Szenario für regulierte Partner mit erzwungener TLS

  • Artikel

 

Gilt für: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Letzte Änderung des Themas: 2011-10-20

Organisationen können einen sicheren Kanal für den E-Mail-Fluss zu und von vertrauenswürdigen Partnern einrichten, indem sie E-Mail-Routing mithilfe von Forefront Online Protection für Exchange (FOPE)-Connectors konfigurieren. Eventuell benötigen manche Geschäftspartner für die Kommunikation über TLS (Transport Layer Security) eine Organisation, oder sie müssen sich mit einem durch Dritte überprüften Zertifikat anmelden. Wenn Sie FOPE-Connectors verwenden, können Sie mit selbstsignierten Zertifikaten oder mit durch eine Zertifizierungsstelle überprüften Zertifikaten eingehende und ausgehende TLS erzwingen. TLS ist ein Kryptografieprotokoll, das Sicherheit für die Kommunikation im Internet bereitstellt. Ausführlichere Informationen zum Verwenden von TLS in FOPE finden Sie unter Grundlegendes zu TLS (Transport Layer Security) in FOPE.

In diesem Beispielszenario hat "contoso.com" einen sicheren E-Mail-Routingkanal für "fabrikambank.com" eingerichtet. Contoso hostet die Postfächer in einer E-Mail-Lösung, die in einer Microsoft Exchange Online-Cloud gehostet ist. Durch bidirektionale TLS-Verschlüsselung sind E-Mails an und von Fabrikam Bank über FOPE geschützt.

Tipp: In Szenario für regulierte Partner mit erzwungener TLS (Video möglicherweise in englischer Sprache) können Sie ein Video betrachten, in dem dieses Szenario beschrieben wird und die Konfigurationsschritte für die FOPE-Connectors veranschaulicht werden.

Bidirektionaler E-Mail-Fluss

Beim Empfang eingehender oder ausgehender E-Mails in der Cloud wird die folgende regulierte Partnerarchitektur verwendet:

Geschäftsszenario für regulierte Partner

In diesem Szenario werden E-Mails zwischen der Exchange Online-Organisation von Contoso und Fabrikam mithilfe erzwungener eingehender und ausgehender TLS über eine sichere Leitung übertragen. Außerdem werden alle E-Mails zwischen den beiden Organisationen mit einem Zertifizierungsstellenzertifikat überprüft.

Konfigurieren eines regulierten Partners

Zum Konfigurieren einer regulierten Partnerbeziehung müssen Sie eingehende und ausgehende FOPE-Connectors erstellen.

So konfigurieren Sie einen eingehenden FOPE-Connector für einen regulierten Partner

  1. Klicken Sie im FOPE-Administration Center auf die Registerkarte Verwaltung und dann auf die Registerkarte Firma.

  2. Klicken Sie im Abschnitt Connectors für Eingehende Connectors auf Hinzufügen. Das Dialogfeld Eingehenden Connector hinzufügen wird geöffnet.

    In der folgenden Abbildung werden Einstellungen für eingehende Connectors im Beispielszenario für regulierte Partner mit erzwungener TLS gezeigt.

    Eingehender Connector für regulierte Partner

  3. Geben Sie im Feld Name einen beschreibenden Namen für den eingehenden Connector ein.

  4. Geben Sie im Feld Beschreibung weitere Informationen zur Beschreibung des eingehenden Connectors ein.

  5. Geben Sie im Textfeld Absenderdomänen den Domänennamen der Organisation ein, für die Sie einen sicheren Kanal einrichten möchten, z. B. fabrikambank.com.

  6. Geben Sie im Feld Absender-IP-Adressen eine oder mehrere IP-Adressen für den Partner ein. IP-Adressen müssen im Format nnn.nnn.nnn.nnn angegeben werden, wobei nnn eine Zahl von 1 bis 255 ist. Sie können auch CIDR (Classless Inter-Domain Routing)-Bereiche im Format nnn.nnn.nnn.nnn/rr angegeben, wobei rr eine Zahl von 24 bis 31 ist. Mehrere IP-Adressen müssen mit einem Komma getrennt werden. Es ist zwar zu empfehlen, hier IP-Adressen anzugeben, aber Sie können das Feld leer lassen, wenn Sie die bestimmte IP-Adresse oder die der Domäne zugeordneten Adressen nicht kennen oder Sie einen Connector mit weitem Geltungsbereich erstellen möchten.

  7. Wählen Sie Fügen Sie diese IP-Adressen der Liste sicherer Adressen hinzu, und akzeptieren Sie E-Mail für die oben angegebenen Domänen nur von diesen IP-Adressen aus. Hierdurch wird sichergestellt, dass E-Mails von der angegebenen Absenderdomäne nur von den angegebenen Absender-IP-Adressen stammen. (Wenn Sie im vorherigen Schritt keine Absender-IP-Adressen angegeben haben, wählen Sie stattdessen Fügen Sie diese IP-Adressen der Liste sicherer Adressen für die oben angegebenen Domänen hinzu aus.)

  8. Wählen Sie im Abschnitt Connectoreinstellungen für Einstellungen für TLS (Transport Layer Security) die Option TLS erzwingen aus. Mit dieser Option kann erzwungen werden, dass Partner eine TLS-Verbindung verwenden, wenn sie E-Mails an Benutzer senden, die in der Cloud gehostet werden. Wenn die Verbindung nicht TLS-basiert ist, lehnt FOPE die E-Mail ab.

    Ausführlichere Informationen zum Verwenden von TLS in FOPE finden Sie unter Grundlegendes zu TLS (Transport Layer Security) in FOPE.

  9. Mit den Kontrollkästchen im Abschnitt Connectoreinstellungen können Sie festlegen, dass die folgenden Vorgänge für Filterung angewendet oder übersprungen werden. Diese Filteroptionen sind standardmäßig aktiviert (werden standardmäßig angewendet).

    IP-Reputationsfilterung anwenden – Gibt an, ob die IP-Reputationsfilterung auf eingehende E-Mails angewendet werden soll. Diese Option ist für dieses Szenario ungeeignet.

    Spamfilterung anwenden – Gibt an, ob die Spamfilterung auf eingehende E-Mails angewendet werden soll.

    Richtlinienregeln anwenden – Gibt an, ob Richtlinienregeln auf eingehende E-Mails angewendet werden sollen.

  10. Klicken Sie auf Speichern.

Der Connector wird jetzt unter Eingehende Connectors aufgeführt. Sie können den Connector erweitern, um seine Einstellungen anzuzeigen. Sie können auf Bearbeiten klicken, um die Konfigurationseinstellungen für diesen Connector zu ändern.

Wenn Sie diese Connectorkonfiguration auf das gesamte Unternehmen oder bestimmte Domänen des Unternehmens anwenden oder diesen Connector entfernen möchten, finden Sie entsprechende Informationen unter Erzwingen und Entfernen von FOPE-Connectorzuordnungen.

So konfigurieren Sie einen eingehenden FOPE-Connector in einem Szenario für regulierte Partner

  1. Klicken Sie im FOPE-Administration Center auf die Registerkarte Verwaltung und dann auf die Registerkarte Firma.

  2. Klicken Sie im Abschnitt Connectors für Ausgehende Connectors auf Hinzufügen. Das Dialogfeld Ausgehenden Connector hinzufügen wird geöffnet.

    In der folgenden Abbildung werden Einstellungen für ausgehende Connectors im Beispielszenario für regulierte Partner mit erzwungener TLS gezeigt.

    Ausgehender Connector für regulierte Partner

  3. Geben Sie im Feld Name einen beschreibenden Namen für den ausgehenden Connector ein.

  4. Geben Sie im Feld Beschreibung weitere Informationen zur Beschreibung des ausgehenden Connectors ein.

  5. Geben Sie im Textfeld Empfängerdomänen den Domänennamen für die Organisation ein, für die Sie einen sicheren Kanal einrichten möchten.

  6. Aktivieren Sie das Kontrollkästchen Alle Nachrichten an das folgende Ziel übermitteln, und geben Sie dann für Vollqualifizierter Domänenname einen vollqualifizierten Domänennamen an. Geben Sie in diesem Feld den vollqualifizierten Namen der Domäne an, an die FOPE E-Mails senden soll (z. B. fabrikambank.com).

  7. Im Abschnitt Einstellungen für TLS (Transport Layer Security) können Sie eine von mehreren TLS-Zertifikatoptionen auswählen:

    • Gültigkeitsprüfung mit selbstsigniertem Zertifikat – Dieses in einer Organisation erstellte Zertifikat wird zum Verschlüsseln des Kanals verwendet.

    • Die ausstellende Zertifizierungsstelle wird von Microsoft als vertrauenswürdig eingestuft – Überprüft, ob das Empfängerzertifikat von einer autorisierten Zertifizierungsstelle ausgestellt wurde. Beispielsweise wird überprüft, ob das Zertifikat abgelaufen und authentisch ist.

    • Das Empfängerzertifikat entspricht der Zieldomäne – Mit dieser Option erfolgt eine genauere Überprüfung als mit Die ausstellende Zertifizierungsstelle wird von Microsoft als vertrauenswürdig eingestuft, da auch überprüft wird, ob der alternative Antragstellername im Zertifikat dem Namen der Empfängerdomäne entspricht.

    • Übereinstimmung für Empfängerzertifikat – Mit dieser Option erfolgt eine genauere Überprüfung als mit Die ausstellende Zertifizierungsstelle wird von Microsoft als vertrauenswürdig eingestuft, da auch überprüft wird, ob der alternative Antragstellername im Zertifikat der Eingabe im Textfeld entspricht.

  8. Klicken Sie auf Speichern.

Der Connector wird jetzt unter Ausgehende Connectors aufgeführt. Sie können den Connector erweitern, um seine Einstellungen anzuzeigen. Sie können auf Bearbeiten klicken, um die Konfigurationseinstellungen für diesen Connector zu ändern.

Wenn Sie diese Connectorkonfiguration auf das gesamte Unternehmen oder bestimmte Domänen des Unternehmens anwenden oder diesen Connector entfernen möchten, finden Sie entsprechende Informationen unter Erzwingen und Entfernen von FOPE-Connectorzuordnungen.