ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
POP3 für Clients
Serververöffentlichung ohne SNAT
IE auf ISA
RPC over HTTPS
HTTP Filterung
DNS Server
OWA mit LDAP
Kennwortänderung mit LDAP
Cloudmark Antigen Engine

 

Zugriff für Cloudmark-Engine in Microsoft Antigen 9 SP2


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server 2006
  • Microsoft Antigen für Exchange 9.0 Service Pack 2
  • Microsoft Antigen für SMTP 9.0 Service Pack 2

 

Seit Servicepack 2 für Microsoft Antigen 9 steht anstelle der bislang enthaltenen SpamCure-Engine die neue Cloudmark-Engine zur Spam-Bekämpfung zur Verfügung. Ab 1.12.2009 wird die SpamCure-Engine auslaufen und nur noch die neue Cloudmark-Engine nutzbar sein. Die bisherige SpamCure-Engine bezog seine Signaturen wie alle anderen Engines auch über den eingestellten Update-Server (antigendl.microsoft.com). Anders arbeitet hier die neue Cloudmark-Engine, denn über den Update-Server werden nur noch Engine-Updates bezogen. Eingehende E-Mails werden direkt online mit den Cluoudmark-Servern auf verdächtige Fingerabrücke untersucht. Wird während der Online-Überprüfung eine Übereinstimmung in den Fingerabdrücken gefunden, wird die Nachricht als Spam erkannt.

Damit Microsoft Antigen eingehende E-Mails mittels der Cloudmark-Engine überprüfen kann, benötigt der Server Zugriff auf die Cloudmark-Server. Folgende Anleitung behandelt die Aktivierung der Cloudmark-Engine und welche Schritte dazu in ISA Server 2006 notwendig sind.

1. Konfiguration der Cloudmark-Engine

1.1 Aktivieren der Cloudmark-Engine

Nach der Installation von Servicepack 2 für Microsoft Antigen 9 ist zunächst noch die SpamCure-Engine aktiv. Deshalb müssen Sie die Cloudmark-Engine und deren Updates erst aktivieren. Öffnen Sie hierzu die Verwaltungskonsole von Microsoft Antigen 9 und wechseln Sie in der linken Navigation zum Knoten Settings->Antispam.


Wählen Sie zur Aktivierung der Cloudmark-Engine unter der Rubrik Spam Scanners die Cloudmark-Engine aus, indem Sie den Haken im dazugehörigen Kontrollkästchen setzen. Sollte die SpamCure-Engine noch aktiv sein, so bekommen Sie einen Hinweis angezeigt, der Sie darauf aufmerksam macht, dass nicht gleichzeitig beide Engines aktiv sein können. Wählen Sie in diesem Fall die SpamCure-Engine zusätzlich ab. Die Aktivierung der Engine ist somit abgeschlossen.

1.2 Konfiguration der Engine-Aktualisierung

Wie bereits zu Beginn erwähnt benötigt die Cloudmark-Engine keine Signatur-Updates, sondern es werden nur Aktualisierungen für die Engine über den Update-Server bezogen. Damit diese regelmäßig herunter geladen werden, müssen Sie diese in der Verwaltungskonsole von Microsoft Antigen 9 konfigurieren. Wechseln Sie hierzu in der linken Navigation zum Knoten Settings -> Scanner Updates.


Wählen Sie unter den Engines die Cloudmark Authority Engine aus und klicken Sie rechts auf die Schaltfläche Enable. Danach ist die automatische Aktualisierung für die Cloudmark-Engine aktiv. Da es nicht zu erwarten ist, dass die Engine mehrmals am Tag aktualisiert wird, können Sie als Zeitplan zum Beispiel auf einmal am Tag um 8 Uhr stellen.
Weil nicht beide Enginges gleichzeitig aktiv sein können, können Sie die Updates der SpamCure-Engine ausschalten. Markieren Sie dazu die SpamCure-Engine und deaktivieren Sie die Aktualisierung über die Schaltfläche Disable.
Übernehmen Sie danach die Änderungen über die Schaltfläche Save.

Die Konfiguration und Aktivierung der Cloudmark-Engine ist somit abgeschlossen und eingehende E-Mails werden nun mit der neuen Engine auf Spam überprüft. Einziges Problem, das jetzt noch besteht, ist, dass der Server keinen Zugriff auf die Online-Server von Cloudmark besitzt und somit die E-Mails nicht überprüfen kann. Sie müssen deshalb eine Regel im ISA Server erstellen, die den Zugriff erlaubt.

2. Konfigurieren von ISA Server 2006

Öffnen Sie zur Erstellung einer Firewallrichtlilnie für den Zugriff auf die Cloudmark-Server die Verwaltungskonsole von ISA Server 2006 und navigieren Sie zum Knoten Firewallrichtlinien.

2.1 Erstellung eines Domänennamensatzes

Damit Sie durch die Firewallrichtline nur Zugriff auf die benötigten Server gewähren und somit kein riesiges Loch in die Firewallkonfiguration machen müssen, können Sie den Zugriff am Besten über einen Domänennamensatz einschränken.

Wechseln Sie im rechten Bereich der Verwaltungskonsole zur Registerkarte Toolbox und wählen Sie aus dem Menü Neu den Eintrag Domänennamensatz aus.


Vergeben Sie im Textfeld Name einen aussagekräftigen Namen für den neuen Domänennamensatz, wie z.B. Cloudmark-Server. Fügen Sie anschließend über die Schaltfläche Hinzufügen folgende Server-FQDNs hinzu:

  • cdn-microupdates.cloudmark.com
  • lvc.cloudmark.com
  • pki.cloudmark.com
Nachdem Sie die Server-FQDNs hinzugefügt haben können Sie das Fenster über die Schaltfläche OK schließen und mit der Erstellung der Firewallrichtline beginnen.

2.2 Erstelluen der Firewallrichtlinie


Wählen Sie aus den Kontextmenü über die Rechtemaustaste die Aufgabe Neu -> Zugriffsregel aus. Darauf hin startet der Assistent, der Sie bei der Erstellung der Firewallrichtlinie unterstützt.


Vergeben Sie im ersten Schritt einen aussagekräftigen Namen für die Firewallrichtlinie und fahren Sie über die Schaltfläche Weiter fort.


Als Aktion für die Firewallrichtlinie müssen Sie die Option Zulassen auswählen, damit der Zugriff auf die Server ermöglicht wird. Klicken Sie danach auf die Schaltfläche Weiter.


Erlauben Sie den Zugriff nur für die Protokolle HTTP und HTTPS. Wählen Sie deshalb im Dropdown-Menu den Eintrag Ausgewählte Protokolle aus und klicken Sie danach auf die Schaltfläche Hinzufügen. Unter den Verfügbaren Protokollen klicken Sie unter der Rubrik Web auf die Protokolle HTTP und HTTPS. Dadurch werden diese als Auswahl übernommen. Schließen Sie danach das Fenster über die Schaltfläche OK und kehren Sie zum Assistenten zurück. In der Auswahl der Protokolle sollten nun die beiden Protokolle HTTP und HTTPS aufgeführt sein. Klicken Sie anschließend auf die Schaltfläche Weiter.


Als Quelle der Anfrage müssen Sie den Server angeben, auf dem Microsoft Antigen 9 ausgeführt wird. Hierfür eignet sich ein Computerobjekt, das Sie vielleicht schon für den Download der Signatur-Upates erstellt haben. Klicken Sie hierzu auf die Schaltfläche Hinzufügen und wählen Sie das Computerobjekt aus. Falls Sie noch kein Computer-Objekt besitzen, so können Sie über Neu -> Computer aus dem Menü ein neues Computer-Objekt erstellen. Schließen Sie danach das Fenster über die Schaltfläche OK und fahren Sie im Assistenten über die Schaltfläche Weiter fort.


Das Ziel der Anfrage ist der vorhin erstellte Domänennamensatz. Klicken Sie auf die Schaltfläche Hinzufügen und wählen Sie den Domänennamensatz aus, den Sie dafür erstellt haben. Schließen Sie das Fenster danach über die Schaltfläche OK. Klicken Sie anschließend auf die Schaltfläche Weiter.


Da Microsoft Antigen 9 selbst sich nicht authentifizieren kann, belassen Sie die Einschränkung der Benutzer auf der Auswahl Alle Benutzer und fahren Sie über die Schaltfläche Weiter fort.


Zum Abschluss des Assistenten bekommen Sie eine Zusammenfassung der Einstellungen der Firewallrichtlinie angezeigt. Schließen Sie den Assistenten über die Schaltfläche Fertigstellen ab.


Unter Ihren Firewallrichtlinien sollte nun eine neue Firewallrichtlinie existieren, die wie im obigen Bild gezeigt aussieht. Achten Sie darauf, dass die Firewallrichtlinie in der Reihenfolge vor der Richtlinie platziert ist, die Authentifizierung fordert. Ansonsten würde der Zugriff auf die Cloudmark-Server nicht funktionieren. Übernehmen Sie zum Abschluß die geänderte Konfiguration über die Schaltfläche Übernehmen in der Verwaltungskonsole von ISA server 2006. Der Zugriff auf die Cloudmark-Server sollte nun reibungslos funktionieren und in den Ereignissen von Microsoft Antigen 9 sollten nun auch Einträge von Spam-E-Mails erscheinen, die durch die neue Cloudmark-Engine erkannt wurden.

Stand: Monday, 05. October 2009/CG.  


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher