Sendeconnectors

[Dieses Thema gehört zur Vorabdokumentation und kann in künftigen Versionen geändert werden. Leere Themen wurden als Platzhalter hinzugefügt. Wenn Sie Feedback dazu haben, freuen wir uns über Ihre Nachricht. Senden Sie uns eine E-Mail an: ExchangeHelpFeedback@microsoft.com.]  

Gilt für:Exchange Server 2016

In diesem Artikel erfahren Sie mehr über Sendeconnectors in Exchange 2016 und darüber, wie diese den Nachrichtenfluss steuern, der aus Ihrer Exchange-Organisation fließt.

Exchange 2016 verwendet Sendeconnectors für ausgehende SMTP-Verbindungen von Exchange-Quellservern zu Zielmessagingservern. Der zur Weiterleitung von Nachrichten an Empfänger verwendete Sendeconnector wird während der Routingauflösungsphase der Nachrichtenkategorisierung ausgewählt. Weitere Informationen finden Sie unter E-Mail-Routing.

Sie können Sendeconnectors im Transport-Dienst auf Postfachservern und auf Edge-Transport-Servern erstellen. Sendeconnectors werden in Active Directory gespeichert und sind für alle Postfachserver und Exchange-Server in der Organisation sichtbar.

importantWichtig:
Standardmäßig werden bei der Installation von Exchange keine Sendeconnectors für den externen Nachrichtenfluss eingerichtet. Damit ein ausgehender Nachrichtenfluss ins Internet möglich ist, müssen Sie einen Sendeconnector erstellen oder einen Edge-Transport-Server für Ihre Exchange-Organisation abonnieren. Weitere Informationen hierzu finden Sie in den folgenden Artikeln:

Sie müssen keine Sendeconnectors konfigurieren, um E-Mails zwischen verschiedenen Exchange-Servern innerhalb ein und derselben Active Directory-Gesamtstruktur senden zu können. Für das Senden von E-Mails an interne Exchange-Server stehen implizite, nicht sichtbare Sendeconnectors zur Verfügung, für die die gesamte Exchange-Servertopologie sichtbar ist. Eine Beschreibung dieser Connectors finden Sie im Abschnitt Implizite Sendeconnectors.

Hier eine Liste der wichtigen Einstellungen auf Sendeconnectors:

  • Verwendungstyp

  • Netzwerkeinstellungen: Hier konfigurieren Sie, wie der Sendeconnector E-Mails weiterleitet: über DNS oder per automatischer Weiterleitung aller E-Mails an einen Smarthost.

  • Adressräume: Hier konfigurieren Sie die Zieldomänen, für die der Sendeconnector zuständig ist.

  • Bereich: Hier konfigurieren Sie die Sichtbarkeit des Sendeconnectors in Relation zu den anderen Exchange-Servern in der Organisation.

  • Quellserver: Hier konfigurieren Sie die Exchange-Server, die den Sendeconnector hosten. E-Mails, die über den Sendeconnector zugestellt werden müssen, werden an einen der Quellserver weitergeleitet.

Auf Postfachservern können Sie Sendeconnectors im Exchange-Verwaltungskonsole oder in der Exchange-Verwaltungsshell erstellen und verwalten. Auf Edge-Transport-Servern können Sie nur die Exchange-Verwaltungsshell verwenden.

Inhalt

Änderungen bei Sendeconnectors in Exchange 2016

Implizite Sendeconnectors

Sendeconnector-Verwendungstypen

Sendeconnector-Netzwerkeinstellungen

Sendeconnector-Adressräume

Sendeconnectorbereich

Sendeconnectorberechtigungen

In Exchange 2016 wurden bezüglich Sendeconnectors einige wichtige Änderungen gegenüber Exchange 2010 implementiert:

  • Sie können Sendeconnectors so konfigurieren, dass sie ausgehende E-Mails als Proxy über den Front-End-Transport-Dienst weiterleiten. Weitere Informationen finden Sie unter Konfigurieren von Sendeconnectors als Proxy für ausgehende E-Mails.

