyp als Internal aus. Der Verwendungstyp des Empfangsconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines neuen Empfangsconnectors.

  • Ändern Sie einen vorhandenen Empfangsconnector, und entfernen Sie die Berechtigungsgruppe ExchangeServers. Weitere Informationen finden Sie unter Ändern der Konfiguration eines Empfangsconnectors.

  • Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigung Ms-Exch-Accept-Headers-Organization und die Berechtigung Ms-Exch-Accept-Headers-Forest von einem Sicherheitsprinzipal zu entfernen, der für den Empfangsconnector konfiguriert ist. Diese Methode funktioniert nicht, wenn die Berechtigung dem Sicherheitsprinzipal mithilfe einer Berechtigungsgruppe zugewiesen wurde. Sie können die zugewiesenen Berechtigungen oder die Gruppenmitgliedschaft einer Berechtigungsgruppe nicht ändern. Weitere Informationen finden Sie unter Remove-ADPermission.

  • Verwenden Sie das Cmdlet Add-ADPermission, um einem Sicherheitsprinzipal, der für den Empfangsconnector konfiguriert ist, die Berechtigung Ms-Exch-Accept-Headers-Organization und die Berechtigung Ms-Exch-Accept-Headers-Forest zu verweigern . Weitere Informationen finden Sie unter Add-ADPermission.

Anwenden der Kopfzeilenfirewall auf Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen in ausgehenden Nachrichten

Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die in ausgehenden Nachrichten vorhanden sind, besteht aus zwei besonderen Berechtigungen, die einem Sendeconnector zugewiesen werden, der auf einem Hub-Transport-Server oder einem Edge-Transport-Server konfiguriert ist:

  • Wenn die Berechtigungen dem Sendeconnector zugewiesen werden, wird die Kopfzeilenfirewall nicht auf die Nachricht angewendet. Die Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen in Nachrichten bleiben erhalten.

  • Wenn die Berechtigungen nicht auf den Sendeconnector angewendet werden, wird die Kopfzeilenfirewall auf die Nachricht angewendet. Die Organisations-X-Kopfzeilen und die Gesamtstruktur-X-Kopfzeilen werden aus der Nachricht entfernt.

Tabelle 3 beschreibt die Kopfzeilenfirewall-Berechtigungen für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die für einen Sendeconnector verfügbar sind.

Tabelle 3   Kopfzeilenfirewall-Berechtigungen für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen, die für einen Sendeconnector für ausgehende Nachrichten verfügbar sind

Berechtigung Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. Standardmäßig der Verwendungstyp, der die Sicherheitsprinzipale dem Sendeconnector zuweist. Beschreibung

Ms-Exch-Send-Headers-Organization

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Servercomputer mit Exchange (Hinweis: nur auf Hub-Transport-Servern)

  • Extern gesicherte Server

  • Universelle Sicherheitsgruppe Exchange Legacy Interop

  • Exchange Server 2003- und Exchange 2000 Server-Bridgeheadserver

Internal

Diese Berechtigung gilt für Organisations-X-Kopfzeilen. Organisations-X-Kopfzeilen beginnen mit "X-MS-Exchange-Organization-". Wenn diese Berechtigung nicht erteilt wird, entfernt der sendende Server alle Organisationskopfzeilen aus der Nachricht.

Ms-Exch-Send-Headers-Forest

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Servercomputer mit Exchange (Hinweis: nur auf Hub-Transport-Servern)

  • Extern gesicherte Server

  • Universelle Sicherheitsgruppe Exchange Legacy Interop

  • Exchange 2003- und Exchange 2000-Bridgeheadserver

Internal

Diese Berechtigung gilt für Gesamtstruktur-X-Kopfzeilen. Gesamtstruktur-X-Kopfzeilen beginnen mit "X-MS-Exchange-Forest-". Wenn diese Berechtigung nicht erteilt wird, entfernt der sendende Server alle Gesamtstrukturkopfzeilen aus der Nachricht.

Wenn Sie die Kopfzeilenfirewall in einem benutzerdefinierten Sendeconnectorszenario für Organisations-X-Kopfzeilen oder Gesamtstruktur-X-Kopfzeilen anwenden möchten, verwenden Sie eine der folgenden Methoden:

  • Erstellen Sie einen neuen Sendeconnector, und wählen Sie einen anderen Verwendungstyp als Internal oder Partner aus. Der Verwendungstyp des Sendeconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines neuen Sendeconnectors.

