How to Use TLS Authentication in Exchange 2007 to Send and Receive Messages with Third-Party E-Mail

Gilt für: Exchange Server 2007 SP3

Letztes Änderungsdatum des Themas: 2009-09-29

In diesem Thema wird beschrieben, wie TLS-Authentifizierung (Transport Layer Security) mit Microsoft Exchange Server 2007 zum Senden und Empfangen von E-Mail-Nachrichten mit einem E-Mail-Programm eines Drittanbieters verwendet werden kann. 

Mithilfe des TLS-Protokolls können Sie die Sicherheit der SMTP-Kommunikation in Exchange 2007 verbessern. TLS ist ein Standardprotokoll, das zum Bereitstellen sicherer Webkommunikationsverbindungen im Internet oder in Intranets verwendet wird. TLS ermöglicht Clients das Authentifizieren von Servern oder (optional) Servern das Authentifizieren von Clients. Es stellt ferner durch Verschlüsseln der Kommunikation einen Sicherheitskanal bereit. TLS ist die aktuellste Version des SSL-Protokolls (Secure Sockets Layer).

TLS über SMTP bietet zertifikatbasierte Authentifizierung und stellt sicherheitsoptimierte Datenübertragungen mithilfe symmetrischer Verschlüsselungsschlüssel zur Verfügung. Bei der Verschlüsselung mit symmetrischen Schlüsseln, die auch als "Verschlüsselung mit einem gemeinsamen geheimen Schlüssel" bezeichnet wird, wird der gleiche Schlüssel zum Ver- und Entschlüsseln der Nachricht verwendet. TLS wendet einen hashbasierten HMAC (Message Authentication Code, Nachrichtenauthentifizierungscode) an. HMAC verwendet einen Hashalgorithmus in Kombination mit einem gemeinsamen geheimen Schlüssel, um sicherzustellen, dass die Daten während der Übertragung nicht geändert wurden. Der gemeinsame geheime Schlüssel wird an die Daten angefügt, für die der Hashvorgang ausgeführt werden soll. Auf diese Weise wird die Sicherheit des Hashs verbessert, weil beide Parteien den gleichen gemeinsamen geheimen Schlüssel für die Bestätigung besitzen müssen, dass die Daten authentisch sind.

In früheren Versionen von Exchange musste TLS manuell konfiguriert werden. Außerdem mussten Sie ein gültiges Zertifikat auf dem Servercomputer mit Exchange installieren, das für die TLS-Verwendung geeignet war. In Exchange 2007 erstellt das Setup ein selbstsigniertes Zertifikat. TLS ist standardmäßig aktiviert. Dadurch kann jedes sendende System die bei Exchange eingehende SMTP-Sitzung verschlüsseln. Standardmäßig versucht Exchange 2007, TLS auch für alle Remoteverbindungen zu verwenden.

Damit TLS zum Senden von E-Mail-Nachrichten an das E-Mail-Programm eines Drittanbieters verwendet werden kann, müssen Sie einen Sendeconnector konfigurieren. Sendeconnectors werden auf Computern konfiguriert, auf denen Exchange 2007 ausgeführt wird und auf denen die Serverfunktion Hub-Transport oder Edge-Transport installiert ist. Der Sendeconnector stellt einen logischen Gateway dar, durch den ausgehende Nachrichten gesendet werden.

Damit TLS zum Senden von E-Mail-Nachrichten an das E-Mail-Programm eines Drittanbieters verwendet werden kann, müssen Sie einen Empfangsconnector konfigurieren. Empfangsconnectors werden auf Computern konfiguriert, auf denen Exchange 2007 ausgeführt wird und auf denen die Serverfunktion Hub-Transport oder Edge-Transport installiert ist. Empfangsconnectors fungieren als logische Gateways, über die alle eingehenden Nachrichten empfangen werden.