  • Der Parameter IsCoexistenceConnector steht nicht mehr zur Verfügung.

  • Der Parameter LinkedReceiveConnector steht nicht mehr zur Verfügung.

  • Die standardmäßige maximale Nachrichtengröße wurde auf 35 MB angehoben (ca. 25 MB aufgrund der Base64-Codierung). Weitere Informationen finden Sie unter Beschränkungen der Nachrichtengröße in Exchange 2016.

  • Über den Parameter TlsCertificateName können jetzt der Zertifikataussteller und der Zertifikatantragsteller angegeben werden. Dadurch wird das Risiko für gefälschte Zertifikate minimiert.

Zurück zum Seitenanfang

Zwar werden während der Installation von Exchange 2016-Servern keine Sendeconnectors erstellt; es gibt jedoch einen speziellen impliziten Sendeconnector, auch organisationsinterner Sendeconnector genannt. Dieser implizite Sendeconnector ist automatisch verfügbar, nicht sichtbar und muss nicht verwaltet werden. Der organisationsinterne Sendeconnector ist in den Transport-Diensten angesiedelt und zuständig für das Senden von E-Mails, entweder intern zwischen Diensten auf dem lokalen Exchange-Server oder an Dienste auf Exchange-Remoteservern in der Organisation. Beispiele:

  • E-Mails vom Front-End-Transport-Dienst an den Transport-Dienst

  • E-Mails vom Transport-Dienst an den Transport-Dienst auf anderen Servern

  • E-Mails vom Transport-Dienst an abonnierte Edge-Transport-Server

  • E-Mails vom Transport-Dienst an den Postfachtransport-Zustellungsdienst

  • E-Mails vom Postfachtransport-Übermittlungsdienst an den Transport-Dienst

Weitere Informationen finden Sie unter Nachrichtenfluss und die Transportpipeline.

Zurück zum Seitenanfang

Der Verwendungstyp eines Sendeconnectors ist im Grunde eine beschreibende Bezeichnung, die angibt, wofür der Sendeconnector verwendet wird. Alle Verwendungstypwerte erhalten dieselben Berechtigungen.

Sie können den Connectorverwendungstyp nur bei der Erstellung von Sendeconnectors festlegen. Wenn Sie das EAC verwenden, müssen Sie einen Wert für Typ auswählen. Wenn Sie das Cmdlet New-SendConnector in der Exchange-Verwaltungsshell verwenden, müssen Sie keinen Verwendungstyp angeben (weder per -Usage <UsageType> noch per -<UsageType>).

Wenn Sie einen Verwendungstyp angeben, konfigurieren Sie damit eine standardmäßige maximale Nachrichtengröße. Diese können Sie nach der Erstellung des Connectors ändern.

In der nachfolgenden Tabelle sind die verfügbaren Verwendungstypwerte beschrieben.

 

Verwendungstyp Maximale Nachrichtengröße Kommentare

Benutzerdefiniert

35 MB

Keine

Intern

Unbeschränkt

Wenn Sie einen Sendeconnector dieses Verwendungstyps im EAC erstellen, können Sie die Option Mit der Empfängerdomäne verbundener MX-Eintrag nicht auswählen. Nach der Erstellung des Connectors können Sie die Registerkarte Zustellung in den Eigenschaften des Sendeconnectors aufrufen und die Option Mit der Empfängerdomäne verbundener MX-Eintrag dort auswählen.

Diese Einschränkung gilt nicht für die Exchange-Verwaltungsshell. Sie können im Cmdlet New-SendConnector den Schalter Internal verwenden und den Parameter DNSRoutingEnabled auf $true setzen.

Internet

35 MB

Keine

Partner

35 MB

Wenn Sie einen Sendeconnector dieses Verwendungstyps im EAC erstellen, können Sie weder die Option E-Mail über Smarthosts weiterleiten noch einen Mechanismus für die Smarthostauthentifizierung auswählen. Nach der Erstellung des Sendeconnectors können Sie die Registerkarte Zustellung in den Eigenschaften des Sendeconnectors aufrufen und dort die Option E-Mail über Smarthosts weiterleiten sowie den gewünschten Mechanismus für die Smarthostauthentifizierung auswählen.

