Empfangen von Connectors in Exchange Server

Exchange Server verwenden Empfangsconnectors zum Steuern eingehender SMTP-Verbindungen von:

  • Messagingservern außerhalb der Exchange-Organisation

  • Diensten in der Transportpipeline auf dem lokalen Exchange-Server oder auf Exchange-Remoteservern

  • E-Mail-Clients, die E-Mails nur über authentifizierte SMTP-Verbindungen senden dürfen

Sie können Empfangsconnectors im Transport-Dienst auf Postfachservern, im Front-End-Transport-Dienst auf Postfachservern und auf Edge-Transport-Servern erstellen. Standardmäßig werden die Empfangsconnectors, die für den eingehenden Nachrichtenfluss erforderlich sind, automatisch erstellt, wenn Sie einen Exchange Postfachserver installieren und wenn Sie einen Edge-Transport-Server für Ihre Exchange Organisation abonnieren.

Ein Empfangsconnector wird dem Postfachserver oder Edge-Transport-Server zugeordnet, auf dem er erstellt wurde, und legt fest, wie dieser Server auf SMTP-Verbindungen lauscht. Auf Postfachservern werden Empfangsconnectors in Active Directory als untergeordnetes Objekt des Servers gespeichert. Auf Edge-Transport-Servern wird der Empfangsconnector in Active Directory Lightweight Directory Services (AD LDS) gespeichert.

Hier eine Liste der wichtigen Einstellungen auf Empfangsconnectors:

  • Lokale Adapterbindungen: Konfigurieren Sie die Kombination aus lokalen IP-Adressen und TCP-Ports, die der Empfangsconnector verwendet, um Verbindungen zu akzeptieren.

  • Remotenetzwerkeinstellungen: Konfigurieren Sie die Quell-IP-Adressen, auf die der Empfangsconnector auf Verbindungen lauscht.

  • Verwendungstyp: Konfigurieren Sie die Standardberechtigungsgruppen und Smarthost-Authentifizierungsmechanismen für den Empfangsconnector.

  • Berechtigungsgruppen: Konfigurieren Sie, wer den Empfangsconnector und die erhaltenen Berechtigungen verwenden darf.

Empfangsconnectors lauschen auf eingehende Verbindungen, die ihren Konfigurationseinstellungen entsprechen. Jeder Empfangsconnector auf einem Exchange-Server verwendet eine eindeutige Kombination aus lokalen IP-Adressbindungen, TCP-Ports und Remote-IP-Adressbereichen, die definiert, ob und wie Verbindungen von SMTP-Clients oder -Servern angenommen werden.

Obwohl die Standardempfangsconnectors für die meisten Anwendungsfälle genügen, können Sie für spezifische Szenarien benutzerdefinierte Empfangsconnectors erstellen. Hier zwei Beispielszenarien:

  • Anwenden spezieller Eigenschaften auf eine E-Mail-Quelle (z. B. größere maximale Nachrichtengröße, mehr Empfänger pro Nachricht oder mehr gleichzeitige eingehende Verbindungen)

  • Annehmen verschlüsselter E-Mails unter Verwendung eines spezifischen TLS-Zertifikats

Auf Postfachservern können Sie Empfangsconnectors im Exchange-Verwaltungskonsole (EAC) oder in der Exchange-Verwaltungsshell erstellen und verwalten. Auf Edge-Transport-Servern können Sie nur die Exchange-Verwaltungsshell verwenden.

Empfangen von Connectoränderungen in Exchange Server

Dies sind die wichtigsten Änderungen an Empfangsconnectors in Exchange 2016 und Exchange 2019 im Vergleich zu Exchange 2010:

  • Mit dem Parameter "TlsCertificateName " können Sie den Zertifikataussteller und den Zertifikatantragsteller angeben. Dadurch wird das Risiko für gefälschte Zertifikate minimiert.

  • Mit dem Parameter "TransportRole " können Sie zwischen Frontend (Clientzugriff) und Back-End-Connectors auf Postfachservern unterscheiden.

Während der Installation erstellte Standardempfangsconnectors

Bei der Installation von Exchange werden standardmäßig mehrere verschiedene Empfangsconnectors erstellt. Diese Connectors sind standardmäßig aktiviert; die Protokollierung ist für die meisten von ihnen standardmäßig deaktiviert. Weitere Informationen zur Protokollierung auf Empfangsconnectors finden Sie unter Protokollierung.

