Intelligent Message Filter (IMF) beim Exchange Server 2003


Bei der Durchsicht der LOG-Dateien eines Exchange 2003 Server unter SBS 2003, fielen mir die etlichen NDR-Einträge auf. Diese wurden nie bekannt da der Postmaster nicht eingetragen war (so wirds gemacht: http://support.microsoft.com/kb/313832/en-us).

Um einen besseren Überblick zu bekommen muss man aber zuerst das Nachrichtentracking aktivieren. http://support.microsoft.com/kb/821910/en-us. Danach wurde offensichtlich, dass bald im 10 Skundentakt NDRs erstellt wurden.

Es gibt NDR(None-delivery Reports)-Spams (http://support.microsoft.com/kb/886208/en-us) wo Nachrichten erzeugt werden, die bewußt nicht zugestellt werden können um dafür dann per NDR an jemand gesandt werden. Dieser jemand denkt eine versandte Mail wäre nicht angekommen und öffnet diese und schwupps öffnet sich die Werbung oder der Virus.

Da der Exchange Server mit Service Pack 2 versorgt war, ging ich davon aus, dass der Intelligent Message Filter diese Kandidaten herausfiltert. Aber dem war leider nicht so. Nach Rücksprache mit Anwendern meinten diese der Junk-E-Mail Ordner würde immer schneller voll und auch viele SPAM-Nachrichten kämen immer öfter ins Postfach. Also war einiges nicht in Ordnung.

Also ging es darum mal nachzusehen, was der IMF eigentlich so macht. Dazu fand ich auf der Seite http://www.msxfaq.net/spam/imf.htm eine schöne umfassende Erklärung und unter http://www.gotdotnet.com/workspaces/workspace.aspx?id=e8728572-3a4e-425a-9b26-a3fda0d06fee gab es das passende Programm, den IM Archiv Manager, um den SCL-Status einzelner Nachrichten genauer zu betrachten.

Dazu mußte aber unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\ContentFilter das DWORD ArchiveSCL angelegt und auf 1 gesetzt werden. Damit zu den archivierten Nachrichten dann der ermittelter SCL-Wert angezeigt werden kann muss noch unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange das DWORD ContentFilterState angelegt und auf 1 gesetzt werden. Am Schluss noch den SMTP-Dienst neu starten, damit die Änderungen berücksichtigt werden können.

Bei den eintreffenden Mails wurde schnell klar das es nur sehr wenige sind die im IMF ausgefiltert werden. Das Verhältnis zwischen NDR und IMF gefilterten Mails lag bei 6:1. Das lag ganz einfach daran, dass der IMF nicht aktuell war. Durch obige Keys und Aufruf von Microsoft Update wurde auch gleich ein wichtiges IMF Update angezeigt. Weitere Infos zum IMF Update gibts hier: http://msexchangeteam.com/archive/2006/04/12/425060.aspx

Nun wurden deutlich weniger NDRs erstellt und es kamen mehr Mails im IM Archiv Manager an. Aber es war noch nicht optimal. Also wurde am Ende noch der Schwellenwert vom Gateway heruntergesetzt, damit mehr E-Mails als SPAM erkannt werden, ebenso wurde der Wert zur Zuordnung im Junk-E-Mailordner verringert um die E-Mails die durchs Gateway durchgingen und doch Spam-Mails waren im Junk-Mail-Ordner des Benutzers landeten.

Eine Antwort to “Intelligent Message Filter (IMF) beim Exchange Server 2003”

  1. newyear2006 Says:

    Die Datei zum Zulassen von bestimmten Betreffzeilen oder E-Mailinhalten findet sich im Verzeichnis \Programme\ExchSrvr\bin\MSFCFV2 und nennt sich MSExchange.UceContentFilter.xml

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: