Freigeben über


Empfangen von Connectors in Exchange Server

Exchange-Server verwenden Empfangsconnectors, um eingehende SMTP-Verbindungen von:

  • Messagingservern außerhalb der Exchange-Organisation

  • Diensten in der Transportpipeline auf dem lokalen Exchange-Server oder auf Exchange-Remoteservern

  • E-Mail-Clients, die E-Mails nur über authentifizierte SMTP-Verbindungen senden dürfen

Sie können Empfangsconnectors im Transport-Dienst auf Postfachservern, im Front-End-Transport-Dienst auf Postfachservern und auf Edge-Transport-Servern erstellen. Standardmäßig werden die Empfangsconnectors, die für den eingehenden E-Mail-Fluss erforderlich sind, automatisch erstellt, wenn Sie einen Exchange-Postfachserver installieren und wenn Sie einen Edge-Transport-Server für Ihre Exchange-Organisation abonnieren.

Ein Empfangsconnector wird dem Postfachserver oder Edge-Transport-Server zugeordnet, auf dem er erstellt wurde, und legt fest, wie dieser Server auf SMTP-Verbindungen lauscht. Auf Postfachservern werden Empfangsconnectors in Active Directory als untergeordnetes Objekt des Servers gespeichert. Auf Edge-Transport-Servern wird der Empfangsconnector in Active Directory Lightweight Directory Services (AD LDS) gespeichert.

Hier eine Liste der wichtigen Einstellungen auf Empfangsconnectors:

  • Lokale Adapterbindungen: Konfigurieren Sie die Kombination aus lokalen IP-Adressen und TCP-Ports, die der Empfangsconnector zum Akzeptieren von Verbindungen verwendet.

  • Remotenetzwerkeinstellungen: Konfigurieren Sie die Quell-IP-Adressen, an denen der Empfangsconnector auf Verbindungen lauscht.

  • Verwendungstyp: Konfigurieren Sie die Standardberechtigungsgruppen und Smarthost-Authentifizierungsmechanismen für den Empfangsconnector.

  • Berechtigungsgruppen: Konfigurieren Sie, wer den Empfangsconnector verwenden darf, und die Berechtigungen, die sie erhalten.

Empfangsconnectors lauschen auf eingehende Verbindungen, die ihren Konfigurationseinstellungen entsprechen. Jeder Empfangsconnector auf einem Exchange-Server verwendet eine eindeutige Kombination aus lokalen IP-Adressbindungen, TCP-Ports und Remote-IP-Adressbereichen, die definiert, ob und wie Verbindungen von SMTP-Clients oder -Servern angenommen werden.

Obwohl die Standardempfangsconnectors für die meisten Anwendungsfälle genügen, können Sie für spezifische Szenarien benutzerdefinierte Empfangsconnectors erstellen. Hier zwei Beispielszenarien:

  • Anwenden spezieller Eigenschaften auf eine E-Mail-Quelle (z. B. größere maximale Nachrichtengröße, mehr Empfänger pro Nachricht oder mehr gleichzeitige eingehende Verbindungen)

  • Annehmen verschlüsselter E-Mails unter Verwendung eines spezifischen TLS-Zertifikats

Auf Postfachservern können Sie Empfangsconnectors im Exchange-Verwaltungskonsole (EAC) oder in der Exchange-Verwaltungsshell erstellen und verwalten. Auf Edge-Transport-Servern können Sie nur die Exchange-Verwaltungsshell verwenden.

Empfangen von Connectoränderungen in Exchange Server

Dies sind die wichtigsten Änderungen an Empfangsconnectors in Exchange 2016 und Exchange 2019 im Vergleich zu Exchange 2010:

  • Mit dem Parameter TlsCertificateName können Sie den Zertifikataussteller und den Zertifikatantragsteller angeben. Dadurch wird das Risiko für gefälschte Zertifikate minimiert.

  • Mit dem Parameter TransportRole können Sie zwischen Front-End-Connectors (Clientzugriff) und Back-End-Connectors auf Postfachservern unterscheiden.

Während der Installation erstellte Standardempfangsconnectors

Bei der Installation von Exchange werden standardmäßig mehrere verschiedene Empfangsconnectors erstellt. Diese Connectors sind standardmäßig aktiviert; die Protokollierung ist für die meisten von ihnen standardmäßig deaktiviert. Weitere Informationen zur Protokollierung auf Empfangsconnectors finden Sie unter Protokollierung.

Standardempfangsconnectors im Front-End-Transport-Dienst auf Postfachservern

Die Hauptfunktion von Empfangsconnectors im Front-End-Transport-Dienst ist die Annahme von anonymen und authentifizierten SMTP-Verbindungen zu Ihrer Exchange-Organisation. Der Wert der TransportRole-Eigenschaft für diese Connectors ist FrontendTransport. Der Front-End-Transportdienst leitet diese Verbindungen für die Kategorisierung und das Routing an das endgültige Ziel an den Transportdienst weiter oder leitet sie weiter.

In der nachfolgenden Tabelle sind die Standardempfangsconnectors beschrieben, die im Front-End-Transport-Dienst auf Postfachservern erstellt werden.

Name Beschreibung Protokollierung TCP-Port Lokale IP-Adressbindungen Remote-IP-Adressbereiche Authentifizierungsmechanismen Berechtigungsgruppen
Client-Front-End <ServerName> Nimmt Verbindungen von authentifizierten SMTP-Clients an. Keine 587 Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) TLS
BasicAuth
BasicAuthRequireTLS
Integrated
ExchangeUsers
Standard-Front-End-ServerName <> Nimmt anonyme Verbindungen von externen SMTP-Servern an. Dieser Connector ist der gängige Eintrittspunkt, über den Nachrichten in Ihre Exchange-Organisation fließen. Ausführlich 25 Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
AnonymousUsers
ExchangeLegacyServers
ExchangeServers
Ausgehender Proxy-Front-End-ServerName <> Nimmt authentifizierte Verbindungen vom Transport-Dienst auf Postfachservern an. Die Verbindungen sind mit dem selbstsignierten Zertifikat des Exchange-Servers verschlüsselt.
Dieser Connector wird nur verwendet, wenn der Sendeconnector als Proxy zur Weiterleitung ausgehender E-Mails konfiguriert ist. Weitere Informationen finden Sie unter Configure Send connectors to proxy outbound mail.
Keine 717 Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
ExchangeServers

Standardempfangsconnectors im Transport-Dienst auf Postfachservern

Die Hauptfunktion von Empfangsconnectors im Transport-Dienst ist die Annahme authentifizierter und verschlüsselter SMTP-Verbindungen von anderen Transport-Diensten auf dem lokalen Postfachserver oder auf Remotepostfachservern in der Organisation. Der Wert der TransportRole-Eigenschaft für diese Connectors ist HubTransport. Clients verbinden sich nicht direkt mit diesen Connectors.

In der nachfolgenden Tabelle sind die Standardempfangsconnectors beschrieben, die im Transport-Dienst auf Postfachservern erstellt werden.

Name Beschreibung Protokollierung TCP-Port Lokale IP-Adressbindungen Remote-IP-Adressbereiche Authentifizierungsmechanismen Berechtigungsgruppen
Clientproxy-Servername<> Nimmt authentifizierte Clientverbindungen an, die per Proxy über den Front-End-Transport-Dienst weitergeleitet werden. Keine 465 Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) TLS
BasicAuth
BasicAuthRequireTLS
ExchangeServer
Integrated
ExchangeServers
ExchangeUsers
Standardservername<> Nimmt authentifizierte Verbindungen an vom:
  • Front-End-Transport-Dienst auf dem lokalen Postfachserver oder Remotepostfachservern
  • Transport-Dienst auf Remotepostfachservern
  • Postfachtransport-Dienst auf dem lokalen Postfachserver oder Remotepostfachservern
  • Edge-Transport-Server

Die Verbindungen sind mit dem selbstsignierten Zertifikat des Exchange-Servers verschlüsselt.

Keine 2525 Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) TLS
BasicAuth
ExchangeServer
Integrated
ExchangeLegacyServers
ExchangeServers
ExchangeUsers

Standardempfangsconnectors im Transport-Dienst auf Edge-Transport-Servern

Die Hauptfunktion des Empfangsconnectors auf Edge-Transport-Servern ist die Annahme von E-Mails aus dem Internet. Wenn eine Exchange-Organisation den Edge-Transport-Server abonniert, werden für den Connector automatisch alle Berechtigungen und Authentifizierungsmechanismen konfiguriert, die für den bidirektionalen Nachrichtenfluss zwischen dem Internet und der Organisation erforderlich sind. Weitere Informationen finden Sie unter Edge-Transport-Server.

In der nachfolgenden Tabelle ist der Standardempfangsconnector beschrieben, der im Transport-Dienst auf Edge-Transport-Servern erstellt wird.

Name Beschreibung Protokollierung TCP-Port Lokale IP-Adressbindungen Remote-IP-Adressbereiche Authentifizierungsmechanismen Berechtigungsgruppen
Standardmäßiger interner Empfangsconnector <ServerName> Nimmt anonyme Verbindungen von externen SMTP-Servern an. Keine 25 Alle verfügbaren IPv4-Adressen (0.0.0.0) {0.0.0.0-255.255.255.255} (alle IPv4-Adressen) TLS
ExchangeServer
AnonymousUsers
ExchangeServers
Partners

Implizite Empfangsconnectors im Postfachtransport-Zustellungsdienst auf Postfachservern

Zusätzlich zu den Empfangsconnectors, die während der Installation von Exchange-Servern erstellt werden, gibt es einen speziellen impliziten Empfangsconnector im Postfachtransport-Übermittlungsdienst auf Postfachservern. Dieser implizite Empfangsconnector ist automatisch verfügbar, nicht sichtbar und muss nicht verwaltet werden. Die Hauptfunktion dieses Connectors ist die Annahme von E-Mails vom Transport-Dienst auf dem lokalen Postfachserver oder den Remotepostfachservern in der Organisation.

In der nachfolgenden Tabelle ist der implizite Empfangsconnector im Postfachtransport-Zustellungsdienst auf Postfachservern beschrieben.

Name Beschreibung Protokollierung TCP-Port Lokale IP-Adressbindungen Remote-IP-Adressbereiche Authentifizierungsmechanismen Berechtigungsgruppen
Mailbox delivery Receive connector Nimmt authentifizierte Verbindungen vom Transport-Dienst auf dem lokalen Postfachserver oder Remotepostfachservern an. Keine 475 Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) ExchangeServer ExchangeServers

Empfangsconnectors und lokale Adressbindungen

Lokale Adressbindungen legen fest, dass der Empfangsconnector jeweils nur auf einer bestimmten lokalen IP-Adresse (Netzwerkadapter) und einem bestimmten TCP-Port auf SMTP-Verbindungen lauscht. In der Regel wird für jeden Empfangsconnector auf einem Server eine eindeutige Kombination aus lokaler IP-Adresse und TCP-Port festgelegt. Es kann jedoch auch mehreren Empfangsconnectors ein- und dieselbe Kombination aus lokaler IP-Adresse und TCP-Port zugewiesen werden, sofern die Remote-IP-Adressbereiche unterschiedlich sind. Weitere Informationen finden Sie im Abschnitt Empfangsconnectors und Remoteadressen.

Standardmäßig lauscht ein Empfangsconnector auf Verbindungen an allen verfügbaren lokalen IPv4- und IPv6-Adressen (0.0.0.0 und [::]:). Verfügt der Server über mehrere Netzwerkadapter, können Sie den Empfangsconnector so konfigurieren, dass er nur Verbindungen von den für einen spezifischen Netzwerkadapter konfigurierten IP-Adressen annimmt. Beispiel: Sie können auf einem Exchange-Server mit Internetanbindung einen Empfangsconnector konfigurieren, der an die IP-Adresse des externen Netzwerkadapters gebunden ist und damit nur auf dieser Adresse auf anonyme Internetverbindungen lauscht. Zusätzlich können Sie einen separaten Empfangsconnector konfigurieren, der an die IP-Adresse des internen Netzwerkadapters gebunden ist und auf authentifizierte Verbindungen von internen Exchange-Servern lauscht.

Hinweis

Wenn Sie einen Empfangsconnector an eine bestimmte IP-Adresse binden, müssen Sie sicherstellen, dass diese Adresse auf einem lokalen Netzwerkadapter konfiguriert ist. Wenn Sie eine ungültige lokale IP-Adresse angeben, kann der Microsoft Exchange-Transport-Dienst beim Neustart des Servers oder Diensts möglicherweise nicht starten.

Im EAC verwenden Sie das Feld Netzwerkadapterbindungen , um die lokalen Adressbindungen im neuen Empfangsconnector-Assistenten oder auf der Registerkarte Bereich in den Eigenschaften vorhandener Empfangsconnectors zu konfigurieren. In der Exchange-Verwaltungsshell verwenden Sie den Parameter Bindings für die Cmdlets New-ReceiveConnector und Set-ReceiveConnector . Je nach ausgewähltem Verwendungstyp können Sie die lokalen Adressbindungen möglicherweise nicht konfigurieren, wenn Sie den Empfangsconnector erstellen, aber Sie können sie ändern, nachdem Sie den Empfangsconnector erstellt haben. Die betroffenen Nutzungstypen werden im Abschnitt Nutzungstypen des Empfangsconnectors identifiziert.

Empfangsconnectors und Remoteadressen

Remoteadressen definieren, von wo der Empfangsconnector SMTP-Verbindungen empfängt. Standardmäßig lauschen Empfangsconnectors auf Verbindungen von allen IPv4- und IPv6-Adressen (0.0.0.0-255.255.255 und ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). Wenn Sie einen benutzerdefinierten Empfangsconnector zum Empfangen von E-Mails aus einer bestimmten Quelle erstellen, konfigurieren Sie den Connector so, dass er nur auf Verbindungen aus den spezifischen IP-Adressen oder Adressbereichen lauscht.

Mehrere Empfangsconnectors auf ein und demselben Server können überlappende Remote-IP-Adressbereiche haben, sofern ein IP-Adressbereich vollständig von einem anderen IP-Adressbereich abgedeckt wird. Wenn Remote-IP-Adressbereiche sich überlappen, wird der Remote-IP-Adressbereich verwendet, der die höchste Übereinstimmung mit der IP-Adresse des Servers hat, von dem die Verbindung ausgeht.

Nehmen wir als Beispiel die folgenden Empfangsconnectors im Front-End-Transport-Dienst auf dem Server „Exchange01":

  • Connectorname: Client-Front-End Exchange01

    • Netzwerkadapterbindungen: Alle verfügbaren IPv4 an Port 25.

    • Remotenetzwerkeinstellungen: 0.0.0.0-255.255.255.255

  • Connectorname: Benutzerdefinierter Connector A

    • Netzwerkadapterbindungen: Alle verfügbaren IPv4 an Port 25.

    • Remotenetzwerkeinstellungen: 192.168.1.0-192.168.1.255

  • Connectorname: Benutzerdefinierter Connector B

    • Netzwerkadapterbindungen: Alle verfügbaren IPv4 an Port 25.

    • Remotenetzwerkeinstellungen: 192.168.1.75

SMTP-Verbindungen von 192.168.1.75 werden von „Custom Connector B" angenommen, da diese IP-Adresse die größte Übereinstimmung mit dem IP-Adressbereich dieses Connectors hat.

SMTP-Verbindungen von 192.168.1.100 werden von „Custom Connector A" angenommen, da diese IP-Adresse die größte Übereinstimmung mit dem IP-Adressbereich dieses Connectors hat.

Konfigurieren können Sie die Remote-IP-Adressen über das EAC im Feld Remote network settings im Assistenten zur Erstellung neuer Empfangsconnectors oder auf der Registerkarte Bereichsdefinition in den Eigenschaften eines bereits vorhandenen Empfangsconnectors. In der Exchange-Verwaltungsshell verwenden Sie den Parameter RemoteIPRanges für die Cmdlets New-ReceiveConnector und Set-ReceiveConnector .

Empfangsconnector-Verwendungstypen

Der Verwendungstyp bestimmt die Standardsicherheitseinstellungen eines Empfangsconnectors. Der Verwendungstyp legt fest, wer zur Verwendung des Connectors autorisiert ist, welche Berechtigungen jeweils gewährt werden und welche Authentifizierungsmethoden unterstützt werden.

Wenn Sie einen Empfangsconnector über das EAC erstellen, werden Sie vom Assistenten aufgefordert, den Wert Typ des Connectors festzulegen. Wenn Sie das Cmdlet New-ReceiveConnector in der Exchange-Verwaltungsshell verwenden, verwenden Sie den Parameter Usage mit einem der verfügbaren Werte (z. B -Usage Custom. ), oder den angegebenen Schalter für den Verwendungstyp (z. B -Custom. ).

Sie können den Connectorverwendungstyp nur bei der Erstellung von Empfangsconnectors festlegen. Sobald Sie einen Connector erstellt haben, können Sie im EAC oder mithilfe des Cmdlets Set-ReceiveConnector in der Exchange-Verwaltungsshell die verfügbaren Authentifizierungsmechanismen und Berechtigungsgruppen anpassen.

In der nachfolgenden Tabelle sind die verfügbaren Verwendungstypen beschrieben.

Verwendungstyp Zugewiesene Berechtigungsgruppen Verfügbare Authentifizierungsmechanismen Kommentare
Client Exchange-Benutzer (ExchangeUsers) Transport Layer Security (TLS)
Standardauthentifizierung (BasicAuth)
Anbieten der Standardauthentifizierung nur nach dem Starten von TLS (BasicAuthRequireTLS)
Integrierte Windows-Authentifizierung (Integrated)
Verwendet von POP3- und IMAP4-Clients, die E-Mail-Nachrichten nur über authentifizierte SMTP-Verbindungen übermitteln dürfen.
Wenn Sie einen Empfangsconnector dieses Verwendungstyps im EAC oder in der Exchange-Verwaltungsshell erstellen, können Sie weder die lokalen IP-Adressbindungen noch den TCP-Port auswählen. Standardmäßig ist dieser Verwendungstyp an alle lokalen IPv4- und IPv6-Adressen auf TCP-Port 587 gebunden. Sie können die Bindungen ändern, nachdem Sie den Connector erstellt haben.
Dieser Verwendungstyp steht auf Edge-Transport-Servern nicht zur Verfügung.
Benutzerdefiniert Keine ausgewählt (None) Transport Layer Security (TLS) Verwendet in gesamtstrukturübergreifenden Szenarios, zum Empfang von E-Mails von Drittanbieter-Messagingservern sowie zum externen Relay.
Nachdem Sie einen Empfangsconnector dieses Verwendungstyps erstellt haben, müssen Sie im EAC oder in der Exchange-Verwaltungsshell Berechtigungsgruppen hinzufügen.
Intern Legacy-Exchange-Server (ExchangeLegacyServers)
Exchange-Server (ExchangeServers)
Transport Layer Security (TLS)
Exchange Server-Authentifizierung (ExchangeServers)
Verwendet in gesamtstrukturübergreifenden Szenarien, zum Empfang von E-Mails von früheren Exchange-Versionen, zum Empfang von E-Mails von Drittanbieter-Messagingservern sowie auf Edge-Transport-Servern zum Empfang von ausgehenden E-Mails aus der internen Exchange-Organisation.
Wenn Sie einen Empfangsconnector dieses Verwendungstyps im EAC oder in der Exchange-Verwaltungsshell erstellen, können Sie weder die lokalen IP-Adressbindungen noch den TCP-Port auswählen. Standardmäßig ist ein solcher Connector an alle lokalen IPv4- und IPv6-Adressen auf TCP-Port 25 gebunden. Sie können die Bindungen ändern, nachdem Sie den Connector erstellt haben.
Die ExchangeLegacyServers Berechtigungsgruppe ist auf Edge-Transport-Servern nicht verfügbar.
Internet Anonyme Benutzer (AnonymousUsers) Transport Layer Security (TLS) Verwendet zum Empfang von E-Mails aus dem Internet.
Wenn Sie einen Empfangsconnector dieses Verwendungstyps im EAC oder in der Exchange-Verwaltungsshell erstellen, können Sie die Remote-IP-Adressen nicht auswählen. Standardmäßig nimmt der Connector Remoteverbindungen von allen IPv4-Adressen an (0.0.0.0 bis 255.255.255.255). Sie können die Bindungen ändern, nachdem Sie den Connector erstellt haben.
Partner Partner (Partners) Transport Layer Security (TLS) Verwendet zum Konfigurieren einer Verbindung für sichere Kommunikation mit einem externen Partner (gegenseitige TLS-Authentifizierung, auch Domänensicherheit genannt).

Authentifizierungsmechanismen für Empfangsconnectors

Authentifizierungsmechanismen geben die Anmelde- und Verschlüsselungseinstellungen an, die für eingehende SMTP-Verbindungen verwendet werden. Sie können mehrere Authentifizierungsmechanismen für einen Empfangsconnector konfigurieren. Im EAC sind Authentifizierungsmechanismen auf der Registerkarte Sicherheit in den Eigenschaften des Empfangsconnectors verfügbar. In der Exchange-Verwaltungsshell sind Berechtigungsgruppen im AuthMechanisms-Parameter für die Cmdlets New-ReceiveConnector und Set-ReceiveConnector verfügbar.

In der nachfolgenden Tabelle sind die verfügbaren Authentifizierungsmechanismen beschrieben.

Authentifizierungsmechanismus Beschreibung
Keine ausgewählt (None) Keine Authentifizierung.
Transport Layer Security (TLS) (TLS) In der EHLO-Antwort wird STARTTLS übermittelt. Für TLS-verschlüsselte Verbindungen ist ein Serverzertifikat erforderlich, das den Namen enthält, den der Empfangsconnector in der EHLO-Antwort übermittelt. Weitere Informationen finden Sie unter Ändern des SMTP-Banners für Empfangsconnectors. Andere Exchange-Server in Ihrer Organisation vertrauen dem selbstsignierten Zertifikat des Servers; Clients und externe Server verwenden jedoch in der Regel ein vertrauenswürdiges Drittanbieterzertifikat.
Standardauthentifizierung (BasicAuth) Standardauthentifizierung (Klartext)
Anbieten der Standardauthentifizierung nur nach dem Starten von TLS (BasicAuthRequireTLS) Standardauthentifizierung mit TLS-Verschlüsselung.
Integrierte Windows-Authentifizierung (Integrated) NTLM- und Kerberos-Authentifizierung
Exchange Server-Authentifizierung (ExchangeServer) GSSAPI-Authentifizierung (generische Sicherheitsdienste-API) und gegenseitige GSSAPI-Authentifizierung
Extern gesichert (ExternalAuthoritative) Es wird davon ausgegangen, dass die Verbindung durch einen Sicherheitsmechanismus außerhalb von Exchange abgesichert ist. Bei der Verbindung kann es sich um eine IPsec-Zuordnung (Internetprotokollsicherheit) oder ein virtuelles privates Netzwerk (VPN) handeln. Alternativ können sich die Server in einem vertrauenswürdigen, physisch überwachten Netzwerk befinden.
Für diesen Authentifizierungsmechanismus ist die ExchangeServers Berechtigungsgruppe erforderlich. Diese Kombination aus Authentifizierungsmechanismus und Sicherheitsgruppe ermöglicht die Auflösung der E-Mail-Adressen von anonymen Absendern von Nachrichten, die der Connector empfängt.

Berechtigungsgruppen für Empfangsconnectors

Eine Berechtigungsgruppe ist ein vordefinierter Satz von Berechtigungen, der bekannten Sicherheitsprinzipalen gewährt und einem Empfangsconnector zugewiesen wird. Sicherheitsprinzipale können Benutzerkonten, Computerkonten und Sicherheitsgruppen sein (Objekte, die durch eine Sicherheits-ID oder SID gekennzeichnet sind und denen Berechtigungen zugewiesen werden können). Berechtigungsgruppen definieren, wer den Empfangsconnector verwenden kann, und die Berechtigungen, die sie erhalten. Sie können weder Berechtigungsgruppen erstellen noch die Berechtigungsgruppenmitglieder oder die Standardberechtigungen der Berechtigungsgruppe ändern.

Im EAC finden Sie die Berechtigungsgruppen auf der Registerkarte Sicherheit in den Eigenschaften des betreffenden Empfangsconnectors. In der Exchange-Verwaltungsshell sind Berechtigungsgruppen im Parameter PermissionGroups in den Cmdlets New-ReceiveConnector und Set-ReceiveConnector verfügbar.

In der nachfolgenden Tabelle sind die verfügbaren Berechtigungsgruppen beschrieben.

Berechtigungsgruppe Zugeordnete Sicherheitsprinzipale Gewährte Berechtigungen
Anonyme Benutzer (Anonymous) NT AUTHORITY\ANONYMOUS LOGON ms-Exch-Accept-Headers-Routing
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Submit
Exchange-Benutzer (ExchangeUsers) NT AUTHORITY\Authenticated Users ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Submit
Exchange-Server (ExchangeServers) <Domain>\Exchange Servers
MS Exchange\Edge Transport Servers
MS Exchange\Hub Transport Servers
Hinweis: Diesen Sicherheitsprinzipalen sind auch weitere interne Berechtigungen zugewiesen. Weitere Informationen finden Sie am Ende des Abschnitts Empfangsconnectorberechtigungen.
ms-Exch-Accept-Headers-Forest
ms-Exch-Accept-Headers-Organization
ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
Exchange-Server (ExchangeServers) MS Exchange\Externally Secured Servers ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
s-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
Legacy-Exchange-Server (ExchangeLegacyServers) <Domain>\ExchangeLegacyInterop ms-Exch-Accept-Headers-Routing
ms-Exch-Bypass-Anti-Spam
ms-Exch-Bypass-Message-Size-Limit
ms-Exch-SMTP-Accept-Any-Recipient
ms-Exch-SMTP-Accept-Any-Sender
ms-Exch-SMTP-Accept-Authentication-Flag
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ms-Exch-SMTP-Accept-Exch50
ms-Exch-SMTP-Submit
Partner (Partner) MS Exchange\Partner Servers ms-Exch-Accept-Headers-Routing
ms-Exch-SMTP-Submit

Erklärungen zu den Berechtigungen finden Sie im Abschnitt Empfangsconnectorberechtigungen weiter unten in diesem Artikel.

Empfangsconnectorberechtigungen

In der Regel wenden Sie Berechtigungen über Berechtigungsgruppen auf Empfangsconnectors an. Mit den Cmdlets Add-ADPermission und Remove-ADPermission können Sie jedoch auch granulare Berechtigungen für Empfangsconnectors konfigurieren.

Empfangsconnectorberechtigungen werden Sicherheitsprinzipalen über die Berechtigungsgruppen des Connectors zugewiesen. Wenn ein SMTP-Server oder -Client eine Verbindung zu einem Empfangsconnector aufbaut, bestimmen die Empfangsconnectorberechtigungen, ob die Verbindung angenommen wird und wie Nachrichten verarbeitet werden.

In der nachfolgenden Tabelle sind die verfügbaren Empfangsconnectorberechtigungen beschrieben.

Empfangsconnectorberechtigung Beschreibung
ms-Exch-Accept-Headers-Forest Steuert die Erhaltung von Exchange-Gesamtstruktur-Kopfzeilen in Nachrichten. Die Namen von Gesamtstruktur-Kopfzeilen beginnen mit X-MS-Exchange-Forest-. Wenn diese Berechtigung nicht gewährt wurde, werden alle Gesamtstruktur-Kopfzeilen aus Nachrichten entfernt.
ms-Exch-Accept-Headers-Organization Steuert die Erhaltung von Exchange-Organisationskopfzeilen in Nachrichten. Die Namen von Organisationskopfzeilen beginnen mit X-MS-Exchange-Organization-. Wenn diese Berechtigung nicht gewährt wurde, werden alle Organisationskopfzeilen aus Nachrichten entfernt.
ms-Exch-Accept-Headers-Routing Steuert die Beibehaltung der Header Received und Resent-* in Nachrichten. Wenn diese Berechtigung nicht gewährt wurde, werden alle Kopfzeilen dieser Typen aus Nachrichten entfernt.
ms-Exch-Bypass-Anti-Spam Erlaubt SMTP-Clients oder -Servern, den Antispamfilter zu umgehen.
ms-Exch-Bypass-Message-Size-Limit Erlaubt SMTP-Clients oder -Servern die Übermittlung von Nachrichten, die die für den Empfangsconnector konfigurierte maximale Nachrichtengröße überschreiten.
ms-Exch-SMTP-Accept-Any-Recipient Erlaubt SMTP-Clients oder -Servern, Nachrichten per Relay über den Empfangsconnector zu übermitteln. Wird diese Berechtigung nicht gewährt, nimmt der Empfangsconnector nur Nachrichten an Empfänger in den für die Exchange-Organisation konfigurierten akzeptierten Domänen an.
ms-Exch-SMTP-Accept-Any-Sender Erlaubt SMTP-Clients oder -Servern, die Spoofing-Prüfung der Absenderadresse zu umgehen, die normalerweise festlegt, dass die E-Mail-Adresse des Absenders zu einer der für die Exchange-Organisation konfigurierten akzeptierten Domänen gehören muss.
ms-Exch-SMTP-Accept-Authentication-Flag Steuert, ob Nachrichten von SMTP-Clients oder -Servern als authentifiziert behandelt werden. Wenn diese Berechtigung nicht gewährt wurde, werden Nachrichten von diesen Quellen als externe Nachrichten identifiziert (d. h. als nicht authentifiziert). Diese Einstellung ist wichtig für Verteilergruppen, die so konfiguriert sind, dass sie nur E-Mails von internen Empfängern akzeptieren (z. B. ist der Parameterwert RequireSenderAuthenticationEnabled für die Gruppe $true).
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender Erlaubt Zugriff auf den Empfangsconnector durch Absender, deren E-Mail-Adresse zu einer der für die Exchange-Organisation konfigurierten autorisierenden Domänen gehört.
ms-Exch-SMTP-Accept-Exch50 Ermöglicht SMTP-Clients oder -Servern das Übermitteln von XEXCH50-Befehlen über den Empfangsconnector. Das X-EXCH50 BLOB (Binary Large Object) wurde von älteren Versionen von Exchange (Exchange 2003 und früher) verwendet, um Exchange-Daten in Nachrichten zu speichern (z. B. spam confidence level oder SCL).
ms-Exch-SMTP-Submit Diese Berechtigung ist erforderlich, um Nachrichten an Empfangsconnectors übermitteln zu können. Wenn diese Berechtigung nicht gewährt wurde, schlagen die Befehle MAIL FROM und AUTH fehl.

Hinweise:

  • Zusätzlich zu den dokumentierten Berechtigungen gibt es Berechtigungen, die allen Sicherheitsprinzipalen in der Berechtigungsgruppe Exchange-Server (ExchangeServers) mit Ausnahme MS Exchange\Externally Secured Serverszugewiesen sind. Diese Berechtigungen sind der internen Verwendung durch Microsoft vorbehalten und werden hier lediglich als Referenz aufgeführt.

    • ms-Exch-SMTP-Accept-Xattr

    • ms-Exch-SMTP-Accept-XProxyFrom

    • ms-Exch-SMTP-Accept-XSessionParams

    • ms-Exch-SMTP-Accept-XShadow

    • ms-Exch-SMTP-Accept-XSysProbe

    • ms-Exch-SMTP-Send-XMessageContext-ADRecipientCache

    • ms-Exch-SMTP-Send-XMessageContext-ExtendedProperties

    • ms-Exch-SMTP-Send-XMessageContext-FastIndex

  • Berechtigungsnamen, die enthalten ms-Exch-Accept-Headers- , sind Teil des Headerfirewallfeatures . Weitere Informationen finden Sie unter Kopfzeilenfirewall.

Verfahren für Empfangsconnectorberechtigungen

Verwenden Sie die folgende Syntax in der Exchange-Verwaltungsshell, um die Berechtigungen anzuzeigen, die Sicherheitsprinzipalen auf einem Empfangsconnector zugewiesen sind:

Get-ADPermission -Identity <ReceiveConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Beispielsweise können Sie mit dem folgenden Befehl die Berechtigungen anzeigen, die allen Sicherheitsprinzipalen auf dem Empfangsconnector „Client Frontend Mailbox01" zugewiesen sind:

Get-ADPermission -Identity "Client Frontend Mailbox01" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Führen Sie den folgenden Befehl aus, um die Berechtigungen anzuzeigen, die nur dem Sicherheitsprinzipal NT AUTHORITY\Authenticated Users für den Empfangsconnector mit dem Namen Standardpostfach01 zugewiesen sind:

Get-ADPermission -Identity "Default Mailbox01" -User "NT AUTHORITY\Authenticated Users" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Verwenden Sie die folgende Syntax, um einem Sicherheitsprinzipal auf einem Empfangsconnector Berechtigungen hinzuzufügen:

Add-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Verwenden Sie die folgende Syntax, um Berechtigungen aus einem Sicherheitsprinzipal auf einem Empfangsconnector zu entfernen:

Remove-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...