Standardempfangsconnectors im Front-End-Transport-Dienst auf Postfachservern

Die Hauptfunktion von Empfangsconnectors im Front-End-Transport-Dienst ist die Annahme von anonymen und authentifizierten SMTP-Verbindungen zu Ihrer Exchange-Organisation. Der Wert der TransportRole-Eigenschaft für diese Connectors lautet FrontendTransport. Der Front-End-Transport-Dienst leitet diese Verbindungen an den Transportdienst weiter oder leitet sie zur Kategorisierung und Weiterleitung an das endgültige Ziel weiter.

In der nachfolgenden Tabelle sind die Standardempfangsconnectors beschrieben, die im Front-End-Transport-Dienst auf Postfachservern erstellt werden.

Name Beschreibung Protokollierung TCP-Port Lokale IP-Adressbindungen Remote-IP-Adressbereiche Authentifizierungsmechanismen Berechtigungsgruppen
Client Frontend <ServerName> Nimmt Verbindungen von authentifizierten SMTP-Clients an. Keine 587 Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) TLS
BasicAuth
BasicAuthRequireTLS
Integrated
ExchangeUsers
Standard-Frontend <ServerName> Nimmt anonyme Verbindungen von externen SMTP-Servern an. Dieser Connector ist der gängige Eintrittspunkt, über den Nachrichten in Ihre Exchange-Organisation fließen. Ausführlich 25 Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
AnonymousUsers
ExchangeLegacyServers
ExchangeServers
Ausgehender Proxy-Frontend <ServerName> Nimmt authentifizierte Verbindungen vom Transport-Dienst auf Postfachservern an. Die Verbindungen sind mit dem selbstsignierten Zertifikat des Exchange-Servers verschlüsselt.
Dieser Connector wird nur verwendet, wenn der Sendeconnector als Proxy zur Weiterleitung ausgehender E-Mails konfiguriert ist. Weitere Informationen finden Sie unter Configure Send connectors to proxy outbound mail.
Keine 717 Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
ExchangeServers

Standardempfangsconnectors im Transport-Dienst auf Postfachservern

Die Hauptfunktion von Empfangsconnectors im Transport-Dienst ist die Annahme authentifizierter und verschlüsselter SMTP-Verbindungen von anderen Transport-Diensten auf dem lokalen Postfachserver oder auf Remotepostfachservern in der Organisation. Der Wert der TransportRole-Eigenschaft für diese Connectors lautet HubTransport. Clients verbinden sich nicht direkt mit diesen Connectors.

In der nachfolgenden Tabelle sind die Standardempfangsconnectors beschrieben, die im Transport-Dienst auf Postfachservern erstellt werden.

Name Beschreibung Protokollierung TCP-Port Lokale IP-Adressbindungen Remote-IP-Adressbereiche Authentifizierungsmechanismen Berechtigungsgruppen
Clientproxy <ServerName> Nimmt authentifizierte Clientverbindungen an, die per Proxy über den Front-End-Transport-Dienst weitergeleitet werden. Keine 465 Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
ExchangeServers
ExchangeUsers
Standard <ServerName> Nimmt authentifizierte Verbindungen an vom:
  • Front-End-Transport-Dienst auf dem lokalen Postfachserver oder Remotepostfachservern
  • Transport-Dienst auf Remotepostfachservern
  • Postfachtransport-Dienst auf dem lokalen Postfachserver oder Remotepostfachservern
  • Edge-Transport-Server

Die Verbindungen sind mit dem selbstsignierten Zertifikat des Exchange-Servers verschlüsselt.

Keine 2525 Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) TLS
BasicAuth
ExchangeServer
Integrated
ExchangeLegacyServers
ExchangeServers
ExchangeUsers

Standardempfangsconnectors im Transport-Dienst auf Edge-Transport-Servern

Die Hauptfunktion des Empfangsconnectors auf Edge-Transport-Servern ist die Annahme von E-Mails aus dem Internet. Wenn eine Exchange-Organisation den Edge-Transport-Server abonniert, werden für den Connector automatisch alle Berechtigungen und Authentifizierungsmechanismen konfiguriert, die für den bidirektionalen Nachrichtenfluss zwischen dem Internet und der Organisation erforderlich sind. Weitere Informationen finden Sie unter Edge-Transport-Server.

In der nachfolgenden Tabelle ist der Standardempfangsconnector beschrieben, der im Transport-Dienst auf Edge-Transport-Servern erstellt wird.

Name Beschreibung Protokollierung TCP-Port Lokale IP-Adressbindungen Remote-IP-Adressbereiche Authentifizierungsmechanismen Berechtigungsgruppen
Standardmäßiger interner Empfangsconnector <ServerName> Nimmt anonyme Verbindungen von externen SMTP-Servern an. Keine 25 Alle verfügbaren IPv4-Adressen (0.0.0.0) {0.0.0.0-255.255.255.255} (alle IPv4-Adressen) TLS
ExchangeServer
AnonymousUsers
ExchangeServers
Partners

Implizite Empfangsconnectors im Postfachtransport-Zustellungsdienst auf Postfachservern

Zusätzlich zu den Empfangsconnectors, die während der Installation von Exchange Servern erstellt werden, gibt es einen speziellen impliziten Empfangsconnector im Postfach-Transport-Übermittlungsdienst auf Postfachservern. Dieser implizite Empfangsconnector ist automatisch verfügbar, nicht sichtbar und muss nicht verwaltet werden. Die Hauptfunktion dieses Connectors ist die Annahme von E-Mails vom Transport-Dienst auf dem lokalen Postfachserver oder den Remotepostfachservern in der Organisation.

In der nachfolgenden Tabelle ist der implizite Empfangsconnector im Postfachtransport-Zustellungsdienst auf Postfachservern beschrieben.

Name Beschreibung Protokollierung TCP-Port Lokale IP-Adressbindungen Remote-IP-Adressbereiche Authentifizierungsmechanismen Berechtigungsgruppen
Mailbox delivery Receive connector Nimmt authentifizierte Verbindungen vom Transport-Dienst auf dem lokalen Postfachserver oder Remotepostfachservern an. Keine 475 Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) ExchangeServer ExchangeServers

Empfangsconnectors und lokale Adressbindungen

Lokale Adressbindungen legen fest, dass der Empfangsconnector jeweils nur auf einer bestimmten lokalen IP-Adresse (Netzwerkadapter) und einem bestimmten TCP-Port auf SMTP-Verbindungen lauscht. In der Regel wird für jeden Empfangsconnector auf einem Server eine eindeutige Kombination aus lokaler IP-Adresse und TCP-Port festgelegt. Es kann jedoch auch mehreren Empfangsconnectors ein- und dieselbe Kombination aus lokaler IP-Adresse und TCP-Port zugewiesen werden, sofern die Remote-IP-Adressbereiche unterschiedlich sind. Weitere Informationen finden Sie im Abschnitt Empfangsconnectors und Remoteadressen.

Standardmäßig überwacht ein Empfangsconnector Verbindungen auf alle verfügbaren lokalen IPv4- und IPv6-Adressen (0.0.0.0 und [::]:). Verfügt der Server über mehrere Netzwerkadapter, können Sie den Empfangsconnector so konfigurieren, dass er nur Verbindungen von den für einen spezifischen Netzwerkadapter konfigurierten IP-Adressen annimmt. Beispiel: Sie können auf einem Exchange-Server mit Internetanbindung einen Empfangsconnector konfigurieren, der an die IP-Adresse des externen Netzwerkadapters gebunden ist und damit nur auf dieser Adresse auf anonyme Internetverbindungen lauscht. Zusätzlich können Sie einen separaten Empfangsconnector konfigurieren, der an die IP-Adresse des internen Netzwerkadapters gebunden ist und auf authentifizierte Verbindungen von internen Exchange-Servern lauscht.

Hinweis

Wenn Sie einen Empfangsconnector an eine bestimmte IP-Adresse binden, müssen Sie sicherstellen, dass diese Adresse auf einem lokalen Netzwerkadapter konfiguriert ist. Wenn Sie eine ungültige lokale IP-Adresse angeben, kann der Microsoft Exchange-Transport-Dienst beim Neustart des Servers oder Diensts möglicherweise nicht starten.

Im EAC verwenden Sie das Feld " Netzwerkadapterbindungen ", um die lokalen Adressbindungen im Assistenten für den neuen Empfangsconnector oder auf der Registerkarte " Bereichsdefinition " in den Eigenschaften vorhandener Empfangsconnectors zu konfigurieren. In der Exchange Verwaltungsshell verwenden Sie den Parameter "Bindings" für die Cmdlets "New-ReceiveConnector" und "Set-ReceiveConnector". Je nach ausgewähltem Verwendungstyp können Sie die lokalen Adressbindungen beim Erstellen des Empfangsconnectors möglicherweise nicht konfigurieren, aber Sie können sie nach dem Erstellen des Empfangsconnectors ändern. Die betroffenen Verwendungstypen werden im Abschnitt " Verwendungstypen des Empfangsconnectors " identifiziert.

Empfangsconnectors und Remoteadressen

Remoteadressen legen fest, von wo aus der Empfangsconnector SMTP-Verbindungen empfängt. Standardmäßig lauschen Empfangsconnectors auf allen IPv4- und IPv6-Adressen auf Verbindungen (0.0.0.0-255.255.255.255 und ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). Wenn Sie einen benutzerdefinierten Empfangsconnector erstellen, der nur E-Mails von einer bestimmten Quelle empfangen soll, müssen Sie den Connector so konfigurieren, dass er nur auf Verbindungen von diesen spezifischen IP-Adressen bzw. aus diesen spezifischen IP-Adressbereichen lauscht.

Mehrere Empfangsconnectors auf ein und demselben Server können überlappende Remote-IP-Adressbereiche haben, sofern ein IP-Adressbereich vollständig von einem anderen IP-Adressbereich abgedeckt wird. Wenn Remote-IP-Adressbereiche sich überlappen, wird der Remote-IP-Adressbereich verwendet, der die höchste Übereinstimmung mit der IP-Adresse des Servers hat, von dem die Verbindung ausgeht.

Nehmen wir als Beispiel die folgenden Empfangsconnectors im Front-End-Transport-Dienst auf dem Server „Exchange01":

  • Connectorname: Client Frontend Exchange01

    • Netzwerkadapterbindungen: Alle verfügbaren IPv4 an Port 25.

    • Remotenetzwerkeinstellungen: 0.0.0.0-255.255.255.255

  • Connectorname: Benutzerdefinierter Connector A

    • Netzwerkadapterbindungen: Alle verfügbaren IPv4 an Port 25.

    • Remotenetzwerkeinstellungen: 192.168.1.0-192.168.1.255

  • Connectorname: Benutzerdefinierter Connector B

    • Netzwerkadapterbindungen: Alle verfügbaren IPv4 an Port 25.

    • Remotenetzwerkeinstellungen: 192.168.1.75

SMTP-Verbindungen von 192.168.1.75 werden von „Custom Connector B" angenommen, da diese IP-Adresse die größte Übereinstimmung mit dem IP-Adressbereich dieses Connectors hat.

SMTP-Verbindungen von 192.168.1.100 werden von „Custom Connector A" angenommen, da diese IP-Adresse die größte Übereinstimmung mit dem IP-Adressbereich dieses Connectors hat.

Konfigurieren können Sie die Remote-IP-Adressen über das EAC im Feld Remote network settings im Assistenten zur Erstellung neuer Empfangsconnectors oder auf der Registerkarte Bereichsdefinition in den Eigenschaften eines bereits vorhandenen Empfangsconnectors. In der Exchange-Verwaltungsshell verwenden Sie den Parameter "RemoteIPRanges" für die Cmdlets "New-ReceiveConnector" und "Set-ReceiveConnector".

Empfangsconnector-Verwendungstypen

Der Verwendungstyp bestimmt die Standardsicherheitseinstellungen eines Empfangsconnectors. Der Verwendungstyp legt fest, wer zur Verwendung des Connectors autorisiert ist, welche Berechtigungen jeweils gewährt werden und welche Authentifizierungsmethoden unterstützt werden.

Wenn Sie einen Empfangsconnector über das EAC erstellen, werden Sie vom Assistenten aufgefordert, den Wert Typ des Connectors festzulegen. Wenn Sie das Cmdlet "New-ReceiveConnector" in der Exchange-Verwaltungsshell verwenden, verwenden Sie den Parameter "Usage" mit einem der verfügbaren Werte (z. B-Usage Custom. ) oder dem angegebenen Switch für den Verwendungstyp (z. B-Custom. ).

Sie können den Connectorverwendungstyp nur bei der Erstellung von Empfangsconnectors festlegen. Sobald Sie einen Connector erstellt haben, können Sie im EAC oder mithilfe des Cmdlets Set-ReceiveConnector in der Exchange-Verwaltungsshell die verfügbaren Authentifizierungsmechanismen und Berechtigungsgruppen anpassen.

In der nachfolgenden Tabelle sind die verfügbaren Verwendungstypen beschrieben.

Verwendungstyp Zugewiesene Berechtigungsgruppen Verfügbare Authentifizierungsmechanismen Kommentare
Client Exchange Benutzer (ExchangeUsers) Transport Layer Security (TLS)
Standardauthentifizierung (BasicAuth)
Bieten Sie die Standardauthentifizierung erst nach dem Starten von TLS an (BasicAuthRequireTLS)
Integrierte Windows-Authentifizierung (Integrated)
Verwendet von POP3- und IMAP4-Clients, die E-Mail-Nachrichten nur über authentifizierte SMTP-Verbindungen übermitteln dürfen.
Wenn Sie einen Empfangsconnector dieses Verwendungstyps im EAC oder in der Exchange-Verwaltungsshell erstellen, können Sie weder die lokalen IP-Adressbindungen noch den TCP-Port auswählen. Standardmäßig ist dieser Verwendungstyp an alle lokalen IPv4- und IPv6-Adressen auf TCP-Port 587 gebunden. Sie können die Bindungen ändern, nachdem Sie den Connector erstellt haben.
Dieser Verwendungstyp steht auf Edge-Transport-Servern nicht zur Verfügung.
Benutzerdefiniert Keine ausgewählt (None) Transport Layer Security (TLS) Verwendet in gesamtstrukturübergreifenden Szenarios, zum Empfang von E-Mails von Drittanbieter-Messagingservern sowie zum externen Relay.
Nachdem Sie einen Empfangsconnector dieses Verwendungstyps erstellt haben, müssen Sie im EAC oder in der Exchange-Verwaltungsshell Berechtigungsgruppen hinzufügen.
Intern Legacyserver Exchange (ExchangeLegacyServers)
Exchange-Server (ExchangeServers)
Transport Layer Security (TLS)
Exchange Server-Authentifizierung (ExchangeServers)
Verwendet in gesamtstrukturübergreifenden Szenarien, zum Empfang von E-Mails von früheren Exchange-Versionen, zum Empfang von E-Mails von Drittanbieter-Messagingservern sowie auf Edge-Transport-Servern zum Empfang von ausgehenden E-Mails aus der internen Exchange-Organisation.
Wenn Sie einen Empfangsconnector dieses Verwendungstyps im EAC oder in der Exchange-Verwaltungsshell erstellen, können Sie weder die lokalen IP-Adressbindungen noch den TCP-Port auswählen. Standardmäßig ist ein solcher Connector an alle lokalen IPv4- und IPv6-Adressen auf TCP-Port 25 gebunden. Sie können die Bindungen ändern, nachdem Sie den Connector erstellt haben.
Die ExchangeLegacyServers Berechtigungsgruppe ist auf Edge-Transport-Servern nicht verfügbar.
Internet Anonyme Benutzer (AnonymousUsers) Transport Layer Security (TLS) Verwendet zum Empfang von E-Mails aus dem Internet.
Wenn Sie einen Empfangsconnector dieses Verwendungstyps im EAC oder in der Exchange-Verwaltungsshell erstellen, können Sie die Remote-IP-Adressen nicht auswählen. Standardmäßig nimmt der Connector Remoteverbindungen von allen IPv4-Adressen an (0.0.0.0 bis 255.255.255.255). Sie können die Bindungen ändern, nachdem Sie den Connector erstellt haben.
Partner Partner (Partners) Transport Layer Security (TLS) Verwendet zum Konfigurieren einer Verbindung für sichere Kommunikation mit einem externen Partner (gegenseitige TLS-Authentifizierung, auch Domänensicherheit genannt).