Diese Einschränkung gilt nicht für die Exchange-Verwaltungsshell. Sie können im Cmdlet New-SendConnector den Schalter Partner verwenden und den Parameter DNSRoutingEnabled auf $false setzen; in diesem Cmdlet können Sie auch die Parameter SmartHosts und SmartHostAuthMechanism verwenden.

Zurück zum Seitenanfang

Für jeden Sendeconnector muss eine der folgenden Optionen konfiguriert werden:

  • Weiterleiten von E-Mails per DNS

  • Weiterleiten von E-Mails über einen oder mehrere Smarthosts

Wenn Sie die DNS-Auflösung als Option für die E-Mail-Zustellung auswählen, muss der Exchange-Quellserver des Sendeconnectors die MX-Einträge der auf dem Connector konfigurierten Adressräume auflösen können. Je nach Typ des Connectors und der Anzahl von Netzwerkadaptern im Server benötigt der Sendeconnector möglicherweise Zugriff auf einen internen DNS-Server oder einen externen (öffentlichen) DNS-Server. Sie können den Server so konfigurieren, dass er für interne und externe DNS-Lookups jeweils einen spezifischen DNS-Server verwendet.

  • Wählen Sie im EAC unter Server > Server den betreffenden Server aus, klicken Sie auf BearbeitenBearbeitungssymbol, und öffnen Sie die Registerkarte DNS-Lookups.

  • In der Exchange-Verwaltungsshell verwenden Sie die Parameter ExternalDNS* und InternalDNS* im Cmdlet Set-TransportService.

Falls Sie auf dem Exchange-Server bereits separate DNS-Einstellungen für interne und externe DNS-Lookups konfiguriert haben und der Sendeconnector E-Mails an einen externen Adressraum weiterleitet, müssen Sie den Sendeconnector so konfigurieren, dass er den externen DNS-Server verwendet:

  • Wählen Sie im EAC die Option Use the external DNS lookup setting on servers with transport roles aus (im Assistent für die Erstellung neuer Sendeconnectors oder auf der Registerkarte Zustellung in den Eigenschaften eines bereits vorhandenen Connectors).

  • In der Exchange-Verwaltungsshell verwenden Sie den Parameter UseExternalDNSServersEnabled im Cmdlet New-SendConnector oder im Cmdlet Set-SendConnector.

Zurück zum Seitenanfang

Bei der E-Mail-Weiterleitung über einen Smarthost leitet der Sendeconnector E-Mails an den Smarthost weiter, der seinerseits für die Weiterleitung der E-Mails an den nächsten Hop auf dem Weg zum endgültigen Ziel zuständig ist. Ein gängiges Einsatzszenario für Smarthost-Weiterleitung ist das Senden von ausgehenden E-Mails über einen Antispamdienst oder ein Antispamgerät.

Sie können einen oder mehrere Smarthosts festlegen, die der Sendeconnector verwenden soll. Dazu geben Sie jeweils die individuelle IP-Adresse des Smarthosts (z. B. 10.1.1.1), seinen vollqualifizierten Domänennamen (FQDN, z. B. „spamservice.contoso.com“) oder eine Kombination aus beiden Werten an. Wenn Sie einen FQDN angeben, muss der Exchange-Quellserver des Sendeconnectors den FQDN (MX-Eintrag oder A-Datensatz) per DNS auflösen können.

Eine wichtige Komponente der Smarthost-Weiterleitung ist der Authentifizierungsmechanismus, den der Smarthost verwendet. In der nachfolgenden Tabelle sind die verfügbaren Authentifizierungsmechanismen beschrieben.

 

Authentifizierungsmechanismus Beschreibung

Keine (None)

Keine Authentifizierung. Diesen Mechanismus wählen Sie beispielsweise aus, wenn der Zugriff auf den Smarthost über die Quell-IP-Adresse eingeschränkt wird.

Standardauthentifizierung (BasicAuth)

Standardauthentifizierung. Bei diesem Mechanismus sind ein Benutzername und ein Kennwort erforderlich. Der Benutzername und das Kennwort werden als Klartext gesendet.

Offer basic authentication only after starting TLS (BasicAuthRequireTLS)

Standardauthentifizierung mit TLS-Verschlüsselung. Dieser Mechanismus setzt ein Serverzertifikat auf dem Smarthost voraus, das exakt den Smarthost-FQDN enthält, der auch im Sendeconnector definiert wurde.

Der Sendeconnector sendet den Befehl STARTTLS an den Smarthost, um eine TLS-Sitzung einzurichten. Die Standardauthentifizierung wird erst durchgeführt, wenn die TLS-Sitzung erfolgreich eingerichtet wurde.

Für eine gegenseitige TLS-Authentifizierung ist zusätzlich ein Clientzertifikat erforderlich.

Exchange Server-Authentifizierung (ExchangeServer)

GSSAPI-Authentifizierung (generische Sicherheitsdienste-API) und gegenseitige GSSAPI-Authentifizierung

Extern gesichert (ExternalAuthoritative)

Es wird davon ausgegangen, dass die Verbindung durch einen Sicherheitsmechanismus außerhalb von Exchange abgesichert ist. Bei der Verbindung kann es sich um eine IPsec-Zuordnung (Internetprotokollsicherheit) oder ein virtuelles privates Netzwerk (VPN) handeln. Alternativ können sich die Server in einem vertrauenswürdigen, physisch überwachten Netzwerk befinden.

Zurück zum Seitenanfang

Der Adressraum definiert die Zieldomänen, für die der Sendeconnector zuständig ist. Die E-Mail-Weiterleitung über den Sendeconnector funktioniert auf Basis der Domäne, in der sich die E-Mail-Adresse des Empfängers befindet.

In der nachfolgenden Tabelle sind die verfügbaren Werte für SMTP-Adressräume beschrieben.

 

Adressraum Erklärung

*

Der Sendeconnector leitet E-Mails an Empfänger in jeder beliebigen Domäne weiter.

Domäne (z. B. contoso.com)

Der Sendeconnector leitet E-Mails an Empfänger in der angegebenen Domäne weiter, nicht jedoch an Empfänger in Unterdomänen dieser Domäne.

Domäne und Unterdomänen (z. B. *.contoso.com)

Der Sendeconnector leitet E-Mails an Empfänger in der angegebenen Domäne und an Empfänger in jeder der Unterdomänen dieser Domäne weiter.

--

Der Sendeconnector leitet E-Mails an Empfänger in jeder beliebigen akzeptierten Domäne in der Exchange-Organisation weiter. Dieser Wert steht nur auf Sendeconnectors auf Edge-Transport-Servern zur Verfügung, die E-Mails an die interne Exchange-Organisation senden.

Sie können für Adressräume zudem die Werte Type und Cost konfigurieren.

Auf Edge-Transport-Servern muss der Wert für TypeSMTP sein. Auf Postfachservern können Sie auch Nicht-SMTP-Adressräume wie X400 oder jede andere Textzeichenfolge als Wert verwenden. X.400-Adressen müssen RFC 1685-konform sein (z. B. o=MySite;p=MyOrg;a=adatum;c=us); bei anderen Type-Werten kann der Adressraum jedoch in Form eines beliebigen Textwerts angegeben werden. Wenn Sie einen Nicht-SMTP-Adressraum angeben, muss der Sendeconnector Smarthost-Weiterleitung verwenden; für das Senden von Nachrichten an den Smarthost wird SMTP verwendet. Zustellungs-Agent-Connectors und fremde Connectors senden Nicht-SMTP-Nachrichten an Nicht-SMTP-Server, ohne SMTP zu verwenden. Weitere Informationen finden Sie unter Zustellungs-Agents und Zustellungs-Agent-Connectors und Fremde Connectors.

