Senden von Connectors in Exchange Server
Exchange verwendet Sendeconnectors für ausgehende SMTP-Verbindungen von Exchange-Quellservern zu E-Mail-Zielservern. Der zur Weiterleitung von Nachrichten an Empfänger verwendete Sendeconnector wird während der Routingauflösungsphase der Nachrichtenkategorisierung ausgewählt. Weitere Informationen finden Sie unter E-Mail-Routing.
Sie können Sendeconnectors im Transportdienst auf Postfachservern und auf Edge-Transport-Servern erstellen. Sendeconnectors werden in Active Directory gespeichert und sind (standardmäßig) für alle Postfachserver in der Organisation sichtbar.
Wichtig
Standardmäßig werden bei der Installation von Exchange keine Sendeconnectors für den externen Nachrichtenfluss eingerichtet. Um den ausgehenden Internet-E-Mail-Fluss zu aktivieren, müssen Sie einen Sendeconnector erstellen oder einen Edge-Transport-Server für Ihre Exchange-Organisation abonnieren. Weitere Informationen finden Sie unter Erstellen eines Sendeconnectors zum Senden von E-Mails an die Internet- und Edge-Transport-Server.
Sie müssen keine Sendeconnectors konfigurieren, um E-Mails zwischen verschiedenen Exchange-Servern innerhalb ein und derselben Active Directory-Gesamtstruktur senden zu können. Für das Senden von E-Mails an interne Exchange-Server stehen implizite, nicht sichtbare Sendeconnectors zur Verfügung, für die die gesamte Exchange-Servertopologie sichtbar ist. Eine Beschreibung dieser Connectors finden Sie im Abschnitt Implizite Sendeconnectors.
Hier eine Liste der wichtigen Einstellungen auf Sendeconnectors:
Verwendungstyp
Netzwerkeinstellungen: Konfigurieren Sie, wie der Sendeconnector E-Mails weiterleitet: mithilfe von DNS oder durch automatisches Weiterleiten aller E-Mails an einen Smarthost.
Adressräume: Konfigurieren Sie die Zieldomänen, für die der Sendeconnector zuständig ist.
Bereich: Konfiguriert die Sichtbarkeit des Sendeconnectors für andere Exchange-Server in der Organisation.
Quellserver: Konfigurieren Sie die Exchange-Server, auf denen der Sendeconnector gehostet wird. E-Mails, die über den Sendeconnector zugestellt werden müssen, werden an einen der Quellserver weitergeleitet.
Auf Postfachservern können Sie Sendeconnectors im Exchange-Verwaltungskonsole oder in der Exchange-Verwaltungsshell erstellen und verwalten. Auf Edge-Transport-Servern können Sie nur die Exchange-Verwaltungsshell verwenden.
Senden von Connectoränderungen in Exchange Server
Dies sind die wichtigsten Änderungen an Sendeconnectors in Exchange 2016 oder Exchange 2019 im Vergleich zu Exchange 2010:
Sie können Sendeconnectors so konfigurieren, dass sie ausgehende E-Mails als Proxy über den Front-End-Transport-Dienst weiterleiten. Weitere Informationen finden Sie unter Configure Send connectors to proxy outbound mail.
Der IsCoexistenceConnector-Parameter ist nicht mehr verfügbar.
Der LinkedReceiveConnector-Parameter ist nicht mehr verfügbar.
Die standardmäßige maximale Nachrichtengröße wird auf 35 MB erhöht (ungefähr 25 MB aufgrund der Base64-Codierung). Weitere Informationen finden Sie unter Nachrichtengröße und Empfängergrenzwerte in Exchange Server.
Mit dem Parameter TlsCertificateName können Sie den Zertifikataussteller und den Zertifikatantragsteller angeben. Dadurch wird das Risiko für gefälschte Zertifikate minimiert.
Implizite Sendeconnectors
Obwohl während der Installation von Exchange-Servern keine Sendeconnectors erstellt werden, ist ein spezieller impliziter Sendeconnector namens organisationsinterner Sendeconnector vorhanden. Dieser implizite Sendeconnector ist automatisch verfügbar, nicht sichtbar und muss nicht verwaltet werden. Der organisationsinterne Sendeconnector ist in den Transport-Diensten angesiedelt und zuständig für das Senden von E-Mails, entweder intern zwischen Diensten auf dem lokalen Exchange-Server oder an Dienste auf Exchange-Remoteservern in der Organisation. Beispiele:
E-Mails vom Front-End-Transport-Dienst an den Transport-Dienst
E-Mails vom Transport-Dienst an den Transport-Dienst auf anderen Servern
E-Mails vom Transport-Dienst an abonnierte Edge-Transport-Server
E-Mails vom Transport-Dienst an den Postfachtransport-Zustellungsdienst
E-Mails vom Postfachtransport-Übermittlungsdienst an den Transport-Dienst
Weitere Informationen finden Sie unter Mail flow and the transport pipeline.
