Empfangen von Connectors in Exchange Server
Exchange-Server verwenden Empfangsconnectors, um eingehende SMTP-Verbindungen von:
Messagingservern außerhalb der Exchange-Organisation
Diensten in der Transportpipeline auf dem lokalen Exchange-Server oder auf Exchange-Remoteservern
E-Mail-Clients, die E-Mails nur über authentifizierte SMTP-Verbindungen senden dürfen
Sie können Empfangsconnectors im Transport-Dienst auf Postfachservern, im Front-End-Transport-Dienst auf Postfachservern und auf Edge-Transport-Servern erstellen. Standardmäßig werden die Empfangsconnectors, die für den eingehenden E-Mail-Fluss erforderlich sind, automatisch erstellt, wenn Sie einen Exchange-Postfachserver installieren und wenn Sie einen Edge-Transport-Server für Ihre Exchange-Organisation abonnieren.
Ein Empfangsconnector wird dem Postfachserver oder Edge-Transport-Server zugeordnet, auf dem er erstellt wurde, und legt fest, wie dieser Server auf SMTP-Verbindungen lauscht. Auf Postfachservern werden Empfangsconnectors in Active Directory als untergeordnetes Objekt des Servers gespeichert. Auf Edge-Transport-Servern wird der Empfangsconnector in Active Directory Lightweight Directory Services (AD LDS) gespeichert.
Hier eine Liste der wichtigen Einstellungen auf Empfangsconnectors:
Lokale Adapterbindungen: Konfigurieren Sie die Kombination aus lokalen IP-Adressen und TCP-Ports, die der Empfangsconnector zum Akzeptieren von Verbindungen verwendet.
Remotenetzwerkeinstellungen: Konfigurieren Sie die Quell-IP-Adressen, an denen der Empfangsconnector auf Verbindungen lauscht.
Verwendungstyp: Konfigurieren Sie die Standardberechtigungsgruppen und Smarthost-Authentifizierungsmechanismen für den Empfangsconnector.
Berechtigungsgruppen: Konfigurieren Sie, wer den Empfangsconnector verwenden darf, und die Berechtigungen, die sie erhalten.
Empfangsconnectors lauschen auf eingehende Verbindungen, die ihren Konfigurationseinstellungen entsprechen. Jeder Empfangsconnector auf einem Exchange-Server verwendet eine eindeutige Kombination aus lokalen IP-Adressbindungen, TCP-Ports und Remote-IP-Adressbereichen, die definiert, ob und wie Verbindungen von SMTP-Clients oder -Servern angenommen werden.
Obwohl die Standardempfangsconnectors für die meisten Anwendungsfälle genügen, können Sie für spezifische Szenarien benutzerdefinierte Empfangsconnectors erstellen. Hier zwei Beispielszenarien:
Anwenden spezieller Eigenschaften auf eine E-Mail-Quelle (z. B. größere maximale Nachrichtengröße, mehr Empfänger pro Nachricht oder mehr gleichzeitige eingehende Verbindungen)
Annehmen verschlüsselter E-Mails unter Verwendung eines spezifischen TLS-Zertifikats
Auf Postfachservern können Sie Empfangsconnectors im Exchange-Verwaltungskonsole (EAC) oder in der Exchange-Verwaltungsshell erstellen und verwalten. Auf Edge-Transport-Servern können Sie nur die Exchange-Verwaltungsshell verwenden.
Empfangen von Connectoränderungen in Exchange Server
Dies sind die wichtigsten Änderungen an Empfangsconnectors in Exchange 2016 und Exchange 2019 im Vergleich zu Exchange 2010:
Mit dem Parameter TlsCertificateName können Sie den Zertifikataussteller und den Zertifikatantragsteller angeben. Dadurch wird das Risiko für gefälschte Zertifikate minimiert.
Mit dem Parameter TransportRole können Sie zwischen Front-End-Connectors (Clientzugriff) und Back-End-Connectors auf Postfachservern unterscheiden.
Während der Installation erstellte Standardempfangsconnectors
Bei der Installation von Exchange werden standardmäßig mehrere verschiedene Empfangsconnectors erstellt. Diese Connectors sind standardmäßig aktiviert; die Protokollierung ist für die meisten von ihnen standardmäßig deaktiviert. Weitere Informationen zur Protokollierung auf Empfangsconnectors finden Sie unter Protokollierung.
Standardempfangsconnectors im Front-End-Transport-Dienst auf Postfachservern
Die Hauptfunktion von Empfangsconnectors im Front-End-Transport-Dienst ist die Annahme von anonymen und authentifizierten SMTP-Verbindungen zu Ihrer Exchange-Organisation. Der Wert der TransportRole-Eigenschaft für diese Connectors ist FrontendTransport. Der Front-End-Transportdienst leitet diese Verbindungen für die Kategorisierung und das Routing an das endgültige Ziel an den Transportdienst weiter oder leitet sie weiter.
In der nachfolgenden Tabelle sind die Standardempfangsconnectors beschrieben, die im Front-End-Transport-Dienst auf Postfachservern erstellt werden.
| Name | Beschreibung | Protokollierung | TCP-Port | Lokale IP-Adressbindungen | Remote-IP-Adressbereiche | Authentifizierungsmechanismen | Berechtigungsgruppen |
|---|---|---|---|---|---|---|---|
| Client-Front-End <ServerName> | Nimmt Verbindungen von authentifizierten SMTP-Clients an. | Keine | 587 | Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) |
{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) |
TLS BasicAuth BasicAuthRequireTLS Integrated |
ExchangeUsers |
| Standard-Front-End-ServerName <> | Nimmt anonyme Verbindungen von externen SMTP-Servern an. Dieser Connector ist der gängige Eintrittspunkt, über den Nachrichten in Ihre Exchange-Organisation fließen. | Ausführlich | 25 | Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) |
{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) |
TLS BasicAuth BasicAuthRequireTLS ExchangeServer Integrated |
AnonymousUsers ExchangeLegacyServers ExchangeServers |
| Ausgehender Proxy-Front-End-ServerName <> | Nimmt authentifizierte Verbindungen vom Transport-Dienst auf Postfachservern an. Die Verbindungen sind mit dem selbstsignierten Zertifikat des Exchange-Servers verschlüsselt. Dieser Connector wird nur verwendet, wenn der Sendeconnector als Proxy zur Weiterleitung ausgehender E-Mails konfiguriert ist. Weitere Informationen finden Sie unter Configure Send connectors to proxy outbound mail. |
Keine | 717 | Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) |
{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) |
TLS BasicAuth BasicAuthRequireTLS ExchangeServer Integrated |
ExchangeServers |
Standardempfangsconnectors im Transport-Dienst auf Postfachservern
Die Hauptfunktion von Empfangsconnectors im Transport-Dienst ist die Annahme authentifizierter und verschlüsselter SMTP-Verbindungen von anderen Transport-Diensten auf dem lokalen Postfachserver oder auf Remotepostfachservern in der Organisation. Der Wert der TransportRole-Eigenschaft für diese Connectors ist HubTransport. Clients verbinden sich nicht direkt mit diesen Connectors.
In der nachfolgenden Tabelle sind die Standardempfangsconnectors beschrieben, die im Transport-Dienst auf Postfachservern erstellt werden.
| Name | Beschreibung | Protokollierung | TCP-Port | Lokale IP-Adressbindungen | Remote-IP-Adressbereiche | Authentifizierungsmechanismen | Berechtigungsgruppen |
|---|---|---|---|---|---|---|---|
| Clientproxy-Servername<> | Nimmt authentifizierte Clientverbindungen an, die per Proxy über den Front-End-Transport-Dienst weitergeleitet werden. | Keine | 465 | Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) |
{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) |
TLS BasicAuth BasicAuthRequireTLS ExchangeServer Integrated |
ExchangeServers ExchangeUsers |
| Standardservername<> | Nimmt authentifizierte Verbindungen an vom:
Die Verbindungen sind mit dem selbstsignierten Zertifikat des Exchange-Servers verschlüsselt. |
Keine | 2525 | Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) |
{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) |
TLS BasicAuth ExchangeServer Integrated |
ExchangeLegacyServers ExchangeServers ExchangeUsers |
Standardempfangsconnectors im Transport-Dienst auf Edge-Transport-Servern
Die Hauptfunktion des Empfangsconnectors auf Edge-Transport-Servern ist die Annahme von E-Mails aus dem Internet. Wenn eine Exchange-Organisation den Edge-Transport-Server abonniert, werden für den Connector automatisch alle Berechtigungen und Authentifizierungsmechanismen konfiguriert, die für den bidirektionalen Nachrichtenfluss zwischen dem Internet und der Organisation erforderlich sind. Weitere Informationen finden Sie unter Edge-Transport-Server.
In der nachfolgenden Tabelle ist der Standardempfangsconnector beschrieben, der im Transport-Dienst auf Edge-Transport-Servern erstellt wird.
| Name | Beschreibung | Protokollierung | TCP-Port | Lokale IP-Adressbindungen | Remote-IP-Adressbereiche | Authentifizierungsmechanismen | Berechtigungsgruppen |
|---|---|---|---|---|---|---|---|
| Standardmäßiger interner Empfangsconnector <ServerName> | Nimmt anonyme Verbindungen von externen SMTP-Servern an. | Keine | 25 | Alle verfügbaren IPv4-Adressen (0.0.0.0) |
{0.0.0.0-255.255.255.255} (alle IPv4-Adressen) |
TLS ExchangeServer |
AnonymousUsers ExchangeServers Partners |
Implizite Empfangsconnectors im Postfachtransport-Zustellungsdienst auf Postfachservern
Zusätzlich zu den Empfangsconnectors, die während der Installation von Exchange-Servern erstellt werden, gibt es einen speziellen impliziten Empfangsconnector im Postfachtransport-Übermittlungsdienst auf Postfachservern. Dieser implizite Empfangsconnector ist automatisch verfügbar, nicht sichtbar und muss nicht verwaltet werden. Die Hauptfunktion dieses Connectors ist die Annahme von E-Mails vom Transport-Dienst auf dem lokalen Postfachserver oder den Remotepostfachservern in der Organisation.
In der nachfolgenden Tabelle ist der implizite Empfangsconnector im Postfachtransport-Zustellungsdienst auf Postfachservern beschrieben.
| Name | Beschreibung | Protokollierung | TCP-Port | Lokale IP-Adressbindungen | Remote-IP-Adressbereiche | Authentifizierungsmechanismen | Berechtigungsgruppen |
|---|---|---|---|---|---|---|---|
| Mailbox delivery Receive connector | Nimmt authentifizierte Verbindungen vom Transport-Dienst auf dem lokalen Postfachserver oder Remotepostfachservern an. | Keine | 475 | Alle verfügbaren IPv4- und IPv6-Adressen (0.0.0.0 und [::]:) |
{::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255} (alle IPv4- und IPv6-Adressen) |
ExchangeServer |
ExchangeServers |
Empfangsconnectors und lokale Adressbindungen
Lokale Adressbindungen legen fest, dass der Empfangsconnector jeweils nur auf einer bestimmten lokalen IP-Adresse (Netzwerkadapter) und einem bestimmten TCP-Port auf SMTP-Verbindungen lauscht. In der Regel wird für jeden Empfangsconnector auf einem Server eine eindeutige Kombination aus lokaler IP-Adresse und TCP-Port festgelegt. Es kann jedoch auch mehreren Empfangsconnectors ein- und dieselbe Kombination aus lokaler IP-Adresse und TCP-Port zugewiesen werden, sofern die Remote-IP-Adressbereiche unterschiedlich sind. Weitere Informationen finden Sie im Abschnitt Empfangsconnectors und Remoteadressen.
Standardmäßig lauscht ein Empfangsconnector auf Verbindungen an allen verfügbaren lokalen IPv4- und IPv6-Adressen (0.0.0.0 und [::]:). Verfügt der Server über mehrere Netzwerkadapter, können Sie den Empfangsconnector so konfigurieren, dass er nur Verbindungen von den für einen spezifischen Netzwerkadapter konfigurierten IP-Adressen annimmt. Beispiel: Sie können auf einem Exchange-Server mit Internetanbindung einen Empfangsconnector konfigurieren, der an die IP-Adresse des externen Netzwerkadapters gebunden ist und damit nur auf dieser Adresse auf anonyme Internetverbindungen lauscht. Zusätzlich können Sie einen separaten Empfangsconnector konfigurieren, der an die IP-Adresse des internen Netzwerkadapters gebunden ist und auf authentifizierte Verbindungen von internen Exchange-Servern lauscht.
Hinweis
Wenn Sie einen Empfangsconnector an eine bestimmte IP-Adresse binden, müssen Sie sicherstellen, dass diese Adresse auf einem lokalen Netzwerkadapter konfiguriert ist. Wenn Sie eine ungültige lokale IP-Adresse angeben, kann der Microsoft Exchange-Transport-Dienst beim Neustart des Servers oder Diensts möglicherweise nicht starten.
Im EAC verwenden Sie das Feld Netzwerkadapterbindungen , um die lokalen Adressbindungen im neuen Empfangsconnector-Assistenten oder auf der Registerkarte Bereich in den Eigenschaften vorhandener Empfangsconnectors zu konfigurieren. In der Exchange-Verwaltungsshell verwenden Sie den Parameter Bindings für die Cmdlets New-ReceiveConnector und Set-ReceiveConnector . Je nach ausgewähltem Verwendungstyp können Sie die lokalen Adressbindungen möglicherweise nicht konfigurieren, wenn Sie den Empfangsconnector erstellen, aber Sie können sie ändern, nachdem Sie den Empfangsconnector erstellt haben. Die betroffenen Nutzungstypen werden im Abschnitt Nutzungstypen des Empfangsconnectors identifiziert.
Empfangsconnectors und Remoteadressen
Remoteadressen definieren, von wo der Empfangsconnector SMTP-Verbindungen empfängt. Standardmäßig lauschen Empfangsconnectors auf Verbindungen von allen IPv4- und IPv6-Adressen (0.0.0.0-255.255.255 und ::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). Wenn Sie einen benutzerdefinierten Empfangsconnector zum Empfangen von E-Mails aus einer bestimmten Quelle erstellen, konfigurieren Sie den Connector so, dass er nur auf Verbindungen aus den spezifischen IP-Adressen oder Adressbereichen lauscht.
Mehrere Empfangsconnectors auf ein und demselben Server können überlappende Remote-IP-Adressbereiche haben, sofern ein IP-Adressbereich vollständig von einem anderen IP-Adressbereich abgedeckt wird. Wenn Remote-IP-Adressbereiche sich überlappen, wird der Remote-IP-Adressbereich verwendet, der die höchste Übereinstimmung mit der IP-Adresse des Servers hat, von dem die Verbindung ausgeht.
Nehmen wir als Beispiel die folgenden Empfangsconnectors im Front-End-Transport-Dienst auf dem Server „Exchange01":
Connectorname: Client-Front-End Exchange01
Netzwerkadapterbindungen: Alle verfügbaren IPv4 an Port 25.
Remotenetzwerkeinstellungen: 0.0.0.0-255.255.255.255
Connectorname: Benutzerdefinierter Connector A
Netzwerkadapterbindungen: Alle verfügbaren IPv4 an Port 25.
Remotenetzwerkeinstellungen: 192.168.1.0-192.168.1.255
Connectorname: Benutzerdefinierter Connector B
Netzwerkadapterbindungen: Alle verfügbaren IPv4 an Port 25.
Remotenetzwerkeinstellungen: 192.168.1.75
SMTP-Verbindungen von 192.168.1.75 werden von „Custom Connector B" angenommen, da diese IP-Adresse die größte Übereinstimmung mit dem IP-Adressbereich dieses Connectors hat.
SMTP-Verbindungen von 192.168.1.100 werden von „Custom Connector A" angenommen, da diese IP-Adresse die größte Übereinstimmung mit dem IP-Adressbereich dieses Connectors hat.
Konfigurieren können Sie die Remote-IP-Adressen über das EAC im Feld Remote network settings im Assistenten zur Erstellung neuer Empfangsconnectors oder auf der Registerkarte Bereichsdefinition in den Eigenschaften eines bereits vorhandenen Empfangsconnectors. In der Exchange-Verwaltungsshell verwenden Sie den Parameter RemoteIPRanges für die Cmdlets New-ReceiveConnector und Set-ReceiveConnector .
Empfangsconnector-Verwendungstypen
Der Verwendungstyp bestimmt die Standardsicherheitseinstellungen eines Empfangsconnectors. Der Verwendungstyp legt fest, wer zur Verwendung des Connectors autorisiert ist, welche Berechtigungen jeweils gewährt werden und welche Authentifizierungsmethoden unterstützt werden.
Wenn Sie einen Empfangsconnector über das EAC erstellen, werden Sie vom Assistenten aufgefordert, den Wert Typ des Connectors festzulegen. Wenn Sie das Cmdlet New-ReceiveConnector in der Exchange-Verwaltungsshell verwenden, verwenden Sie den Parameter Usage mit einem der verfügbaren Werte (z. B -Usage Custom. ), oder den angegebenen Schalter für den Verwendungstyp (z. B -Custom. ).
Sie können den Connectorverwendungstyp nur bei der Erstellung von Empfangsconnectors festlegen. Sobald Sie einen Connector erstellt haben, können Sie im EAC oder mithilfe des Cmdlets Set-ReceiveConnector in der Exchange-Verwaltungsshell die verfügbaren Authentifizierungsmechanismen und Berechtigungsgruppen anpassen.
In der nachfolgenden Tabelle sind die verfügbaren Verwendungstypen beschrieben.
| Verwendungstyp | Zugewiesene Berechtigungsgruppen | Verfügbare Authentifizierungsmechanismen | Kommentare |
|---|---|---|---|
| Client |
Exchange-Benutzer (ExchangeUsers) |
Transport Layer Security (TLS)Standardauthentifizierung ( BasicAuth)Anbieten der Standardauthentifizierung nur nach dem Starten von TLS ( BasicAuthRequireTLS)Integrierte Windows-Authentifizierung ( Integrated) |
Verwendet von POP3- und IMAP4-Clients, die E-Mail-Nachrichten nur über authentifizierte SMTP-Verbindungen übermitteln dürfen. Wenn Sie einen Empfangsconnector dieses Verwendungstyps im EAC oder in der Exchange-Verwaltungsshell erstellen, können Sie weder die lokalen IP-Adressbindungen noch den TCP-Port auswählen. Standardmäßig ist dieser Verwendungstyp an alle lokalen IPv4- und IPv6-Adressen auf TCP-Port 587 gebunden. Sie können die Bindungen ändern, nachdem Sie den Connector erstellt haben. Dieser Verwendungstyp steht auf Edge-Transport-Servern nicht zur Verfügung. |
| Benutzerdefiniert | Keine ausgewählt (None) |
Transport Layer Security (TLS) |
Verwendet in gesamtstrukturübergreifenden Szenarios, zum Empfang von E-Mails von Drittanbieter-Messagingservern sowie zum externen Relay. Nachdem Sie einen Empfangsconnector dieses Verwendungstyps erstellt haben, müssen Sie im EAC oder in der Exchange-Verwaltungsshell Berechtigungsgruppen hinzufügen. |
| Intern |
Legacy-Exchange-Server (ExchangeLegacyServers)Exchange-Server ( ExchangeServers) |
Transport Layer Security (TLS)Exchange Server-Authentifizierung ( ExchangeServers) |
Verwendet in gesamtstrukturübergreifenden Szenarien, zum Empfang von E-Mails von früheren Exchange-Versionen, zum Empfang von E-Mails von Drittanbieter-Messagingservern sowie auf Edge-Transport-Servern zum Empfang von ausgehenden E-Mails aus der internen Exchange-Organisation. Wenn Sie einen Empfangsconnector dieses Verwendungstyps im EAC oder in der Exchange-Verwaltungsshell erstellen, können Sie weder die lokalen IP-Adressbindungen noch den TCP-Port auswählen. Standardmäßig ist ein solcher Connector an alle lokalen IPv4- und IPv6-Adressen auf TCP-Port 25 gebunden. Sie können die Bindungen ändern, nachdem Sie den Connector erstellt haben. Die ExchangeLegacyServers Berechtigungsgruppe ist auf Edge-Transport-Servern nicht verfügbar. |
| Internet |
Anonyme Benutzer (AnonymousUsers) |
Transport Layer Security (TLS) |
Verwendet zum Empfang von E-Mails aus dem Internet. Wenn Sie einen Empfangsconnector dieses Verwendungstyps im EAC oder in der Exchange-Verwaltungsshell erstellen, können Sie die Remote-IP-Adressen nicht auswählen. Standardmäßig nimmt der Connector Remoteverbindungen von allen IPv4-Adressen an (0.0.0.0 bis 255.255.255.255). Sie können die Bindungen ändern, nachdem Sie den Connector erstellt haben. |
| Partner |
Partner (Partners) |
Transport Layer Security (TLS) |
Verwendet zum Konfigurieren einer Verbindung für sichere Kommunikation mit einem externen Partner (gegenseitige TLS-Authentifizierung, auch Domänensicherheit genannt). |
Authentifizierungsmechanismen für Empfangsconnectors
Authentifizierungsmechanismen geben die Anmelde- und Verschlüsselungseinstellungen an, die für eingehende SMTP-Verbindungen verwendet werden. Sie können mehrere Authentifizierungsmechanismen für einen Empfangsconnector konfigurieren. Im EAC sind Authentifizierungsmechanismen auf der Registerkarte Sicherheit in den Eigenschaften des Empfangsconnectors verfügbar. In der Exchange-Verwaltungsshell sind Berechtigungsgruppen im AuthMechanisms-Parameter für die Cmdlets New-ReceiveConnector und Set-ReceiveConnector verfügbar.