Der Adressraum-Wert Cost wird zur Optimierung des Nachrichtenflusses und zwecks Fehlertoleranz verwendet, falls Sie auf mehreren Sendeconnectors auf unterschiedlichen Quellservern ein und dieselben Adressräume konfiguriert haben. Je niedriger der Prioritätswert, desto bevorzugter der Sendeconnector.

Der zur Weiterleitung von Nachrichten an Empfänger verwendete Sendeconnector wird während der Routingauflösungsphase der Nachrichtenkategorisierung ausgewählt. Ausgewählt wird der Sendeconnector, dessen Adressraum die höchste Übereinstimmung mit der E-Mail-Adresse des Empfängers hat und dessen Prioritätswert am niedrigsten ist.

Beispiel: Der Empfänger ist „julia@marketing.contoso.com“. Ist ein Sendeconnector für „*.contoso.com“ konfiguriert, wird die Nachricht über diesen Connector weitergeleitet. Ist kein Sendeconnector für „*.contoso.com“ konfiguriert, wird die Nachricht über den Connector weitergeleitet, der für „*“ konfiguriert ist. Falls mehrere Sendeconnectors am selben Active Directory-Standort für „*.contoso.com“ konfiguriert sind, wird der Connector mit dem niedrigeren Prioritätswert ausgewählt.

Zurück zum Seitenanfang

Die Quellserver des Sendeconnectors bestimmen den Exchange-Zielserver von E-Mails, die über den Sendeconnector weitergeleitet werden müssen. Der Sendeconnectorbereich steuert die Sichtbarkeit des Connectors innerhalb der Exchange-Organisation.

Standardmäßig sind Sendeconnectors für alle Exchange-Server in der gesamten Active Directory-Gesamtstruktur sichtbar und werden bei Routingentscheidungen berücksichtigt. Sie können den Bereich eines Sendeconnectors jedoch so einschränken, dass der betreffende Connector nur für andere Exchange-Server am selben Active Directory-Standort sichtbar ist. Der Sendeconnector ist dann für Exchange-Server an anderen Active Directory-Standorten unsichtbar und wird in deren Routingentscheidungen nicht berücksichtigt. Ein derart eingeschränkter Sendeconnector wird als Connector mit Bereich bezeichnet.

Konfigurieren können Sie Sendeconnectors mit Bereich im EAC. Im Assistent für die Erstellung neuer Sendeconnectors wählen Sie dazu die Option Sendeconnector mit Bereich im Abschnitt Adressraum aus. Bei bereits vorhandenen Sendeconnectors finden Sie die Option in den Eigenschaften auf der Registerkarte Bereichsdefinition. In der Exchange-Verwaltungsshell verwenden Sie den Parameter IsScopedConnector im Cmdlet New-SendConnector oder im Cmdlet Set-SendConnector.

Zurück zum Seitenanfang

Stellt der Sendeconnector eine Verbindung mit dem Zielmessagingserver her, bestimmen die Sendeconnectorberechtigungen, welche Typen von Kopfzeilen in Nachrichten gesendet werden dürfen. Enthält eine Nachricht Kopfzeilen, die nicht durch die Berechtigungen abgedeckt sind, werden diese Kopfzeilen aus der Nachricht entfernt.

Berechtigungen werden Sendeconnectors auf Basis bekannter Sicherheitsprinzipale zugewiesen. Sicherheitsprinzipale können Benutzerkonten, Computerkonten und Sicherheitsgruppen sein (Objekte, die durch eine Sicherheits-ID oder SID gekennzeichnet sind und denen Berechtigungen zugewiesen werden können). Standardmäßig werden auf allen Sendeconnectors dieselben Sicherheitsprinzipale mit denselben Berechtigungen zugewiesen, unabhängig vom Verwendungstyp, der bei der Erstellung des Connectors ausgewählt wurde. Um die Standardberechtigungen eines Sendeconnectors zu ändern, müssen Sie die Cmdlets Add-ADPermission und Remove-ADPermission in der Exchange-Verwaltungsshell verwenden.

In der nachfolgenden Tabelle sind die verfügbaren Sendeconnectorberechtigungen beschrieben.

 

Berechtigung Zugewiesen an Beschreibung

ms-Exch-Send-Headers-Forest

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers

Steuert die Erhaltung von Exchange-Gesamtstruktur-Kopfzeilen in Nachrichten. Die Namen von Gesamtstruktur-Kopfzeilen beginnen mit X-MS-Exchange-Forest-. Wenn diese Berechtigung nicht gewährt wurde, werden alle Gesamtstruktur-Kopfzeilen aus Nachrichten entfernt.

ms-Exch-Send-Headers-Organization

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers

Steuert die Erhaltung von Exchange-Organisationskopfzeilen in Nachrichten. Die Namen von Organisationskopfzeilen beginnen mit X-MS-Exchange-Organization-. Wenn diese Berechtigung nicht gewährt wurde, werden alle Organisationskopfzeilen aus Nachrichten entfernt.

ms-Exch-Send-Headers-Routing

NT AUTHORITY\ANONYMOUS LOGON

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers

MS Exchange\Partner Servers

Steuert die Erhaltung von RECEIVED-Kopfzeilen in Nachrichten. Wenn diese Berechtigung nicht gewährt wurde, werden alle RECEIVED-Kopfzeilen aus Nachrichten entfernt.

ms-Exch-SMTP-Send-Exch50

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Externally Secured Servers

MS Exchange\Hub Transport Servers

MS Exchange\Legacy Exchange Servers

Erlaubt dem Exchange-Quellserver, XEXCH50-Befehle an den Sendeconnector zu übermitteln. Der BLOB (Binary Large Object) X-EXCH50 wurde von älteren Exchange-Versionen (Exchange 2003 und früher) zur Speicherung von Exchange-Daten in Nachrichten verwendet (z. B. zur Speicherung des SCL [Spam Confidence Level]).

Wenn diese Berechtigung nicht erteilt wurde und eine Nachricht den BLOB X-EXCH50 enthält, sendet der Exchange-Server die Nachricht ohne den BLOB X-EXCH50.

ms-Exch-SMTP-Send-XShadow

<Domain>\Exchange Servers

MS Exchange\Edge Transport Servers

MS Exchange\Hub Transport Servers

Diese Berechtigung ist der internen Verwendung durch Microsoft vorbehalten und wird hier lediglich als Referenz aufgeführt.

Hinweis:

Berechtigungsnamen, die ms-Exch-Send-Headers- enthalten, gehören zur Funktion Kopfzeilenfirewall. Weitere Informationen finden Sie unter Kopfzeilenfirewall.

Zurück zum Seitenanfang

Verwenden Sie die folgende Syntax in der Exchange-Verwaltungsshell, um die Berechtigungen anzuzeigen, die Sicherheitsprinzipalen auf einem Sendeconnector zugewiesen sind:

Get-ADPermission -Identity <SendConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Beispielsweise können Sie mit dem folgenden Befehl die Berechtigungen anzeigen, die allen Sicherheitsprinzipalen auf dem Sendeconnector „To Fabrikam.com“ zugewiesen sind:

Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Mit dem folgenden Befehl können Sie die Berechtigungen anzeigen, die nur dem Sicherheitsprinzipal NT AUTHORITY\ANONYMOUS LOGON auf dem Sendeconnector „To Fabrikam.com“ zugewiesen sind:

Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Verwenden Sie die folgende Syntax, um einem Sicherheitsprinzipal auf einem Sendeconnector Berechtigungen hinzuzufügen:

Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Verwenden Sie die folgende Syntax, um Berechtigungen aus einem Sicherheitsprinzipal auf einem Sendeconnector zu entfernen:

Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Zurück zum Seitenanfang

 
Anzeigen: