Exchange 2013 IPBlockListProvider blockiert einige (aber nicht alle) übereinstimmende IPs

Ich habe unseren Exchange 2013 Edge Transport-Server so konfiguriert, dass er mehrere IPBlockListProvider einschließlich Spamhaus nutzt. Obwohl sie die meiste Zeit gut funktionieren, gibt es immer noch einige E-Mails, die trotz Übereinstimmung mit einem der Blocklist-Anbieter durchkommen.

Nehmen wir zum Beispiel eine E-Mail, die vor kurzem von der IP 66.248.197.240 empfangen wurde, die sich mit großer Sicherheit auf der Spamhaus SBL befindet, sowie einige andere (http://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a66.248.197.240&run=toolpage) und vom Edge-Server korrekt als solches identifiziert:

[PS] C:\Users\Administrator>Test-IPBlockListProvider -Identity "Spamhaus" -IPAddress 66.248.197.240

Provider                                ProviderResult                                                          Matched
--------                                --------------                                                          -------
Spamhaus                                {127.0.0.3}                                                                True

Ich habe überprüft, dass ich keine öffentlichen DNS-Weiterleitungen (wie etwa die von Google) verwende. Es besteht also nicht das Problem, dass alles oder nichts blockiert wird.

Am verwirrendsten ist, dass diese Konfiguration für die Mehrheit der empfangenen Nachrichten funktioniert, die sich auf einem SBL befinden:

[PS] C:\Program Files\Microsoft\Exchange Server\V15\Scripts>.\get-AntispamTopRBLProviders.ps1

Name                                                                                                              Value
----                                                                                                              -----
Spamhaus                                                                                                           4594
SpamCop                                                                                                              48

Interessanterweise scheint eine Sache einen erheblichen Unterschied gemacht zu haben: die Änderung der Priorität der Transportagenten, sodass der Verbindungsfilteragent an erster Stelle steht. Dies ist meine aktuelle Konfiguration, falls sie relevant ist:

[PS] C:\Program Files\Microsoft\Exchange Server\V15\Scripts>Get-TransportAgent

Identity                                           Enabled         Priority
--------                                           -------         --------
Connection Filtering Agent                         True            1
Sender Id Agent                                    True            2
Sender Filter Agent                                True            3
Recipient Filter Agent                             True            4
Content Filter Agent                               True            5
Address Rewriting Inbound Agent                    True            6
Edge Rule Agent                                    True            7
Attachment Filtering Agent                         True            8
Address Rewriting Outbound Agent                   True            9
Protocol Analysis Agent                            True            10

Ich füge die vollständigen Nachrichtenkopfzeilen (mit redigierten Identitäten meines Servers) einer E-Mail von einer IP-Adresse ein, die sich unten auf einem SBL befindet. Es ist klar, dass die Einbeziehung aller meiner SPAM-Filter die Zeit beeinflusst, die eine Nachricht benötigt, um den Postfachserver zu erreichen (in diesem Fall 8 Sekunden zwischen Übermittlung und Zustellung), aber es scheint nicht auszureichen.

X-Ms-Exchange-Organization-Network-Message-Id: 32388ce4-005a-4090-a363-08d2612d1e23
X-Ms-Exchange-Organization-Authas: Anonymous
Pm-Xs: 15766241f_7460962er.x15766241
X-Ms-Exchange-Organization-Avstamp-Enterprise: 1.0
Vr-Yhkrg: 15766241s-15766241e_i7460962
X-Ms-Exchange-Organization-Prd: heliq240.emited.work
X-Ms-Exchange-Organization-Pcl: 2
Return-Path: [email protected]
X-Ms-Exchange-Organization-Scl: 1
Mime-Version: 1.0
Ybu-Efa: c3195284488a449ed165c2c50f18376bb-ec3195284488a449ed165c2c50f18376b.u15766241
Okul-Lfp: 15766241y.15766241n_c7460962
X-Ms-Exchange-Organization-Senderidresult: None
X-Ms-Exchange-Organization-Antispam-Report: DV:3.3.14519.472;SID:SenderIDStatus None;OrigIP:66.248.197.240
Message-Id: <c3195284488a449ed165c2c50f18376b.15766241.7460962@heliq240.emited.work>
X-Ms-Exchange-Organization-Authsource: edgeserver.mydomain.com
Content-Type: multipart/alternative; boundary="15766241"
Received-Spf: None (edgeserver.mydomain.com: [email protected] does not designate permitted sender hosts)
Received: from mailboxserver.mydomain.com (192.168.1.2) by mailboxserver.mydomain.com (192.168.1.2) with Microsoft SMTP Server (TLS) id 15.0.847.32 via Mailbox Transport; Wed, 20 May 2015 10:59:49 -0500
Received: from mailboxserver.mydomain.com (192.168.1.49) by mailboxserver.mydomain.com (192.168.1.49) with Microsoft SMTP Server (TLS) id 15.0.847.32; Wed, 20 May 2015 10:59:43 -0500
Received: from edgeserver.mydomain.com (192.168.1.4) by mailboxserver.mydomain.com (192.168.1.49) with Microsoft SMTP Server (TLS) id 15.0.847.32 via Frontend Transport; Wed, 20 May 2015 10:59:43 -0500
Received: from heliq240.emited.work (66.248.197.240) by edgeserver.mydomain.com (192.168.1.4) with Microsoft SMTP Server id 15.0.847.32; Wed, 20 May 2015 10:59:41 -0500
New telecommuting opportunities available today - 05/20/15

Irgendwelche Vorschläge?

Außerdem ist dies mein erster Beitrag auf einer der Stack Exchange-Sites. Ich hoffe, diese Frage ist sowohl berechtigt als auch auf der richtigen Site. Wenn nicht, lassen Sie es mich bitte wissen!