Empfangsconnectors

[Dieses Thema gehört zur Vorabdokumentation und kann in künftigen Versionen geändert werden. Leere Themen wurden als Platzhalter hinzugefügt. Wenn Sie Feedback dazu haben, freuen wir uns über Ihre Nachricht. Senden Sie uns eine E-Mail an: ExchangeHelpFeedback@microsoft.com.]  

Gilt für:Exchange Server 2016

In diesem Artikel erfahren Sie mehr über Empfangsconnectors in Exchange 2016 und darüber, wie diese den Nachrichtenfluss steuern, der in Ihre Exchange-Organisation fließt.

Exchange 2016-Server verwenden Empfangsconnectors zur Steuerung eingehender SMTP-Verbindungen von:

  • Messagingservern außerhalb der Exchange-Organisation

  • Diensten in der Transportpipeline auf dem lokalen Exchange-Server oder auf Exchange-Remoteservern

  • E-Mail-Clients, die E-Mails nur über authentifizierte SMTP-Verbindungen senden dürfen

Sie können Empfangsconnectors im Transport-Dienst auf Postfachservern, im Front-End-Transport-Dienst auf Postfachservern und auf Edge-Transport-Servern erstellen. Standardmäßig werden die für den eingehenden Nachrichtenfluss erforderlichen Empfangsconnectors automatisch erstellt, wenn Sie einen Exchange 2016-Postfachserver installieren oder wenn Ihre Exchange-Organisation einen Edge-Transport-Server abonniert.

Ein Empfangsconnector wird dem Postfachserver oder Edge-Transport-Server zugeordnet, auf dem er erstellt wurde, und legt fest, wie dieser Server auf SMTP-Verbindungen lauscht. Auf Postfachservern werden Empfangsconnectors in Active Directory als untergeordnetes Objekt des Servers gespeichert. Auf Edge-Transport-Servern werden Empfangsconnectors in AD LDS (Active Directory-Lightweight-Verzeichnisdienste (Active Directory Lightweight Directory Services, AD LDS)) gespeichert.

Hier eine Liste der wichtigen Einstellungen auf Empfangsconnectors:

  • Local adapter bindings: Mit dieser Einstellung konfigurieren Sie, über welche Paare aus lokaler IP-Adresse und TCP-Port der Empfangsconnector Verbindungen annimmt.

  • Remote network settings: Mit dieser Einstellung konfigurieren Sie die Quell-IP-Adressen, auf denen der Empfangsconnector auf Verbindungen lauscht.

  • Verwendungstyp: Mit dieser Einstellung konfigurieren Sie die Standardberechtigungsgruppen und die Standardmechanismen für die Smarthostauthentifizierung, die für den Empfangsconnector gelten sollen.

  • Berechtigungsgruppen: Mit dieser Einstellung konfigurieren Sie, wer den Empfangsconnector verwenden darf und welche Berechtigungen jeweils gewährt werden.

Empfangsconnectors lauschen auf eingehende Verbindungen, die ihren Konfigurationseinstellungen entsprechen. Jeder Empfangsconnector auf einem Exchange-Server verwendet eine eindeutige Kombination aus lokalen IP-Adressbindungen, TCP-Ports und Remote-IP-Adressbereichen, die definiert, ob und wie Verbindungen von SMTP-Clients oder -Servern angenommen werden.

Obwohl die Standardempfangsconnectors für die meisten Anwendungsfälle genügen, können Sie für spezifische Szenarien benutzerdefinierte Empfangsconnectors erstellen. Hier zwei Beispielszenarien:

  • Anwenden spezieller Eigenschaften auf eine E-Mail-Quelle (z. B. größere maximale Nachrichtengröße, mehr Empfänger pro Nachricht oder mehr gleichzeitige eingehende Verbindungen)

  • Annehmen verschlüsselter E-Mails unter Verwendung eines spezifischen TLS-Zertifikats

Auf Postfachservern können Sie Empfangsconnectors im Exchange-Verwaltungskonsole (EAC) oder in der Exchange-Verwaltungsshell erstellen und verwalten. Auf Edge-Transport-Servern können Sie nur die Exchange-Verwaltungsshell verwenden.

Inhalt

Änderungen bei Empfangsconnectors in Exchange 2016

Während der Installation erstellte Standardempfangsconnectors

Empfangsconnectors und lokale Adressbindungen

Empfangsconnectors und Remoteadressen

Authentifizierungsmechanismen für Empfangsconnectors

Empfangsconnector-Verwendungstypen

Berechtigungsgruppen für Empfangsconnectors

Empfangsconnectorberechtigungen

In Exchange 2016 wurden bezüglich Empfangsconnectors einige wichtige Änderungen gegenüber Exchange 2010 implementiert:

  • Über den Parameter TlsCertificateName können jetzt der Zertifikataussteller und der Zertifikatantragsteller angegeben werden. Dadurch wird das Risiko für gefälschte Zertifikate minimiert.

  • Mit dem Parameter TransportRole können Sie jetzt zwischen Front-End-Connectors (Clientzugriff) und Back-End-Connectors auf Postfachservern unterscheiden.

Zurück zum Seitenanfang

Bei der Installation von Exchange werden standardmäßig mehrere verschiedene Empfangsconnectors erstellt. Diese Connectors sind standardmäßig aktiviert; die Protokollierung ist für die meisten von ihnen standardmäßig deaktiviert. Weitere Informationen zur Protokollierung auf Empfangsconnectors finden Sie unter Protokollierung.

Die Hauptfunktion von Empfangsconnectors im Front-End-Transport-Dienst ist die Annahme von anonymen und authentifizierten SMTP-Verbindungen zu Ihrer Exchange-Organisation. Der Wert der Eigenschaft TransportRole ist für diese Connectors auf FrontendTransport gesetzt. Der Front-End-Transport-Dienst leitet diese Verbindungen als Proxy an den Transport-Dienst weiter, der sie kategorisiert und seinerseits an das endgültige Ziel weiterleitet.

In der nachfolgenden Tabelle sind die Standardempfangsconnectors beschrieben, die im Front-End-Transport-Dienst auf Postfachservern erstellt werden.

 

Name Beschreibung Protokollierung TCP-Port Lokale IP-Adressbindungen Remote-IP-Adressbereiche Authentifizierungsmechanismen Berechtigungsgruppen

Client Frontend <ServerName>

Nimmt Verbindungen von authentifizierten SMTP-Clients an.

Keine

587

Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:)

{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen)

TLS

BasicAuth

BasicAuthRequireTLS

Integrated

ExchangeUsers

Default Frontend <ServerName>

Nimmt anonyme Verbindungen von externen SMTP-Servern an. Dieser Connector ist der gängige Eintrittspunkt, über den Nachrichten in Ihre Exchange-Organisation fließen.

Ausführlich

25

Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:)

{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen)

TLS

BasicAuth

BasicAuthRequireTLS

ExchangeServer

Integrated

AnonymousUsers

ExchangeLegacyServers

ExchangeServers

Outbound Proxy Frontend <ServerName>

Nimmt authentifizierte Verbindungen vom Transport-Dienst auf Postfachservern an. Die Verbindungen sind mit dem selbstsignierten Zertifikat des Exchange-Servers verschlüsselt.

Dieser Connector wird nur verwendet, wenn der Sendeconnector als Proxy zur Weiterleitung ausgehender E-Mails konfiguriert ist. Weitere Informationen finden Sie unter Konfigurieren von Sendeconnectors als Proxy für ausgehende E-Mails.

Keine

717

Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:)

{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen)

TLS

BasicAuth

BasicAuthRequireTLS

ExchangeServer

Integrated

ExchangeServers

Die Hauptfunktion von Empfangsconnectors im Transport-Dienst ist die Annahme authentifizierter und verschlüsselter SMTP-Verbindungen von anderen Transport-Diensten auf dem lokalen Postfachserver oder auf Remotepostfachservern in der Organisation. Der Wert der Eigenschaft TransportRole ist für diese Connectors auf HubTransport gesetzt. Clients verbinden sich nicht direkt mit diesen Connectors.

In der nachfolgenden Tabelle sind die Standardempfangsconnectors beschrieben, die im Transport-Dienst auf Postfachservern erstellt werden.

 

Name Beschreibung Protokollierung TCP-Port Lokale IP-Adressbindungen Remote-IP-Adressbereiche Authentifizierungsmechanismen Berechtigungsgruppen

Client Proxy <ServerName>

Nimmt authentifizierte Clientverbindungen an, die per Proxy über den Front-End-Transport-Dienst weitergeleitet werden.

Keine

465

Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:)

{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen)

TLS

BasicAuth

BasicAuthRequireTLS

ExchangeServer

Integrated

ExchangeServers

ExchangeUsers

Default <ServerName>

Nimmt authentifizierte Verbindungen an vom:

  • Front-End-Transport-Dienst auf dem lokalen Postfachserver oder Remotepostfachservern

  • Transport-Dienst auf Remotepostfachservern

  • Postfachtransport-Dienst auf dem lokalen Postfachserver oder Remotepostfachservern

  • Edge-Transport-Server

Die Verbindungen sind mit dem selbstsignierten Zertifikat des Exchange-Servers verschlüsselt.

Keine

2525

Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:)

{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen)

TLS

BasicAuth

ExchangeServer

Integrated

ExchangeLegacyServers

ExchangeServers

ExchangeUsers

Die Hauptfunktion des Empfangsconnectors auf Edge-Transport-Servern ist die Annahme von E-Mails aus dem Internet. Wenn eine Exchange-Organisation den Edge-Transport-Server abonniert, werden für den Connector automatisch alle Berechtigungen und Authentifizierungsmechanismen konfiguriert, die für den bidirektionalen Nachrichtenfluss zwischen dem Internet und der Organisation erforderlich sind. Weitere Informationen finden Sie unter Edge-Transport-Server.

In der nachfolgenden Tabelle ist der Standardempfangsconnector beschrieben, der im Transport-Dienst auf Edge-Transport-Servern erstellt wird.

 

Name Beschreibung Protokollierung TCP-Port Lokale IP-Adressbindungen Remote-IP-Adressbereiche Authentifizierungsmechanismen Berechtigungsgruppen

Default internal receive connector <ServerName>

Nimmt anonyme Verbindungen von externen SMTP-Servern an.

Keine

25

Alle verfügbaren IPv4-Adressen (0.0.0.0)

{0.0.0.0-255.255.255.255} (alle IPv4-Adressen)

TLS

ExchangeServer

AnonymousUsers

ExchangeServers

Partners

Neben den während der Installation von Exchange 2016-Servern erstellten Empfangsconnectors existiert auf Postfachservern zusätzlich ein spezieller impliziter Empfangsconnector im Postfachtransport-Zustellungsdienst. Dieser implizite Empfangsconnector ist automatisch verfügbar, nicht sichtbar und muss nicht verwaltet werden. Die Hauptfunktion dieses Connectors ist die Annahme von E-Mails vom Transport-Dienst auf dem lokalen Postfachserver oder den Remotepostfachservern in der Organisation.

In der nachfolgenden Tabelle ist der implizite Empfangsconnector im Postfachtransport-Zustellungsdienst auf Postfachservern beschrieben.

 

Name Beschreibung Protokollierung TCP-Port Lokale IP-Adressbindungen Remote-IP-Adressbereiche Authentifizierungsmechanismen Berechtigungsgruppen

Mailbox delivery Receive connector

Nimmt authentifizierte Verbindungen vom Transport-Dienst auf dem lokalen Postfachserver oder Remotepostfachservern an.

Keine

475

Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:)

{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen)

ExchangeServer

ExchangeServers

Zurück zum Seitenanfang

Lokale Adressbindungen legen fest, dass der Empfangsconnector jeweils nur auf einer bestimmten lokalen IP-Adresse (Netzwerkadapter) und einem bestimmten TCP-Port auf SMTP-Verbindungen lauscht. In der Regel wird für jeden Empfangsconnector auf einem Server eine eindeutige Kombination aus lokaler IP-Adresse und TCP-Port festgelegt. Es kann jedoch auch mehreren Empfangsconnectors ein- und dieselbe Kombination aus lokaler IP-Adresse und TCP-Port zugewiesen werden, sofern die Remote-IP-Adressbereiche unterschiedlich sind. Weitere Informationen finden Sie im Abschnitt Empfangsconnectors und Remoteadressen.

Standardmäßig lauscht ein Empfangsconnector auf allen verfügbaren lokalen IPv4 -und IPv6-Adressen auf Verbindungen (0.0.0.0 und [::]:). Verfügt der Server über mehrere Netzwerkadapter, können Sie den Empfangsconnector so konfigurieren, dass er nur Verbindungen von den für einen spezifischen Netzwerkadapter konfigurierten IP-Adressen annimmt. Beispiel: Sie können auf einem Exchange-Server mit Internetanbindung einen Empfangsconnector konfigurieren, der an die IP-Adresse des externen Netzwerkadapters gebunden ist und damit nur auf dieser Adresse auf anonyme Internetverbindungen lauscht. Zusätzlich können Sie einen separaten Empfangsconnector konfigurieren, der an die IP-Adresse des internen Netzwerkadapters gebunden ist und auf authentifizierte Verbindungen von internen Exchange-Servern lauscht.

noteHinweis:
Wenn Sie einen Empfangsconnector an eine bestimmte IP-Adresse binden, müssen Sie sicherstellen, dass diese Adresse auf einem lokalen Netzwerkadapter konfiguriert ist. Wenn Sie eine ungültige lokale IP-Adresse angeben, kann der Microsoft Exchange-Transport-Dienst beim Neustart des Servers oder Diensts möglicherweise nicht starten.

Konfigurieren können Sie die lokalen Adressbindungen über das EAC im Feld Netzwerkadapterbindungen im Assistenten zur Erstellung neuer Empfangsconnectors oder auf der Registerkarte Bereichsdefinition in den Eigenschaften eines bereits vorhandenen Empfangsconnectors. In der Exchange-Verwaltungsshell verwenden Sie den Parameter Bindings im Cmdlet New-ReceiveConnector oder im Cmdlet Set-ReceiveConnector. Je nach dem ausgewählten Verwendungstyp lassen sich die lokalen Adressbindungen bei der Erstellung des Empfangsconnectors möglicherweise nicht konfigurieren. Sie können sie jedoch ändern, nachdem Sie den Empfangsconnector erstellt haben. Welche Verwendungstypen hiervon betroffen sind, können Sie im Abschnitt Empfangsconnector-Verwendungstypen nachlesen.

Remoteadressen legen fest, von wo aus der Empfangsconnector SMTP-Verbindungen empfängt. Standardmäßig lauschen Empfangsconnectors auf allen IPv4- und IPv6-Adressen auf Verbindungen (0.0.0.0-255.255.255.255 und ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). Wenn Sie einen benutzerdefinierten Empfangsconnector erstellen, der nur E-Mails von einer bestimmten Quelle empfangen soll, müssen Sie den Connector so konfigurieren, dass er nur auf Verbindungen von diesen spezifischen IP-Adressen bzw. aus diesen spezifischen IP-Adressbereichen lauscht.

Mehrere Empfangsconnectors auf ein und demselben Server können überlappende Remote-IP-Adressbereiche haben, sofern ein IP-Adressbereich vollständig von einem anderen IP-Adressbereich abgedeckt wird. Wenn Remote-IP-Adressbereiche sich überlappen, wird der Remote-IP-Adressbereich verwendet, der die höchste Übereinstimmung mit der IP-Adresse des Servers hat, von dem die Verbindung ausgeht.

Nehmen wir als Beispiel die folgenden Empfangsconnectors im Front-End-Transport-Dienst auf dem Server „Exchange01“:

  • Connectorname: Client Frontend Exchange01

    • Netzwerkadapterbindungen: „Alle verfügbaren IPv4“ auf Port 25

    • Remote network settings: 0.0.0.0-255.255.255.255

  • Connectorname: Custom Connector A

    • Netzwerkadapterbindungen: „Alle verfügbaren IPv4“ auf Port 25

    • Remote network settings: 192.168.1.0-192.168.1.255

  • Connectorname: Custom Connector B

    • Netzwerkadapterbindungen: „Alle verfügbaren IPv4“ auf Port 25

    • Remote network settings: 192.168.1.75

SMTP-Verbindungen von 192.168.1.75 werden von „Custom Connector B“ angenommen, da diese IP-Adresse die größte Übereinstimmung mit dem IP-Adressbereich dieses Connectors hat.

SMTP-Verbindungen von 192.168.1.100 werden von „Custom Connector A“ angenommen, da diese IP-Adresse die größte Übereinstimmung mit dem IP-Adressbereich dieses Connectors hat.

Konfigurieren können Sie die Remote-IP-Adressen über das EAC im Feld Remote network settings im Assistenten zur Erstellung neuer Empfangsconnectors oder auf der Registerkarte Bereichsdefinition in den Eigenschaften eines bereits vorhandenen Empfangsconnectors. In der Exchange-Verwaltungsshell verwenden Sie den Parameter RemoteIPRanges im Cmdlet New-ReceiveConnector oder im Cmdlet Set-ReceiveConnector.

Der Verwendungstyp bestimmt die Standardsicherheitseinstellungen eines Empfangsconnectors. Der Verwendungstyp legt fest, wer zur Verwendung des Connectors autorisiert ist, welche Berechtigungen jeweils gewährt werden und welche Authentifizierungsmethoden unterstützt werden.

Wenn Sie einen Empfangsconnector über das EAC erstellen, werden Sie vom Assistenten aufgefordert, den Wert Typ des Connectors festzulegen. Wenn Sie das Cmdlet New-ReceiveConnector in der Exchange-Verwaltungsshell verwenden, verwenden Sie den Parameter Usage mit einem der verfügbaren Werte (z. B. -Usage Custom) oder den zum entsprechenden Verwendungstyp gehörenden Schalter (z. B. -Custom).

Sie können den Connectorverwendungstyp nur bei der Erstellung von Empfangsconnectors festlegen. Sobald Sie einen Connector erstellt haben, können Sie im EAC oder mithilfe des Cmdlets Set-ReceiveConnector in der Exchange-Verwaltungsshell die verfügbaren Authentifizierungsmechanismen und Berechtigungsgruppen anpassen.

In der nachfolgenden Tabelle sind die verfügbaren Verwendungstypen beschrieben.

 

Verwendungstyp Zugewiesene Berechtigungsgruppen Verfügbare Authentifizierungsmechanismen Kommentare

Client

Exchange-Benutzer (ExchangeUsers)

Transport Layer Security (TLS)

Standardauthentifizierung (BasicAuth)

Offer basic authentication only after starting TLS (BasicAuthRequireTLS)

Integrierte Windows-Authentifizierung (Integrated)

Verwendet von POP3- und IMAP4-Clients, die E-Mail-Nachrichten nur über authentifizierte SMTP-Verbindungen übermitteln dürfen.

Wenn Sie einen Empfangsconnector dieses Verwendungstyps im EAC oder in der Exchange-Verwaltungsshell erstellen, können Sie weder die lokalen IP-Adressbindungen noch den TCP-Port auswählen. Standardmäßig ist dieser Verwendungstyp an alle lokalen IPv4- und IPv6-Adressen auf TCP-Port 587 gebunden. Sie können die Bindungen ändern, nachdem Sie den Connector erstellt haben.

Dieser Verwendungstyp steht auf Edge-Transport-Servern nicht zur Verfügung.

Benutzerdefiniert

Keine ausgewählt (None)

Transport Layer Security (TLS)

Verwendet in gesamtstrukturübergreifenden Szenarios, zum Empfang von E-Mails von Drittanbieter-Messagingservern sowie zum externen Relay.

Nachdem Sie einen Empfangsconnector dieses Verwendungstyps erstellt haben, müssen Sie im EAC oder in der Exchange-Verwaltungsshell Berechtigungsgruppen hinzufügen.

Intern

Legacy-Exchange-Server (ExchangeLegacyServers)

Exchange-Server (ExchangeServers)

Transport Layer Security (TLS)

Exchange Server-Authentifizierung (ExchangeServers)

Verwendet in gesamtstrukturübergreifenden Szenarien, zum Empfang von E-Mails von früheren Exchange-Versionen, zum Empfang von E-Mails von Drittanbieter-Messagingservern sowie auf Edge-Transport-Servern zum Empfang von ausgehenden E-Mails aus der internen Exchange-Organisation.

Wenn Sie einen Empfangsconnector dieses Verwendungstyps im EAC oder in der Exchange-Verwaltungsshell erstellen, können Sie weder die lokalen IP-Adressbindungen noch den TCP-Port auswählen. Standardmäßig ist ein solcher Connector an alle lokalen IPv4- und IPv6-Adressen auf TCP-Port 25 gebunden. Sie können die Bindungen ändern, nachdem Sie den Connector erstellt haben.

Die Berechtigungsgruppe ExchangeLegacyServers steht auf Edge-Transport-Servern nicht zur Verfügung.

Internet

Anonyme Benutzer (AnonymousUsers)

Transport Layer Security (TLS)

Verwendet zum Empfang von E-Mails aus dem Internet.

Wenn Sie einen Empfangsconnector dieses Verwendungstyps im EAC oder in der Exchange-Verwaltungsshell erstellen, können Sie die Remote-IP-Adressen nicht auswählen. Standardmäßig nimmt der Connector Remoteverbindungen von allen IPv4-Adressen an (0.0.0.0 bis 255.255.255.255). Sie können die Bindungen ändern, nachdem Sie den Connector erstellt haben.

Partner

Partner (Partners)

Transport Layer Security (TLS)

Verwendet zum Konfigurieren einer Verbindung für sichere Kommunikation mit einem externen Partner (gegenseitige TLS-Authentifizierung, auch Domänensicherheit genannt).

Zurück zum Seitenanfang

Authentifizierungsmechanismen definieren die Anmelde- und Verschlüsselungseinstellungen, die für eingehende SMTP-Verbindungen gelten Sie können für einen Empfangsconnector auch mehrere Authentifizierungsmechanismen konfigurieren. Im EAC finden Sie die Authentifizierungsmechanismen auf der Registerkarte Sicherheit in den Eigenschaften des betreffenden Empfangsconnectors. In der Exchange-Verwaltungsshell definieren Sie Authentifizierungsmechanismen über den Parameter AuthMechanisms in den Cmdlets New-ReceiveConnector und Set-ReceiveConnector.

In der nachfolgenden Tabelle sind die verfügbaren Authentifizierungsmechanismen beschrieben.

 

Authentifizierungsmechanismus Beschreibung

Keiner ausgewählt (None)

Keine Authentifizierung.

Transport Layer Security (TLS) (TLS)

In der EHLO-Antwort wird STARTTLS übermittelt. Für TLS-verschlüsselte Verbindungen ist ein Serverzertifikat erforderlich, das den Namen enthält, den der Empfangsconnector in der EHLO-Antwort übermittelt. Weitere Informationen finden Sie unter Ändern des SMTP-Banners für Empfangsconnectors. Andere Exchange-Server in Ihrer Organisation vertrauen dem selbstsignierten Zertifikat des Servers; Clients und externe Server verwenden jedoch in der Regel ein vertrauenswürdiges Drittanbieterzertifikat.

Standardauthentifizierung (BasicAuth)

Standardauthentifizierung (Klartext)

Offer basic authentication only after starting TLS (BasicAuthRequireTLS)

Standardauthentifizierung mit TLS-Verschlüsselung

Integrierte Windows-Authentifizierung (Integrated)

NTLM- und Kerberos-Authentifizierung

Exchange Server-Authentifizierung (ExchangeServer)

GSSAPI-Authentifizierung (generische Sicherheitsdienste-API) und gegenseitige GSSAPI-Authentifizierung

Extern gesichert (ExternalAuthoritative)

Es wird davon ausgegangen, dass die Verbindung durch einen Sicherheitsmechanismus außerhalb von Exchange abgesichert ist. Bei der Verbindung kann es sich um eine IPsec-Zuordnung (Internetprotokollsicherheit) oder ein virtuelles privates Netzwerk (VPN) handeln. Alternativ können sich die Server in einem vertrauenswürdigen, physisch überwachten Netzwerk befinden.

Dieser Authentifizierungsmechanismus setzt die Berechtigungsgruppe ExchangeServers voraus. Diese Kombination aus Authentifizierungsmechanismus und Sicherheitsgruppe ermöglicht die Auflösung der E-Mail-Adressen von anonymen Absendern von Nachrichten, die der Connector empfängt.

Zurück zum Seitenanfang

Eine Berechtigungsgruppe ist ein vordefinierter Satz von Berechtigungen, die bekannten Sicherheitsprinzipalen gewährt und einem Empfangsconnector zugewiesen werden. Sicherheitsprinzipale können Benutzerkonten, Computerkonten und Sicherheitsgruppen sein (Objekte, die durch eine Sicherheits-ID oder SID gekennzeichnet sind und denen Berechtigungen zugewiesen werden können). Berechtigungsgruppen legen fest, wer den Empfangsconnector verwenden darf und welche Berechtigungen jeweils gewährt werden. Sie können keine Berechtigungsgruppen erstellen. Ebenso ist es nicht möglich, die Mitglieder einer Berechtigungsgruppe oder die Standardberechtigungen einer Berechtigungsgruppe zu ändern.

Im EAC finden Sie die Berechtigungsgruppen auf der Registerkarte Sicherheit in den Eigenschaften des betreffenden Empfangsconnectors. In der Exchange-Verwaltungsshell definieren Sie Berechtigungsgruppen über den Parameter PermissionGroups in den Cmdlets New-ReceiveConnector und Set-ReceiveConnector.

In der nachfolgenden Tabelle sind die verfügbaren Berechtigungsgruppen beschrieben.

 

Berechtigungsgruppe Zugeordnete Sicherheitsprinzipale Gewährte Berechtigungen

Anonyme Benutzer (Anonymous)

NT AUTHORITY\ANONYMOUS LOGON

ms-Exch-Accept-Headers-Routing

ms-Exch-SMTP-Accept-Any-Sender

ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

ms-Exch-SMTP-Submit

Exchange-Benutzer (ExchangeUsers)

NT AUTHORITY\Authenticated Users

ms-Exch-Accept-Headers-Routing

ms-Exch-Bypass-Anti-Spam

ms-Exch-SMTP-Accept-Any-Recipient

ms-Exch-SMTP-Submit

Exchange-Server (ExchangeServers)

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers

noteHinweis:
Diesen Sicherheitsprinzipalen sind auch andere interne Berechtigungen zugewiesen. Weitere Informationen finden Sie am Ende des Abschnitts Empfangsconnectorberechtigungen.

ms-Exch-Accept-Headers-Forest

ms-Exch-Accept-Headers-Organization

ms-Exch-Accept-Headers-Routing

ms-Exch-Bypass-Anti-Spam

ms-Exch-Bypass-Message-Size-Limit

ms-Exch-SMTP-Accept-Any-Recipient

ms-Exch-SMTP-Accept-Any-Sender

ms-Exch-SMTP-Accept-Authentication-Flag

ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

ms-Exch-SMTP-Accept-Exch50

ms-Exch-SMTP-Submit

Exchange-Server (ExchangeServers)

MS Exchange\Externally Secured Servers

ms-Exch-Accept-Headers-Routing

ms-Exch-Bypass-Anti-Spam

ms-Exch-Bypass-Message-Size-Limit

ms-Exch-SMTP-Accept-Any-Recipient

ms-Exch-SMTP-Accept-Any-Sender

ms-Exch-SMTP-Accept-Authentication-Flag

ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

ms-Exch-SMTP-Accept-Exch50

ms-Exch-SMTP-Submit

Legacy-Exchange-Server (ExchangeLegacyServers)

<Domain>\ExchangeLegacyInterop

ms-Exch-Accept-Headers-Routing

ms-Exch-Bypass-Anti-Spam

ms-Exch-Bypass-Message-Size-Limit

ms-Exch-SMTP-Accept-Any-Recipient

ms-Exch-SMTP-Accept-Any-Sender

ms-Exch-SMTP-Accept-Authentication-Flag

ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

ms-Exch-SMTP-Accept-Exch50

ms-Exch-SMTP-Submit

Partner (Partner)

MS Exchange\Partner Servers

ms-Exch-Accept-Headers-Routing

ms-Exch-SMTP-Submit

Erklärungen zu den Berechtigungen finden Sie im Abschnitt Empfangsconnectorberechtigungen weiter unten in diesem Artikel.

Zurück zum Seitenanfang

In der Regel wenden Sie Berechtigungen über Berechtigungsgruppen auf Empfangsconnectors an. Mit den Cmdlets Add-ADPermission und Remove-ADPermission können Sie jedoch auch granulare Berechtigungen für Empfangsconnectors konfigurieren.

Empfangsconnectorberechtigungen werden Sicherheitsprinzipalen über die Berechtigungsgruppen des Connectors zugewiesen. Wenn ein SMTP-Server oder -Client eine Verbindung zu einem Empfangsconnector aufbaut, bestimmen die Empfangsconnectorberechtigungen, ob die Verbindung angenommen wird und wie Nachrichten verarbeitet werden.

In der nachfolgenden Tabelle sind die verfügbaren Empfangsconnectorberechtigungen beschrieben.

 

Empfangsconnectorberechtigung Beschreibung

ms-Exch-Accept-Headers-Forest

Steuert die Erhaltung von Exchange-Gesamtstruktur-Kopfzeilen in Nachrichten. Die Namen von Gesamtstruktur-Kopfzeilen beginnen mit X-MS-Exchange-Forest-. Wenn diese Berechtigung nicht gewährt wurde, werden alle Gesamtstruktur-Kopfzeilen aus Nachrichten entfernt.

ms-Exch-Accept-Headers-Organization

Steuert die Erhaltung von Exchange-Organisationskopfzeilen in Nachrichten. Die Namen von Organisationskopfzeilen beginnen mit X-MS-Exchange-Organization-. Wenn diese Berechtigung nicht gewährt wurde, werden alle Organisationskopfzeilen aus Nachrichten entfernt.

ms-Exch-Accept-Headers-Routing

Steuert die Erhaltung von Received-Kopfzeilen und Resent-*-Kopfzeilen in Nachrichten. Wenn diese Berechtigung nicht gewährt wurde, werden alle Kopfzeilen dieser Typen aus Nachrichten entfernt.

ms-Exch-Bypass-Anti-Spam

Erlaubt SMTP-Clients oder -Servern, den Antispamfilter zu umgehen.

ms-Exch-Bypass-Message-Size-Limit

Erlaubt SMTP-Clients oder -Servern die Übermittlung von Nachrichten, die die für den Empfangsconnector konfigurierte maximale Nachrichtengröße überschreiten.

ms-Exch-SMTP-Accept-Any-Recipient

Erlaubt SMTP-Clients oder -Servern, Nachrichten per Relay über den Empfangsconnector zu übermitteln. Wird diese Berechtigung nicht gewährt, nimmt der Empfangsconnector nur Nachrichten an Empfänger in den für die Exchange-Organisation konfigurierten akzeptierten Domänen an.

ms-Exch-SMTP-Accept-Any-Sender

Erlaubt SMTP-Clients oder -Servern, die Spoofing-Prüfung der Absenderadresse zu umgehen, die normalerweise festlegt, dass die E-Mail-Adresse des Absenders zu einer der für die Exchange-Organisation konfigurierten akzeptierten Domänen gehören muss.

ms-Exch-SMTP-Accept-Authentication-Flag

Steuert, ob Nachrichten von SMTP-Clients oder -Servern als authentifiziert behandelt werden. Wenn diese Berechtigung nicht gewährt wurde, werden Nachrichten von diesen Quellen als externe Nachrichten identifiziert (d. h. als nicht authentifiziert). Diese Einstellung ist wichtig für Verteilergruppen, die so konfiguriert sind, dass sie nur Nachrichten von internen Empfängern annehmen (z. B. für Gruppen, bei denen der Wert des Parameters RequireSenderAuthenticationEnabled auf $true gesetzt ist).

ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

Erlaubt Zugriff auf den Empfangsconnector durch Absender, deren E-Mail-Adresse zu einer der für die Exchange-Organisation konfigurierten autorisierenden Domänen gehört.

ms-Exch-SMTP-Accept-Exch50

Erlaubt SMTP-Clients oder -Servern, XEXCH50-Befehle an den Empfangsconnector zu übermitteln. Der BLOB (Binary Large Object) X-EXCH50 wurde von älteren Exchange-Versionen (Exchange 2003 und früher) zur Speicherung von Exchange-Daten in Nachrichten verwendet (z. B. zur Speicherung des SCL [Spam Confidence Level]).

ms-Exch-SMTP-Submit

Diese Berechtigung ist erforderlich, um Nachrichten an Empfangsconnectors übermitteln zu können. Wenn diese Berechtigung nicht gewährt wurde, schlagen die Befehle MAIL FROM und AUTH fehl.

Hinweise:

  • Zusätzlich zu den dokumentierten Berechtigungen gibt es Berechtigungen, die allen Sicherheitsprinzipalen in der Berechtigungsgruppe Exchange-Server (ExchangeServers) außer MS Exchange\Externally Secured Servers zugewiesen werden. Diese Berechtigungen sind der internen Verwendung durch Microsoft vorbehalten und werden hier lediglich als Referenz aufgeführt.

    • ms-Exch-SMTP-Accept-Xattr

    • ms-Exch-SMTP-Accept-XProxyFrom

    • ms-Exch-SMTP-Accept-XSessionParams

    • ms-Exch-SMTP-Accept-XShadow

    • ms-Exch-SMTP-Accept-XSysProbe

    • ms-Exch-SMTP-Send-XMessageContext-ADRecipientCache

    • ms-Exch-SMTP-Send-XMessageContext-ExtendedProperties

    • ms-Exch-SMTP-Send-XMessageContext-FastIndex

  • Berechtigungsnamen, die ms-Exch-Accept-Headers- enthalten, gehören zur Funktion Kopfzeilenfirewall. Weitere Informationen finden Sie unter Kopfzeilenfirewall.

Zurück zum Seitenanfang

Verwenden Sie die folgende Syntax in der Exchange-Verwaltungsshell, um die Berechtigungen anzuzeigen, die Sicherheitsprinzipalen auf einem Empfangsconnector zugewiesen sind:

Get-ADPermission -Identity <ReceiveConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Beispielsweise können Sie mit dem folgenden Befehl die Berechtigungen anzeigen, die allen Sicherheitsprinzipalen auf dem Empfangsconnector „Client Frontend Mailbox01“ zugewiesen sind:

Get-ADPermission -Identity "Client Frontend Mailbox01" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Mit dem folgenden Befehl zeigen Sie die Berechtigungen an, die nur dem Sicherheitsprinzipal NT AUTHORITY\Authenticated Users auf dem Empfangsconnector „Default Mailbox01“ zugewiesen sind:

Get-ADPermission -Identity "Default Mailbox01" -User "NT AUTHORITY\Authenticated Users" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Verwenden Sie die folgende Syntax, um einem Sicherheitsprinzipal auf einem Empfangsconnector Berechtigungen hinzuzufügen:

Add-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Verwenden Sie die folgende Syntax, um Berechtigungen aus einem Sicherheitsprinzipal auf einem Empfangsconnector zu entfernen:

Remove-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Zurück zum Seitenanfang

 
Anzeigen: