Grundlegendes zu Empfangsconnectors
Gilt für: Exchange Server 2010
Letztes Änderungsdatum des Themas: 2010-01-25
Empfangsconnectors werden auf Computern konfiguriert, auf denen Microsoft Exchange Server 2010 ausgeführt wird und auf denen die Hub-Transport- oder Edge-Transport-Serverrolle installiert ist. Empfangsconnectors fungieren als logische Gateways, über die alle eingehenden Nachrichten empfangen werden. Dieses Thema enthält einen Überblick über Empfangsconnectors. Darüber hinaus wird erläutert, welche Auswirkungen deren Konfiguration auf die jeweilige Nachrichtenverarbeitung hat.
Empfangsconnectors – Überblick
Exchange 2010-Transportserver benötigen zum Empfangen von Nachrichten aus dem Internet, von E-Mail-Clients und anderen E-Mail-Servern Empfangsconnectors. Ein Empfangsconnector steuert die eingehenden Verbindungen zur Exchange-Organisation. Die für die interne Nachrichtenübermittlung erforderlichen Empfangsconnectors werden standardmäßig bei der Installation der Hub-Transport-Serverrolle erstellt. Der Empfangsconnector, der E-Mail-Nachrichten aus dem Internet und von Hub-Transport-Servern empfangen kann, wird automatisch erstellt, wenn die Edge-Transport-Serverrolle installiert wird. Die End-to-End-Nachrichtenübermittlung ist aber erst möglich, nachdem der Edge-Transport-Server mithilfe des Edge-Abonnementprozesses für den Active Directory-Standort abonniert wurde. In anderen Szenarien, wie z. B. einem mit dem Internet verbundenen Hub-Transport-Server oder einem nicht abonnierten Edge-Transport-Server, ist eine manuelle Connectorkonfiguration erforderlich, um die End-to-End-Nachrichtenübermittlung herzustellen.
In Exchange 2010 ist der Empfangsconnector ein Empfangslistener. Dies bedeutet, dass der Empfangsconnector eingehende Verbindungen überwacht, die seinen Einstellungen entsprechen. Ein Empfangsconnector überwacht Verbindungen, die über eine bestimmte lokale IP-Adresse/einen Port und von einem angegebenen IP-Adressbereich empfangen werden. Sie erstellen Empfangsconnectors, wenn Sie steuern möchten, welche Server Nachrichten von einer bestimmten IP-Adresse oder einem IP-Adressbereich empfangen sollen und wenn Sie spezielle Connectoreigenschaften für Nachrichten konfigurieren möchten, die von einer bestimmten IP-Adresse empfangen werden, wie Nachrichtengröße, mehr Empfänger pro Nachricht oder mehr eingehende Verbindungen.
Empfangsconnectors sind auf einen einzelnen Server beschränkt und bestimmen, wie dieser spezielle Server Verbindungen überwacht. Wenn Sie einen Empfangsconnector auf einem Hub-Transport-Server erstellen, wird der Empfangsconnector in Active Directory als untergeordnetes Objekt des Servers gespeichert, auf dem er erstellt wird. Wenn Sie einen Empfangsconnector auf einem Edge-Transport-Server erstellen, wird der Empfangsconnector in AD LDS (Active Directory Lightweight Directory Services) gespeichert.
Wenn Sie für bestimmte Szenarien weitere Empfangsconnectors benötigen, können Sie diese mithilfe der Exchange-Verwaltungskonsole oder der Exchange-Verwaltungsshell erstellen. Für jeden Empfangsconnector muss eine eindeutige Kombination aus IP-Adressbindungen, Portnummernzuweisungen und Remote-IP-Adressbereichen angegeben werden, von denen Nachrichten von diesem Connector angenommen werden.
Während der Installation erstellte Standardempfangsconnectors
Einige Empfangsconnectors werden standardmäßig erstellt, wenn Sie eine Hub-Transport- oder Edge-Transport-Serverrolle installieren.
Auf einem Hub-Transport-Server erstellte Standardempfangsconnectors
Standardmäßig werden zwei Empfangsconnectors erstellt, wenn die Hub-Transport-Serverrolle installiert wird. Für den Normalbetrieb sind keine zusätzlichen Empfangsconnectors erforderlich, und in den meisten Fällen erfordern Standardempfangsconnectors keine Konfigurationsänderung. Verwendungsart und Konfiguration dieser Connectors sind in der folgenden Tabelle beschrieben.
Empfangsconnector-Standardkonfiguration auf Hub-Transport-Servern
Connectorname und Verwendungsart | Konfiguration |
---|---|
Client 'Servername' Dieser Empfangsconnector nimmt SMTP-Verbindungen von allen Nicht-MAPI-Clients, wie etwa POP und IMAP, an. |
|
Default Servername Dieser Empfangsconnector nimmt Verbindungen von anderen Hub-Transport-Servern und allen Edge-Transport-Servern an. |
|
Hinweis
Allen Empfangsconnectors, die für die Annahme von Verbindungen von Edge-Transport- oder anderen Hub-Transport-Servern verantwortlich sind, muss die Exchange Server-Authentifizierungsmethode zugewiesen sein. Die Exchange Server-Authentifizierungsmethode ist die Standardauthentifizierungsmethode beim Erstellen eines neuen Empfangsconnectors vom Verwendungstyp "Intern".
Auf einem Edge-Transport-Server erstellter Standardempfangsconnector
Während der Installation wird ein Empfangsconnector erstellt. Dieser Empfangsconnector wird so konfiguriert, dass SMTP-Verbindungen von allen IP-Adressbereichen akzeptiert werden, und er ist an alle IP-Adressen des lokalen Servers gebunden. Er ist für den Verwendungstyp "Internet" konfiguriert und nimmt somit anonyme Verbindungen an. In einer typischen Installation sind keine zusätzlichen Empfangsconnectors erforderlich. Wenn Sie EdgeSync verwenden, müssen Sie keine Konfigurationsänderungen vornehmen, da der Edge-Abonnementprozess automatisch Berechtigungen und Authentifizierungsmechanismen konfiguriert. Anonymen Sitzungen und authentifizierten Sitzungen werden unterschiedliche Berechtigungssätze erteilt.
Wenn Sie EdgeSync nicht verwenden, sollten Sie die Einstellungen dieses Empfangsconnectors ändern und einen weiteren Empfangsconnector vom Verwendungstyp "Intern" erstellen. Führen Sie die folgenden Schritte aus, um die Konfiguration des Empfangsconnectors abzuschließen:
Ändern Sie die Einstellungen des Standardempfangsconnectors Legen Sie die lokalen Netzwerkbindungen auf die IP-Adresse des mit dem Internet verbundenen Netzwerkadapters fest.
Erstellen Sie einen Empfangsconnector Wählen Sie als Verwendungstyp für den Connector "Intern" aus. Legen Sie die lokalen Netzwerkbindungen nur auf die IP-Adresse des mit der Organisation verbundenen Netzwerkadapters fest. Konfigurieren Sie die Remotenetzwerkeinstellungen für den Empfang von E-Mails von den Remote-IP-Adressen, die den Hub-Transport-Servern zugewiesen sind.
Hinweis
Allen Empfangsconnectors, die für die Annahme von Verbindungen von Edge-Transport- oder anderen Hub-Transport-Servern verantwortlich sind, muss die Exchange Server-Authentifizierungsmethode zugewiesen sein. Die Exchange Server-Authentifizierungsmethode ist die Standardauthentifizierungsmethode beim Erstellen eines neuen Empfangsconnectors vom Verwendungstyp "Intern".
Ermitteln Sie, ob die Standardauthentifizierung gewünscht wird Wenn die Standardauthentifizierung unterstützt werden soll, erstellen Sie ein lokales Benutzerkonto und weisen diesem mithilfe des Cmdlets Add-ADPermission die erforderlichen Berechtigungen zu.
Weitere Informationen finden Sie unter Konfigurieren der Nachrichtenübermittlung zwischen einem Edge-Transport-Server und Hub-Transport-Servern, ohne EdgeSync zu verwenden.
Verwendungstypen für Empfangsconnectors
Der Verwendungstyp bestimmt die standardmäßigen Sicherheitseinstellungen für den Connector.
In den Sicherheitseinstellungen eines Empfangsconnectors werden die Berechtigungen festgelegt, die für Sitzungen gewährt werden, in denen die Verbindung zum Empfangsconnector hergestellt wird, sowie die unterstützten Authentifizierungsmechanismen.
Wenn Sie zum Konfigurieren eines Empfangsconnectors die Exchange-Verwaltungskonsole verwenden, werden Sie vom Assistenten für neuen SMTP-Empfangsconnector aufgefordert, einen Verwendungstyp für den Connector anzugeben. Sie können den Verwendungstyp mit zwei verschiedenen Verfahren angeben:
- Verwenden Sie den Parameter Usage mit dem gewünschten Wert, wie etwa Usage
Custom
. Je nach dem angegebenen Verwendungstyp existieren weitere erforderliche Parameter. Wenn Sie die erforderlichen Parameter im Befehl New-ReceiveConnector nicht angeben, tritt bei der Befehlsausführung ein Fehler auf. - Verwenden Sie den Optionsparameter für den gewünschten Verwendungstyp, wie etwa Custom. Je nach dem angegebenen Verwendungstyp existieren weitere erforderliche Parameter. Wenn Sie die erforderlichen Parameter im Befehl New-ReceiveConnector nicht angeben, werden Sie zur Eingabe der fehlenden Parameterwerte aufgefordert, damit die Befehlsausführung fortgesetzt werden kann.
Berechtigungsgruppen
Eine Berechtigungsgruppe ist ein vordefinierter Satz Berechtigungen, die vertrauenswürdigen Sicherheitsprinzipalen gewährt und einem Empfangsconnector zugewiesen werden. Sicherheitsprinzipale beinhalten Benutzer, Computer und Sicherheitsgruppen. Ein Sicherheitsprinzipal wird durch eine Sicherheits-ID (SID) identifiziert. Berechtigungsgruppen stehen nur für Empfangsconnectors zur Verfügung. Die Verwendung von Berechtigungsgruppen vereinfacht die Konfiguration von Berechtigungen für Empfangsconnectors. Die Eigenschaft PermissionGroups definiert die Gruppen oder Rollen, die Nachrichten an den Empfangsconnector übermittelt können, sowie die Berechtigungen, die diesen Gruppen zugewiesen sind. Der Satz Berechtigungsgruppen ist in Exchange 2010 vordefiniert. Dies bedeutet, dass keine zusätzlichen Berechtigungsgruppen erstellt werden können. Außerdem können Sie die Berechtigungsgruppenmitglieder oder zugeordneten Berechtigungen nicht ändern.
Die folgende Tabelle enthält die verfügbaren Berechtigungsgruppen und gibt die Sicherheitsprinzipale und die Berechtigungen an, die gewährt werden, wenn eine Berechtigungsgruppe für einen Empfangsconnector konfiguriert wird.
Berechtigungsgruppen für Empfangsconnectors
Name der Berechtigungsgruppe | Zugeordnete Sicherheitsprinzipale (SIDs) | Gewährte Berechtigungen |
---|---|---|
Anonymous |
Anonymes Benutzerkonto |
|
ExchangeUsers |
Authentifizierte Benutzerkonten |
|
ExchangeServers |
|
|
ExchangeLegacyServers |
Sicherheitsgruppe "Exchange Legacy Interop" |
|
Partner |
Partnerserverkonto |
|
Verwendungstypen für Empfangsconnectors
Mit dem Verwendungstyp werden die standardmäßigen Berechtigungsgruppen festgelegt, die dem Empfangsconnector zugewiesen werden, sowie die standardmäßigen Authentifizierungsmechanismen, die für die Sitzungsauthentifizierung zur Verfügung stehen. Ein Empfangsconnector reagiert immer auf die Anforderung eines Absenders, TLS zu verwenden. In der folgenden Tabelle werden die verfügbaren Verwendungstypen und Standardeinstellungen erläutert.
Verwendungstypen für Empfangsconnectors
Verwendungstyp | Standardsicherheitsgruppen | Standardauthentifizierungsmechanismus |
---|---|---|
Client (auf Edge-Transport-Servern nicht verfügbar) |
ExchangeUsers |
TLS Standardauthentifizierung plus TLS Integrierte Windows-Authentifizierung |
Custom |
Keine |
Keine |
Internal |
ExchangeServers ExchangeLegacyServers (Diese Sicherheitsgruppe ist auf Edge-Transport-Servern nicht verfügbar.) |
Exchange Server-Authentifizierung |
Internet |
AnonymousUsers Partner |
Keine oder extern gesichert |
Partner |
Partner |
Nicht anwendbar. Dieser Verwendungstyp wird ausgewählt, wenn Sie MTLS (Mutual Transport Layer Security) zu einer Remotedomäne einrichten. |
Die Berechtigungen und Authentifizierungsmechanismen für Empfangsconnectors werden an späterer Stelle in diesem Thema besprochen.
Verwendungsszenarien für Empfangsconnectors
Jeder Verwendungstyp ist für ein bestimmtes Verbindungsszenario ausgelegt. Wählen Sie den Verwendungstyp aus, dessen Standardeinstellungen für die gewünschte Konfiguration am besten geeignet sind. Berechtigungen können mit den Cmdlets Add-ADPermission und Remove-ADPermission geändert werden. Weitere Informationen hierzu finden Sie in den folgenden Themen:
In der folgenden Tabelle sind übliche Verbindungsszenarien und Verwendungstypen für jedes Szenario aufgeführt.
Verwendungsszenarien für Empfangsconnectors
Connectorszenario | Verwendungstyp | Kommentar |
---|---|---|
Edge-Transport-Server, der E-Mail-Nachrichten aus dem Internet empfängt |
Internet |
Ein Empfangsconnector, der für den Empfang von E-Mail-Nachrichten aus allen Domänen konfiguriert ist, wird automatisch erstellt, wenn die Edge-Transport-Serverrolle installiert wird. |
Hub-Transport-Server, der E-Mail-Nachrichten aus dem Internet empfängt |
Internet |
Dies ist keine empfohlene Konfiguration. Weitere Informationen finden Sie unter Direktes Konfigurieren der Internetnachrichtenübermittlung über einen Hub-Transport-Server. |
Edge-Transport-Server, der E-Mail-Nachrichten von einem Exchange Server 2003-Bridgeheadserver empfängt |
Internal |
In diesem Szenario wird der Exchange 2003-Bridgeheadserver so konfiguriert, dass er den Edge-Transport-Server als Smarthost für einen Sendeconnector verwendet. |
Hub-Transport-Server, der E-Mail-Übermittlungen von einer Clientanwendung empfängt, die POP3 oder IMAP4 verwendet |
Client |
Dieser Empfangsconnector wird automatisch auf jedem Hub-Transport-Server erstellt, wenn die Serverrolle installiert wird. Standardmäßig ist dieser Empfangsconnector für den Empfang von E-Mail-Nachrichten über TCP-Port 587 konfiguriert. |
Hub-Transport-Server, der E-Mail-Nachrichten von einem Hub-Transport-Server empfängt |
Intern |
Zwischen Hub-Transport-Servern in der gleichen Organisation müssen keine Empfangsconnectors konfiguriert werden. Dieser Verwendungstyp kann zum Konfigurieren eines gesamtstrukturübergreifenden Empfangsconnectors verwendet werden. |
Hub-Transport-Server, der E-Mail-Nachrichten von einem Exchange 2003-Bridgeheadserver in derselben Gesamtstruktur empfängt |
Internal |
Dies ist eine optionale Konfiguration. Der Transport zwischen Exchange 2010 und früheren Versionen von Exchange erfolgt über bidirektionale Routinggruppenconnectors. Wenn Sie SMTP-Connectors zu Exchange 2003-Routinggruppen erstellen, muss außerdem ein Routinggruppenconnector vorhanden sein. Weitere Informationen finden Sie unter Erstellen von zusätzlichen Routinggruppenconnectors von Exchange 2010 zu Exchange 2003. |
Edge-Transport-Server, der E-Mail-Nachrichten von einem Hub-Transport-Server empfängt |
Internal |
Ein Empfangsconnector, der für den Empfang von E-Mail-Nachrichten aus allen Domänen konfiguriert ist, wird automatisch erstellt, wenn die Edge-Transport-Serverrolle installiert wird. Sie können einen weiteren Connector erstellen und diesen so konfigurieren, dass er nur E-Mail-Nachrichten aus der Exchange-Organisation empfängt. |
Gesamtstrukturübergreifender Empfangsconnector für einen Hub-Transport-Server in der einen Gesamtstruktur, der E-Mail-Nachrichten von einem Hub-Transport-Server in der zweiten Gesamtstruktur empfängt |
Custom |
Die detaillierten Konfigurationsschritte finden Sie unter Konfigurieren gesamtstrukturübergreifender Connectors. |
Gesamtstrukturübergreifender Empfangsconnector für einen Hub-Transport-Server in der einen Gesamtstruktur, der E-Mail-Nachrichten von einem Exchange 2003-Bridgeheadserver in der zweiten Gesamtstruktur empfängt |
Custom |
Die detaillierten Konfigurationsschritte finden Sie unter Konfigurieren gesamtstrukturübergreifender Connectors. |
Hub-Transport-Server, der E-Mail-Nachrichten vom MTA (Message Transfer Agent) eines Drittanbieters empfängt |
Internal |
Geben Sie den IP-Adressbereich an, von dem Nachrichten angenommen werden, und legen Sie als Authentifizierungsmechanismus entweder "Standardauthentifizierung" oder "Extern gesichert" fest. |
Edge-Transport-Server, der E-Mail-Nachrichten vom MTA (Message Transfer Agent) eines Drittanbieters empfängt |
Custom |
Mit dem Cmdlet Add-ADPermission können Sie die erweiterten Rechte festlegen. Geben Sie den IP-Adressbereich an, von dem Nachrichten angenommen werden, und legen Sie als Authentifizierungsmechanismus "Standardauthentifizierung" fest. Sie können als Verwendungstyp auch "Internal" und "Extern gesichert" als Authentifizierungsmethode auswählen. Bei Auswahl dieser Option ist keine weitere Berechtigungskonfiguration erforderlich. |
Edge-Transport-Server, der E-Mail-Nachrichten aus einer externen Relaydomäne empfängt |
Custom |
Der Edge-Transport-Server kann E-Mail-Nachrichten aus einer externen Relaydomäne annehmen und diese dann an die Zieldomäne des Empfängers weitergeben. Geben Sie den IP-Adressbereich an, von dem Nachrichten angenommen werden, legen Sie den geeigneten Authentifizierungsmechanismus fest, und verwenden Sie das Cmdlet Add-ADPermission zum Festlegen von erweiterten Rechten. |
Edge-Transport-Server, der E-Mail-Nachrichten aus einer Domäne empfängt, zu der die MTLS-Authentifizierung (Mutual Transport Layer Security) eingerichtet wurde |
Partner |
Die MTLS-Authentifizierung funktioniert nur dann ordnungsgemäß, wenn folgende Bedingungen zutreffen:
Weitere Informationen finden Sie unter Set-ReceiveConnector. |
Edge-Transport-Server, der Verbindungen von einem Microsoft Exchange Hosted Services-Server entgegennimmt |
Benutzerdefiniert |
Der Exchange Hosted Services-Server kann als extern autoritativer Server fungieren. Wenn "Extern gesichert" als Authentifizierungsmechanismus verwendet werden soll, legen Sie mit dem Cmdlet Set-ReceiveConnector den Parameter PermissionGroup auf |
Hub-Transport-Server, der Verbindungen von einem Exchange Hosted Services-Server entgegennimmt |
Benutzerdefiniert |
Der Exchange Hosted Services-Server kann als extern autoritativer Server fungieren. Wenn "Extern gesichert" als Authentifizierungsmechanismus verwendet werden soll, legen Sie mit dem Cmdlet Set-ReceiveConnector den Parameter PermissionGroup auf |
Berechtigungen für Empfangsconnectors
Berechtigungen für Empfangsconnectors werden Sicherheitsprinzipalen zugewiesen, wenn Sie die Berechtigungsgruppen für den Connector festlegen. Wenn ein Sicherheitsprinzipal eine Sitzung zu einem Empfangsconnector aufbaut, bestimmen die Berechtigungen des Empfangsconnectors, ob die Sitzung akzeptiert wird und wie empfangene Nachrichten verarbeitet werden. In der folgenden Tabelle werden die Berechtigungen erläutert, die Sicherheitsprinzipalen auf einem Empfangsconnector zugewiesen werden können. Empfangsconnectorberechtigungen können mithilfe der Exchange-Verwaltungskonsole oder mit dem Cmdlet Set-ReceiveConnector und dem Parameter PermissionGroups in der Shell festgelegt werden. Zum Ändern der Standardberechtigungen für einen Empfangsconnector können Sie auch das Cmdlet Add-ADPermission verwenden.
Empfangsconnectorberechtigungen
Empfangsconnectorberechtigung | Beschreibung |
---|---|
ms-Exch-SMTP-Submit |
Der Sitzung muss diese Berechtigung gewährt werden, oder es können keine Nachrichten an den Empfangsconnector übermittelt werden. Wenn eine Sitzung nicht über diese Berechtigung verfügt, schlagen die Befehle MAIL FROM und AUTH fehl. |
ms-Exch-SMTP-Accept-Any-Recipient |
Mit dieser Berechtigung ist die Sitzung in der Lage, Nachrichten über diesen Connector weiterzugeben. Wird diese Berechtigung nicht gewährt, akzeptiert der Connector nur Nachrichten an Empfänger in zugelassenen Domänen. |
ms-Exch-SMTP-Accept-Any-Sender |
Mit dieser Berechtigung ist die Sitzung in der Lage, die Spoofingprüfung der Absenderadresse zu umgehen. |
ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
Diese Berechtigung gestattet Sendern mit E-Mail-Adressen aus autoritativen Domänen, eine Sitzung zu diesem Empfangsconnector aufzubauen. |
ms-Exch-SMTP-Accept-Authentication-Flag |
Diese Berechtigung gestattet es Exchange 2003-Servern, Nachrichten von internen Absendern zu übermitteln. Exchange 2010 erkennt die Nachrichten als intern. Der Absender kann die Nachricht als vertrauenswürdig deklarieren. Nachrichten, die über anonyme Übermittlungen im Exchange-System eingehen, werden mit dieser Kennzeichnung durch die Exchange-Organisation mit einem nicht vertrauenswürdigen Status weitergegeben. |
ms-Exch-Accept-Headers-Routing |
Mit dieser Berechtigung ist die Sitzung in der Lage, eine Nachricht zu übermitteln, bei der alle empfangenen Kopfzeilen intakt sind. Wenn diese Berechtigung nicht erteilt wird, entfernt der Server alle empfangenen Kopfzeilen. |
ms-Exch-Accept-Headers-Organization |
Mit dieser Berechtigung ist die Sitzung in der Lage, eine Nachricht zu übermitteln, bei der alle Organisationskopfzeilen intakt sind. Organisationskopfzeilen beginnen immer mit X-MS-Exchange-Organization-. Wenn diese Berechtigung nicht erteilt wird, entfernt der empfangende Server alle Organisationskopfzeilen. |
ms-Exch-Accept-Headers-Forest |
Mit dieser Berechtigung ist die Sitzung in der Lage, eine Nachricht zu übermitteln, bei der alle Gesamtstrukturkopfzeilen intakt sind. Gesamtstrukturkopfzeilen beginnen immer mit X-MS-Exchange-Forest-. Wenn diese Berechtigung nicht erteilt wird, entfernt der empfangende Server alle Gesamtstrukturkopfzeilen. |
ms-Exch-Accept-Exch50 |
Mit dieser Berechtigung ist die Sitzung in der Lage, eine Nachricht zu übermitteln, die den Befehl XEXCH50 enthält. Dieser Befehl ist für die Interoperabilität mit Exchange 2003 erforderlich. Der Befehl XEXCH50 stellt Daten wie die SCL-Bewertung (Spam Confidence Level) einer Nachricht bereit. |
ms-Exch-Bypass-Message-Size-Limit |
Mit dieser Berechtigung ist die Sitzung in der Lage, eine Nachricht zu übermitteln, die die für den Connector konfigurierte Nachrichtengrößenbeschränkung überschreitet. |
Ms-Exch-Bypass-Anti-Spam |
Mit dieser Berechtigung ist die Sitzung in der Lage, die Antispamfilterung zu umgehen. |
Lokale Netzwerkeinstellungen
In der Exchange-Verwaltungskonsole verwenden Sie die lokalen Netzwerkeinstellungen für einen Empfangsconnector, um die IP-Adresse und den Port anzugeben, von der bzw. über den der Transportserver Verbindungen akzeptiert. In der Shell verwenden Sie den Parameter Bindings, um die lokale IP-Adresse und den Port des Transportservers anzugeben, von der bzw. über den der Empfangsconnector Verbindungen akzeptiert. Mit diesen Einstellungen wird der Empfangsconnector an einen bestimmten Netzwerkadapter und einen TCP-Port auf dem Transportserver gebunden.
Standardmäßig wird ein Empfangsconnector so konfiguriert, dass er alle verfügbaren Netzwerkadapter und TCP-Port 25 verwendet. Wenn ein Transportserver über mehrere Netzwerkadapter verfügt, kann der Empfangsconnector an einen bestimmten Netzwerkadapter gebunden oder so konfiguriert werden, dass er Verbindungen über einen alternativen Port akzeptiert. So können Sie beispielsweise einen Empfangsconnector auf dem Edge-Transport-Server so konfigurieren, dass er anonyme Verbindungen über den externen Netzwerkadapter akzeptiert. Ein zweiter Empfangsconnector kann nun so konfiguriert werden, dass er nur Verbindungen von Hub-Transport-Servern über den internen Netzwerkadapter akzeptiert.
Hinweis
Wenn Sie sich entscheiden, einen Empfangsconnector an eine bestimmte lokale IP-Adresse zu binden, muss diese IP-Adresse für den Hub-Transport-Server oder Edge-Transport-Server gültig sein, auf dem sich der Empfangsconnector befindet. Wenn Sie eine ungültige lokale IP-Adresse angeben, kann beim Neustart des Microsoft Exchange-Transportdiensts ein Fehler auftreten. Statt den Empfangsconnector an eine bestimmte IP-Adresse zu binden, können Sie den Empfangsconnector an alle verfügbaren IP-Adressen auf dem Hub-Transport-Server oder Edge-Transport-Server binden.
Geben Sie beim Konfigurieren der Empfangsconnectorbindungen die IP-Adresse des Netzwerkadapters an. Wenn der Empfangsconnector für die Annahme von Verbindungen über einen anderen als den Standardport konfiguriert ist, muss der sendende Client oder Server so konfiguriert sein, dass die Übermittlung an diesen Port erfolgt, und alle Firewalls zwischen Nachrichtenabsender und empfangendem Server müssen Netzwerkverkehr über diesen Port zulassen.
Die Seite Lokale Netzwerkeinstellungen des Assistenten für neuen SMTP-Empfangsconnector in der Exchange-Verwaltungskonsole umfasst die Option Geben Sie den FQDN an, den dieser Connector als Antwort auf HELO oder EHLO bereitstellen soll. In der Shell wird diese Eigenschaft mit dem Cmdlet Set-ReceiveConnector und dem Parameter Fqdn festgelegt. Nachdem eine SMTP-Sitzung aufgebaut wurde, beginnt zwischen dem sendenden E-Mail-Server und dem empfangenden E-Mail-Server eine SMTP-Protokollverhandlung. Der sendende E-Mail-Server oder -Client sendet den SMTP-Befehl EHLO oder HELO sowie seinen FQDN an den empfangenden Server. Als Antwort sendet der empfangende Server einen "Success"-Code und übergibt seinen eigenen FQDN. Unter Exchange 2010 kann der vom empfangenden Server übermittelte FQDN angepasst werden, wenn Sie diese Eigenschaft auf einem Empfangsconnector konfigurieren. Der FQDN-Wert wird verbundenen Messagingservern angezeigt, wenn der Name eines Zielservers erforderlich ist, wie in den folgenden Beispielen:
- Im standardmäßigen SMTP-Banner des Empfangsconnectors
- Im aktuellen
Received:
-Kopfdatenfeld in der eingehenden Nachricht, wenn die Nachricht beim Hub-Transport-Server oder Edge-Transport-Server eingeht - Während der TLS-Authentifizierung
Hinweis
Ändern Sie nicht den FQDN-Wert für den standardmäßigen Empfangsconnector mit dem Namen <Name des Standardservers>, der auf Hub-Transport-Servern automatisch erstellt wird. Wenn Sie in Ihrer Exchange-Organisation mehrere Hub-Transport-Server verwenden und den FQDN-Wert für den Empfangsconnector für <Name des Standardservers> ändern, treten bei der internen Nachrichtenübermittlung zwischen den Hub-Transport-Servern Fehler auf.
Remote-Netzwerkeinstellungen
In der Exchange-Verwaltungskonsole verwenden Sie die Remote-Netzwerkeinstellungen für einen Empfangsconnector, um die IP-Adressbereiche anzugeben, von denen der Empfangsconnector Verbindungen akzeptiert. In der Shell verwenden Sie den Parameter RemoteIPRanges zur Angabe der IP-Adressbereiche, von denen der Empfangsconnector Verbindungen akzeptiert. Standardmäßig werden Empfangsconnectors auf Hub-Transport-Servern und Edge-Transport-Servern erstellt, die Verbindungen von 0.0.0.0–255.255.255.255 oder von beliebigen IP-Adressen zulassen.
Hinweis
In Exchange 2010 existiert darüber hinaus der IPv6-Adressbereich 0000:0000:0000:0000:0000:0000:0.0.0.0-ffff:ffff:ffff:ffff:ffff:ffff:255.255.255.255 in den Standardempfangsconnectors auf einem Hub-Transport-Server.
Wenn Sie einen Empfangsconnector für ein bestimmtes Szenario konfigurieren, legen Sie die Remote-Netzwerkeinstellungen ausschließlich auf die IP-Adressen von Servern fest, die über die geeigneten Berechtigungen und Konfigurationseinstellungen für den Empfangsconnector verfügen. Mehrere Empfangsconnectors können überlappende Remote-IP-Adressbereiche haben, solange sie sich gegenseitig vollständig überlappen. Wenn sich die Bereiche der Remote-IP-Adressen überlappen, wird der Bereich der Remote-IP-Adressen mit der exaktesten Übereinstimmung mit der IP-Adresse des verbindenden Servers verwendet.
Die IP-Adresse oder der IP-Adressbereich für die Remoteserver, von denen der Empfangsconnector eingehende Verbindungen akzeptiert, wird in einem der folgenden Formate eingegeben:
- IP-Adresse 192.168.1.1
- IP-Adressbereich 192.168.1.10-192.168.1.20
- IP-Adresse zusammen mit Subnetmask 192.168.1.0 (255.255.255.0)
- IP-Adresse zusammen mit Subnetmask unter Verwendung von CIDR-Schreibweise (Classless Interdomain Routing) 192.168.1.0/24
Authentifizierungseinstellungen für Empfangsconnectors
In der Exchange-Verwaltungskonsole verwenden Sie die Authentifizierungseinstellungen für einen Empfangsconnector, um die Authentifizierungsmechanismen anzugeben, die vom Exchange 2010-Transportserver unterstützt werden. In der Shell verwenden Sie den Parameter AuthMechanisms, um die unterstützten Authentifizierungsmechanismen anzugeben. Sie können für einen Empfangsconnector mehr als einen Authentifizierungsmechanismus konfigurieren. Die Authentifizierungsmechanismen, die automatisch für die einzelnen Verwendungstypen konfiguriert werden, finden Sie in der Tabelle "Verwendungstypen für Empfangsconnectors" weiter oben in diesem Thema. In der folgenden Tabelle werden die für einen Empfangsconnector verfügbaren Authentifizierungsmechanismen aufgeführt.
Authentifizierungsmechanismen für Empfangsconnectors
Authentifizierungsmechanismus | Beschreibung |
---|---|
Keiner |
Keine Authentifizierung |
TLS |
STARTTLS ankündigen. Setzt die Verfügbarkeit eines Serverzertifikats zur Bereitstellung von TLS voraus. |
Integriert |
NTLM und Kerberos (Integrierte Windows-Authentifizierung) |
BasicAuth |
Standardauthentifizierung. Setzt eine authentifizierte Anmeldung voraus. |
BasicAuthRequireTLS |
Standardauthentifizierung über TLS. Setzt ein Serverzertifikat voraus. |
ExchangeServer |
Exchange Server-Authentifizierung (Generic Security Services Application Programming Interface (GSSAPI) und Mutual GSSAPI). |
ExternalAuthoritative |
Die Verbindung wird als extern gesichert betrachtet, da ein Exchange-externer Sicherheitsmechanismus verwendet wird. Bei der Verbindung kann es sich um eine IPsec-Zuordnung (Internet Protocol Security) oder ein virtuelles privates Netzwerk (VPN) handeln. Alternativ können die Server sich auch in einem vertrauenswürdigen, physikalisch gesteuerten Netzwerk befinden. Für die Authentifizierungsmethode |
Weitere Empfangsconnectoreigenschaften
Mit der Konfiguration der Eigenschaften eines Empfangsconnectors wird definiert, wie dieser Connector E-Mail-Nachrichten empfängt. Nicht alle Eigenschaften stehen in der Exchange-Verwaltungskonsole zur Verfügung. Weitere Informationen zu den Eigenschaften, die mit der Shell konfiguriert werden können, finden Sie unter Set-ReceiveConnector.
Verwenden eines Empfangsconnectors für anonymes Relay
Anonymes Relay bei Internet-SMTP-Messagingservern ist ein ernsthaftes Sicherheitsdefizit, das von den Absendern unerwünschter kommerzieller E-Mail-Nachrichten (Spammern) ausgenutzt werden kann, um die Quelle ihrer Nachrichten zu verbergen. Aus diesem Grund werden dem Internet ausgesetzte Messagingserver mit Einschränkungen versehen, um das Relay nicht autorisierter Ziele zu verhindern.
In Exchange 2010 wird Relay normalerweise mithilfe akzeptierter Domänen behandelt. Akzeptierte Domänen werden auf dem Edge-Transport-Server oder dem Hub-Transport-Server konfiguriert. Die akzeptierten Domänen werden außerdem als interne Relaydomänen oder externe Relaydomänen klassifiziert. Weitere Informationen zu akzeptierten Domänen finden Sie unter Grundlegendes zu akzeptierten Domänen.
Sie können anonymes Relay auch basierend auf der Quelle der eingehenden Nachrichten einschränken. Diese Methode eignet sich, wenn ein nicht authentifizierter Anwendungs- oder Messagingserver einen Hub-Transport-Server oder einen Edge-Transport-Server als Relayserver verwenden muss.
Wenn Sie einen Empfangsconnector erstellen, der so konfiguriert ist, dass er anonymes Relay erlaubt, sollten Sie die folgenden Einschränkungen für den Empfangsconnector vorsehen:
- Lokale Netzwerkeinstellungen Schränken Sie den Empfangsconnector so ein, dass er nur den entsprechenden Netzwerkadapter auf dem Hub-Transport-Server oder Edge-Transport-Server überwacht.
- Remotenetzwerkeinstellungen Schränken Sie den Empfangsconnector so ein, dass er nur Verbindungen von dem oder den angegebenen Server(n) annimmt. Diese Einschränkung ist erforderlich, weil der Empfangsconnector für das Annehmen von Relay von anonymen Benutzern konfiguriert ist. Das Einschränken der Quellserver nach IP-Adresse ist die einzige Schutzmaßnahme, die für diesen Empfangsconnector zulässig ist.
Wenn Sie anonymen Benutzern die Relayberechtigung für den Empfangsconnector erteilen möchten, können Sie eine der weiter unten in diesem Thema beschriebenen Strategien verwenden. Jede dieser Strategien besitzt Vor- und Nachteile. Schritt-für-Schritt-Anweisungen für beide Ansätze finden Sie unter Zulassen von anonymem Relay für einen Empfangsconnector.
Erteilen der Relayberechtigung für anonyme Verbindungen
Diese Strategie umfasst die folgenden Aufgaben:
- Erstellen eines neuen Empfangsconnectors, dessen Verwendungstyp auf
Custom
festgelegt ist. - Hinzufügen der Berechtigungsgruppe "Anonym" zum Empfangsconnector.
- Zuweisen der Relayberechtigung zum Sicherheitsprinzipal "Anonyme Anmeldung" für den Empfangsconnector.
Die Berechtigungsgruppe "Anonym" erteilt dem Sicherheitsprinzipal "Anonyme Anmeldung" für den Empfangsconnector die folgenden Berechtigungen:
- Ms-Exch-Accept-Headers-Routing
- Ms-Exch-SMTP-Accept-Any-Sender
- Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
- Ms-Exch-SMTP-Submit
Um anonymes Relay für diesen Empfangsconnector zuzulassen, müssen Sie dem Sicherheitsprinzipal "Anonyme Anmeldung" für den Empfangsconnector jedoch auch die folgende Berechtigung erteilen:
- Ms-Exchange-SMTP-Accept-Any-Recipient
Der Vorteil dieser Strategie besteht darin, dass sie den angegebenen IP-Remoteadressen die mindestens für Relay erforderlichen Berechtigungen erteilt.
Diese Strategie besitzt die folgenden Nachteile:
- Es sind zusätzliche Konfigurationsschritte zum Erteilen der erforderlichen Berechtigungen notwendig.
- Die Nachrichten, die von den angegebenen IP-Adressen stammen, werden als anonyme Nachrichten behandelt. Aus diesem Grund umgehen die Nachrichten weder die Antispamüberprüfungen noch die Überprüfungen zur Beschränkung der Nachrichtengröße, und es können keine anonymen Absender aufgelöst werden. Durch das Auflösen anonymer Absender wird eine versuchte Zuordnung zwischen der E-Mail-Adresse des anonymen Absenders und dem entsprechenden Anzeigenamen in der globalen Adressliste (GAL) erzwungen.
Konfigurieren des Empfangsconnectors als extern gesichert
Diese Strategie umfasst die folgenden Aufgaben:
- Erstellen eines neuen Empfangsconnectors, dessen Verwendungstyp auf
Custom
festgelegt ist. - Hinzufügen der Berechtigungsgruppe "ExchangeServers" zum Empfangsconnector.
- Hinzufügen des Authentifizierungsmechanismus
ExternalAuthoritative
zum Empfangsconnector.
Die Berechtigungsgruppe "ExchangeServers" ist erforderlich, wenn Sie den Authentifizierungsmechanismus ExternalAuthoritative
auswählen. Diese Kombination aus Authentifizierungsmethode und Berechtigungsgruppe erteilt allen eingehenden Verbindungen, die für den Empfangsconnector zulässig sind, die folgenden Berechtigungen:
- Ms-Exch-Accept-Headers-Routing
- Ms-Exch-SMTP-Accept-Any-Sender
- Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
- Ms-Exch-SMTP-Submit
- Ms-Exch-Accept-Exch50
- Ms-Exch-Bypass-Anti-Spam
- Ms-Exch-Bypass-Message-Size-Limit
- Ms-Exch-SMTP-Accept-Any-Recipient
- Ms-Exch-SMTP-Accept-Authentication-Flag
Diese Strategie besitzt die folgenden Vorteile:
- Einfache Konfiguration
- Die Nachrichten, die von den angegebenen IP-Adressen stammen, werden als authentifizierte Nachrichten behandelt. Die Nachrichten umgehen die Antispamüberprüfungen, sie umgehen die Überprüfungen zur Beschränkung der Nachrichtengröße, und sie können anonyme Absender auflösen.
Der Nachteil dieser Strategie besteht darin, dass die IP-Remoteadressen als vollkommen vertrauenswürdig betrachtet werden. Die Berechtigungen, die den IP-Remoteadressen erteilt werden, erlauben dem Remotemessagingserver das Übermitteln von Nachrichten als stammten diese von internen Absendern in Ihrer Exchange-Organisation.