Authentifizierungsmechanismen für Empfangsconnectors

Authentifizierungsmechanismen geben die Anmelde- und Verschlüsselungseinstellungen an, die für eingehende SMTP-Verbindungen verwendet werden. Sie können mehrere Authentifizierungsmechanismen für einen Empfangsconnector konfigurieren. Im EAC sind Authentifizierungsmechanismen auf der Registerkarte "Sicherheit " in den Eigenschaften des Empfangsconnectors verfügbar. In der Exchange Verwaltungsshell sind Berechtigungsgruppen im Parameter "AuthMemoderns" für die Cmdlets "New-ReceiveConnector" und "Set-ReceiveConnector" verfügbar.

In der nachfolgenden Tabelle sind die verfügbaren Authentifizierungsmechanismen beschrieben.

Authentifizierungsmechanismus Beschreibung
Keine ausgewählt (None) Keine Authentifizierung.
Transport Layer Security (TLS) (TLS) In der EHLO-Antwort wird STARTTLS übermittelt. Für TLS-verschlüsselte Verbindungen ist ein Serverzertifikat erforderlich, das den Namen enthält, den der Empfangsconnector in der EHLO-Antwort übermittelt. Weitere Informationen finden Sie unter Ändern des SMTP-Banners für Empfangsconnectors. Andere Exchange-Server in Ihrer Organisation vertrauen dem selbstsignierten Zertifikat des Servers; Clients und externe Server verwenden jedoch in der Regel ein vertrauenswürdiges Drittanbieterzertifikat.
Standardauthentifizierung (BasicAuth) Standardauthentifizierung (Klartext)
Bieten Sie die Standardauthentifizierung erst nach dem Starten von TLS an (BasicAuthRequireTLS) Standardauthentifizierung mit TLS-Verschlüsselung.
Integrierte Windows-Authentifizierung (Integrated) NTLM- und Kerberos-Authentifizierung
Exchange Server-Authentifizierung (ExchangeServer) GSSAPI-Authentifizierung (generische Sicherheitsdienste-API) und gegenseitige GSSAPI-Authentifizierung
Extern gesichert (ExternalAuthoritative) Es wird davon ausgegangen, dass die Verbindung durch einen Sicherheitsmechanismus außerhalb von Exchange abgesichert ist. Bei der Verbindung kann es sich um eine IPsec-Zuordnung (Internetprotokollsicherheit) oder ein virtuelles privates Netzwerk (VPN) handeln. Alternativ können sich die Server in einem vertrauenswürdigen, physisch überwachten Netzwerk befinden.
Dieser Authentifizierungsmechanismus erfordert die ExchangeServers Berechtigungsgruppe. Diese Kombination aus Authentifizierungsmechanismus und Sicherheitsgruppe ermöglicht die Auflösung der E-Mail-Adressen von anonymen Absendern von Nachrichten, die der Connector empfängt.

Berechtigungsgruppen für Empfangsconnectors

Eine Berechtigungsgruppe ist ein vordefinierter Satz von Berechtigungen, der bekannten Sicherheitsprinzipalen gewährt und einem Empfangsconnector zugewiesen wird. Sicherheitsprinzipale können Benutzerkonten, Computerkonten und Sicherheitsgruppen sein (Objekte, die durch eine Sicherheits-ID oder SID gekennzeichnet sind und denen Berechtigungen zugewiesen werden können). Berechtigungsgruppen definieren, wer den Empfangsconnector verwenden kann, und welche Berechtigungen sie erhalten. Sie können keine Berechtigungsgruppen erstellen oder die Berechtigungsgruppenmitglieder oder die Standardberechtigungen der Berechtigungsgruppe ändern.

Im EAC finden Sie die Berechtigungsgruppen auf der Registerkarte Sicherheit in den Eigenschaften des betreffenden Empfangsconnectors. In der Exchange Verwaltungsshell sind Berechtigungsgruppen im Parameter "PermissionGroups" in den Cmdlets "New-ReceiveConnector" und "Set-ReceiveConnector" verfügbar.

In der nachfolgenden Tabelle sind die verfügbaren Berechtigungsgruppen beschrieben.

Berechtigungsgruppe Zugeordnete Sicherheitsprinzipale Gewährte Berechtigungen
Anonyme Benutzer (Anonymous) NT AUTHORITY\ANONYMOUS LOGON ms-Exch-Accept-Headers-Routing
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Submit
Exchange Benutzer (ExchangeUsers) NT AUTHORITY\Authenticated Users ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Submit
Exchange-Server (ExchangeServers) <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers
Hinweis: Diesen Sicherheitsprinzipalen sind auch andere interne Berechtigungen zugewiesen. Weitere Informationen finden Sie am Ende des Abschnitts Empfangsconnectorberechtigungen.
ms-Exch-Accept-Headers-Forest
ms-Exch-Accept-Headers-Organization
ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
Exchange-Server (ExchangeServers) MS Exchange\Externally Secured Servers ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
s-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
Legacyserver Exchange (ExchangeLegacyServers) <Domain>\ExchangeLegacyInterop ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
Partner (Partner) MS Exchange\Partner Servers ms-Exch-Accept-Headers-Routing
ms-Exch-SMTP-Submit

Erklärungen zu den Berechtigungen finden Sie im Abschnitt Empfangsconnectorberechtigungen weiter unten in diesem Artikel.

Empfangsconnectorberechtigungen

In der Regel wenden Sie Berechtigungen über Berechtigungsgruppen auf Empfangsconnectors an. Mit den Cmdlets Add-ADPermission und Remove-ADPermission können Sie jedoch auch granulare Berechtigungen für Empfangsconnectors konfigurieren.

Empfangsconnectorberechtigungen werden Sicherheitsprinzipalen über die Berechtigungsgruppen des Connectors zugewiesen. Wenn ein SMTP-Server oder -Client eine Verbindung zu einem Empfangsconnector aufbaut, bestimmen die Empfangsconnectorberechtigungen, ob die Verbindung angenommen wird und wie Nachrichten verarbeitet werden.

In der nachfolgenden Tabelle sind die verfügbaren Empfangsconnectorberechtigungen beschrieben.

Empfangsconnectorberechtigung Beschreibung
ms-Exch-Accept-Headers-Forest Steuert die Erhaltung von Exchange-Gesamtstruktur-Kopfzeilen in Nachrichten. Die Namen von Gesamtstruktur-Kopfzeilen beginnen mit X-MS-Exchange-Forest-. Wenn diese Berechtigung nicht gewährt wurde, werden alle Gesamtstruktur-Kopfzeilen aus Nachrichten entfernt.
ms-Exch-Accept-Headers-Organization Steuert die Erhaltung von Exchange-Organisationskopfzeilen in Nachrichten. Die Namen von Organisationskopfzeilen beginnen mit X-MS-Exchange-Organization-. Wenn diese Berechtigung nicht gewährt wurde, werden alle Organisationskopfzeilen aus Nachrichten entfernt.
ms-Exch-Accept-Headers-Routing Steuert die Erhaltung von Received -Kopfzeilen und Resent-* -Kopfzeilen in Nachrichten. Wenn diese Berechtigung nicht gewährt wurde, werden alle Kopfzeilen dieser Typen aus Nachrichten entfernt.
ms-Exch-Bypass-Anti-Spam Erlaubt SMTP-Clients oder -Servern, den Antispamfilter zu umgehen.
ms-Exch-Bypass-Message-Size-Limit Erlaubt SMTP-Clients oder -Servern die Übermittlung von Nachrichten, die die für den Empfangsconnector konfigurierte maximale Nachrichtengröße überschreiten.
ms-Exch-SMTP-Accept-Any-Recipient Erlaubt SMTP-Clients oder -Servern, Nachrichten per Relay über den Empfangsconnector zu übermitteln. Wird diese Berechtigung nicht gewährt, nimmt der Empfangsconnector nur Nachrichten an Empfänger in den für die Exchange-Organisation konfigurierten akzeptierten Domänen an.
ms-Exch-SMTP-Accept-Any-Sender Erlaubt SMTP-Clients oder -Servern, die Spoofing-Prüfung der Absenderadresse zu umgehen, die normalerweise festlegt, dass die E-Mail-Adresse des Absenders zu einer der für die Exchange-Organisation konfigurierten akzeptierten Domänen gehören muss.
ms-Exch-SMTP-Accept-Authentication-Flag Steuert, ob Nachrichten von SMTP-Clients oder -Servern als authentifiziert behandelt werden. Wenn diese Berechtigung nicht gewährt wurde, werden Nachrichten von diesen Quellen als externe Nachrichten identifiziert (d. h. als nicht authentifiziert). Diese Einstellung ist wichtig für Verteilergruppen, die so konfiguriert sind, dass E-Mails nur von internen Empfängern akzeptiert werden (z. B. lautet $trueder Parameterwert RequireSenderAuthenticationEnabled für die Gruppe ).
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender Erlaubt Zugriff auf den Empfangsconnector durch Absender, deren E-Mail-Adresse zu einer der für die Exchange-Organisation konfigurierten autorisierenden Domänen gehört.
ms-Exch-SMTP-Accept-Exch50 Erlaubt SMTP-Clients oder -Servern, XEXCH50 -Befehle an den Empfangsconnector zu übermitteln. Der BLOB (Binary Large Object) X-EXCH50 wurde von älteren Exchange-Versionen (Exchange 2003 und früher) zur Speicherung von Exchange-Daten in Nachrichten verwendet (z. B. zur Speicherung des SCL [Spam Confidence Level]).
ms-Exch-SMTP-Submit Diese Berechtigung ist erforderlich, um Nachrichten an Empfangsconnectors übermitteln zu können. Wenn diese Berechtigung nicht gewährt wurde, schlagen die Befehle MAIL FROM und AUTH fehl.

Hinweise:

  • Zusätzlich zu den dokumentierten Berechtigungen gibt es Berechtigungen, die allen Sicherheitsprinzipalen in der Berechtigungsgruppe Exchange Server (ExchangeServers) mit Ausnahme MS Exchange\Externally Secured Serversvon zugewiesen werden. Diese Berechtigungen sind der internen Verwendung durch Microsoft vorbehalten und werden hier lediglich als Referenz aufgeführt.

    • ms-Exch-SMTP-Accept-Xattr

    • ms-Exch-SMTP-Accept-XProxyFrom

    • ms-Exch-SMTP-Accept-XSessionParams

    • ms-Exch-SMTP-Accept-XShadow

    • ms-Exch-SMTP-Accept-XSysProbe

    • ms-Exch-SMTP-Send-XMessageContext-ADRecipientCache

    • ms-Exch-SMTP-Send-XMessageContext-ExtendedProperties

    • ms-Exch-SMTP-Send-XMessageContext-FastIndex

  • Berechtigungsnamen, die enthalten ms-Exch-Accept-Headers- , sind Teil des Headerfirewallfeatures . Weitere Informationen finden Sie unter Kopfzeilenfirewall.

Verfahren für Empfangsconnectorberechtigungen

Verwenden Sie die folgende Syntax in der Exchange-Verwaltungsshell, um die Berechtigungen anzuzeigen, die Sicherheitsprinzipalen auf einem Empfangsconnector zugewiesen sind:

Get-ADPermission -Identity <ReceiveConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Beispielsweise können Sie mit dem folgenden Befehl die Berechtigungen anzeigen, die allen Sicherheitsprinzipalen auf dem Empfangsconnector „Client Frontend Mailbox01" zugewiesen sind:

Get-ADPermission -Identity "Client Frontend Mailbox01" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Führen Sie den folgenden Befehl aus, um die Berechtigungen anzuzeigen, die nur dem Sicherheitsprinzipal NT AUTHORITY\Authenticated Users auf dem Empfangsconnector mit dem Namen "Standardpostfach01" zugewiesen sind:

Get-ADPermission -Identity "Default Mailbox01" -User "NT AUTHORITY\Authenticated Users" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Verwenden Sie die folgende Syntax, um einem Sicherheitsprinzipal auf einem Empfangsconnector Berechtigungen hinzuzufügen:

Add-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Verwenden Sie die folgende Syntax, um Berechtigungen aus einem Sicherheitsprinzipal auf einem Empfangsconnector zu entfernen:

Remove-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...