Konfigurieren der Exchange 2007-Serverfunktion "HUB-Transport" für den Empfang von Internet-E-Mail
Letztes Änderungsdatum des Themas: 2011-06-16
In Microsoft Exchange Server 2007 ähneln sich der Edge-Transport-Server und der Hub-Transport-Server. Sie sind jedoch für die besonderen Funktionen konzipiert, die sie übernehmen, und weisen unterschiedliche Standardeinstellungen auf. Die Serverfunktion Edge-Transport ist z. B. für den Empfang von Internet-E-Mail konfiguriert. Die Serverfunktion Hub-Transport ist so sicher wie möglich konfiguriert und nimmt keine Nachrichten aus nicht authentifizierten (nicht vertrauenswürdigen) Quellen an.
Da der Hub-Transport-Server sicherer als der Edge-Transport-Server ist, können (oder wollen) einige Kunden keinen Edge-Transport-Server ausführen. Was geschieht in diesem Fall jedoch, wenn Sie Internet-E-Mail auf dem Hub-Transport-Server empfangen möchten? In diesem Thema wird beschrieben, wie ein Empfangsconnector auf einem Hub-Transport-Server zum Empfangen von Internet-E-Mail konfiguriert werden kann.
Exchange Server und das Internet
Da Microsoft Exchange direkten Zugriff auf den Active Directory-Verzeichnisdienst erfordert, sollten Servercomputer mit Microsoft Exchange nicht direkt mit dem Internet verbunden sein. Unabhängig davon, ob die Serverfunktion Edge-Transport oder Hub-Transport für den Empfang von Internet-E-Mail ausgewählt wird, sollte sich der Servercomputer mit Exchange hinter einer Firewall befinden. Der verwendete Firewalltyp hängt von den Protokollen ab, die auf das Internet zugreifen können müssen. Für die Clientzugriffsserver-Protokolle (z. B. HTTPS, IMAP und POP) sollte der Servercomputer mit Exchange mit einem Reverse-Proxy bzw. einer Portweiterleitungsfirewall wie etwa ISA Server (Internet Security and Acceleration) geschützt werden. ISA kann Angriffe erkennen und abwehren. Für SMTP (Simple Mail Transfer Protocol) wird empfohlen, die Serverfunktion Edge-Transport zu installieren. Im Gegensatz zu anderen aktiven SMTP-Filterlösungen enthält der Edge-Transport-Server alle Funktionen von Exchange 2007 und kann optional vollständig vom Rest der Gesamtstruktur getrennt werden.
Wird nur ein Server verwendet, ist es empfehlenswert, einen Schutzdienst wie etwa EHS (Exchange Hosted Services) zu verwenden. Möglicherweise bietet auch Ihr Internetdienstanbieter einen ähnlichen Dienst an. Normalerweise befindet sich Microsoft Exchange in einer gängigen Konfiguration für einen einzelnen Servercomputer mit Exchange direkt hinter einer NAT-Firewall oder einem Reverse-Proxy wie z. B. ISA. Diese Vorgehensweise birgt offenkundig einige zusätzliche Risiken. Für viele kleinere Kunden ist dieses Risiko jedoch akzeptabel.
Weitere Informationen zu Exchange Server und den Optionen, die für Internetverbindungen verfügbar sind, finden Sie im Thema Konfigurieren von Connectors für die Internetnachrichtenübermittlung.
Features, die bei Verwendung der Serverfunktion "Hub-Transport" nicht verfügbar sind
Wenn Sie die Serverfunktion Hub-Transport anstelle der Serverfunktion Edge-Transport zum Empfangen von Internet-E-Mail verwenden, gilt Folgendes für die Serverhauptfeatures:
Der Edge-Transport-Server kann in einem Umkreisnetzwerk bereitgestellt werden. Dieser Server muss nicht Mitglied einer Domäne sein, damit die Sicherheit verbessert wird. Im Gegensatz dazu muss der Hub-Transport-Server über eine Verbindung mit dem Active Directory-Verzeichnisdienst verfügen.
Der Hub-Transport-Server darf nicht isoliert werden. Der SMTP-Datenstrom aus dem Internet kann bis zu 70 % Spam enthalten. Indem der SMTP-Datenstrom vom internen Datenverkehr getrennt wird, können Sie die Verarbeitung und Filterung von Spam auf den internen Servern verhindern. Die internen Server können dann Routing und andere Vorgänge zwischen Postfächern ausführen und die Einhaltung von Richtlinien überwachen. Dies ist besonders wichtig, wenn interne E-Mail-Nachrichten von entscheidender Bedeutung sind.
Der Agent für Edge-Transport-Regeln ist nicht verfügbar. Der Agent für Hub-Transport-Regeln ist jedoch verfügbar und wird hauptsächlich für die Einhaltung von Richtlinien verwendet. Die Edge-Transport-Regeln dienen im Gegensatz dazu hauptsächlich dem Schutz. Weitere Informationen zu diesem Themenkreis finden Sie im Thema Understanding Transport Rules (englischsprachig).