Sendeconnector-Verwendungstypen
Der Verwendungstyp eines Sendeconnectors ist im Grunde eine beschreibende Bezeichnung, die angibt, wofür der Sendeconnector verwendet wird. Alle Verwendungstypwerte erhalten dieselben Berechtigungen.
Sie können den Connectorverwendungstyp nur bei der Erstellung von Sendeconnectors festlegen. Wenn Sie das EAC verwenden, müssen Sie einen Wert für Typ auswählen. Wenn Sie jedoch das Cmdlet New-SendConnector in der Exchange-Verwaltungsshell verwenden, ist der Verwendungstyp nicht erforderlich (entweder mithilfe -Usage <UsageType> von oder -<UsageType>).
Wenn Sie einen Verwendungstyp angeben, konfigurieren Sie damit eine standardmäßige maximale Nachrichtengröße. Diese können Sie nach der Erstellung des Connectors ändern.
In der nachfolgenden Tabelle sind die verfügbaren Verwendungstypwerte beschrieben.
| Verwendungstyp | Maximale Nachrichtengröße | Kommentare |
|---|---|---|
| Benutzerdefiniert | 35 MB | Keine |
| Intern | Unbeschränkt | Wenn Sie einen Sendeconnector dieses Verwendungstyps im EAC erstellen, können Sie die Option Mit der Empfängerdomäne verbundener MX-Eintrag nicht auswählen. Nach der Erstellung des Connectors können Sie die Registerkarte Zustellung in den Eigenschaften des Sendeconnectors aufrufen und die Option Mit der Empfängerdomäne verbundener MX-Eintrag dort auswählen. Diese Einschränkung ist in der Exchange-Verwaltungsshell nicht vorhanden. Sie können den Internen Switch verwenden und dnsRoutingEnabled im Cmdlet New-SendConnector auf $true festlegen. |
| Internet | 35 MB | Keine |
| Partner | 35 MB | Wenn Sie einen Sendeconnector dieses Verwendungstyps im EAC erstellen, können Sie weder die Option E-Mail über Smarthosts weiterleiten noch einen Mechanismus für die Smarthostauthentifizierung auswählen. Nach der Erstellung des Sendeconnectors können Sie die Registerkarte Zustellung in den Eigenschaften des Sendeconnectors aufrufen und dort die Option E-Mail über Smarthosts weiterleiten sowie den gewünschten Mechanismus für die Smarthostauthentifizierung auswählen. Diese Einschränkung ist in der Exchange-Verwaltungsshell nicht vorhanden. Sie können den Partnerschalter verwenden und dnsRoutingEnabled auf $false festlegen und die Parameter SmartHosts und SmartHostAuthMechanism im Cmdlet New-SendConnector verwenden. |
Sendeconnector-Netzwerkeinstellungen
Für jeden Sendeconnector muss eine der folgenden Optionen konfiguriert werden:
Weiterleiten von E-Mails per DNS
Weiterleiten von E-Mails über einen oder mehrere Smarthosts
Weiterleiten von E-Mails per DNS
Wenn Sie die DNS-Auflösung als Option für die E-Mail-Zustellung auswählen, muss der Exchange-Quellserver des Sendeconnectors die MX-Einträge der auf dem Connector konfigurierten Adressräume auflösen können. Je nach Typ des Connectors und der Anzahl von Netzwerkadaptern im Server benötigt der Sendeconnector möglicherweise Zugriff auf einen internen DNS-Server oder einen externen (öffentlichen) DNS-Server. Sie können den Server so konfigurieren, dass er für interne und externe DNS-Lookups jeweils einen spezifischen DNS-Server verwendet.
Wählen Sie im EAC unter Server>server> den Server aus, und klicken Sie auf
> Registerkarte "DNS-Suche".In der Exchange-Verwaltungsshell verwenden Sie die Parameter ExternalDNS* und InternalDNS* für das Cmdlet Set-TransportService .
Falls Sie auf dem Exchange-Server bereits separate DNS-Einstellungen für interne und externe DNS-Lookups konfiguriert haben und der Sendeconnector E-Mails an einen externen Adressraum weiterleitet, müssen Sie den Sendeconnector so konfigurieren, dass er den externen DNS-Server verwendet:
Wählen Sie im EAC die Option Use the external DNS lookup setting on servers with transport roles aus (im Assistent für die Erstellung neuer Sendeconnectors oder auf der Registerkarte Zustellung in den Eigenschaften eines bereits vorhandenen Connectors).
Verwenden Sie in der Exchange-Verwaltungsshell den Parameter UseExternalDNSServersEnabled für die Cmdlets New-SendConnector und Set-SendConnector .
Weiterleiten von E-Mails über Smarthosts
Bei der E-Mail-Weiterleitung über einen Smarthost leitet der Sendeconnector E-Mails an den Smarthost weiter, der seinerseits für die Weiterleitung der E-Mails an den nächsten Hop auf dem Weg zum endgültigen Ziel zuständig ist. Ein gängiges Einsatzszenario für Smarthost-Weiterleitung ist das Senden von ausgehenden E-Mails über einen Antispamdienst oder ein Antispamgerät.
Sie identifizieren einen oder mehrere Smarthosts, die für den Sendeconnector verwendet werden sollen, anhand einer einzelnen IP-Adresse (z. B. 10.1.1.1), eines vollqualifizierten Domänennamens (FQDN) (z. B. spamservice.contoso.com) oder Kombinationen beider Wertetypen. Wenn Sie einen FQDN verwenden, muss der Exchange-Quellserver für den Sendeconnector in der Lage sein, den FQDN (bei dem es sich um einen MX-Eintrag oder einen A-Eintrag handeln kann) mithilfe von DNS aufzulösen.
Eine wichtige Komponente der Smarthost-Weiterleitung ist der Authentifizierungsmechanismus, den der Smarthost verwendet. In der nachfolgenden Tabelle sind die verfügbaren Authentifizierungsmechanismen beschrieben.
| Authentifizierungsmechanismus | Beschreibung |
|---|---|
Keine (None) |
Keine Authentifizierung. Diesen Mechanismus wählen Sie beispielsweise aus, wenn der Zugriff auf den Smarthost über die Quell-IP-Adresse eingeschränkt wird. |
Standardauthentifizierung (BasicAuth) |
Standardauthentifizierung. Erfordert einen Benutzernamen und ein Kennwort. Der Benutzername und das Kennwort werden in Klartext gesendet. |
Anbieten der Standardauthentifizierung nur nach dem Starten von TLS (BasicAuthRequireTLS) |
Standardauthentifizierung mit TLS-Verschlüsselung. Dieser Mechanismus setzt ein Serverzertifikat auf dem Smarthost voraus, das exakt den Smarthost-FQDN enthält, der auch im Sendeconnector definiert wurde. Der Sendeconnector sendet den Befehl STARTTLS an den Smarthost, um eine TLS-Sitzung einzurichten. Die Standardauthentifizierung wird erst durchgeführt, wenn die TLS-Sitzung erfolgreich eingerichtet wurde. Für eine gegenseitige TLS-Authentifizierung ist zusätzlich ein Clientzertifikat erforderlich. |
Exchange Server-Authentifizierung (ExchangeServer) |
GSSAPI-Authentifizierung (generische Sicherheitsdienste-API) und gegenseitige GSSAPI-Authentifizierung |
Extern gesichert (ExternalAuthoritative) |
Es wird davon ausgegangen, dass die Verbindung durch einen Sicherheitsmechanismus außerhalb von Exchange abgesichert ist. Bei der Verbindung kann es sich um eine IPsec-Zuordnung (Internetprotokollsicherheit) oder ein virtuelles privates Netzwerk (VPN) handeln. Alternativ können sich die Server in einem vertrauenswürdigen, physisch überwachten Netzwerk befinden. |
Sendeconnector-Adressräume
Der Adressraum definiert die Zieldomänen, für die der Sendeconnector zuständig ist. Die E-Mail-Weiterleitung über den Sendeconnector funktioniert auf Basis der Domäne, in der sich die E-Mail-Adresse des Empfängers befindet.
