Konfigurieren eines zertifikatbasierten Connectors zum Weiterleiten von E-Mail-Nachrichten über Microsoft 365

Einführung

Wenn Ihre Organisation über eine Hybridbereitstellung verfügt (lokal plus Microsoft 365), müssen Sie häufig E-Mail-Nachrichten über Microsoft 365 an das Internet weiterleiten. Das heißt, Nachrichten, die Sie von Ihrer lokalen Umgebung (Postfächer, Anwendungen, Scanner, Faxgeräte usw.) an Internetempfänger senden, werden zuerst an Microsoft 365 weitergeleitet und dann gesendet.

              Die Abbildung zeigt die E-Mail, die von Ihren lokalen E-Mail-Servern über Microsoft 365 an das Internet weitergeleitet wird.                            

Abbildung: E-Mail, die von Ihren lokalen E-Mail-Servern über Microsoft 365 an das Internet weitergeleitet wird

Damit dieses Weiterleiten ordnungsgemäß funktioniert, muss Ihre Organisation die folgenden Schritte ausführen:

  1. Erstellen Sie einen oder mehrere Konnektoren in Microsoft 365, um E-Mail-Nachrichten von Ihren lokalen Mailservern mithilfe der sendenden IP-Adresse oder eines Zertifikats zu authentifizieren.

  2. Konfigurieren Sie Ihre lokalen Server für die Weiterleitung über Microsoft 365.

  3. Konfigurieren Sie Ihre Einrichtung so, dass eine der folgenden Bedingungen zutrifft:

    • Absenderdomäne

      Die Absenderdomäne gehört zu Ihrer Organisation (d. h. Sie haben Ihre Domäne in Microsoft 365 registriert).

                    Weitere Informationen finden Sie unter Hinzufügen von Benutzern und Domänen in Microsoft 365.

    • Zertifikatbasierte Connectorkonfiguration

      Ihr lokaler E-Mail-Server ist so konfiguriert, dass er ein Zertifikat verwendet, um E-Mails an Microsoft 365 zu senden, und der Common-Name (CN) oder Subject Alternate Name (SAN) im Zertifikat enthält einen Domänennamen, den Sie in Microsoft 365 registriert haben, und Sie haben in Microsoft 365 einen zertifikatbasierten Connector mit dieser Domäne erstellt.

Wenn eine der Bedingungen in Schritt 3 nicht zutrifft, kann Microsoft 365 nicht feststellen, ob die Nachricht, die von Ihrer lokalen Umgebung gesendet wurde, Ihrer Organisation gehört. Wenn Sie Hybridbereitstellungen verwenden, sollten Sie daher sicherstellen, dass Sie eine der Bedingungen in Schritt 3 erfüllen.

Zusammenfassung

Ab dem 5. Juli 2017 unterstützt Microsoft 365 die Weiterleitung von E-Mail-Nachrichten nicht mehr, wenn ein Kunde einer Hybridumgebung seine Umgebung nicht für eine der Bedingungen in Schritt 3 konfiguriert hat. Solche Meldungen werden abgelehnt und lösen die folgende Fehlermeldung aus:

550 5.7.64 Relay-Zugriff verweigert ATTR36. Weitere Informationen finden Sie in KB 3169958.

Darüber hinaus müssen Sie die zweite Bedingung („zertifikatbasierte Connectorkonfiguration“) in Schritt 3 im Abschnitt Einführung erfüllen, wenn für Ihre Organisation eines der folgenden Szenarien nach dem 5. Juli 2017 weiterhin funktionieren muss.

Hinweis

Die ursprüngliche Frist für diesen neuen Prozess wurde vom 1. Februar 2017 auf den 5. Juli 2017 verschoben, um den Kunden genügend Zeit für die Umsetzung der Änderungen zu bieten.

Szenarien, in denen Microsoft 365 standardmäßig keine Weiterleitung von E-Mail-Nachrichten unterstützt

  • Ihre Organisation muss Nicht-Zustellungsberichte (NDRs) von der lokalen Umgebung an einen Empfänger im Internet senden und die Nachrichten über Microsoft 365 weiterleiten. Beispielsweise sendet jemand eine E-Mail-Nachricht an john@contoso.com, einen Benutzer, der früher in der lokalen Umgebung Ihrer Organisation vorhanden war. Dadurch wird eine NDR (Unzustellbarkeitsnachricht) an den ursprünglichen Absender gesendet.

  • Ihre Organisation muss Nachrichten vom E-Mail-Server in Ihrer lokalen Umgebung aus Domänen senden, die Ihre Organisation nicht zu Microsoft 365 hinzugefügt hat. Beispielsweise sendet Ihre Organisation (contoso.com) E-Mails über die Domäne fabrikam.com und fabrikam.com gehört nicht zu Ihrer Organisation.