So verwenden Sie TLS zum Senden von E-Mail-Nachrichten an das E-Mail-Programm eines Drittanbieters

1. Starten Sie die Exchange-Verwaltungskonsole.

2. Führen Sie einen der folgenden Schritte aus:

   • Wählen Sie auf einem Computer, auf dem die Serverfunktion Edge-Transport installiert ist, Edge-Transport aus, und klicken Sie dann auf die Registerkarte Sendeconnectors.

   • Wenn Sie einen Sendeconnector auf einem Hub-Transport-Server erstellen möchten, erweitern Sie in der Konsolenstruktur Organisationskonfiguration, wählen Hub-Transport aus und klicken dann auf die Registerkarte Sendeconnectors.

3. Klicken Sie im Aktionsbereich auf Neuer Sendeconnector. Der Assistent für neue SMTP-Sendeconnectors wird gestartet.

4. Geben Sie auf der Seite Einführung in das Feld Name einen aussagekräftigen Namen für den Connector ein. Dieser Name wird zum Identifizieren des Connectors verwendet.

5. Klicken Sie in der Liste Wählen Sie die vorgesehene Verwendung für diesen Empfangsconnector aus auf Eintrag Benutzerdefiniert, und klicken Sie dann auf Weiter.

6. Klicken Sie auf der Seite Adressraum auf Hinzufügen.

7. Geben Sie im Dialogfeld SMTP-Adressraum den Namen der externen Domäne des E-Mail-Servers des Drittanbieters ein. Geben Sie beispielsweise *.contoso.com für die Domäne Contoso.com ein.

8. Klicken Sie auf OK und dann auf Weiter.

9. Klicken Sie auf der Seite Netzwerkeinstellungen auf MX-Datensätze des DNS (Domain Name System) zum automatischen Weiterleiten von E-Mail verwenden, und klicken Sie dann auf Weiter. Oder klicken Sie auf Alle Nachrichten über folgende Smarthosts leiten, und führen Sie dann die folgenden Schritte aus:

   1. Klicken Sie auf Hinzufügen.

   2. Aktivieren Sie im Dialogfeld Smarthost hinzufügen die Option IP-Adresse oder Vollqualifizierter Domänenname (FQDN), um anzugeben, wie der Smarthost gefunden werden soll. Wenn Sie IP-Adresse auswählen, geben Sie die IP-Adresse des Smarthosts ein. Wenn Sie Vollqualifizierter Domänenname (FQDN) wählen, geben Sie den FQDN des Smarthosts ein. Der sendende Server muss den FQDN auflösen können.

   3. Klicken Sie nach Abschluss des Vorgangs auf OK.

   4. Wenn Sie weitere Smarthosts hinzufügen möchten, klicken Sie auf Hinzufügen und wiederholen dann die Schritte b und c.

   5. Wenn Sie die Einstellungen eines Smarthosts bearbeiten möchten, wählen Sie den Smarthost aus, und klicken Sie dann auf Bearbeiten.

   6. Wenn Sie einen vorhandenen Smarthost entfernen möchten, wählen Sie den Smarthost aus, und klicken Sie dann auf .

   7. Klicken Sie nach Abschluss des Vorgangs auf Weiter.

   8. Wählen Sie auf der Seite Smarthost-Sicherheitseinstellungen die Option Standardauthentifizierung über TLS aus, und klicken Sie dann auf Weiter.

10. Standardmäßig wird der Hub-Transport-Server, auf dem Sie aktuell arbeiten, als ein Quellserver auf der Seite Quellserver aufgelistet. Klicken Sie auf Hinzufügen, um einen Quellserver hinzuzufügen. Wählen Sie im Dialogfeld Hub-Transport-Server und Edge-Abonnements auswählen die Hub-Transport-Server oder abonnierten Edge-Transport-Server aus, die als Quellserver für das Senden von Nachrichten an den in Schritt 7 angegebenen Adressraum verwendet werden sollen. Die Liste der Quellserver kann alle Hub-Transport-Server oder alle abonnierten Edge-Transport-Server enthalten, aber keine Mischung aus beiden. Klicken Sie auf OK, wenn Sie keine weiteren Quellserver hinzufügen möchten.

