Grundlegendes zu Empfangsconnectors

 

Gilt für: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Letztes Änderungsdatum des Themas: 2016-11-28

Empfangsconnectors werden auf Computern konfiguriert, auf denen MicrosoftExchange Server 2010 ausgeführt wird und auf denen die Hub-Transport- oder die Edge-Transport-Serverrolle installiert ist. Empfangsconnectors fungieren als logische Gateways, über die alle eingehenden Nachrichten empfangen werden. Dieses Thema enthält einen Überblick über Empfangsconnectors. Darüber hinaus wird erläutert, welche Auswirkungen deren Konfiguration auf die jeweilige Nachrichtenverarbeitung hat.

Empfangsconnectors – Überblick

Exchange 2010-Transportserver benötigen Empfangsconnectors zum Empfang von Nachrichten aus dem Internet, von E-Mail-Clients und sonstigen E-Mail-Servern. Ein Empfangsconnector steuert die eingehenden Verbindungen zur Exchange-Organisation. Die für die interne Nachrichtenübermittlung erforderlichen Empfangsconnectors werden standardmäßig bei der Installation der Hub-Transport-Serverrolle erstellt. Der Empfangsconnector, der in der Lage ist, E-Mail-Nachrichten aus dem Internet und von Hub-Transport-Servern zu empfangen, wird automatisch erstellt, wenn die Edge-Transport-Serverrolle installiert wird. Die End-to-End-Nachrichtenübermittlung ist aber erst möglich, nachdem der Edge-Transport-Server mithilfe des Edge-Abonnementprozesses für den Active Directory-Standort abonniert wurde. In anderen Szenarien, wie z. B. einem mit dem Internet verbundenen Hub-Transport-Server oder einem nicht abonnierten Edge-Transport-Server, ist eine manuelle Connectorkonfiguration erforderlich, um die End-to-End-Nachrichtenübermittlung herzustellen.

In Exchange 2010 ist der Empfangsconnector ein Empfangslistener. Dies bedeutet, dass der Empfangsconnector eingehende Verbindungen überwacht, die seinen Einstellungen entsprechen. Ein Empfangsconnector überwacht Verbindungen, die über eine bestimmte lokale IP-Adresse/einen Port und von einem angegebenen IP-Adressbereich empfangen werden. Sie erstellen Empfangsconnectors, wenn Sie steuern möchten, welche Server Nachrichten von einer bestimmten IP-Adresse oder einem IP-Adressbereich empfangen, und wenn Sie spezielle Connectoreigenschaften für Nachrichten konfigurieren möchten, die von einer bestimmten IP-Adresse empfangen werden, beispielsweise Nachrichtengröße, mehr Empfänger pro Nachricht oder mehr eingehende Verbindungen.

Empfangsconnectors sind auf einen einzelnen Server beschränkt und bestimmen, wie dieser spezielle Server Verbindungen überwacht. Wenn Sie einen Empfangsconnector auf einem Hub-Transport-Server erstellen, wird der Empfangsconnector in Active Directory als untergeordnetes Objekt des Servers gespeichert, auf dem er erstellt wird. Wenn Sie einen Empfangsconnector auf einem Edge-Transport-Server erstellen, wird der Empfangsconnector in AD LDS (Active Directory Lightweight Directory Services) gespeichert.

Wenn Sie für bestimmte Szenarien weitere Empfangsconnectors benötigen, können Sie diese mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell erstellen. Für jeden Empfangsconnector muss eine eindeutige Kombination aus IP-Adressbindungen, Portnummernzuweisungen und Remote-IP-Adressbereichen angegeben werden, von denen Nachrichten von diesem Connector angenommen werden.

Während der Installation erstellte Standardempfangsconnectors

Einige Empfangsconnectors werden standardmäßig erstellt, wenn Sie eine Hub-Transport- oder Edge-Transport-Serverrolle installieren.

Auf einem Hub-Transport-Server erstellte Standardempfangsconnectors

Standardmäßig werden zwei Empfangsconnectors erstellt, wenn die Hub-Transport-Serverrolle installiert wird. Für den Normalbetrieb sind keine zusätzlichen Empfangsconnectors erforderlich, und in den meisten Fällen erfordern Standardempfangsconnectors keine Konfigurationsänderung. Verwendungsart und Konfiguration dieser Connectors sind in der folgenden Tabelle beschrieben.

Empfangsconnector-Standardkonfiguration auf Hub-Transport-Servern

Connectorname und Verwendungsart Konfiguration

Client 'Servername'   Dieser Empfangsconnector nimmt SMTP-Verbindungen von allen Nicht-MAPI-Clients, wie etwa POP und IMAP, an.

  • Status: Aktiviert

  • Protokolliergrad: Keiner.

  • Vollqualifizierter Domänenname (FQDN) des Connectors: Servername.forestroot.extension

  • Bindungen: Alle verfügbaren IP-Adressen. Der Server nimmt E-Mail über beliebige Netzwerkadapter auf dem Hub-Transport-Server an.

  • Port: 587. Dies ist der Standardport für das Empfangen von Nachrichten von allen Nicht-MAPI-Clients für das SMTP-Relay.

  • IP-Adressbereich für Remoteserver: 0.0.0.0–255.255.255.255 IPv4 und 0000:0000:0000:0000:0000:0000:0.0.0.0–ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255 IPv6. Der Hub-Transport-Server nimmt E-Mail-Nachrichten von beliebigen IP-Adressen an.

  • Verfügbare Authentifizierungsmethoden: TLS (Transport Layer Security), Standardauthentifizierung, Exchange Server-Authentifizierung, integrierte Windows-Authentifizierung.

  • Berechtigungsgruppen: Exchange-Benutzer.

Default Servername   Dieser Empfangsconnector nimmt Verbindungen von anderen Hub-Transport-Servern und allen Edge-Transport-Servern an.

  • Status: Aktiviert.

  • Protokolliergrad: Keiner.

  • FQDN des Connectors: Servername.forestroot.extension

  • Empfangsconnectorbindungen des lokalen Servers: Alle verfügbaren IP-Adressen. Der Server nimmt E-Mail über beliebige Netzwerkadapter auf dem Hub-Transport-Server an.

  • Port: 25.

  • IP-Adressbereich für Remoteserver: 0.0.0.0–255.255.255.255 IPv4 und 0000:0000:0000:0000:0000:0000:0.0.0.0–ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255 IPv6. Der Hub-Transport-Server nimmt E-Mail-Nachrichten von beliebigen IP-Adressen an.

  • Verfügbare Authentifizierungsmethoden: TLS, Standardauthentifizierung, integrierte Windows-Authentifizierung.

  • Berechtigungsgruppen: Exchange-Benutzer, Exchange-Server, Legacy-Exchange-Server.

Hinweis

Allen Empfangsconnectors, die für die Annahme von Verbindungen von Edge-Transport- oder anderen Hub-Transport-Servern verantwortlich sind, muss die Exchange Server-Authentifizierungsmethode zugewiesen sein. Die Exchange Server-Authentifizierungsmethode ist die Standardauthentifizierungsmethode beim Erstellen eines neuen Empfangsconnectors vom Verwendungstyp "Intern".

Auf einem Edge-Transport-Server erstellter Standardempfangsconnector

Während der Installation wird ein Empfangsconnector erstellt. Dieser Empfangsconnector wird so konfiguriert, dass SMTP-Verbindungen von allen IP-Adressbereichen akzeptiert werden, und er ist an alle IP-Adressen des lokalen Servers gebunden. Er ist für den Verwendungstyp "Internet" konfiguriert und nimmt somit anonyme Verbindungen an. In einer typischen Installation sind keine zusätzlichen Empfangsconnectors erforderlich. Wenn Sie EdgeSync verwenden, müssen Sie keine Konfigurationsänderungen vornehmen, da der Edge-Abonnementprozess automatisch Berechtigungen und Authentifizierungsmechanismen konfiguriert. Anonymen Sitzungen und authentifizierten Sitzungen werden unterschiedliche Berechtigungssätze erteilt.

Wenn Sie EdgeSync nicht verwenden, sollten Sie die Einstellungen dieses Empfangsconnectors ändern und einen weiteren Empfangsconnector vom Verwendungstyp "Intern" erstellen. Führen Sie die folgenden Schritte aus, um die Konfiguration des Empfangsconnectors abzuschließen:

  1. Ändern Sie die Einstellungen des Standardempfangsconnectors   Legen Sie die lokalen Netzwerkbindungen auf die IP-Adresse des mit dem Internet verbundenen Netzwerkadapters fest.

  2. Erstellen Sie einen Empfangsconnector   Wählen Sie als Verwendungstyp für den Connector "Intern" aus. Legen Sie die lokalen Netzwerkbindungen nur auf die IP-Adresse des mit der Organisation verbundenen Netzwerkadapters fest. Konfigurieren Sie die Remotenetzwerkeinstellungen für den Empfang von E-Mails von den Remote-IP-Adressen, die den Hub-Transport-Servern zugewiesen sind.

    Hinweis

    Allen Empfangsconnectors, die für die Annahme von Verbindungen von Edge-Transport- oder anderen Hub-Transport-Servern verantwortlich sind, muss die Exchange Server-Authentifizierungsmethode zugewiesen sein. Die Exchange Server-Authentifizierungsmethode ist die Standardauthentifizierungsmethode beim Erstellen eines Empfangsconnectors vom Verwendungstyp "Intern".

  3. Ermitteln Sie, ob die Standardauthentifizierung gewünscht wird   Wenn die Standardauthentifizierung unterstützt werden soll, erstellen Sie ein lokales Benutzerkonto und weisen diesem mithilfe des Cmdlets Add-ADPermission die erforderlichen Berechtigungen zu.

Weitere Informationen finden Sie unter Konfigurieren der Nachrichtenübermittlung zwischen einem Edge-Transport-Server und Hub-Transport-Servern, ohne EdgeSync zu verwenden.

Verwendungstypen für Empfangsconnectors

Der Verwendungstyp bestimmt die standardmäßigen Sicherheitseinstellungen für den Connector.

In den Sicherheitseinstellungen eines Empfangsconnectors werden die Berechtigungen festgelegt, die für Sitzungen gewährt werden, in denen die Verbindung zum Empfangsconnector hergestellt wird, sowie die unterstützten Authentifizierungsmechanismen.

Wenn Sie zum Konfigurieren eines Empfangsconnectors die Exchange-Verwaltungskonsole verwenden, werden Sie vom Assistenten für neuen SMTP-Empfangsconnector aufgefordert, einen Verwendungstyp für den Connector anzugeben. Sie können den Verwendungstyp mit zwei verschiedenen Verfahren angeben:

  • Verwenden Sie den Parameter Usage mit dem gewünschten Wert, wie etwa UsageCustom. Je nach dem angegebenen Verwendungstyp existieren weitere erforderliche Parameter. Wenn Sie die erforderlichen Parameter im Befehl New-ReceiveConnector nicht angeben, tritt bei der Befehlsausführung ein Fehler auf.

  • Verwenden Sie den Optionsparameter für den gewünschten Verwendungstyp, wie etwa Custom. Je nach dem angegebenen Verwendungstyp existieren weitere erforderliche Parameter. Wenn Sie die erforderlichen Parameter im Befehl New-ReceiveConnector nicht angeben, werden Sie zur Eingabe der fehlenden Parameterwerte aufgefordert, damit die Befehlsausführung fortgesetzt werden kann.

Berechtigungsgruppen

Eine Berechtigungsgruppe ist ein vordefinierter Satz Berechtigungen, die vertrauenswürdigen Sicherheitsprinzipalen gewährt und einem Empfangsconnector zugewiesen werden. Sicherheitsprinzipale beinhalten Benutzer, Computer und Sicherheitsgruppen. Ein Sicherheitsprinzipal wird durch eine Sicherheits-ID (SID) identifiziert. Berechtigungsgruppen stehen nur für Empfangsconnectors zur Verfügung. Die Verwendung von Berechtigungsgruppen vereinfacht die Konfiguration von Berechtigungen für Empfangsconnectors. Die Eigenschaft PermissionGroups definiert die Gruppen oder Rollen, die Nachrichten an den Empfangsconnector übermittelt können, sowie die Berechtigungen, die diesen Gruppen zugewiesen sind. Der Satz Berechtigungsgruppen ist in Exchange 2010 vordefiniert. Dies bedeutet, dass keine zusätzlichen Berechtigungsgruppen erstellt werden können. Außerdem können Sie die Berechtigungsgruppenmitglieder oder zugeordneten Berechtigungen nicht ändern.

Die folgende Tabelle enthält die verfügbaren Berechtigungsgruppen und gibt die Sicherheitsprinzipale und die Berechtigungen an, die gewährt werden, wenn eine Berechtigungsgruppe für einen Empfangsconnector konfiguriert wird.

Berechtigungsgruppen für Empfangsconnectors

Name der Berechtigungsgruppe Zugeordnete Sicherheitsprinzipale (SIDs) Gewährte Berechtigungen

Anonymous

Anonymes Benutzerkonto

  • Ms-Exch-SMTP-Submit

  • Ms-Exch-SMTP-Accept-Any-Sender

  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

  • Ms-Exch-Accept-Headers-Routing

ExchangeUsers

Authentifizierte Benutzerkonten

  • Ms-Exch-SMTP-Submit

  • Ms-Exch-SMTP-Accept-Any-Recipient

  • Ms-Exch-Bypass-Anti-Spam

  • Ms-Exch-Accept-Headers-Routing

ExchangeServers

  • Hub-Transport-Server

  • Edge-Transport-Server

  • Exchange Server (nur Hub-Transport-Server)

  • Extern gesicherte Server

  • Ms-Exch-SMTP-Submit

  • Ms-Exch-SMTP-Accept-Any-Sender

  • Ms-Exch-SMTP-Accept-Any-Recipient

  • Ms-Exch-Accept-Authoritative-Domain-Sender

  • Ms-Exch-Bypass-Anti-Spam

  • Ms-Exch-SMTP-Accept-Authentication-Flag

  • Ms-Exch-Bypass-Message-Size-Limit

  • Ms-Exch-Accept-Headers-Routing

  • Ms-Exch-Accept-Exch50

  • Ms-Exch-Accept-Headers-Organization

    Hinweis

    Diese Berechtigung wird extern gesicherten Servern nicht gewährt.

  • Ms-Exch-Accept-Headers-Forest

    Hinweis

    Diese Berechtigung wird extern gesicherten Servern nicht gewährt.

ExchangeLegacyServers

Sicherheitsgruppe "Exchange Legacy Interop"

  • Ms-Exch-SMTP-Submit

  • Ms-Exch-SMTP-Accept-Any-Sender

  • Ms-Exch-SMTP-Accept-Any-Recipient

  • Ms-Exch-Accept-Authoritative-Domain-Sender

  • Ms-Exch-Bypass-Anti-Spam

  • Ms-Exch-SMTP-Accept-Authentication-Flag

  • Ms-Exch-Bypass-Message-Size-Limit

  • Ms-Exch-Accept-Headers-Routing

  • Ms-Exch-Accept-Exch50

Partner

Partnerserverkonto

  • Ms-Exch-SMTP-Submit

  • Ms-Exch-Accept-Headers-Routing

Verwendungstypen für Empfangsconnectors

Mit dem Verwendungstyp werden die standardmäßigen Berechtigungsgruppen festgelegt, die dem Empfangsconnector zugewiesen werden, sowie die standardmäßigen Authentifizierungsmechanismen, die für die Sitzungsauthentifizierung zur Verfügung stehen. Ein Empfangsconnector reagiert immer auf die Anforderung eines Absenders, TLS zu verwenden. In der folgenden Tabelle werden die verfügbaren Verwendungstypen und Standardeinstellungen erläutert.

Verwendungstypen für Empfangsconnectors

Verwendungstyp Standardsicherheitsgruppen Standardauthentifizierungsmechanismus

Client (auf Edge-Transport-Servern nicht verfügbar)

ExchangeUsers

TLS

Standardauthentifizierung plus TLS

Integrierte Windows-Authentifizierung

Benutzerdefiniert

Keiner

Keiner

Internal

ExchangeServers

ExchangeLegacyServers (Diese Sicherheitsgruppe ist auf Edge-Transport-Servern nicht verfügbar.)

Exchange Server-Authentifizierung

Internet

AnonymousUsers

Partner

Keine oder extern gesichert

Partner

Partner

Nicht anwendbar. Dieser Verwendungstyp wird ausgewählt, wenn Sie MTLS (Mutual Transport Layer Security) zu einer Remotedomäne einrichten.

Die Berechtigungen und Authentifizierungsmechanismen für Empfangsconnectors werden an späterer Stelle in diesem Thema besprochen.

Verwendungsszenarien für Empfangsconnectors

Jeder Verwendungstyp ist für ein bestimmtes Verbindungsszenario ausgelegt. Wählen Sie den Verwendungstyp aus, dessen Standardeinstellungen für die gewünschte Konfiguration am besten geeignet sind. Berechtigungen können mit den Cmdlets Add-ADPermission und Remove-ADPermission geändert werden. Weitere Informationen hierzu finden Sie in den folgenden Themen:

In der folgenden Tabelle sind übliche Verbindungsszenarien und Verwendungstypen für jedes Szenario aufgeführt.

Verwendungsszenarien für Empfangsconnectors

Connectorszenario Verwendungstyp Kommentar

Edge-Transport-Server, der E-Mail-Nachrichten aus dem Internet empfängt

Internet

Ein Empfangsconnector, der für den Empfang von E-Mail-Nachrichten aus allen Domänen konfiguriert ist, wird automatisch erstellt, wenn die Edge-Transport-Serverrolle installiert wird.

Hub-Transport-Server, der E-Mail-Nachrichten aus dem Internet empfängt

Internet

Dies ist keine empfohlene Konfiguration. Weitere Informationen finden Sie unter Direktes Konfigurieren der Internetnachrichtenübermittlung über einen Hub-Transport-Server.

Edge-Transport-Server, der E-Mail-Nachrichten von einem Exchange Server 2003-Bridgeheadserver empfängt

Intern

In diesem Szenario wird der Exchange 2003-Bridgeheadserver so konfiguriert, dass er den Edge-Transport-Server als Smarthost für einen Sendeconnector verwendet.

Hub-Transport-Server, der E-Mail-Übermittlungen von einer Clientanwendung empfängt, die POP3 oder IMAP4 verwendet

Client

Dieser Empfangsconnector wird automatisch auf jedem Hub-Transport-Server erstellt, wenn die Serverrolle installiert wird. Standardmäßig ist dieser Empfangsconnector für den Empfang von E-Mail-Nachrichten über TCP-Port 587 konfiguriert.

Hub-Transport-Server, der E-Mail-Nachrichten von einem Hub-Transport-Server empfängt

Intern

Zwischen Hub-Transport-Servern in der gleichen Organisation müssen keine Empfangsconnectors konfiguriert werden. Dieser Verwendungstyp kann zum Konfigurieren eines gesamtstrukturübergreifenden Empfangsconnectors verwendet werden.

Hub-Transport-Server, der E-Mail-Nachrichten von einem Exchange 2003-Bridgeheadserver in derselben Gesamtstruktur empfängt

Intern

Dies ist eine optionale Konfiguration. Der Transport zwischen Exchange 2010 und früheren Versionen von Exchange erfolgt über bidirektionale Routinggruppenconnectors. Wenn Sie SMTP-Connectors zu Exchange 2003-Routinggruppen erstellen, muss außerdem ein Routinggruppenconnector vorhanden sein. Weitere Informationen finden Sie unter Erstellen von zusätzlichen Routinggruppenconnectors von Exchange 2010 zu Exchange 2003.

Edge-Transport-Server, der E-Mail-Nachrichten von einem Hub-Transport-Server empfängt

Intern

Ein Empfangsconnector, der für den Empfang von E-Mail-Nachrichten aus allen Domänen konfiguriert ist, wird automatisch erstellt, wenn die Edge-Transport-Serverrolle installiert wird. Sie können einen weiteren Connector erstellen und diesen so konfigurieren, dass er nur E-Mail-Nachrichten aus der Exchange-Organisation empfängt.

Gesamtstrukturübergreifender Empfangsconnector für einen Hub-Transport-Server in der einen Gesamtstruktur, der E-Mail-Nachrichten von einem Hub-Transport-Server in der zweiten Gesamtstruktur empfängt

Benutzerdefiniert

Die detaillierten Konfigurationsschritte finden Sie unter Konfigurieren gesamtstrukturübergreifender Connectors.

Gesamtstrukturübergreifender Empfangsconnector für einen Hub-Transport-Server in der einen Gesamtstruktur, der E-Mail-Nachrichten von einem Exchange 2003-Bridgeheadserver in der zweiten Gesamtstruktur empfängt

Benutzerdefiniert

Ausführliche Konfigurationsschritte finden Sie unter Konfigurieren gesamtstrukturübergreifender Connectors.

Hub-Transport-Server, der E-Mail-Nachrichten vom MTA (Message Transfer Agent) eines Drittanbieters empfängt

Intern

Geben Sie den IP-Adressbereich an, von dem Nachrichten angenommen werden, und legen Sie als Authentifizierungsmechanismus entweder "Standardauthentifizierung" oder "Extern gesichert" fest.

Edge-Transport-Server, der E-Mail-Nachrichten vom MTA (Message Transfer Agent) eines Drittanbieters empfängt

Benutzerdefiniert

Mit dem Cmdlet Add-ADPermission können Sie die erweiterten Rechte festlegen. Geben Sie den IP-Adressbereich an, von dem Nachrichten angenommen werden, und legen Sie als Authentifizierungsmechanismus "Standardauthentifizierung" fest. Sie können als Verwendungstyp auch "Internal" und "Extern gesichert" als Authentifizierungsmethode auswählen. Bei Auswahl dieser Option ist keine weitere Berechtigungskonfiguration erforderlich.

Edge-Transport-Server, der E-Mail-Nachrichten aus einer externen Relaydomäne empfängt

Benutzerdefiniert

Der Edge-Transport-Server kann E-Mail-Nachrichten aus einer externen Relaydomäne annehmen und diese dann an die Zieldomäne des Empfängers weitergeben. Geben Sie den IP-Adressbereich an, von dem Nachrichten angenommen werden, legen Sie den geeigneten Authentifizierungsmechanismus fest, und verwenden Sie das Cmdlet Add-ADPermission zum Festlegen von erweiterten Rechten.

Edge-Transport-Server, der E-Mail-Nachrichten aus einer Domäne empfängt, zu der die MTLS-Authentifizierung (Mutual Transport Layer Security) eingerichtet wurde

Partner

Die MTLS-Authentifizierung funktioniert nur dann ordnungsgemäß, wenn folgende Bedingungen zutreffen:

  • Der Wert des Parameters DomainSecureEnabled ist auf $true festgelegt.

  • Der Wert des Parameters AuthMechanism enthält TLS und nicht External.

  • Der Parameter TLSReceiveDomainSecureList in der Transportkonfiguration enthält mindestens eine Domäne, die von diesem Empfangsconnector bedient wird. Das Platzhalterzeichen (*) wird in Domänen, die für MTLS-Authentifizierung konfiguriert sind, nicht unterstützt. Die gleiche Domäne muss auch auf dem entsprechenden Sendeconnector und im Wert des Parameters TLSSendDomainSecureList der Transportkonfiguration definiert sein.

Weitere Informationen finden Sie unter Set-ReceiveConnector.

Edge-Transport-Server, der Verbindungen von einem Microsoft Exchange Hosted Services-Server entgegennimmt

Benutzerdefiniert

Der Exchange Hosted Services-Server kann als extern autorisierender Server fungieren. Wenn "Extern gesichert" als Authentifizierungsmechanismus verwendet werden soll, legen Sie mit dem Cmdlet Set-ReceiveConnector den Parameter PermissionGroup auf ExchangeServers fest.

Hub-Transport-Server, der Verbindungen von einem Exchange Hosted Services-Server entgegennimmt

Benutzerdefiniert

Der Exchange Hosted Services-Server kann als extern autorisierender Server fungieren. Wenn "Extern gesichert" als Authentifizierungsmechanismus verwendet werden soll, legen Sie mit dem Cmdlet Set-ReceiveConnector den Parameter PermissionGroup auf ExchangeServers fest.

Berechtigungen für Empfangsconnectors

Berechtigungen für Empfangsconnectors werden Sicherheitsprinzipalen zugewiesen, wenn Sie die Berechtigungsgruppen für den Connector festlegen. Wenn ein Sicherheitsprinzipal eine Sitzung zu einem Empfangsconnector aufbaut, bestimmen die Berechtigungen des Empfangsconnectors, ob die Sitzung akzeptiert wird und wie empfangene Nachrichten verarbeitet werden. In der folgenden Tabelle werden die Berechtigungen erläutert, die Sicherheitsprinzipalen auf einem Empfangsconnector zugewiesen werden können. Empfangsconnectorberechtigungen können mithilfe der Exchange-Verwaltungskonsole oder mit dem Cmdlet Set-ReceiveConnector und dem Parameter PermissionGroups in der Shell festgelegt werden. Zum Ändern der Standardberechtigungen für einen Empfangsconnector können Sie auch das Cmdlet Add-ADPermission verwenden.

Empfangsconnectorberechtigungen

Empfangsconnectorberechtigung Beschreibung

ms-Exch-SMTP-Submit

Der Sitzung muss diese Berechtigung gewährt werden, oder es können keine Nachrichten an den Empfangsconnector übermittelt werden. Wenn eine Sitzung nicht über diese Berechtigung verfügt, schlagen die Befehle MAIL FROM und AUTH fehl.

ms-Exch-SMTP-Accept-Any-Recipient

Mit dieser Berechtigung ist die Sitzung in der Lage, Nachrichten über diesen Connector weiterzugeben. Wird diese Berechtigung nicht gewährt, akzeptiert der Connector nur Nachrichten an Empfänger in zugelassenen Domänen.

ms-Exch-SMTP-Accept-Any-Sender

Mit dieser Berechtigung ist die Sitzung in der Lage, die Spoofingprüfung der Absenderadresse zu umgehen.

ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

Diese Berechtigung gestattet Sendern mit E-Mail-Adressen aus autoritativen Domänen, eine Sitzung zu diesem Empfangsconnector aufzubauen.

ms-Exch-SMTP-Accept-Authentication-Flag

Diese Berechtigung ermöglicht es Exchange 2003-Servern, Nachrichten von internen Absendern zu übermitteln. Exchange 2010 erkennt die Nachrichten als intern. Der Absender kann die Nachricht als vertrauenswürdig deklarieren. Nachrichten, die über anonyme Übermittlungen im Exchange-System eingehen, werden mit dieser Kennzeichnung durch die Exchange-Organisation mit dem Status "nicht vertrauenswürdig" weitergegeben.

ms-Exch-Accept-Headers-Routing

Mit dieser Berechtigung ist die Sitzung in der Lage, eine Nachricht zu übermitteln, bei der alle empfangenen Kopfzeilen intakt sind. Wenn diese Berechtigung nicht erteilt wird, entfernt der Server alle empfangenen Kopfzeilen.

ms-Exch-Accept-Headers-Organization

Mit dieser Berechtigung ist die Sitzung in der Lage, eine Nachricht zu übermitteln, bei der alle Organisationskopfzeilen intakt sind. Organisationskopfzeilen beginnen immer mit X-MS-Exchange-Organization-. Wenn diese Berechtigung nicht erteilt wird, entfernt der empfangende Server alle Organisationskopfzeilen.

ms-Exch-Accept-Headers-Forest

Mit dieser Berechtigung ist die Sitzung in der Lage, eine Nachricht zu übermitteln, bei der alle Gesamtstrukturkopfzeilen intakt sind. Gesamtstrukturkopfzeilen beginnen immer mit X-MS-Exchange-Forest-. Wenn diese Berechtigung nicht erteilt wird, entfernt der empfangende Server alle Gesamtstrukturkopfzeilen.

ms-Exch-Accept-Exch50

Mit dieser Berechtigung ist die Sitzung in der Lage, eine Nachricht zu übermitteln, die den Befehl XEXCH50 enthält. Dieser Befehl ist für die Interoperabilität mit Exchange 2003 erforderlich. Der Befehl XEXCH50 stellt Daten wie die SCL-Bewertung (Spam Confidence Level) einer Nachricht bereit.

ms-Exch-Bypass-Message-Size-Limit

Mit dieser Berechtigung ist die Sitzung in der Lage, eine Nachricht zu übermitteln, die die für den Connector konfigurierte Nachrichtengrößenbeschränkung überschreitet.

Ms-Exch-Bypass-Anti-Spam

Mit dieser Berechtigung ist die Sitzung in der Lage, die Antispamfilterung zu umgehen.

Lokale Netzwerkeinstellungen

In der Exchange-Verwaltungskonsole verwenden Sie die lokalen Netzwerkeinstellungen für einen Empfangsconnector, um die IP-Adresse und den Port anzugeben, von der bzw. über den der Transportserver Verbindungen akzeptiert. In der Shell verwenden Sie den Parameter Bindings, um die lokale IP-Adresse und den Port des Transportservers anzugeben, von der bzw. über den der Empfangsconnector Verbindungen akzeptiert. Mit diesen Einstellungen wird der Empfangsconnector an einen bestimmten Netzwerkadapter und einen TCP-Port auf dem Transportserver gebunden.

Standardmäßig wird ein Empfangsconnector so konfiguriert, dass er alle verfügbaren Netzwerkadapter und TCP-Port 25 verwendet. Wenn ein Transportserver über mehrere Netzwerkadapter verfügt, kann der Empfangsconnector an einen bestimmten Netzwerkadapter gebunden oder so konfiguriert werden, dass er Verbindungen über einen alternativen Port akzeptiert. So können Sie beispielsweise einen Empfangsconnector auf dem Edge-Transport-Server so konfigurieren, dass er anonyme Verbindungen über den externen Netzwerkadapter akzeptiert. Ein zweiter Empfangsconnector kann nun so konfiguriert werden, dass er nur Verbindungen von Hub-Transport-Servern über den internen Netzwerkadapter akzeptiert.

Hinweis

Wenn Sie sich entscheiden, einen Empfangsconnector an eine bestimmte lokale IP-Adresse zu binden, muss diese IP-Adresse für den Hub-Transport-Server oder Edge-Transport-Server gültig sein, auf dem sich der Empfangsconnector befindet. Wenn Sie eine ungültige lokale IP-Adresse angeben, kann beim Neustart des Microsoft Exchange-Transportdiensts ein Fehler auftreten. Statt den Empfangsconnector an eine bestimmte IP-Adresse zu binden, können Sie den Empfangsconnector an alle verfügbaren IP-Adressen auf dem Hub-Transport-Server oder Edge-Transport-Server binden.

Geben Sie beim Konfigurieren der Empfangsconnectorbindungen die IP-Adresse des Netzwerkadapters an. Wenn der Empfangsconnector für die Annahme von Verbindungen über einen anderen als den Standardport konfiguriert ist, muss der sendende Client oder Server so konfiguriert sein, dass die Übermittlung an diesen Port erfolgt, und alle Firewalls zwischen Nachrichtenabsender und empfangendem Server müssen Netzwerkverkehr über diesen Port zulassen.

Die Seite Lokale Netzwerkeinstellungen des Assistenten für neuen SMTP-Empfangsconnector in der Exchange-Verwaltungskonsole umfasst die Option Geben Sie den FQDN an, den dieser Connector als Antwort auf HELO oder EHLO bereitstellen soll. In der Shell wird diese Eigenschaft mit dem Cmdlet Set-ReceiveConnector und dem Parameter Fqdn festgelegt. Nachdem eine SMTP-Sitzung aufgebaut wurde, beginnt zwischen dem sendenden E-Mail-Server und dem empfangenden E-Mail-Server eine SMTP-Protokollverhandlung. Der sendende E-Mail-Server oder -Client sendet den SMTP-Befehl EHLO oder HELO sowie seinen FQDN an den empfangenden Server. Als Antwort sendet der empfangende Server einen "Success"-Code und übergibt seinen eigenen FQDN. Unter Exchange 2010 kann der vom empfangenden Server übermittelte FQDN angepasst werden, wenn Sie diese Eigenschaft auf einem Empfangsconnector konfigurieren. Der FQDN-Wert wird verbundenen Messagingservern angezeigt, wenn der Name eines Zielservers erforderlich ist, wie in den folgenden Beispielen:

  • Im standardmäßigen SMTP-Banner des Empfangsconnectors

  • Im aktuellen Received:-Kopfdatenfeld in der eingehenden Nachricht, wenn die Nachricht beim Hub-Transport-Server oder Edge-Transport-Server eingeht

  • Während der TLS-Authentifizierung

Hinweis

Ändern Sie nicht den FQDN-Wert für den standardmäßigen Empfangsconnector mit dem Namen <Name des Standardservers>, der auf Hub-Transport-Servern automatisch erstellt wird. Wenn Sie in Ihrer Exchange-Organisation mehrere Hub-Transport-Server verwenden und den FQDN-Wert für den Empfangsconnector für <Name des Standardservers> ändern, treten bei der internen Nachrichtenübermittlung zwischen den Hub-Transport-Servern Fehler auf.

Remote-Netzwerkeinstellungen

In der Exchange-Verwaltungskonsole verwenden Sie die Remote-Netzwerkeinstellungen für einen Empfangsconnector, um die IP-Adressbereiche anzugeben, von denen der Empfangsconnector Verbindungen akzeptiert. In der Shell verwenden Sie den Parameter RemoteIPRanges zur Angabe der IP-Adressbereiche, von denen der Empfangsconnector Verbindungen akzeptiert. Standardmäßig werden Empfangsconnectors auf Hub-Transport-Servern und Edge-Transport-Servern erstellt, die Verbindungen von 0.0.0.0–255.255.255.255 oder von beliebigen IP-Adressen zulassen.

Hinweis

In Exchange 2010 ist darüber hinaus der IPv6-Adressbereich 0000:0000:0000:0000:0000:0000:0.0.0.0-ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255 in den Standard-Empfangsconnectors auf einem Hub-Transport-Server vorhanden.

Wenn Sie einen Empfangsconnector für ein bestimmtes Szenario konfigurieren, legen Sie die Remote-Netzwerkeinstellungen ausschließlich auf die IP-Adressen von Servern fest, die über die geeigneten Berechtigungen und Konfigurationseinstellungen für den Empfangsconnector verfügen. Mehrere Empfangsconnectors können überlappende Remote-IP-Adressbereiche haben, solange sie sich gegenseitig vollständig überlappen. Wenn sich die Bereiche der Remote-IP-Adressen überlappen, wird der Bereich der Remote-IP-Adressen mit der exaktesten Übereinstimmung mit der IP-Adresse des verbindenden Servers verwendet.

Die IP-Adresse oder der IP-Adressbereich für die Remoteserver, von denen der Empfangsconnector eingehende Verbindungen akzeptiert, wird in einem der folgenden Formate eingegeben:

  • IP-Adresse   192.168.1.1

  • IP-Adressbereich   192.168.1.10-192.168.1.20

  • IP-Adresse zusammen mit Subnetmask   192.168.1.0 (255.255.255.0)

  • IP-Adresse zusammen mit Subnetmask unter Verwendung von CIDR-Schreibweise (Classless Interdomain Routing)   192.168.1.0/24

Authentifizierungseinstellungen für Empfangsconnectors

In der Exchange-Verwaltungskonsole verwenden Sie die Authentifizierungseinstellungen für einen Empfangsconnector, um die Authentifizierungsmechanismen anzugeben, die vom Exchange 2010-Transportserver unterstützt werden. In der Shell verwenden Sie den Parameter AuthMechanisms, um die unterstützten Authentifizierungsmechanismen anzugeben. Sie können für einen Empfangsconnector mehr als einen Authentifizierungsmechanismus konfigurieren. Die Authentifizierungsmechanismen, die automatisch für die einzelnen Verwendungstypen konfiguriert werden, finden Sie in der Tabelle "Verwendungstypen für Empfangsconnectors" weiter oben in diesem Thema. In der folgenden Tabelle werden die für einen Empfangsconnector verfügbaren Authentifizierungsmechanismen aufgeführt.

Authentifizierungsmechanismen für Empfangsconnectors

Authentifizierungsmechanismus Beschreibung

Keiner

Keine Authentifizierung

TLS

STARTTLS ankündigen. Setzt die Verfügbarkeit eines Serverzertifikats zur Bereitstellung von TLS voraus.

Integriert

NTLM und Kerberos (integrierte Windows-Authentifizierung).

BasicAuth

Standardauthentifizierung. Setzt eine authentifizierte Anmeldung voraus.

BasicAuthRequireTLS

Standardauthentifizierung über TLS. Setzt ein Serverzertifikat voraus.

ExchangeServer

Exchange Server-Authentifizierung (Generic Security Services Application Programming Interface (GSSAPI) und Mutual GSSAPI).

ExternalAuthoritative

Die Verbindung wird als extern gesichert betrachtet, da ein Exchange-externer Sicherheitsmechanismus verwendet wird. Bei der Verbindung kann es sich um eine IPsec-Zuordnung (Internet Protocol Security) oder ein virtuelles privates Netzwerk (VPN) handeln. Alternativ können die Server sich auch in einem vertrauenswürdigen, physisch gesteuerten Netzwerk befinden. Für die Authentifizierungsmethode ExternalAuthoritative ist die Berechtigungsgruppe ExchangeServers erforderlich. Diese Kombination aus Authentifizierungsmethode und Sicherheitsgruppe ermöglicht die Auflösung von anonymen Absender-E-Mail-Adressen für Nachrichten, die über diesen Connector empfangen werden. Diese Funktionalität ersetzt die Funktion Anonyme E-Mails auflösen in Exchange Server 2003.

Weitere Empfangsconnectoreigenschaften

Mit der Konfiguration der Eigenschaften eines Empfangsconnectors wird definiert, wie dieser Connector E-Mail-Nachrichten empfängt. Nicht alle Eigenschaften stehen in der Exchange-Verwaltungskonsole zur Verfügung. Weitere Informationen zu den Eigenschaften, die mit der Shell konfiguriert werden können, finden Sie unter Set-ReceiveConnector.

Verwenden eines Empfangsconnectors für anonymes Relay

Anonymes Relay bei Internet-SMTP-Messagingservern ist ein ernsthaftes Sicherheitsdefizit, das von den Absendern unerwünschter kommerzieller E-Mail-Nachrichten (Spammern) ausgenutzt werden kann, um die Quelle ihrer Nachrichten zu verbergen. Aus diesem Grund werden dem Internet ausgesetzte Messagingserver mit Einschränkungen versehen, um das Relay nicht autorisierter Ziele zu verhindern.

In Exchange 2010 wird Relay normalerweise mithilfe akzeptierter Domänen behandelt. Akzeptierte Domänen werden auf dem Edge-Transport-Server oder dem Hub-Transport-Server konfiguriert. Die akzeptierten Domänen werden außerdem als interne Relaydomänen oder externe Relaydomänen klassifiziert. Weitere Informationen zu akzeptierten Domänen finden Sie unter Grundlegendes zu akzeptierten Domänen.

Sie können anonymes Relay auch basierend auf der Quelle der eingehenden Nachrichten einschränken. Diese Methode eignet sich, wenn ein nicht authentifizierter Anwendungs- oder Messagingserver einen Hub-Transport-Server oder einen Edge-Transport-Server als Relayserver verwenden muss.

Wenn Sie einen Empfangsconnector erstellen, der so konfiguriert ist, dass er anonymes Relay erlaubt, sollten Sie die folgenden Einschränkungen für den Empfangsconnector vorsehen:

  • Lokale Netzwerkeinstellungen   Schränken Sie den Empfangsconnector so ein, dass er nur den entsprechenden Netzwerkadapter auf dem Hub-Transport-Server oder Edge-Transport-Server überwacht.

  • Remotenetzwerkeinstellungen   Schränken Sie den Empfangsconnector so ein, dass er nur Verbindungen von dem oder den angegebenen Server(n) annimmt. Diese Einschränkung ist erforderlich, weil der Empfangsconnector für das Annehmen von Relay von anonymen Benutzern konfiguriert ist. Das Einschränken der Quellserver nach IP-Adresse ist die einzige Schutzmaßnahme, die für diesen Empfangsconnector zulässig ist.

Wenn Sie anonymen Benutzern die Relayberechtigung für den Empfangsconnector erteilen möchten, können Sie eine der weiter unten in diesem Thema beschriebenen Strategien verwenden. Jede dieser Strategien besitzt Vor- und Nachteile. Schritt-für-Schritt-Anweisungen für beide Ansätze finden Sie unter Zulassen von anonymem Relay für einen Empfangsconnector.

Erteilen der Relayberechtigung für anonyme Verbindungen

Diese Strategie umfasst die folgenden Aufgaben:

  • Erstellen eines neuen Empfangsconnectors, dessen Verwendungstyp auf Custom festgelegt ist.

  • Hinzufügen der Berechtigungsgruppe "Anonym" zum Empfangsconnector.

  • Zuweisen der Relayberechtigung zum Sicherheitsprinzipal "Anonyme Anmeldung" für den Empfangsconnector.

Die Berechtigungsgruppe "Anonym" erteilt dem Sicherheitsprinzipal "Anonyme Anmeldung" für den Empfangsconnector die folgenden Berechtigungen:

  • Ms-Exch-Accept-Headers-Routing

  • Ms-Exch-SMTP-Accept-Any-Sender

  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

  • Ms-Exch-SMTP-Submit

Um anonymes Relay für diesen Empfangsconnector zuzulassen, müssen Sie dem Sicherheitsprinzipal "Anonyme Anmeldung" für den Empfangsconnector jedoch auch die folgende Berechtigung erteilen:

  • Ms-Exch-SMTP-Accept-Any-Recipient

Der Vorteil dieser Strategie besteht darin, dass sie den angegebenen IP-Remoteadressen die mindestens für Relay erforderlichen Berechtigungen erteilt.

Diese Strategie besitzt die folgenden Nachteile:

  • Es sind zusätzliche Konfigurationsschritte zum Erteilen der erforderlichen Berechtigungen notwendig.

  • Die Nachrichten, die von den angegebenen IP-Adressen stammen, werden als anonyme Nachrichten behandelt. Aus diesem Grund umgehen die Nachrichten weder die Antispamüberprüfungen noch die Überprüfungen zur Beschränkung der Nachrichtengröße, und es können keine anonymen Absender aufgelöst werden. Durch das Auflösen anonymer Absender wird eine versuchte Zuordnung zwischen der E-Mail-Adresse des anonymen Absenders und dem entsprechenden Anzeigenamen in der globalen Adressliste (GAL) erzwungen.

Konfigurieren des Empfangsconnectors als extern gesichert

Diese Strategie umfasst die folgenden Aufgaben:

  • Erstellen eines Empfangsconnectors, dessen Verwendungstyp auf Custom festgelegt ist.

  • Hinzufügen der Berechtigungsgruppe "ExchangeServers" zum Empfangsconnector.

  • Hinzufügen des Authentifizierungsmechanismus ExternalAuthoritative zum Empfangsconnector.

Die Berechtigungsgruppe "ExchangeServers" ist erforderlich, wenn Sie den Authentifizierungsmechanismus ExternalAuthoritative auswählen. Diese Kombination aus Authentifizierungsmethode und Berechtigungsgruppe erteilt allen eingehenden Verbindungen, die für den Empfangsconnector zulässig sind, die folgenden Berechtigungen:

  • Ms-Exch-Accept-Headers-Routing

  • Ms-Exch-SMTP-Accept-Any-Sender

  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

  • Ms-Exch-SMTP-Submit

  • Ms-Exch-Accept-Exch50

  • Ms-Exch-Bypass-Anti-Spam

  • Ms-Exch-Bypass-Message-Size-Limit

  • Ms-Exch-SMTP-Accept-Any-Recipient

  • Ms-Exch-SMTP-Accept-Authentication-Flag

Diese Strategie besitzt die folgenden Vorteile:

  • Einfache Konfiguration

  • Die Nachrichten, die von den angegebenen IP-Adressen stammen, werden als authentifizierte Nachrichten behandelt. Die Nachrichten umgehen die Antispamüberprüfungen, sie umgehen die Überprüfungen zur Beschränkung der Nachrichtengröße, und sie können anonyme Absender auflösen.

Der Nachteil dieser Strategie besteht darin, dass die IP-Remoteadressen als vollkommen vertrauenswürdig betrachtet werden. Die Berechtigungen, die den IP-Remoteadressen erteilt werden, erlauben dem Remotemessagingserver das Übermitteln von Nachrichten als stammten diese von internen Absendern in Ihrer Exchange-Organisation.

Neue Funktionen in Exchange 2010 Service Pack 1

In Service Pack 1 (SP1) für Exchange Server 2010 wurden die Empfangsconnectors um neue Funktionalität erweitert. Diese neuen Funktionen werden im Folgenden kurz dargestellt.

Steuerung für allein stehenden Zeilenvorschub

Beim Aufbau einer SMTP-Sitzung durch einen E-Mail-Server werden von diesem SMTP-Befehle zum Senden von Nachrichten ausgegeben. Nach der Angabe der Absender- und Empfängerinformationen wird vom sendenden Server der Inhalt der Nachricht mithilfe des Befehls DATA übermittelt. Der Inhalt, der nach der Ausgabe von DATA übermittelt wird, wird als Datenstrom bezeichnet. Der Datenstrom wird durch eine bestimmte Zeichenfolge beendet: eine Kombination aus Wagenrücklauf und Zeilenvorschub (Carriage Return Line Feed, CRLF), gefolgt von einem Punkt und einer weiteren CRLF-Kombination.

Zeilenvorschubzeichen (Line Feed, LF), die nicht unmittelbar auf ein Wagenrücklaufzeichen (Carriage Return, CR) folgen, werden allein stehende Zeilenvorschübe genannt. Allein stehende Zeilenvorschübe sind in der STMP-Kommunikation nicht zulässig. Obwohl es möglich sein kann, dass eine Nachricht, die einen allein stehenden Zeilenvorschub enthält, erfolgreich übermittelt wird, halten derartige Nachrichten die Protokollstandards von SMTP nicht ein und können zu Problemen mit Messaging-Servern führen.

In Exchange 2010 SP1 können Sie Empfangsconnectors so konfigurieren, dass alle Nachrichten abgelehnt werden, deren Datenstrom allein stehende Zeilenvorschübe enthält. Dieses Verhalten wird durch den Parameter BareLineFeedRejectionEnabled des Cmdlets Set-ReceiveConnector gesteuert. Diese Einstellung ist zur Aufrechterhaltung der Abwärtskompatibilität standardmäßig deaktiviert. Weitere Informationen zum Konfigurieren dieses Parameters finden Sie unter Set-ReceiveConnector.

Erweiterte Schutzfunktionen

Windows bietet die Kanalbindung, um die NTLM-Authentifizierung über verschlüsselte Kanäle vor Authentifizierungsrelayangriffen zu schützen. In Exchange 2010 wurden alle von Exchange bereitgestellten Dienste aktualisiert, um den erweiterten Schutz für die Authentifizierung zu unterstützen. Zur Unterstützung dieser Funktion beim Transport wurden die Empfangsconnectors aktualisiert. Sie können den erweiterten Schutz für die Authentifizierung für die Empfangsconnectors zulassen, als erforderlich festlegen oder deaktivieren.

Mit den Parametern ExtendedProtectionPolicy und ExtendedProtectionTlsTerminatedAtProxy des Cmdlets Set-ReceiveConnector können Sie steuern, wie Transportserver den erweiterten Schutz handhaben. Sie können einen Empfangsconnector so konfigurieren, dass der erweiterte Schutz zulässig oder erforderlich ist. Wenn Sie einen Empfangsconnector so konfigurieren, dass der erweiterte Schutz erforderlich ist, werden alle eingehenden Verbindungen von Hosts, die den erweiterten Schutz nicht unterstützen, abgelehnt. Der erweiterte Schutz ist zur Aufrechterhaltung der Abwärtskompatibilität standardmäßig deaktiviert. Weitere Informationen zum Konfigurieren des erweiterten Schutzes für die Empfangsconnectors finden Sie unter Set-ReceiveConnector.

Weitere Informationen zum erweiterten Schutz finden Sie in den folgenden Quellen:

 © 2010 Microsoft Corporation. Alle Rechte vorbehalten.