In der nachfolgenden Tabelle sind die verfügbaren Werte für SMTP-Adressräume beschrieben.
| Adressraum | Erklärung |
|---|---|
* |
Der Sendeconnector leitet E-Mails an Empfänger in jeder beliebigen Domäne weiter. |
Domäne (z. B contoso.com. ) |
Der Sendeconnector leitet E-Mails an Empfänger in der angegebenen Domäne weiter, nicht jedoch an Empfänger in Unterdomänen dieser Domäne. |
Domäne und Unterdomänen (z. B *.contoso.com. ) |
Der Sendeconnector leitet E-Mails an Empfänger in der angegebenen Domäne und an Empfänger in jeder der Unterdomänen dieser Domäne weiter. |
-- |
Der Sendeconnector leitet E-Mails an Empfänger in jeder beliebigen akzeptierten Domäne in der Exchange-Organisation weiter. Dieser Wert steht nur auf Sendeconnectors auf Edge-Transport-Servern zur Verfügung, die E-Mails an die interne Exchange-Organisation senden. |
Sie können für Adressräume zudem die Werte Type und Cost konfigurieren.
Auf Edge-Transport-Servern muss der Type-Wert sein SMTP. Auf Postfachservern können Sie auch Nicht-SMTP-Adressraumtypen wie X400 oder eine beliebige andere Textzeichenfolge verwenden. X.400-Adressen müssen RFC 1685-konform sein (z. B o=MySite;p=MyOrg;a=adatum;c=us. ), andere Type-Werte akzeptieren jedoch einen beliebigen Textwert für den Adressraum. Wenn Sie einen Nicht-SMTP-Adressraumtyp angeben, muss der Sendeconnector intelligentes Hostrouting verwenden, und SMTP wird zum Senden von Nachrichten an den Smarthost verwendet. Zustellungs-Agent-Connectors und fremde Connectors senden Nicht-SMTP-Nachrichten an Nicht-SMTP-Server, ohne SMTP zu verwenden. Weitere Informationen finden Sie unter Delivery Agents and Delivery Agent Connectors und Foreign Connectors.
Der Adressraum-Wert Cost wird zur Optimierung des Nachrichtenflusses und zwecks Fehlertoleranz verwendet, falls Sie auf mehreren Sendeconnectors auf unterschiedlichen Quellservern ein und dieselben Adressräume konfiguriert haben. Je niedriger der Prioritätswert, desto bevorzugter der Sendeconnector.
Der zur Weiterleitung von Nachrichten an Empfänger verwendete Sendeconnector wird während der Routingauflösungsphase der Nachrichtenkategorisierung ausgewählt. Ausgewählt wird der Sendeconnector, dessen Adressraum die höchste Übereinstimmung mit der E-Mail-Adresse des Empfängers hat und dessen Prioritätswert am niedrigsten ist.
Angenommen, der Empfänger ist julia@marketing.contoso.com. Ist ein Sendeconnector für „*.contoso.com“ konfiguriert, wird die Nachricht über diesen Connector weitergeleitet. Ist kein Sendeconnector für „*.contoso.com“ konfiguriert, wird die Nachricht über den Connector weitergeleitet, der für „*“ konfiguriert ist. Wenn mehrere Sendeconnectors am gleichen Active Directory-Standort für *.contoso.com konfiguriert sind, wird der Connector mit dem niedrigeren Prioritätswert ausgewählt.
Sendeconnectorbereich
Die Quellserver des Sendeconnectors bestimmen den Exchange-Zielserver von E-Mails, die über den Sendeconnector weitergeleitet werden müssen. Der Sendeconnectorbereich steuert die Sichtbarkeit des Connectors innerhalb der Exchange-Organisation.
Standardmäßig sind Sendeconnectors für alle Exchange-Server in der gesamten Active Directory-Gesamtstruktur sichtbar und werden bei Routingentscheidungen berücksichtigt. Sie können den Bereich eines Sendeconnectors jedoch so einschränken, dass der betreffende Connector nur für andere Exchange-Server am selben Active Directory-Standort sichtbar ist. Der Sendeconnector ist dann für Exchange-Server an anderen Active Directory-Standorten unsichtbar und wird in deren Routingentscheidungen nicht berücksichtigt. Ein Sendeconnector, der auf diese Weise eingeschränkt ist, gilt als bereichsbezogener Connector.
Um bereichsbezogene Sendeconnectors im EAC zu konfigurieren, wählen Sie bereichsbezogene Sendeconnectors im Adressraum des Assistenten für den neuen Sendeconnector oder auf der Registerkarte Bereich in den Eigenschaften vorhandener Sendeconnectors aus. In der Exchange-Verwaltungsshell verwenden Sie den Parameter IsScopedConnector für die Cmdlets New-SendConnector und Set-SendConnector .
Sendeconnectorberechtigungen
Wenn der Sendeconnector eine Verbindung mit dem Ziel-E-Mail-Server herstellt, bestimmen die Sendeconnectorberechtigungen die Typen von Headern, die in Nachrichten gesendet werden können. Enthält eine Nachricht Kopfzeilen, die nicht durch die Berechtigungen abgedeckt sind, werden diese Kopfzeilen aus der Nachricht entfernt.