    Wenn Sie weitere Quellserver hinzuzufügen möchten, klicken Sie auf Hinzufügen und wiederholen dann diesen Schritt.

    Wenn Sie einen vorhandenen Quellserver entfernen möchten, wählen Sie den Quellserver aus, und klicken Sie dann auf .

    Klicken Sie nach Abschluss des Vorgangs auf Weiter.

11. Überprüfen Sie auf der Seite Neuer Connector die Konfigurationszusammenfassung für den Connector. Wenn Sie die Einstellungen ändern möchten, klicken Sie auf Zurück. Um den Sendeconnector mit den in der Konfigurationszusammenfassung angezeigten Einstellungen zu erstellen, klicken Sie auf Neu.

12. Klicken Sie auf der Seite Fertigstellung auf Fertig stellen.

13. Einige Programme von Drittanbietern (z. B. Gentoo Linux) erfordern keine weitere Konfiguration. Testen Sie die Verbindung. Wenn keine Verbindung hergestellt werden kann, führen Sie die folgenden Schritte aus:

    1. Klicken Sie im Arbeitsbereich mit der rechten Maustaste auf den von Ihnen erstellten Connector, und klicken Sie dann auf Eigenschaften.

    2. Klicken Sie auf der Registerkarte Netzwerk, um das Kontrollkästchen Domänensicherheit aktivieren (Gegenseitige TLS-Authentifizierung) zu aktivieren, und klicken Sie dann auf OK.

    3. Schließen Sie die Exchange-Verwaltungskonsole.

    4. Starten Sie den Microsoft Exchange-Transportdienst neu.

So verwenden Sie TLS zum Empfangen von E-Mail-Nachrichten von einem E-Mail-Programm eines Drittanbieters

1. Starten Sie die Exchange-Verwaltungskonsole.

2. Führen Sie einen der folgenden Schritte aus:

   1. Wählen Sie auf einem Computer, auf dem die Serverfunktion Edge-Transport installiert ist, Edge-Transport aus, und klicken Sie dann im Arbeitsbereich auf die Registerkarte Empfangsconnectors.

   2. Erweitern Sie zum Erstellen eines Empfangsconnectors auf einem Hub-Transport-Server in der Konsolenstruktur den Knoten Serverkonfiguration, und klicken Sie dann auf Hub-Transport. Wählen Sie im Ergebnisbereich den Server aus, auf dem der Connector erstellt werden soll, und klicken Sie dann auf die Registerkarte Empfangsconnectors.

3. Klicken Sie im Aktionsbereich auf Neuer Empfangsconnector. Der Assistent für neue SMTP-Empfangsconnectors wird gestartet.

4. Geben Sie auf der Seite Einführung in das Feld Name einen aussagekräftigen Namen für den Connector ein. Dieser Name wird zum Identifizieren des Connectors verwendet.

5. Klicken Sie in der Liste Wählen Sie die vorgesehene Verwendung für diesen Empfangsconnector aus auf Eintrag Benutzerdefiniert, und klicken Sie dann auf Weiter.

6. Klicken Sie auf der Seite Lokale Netzwerkeinstellungen auf Hinzufügen.

7. Aktivieren Sie im Dialogfeld Empfangsconnectorbindung hinzufügen eine der folgenden Optionen:

   • Alle auf diesem Server verfügbaren IP-Adressen verwenden   Wenn Sie diese Option aktivieren, überwacht der Connector Verbindungen an allen IP-Adressen, die den Netzwerkkarten auf dem lokalen Server zugewiesen sind.

   • Eine IP-Adresse angeben   Wenn Sie diese Option aktivieren, müssen Sie eine IP-Adresse eingeben, die einer Netzwerkkarte auf dem lokalen Server zugewiesen ist. Der Connector überwacht Verbindungen nur an der von Ihnen angegebenen IP-Adresse.

     Hinweis

     Sie müssen eine lokale IP-Adresse angeben, die für den Hub-Transport-Server oder Edge-Transport-Server gültig ist, auf dem sich der Empfangsconnector befindet. Wenn Sie eine ungültige lokale IP-Adresse angeben, kann beim Neustart des Microsoft Exchange-Transportdiensts ein Fehler auftreten.

8. Geben Sie auf der Seite Lokale Netzwerkeinstellungen in das Feld Port eine Portnummer ein, und klicken Sie dann auf OK. Wenn Sie diesem Connector mehrere lokale IP-Adressen hinzufügen möchten, klicken Sie auf Hinzufügen und wiederholen dann diesen Schritt. Wenn Sie einen vorherigen Eintrag ändern möchten, wählen Sie den Eintrag aus und klicken dann auf Bearbeiten. Wenn Sie einen vorhandenen Eintrag entfernen möchten, wählen Sie ihn aus und klicken dann auf .

9. Geben Sie auf der Seite Lokale Netzwerkeinstellungen im Feld Geben Sie den FQDN an, den dieser Connector als Antwort auf HELO oder EHLO bereitstellen soll den Namen ein, der als Antwort auf das SMTP HELO- oder EHLO-Verb angekündigt wird. Bleibt dieses Feld unausgefüllt, wird der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Hub-Transport- oder Edge-Transport-Servers automatisch hinzugefügt, wenn der Connector erstellt wird. Klicken Sie dann auf Weiter.

10. Geben Sie auf der Seite Remote-Netzwerkeinstellungen die IP-Adresse bzw. den IP-Adressbereich des Drittanbieterprogramms ein, von dem der Connector eingehende Verbindungen akzeptieren soll. Verwenden Sie zum Hinzufügen der Remote-IP-Adresse bzw. des Remote-IP-Adressbereichs eine der folgenden Methoden:

    • Klicken Sie auf Hinzufügen oder auf den Dropdownpfeil neben Hinzufügen, und wählen Sie IP-Adresse aus, um eine IP-Adresse oder ein Subnetz ohne Subnetmask anzugeben oder um die Subnetmask mithilfe von CIDR-Schreibweise (Classless Interdomain Routing) anzugeben. Geben Sie die IP-Adresse im Dialogfeld IP-Adresse(n) von Remoteservern hinzufügen mithilfe einer der folgenden Methoden ein:

      IP-Adresse ohne Subnetmask   Geben Sie z. B. 192.168.1.0 ein. Wenn Sie keine Subnetmask mithilfe von CIDR-Schreibweise angeben, wird von der klassenbehafteten Standardsubnetmask ausgegangen.

      IP-Adresse unter Verwendung von CIDR-Schreibweise   Geben Sie z. B. 192.168.1.0/24 ein.

    • Klicken Sie zum Eingeben einer IP-Adresse oder eines Subnetzes zusammen mit einer Subnetmask in punktierter Dezimalschreibweise auf den Dropdownpfeil neben Hinzufügen, und klicken Sie dann auf IP und Mask. Geben Sie im Dialogfeld Remoteserver hinzufügen - IP und Mask die IP-Adresse und die Subnetmask mithilfe der folgenden Syntax ein:

      IP-Adresse   Geben Sie z. B. 192.168.1.0. ein.

      Subnetmask   Geben Sie z. B. 255.255.255.0 ein.

    • Klicken Sie zum Angeben eines IP-Adressbereichs mithilfe der ersten IP-Adresse und der letzten IP-Adresse im Bereich auf den Dropdownpfeil neben Hinzufügen, und klicken Sie dann auf IP-Bereich. Geben Sie im Dialogfeld Remoteserver hinzufügen – IP-Bereich die IP-Adresse mithilfe der folgenden Syntax ein:

      Startadresse   Geben Sie z. B. 192.168.1.1 ein.

      Endadresse   Geben Sie z. B. 192.168.255.255 ein.

      Da Sie keine Subnetmask angeben können, wird von der klassenbehafteten Standardsubnetmask ausgegangen.

    Klicken Sie nach Abschluss des Vorgangs auf OK. Wenn Sie diesem Connector mehrere lokale Remotenetzwerkbereiche hinzufügen möchten, klicken Sie auf Hinzufügen und wiederholen diesen Schritt. Wenn Sie einen vorherigen Eintrag ändern möchten, wählen Sie ihn aus und klicken dann auf Bearbeiten. Wenn Sie einen vorhandenen Eintrag entfernen möchten, wählen Sie ihn aus und klicken dann auf .

11. Klicken Sie nach Abschluss des Vorgangs auf Weiter.

12. Überprüfen Sie auf der Seite Neuer Connector die Konfigurationszusammenfassung für den Connector. Wenn Sie die Einstellungen ändern möchten, klicken Sie auf Zurück. Um den Empfangsconnector mit den in der Konfigurationszusammenfassung angezeigten Einstellungen zu erstellen, klicken Sie auf Neu.

13. Klicken Sie auf der Seite Fertigstellung auf Fertig stellen.

14. Klicken Sie im Arbeitsbereich mit der rechten Maustaste auf den von Ihnen erstellten Connector, und klicken Sie dann auf Eigenschaften.

15. Klicken Sie auf der Registerkarte Authentifizierung, um das Kontrollkästchen Domänensicherheit aktivieren (Gegenseitige TLS-Authentifizierung) zu aktivieren, wenn eine der folgenden Bedingungen erfüllt ist:

    • Der sendende Server und der empfangende Server verwenden beide ein öffentliches Zertifikate von einem vertrauenswürdigen Zertifikatherausgeber.

    • Der sendende Server und der empfangende Server verwenden beide ein selbst ausgegebenes Zertifikat, und das Stammzertifikat des jeweils anderen Servers ist als vertrauenswürdiges Stammzertifikat installiert.

16. Klicken Sie auf der Registerkarte Berechtigungsgruppen, um das Kontrollkästchen Anonyme Benutzer zu aktivieren, und klicken Sie dann auf OK.

17. Schließen Sie die Exchange-Verwaltungskonsole.

18. Starten Sie die Exchange-Verwaltungsshell.

19. Führen Sie das folgende Cmdlet aus:

    Set-ReceiveConnector  -identity  <ReceiveConnectorIdParameter> -RequireTLS $true -AuthenticationMechanism TLS
    

20. Wenn eine der folgenden Bedingungen zutrifft:

    • Der sendende Server und der empfangende Server verwenden beide ein öffentliches Zertifikate von einem vertrauenswürdigen Zertifikatherausgeber.

    • Der sendende Server und der empfangende Server verwenden beide ein selbst ausgegebenes Zertifikat, und das Stammzertifikat des jeweils anderen Servers ist als vertrauenswürdiges Stammzertifikat installiert.

    Führen Sie das folgende Cmdlet aus:

    Set-TransportConfig -TLSReceiveDomainSecureList <remotedomain>.com, <remotedomain>.net 
    

21. Starten Sie den Microsoft Exchange-Transportdienst neu.

Weitere Informationen

Weitere Informationen zu Sendeconnectors finden Sie unter den Themen Sendeconnectors und Erstellen eines neuen Sendeconnectors.

Weitere Informationen zu Empfangsconnectors finden Sie unter den Themen Empfangsconnectors und Erstellen eines neuen Empfangsconnectors.

Weitere Informationen zum Cmdlet Set-ReceiveConnector finden Sie im Thema Set-ReceiveConnector.

Weitere Informationen zum Cmdlet Set-TransportConfig finden Sie im Thema Set-TransportConfig.

Weitere Informationen zum Verwenden des TLAS-Protokolls (Transport Layer Security) mit Exchange 2007 finden Sie unter den folgenden Themen:

• TLS-Funktionen und die zugehörige Terminologie in Exchange 2007

• SMTP-TLS-Zertifikatauswahl

• Verwendung von Zertifikaten in Exchange 2007 Server

• Erstellen eines Zertifikats oder einer Zertifikatsanforderung für TLS

• Konfigurieren von MTLS (Mutual Transport Layer Security) für die Domänensicherheit