  • Entfernen Sie einen Sicherheitsprinzipal, der die Berechtigung Ms-Exch-Send-Headers-Organization und die Berechtigung Ms-Exch-Send-Headers-Forest zuweist, vom Connector. Weitere Informationen finden Sie unter Ändern der Konfiguration eines Sendeconnectors.

  • Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigung Ms-Exch-Send-Headers-Organization und die Berechtigung Ms-Exch-Send-Headers-Forest von einem der Sicherheitsprinzipale zu entfernen, der für den Sendeconnector konfiguriert ist. Weitere Informationen finden Sie unter Remove-ADPermission.

  • Verwenden Sie das Cmdlet Add-ADPermission, um einem der Sicherheitsprinzipale, der für den Sendeconnector konfiguriert ist, die Berechtigung Ms-Exch-Send-Headers-Organization und die Berechtigung Ms-Exch-Send-Headers-Forest zu verweigern. Weitere Informationen finden Sie unter Add-ADPermission.

Anwenden der Kopfzeilenfirewall auf Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen aus anderen Nachrichtenquellen

Nachrichten können in die Exchange 2007-Transportpipeline auf einem Hub-Transport-Server oder einem Edge-Transport-Server eingehen, ohne dass Sendeconnectors oder Empfangsconnectors verwendet werden. Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen wird auf Nachrichten angewendet, die aus diesen anderen Nachrichtenquellen stammen. Die folgende Liste beschreibt diese Quellen:

  • PICKUP-Verzeichnis   Das PICKUP-Verzeichnis wird von Administratoren oder Anwendungen zum Übermitteln von Nachrichtendateien verwendet. Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen wird immer auf die Nachrichtendateien im PICKUP-Verzeichnis angewendet. Weitere Informationen zum PICKUP-Verzeichnis finden Sie unter Verwalten des Pickupverzeichnisses.

  • Wiedergabeverzeichnis   Das Wiedergabeverzeichnis wird zum erneuten Übermitteln von Nachrichten verwendet, die aus Exchange 2007-Nachrichtenwarteschlangen exportiert wurden. Wie die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen auf diese Nachrichten angewendet wird, wird durch das X-CreatedBy:-Kopfzeilenfeld in der Nachrichtendatei gesteuert:

    • Wenn der Wert des Kopfzeilenfelds MSExchange12 ist, wird die Kopfzeilenfirewall nicht auf die Nachricht angewendet.

    • Wenn der Wert von X-CreatedBy: nicht MSExchange12 ist, wird die Kopfzeilenfirewall angewendet.

    • Wenn das X-CreatedBy:-Kopfzeilenfeld nicht in der Nachrichtendatei vorhanden ist, wird die Kopfzeilenfirewall angewendet.

    Weitere Informationen zum Wiedergabeverzeichnis finden Sie unter Verwalten des Wiedergabeverzeichnisses.

  • Dropverzeichnis   Das Dropverzeichnis wird von fremden Connectors auf Hub-Transport-Servers verwendet, um Nachrichten an Messagingserver zu senden, die zum Übertragen von Nachrichten nicht SMTP (Simple Mail Transfer Protocol) verwenden. Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen wird auf Nachrichtendateien angewendet, bevor sie im Dropverzeichnis gespeichert werden. Weitere Informationen zu fremden Connectors finden Sie unter Fremde Connectors.

  • Informationsspeichertreiber   Der Informationsspeichertreiber ist auf Hub-Transport-Servern vorhanden, um Nachrichten in Postfächer und aus Postfächern auf Postfachservern zu transportieren. Für ausgehende Nachrichten, die in Postfächern erstellt und aus diesen übermittelt werden, wird die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen immer angewendet. Für eingehende Nachrichten wird die Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen selektiv angewendet. Die in der folgenden Liste angegebenen X-Kopfzeilen werden von der Kopfzeilenfirewall nicht für eingehende Nachrichten an Postfachempfänger geblockt:

    • X-MS-Exchange-Organization-SCL

    • X-MS-Exchange-Organization-AuthDomain

    • X-MS-Exchange-Organization-AuthMechanism

    • X-MS-Exchange-Organization-AuthSource

    • X-MS-Exchange-Organization-AuthAs

    • X-MS-Exchange-Organization-OriginalArrivalTime

    • X-MS-Exchange-Organization-OriginalSize

    Weitere Informationen zum Informationsspeichertreiber finden Sie unter Transportarchitektur.