Berechtigungen werden Sendeconnectors auf Basis bekannter Sicherheitsprinzipale zugewiesen. Sicherheitsprinzipale können Benutzerkonten, Computerkonten und Sicherheitsgruppen sein (Objekte, die durch eine Sicherheits-ID oder SID gekennzeichnet sind und denen Berechtigungen zugewiesen werden können). Standardmäßig werden auf allen Sendeconnectors dieselben Sicherheitsprinzipale mit denselben Berechtigungen zugewiesen, unabhängig vom Verwendungstyp, der bei der Erstellung des Connectors ausgewählt wurde. Um die Standardberechtigungen eines Sendeconnectors zu ändern, müssen Sie die Cmdlets Add-ADPermission und Remove-ADPermission in der Exchange-Verwaltungsshell verwenden.
In der nachfolgenden Tabelle sind die verfügbaren Sendeconnectorberechtigungen beschrieben.
| Berechtigung | Zugewiesen an | Beschreibung |
|---|---|---|
ms-Exch-Send-Headers-Forest |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
Steuert die Erhaltung von Exchange-Gesamtstruktur-Kopfzeilen in Nachrichten. Die Namen von Gesamtstruktur-Kopfzeilen beginnen mit X-MS-Exchange-Forest-. Wenn diese Berechtigung nicht gewährt wurde, werden alle Gesamtstruktur-Kopfzeilen aus Nachrichten entfernt. |
ms-Exch-Send-Headers-Organization |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
Steuert die Erhaltung von Exchange-Organisationskopfzeilen in Nachrichten. Die Namen von Organisationskopfzeilen beginnen mit X-MS-Exchange-Organization-. Wenn diese Berechtigung nicht gewährt wurde, werden alle Organisationskopfzeilen aus Nachrichten entfernt. |
ms-Exch-Send-Headers-Routing |
NT AUTHORITY\ANONYMOUS LOGON <Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers MS Exchange\Partner Servers |
Steuert die Erhaltung von RECEIVED -Kopfzeilen in Nachrichten. Wenn diese Berechtigung nicht gewährt wurde, werden alle RECEIVED-Kopfzeilen aus Nachrichten entfernt. |
ms-Exch-SMTP-Send-Exch50 |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers |
Ermöglicht dem Exchange-Quellserver das Übermitteln von XEXCH50-Befehlen auf dem Sendeconnector. Das X-EXCH50 BLOB (Binary Large Object) wurde von älteren Versionen von Exchange (Exchange 2003 und früher) verwendet, um Exchange-Daten in Nachrichten zu speichern (z. B. spam confidence level oder SCL). Wenn diese Berechtigung nicht erteilt wurde und eine Nachricht den BLOB X-EXCH50 enthält, sendet der Exchange-Server die Nachricht ohne den BLOB X-EXCH50. |
ms-Exch-SMTP-Send-XShadow |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers |
Diese Berechtigung ist der internen Verwendung durch Microsoft vorbehalten und wird hier lediglich als Referenz aufgeführt. |
Hinweis: Berechtigungsnamen, die enthalten ms-Exch-Send-Headers- , sind Teil des Headerfirewallfeatures . Weitere Informationen finden Sie unter Kopfzeilenfirewall.
Verfahren für Sendeconnectorberechtigungen
Verwenden Sie die folgende Syntax in der Exchange-Verwaltungsshell, um die Berechtigungen anzuzeigen, die Sicherheitsprinzipalen auf einem Sendeconnector zugewiesen sind:
Get-ADPermission -Identity <SendConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Beispielsweise können Sie mit dem folgenden Befehl die Berechtigungen anzeigen, die allen Sicherheitsprinzipalen auf dem Sendeconnector „To Fabrikam.com" zugewiesen sind:
Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Führen Sie den folgenden Befehl aus, um die Berechtigungen anzuzeigen, die nur dem Sicherheitsprinzipal NT AUTHORITY\ANONYMOUS LOGON für den Sendeconnector mit dem Namen An Fabrikam zugewiesen sind:
Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Verwenden Sie die folgende Syntax, um einem Sicherheitsprinzipal auf einem Sendeconnector Berechtigungen hinzuzufügen:
Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...
Verwenden Sie die folgende Syntax, um Berechtigungen aus einem Sicherheitsprinzipal auf einem Sendeconnector zu entfernen:
Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...