Szenario für Liste sicherer eingehender Adressen

  • Artikel

 

Gilt für: Office 365 Enterprise, Live@edu, Forefront Online Protection for Exchange

Letzte Änderung des Themas: 2011-10-20

Organisationen können einen Kanal für den E-Mail-Fluss zu und von Partnern einrichten, indem sie das Routing eingehender E-Mails mithilfe von Forefront Online Protection für Exchange (FOPE)-Connectors konfigurieren. Sie können die IP-Adressen einer Partnerorganisation einer "Liste sicherer Adressen" hinzufügen, und für die E-Mails von den betreffenden IP-Adressen kann festgelegt werden, dass der IP-Filterdienst von FOPE umgangen wird. Wenn Sie die IP-Adressen und den Domänennamen mit einem eingehenden Connector konfigurieren, wird sichergestellt, dass von der betreffenden Organisation gesendete E-Mails die IP-Filterung von FOPE bestehen, selbst wenn die IP-Adresse des Partners auf der FOPE-Liste blockierter Adressen aufgeführt wird. Vom Partner stammende E-Mails mit einer hohen Spambewertung werden dennoch blockiert, es sei denn, Sie konfigurieren den Connector so, dass auch die Spamfilterung übersprungen wird. E-Mails, die einer Richtlinienregel entsprechen, werden ebenfalls blockiert, es sei denn, Sie konfigurieren den Connector so, dass die Richtlinienfilterung übersprungen wird.

In diesem Beispielszenario hat contoso.com mit einem eingehenden Connector fabrikam.com der Liste sicherer Adressen hinzugefügt. Bei Contoso werden die E-Mails mit Microsoft Exchange Online gehostet. Die E-Mails durchlaufen FOPE ungefiltert zu den Contoso-Postfächern.

Sie können dieses Erzwingungsszenario mit einem lokalen Mailhostingsystem, das durch eigenständiges FOPE geschützt wird, einem nicht lokalen System, das FOPE umfasst, oder einem System mit vollständigem Cloudhosting, das nur Exchange Online mit FOPE umfasst, implementieren.

Tipp: In Szenario für Liste sicherer eingehender Adressen (möglicherweise in englischer Sprache) können Sie ein Video betrachten, in dem dieses Szenario beschrieben wird und die Konfigurationsschritte für den FOPE-Connector veranschaulicht werden.

E-Mail-Fluss mit Listen sicherer Adressen

Beim Empfang eingehender E-Mails von einem in der Liste sicherer Adresse aufgeführten Partner wird die folgende Architektur verwendet:

Szenario für Liste sicherer eingehender Adressen

Bei diesem Szenario durchlaufen E-Mails vom auf der Liste sicherer Adressen aufgeführten fabrikam.com-Gateway an contoso.com FOPE, ohne dass eine Filterung durch die FOPE-Edge-Filterung erfolgt.

Konfigurieren von FOPE-Connectors in einem Szenario mit Listen sicherer Adressen

Um Listen sicherer Adressen zu konfigurieren, müssen Sie einen eingehenden Connector konfigurieren, der die Organisation angibt, die einer Liste sicherer Adressen hinzugefügt werden soll. Im Folgenden sind die erforderlichen Einstellungen für das obige Beispielszenario aufgeführt. Dabei hat contoso.com mit einem eingehenden Connector fabrikam.com der Liste sicherer Adressen hinzugefügt.

So konfigurieren Sie einen eingehenden FOPE-Connector in einem E-Mail-Fluss-Szenario mit Listen sicherer Adressen

  1. Klicken Sie im FOPE Administration Center auf die Registerkarte Verwaltung und dann auf die Registerkarte Firma.

  2. Klicken Sie im Abschnitt Connectors für Eingehende Connectors auf Hinzufügen. Das Dialogfeld Eingehenden Connector hinzufügen wird geöffnet.

    In der folgenden Abbildung werden Einstellungen für eingehende Connectors im E-Mail-Fluss-Beispielszenario mit Listen sicherer Adressen gezeigt.

    Eingehender Connector – Szenario mit Liste sicherer Adressen

  3. Geben Sie im Feld Name einen beschreibenden Namen für den eingehenden Connector ein.

  4. Geben Sie im Feld Beschreibung weitere Informationen zur Beschreibung des eingehenden Connectors ein.

  5. Geben Sie im Feld Absenderdomänen den Domänennamen der Organisation ein, die der Liste sicherer Adressen hinzugefügt werden soll (z. B. fabrikam.com).

  6. Geben Sie im Feld Absender-IP-Adressen die IP-Adresse(n) der Organisation ein, die der Liste sicherer Adressen hinzugefügt werden soll(en). IP-Adressen müssen im Format nnn.nnn.nnn.nnnangegeben werden, wobei nnn eine Zahl von 1 bis 255 ist. Sie können auch CIDR (Classless Inter-Domain Routing)-Bereiche im Format nnn.nnn.nnn.nnn/rrangeben, wobei rr eine Zahl von 24 bis 31 ist. Mehrere IP-Adressen müssen mit einem Komma getrennt werden. Es ist zwar zu empfehlen, hier IP-Adressen anzugeben, aber Sie können das Feld leer lassen, wenn Sie die bestimmte IP-Adresse oder die der Domäne zugeordneten Adressen nicht kennen oder Sie einen Connector mit weitem Geltungsbereich erstellen möchten.

  7. Aktivieren Sie das Optionsfeld Fügen Sie diese IP-Adressen der Liste sicherer Adressen hinzu, und akzeptieren Sie E-Mail für die oben angegebenen Domänen nur von diesen IP-Adressen. Hierdurch wird sichergestellt, dass E-Mails von der angegebenen Absenderdomäne und den angegebenen IP-Adressen FOPE durchlaufen, ohne dass eine IP-Filterung erfolgt, und dass von dieser Domäne, jedoch einer anderen IP-Adresse gesendete E-Mails abgelehnt werden. Wenn Sie das erste Optionsfeld Fügen Sie diese IP-Adressen der Liste sicherer Adressen hinzu, und akzeptieren Sie E-Mail für die oben angegebenen Domänen nur von diesen IP-Adressen aktivieren, gelten die folgenden beiden Bedingungen.

    • Auf E-Mails von der angegebenen IP-Adresse werden die Connectoreinstellungen angewendet (z. B. Spamfilterung, Richtlinienregeln und Einstellung für eingehende TLS).

    • Auf E-Mails, die von einer anderen IP-Adresse als der im Connector angegebenen IP-Adresse stammen, werden keine Einstellungen des Connectors angewendet.

  8. Im Abschnitt Connectoreinstellungen können Sie eine von zwei Einstellungen für TLS (Transport Layer Security) auswählen: Opportunistisches TLS oder TLS erzwingen.

    Wenn Sie TLS erzwingen auswählen, können Sie erzwingen, dass in Listen sicherer Adressen aufgeführte lokale Partner eine TLS-Verbindung verwenden, wenn sie E-Mails an Benutzer senden, die in der Cloud gehostet werden. In diesem Szenario wird die E-Mail-Nachricht von FOPE abgelehnt, wenn die Verbindung keine TLS-Verbindung ist. Wenn Sie diese Option verwenden, können Sie Übereinstimmung für Absenderzertifikat aktivieren und dann den Domänennamen der Organisation eingeben, für die Sie einen sicheren Kanal einrichten möchten. Sie können in diesem Feld mit dem Platzhalterzeichen * eine Ebene von Unterdomänen angeben. Wenn Sie z. B. *.domain.com, angeben, stimmt FOPE mit subdomain1.domain.com überein, jedoch nicht mit subdomain2.subdomain1.domain.com.

    Wenn Sie Opportunistisches TLS auswählen, versucht FOPE, eine TLS-Verbindung herzustellen, und führt automatisch ein Rollover zu einer SMTP-Verbindung aus, wenn der sendende Mailserver nicht für TLS konfiguriert ist.

    Ausführlichere Informationen über die Verwendung von TLS in FOPE finden Sie unter Grundlegendes zu TLS (Transport Layer Security) in FOPE.

  9. Mit den Kontrollkästchen im Abschnitt Connectoreinstellungen können Sie festlegen, dass verschiedene Vorgänge für Filterung angewendet oder übersprungen werden. Wenn Sie angeben, dass diese Filter übersprungen werden sollen, werden von der in der Liste sicherer Adressen aufgeführten Organisation selbst E-Mails mit einer hohen Spambewertung akzeptiert. Diese Filteroptionen sind standardmäßig aktiviert (werden standardmäßig angewendet).

    • IP-Reputationsfilterung anwenden – Gibt an, ob die IP-Reputationsfilterung auf eingehende E-Mails angewendet werden soll. Diese Option ist für dieses Szenario ungeeignet.

    • Spamfilterung anwenden – Gibt an, ob die Spamfilterung auf eingehende E-Mails angewendet werden soll. Wenn das Überspringen der Spamfilterung ausgewählt wird und der Partner Spam-E-Mails versendet, kann dies dazu führen, dass von der Organisation Spam empfangen wird.

    • Richtlinienregeln anwenden – Gibt an, ob Richtlinienregeln auf eingehende E-Mails angewendet werden sollen.

  10. Klicken Sie auf Speichern.

Der Connector wird jetzt unter Eingehende Connectors aufgeführt. Sie können den Connector erweitern, um seine Einstellungen anzuzeigen. Sie können auf Bearbeiten klicken, um die Konfigurationseinstellungen für diesen Connector zu ändern.

Wenn Sie diese Connectorkonfiguration auf das gesamte Unternehmen oder bestimmte Domänen des Unternehmens anwenden oder diesen Connector entfernen möchten, finden Sie entsprechende Informationen unter Erzwingen und Entfernen von FOPE-Connectorzuordnungen.