  • DSN-Nachrichten   Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen wird immer auf die ursprüngliche Nachricht oder die ursprüngliche Nachrichtenkopfzeile angewendet, die an die DSN-Nachricht angehängt ist. Weitere Informationen zu DSN-Nachrichten finden Sie unter Verwalten von Benachrichtigungen über den Übermittlungsstatus.

  • Agent-Übermittlung   Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen and Gesamtstruktur-X-Kopfzeilen wird nicht auf Nachrichten angewendet, die von Agents übermittelt werden.

Kopfzeilenfirewall für Routingkopfzeilen

Routingkopfzeilen sind Standard-SMTP-Kopfzeilenfelder, die in RFC 2821 und RFC 2822 definiert sind. Routingkopfzeilen stempeln eine Nachricht mithilfe von Informationen zu den verschiedenen Messagingservern, die für die Zustellung der Nachricht an den Empfänger verwendet wurden. Die verfügbaren Routingkopfzeilen werden in der folgenden Liste beschrieben.

  • Received:   Eine andere Instanz dieses Kopfzeilenfelds wird der Nachrichtenkopfzeile von jedem Messagingserver hinzugefügt, der die Nachricht angenommen und an den Empfänger weitergeleitet hat. Die Received:-Kopfzeile enthält normalerweise den Namen des Messagingservers und einen Datums-/Uhrzeitstempel.

  • Resent-*:**   Resent**-Kopfzeilenfelder sind Informationskopfzeilenfelder, die zum Bestimmen verwendet werden können, ob eine Nachricht von einem Benutzer weitergeleitet wurde. Die folgenden Resent-Kopfzeilenfelder sind verfügbar: Resent-Date:, Resent-From:, Resent-Sender:, Resent-To:, Resent-Cc:, Resent-Bcc: und Resent-Message-ID:.

    Die Resent-Felder werden verwendet, damit die Nachricht dem Empfänger so erscheint, als wäre sie direkt vom ursprünglichen Absender gesendet worden. Der Empfänger kann die Nachrichtenkopfzeile anzeigen und ermitteln, wer die Nachricht weitergeleitet hat.

In Nachrichten eingefügte Routingkopfzeilen können verwendet werden, um eine falsche Darstellung des Routingpfads zu geben, den eine Nachricht bis zum Eingang beim Empfänger durchlaufen hat. Exchange 2007 verwendet zwei verschiedene Methoden zum Anwenden der Kopfzeilenfirewall auf in Nachrichten vorhandene Routingkopfzeilen:

  • Berechtigungen werden Sendeconnectors oder Empfangsconnectors zugewiesen, die zum Beibehalten oder Entfernen von Routingkopfzeilen in Nachrichten verwendet werden können.

  • Die Kopfzeilenfirewall wird automatisch für Routingkopfzeilen in Nachrichten während anderer Nachrichtenübermittlungsarten implementiert.

Anwenden der Kopfzeilenfirewall auf Routingkopfzeilen in eingehenden Nachrichten

Empfangsconnectors verfügen über die Berechtigung Ms-Exch-Accept-Headers-Routing, die zum Annehmen oder Zurückweisen von Routingkopfzeilen verwendet wird, die in einer eingehenden Nachricht vorhanden sind:

  • Wird diese Berechtigung erteilt, bleiben alle Routingkopfzeilen in der eingehenden Nachricht erhalten.

  • Wird diese Berechtigung nicht erteilt, werden alle Routingkopfzeilen aus der eingehenden Nachricht entfernt.

Tabelle 4 beschreibt die Standardanwendung der Berechtigung Ms-Exch-Accept-Headers-Routing für einen Empfangsconnector.

Tabelle 4   Standardanwendung der Berechtigung "Ms-Exch-Accept-Headers-Routing" für einen Empfangsconnector

Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. Berechtigungsgruppe, in der die Sicherheitsprinzipale Mitglieder sind. Standardmäßig der Verwendungstyp, der dem Empfangsconnector die Berechtigungsgruppen zuweist.

Anonymes Benutzerkonto

Anonymous

Internet

Authentifizierte Benutzerkonten

ExchangeUsers

Client (auf Edge-Transport-Servern nicht verfügbar)

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Servercomputer mit Exchange (nur Hub-Transport-Server)

  • Extern gesicherte Server

ExchangeServers

Internal

Exchange-Sicherheitsgruppe "Exchange Legacy Interop"

ExchangeLegacyServers

Internal

Partnerserverkonto

Partner

  • Internet

  • Partner

Die Berechtigung Ms-Exch-Accept-Headers-Routing wird allen Verwendungstypen mit Ausnahme von Custom zugewiesen. Wenn Sie die Kopfzeilenfirewall in einem benutzerdefinierten Empfangsconnectorszenario auf Routingkopfzeilen anwenden möchten, führen Sie die folgenden Schritte aus:

  1. Führen Sie eine der folgenden Aktionen aus:

    • Erstellen Sie einen neuen Empfangsconnector, und wählen Sie den Verwendungstyp Custom aus. Weisen Sie dem Empfangsconnector keine Berechtigungsgruppen zu. Sie können die zugewiesenen Berechtigungen oder die Gruppenmitgliedschaft einer Berechtigungsgruppe nicht ändern.

    • Ändern Sie einen vorhandenen Empfangsconnector, und legen Sie den Parameter PermissionGroups auf den Wert None fest.

  2. Verwenden Sie das Cmdlet Add-ADPermission zum Hinzufügen der entsprechenden Sicherheitsprinzipale, die auf dem Empfangsconnector erforderlich sind. Stellen Sie sicher, dass keinem der Sicherheitsprinzipale die Berechtigung Ms-Exch-Accept-Headers-Routing zugewiesen wurde. Wenn dies erforderlich sein sollte, verwenden Sie das Cmdlet Add-ADPermission, um dem Sicherheitsprinzipal, der für die Verwendung des Empfangsconnectors konfiguriert werden soll, die Berechtigung Ms-Exch-Accept-Headers-Routing zu verweigern .

Weitere Informationen hierzu finden Sie unter den folgenden Themen:

Anwenden der Kopfzeilenfirewall auf Routingkopfzeilen in ausgehenden Nachrichten

Sendeconnectors verfügen über die Berechtigung Ms-Exch-Send-Headers-Routing, die zum Zulassen oder Entfernen von Routingkopfzeilen verwendet wird, die in einer ausgehenden Nachricht vorhanden sind:

  • Wird diese Berechtigung erteilt, bleiben alle Routingkopfzeilen in der ausgehenden Nachricht erhalten.

  • Wird diese Berechtigung nicht erteilt, werden alle Routingkopfzeilen aus der ausgehenden Nachricht entfernt.

Tabelle 5 beschreibt die Standardanwendung der Berechtigung Ms-Exch-Send-Headers-Routing für einen Sendeconnector.

Tabelle 5   Standardanwendung der Berechtigung "Ms-Exch-Send-Headers-Routing" für einen Sendeconnector

Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. Standardmäßig der Verwendungstyp, der die Sicherheitsprinzipale dem Sendeconnector zuweist.

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Servercomputer mit Exchange (Hinweis: nur auf Hub-Transport-Servern)

  • Extern gesicherte Server

  • Universelle Sicherheitsgruppe Exchange Legacy Interop

  • Exchange 2003- und Exchange 2000-Bridgeheadserver

Internal

Anonymes Benutzerkonto

Internet

Partnerserver

Partner

Die Berechtigung Ms-Exch-Send-Headers-Routing wird allen Verwendungstypen mit Ausnahme von Custom zugewiesen. Wenn Sie die Kopfzeilenfirewall in einem benutzerdefinierten Sendeconnectorszenario auf Routingkopfzeilen anwenden möchten, verwenden Sie eine der folgenden Methoden:

  • Erstellen Sie einen neuen Sendeconnector, und wählen Sie den Verwendungstyp Custom aus. Der Verwendungstyp des Sendeconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines neuen Sendeconnectors.

  • Entfernen Sie einen Sicherheitsprinzipal, der die Berechtigung Ms-Exch-Send-Headers-Routing zuweist, vom Connector. Weitere Informationen finden Sie unter Ändern der Konfiguration eines Sendeconnectors.

  • Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigung Ms-Exch-Send-Headers-Routing von einem der Sicherheitsprinzipale zu entfernen, der für den Sendeconnector konfiguriert ist. Weitere Informationen finden Sie unter Remove-ADPermission.

  • Verwenden Sie das Cmdlet Add-ADPermission, um einem der Sicherheitsprinzipale, der für den Sendeconnector konfiguriert ist, die Berechtigung Ms-Exch-Send-Headers-Routing zu verweigern. Weitere Informationen finden Sie unter Add-ADPermission.

Anwenden der Kopfzeilenfirewall auf Routingkopfzeilen aus anderen Nachrichtenquellen

Nachrichten können in die Exchange 2007-Transportpipeline auf einem Hub-Transport-Server oder einem Edge-Transport-Server eingehen, ohne dass Sendeconnectors oder Empfangsconnectors verwendet werden. Die Kopfzeilenfirewall für Routingkopfzeilen wird auf andere Nachrichtenquellen angewendet, die in der folgenden Liste beschrieben werden:

  • PICKUP-Verzeichnis   Das PICKUP-Verzeichnis wird von Administratoren oder Anwendungen zum Übermitteln von Nachrichtendateien verwendet. Die Kopfzeilenfirewall für Routingkopfzeilen wird immer auf die Nachrichtendateien im PICKUP-Verzeichnis angewendet. Weitere Informationen zum PICKUP-Verzeichnis finden Sie unter Verwalten des Pickupverzeichnisses.

  • Informationsspeichertreiber   Der Informationsspeichertreiber ist auf Hub-Transport-Servern vorhanden, um Nachrichten in Postfächer und aus Postfächern auf Postfachservern zu transportieren. Die Kopfzeilenfirewall für Routingkopfzeilen wird immer auf alle Nachrichten angewendet, die aus Postfächern auf Postfachservern gesendet werden. Die Kopfzeilenfirewall für Routingkopfzeilen wird nicht auf eingehende Nachrichten für die Zustellung in Empfängerpostfächern angewendet. Weitere Informationen zum Informationsspeichertreiber finden Sie unter Transportarchitektur.

  • DSN-Nachrichten   Die Kopfzeilenfirewall für Routingkopfzeilen wird immer auf die ursprüngliche Nachricht oder die ursprüngliche Nachrichtenkopfzeile angewendet, die an die DSN-Nachricht angehängt ist. Weitere Informationen zu DSN-Nachrichten finden Sie unter Verwalten von Benachrichtigungen über den Übermittlungsstatus.

  • Wiedergabeverzeichnis, Dropverzeichnis und Agent-Übermittlung   Die Kopfzeilenfirewall für Routingkopfzeilen wird nicht auf Nachrichten angewendet, die vom Wiedergabeverzeichnis, vom Dropverzeichnis oder von Agents übermittelt werden.

Die Kopfzeilenfirewall und frühere Versionen von Exchange Server

Exchange 2003 und frühere Versionen von Exchange Server verwenden die Organisations-X-Kopfzeilen oder Gesamtstruktur-X-Kopfzeilen nicht. Exchange 2007 behandelt frühere Versionen von Exchange Server als nicht vertrauenswürdige Nachrichtenquellen. Die Kopfzeilenfirewall wird auf alle Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen angewendet, die von Servern stammen, die frühere Versionen von Exchange Server ausführen. Die Kopfzeilenfirewall für Organisations-X-Kopfzeilen und Gesamtstruktur-X-Kopfzeilen wird auch auf Nachrichten angewendet, die in der Exchange-Organisation vorhandenen Servern zugestellt werden, die frühere Versionen von Exchange Server ausführen.

Frühere Versionen von Exchange Server verwenden das proprietäre Verb X-EXCH50, um Informationen zu Nachrichten und Empfängern zu übermitteln, die nicht in die E-Mail-Nachricht aufgenommen werden können. Die Informationen werden als EXCH50-BLOB (Binary Large Object) übertragen. Das EXCH50-BLOB ist eine Sammlung binärer Daten, die als einzelnes Objekt gespeichert werden. EXCH50 enthält Daten, z. B. die SCL-Bewertung (Spam Confidence Level), Adressumschreibungsinformationen und andere MAPI-Eigenschaften, die über keine MIME-Entsprechung verfügen. Da es sich bei X-EXCH50 um ein proprietäres ESMTP-Verb (Extended Simple Mail Transfer Protocol) handelt, können EXCH50-Daten nicht von Servern, auf denen Exchange Server nicht installiert ist, weitergegeben werden. Weitere Informationen finden Sie unter Planen von Koexistenz.

Routinggruppenconnectors zwischen Servercomputern, auf denen Exchange Server 2007 oder Exchange Server 2003 installiert ist, werden automatisch für die Unterstützung des Sendens und Empfangens von EXCH50-Daten konfiguriert. Sendeconnectors und Empfangsconnectors besitzen Berechtigungen, die den EXCH50-Befehl aktivieren.

In Tabelle 6 werden die Berechtigungen beschrieben, die den EXCH50-Befehl für einen Empfangsconnector für eingehende Nachrichten erlauben. Wenn eine dieser Berechtigungen nicht erteilt und eine Nachricht gesendet wird, die den EXCH50-Befehl enthält, nimmt der Server die Nachricht an, ohne den EXCH50-Befehl einzuschließen.

Tabelle 6   Berechtigungen, die den EXCH50-Befehl für einen Empfangsconnector für eingehende Nachrichten erlauben

Berechtigung Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. Berechtigungsgruppe, in der die Sicherheitsprinzipale Mitglieder sind. Standardmäßig der Verwendungstyp, der dem Empfangsconnector die Berechtigungsgruppen zuweist.

Ms-Exch-Accept-Exch50

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Servercomputer mit Exchange (Hinweis: nur auf Hub-Transport-Servern)

  • Extern gesicherte Server

ExchangeServers

Internal

Ms-Exch-Accept-Exch50

Exchange-Sicherheitsgruppe "Exchange Legacy Interop"

ExchangeLegacyServers

Internal

Wenn Sie dem EXCH50-Befehl in einem benutzerdefinierten Empfangsconnectorszenario blocken möchten, verwenden Sie eine der folgenden Methoden:

  • Erstellen Sie einen neuen Empfangsconnector, und wählen Sie einen anderen Verwendungstyp als Internal aus. Der Verwendungstyp des Empfangsconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines neuen Empfangsconnectors.

  • Ändern Sie einen vorhandenen Empfangsconnector, und entfernen Sie die Berechtigungsgruppe ExchangeServers. Weitere Informationen finden Sie unter Ändern der Konfiguration eines Empfangsconnectors.

  • Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigung Ms-Exch-Accept-Exch50 von einem der Sicherheitsprinzipale zu entfernen, der für den Empfangsconnector konfiguriert ist. Diese Methode funktioniert nicht, wenn die Berechtigung dem Sicherheitsprinzipal mithilfe einer Berechtigungsgruppe zugewiesen wurde. Sie können die zugewiesenen Berechtigungen oder die Gruppenmitgliedschaft einer Berechtigungsgruppe nicht ändern. Weitere Informationen finden Sie unter Remove-ADPermission.

  • Verwenden Sie das Cmdlet Add-ADPermission, um einem Sicherheitsprinzipal, der für den Empfangsconnector konfiguriert ist, die Berechtigung Ms-Exch-Accept-Exch50 zu verweigern. Weitere Informationen finden Sie unter Add-ADPermission.

In Tabelle 7 werden die Berechtigungen beschrieben, die den EXCH50-Befehl für einen Sendeconnector für ausgehende Nachrichten erlauben. Wenn diese Berechtigung nicht gewährt und eine Nachricht gesendet wird, die den EXCH50-Befehl enthält, sendet der Server die Nachricht, ohne den EXCH50-Befehl einzuschließen.

Tabelle 7   Berechtigungen, die den EXCH50-Befehl für einen Sendeconnector für ausgehende Nachrichten erlauben

Berechtigung Standardmäßig die Sicherheitsprinzipale, denen die Berechtigung zugewiesen wurde. Standardmäßig der Verwendungstyp, der die Sicherheitsprinzipale dem Sendeconnector zuweist.

Ms-Exch-Send-Exch50

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Servercomputer mit Exchange (Hinweis: nur auf Hub-Transport-Servern)

  • Extern gesicherte Server

  • Universelle Sicherheitsgruppe Exchange Legacy Interop

  • Exchange 2003- und Exchange 2000-Bridgeheadserver

Intern

Wenn Sie dem EXCH50-Befehl in einem benutzerdefinierten Sendeconnectorszenario blocken möchten, können Sie eine der folgenden Methoden verwenden:

  • Erstellen Sie einen neuen Sendeconnector, und wählen Sie einen anderen Verwendungstyp als Internal aus. Der Verwendungstyp des Sendeconnectors kann nur festgelegt werden, wenn Sie den Connector erstellen. Weitere Informationen finden Sie unter Erstellen eines neuen Sendeconnectors.

  • Entfernen Sie einen Sicherheitsprinzipal, der die Berechtigung Ms-Exch-Send-Exch50 zuweist, vom Connector.

  • Verwenden Sie das Cmdlet Remove-ADPermission, um die Berechtigung Ms-Exch-Send-Exch50 von einem der Sicherheitsprinzipale zu entfernen, der für den Sendeconnector konfiguriert ist. Weitere Informationen finden Sie unter Remove-ADPermission.

  • Verwenden Sie das Cmdlet Add-ADPermission, um einem der Sicherheitsprinzipale, der für den Sendeconnector konfiguriert ist, die Berechtigung Ms-Exch-Send-Exch50 zu verweigern. Weitere Informationen finden Sie unter Add-ADPermission.