Senden von Connectors in Exchange Server

Exchange verwendet Sendeconnectors für ausgehende SMTP-Verbindungen von Exchange-Quellservern zu Ziel-E-Mail-Servern. Der Sendeconnector, der zum Weiterleiten von Nachrichten an einen Empfänger verwendet wird, wird während der Routingauflösungsphase der Nachrichtenkategorisierung ausgewählt. Weitere Informationen finden Sie unter E-Mail-Routing.

Sie können Sendeconnectors im Transportdienst auf Postfachservern und auf Edge-Transport-Servern erstellen. Sendeconnectors werden in Active Directory gespeichert und sind (standardmäßig) für alle Postfachserver in der Organisation sichtbar.

Sie müssen keine Sendeconnectors konfigurieren, um E-Mails zwischen Exchange-Servern in derselben Active Directory-Gesamtstruktur zu senden. Implizite und unsichtbare Sendeconnectors, die die Exchange Server-Topologie vollständig kennen, stehen zum Senden von E-Mails an interne Exchange-Server zur Verfügung. Diese Konnektoren werden im Abschnitt Implizite Sendekonnektoren beschrieben.

Dies sind die wichtigen Einstellungen für Send Connectors:

• Verwendungsart

• Netzwerkeinstellungen: Konfigurieren Sie, wie der Sendeconnector E-Mails weiterleitet: mithilfe von DNS oder durch automatisches Weiterleiten aller E-Mails an einen Smarthost.

• Adressräume: Konfigurieren Sie die Zieldomänen, für die der Sendeconnector verantwortlich ist.

• Bereich: Konfiguriert die Sichtbarkeit des Sendeconnectors für andere Exchange-Server in der Organisation.

• Quellserver: Konfigurieren Sie die Exchange-Server, auf denen der Sendeconnector gehostet wird. E-Mails, die mithilfe des Sendeconnectors zugestellt werden müssen, werden an einen der Quellserver weitergeleitet.

Auf Postfachservern können Sie Sendeconnectors im Exchange Admin Center oder in der Exchange-Verwaltungsshell erstellen und verwalten. Auf Edge-Transport-Servern können Sie nur die Exchange-Verwaltungsshell verwenden.

Änderungen des Sendeconnectors in Exchange Server

Dies sind die bemerkenswerten Änderungen an Sendeconnectors in Exchange 2016 oder Exchange 2019 im Vergleich zu Exchange 2010:

• Sie können Sendeconnectors so konfigurieren, dass ausgehende E-Mails über den Front-End-Transportdienst umgeleitet oder weitergeleitet werden. Weitere Informationen finden Sie unter Konfigurieren von Sendeconnectors für Proxy-ausgehende E-Mails.

• Der Parameter IsCoexistenceConnector ist nicht mehr verfügbar.

• Der Parameter LinkedReceiveConnector ist nicht mehr verfügbar.

• Die standardmäßige maximale Nachrichtengröße wird auf 35 MB erhöht (ungefähr 25 MB aufgrund der Base64-Codierung). Weitere Informationen finden Sie unter Nachrichtengröße und Empfängerbeschränkungen in Exchange Server.

• Mit dem Parameter TlsCertificateName können Sie den Zertifikataussteller und den Zertifikatsthema angeben. Dies hilft, das Risiko betrügerischer Zertifikate zu minimieren.

Implizite Sendeconnectors

Obwohl bei der Installation von Exchange-Servern keine Sendeconnectors erstellt werden, ist ein spezieller impliziter Sendeconnector mit dem Namen Intra-Organization Send Connector vorhanden. Dieser implizite Sendeconnector ist automatisch verfügbar, unsichtbar und erfordert keine Verwaltung. Der organisationsinterne Sendeconnector ist in den Transportdiensten vorhanden, um E-Mails entweder intern zwischen Diensten auf dem lokalen Exchange-Server oder an Dienste auf Remoteservern in der Organisation zu senden. Beispielsweise:

• Front-End-Transportdienst zum Transportdienst.

• Transportdienst zum Transportdienst auf anderen Servern.

• Transportdienst zu abonnierten Edge-Transport-Servern.

• Transportservice zum Briefkasten Transport Lieferservice.

• Mailbox Transport Submission Service an den Transportdienst.

Weitere Informationen finden Sie unter Nachrichtenfluss und die Transportpipeline.

Verwendungsarten des Sendeconnectors

Bei Sendeconnectors ist der Verwendungsart im Grunde eine beschreibende Bezeichnung, die angibt, wofür der Sendeconnector verwendet wird. Alle Werte des Verwendungstyps erhalten die gleichen Berechtigungen.

Sie können den Konnektorverwendungstyp nur angeben, wenn Sie Sendeconnectors erstellen. Wenn Sie die Verwaltungskonsole verwenden, müssen Sie einen Typwert auswählen. Wenn Sie jedoch das Cmdlet New-SendConnector in der Exchange-Verwaltungsshell verwenden, ist der Verwendungstyp nicht erforderlich (entweder mit -Usage <UsageType> oder -<UsageType>).

Durch die Angabe eines Verwendungstyps wird eine standardmäßige maximale Nachrichtengröße konfiguriert, die Sie nach dem Erstellen des Connectors ändern können.

Die verfügbaren Werte für den Verwendungstyp sind in der folgenden Tabelle beschrieben.

Verwendungsart	Maximale Nachrichtengröße
Benutzerdefiniert	35 MB	Keine
Intern	unbegrenzt	Wenn Sie einen Sendeconnector dieses Verwendungstyps in der EAC erstellen, können Sie keinen MX-Eintrag auswählen, der der Empfängerdomäne zugeordnet ist. Nachdem Sie den Connector erstellt haben, können Sie in den Eigenschaften des Sendeconnectors zur Registerkarte Zustellung wechseln und MX-Eintrag auswählen, der der Empfängerdomäne zugeordnet ist. Diese Einschränkung ist in der Exchange-Verwaltungsshell nicht vorhanden. Sie können den internen Schalter verwenden und DNSRoutingEnabled im Cmdlet New-SendConnector auf $true .
Internet	35 MB	Keine
Partner	35 MB	Wenn Sie einen Sendeconnector dieses Verwendungstyps in der EAC erstellen, können Sie E-Mails nicht über Smarthosts oder einen Smarthostauthentifizierungsmechanismus weiterleiten auswählen. Nachdem Sie den Connector erstellt haben, können Sie in den Eigenschaften des Sendeconnectors zur Registerkarte Zustellung wechseln und E-Mails über Smarthosts und den Smarthostauthentifizierungsmechanismus weiterleiten auswählen. Diese Einschränkung ist in der Exchange-Verwaltungsshell nicht vorhanden. Sie können den Partnerschalter verwenden und DNSRoutingEnabled auf $false setzen und die Parameter SmartHosts und SmartHostAuthMechanism im Cmdlet New-SendConnector verwenden.

Send Connector Netzwerkeinstellungen

Jeder Send Connector muss mit einer dieser Optionen konfiguriert werden:

• Verwenden Sie DNS, um E-Mails weiterzuleiten.

• Verwenden Sie einen oder mehrere Smarthosts, um E-Mails weiterzuleiten.

Verwenden von DNS zum Weiterleiten von E-Mails

Wenn Sie die DNS-Auflösung für die Zustellung von E-Mails auswählen, muss der Exchange-Quellserver für den Sendeconnector in der Lage sein, die MX-Einträge für die auf dem Connector konfigurierten Adressräume aufzulösen. Abhängig von der Art des Connectors und der Anzahl der Netzwerkadapter im Server benötigt der Sendeconnector möglicherweise Zugriff auf einen internen DNS-Server oder einen externen (öffentlichen) DNS-Server. Sie können den Server so konfigurieren, dass bestimmte DNS-Server für interne und externe DNS-Lookups verwendet werden:

• Wählen Sie in der EAC unter Server > Server > den Server aus und klicken Sie auf das Symbol Bearbeiten > Registerkarte DNS-Suche.

• In der Exchange-Verwaltungsshell verwenden Sie die Parameter ExternalDNS* und InternalDNS* im Cmdlet Set-TransportService.

Wenn Sie den Exchange-Server bereits mit separaten DNS-Einstellungen für die interne und externe DNS-Suche konfiguriert haben und der Sendeconnector E-Mails an einen externen Adressraum weiterleitet, müssen Sie den Sendeconnector für die Verwendung des externen DNS-Servers konfigurieren:

• Wählen Sie in der EXCHANGE-Verwaltungskonsole die Einstellung Externe DNS-Suche auf Servern mit Transportrollen verwenden aus (im Assistenten neuer Sendeconnector oder auf der Registerkarte Zustellung in den Eigenschaften vorhandener Connectors).