Die Hub-Transport-Regeln enthalten einige Anlagenoptionen. Der Hub-Transport-Server kann jedoch den eingehenden MIME-Datenstrom auf Protokollebene nicht auf bösartige Anlagentypen untersuchen und Nachrichten zurückweisen. Als Problemumgehung für dieses fehlende Feature können Antivirusprodukte wie z. B. Microsoft Forefront verwenden werden, um diese Funktionen bereitzustellen.
Der Adressumschreibungs-Agent ist auf dem Hub-Transport-Server nicht verfügbar. Im Allgemeinen wird dieser Agent von größeren Unternehmen verwendet, die Edge-Transport-Server oder zusätzliche Software verwenden, die diese Funktionen ausführen kann. Weitere Informationen zu diesem Feature finden Sie im Thema Verwalten des Adressumschreibungs-Agents.
Konfigurieren eines Empfangsconnectors
Empfangsconnectors fungieren als logische Gateways, über die alle eingehenden Nachrichten empfangen werden. Empfangsconnectors können auf verschiedene Weise konfiguriert werden. Die folgenden Anweisungen beschränken sich jedoch auf die geringstmögliche Anzahl von Schritten, die erforderlich sind, um Empfangsconnectors mithilfe der Exchange-Verwaltungskonsole zu konfigurieren.
Konfigurieren von Empfangsconnectors in der Exchange-Verwaltungskonsole
Klicken Sie in der Exchange-Verwaltungskonsole unter dem Knoten Serverkonfiguration auf Hub-Transport.
Klicken Sie im Ergebnisbereich auf den Namen des Servers, auf dem die Serverfunktion Hub-Transport installiert ist.
Doppelklicken Sie im Arbeitsbereich auf der Registerkarte Empfangsconnectors auf Standard<servername>.
Klicken Sie auf der Registerkarte Berechtigungsgruppen, um das Kontrollkästchen Anonyme Benutzer zu aktivieren, und klicken Sie dann auf OK.
Hinweis
Wenn Sie diesen Schritt nicht abschließen, erhält der Absender die folgende NDR-Fehlermeldung, wenn Nachrichten an den Hub-Transport-Server gesendet werden: "530 5.7.1 Client wurde nicht authentifiziert."
Weitere Informationen zu Empfangsconnectors finden Sie unter den folgenden Themen:
Akzeptierte Domänen
Standardmäßig akzeptieren Servercomputer mit Microsoft Exchange nur E-Mail-Nachrichten, die an die Windows-Domäne gerichtet sind, bei der der Server Mitglied ist. Wenn E-Mail-Nachrichten angenommen werden sollen, die an Ihre externe SMTP-Domäne gerichtet sind, müssen Sie ggf. eine neue akzeptierte Domäne erstellen.
Weitere Informationen zum Erstellen einer neuen akzeptierten Domäne finden Sie im Thema Erstellen akzeptierter Domänen.
Hinweis
Wenn Sie diesen Schritt nicht abschließen, erhalten Absender in der Organisation ggf. die folgende NDR-Fehlermeldung, wenn Nachrichten direkt gesendet werden: "550 5.7.1 Kein Relay möglich."
Konfigurieren eines Sendeconnectors
Damit E-Mail-Nachrichten gesendet werden können, müssen Sie einen Sendeconnector konfigurieren. Wenn Sie Microsoft Exchange in einer vorhandenen Umgebung mit Microsoft Exchange Server 2003 installiert haben, verfügen Sie wahrscheinlich bereits über einen Sendeconnector (SMTP-Connector). Sie müssen möglicherweise die Einstellungen überprüfen.
Wenn sich der Connector auf dem Servercomputer mit Exchange 2003 befindet, können Sie die Einstellungen mithilfe der Exchange 2007-Verwaltungskonsole anzeigen. Alle Änderungen an der Sendeconnectorkonfiguration müssen jedoch mithilfe des System-Managers von Exchange 2003 abgeschlossen werden. Wenn z. B. nur ein Connector auf dem Servercomputer mit Exchange 2003 vorhanden ist, durchlaufen alle ausgehenden E-Mail-Nachrichten den Servercomputer mit Exchange 2003. Wenn ein Connector auf dem Servercomputer mit Exchange 2003 und ein Connector auf dem Servercomputer mit Microsoft Exchange vorhanden ist, durchlaufen alle ausgehenden E-Mail-Nachrichten den nächstliegenden Connector. Wenn Sie den Sendeconnector auf dem Servercomputer mit Exchange 2003 löschen und ein Sendeconnector auf dem Servercomputer mit Microsoft Exchange vorhanden ist, durchlaufen alle ausgehenden E-Mail-Nachrichten den Servercomputer mit Microsoft Exchange.
Verwenden Sie die Exchange-Verwaltungskonsole zum Konfigurieren eines Sendeconnectors in Microsoft Exchange. Weitere Informationen zum Erstellen eines Sendeconnectors in Exchange 2007 finden Sie im Thema Erstellen eines neuen Sendeconnectors.
Wählen Sie auf der Seite Einführung des Assistenten für neue SMTP-Sendeconnectors die Option Internet als Verwendungstyp aus. Damit alle ausgehenden E-Mail-Nachrichten den Connector durchlaufen, legen Sie den Adressraum des Connectors auf der Seite Adressraum auf * und den Typ auf SMTP fest. Befolgen Sie für alle anderen Einstellungen die Anweisungen des Assistenten, und wählen Sie dann die Konfiguration aus, die auf Ihre Umgebung zutrifft.
Es wird empfohlen, auch einen SPF-Eintrag (Sender Policy Framework) für Ihre Domäne einzurichten. Weitere Informationen zum Einrichten eines SPF-Eintrags finden Sie im Thema Sender ID Framework SPF Record Wizard (englischsprachig).
Weitere Informationen zu Sendeconnectors finden Sie im Thema Understanding Send Connectors (englischsprachig).
Antispamkonfiguration
Hub-Transport-Server müssen Antispamfunktionen ausführen, wenn kein Edge-Transport-Server in der Umgebung verwendet wird. Dieses Feature kann Hub-Transport-Servern auf einfache Weise mithilfe der Exchange-Verwaltungsshell hinzugefügt werden.
So fügen Sie einem Hub-Transport-Server Antispamfunktionen hinzu
Navigieren Sie in der Exchange-Verwaltungsshell zum folgenden Verzeichnis: C:\Programme\Microsoft\Exchange Server\Scripts.
Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE. Install-AntispamAgents.psi
Starten Sie den Computer neu.
Nachdem Sie die Antispamfunktionen aktiviert haben, wird die Registerkarte Antispam in der Exchange-Verwaltungskonsole angezeigt.
Weitere Informationen finden Sie im Thema Aktivieren der Antispamfunktionen auf einem Hub-Transport-Server.
Hinweis
Wenn zuvor bereits Exchange 2003-Einstellungen für Antispam vorhanden waren, müssen Sie die Einstellungen in Microsoft Exchange migrieren. Weitere Informationen zu Postfächern finden Sie im Thema Verwalten der Exchange 2003-Einstellungen in einer Koexistenzumgebung.
Sinnvolle Anpassungen
Wenn Sie die Ausführung von Exchange Server optimieren möchten, können Sie die Implementierung der folgenden Vorschläge in Betracht ziehen:
Weil der Servercomputer mit Exchange 2007 direkt mit dem Internet verbunden ist, möchten Sie ggf. den angekündigten FQDN ändern, der in HELO/EHLO-Befehlen in SMTP gesendet wird. Verwenden Sie zu diesem Zweck die Exchange-Verwaltungskonsole zum Konfigurieren dieser Einstellung für die Sende- und Empfangsconnectors. Geben Sie auf der Registerkarte Allgemein des Dialogfelds Eigenschaften für den Sende- und den Empfangsconnector den FQDN an, den der Connector als Antwort auf HELO oder EHLO bereitstellen soll.
Da Sie keinen Edge-Transport-Server verwenden, benötigen Sie den Exchange 2007 EdgeSync-Dienst nicht. Sie können den Dienst Microsoft Exchange EdgeSync unter Dienst auf Deaktiviert festlegen, damit sein Start und die Verwendung von Systemressourcen verhindert werden.
Überprüfen und Problembehandlung der Konfiguration
Führen Sie die folgenden Schritte aus, um die Konfiguration abzuschließen:
Stellen Sie sicher, dass Ihr MX-Eintrag richtig ist.
Stellen Sie sicher, dass die Firewall eingehende Verbindungen an Port 25 zulässt.
Wenn Sie bereits über einen Mailserver verfügen, können Sie zu diesem Zweck die Server-IP-Adresse erneut verwenden oder die Firewallregel so aktualisieren, dass sie auf die neue interne Microsoft Exchange-Server-IP-Adresse verweist.
Verwenden Sie Mail Flow Analyzer, um ggf. auftretende Probleme zu behandeln. Außerdem stehen mehrere Websites zur Verfügung, die Sie bei der Diagnose von DNS- und SMTP-Empfangsproblemen unterstützen können, z. B. die folgenden Websites:
Weitere Informationen
Weitere Informationen zur Serverfunktion Edge-Transport finden Sie im Thema Übersicht über die Edge-Transport-Serverrolle.
Weitere Informationen zur Serverfunktion Hub-Transport finden Sie im Thema Übersicht über die Hub-Transport-Serverrolle.