Der Microsoft Exchange Server bietet eine Reihe von Möglichkeiten, sich gegen unerwünschte E-Mails „halbwegs“ zu schützen. Neben den Verbindungs-, Empfänger- oder Absenderfiltern kann unter Exchange 2003 auch das kostenlose AddOn Intelligent Message Filter (IMF) von Microsoft verwendet werden, das im Übrigen im Service Pack #2 für Exchange 2003 integriert ist. Die meisten Administratoren schwören jedoch auf 3rd-Party-Antispam-Tools, deren Hersteller bereits mehrere Jahre Erfahrung im Umgang mit Spams aufweisen können.

Was ist jedoch, wenn ich meine Exchange Server für interne Benutzer einschränken will? Beispielsweise sollen bestimmte Benutzer nicht an eine oder auch mehrere Domänen ins Internet senden können. In diesem Beispiel möchten wir unseren Benutzern untersagen, E-Mails an die Domäne @unbekannt.de zusenden.

Eine Exchange Organisation nutzt in der Regel einen SMTP-Connector um ausgehende Nachrichten ins Internet zu senden, unabhängig von der Zieldomäne. Abhängig von der Organisationsgröße können an verschiedenen geografischen Punkten auch mehrere solcher SMTP-Connectoren arbeiten.

[1]     [2]

Ob dieser Versand ins Internet direkt per DNS-Lookup (Abb1.) oder über einen so genannten SMTP Relay-Server des Internetproviders erfolgt, lassen wir an dieser Stelle mal außen vor. Obiger SMTP-Connector leitet aufgrund des konfigurierten Adressraumes SMTP:* alle ausgehenden Nachrichten direkt zu den entsprechenden Mailservern der Zieldomäne weiter.

Um nun in unserem Beispiel den Versand an die Domäne @unbekannt.de zu verhindern, richten wir einen neuen SMTP-Connector „SMTP blocked outgoing Domains“ ein. Konfigurieren Sie den Connector unter „Allgemein“ identisch mit Ihrem bestehenden Connector und fügen Sie unter „Adressraum die Domäne unbekannt.de ein.

 [3]

Die Eigenschaften eines SMTP-Connectors bieten nun weitere Konfigurations-möglichkeiten, u.a. auch die Möglichkeit die Empfangseinschränkungen des Connectors zu konfigurieren.

 [4]     [5]

Empfangseinschränkungen können so konfiguriert werden, dass der Connector mit einer Ein- oder Ausschlussliste arbeitet. Entweder werden von diesem Connector grundsätzlich E-Mails angenommen, mit wenigen Ausnahmen, die unter „Nachrichten ablehnen von“ konfiguriert werden, oder er nimmt ausschließlich E-Mails von Benutzer an, die unter „Nachrichten annehmen von“ definiert wurden. Entsprechend ist auch die Option „Standardmäßig werden Nachrichten von allen Absendern“ auf „Angenommen“ oder „Abgelehnt“ zu setzen. (Abb. 4)

Die betroffenen Benutzer werden über die Schaltfläche „Hinzufügen“ direkt aus dem Active Directory ausgewählt. Selbstverständlich können hier auch komplette Verteilerlisten angegeben werden, um die Administration zu vereinfachen.

Nun sollten alle notwendigen Einstellungen getroffenen worden sein, zumindest das Offensichtliche. Aus diversen Gründen hat man sich bei Microsoft entschieden solche Einstellungen bzw. Beschränkungen nicht so ohne Weiteres wirksam werden zu lassen.

Es fehlt letztlich noch ein Registrierungsschlüssel, der den SMTP-Connector anweist, die gesetzten Empfangseinschränkungen zu überprüfen. Setzen Sie dazu auf allen unter Allgemein eingestellten lokalen Bridgehead Exchange Servern den Wert CheckConnectorRestrictions auf 1.

• Starten Sie den Registrierungs Editor (Regedt32.exe).

• Suchen Sie den folgenden Key HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Resvc/Parameters/ 

• Fügen Sie den Wert CheckConnectorRestrictions vom Typ REG_DWORD hinzu

• Setzen Sie CheckConnectorRestrictions auf 1

• Abschließend müssen die beiden Dienste Microsoft Exchange-Routingmodul und Simple Mail Transfer Protocol (SMTP) neu gestartet werden um die Einstellungen zu aktivieren.

Testen Sie nun die Einschränkung, in dem Sie eine E-Mail absenden. Sie sollten eine Unzustellbarkeitsmeldung, ähnlich der nachfolgend aufgeführten Nachricht, erhalten.

Folgende(r) Empfänger konnte(n) nicht erreicht werden:
  [6] test@unbekannt.de am 19.07.2005 12:28
  Sie sind nicht berechtigt, Nachrichten an diesen Empfänger zu senden. Wenden Sie sich an den Systemadministrator.
  <mail.your-admin.com #5.7.1 smtp;550 5.7.1