• Verwenden Sie in der Exchange-Verwaltungsshell den Parameter UseExternalDNSServersEnabled für die Cmdlets New-SendConnector und Set-SendConnector.

Verwenden von Smarthosts zum Weiterleiten von E-Mails

Wenn Sie E-Mails über einen Smarthost weiterleiten, leitet der Sendeconnector E-Mails an den Smarthost weiter, und der Smarthost ist für das Weiterleiten von E-Mails an den nächsten Hop auf dem Weg zum endgültigen Ziel verantwortlich. Eine häufige Verwendung für Smart Host Routing besteht darin, ausgehende E-Mails über einen Antispam-Dienst oder ein Gerät zu senden.

Sie identifizieren einen oder mehrere Smarthosts, die für den Sendeconnector verwendet werden sollen, anhand einer individuellen IP-Adresse (z. B. 10.1.1.1), eines vollqualifizierten Domänennamens (FQDN) (z. B. spamservice.contoso.com) oder Kombinationen beider Wertetypen. Wenn Sie einen FQDN verwenden, muss der Exchange-Quellserver für den Sendeconnector in der Lage sein, den FQDN (der ein MX-Eintrag oder ein A-Eintrag sein kann) mithilfe von DNS aufzulösen.

Ein wichtiger Teil des Smart Host Routings ist der Authentifizierungsmechanismus, den die Smart Hosts verwenden. Die verfügbaren Authentifizierungsmechanismen sind in der folgenden Tabelle beschrieben.

Authentifizierungsmechanismus	Beschreibung
Keine (None)	Keine Authentifizierung. Zum Beispiel, wenn der Zugriff auf den Smarthost durch die Quell-IP-Adresse eingeschränkt ist.
Basisauthentifizierung (BasicAuth)	Grundlegende Authentifizierung. Erfordert einen Benutzernamen und ein Passwort. Der Benutzername und das Passwort werden im Klartext gesendet.
Bieten Sie die Basisauthentifizierung erst nach dem Start von TLS an (BasicAuthRequireTLS)	Standardauthentifizierung, die mit TLS verschlüsselt ist. Dies erfordert ein Serverzertifikat auf dem Smarthost, das den genauen FQDN des Smarthosts enthält, der im Sendeconnector definiert ist. Der Sendeconnector versucht, die TLS-Sitzung einzurichten, indem er den Befehl STARTTLS an den Smarthost sendet, und führt die Standardauthentifizierung erst aus, nachdem die TLS-Sitzung eingerichtet wurde. Ein Clientzertifikat ist ebenfalls erforderlich, um die gegenseitige TLS-Authentifizierung zu unterstützen.
Exchange Server-Authentifizierung (ExchangeServer)	Generic Security Services Application Programming Interface (GSSAPI) und gegenseitige GSSAPI-Authentifizierung.
Extern gesichert (ExternalAuthoritative)	Es wird angenommen, dass die Verbindung mithilfe eines Sicherheitsmechanismus außerhalb von Exchange gesichert ist. Die Verbindung kann eine IPSec-Verbindung (Internet Protocol Security) oder ein virtuelles privates Netzwerk (VPN) sein. Alternativ können sich die Server in einem vertrauenswürdigen, physisch kontrollierten Netzwerk befinden.

Adressräume des Sendeconnectors

Der Adressraum gibt die Zieldomänen an, die vom Sendeconnector bedient werden. E-Mails werden über einen Sendeconnector basierend auf der Domäne der E-Mail-Adresse des Empfängers weitergeleitet.

Die verfügbaren SMTP-Adressraumwerte sind in der folgenden Tabelle beschrieben.

Adressraum	Erklärung
*	Der Sendeconnector leitet E-Mails an Empfänger in allen Domänen weiter.
Domain (zum Beispiel, contoso.com)	Der Sendeconnector leitet E-Mails an Empfänger in der angegebenen Domäne weiter, jedoch nicht an Subdomänen.
Domain und Subdomains (zum Beispiel, *.contoso.com)	Der Sendeconnector leitet E-Mails an Empfänger in der angegebenen Domäne und in allen Subdomänen weiter.
--	Der Sendeconnector leitet E-Mails an Empfänger in allen akzeptierten Domänen in der Exchange-Organisation weiter. Dieser Wert ist nur für Sendeconnectors auf Edge-Transport-Servern verfügbar, die E-Mails an die interne Exchange-Organisation senden.

Ein Adressraum hat auch Typ- und Kostenwerte, die Sie konfigurieren können.

Auf Edge-Transport-Servern muss der Typwert SMTP sein. Auf Postfachservern können Sie auch Nicht-SMTP-Adressraumtypen wie X400 oder eine andere Textzeichenfolge verwenden. X.400-Adressen müssen RFC 1685-konform sein (z. B. o=MySite;p=MyOrg;a=adatum;c=us), aber andere Typwerte akzeptieren jeden Textwert für den Adressraum. Wenn Sie einen Nicht-SMTP-Adressraumtyp angeben, muss der Sendeconnector das Smarthost-Routing verwenden, und SMTP wird zum Senden von Nachrichten an den Smarthost verwendet. Delivery Agent Connectors und Foreign Connectors senden Nicht-SMTP-Nachrichten an Nicht-SMTP-Server, ohne SMTP zu verwenden. Weitere Informationen finden Sie unter Delivery Agents und Delivery Agent Connectors und Foreign Connectors.

Der Kostenwert für den Adressraum wird zur Optimierung des Nachrichtenflusses und zur Fehlertoleranz verwendet, wenn dieselben Adressräume auf mehreren Sendeconnectors auf verschiedenen Quellservern konfiguriert sind. Ein niedrigerer Prioritätswert gibt einen bevorzugten Sendeconnector an.

Der Sendeconnector, der zum Weiterleiten von Nachrichten an einen Empfänger verwendet wird, wird während der Routingauflösungsphase der Nachrichtenkategorisierung ausgewählt. Der Sendeconnector, dessen Adressraum am ehesten mit der E-Mail-Adresse des Empfängers übereinstimmt und dessen Prioritätswert am niedrigsten ist, wird ausgewählt.

Angenommen, der Empfänger [email protected] . Wenn ein Sendeconnector für * konfiguriert ist.contoso.com wird die Nachricht durch diesen Connector geleitet. Wenn kein Sendeconnector für * konfiguriert ist.contoso.com wird die Nachricht über den Connector weitergeleitet, der für * konfiguriert ist. Wenn mehrere Sendeconnectors am selben Active Directory-Standort für * konfiguriert sind.contoso.com wird der Konnektor mit dem niedrigeren Prioritätswert ausgewählt.

Sendeconnector-Bereich

Die Quellserver für einen Sendeconnector bestimmen den Ziel-Exchange-Server für E-Mails, die über den Sendeconnector weitergeleitet werden müssen. Der Sendeconnector-Bereich steuert die Sichtbarkeit des Connectors innerhalb der Exchange-Organisation.

Standardmäßig sind Sendeconnectors für alle Exchange-Server in der gesamten Active Directory-Gesamtstruktur sichtbar und werden bei Routingentscheidungen verwendet. Sie können den Umfang eines Sendeconnectors jedoch so einschränken, dass er nur für andere Exchange-Server am selben Active Directory-Standort sichtbar ist. Der Sendeconnector ist für Exchange-Server an anderen Active Directory-Standorten nicht sichtbar und wird nicht für deren Routingentscheidungen verwendet. Ein Sendeconnector, der auf diese Weise eingeschränkt ist, wird als Gültigkeitsbereich bezeichnet.

Um bereichsbezogene Sendeconnectors in der EAC zu konfigurieren, wählen Sie Bereichsbezogene Sendeconnectors im Abschnitt Adressraum des Assistenten für neue Sendeconnectors oder auf der Registerkarte Bereich in den Eigenschaften vorhandener Sendeconnectors aus. In der Exchange-Verwaltungsshell verwenden Sie den Parameter IsScopedConnector für die Cmdlets New-SendConnector und Set-SendConnector.

Sendeconnector-Berechtigungen

Wenn der Sendeconnector eine Verbindung mit dem Ziel-E-Mail-Server herstellt, bestimmen die Sendeconnector-Berechtigungen die Arten von Headern, die in Nachrichten gesendet werden können. Wenn eine Nachricht Header enthält, die von den Berechtigungen nicht zugelassen sind, werden diese Header aus Nachrichten entfernt.

Berechtigungen werden von bekannten Sicherheitsprinzipalen an Send Connectors vergeben. Zu den Sicherheitsprinzipalen gehören Benutzerkonten, Computerkonten und Sicherheitsgruppen (Objekte, die durch eine Sicherheits-ID oder SID identifiziert werden können, denen Berechtigungen zugewiesen werden können). Standardmäßig werden für alle Sendeconnectors dieselben Sicherheitsprinzipale mit denselben Berechtigungen zugewiesen, unabhängig vom Verwendungstyp, den Sie beim Erstellen des Connectors ausgewählt haben. Um die Standardberechtigungen für einen Sendeconnector zu ändern, müssen Sie die Cmdlets Add-ADPermission und Remove-ADPermission in der Exchange-Verwaltungsshell verwenden.

Die verfügbaren Sendeconnector-Berechtigungen werden in der folgenden Tabelle beschrieben.

Berechtigung	Zugewiesen an	Beschreibung
ms-Exch-Send-Headers-Forest	<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers	Steuert die Beibehaltung von Exchange-Gesamtstrukturheadern in Nachrichten. Forest-Header-Namen beginnen mit X-MS-Exchange-Forest-. Wenn diese Berechtigung nicht erteilt wird, werden alle Gesamtstrukturheader aus Nachrichten entfernt.
ms-Exch-Send-Headers-Organization	<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers	Steuert die Beibehaltung von Exchange-Organisationsheadern in Nachrichten. Die Header-Namen der Organisation beginnen mit X-MS-Exchange-Organization-. Wenn diese Berechtigung nicht erteilt wird, werden alle Organisationsheader aus Nachrichten entfernt.
ms-Exch-Send-Headers-Routing	NT AUTHORITY\ANONYMOUS LOGON <Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers MS Exchange\Partner Servers	Steuert die Beibehaltung EMPFANGENER Header in Nachrichten. Wenn diese Berechtigung nicht erteilt wird, werden alle empfangenen Header aus Nachrichten entfernt.
ms-Exch-SMTP-Send-Exch50	<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Externally Secured Servers MS Exchange\Hub Transport Servers MS Exchange\Legacy Exchange Servers	Ermöglicht dem Quell-Exchange-Server, XEXCH50-Befehle auf dem Sendeconnector zu senden. Das X-EXCH50 Binary Large Object (BLOB) wurde von älteren Versionen von Exchange (Exchange 2003 und früher) zum Speichern von Exchange-Daten in Nachrichten verwendet (z. B. das Spam-Konfidenzniveau oder SCL). Wenn diese Berechtigung nicht erteilt wird und Nachrichten das X-EXCH50-BLOB enthalten, sendet der Exchange-Server die Nachricht ohne das X-EXCH50-BLOB.
ms-Exch-SMTP-Send-XShadow	<Domain>\Exchange Servers MS Exchange\Edge Transport Servers MS Exchange\Hub Transport Servers	Diese Berechtigung ist für die interne Verwendung durch Microsoft reserviert und wird hier nur zu Referenzzwecken dargestellt.

Hinweis: Berechtigungsnamen, die ms-Exch-Send-Headers- enthalten, sind Teil der Header-Firewall-Funktion. Weitere Informationen finden Sie unter Header Firewall.

Berechtigungsprozeduren für den Sendeconnector

Verwenden Sie die folgende Syntax in der Exchange-Verwaltungsshell, um die Berechtigungen anzuzeigen, die Sicherheitsprinzipalen für einen Sendeconnector zugewiesen sind:

Get-ADPermission -Identity <SendConnector> | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Zum Beispiel, um die Berechtigungen anzuzeigen, die allen Sicherheitsprinzipalen auf dem Sendeconnector mit dem Namen An zugewiesen sind Fabrikam.com , führen Sie den folgenden Befehl aus:

Get-ADPermission -Identity "To Fabrikam.com" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Führen Sie den folgenden Befehl aus, um die Berechtigungen anzuzeigen, die nur dem Sicherheitsprinzipal NT AUTHORITY\ANONYMOUS LOGON auf dem Sendeconnector mit dem Namen To Fabrikam zugewiesen sind:

Get-ADPermission -Identity "To Fabrikam.com" -User "NT AUTHORITY\ANONYMOUS LOGON" | where {($_.Deny -eq $false) -and ($_.IsInherited -eq $false)} | Format-Table User,ExtendedRights

Verwenden Sie die folgende Syntax, um einem Sicherheitsprinzipal auf einem Sendeconnector Berechtigungen hinzuzufügen:

Add-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...

Verwenden Sie die folgende Syntax, um Berechtigungen von einem Sicherheitsprinzipal auf einem Sendeconnector zu entfernen:

Remove-ADPermission -Identity <SendConnector> -User <SecurityPrincipal> -ExtendedRights "<Permission1>","<Permission2>"...