Konfigurieren der FOPE-Connectors in einem Szenario für gemeinsamen Adressraum mit lokalem Relay (MX verweist auf lokalen Server) – Hinzufügen von FOPE-Filterung

  • Artikel

 

Gilt für: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Letzte Änderung des Themas: 2012-10-02

Tipp

  • Wenn Sie eine lokale Schutzlösung verwenden und Forefront Online Protection für Exchange (FOPE) bei eingehenden E-Mails, die die Umkreisüberprüfung bereits bestanden haben, keine zusätzliche Spam- und Richtlinienfilterung durchführen soll, überspringen Sie dieses Thema, und führen Sie die im Bereitstellungs-Assistenten für Exchange beschriebenen empfohlenen Schritte zur FOPE-Connectorkonfiguration aus.

  • Weitere Informationen zu den ersten Schritten mit dem Bereitstellungs-Assistenten für Exchange zum Konfigurieren dieses Szenarios finden Sie unter "Zugreifen auf den Bereitstellungs-Assistenten für Exchange zum Konfigurieren eines Szenarios für gemeinsamen Adressraum mit lokalem Relay (MX verweist auf lokalen Server)" in Szenario für gemeinsamen Adressraum mit lokalem Relay (MX verweist auf lokalen Server).

  • Wenn Sie FOPE verwenden möchten, um eingehende E-Mails von einer externen Adresse an die Exchange Online-Postfächer zu filtern, verwenden Sie die nachstehenden alternativen Verfahren, und befolgen Sie nicht die Schritte zur FOPE-Connectorkonfiguration des Bereitstellungs-Assistenten für Exchange, die für die meisten Kunden empfohlen werden. Es wird empfohlen, den Bereitstellungs-Assistenten für Exchange zu verwenden, um Connectors für dieses Szenario zu konfigurieren, bei denen es sich nicht um FOPE-Connectors handelt.


Wenn FOPE in einem Szenario für freigegebenen Adressraum mit lokalem Relay (MX verweist auf lokalen Server) (weitere Informationen finden Sie unter Szenario für gemeinsamen Adressraum mit lokalem Relay (MX verweist auf lokalen Server)) verwendet wird, wird die Beziehung zwischen der lokalen Lösung und FOPE mit Connectors verwaltet, die Sie in der FOPE-Verwaltungskonsole konfigurieren müssen.

In den folgenden Verfahren wird gezeigt, wie unternehmensweite eingehende und ausgehende Connectors für alle Szenarien (eingehend, ausgehend und organisationsintern) konfiguriert werden. In den ersten beiden Verfahren wird gezeigt, wie zwei unterschiedliche eingehende Connectors erstellt werden: ein Connector für eingehende E-Mails, die von einer externen Organisation gesendet werden, und ein Connector für E-Mails, die innerhalb der Organisation (organisationsintern) gesendet werden. Im dritten Verfahren wird gezeigt, wie Sie einen ausgehenden Connector konfigurieren.

Konfigurieren eines eingehenden FOPE-Connectors in einem Szenario für freigegebenen Adressraum mit lokalem Relay (externe E-Mails)

  1. Klicken Sie in der FOPE-Verwaltungskonsole auf die Registerkarte Verwaltung und dann auf die Registerkarte Firma.

  2. Klicken Sie im Abschnitt Connectors für Eingehende Connectors auf Hinzufügen. Das Dialogfeld Eingehenden Connector hinzufügen wird geöffnet. In der folgenden Abbildung werden Einstellungen für eingehende Connectors für dieses Szenario gezeigt, wenn eingehende E-Mails von einer externen Organisation an Ihre Organisation gesendet werden.

    Gemeinsamer Adressraum mit lokalem Relay (eingehend)

  3. Geben Sie im Feld Name einen Namen für den eingehenden Connector ein.

  4. Geben Sie im Feld Beschreibung weitere Informationen über den eingehenden Connector ein.

  5. Geben Sie im Feld Absenderdomänen die Platzhalterzeichen *.* ein, um anzugeben, dass dieser eingehende Connector auf alle Domänen angewendet wird, von denen FOPE E-Mails empfängt.

  6. Geben Sie im Feld Absender-IP-Adressen die IP-Adresse bzw. die IP-Adressen für die lokalen Server ein. IP-Adressen müssen im Format nnn.nnn.nnn.nnn angegeben werden, wobei nnn eine Zahl von 1 bis 255 ist. Sie können auch CIDR (Classless Inter-Domain Routing)-Bereiche im Format nnn.nnn.nnn.nnn/rr angeben, wobei rr eine Zahl von 24 bis 31. Trennen Sie mehrere IP-Adressen durch ein Komma. Sie können dieses Feld leer lassen, wenn Sie die der Domäne zugeordneten IP-Adressen nicht kennen oder wenn Sie einen Connector für einen großen Einsatzbereich erstellen. Dies ist aber nicht empfehlenswert.

  7. Wählen Sie Fügen Sie diese IP-Adressen der Liste sicherer Adressen hinzu, und akzeptieren Sie E-Mail für die oben angegebenen Domänen nur von diesen IP-Adressen aus. Hierdurch wird sichergestellt, dass E-Mails von der angegebenen Absenderdomäne nur von den angegebenen Absender-IP-Adressen stammen. (Wenn Sie im vorherigen Schritt keine Absender-IP-Adressen angegeben haben, wählen Sie stattdessen Fügen Sie diese IP-Adressen der Liste sicherer Adressen für die oben angegebenen Domänen hinzu aus.)

  8. Wählen Sie im Abschnitt Connectoreinstellungen für die Einstellungen für TLS (Transport Layer Security) die Option TLS erzwingen aus. Dadurch können Sie eine TLS-Verbindung erzwingen, wenn lokale Kunden E-Mails an Benutzer senden, die in der Cloud gehostet werden.

    SicherheitshinweisSicherheit Hinweis:
    Wenn Sie TLS erzwingen und der Absender Nachrichten nicht über TLS sendet (aufgrund eines Systemausfalls, weil die Unterstützung für TLS deaktiviert ist oder aus einem anderen Grund), werden die Nachrichten abgelehnt. Beachten Sie dennoch Folgendes: Selbst wenn Sie als Empfänger TLS erzwingen, besteht die Möglichkeit, dass die E-Mails des Absenders als Nur-Text an FOPE übertragen werden, bevor sie abgelehnt werden. Damit sichergestellt ist, dass die E-Mails sicher an FOPE übertragen werden, muss auch der Absender TLS erzwingen. Ausführlichere Informationen zum Verwenden von TLS in FOPE finden Sie unter Grundlegendes zu TLS (Transport Layer Security) in FOPE.

    Aktivieren Sie Übereinstimmung für Absenderzertifikat, und geben Sie dann den Zertifikatantragstellernamen an, den Sie auf dem lokalen Hybridserver konfiguriert haben (z. B. certificate.contoso.com). Sie können in diesem Feld mit dem Platzhalterzeichen * eine Ebene von Unterdomänen angeben. Wenn Sie z. B. *.domain.com, angeben, stimmt FOPE mit subdomain1.domain.com überein, jedoch nicht mit subdomain2.subdomain1.domain.com.

    Hinweis: Die Domäne, die Sie hier angeben, muss mit der Domäne übereinstimmen, die Sie zuvor beim Erstellen der eingehenden Remotedomäne in der cloudbasierten Organisation angegeben haben.

  9. Stellen Sie sicher, dass im Abschnitt Connectoreinstellungen für die Einstellungen von Filterung die Kontrollkästchen Spamfilterung anwenden und Richtlinienregeln anwenden aktiviert sind.

  10. Klicken Sie auf Speichern.

Der Connector wird jetzt unter Eingehende Connectors aufgeführt. Sie können den Connector erweitern, um seine Einstellungen anzuzeigen. Sie können auf Bearbeiten klicken, um die Konfigurationseinstellungen für diesen Connector zu ändern.

Wenn Sie diese Connectorkonfiguration auf das gesamte Unternehmen oder bestimmte Domänen des Unternehmens anwenden oder diesen Connector entfernen möchten, finden Sie entsprechende Informationen unter Erzwingen und Entfernen von FOPE-Connectorzuordnungen.

Konfigurieren eines eingehenden FOPE-Connectors in einem Szenario für freigegebenen Adressraum mit lokalem Relay (organisationsinterne E-Mails)

  1. Klicken Sie in der FOPE-Verwaltungskonsole auf die Registerkarte Verwaltung und dann auf die Registerkarte Firma.

  2. Klicken Sie im Abschnitt Connectors für Eingehende Connectors auf Hinzufügen. Das Dialogfeld Eingehenden Connector hinzufügen wird geöffnet. In der folgenden Abbildung werden Einstellungen für eingehende Connectors für dieses Szenario gezeigt, wenn E-Mails innerhalb der Organisation (organisationsintern) gesendet werden.

    Gemeinsamer Adressraum mit lokalem Relay (organisationsintern)

  3. Geben Sie im Feld Name einen Namen für den eingehenden Connector ein.

  4. Geben Sie im Feld Beschreibung weitere Informationen über den eingehenden Connector ein.

  5. Geben Sie im Feld Absenderdomänen den Domänennamen für den lokalen Server ein (z. B. contoso.com).

  6. Geben Sie im Feld Absender-IP-Adressen die IP-Adresse bzw. die IP-Adressen für die lokalen Server ein. IP-Adressen müssen im Format nnn.nnn.nnn.nnn angegeben werden, wobei nnn eine Zahl von 1 bis 255 ist. Sie können auch CIDR (Classless Inter-Domain Routing)-Bereiche im Format nnn.nnn.nnn.nnn/rr angeben, wobei rr eine Zahl von 24 bis 31. Trennen Sie mehrere IP-Adressen durch ein Komma. Sie können dieses Feld leer lassen, wenn Sie die der Domäne zugeordneten IP-Adressen nicht kennen oder wenn Sie einen Connector für einen großen Einsatzbereich erstellen. Dies ist aber nicht empfehlenswert.

  7. Wählen Sie Fügen Sie diese IP-Adressen der Liste sicherer Adressen hinzu, und akzeptieren Sie E-Mail für die oben angegebenen Domänen nur von diesen IP-Adressen aus. Hierdurch wird sichergestellt, dass E-Mails von der angegebenen Absenderdomäne nur von den angegebenen Absender-IP-Adressen stammen. (Wenn Sie im vorherigen Schritt keine Absender-IP-Adressen angegeben haben, wählen Sie stattdessen Fügen Sie diese IP-Adressen der Liste sicherer Adressen für die oben angegebenen Domänen hinzu aus.)

  8. Wählen Sie im Abschnitt Connectoreinstellungen für die Einstellungen für TLS (Transport Layer Security) die Option TLS erzwingen aus.

    SicherheitshinweisSicherheit Hinweis:
    Wenn Sie TLS erzwingen und der Absender E-Mails nicht über TLS sendet (aufgrund eines Systemausfalls, weil die Unterstützung für TLS deaktiviert ist oder aus einem anderen Grund), werden die E-Mails abgelehnt. Beachten Sie dennoch Folgendes: Selbst wenn Sie als Empfänger TLS erzwingen, besteht die Möglichkeit, dass die E-Mails des Absenders als Nur-Text an FOPE übertragen werden, bevor sie abgelehnt werden. Damit sichergestellt ist, dass die E-Mails sicher an FOPE übertragen werden, muss auch der Absender TLS erzwingen. Ausführlichere Informationen zum Verwenden von TLS in FOPE finden Sie unter Grundlegendes zu TLS (Transport Layer Security) in FOPE.

    Aktivieren Sie Übereinstimmung für Absenderzertifikat, und geben Sie dann den Zertifikatantragstellernamen an, den Sie auf dem lokalen Hybridserver konfiguriert haben (z. B. certificate.contoso.com). Sie können in diesem Feld mit dem Platzhalterzeichen * eine Ebene von Unterdomänen angeben. Wenn Sie z. B. *.domain.com, angeben, stimmt FOPE mit subdomain1.domain.com überein, jedoch nicht mit subdomain2.subdomain1.domain.com.

    Hinweis: Die Domäne, die Sie hier angeben, muss mit der Domäne übereinstimmen, die Sie zuvor beim Erstellen der eingehenden Remotedomäne in der cloudbasierten Organisation angegeben haben.

  9. Deaktivieren Sie im Abschnitt Connectoreinstellungen für die Optionen von Filterung die folgenden Kontrollkästchen.

    IP-Reputationsfilterung anwenden – Gibt an, dass Sie die IP-Reputationsfilterung für eingehende E-Mails überspringen möchten. Diese Option ist für dieses Szenario ungeeignet.

    Spamfilterung an – Gibt an, dass Sie die Spamfilterung für eingehende E-Mails überspringen möchten. Dies kann dazu führen, dass von der Organisation Spam-E-Mails empfangen werden, wenn diese vom lokalen Server versendet werden.

    Richtlinienregeln anwenden – Gibt an, dass Sie das Anwenden von Richtlinienregeln auf eingehende E-Mails überspringen möchten.

  10. Klicken Sie auf Speichern.

Der Connector wird jetzt unter Eingehende Connectors aufgeführt. Sie können den Connector erweitern, um seine Einstellungen anzuzeigen. Sie können auf Bearbeiten klicken, um die Konfigurationseinstellungen für diesen Connector zu ändern.

Wenn Sie diese Connectorkonfiguration auf das gesamte Unternehmen oder bestimmte Domänen des Unternehmens anwenden oder diesen Connector entfernen möchten, finden Sie entsprechende Informationen unter Erzwingen und Entfernen von FOPE-Connectorzuordnungen.

Konfigurieren eines ausgehenden FOPE-Connectors in einem Szenario für freigegebenen Adressraum mit lokalem Relay

  1. Klicken Sie in der FOPE-Verwaltungskonsole auf die Registerkarte Verwaltung und dann auf die Registerkarte Firma.

  2. Klicken Sie im Abschnitt Connectors für Ausgehende Connectors auf Hinzufügen. Das Dialogfeld Ausgehenden Connector hinzufügen wird geöffnet. In der folgenden Abbildung werden Einstellungen für den ausgehenden Connector in diesem Beispielszenario gezeigt.

    Zentralisierte E-Mail-Steuerung – ausgehender Connector

  3. Geben Sie im Feld Name einen Namen für den ausgehenden Connector ein.

  4. Geben Sie im Feld Beschreibung weitere Informationen über den ausgehenden Connector ein.

  5. Geben Sie im Feld Empfängerdomänen die Platzhalterzeichen *.* ein, um anzugeben, dass dieser ausgehende Connector auf alle Domänen angewendet wird, an die FOPE E-Mails sendet.

  6. Aktivieren Sie das Kontrollkästchen Alle Nachrichten an das folgende Ziel übermitteln, und geben Sie dann eine der folgenden Optionen an:

    • IP-Adresse – Geben Sie FOPE an, um E-Mails an eine einzelne IP-Adresse (z. B. die IP-Adresse des lokalen Mailservers von Contoso) weiterzuleiten.

    • Vollqualifizierter Domänenname – Geben Sie den vollqualifizierten Namen der Domäne des Servers an, an den FOPE E-Mails senden soll (z. B. contoso.com).

    • Multi-SMTP-Profil für Mailserver – Wählen Sie in dieser Dropdownliste ein ausgehendes Profil aus, wenn Sie zuvor ein solches erstellt haben. Ausgehende Multi-SMTP-Profile ermöglichen es Ihnen, mithilfe von Roundrobin-Lastenausgleich E-Mails an mehrere E-Mail-Server im Netzwerk zu übermitteln.

      Funktionsweise und Erstellung von ausgehenden Multi-SMTP-Profilen ähneln der Funktionsweise und Erstellung von eingehenden Multi-SMTP-Profilen. Weitere Informationen finden Sie unter Konfigurieren von eingehenden Multi-SMTP-Profilen.

  7. Wählen Sie im Abschnitt Einstellungen für TLS (Transport Layer Security) die Option Übereinstimmung für Empfängerzertifikat aus, und geben Sie den auf dem lokalen Hybridserver konfigurierten Zertifikatantragstellernamen (z. B. certificate.contoso.com) im zugehörigen Feld ein.

    Sie haben auch die Option, Opportunistisches TLS auszuwählen. Wenn Sie Opportunistisches TLS auswählen, versucht FOPE, eine TLS-Verbindung herzustellen, und verwendet automatisch eine SMTP-Verbindung, wenn der empfangende Mailserver nicht für TLS konfiguriert ist. Sie können auch zwischen mehreren anderen TLS-Zertifikatoptionen wählen:

    • Gültigkeitsprüfung mit selbstsigniertem Zertifikat – Dieses in einer Organisation erstellte Zertifikat wird zum Verschlüsseln des Kanals verwendet.

    • Die ausstellende Zertifizierungsstelle wird von Microsoft als vertrauenswürdig eingestuft – Überprüft, ob das Empfängerzertifikat von einer autorisierten Zertifizierungsstelle ausgestellt wurde. Beispielsweise wird überprüft, ob das Zertifikat abgelaufen und authentisch ist.

    • Das Empfängerzertifikat entspricht der Zieldomäne – Mit dieser Option erfolgt eine genauere Überprüfung als mit Die ausstellende Zertifizierungsstelle wird von Microsoft als vertrauenswürdig eingestuft, da auch überprüft wird, ob der alternative Antragstellername im Zertifikat dem Namen der Empfängerdomäne entspricht. Diese Option ist für dieses Szenario ungeeignet.

    • Übereinstimmung für Empfängerzertifikat – Mit dieser Option erfolgt eine genauere Überprüfung als mit Die ausstellende Zertifizierungsstelle wird von Microsoft als vertrauenswürdig eingestuft, da auch überprüft wird, ob der alternative Antragstellername im Zertifikat der Eingabe im Textfeld entspricht. Dies ist die empfohlene Option.

  8. Klicken Sie auf Speichern.

Der Connector wird jetzt unter Ausgehende Connectors aufgeführt. Sie können den Connector erweitern, um seine Einstellungen anzuzeigen. Sie können auf Bearbeiten klicken, um die Konfigurationseinstellungen für diesen Connector zu ändern.

Wenn Sie diese Connectorkonfiguration auf das gesamte Unternehmen oder bestimmte Domänen des Unternehmens anwenden oder diesen Connector entfernen möchten, finden Sie entsprechende Informationen unter Erzwingen und Entfernen von FOPE-Connectorzuordnungen.

Siehe auch

Konzepte

Szenario für gemeinsamen Adressraum mit lokalem Relay (MX verweist auf lokalen Server)