In der nachfolgenden Tabelle sind die verfügbaren Authentifizierungsmechanismen beschrieben.
| Authentifizierungsmechanismus | Beschreibung |
|---|---|
Keine ausgewählt (None) |
Keine Authentifizierung. |
Transport Layer Security (TLS) (TLS) |
In der EHLO-Antwort wird STARTTLS übermittelt. Für TLS-verschlüsselte Verbindungen ist ein Serverzertifikat erforderlich, das den Namen enthält, den der Empfangsconnector in der EHLO-Antwort übermittelt. Weitere Informationen finden Sie unter Ändern des SMTP-Banners für Empfangsconnectors. Andere Exchange-Server in Ihrer Organisation vertrauen dem selbstsignierten Zertifikat des Servers; Clients und externe Server verwenden jedoch in der Regel ein vertrauenswürdiges Drittanbieterzertifikat. |
Standardauthentifizierung (BasicAuth) |
Standardauthentifizierung (Klartext) |
Anbieten der Standardauthentifizierung nur nach dem Starten von TLS (BasicAuthRequireTLS) |
Standardauthentifizierung mit TLS-Verschlüsselung. |
Integrierte Windows-Authentifizierung (Integrated) |
NTLM- und Kerberos-Authentifizierung |
Exchange Server-Authentifizierung (ExchangeServer) |
GSSAPI-Authentifizierung (generische Sicherheitsdienste-API) und gegenseitige GSSAPI-Authentifizierung |
Extern gesichert (ExternalAuthoritative) |
Es wird davon ausgegangen, dass die Verbindung durch einen Sicherheitsmechanismus außerhalb von Exchange abgesichert ist. Bei der Verbindung kann es sich um eine IPsec-Zuordnung (Internetprotokollsicherheit) oder ein virtuelles privates Netzwerk (VPN) handeln. Alternativ können sich die Server in einem vertrauenswürdigen, physisch überwachten Netzwerk befinden. Für diesen Authentifizierungsmechanismus ist die ExchangeServers Berechtigungsgruppe erforderlich. Diese Kombination aus Authentifizierungsmechanismus und Sicherheitsgruppe ermöglicht die Auflösung der E-Mail-Adressen von anonymen Absendern von Nachrichten, die der Connector empfängt. |
Berechtigungsgruppen für Empfangsconnectors
Eine Berechtigungsgruppe ist ein vordefinierter Satz von Berechtigungen, der bekannten Sicherheitsprinzipalen gewährt und einem Empfangsconnector zugewiesen wird. Sicherheitsprinzipale können Benutzerkonten, Computerkonten und Sicherheitsgruppen sein (Objekte, die durch eine Sicherheits-ID oder SID gekennzeichnet sind und denen Berechtigungen zugewiesen werden können). Berechtigungsgruppen definieren, wer den Empfangsconnector verwenden kann, und die Berechtigungen, die sie erhalten. Sie können weder Berechtigungsgruppen erstellen noch die Berechtigungsgruppenmitglieder oder die Standardberechtigungen der Berechtigungsgruppe ändern.
Im EAC finden Sie die Berechtigungsgruppen auf der Registerkarte Sicherheit in den Eigenschaften des betreffenden Empfangsconnectors. In der Exchange-Verwaltungsshell sind Berechtigungsgruppen im Parameter PermissionGroups in den Cmdlets New-ReceiveConnector und Set-ReceiveConnector verfügbar.
In der nachfolgenden Tabelle sind die verfügbaren Berechtigungsgruppen beschrieben.
| Berechtigungsgruppe | Zugeordnete Sicherheitsprinzipale | Gewährte Berechtigungen |
|---|---|---|
Anonyme Benutzer (Anonymous) |
NT AUTHORITY\ANONYMOUS LOGON |
ms-Exch-Accept-Headers-Routing ms-Exch-SMTP-Accept-Any-Sender ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ms-Exch-SMTP-Submit |
Exchange-Benutzer (ExchangeUsers) |
NT AUTHORITY\Authenticated Users |
ms-Exch-Accept-Headers-Routing ms-Exch-Bypass-Anti-Spam ms-Exch-SMTP-Accept-Any-Recipient ms-Exch-SMTP-Submit |
Exchange-Server (ExchangeServers) |
<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers Hinweis: Diesen Sicherheitsprinzipalen sind auch weitere interne Berechtigungen zugewiesen. Weitere Informationen finden Sie am Ende des Abschnitts Empfangsconnectorberechtigungen. |
ms-Exch-Accept-Headers-Forest ms-Exch-Accept-Headers-Organization ms-Exch-Accept-Headers-Routing ms-Exch-Bypass-Anti-Spam ms-Exch-Bypass-Message-Size-Limit ms-Exch-SMTP-Accept-Any-Recipient ms-Exch-SMTP-Accept-Any-Sender ms-Exch-SMTP-Accept-Authentication-Flag ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ms-Exch-SMTP-Accept-Exch50 ms-Exch-SMTP-Submit |
Exchange-Server (ExchangeServers) |
MS Exchange\Externally Secured Servers |
ms-Exch-Accept-Headers-Routing ms-Exch-Bypass-Anti-Spam ms-Exch-Bypass-Message-Size-Limit s-Exch-SMTP-Accept-Any-Recipient ms-Exch-SMTP-Accept-Any-Sender ms-Exch-SMTP-Accept-Authentication-Flag ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ms-Exch-SMTP-Accept-Exch50 ms-Exch-SMTP-Submit |
Legacy-Exchange-Server (ExchangeLegacyServers) |
<Domain>\ExchangeLegacyInterop |
ms-Exch-Accept-Headers-Routing ms-Exch-Bypass-Anti-Spam ms-Exch-Bypass-Message-Size-Limit ms-Exch-SMTP-Accept-Any-Recipient ms-Exch-SMTP-Accept-Any-Sender ms-Exch-SMTP-Accept-Authentication-Flag ms-Exch-SMTP-Accept-Authoritative-Domain-Sender ms-Exch-SMTP-Accept-Exch50 ms-Exch-SMTP-Submit |
Partner (Partner) |
MS Exchange\Partner Servers |
ms-Exch-Accept-Headers-Routing ms-Exch-SMTP-Submit |
Erklärungen zu den Berechtigungen finden Sie im Abschnitt Empfangsconnectorberechtigungen weiter unten in diesem Artikel.
Empfangsconnectorberechtigungen
In der Regel wenden Sie Berechtigungen über Berechtigungsgruppen auf Empfangsconnectors an. Mit den Cmdlets Add-ADPermission und Remove-ADPermission können Sie jedoch auch granulare Berechtigungen für Empfangsconnectors konfigurieren.
Empfangsconnectorberechtigungen werden Sicherheitsprinzipalen über die Berechtigungsgruppen des Connectors zugewiesen. Wenn ein SMTP-Server oder -Client eine Verbindung zu einem Empfangsconnector aufbaut, bestimmen die Empfangsconnectorberechtigungen, ob die Verbindung angenommen wird und wie Nachrichten verarbeitet werden.
In der nachfolgenden Tabelle sind die verfügbaren Empfangsconnectorberechtigungen beschrieben.
| Empfangsconnectorberechtigung | Beschreibung |
|---|---|
ms-Exch-Accept-Headers-Forest |
Steuert die Erhaltung von Exchange-Gesamtstruktur-Kopfzeilen in Nachrichten. Die Namen von Gesamtstruktur-Kopfzeilen beginnen mit X-MS-Exchange-Forest-. Wenn diese Berechtigung nicht gewährt wurde, werden alle Gesamtstruktur-Kopfzeilen aus Nachrichten entfernt. |
ms-Exch-Accept-Headers-Organization |
Steuert die Erhaltung von Exchange-Organisationskopfzeilen in Nachrichten. Die Namen von Organisationskopfzeilen beginnen mit X-MS-Exchange-Organization-. Wenn diese Berechtigung nicht gewährt wurde, werden alle Organisationskopfzeilen aus Nachrichten entfernt. |
ms-Exch-Accept-Headers-Routing |
Steuert die Beibehaltung der Header Received und Resent-* in Nachrichten. Wenn diese Berechtigung nicht gewährt wurde, werden alle Kopfzeilen dieser Typen aus Nachrichten entfernt. |
ms-Exch-Bypass-Anti-Spam |
Erlaubt SMTP-Clients oder -Servern, den Antispamfilter zu umgehen. |
ms-Exch-Bypass-Message-Size-Limit |
Erlaubt SMTP-Clients oder -Servern die Übermittlung von Nachrichten, die die für den Empfangsconnector konfigurierte maximale Nachrichtengröße überschreiten. |
ms-Exch-SMTP-Accept-Any-Recipient |
Erlaubt SMTP-Clients oder -Servern, Nachrichten per Relay über den Empfangsconnector zu übermitteln. Wird diese Berechtigung nicht gewährt, nimmt der Empfangsconnector nur Nachrichten an Empfänger in den für die Exchange-Organisation konfigurierten akzeptierten Domänen an. |
ms-Exch-SMTP-Accept-Any-Sender |
Erlaubt SMTP-Clients oder -Servern, die Spoofing-Prüfung der Absenderadresse zu umgehen, die normalerweise festlegt, dass die E-Mail-Adresse des Absenders zu einer der für die Exchange-Organisation konfigurierten akzeptierten Domänen gehören muss. |
ms-Exch-SMTP-Accept-Authentication-Flag |
Steuert, ob Nachrichten von SMTP-Clients oder -Servern als authentifiziert behandelt werden. Wenn diese Berechtigung nicht gewährt wurde, werden Nachrichten von diesen Quellen als externe Nachrichten identifiziert (d. h. als nicht authentifiziert). Diese Einstellung ist wichtig für Verteilergruppen, die so konfiguriert sind, dass sie nur E-Mails von internen Empfängern akzeptieren (z. B. ist der Parameterwert RequireSenderAuthenticationEnabled für die Gruppe $true). |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
Erlaubt Zugriff auf den Empfangsconnector durch Absender, deren E-Mail-Adresse zu einer der für die Exchange-Organisation konfigurierten autorisierenden Domänen gehört. |
ms-Exch-SMTP-Accept-Exch50 |
Ermöglicht SMTP-Clients oder -Servern das Übermitteln von XEXCH50-Befehlen über den Empfangsconnector. Das X-EXCH50 BLOB (Binary Large Object) wurde von älteren Versionen von Exchange (Exchange 2003 und früher) verwendet, um Exchange-Daten in Nachrichten zu speichern (z. B. spam confidence level oder SCL). |
ms-Exch-SMTP-Submit |
Diese Berechtigung ist erforderlich, um Nachrichten an Empfangsconnectors übermitteln zu können. Wenn diese Berechtigung nicht gewährt wurde, schlagen die Befehle MAIL FROM und AUTH fehl. |
Hinweise:
Zusätzlich zu den dokumentierten Berechtigungen gibt es Berechtigungen, die allen Sicherheitsprinzipalen in der Berechtigungsgruppe Exchange-Server (
ExchangeServers) mit AusnahmeMS Exchange\Externally Secured Serverszugewiesen sind. Diese Berechtigungen sind der internen Verwendung durch Microsoft vorbehalten und werden hier lediglich als Referenz aufgeführt.ms-Exch-SMTP-Accept-Xattrms-Exch-SMTP-Accept-XProxyFromms-Exch-SMTP-Accept-XSessionParamsms-Exch-SMTP-Accept-XShadowms-Exch-SMTP-Accept-XSysProbems-Exch-SMTP-Send-XMessageContext-ADRecipientCachems-Exch-SMTP-Send-XMessageContext-ExtendedPropertiesms-Exch-SMTP-Send-XMessageContext-FastIndex
Berechtigungsnamen, die enthalten
ms-Exch-Accept-Headers-, sind Teil des Headerfirewallfeatures . Weitere Informationen finden Sie unter Kopfzeilenfirewall.
Verfahren für Empfangsconnectorberechtigungen
Verwenden Sie die folgende Syntax in der Exchange-Verwaltungsshell, um die Berechtigungen anzuzeigen, die Sicherheitsprinzipalen auf einem Empfangsconnector zugewiesen sind:
Get-ADPermission -Identity <ReceiveConnector> [-User <SecurityPrincipal>] | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Beispielsweise können Sie mit dem folgenden Befehl die Berechtigungen anzeigen, die allen Sicherheitsprinzipalen auf dem Empfangsconnector „Client Frontend Mailbox01" zugewiesen sind:
Get-ADPermission -Identity "Client Frontend Mailbox01" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Führen Sie den folgenden Befehl aus, um die Berechtigungen anzuzeigen, die nur dem Sicherheitsprinzipal NT AUTHORITY\Authenticated Users für den Empfangsconnector mit dem Namen Standardpostfach01 zugewiesen sind:
Get-ADPermission -Identity "Default Mailbox01" -User "NT AUTHORITY\Authenticated Users" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights
Verwenden Sie die folgende Syntax, um einem Sicherheitsprinzipal auf einem Empfangsconnector Berechtigungen hinzuzufügen:
Add-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...
Verwenden Sie die folgende Syntax, um Berechtigungen aus einem Sicherheitsprinzipal auf einem Empfangsconnector zu entfernen:
Remove-ADPermission -Identity <ReceiveConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...