  • Eine Weiterleitungsregel wird auf Ihrem lokalen Server konfiguriert und Nachrichten werden über Microsoft 365 weitergeleitet.

    Beispielsweise ist contoso.com die Domäne Ihrer Organisation. Ein Benutzer auf dem lokalen Server Ihrer Organisation, kate@contoso.com, ermöglicht die Weiterleitung aller Nachrichten an kate@tailspintoys.com. Wenn john@fabrikam.com eine Nachricht an kate@contoso.com sendet, wird diese Nachricht automatisch an kate@tailspintoys.com weitergeleitet.

    Aus der Sicht von Microsoft 365 wird die Nachricht von john@fabrikam.com an kate@tailspintoys.com gesendet. Da die E-Mail von Kate weitergeleitet wird, gehören weder die Absenderdomäne noch die Empfängerdomäne zu Ihrer Organisation.

              Abbildung zeigt eine weitergeleitete Nachricht von contoso.com, die über Microsoft 365 weitergeleitet werden darf.                            

Abbildung: Eine weitergeleitete Nachricht von contoso.com, die über Microsoft 365 weitergeleitet werden darf, weil die Bedingung von Schritt 3 „zertifikatsbasierte Connector-Konfiguration“ erfüllt ist

Weitere Informationen

Sie können einen zertifikatbasierten Connector für Microsoft 365 einrichten, um Nachrichten an das Internet weiterzuleiten. Gehen Sie hierzu folgendermaßen vor.

Schritt 1: Erstellen oder Ändern eines zertifikatbasierten Connectors in Microsoft 365

Führen Sie die folgenden Schritte aus, um einen zertifikatbasierten Connector zu erstellen oder zu ändern:

  1. Melden Sie sich beim Microsoft 365-Portal an (https://portal.office.com), klicken Sie auf Admin, und öffnen Sie dann das Exchange Admin Center. Weitere Informationen finden Sie unter Exchange Admin Center in Exchange Online.

                                 Screenshot zeigt Schritte zum Öffnen des Exchange Admin Centers.                                           

  2. Klicken Sie auf Nachrichtenfluss, klicken Sie auf Connectors und führen Sie dann einen der folgenden Schritte aus:

    • Wenn keine Connectors vorhanden sind, klicken Sie auf (Hinzufügen), um einen Connector zu erstellen.

                                   Der Screenshot zeigt, dass im Exchange-Verwaltungszentrum keine Konnektoren vorhanden sind. Klicken Sie auf das Plus-Symbol, um einen Connector zu erstellen.                                           

    • Wenn ein Connector bereits vorhanden ist, wählen Sie ihn aus, und klicken Sie dann auf (Bearbeiten).

                                   Auf dem Bildschirmfoto wird die Auswahl des Connectors im Exchange Admin Center angezeigt. Klicken Sie dann auf Bearbeiten, um die Stiftform zu wählen.                                           

  3. Wählen Sie auf der Seite Wählen Sie Ihr Mailflow-Szenario im Feld Von die Option E-Mail-Server Ihrer Organisation und im Feld An die Option Microsoft 365.

    Hinweis

    Dadurch wird ein Connector erstellt, der angibt, dass der lokale Server die Sendequelle für Ihre Nachrichten ist.

                  Screenshot der Seite „Wählen Sie Ihr Mailflow-Szenario“, auf der Sie im Feld „Von“ den E-Mail-Server Ihres Unternehmens und im Feld An Microsoft 365 auswählen.                            

  4. Geben Sie den Connectornamen und andere Informationen ein und klicken Sie dann auf Weiter.

  5. Wählen Sie auf der Seite Neuer Connector oder Connector bearbeiten die erste Option aus, um ein TLS-Zertifikat (Transport Layer Security) zu verwenden, damit die Absenderquelle der Nachrichten Ihrer Organisation identifiziert wird. Der Domänenname in der Option sollte mit dem CN-Namen oder SAN in dem von Ihnen verwendeten Zertifikat übereinstimmen.

    Hinweis

    Bei dieser Domäne muss es sich um eine Domäne handeln, die zu Ihrer Organisation gehört, und Sie müssen sie zu Microsoft 365 hinzugefügt haben. Weitere Informationen finden Sie unter Hinzufügen von Domänen in Microsoft 365.

    Beispielsweise gehört Contoso.com zu Ihrer Organisation und ist Teil des CN- oder SAN-Namens im Zertifikat, das Ihre Organisation für die Kommunikation mit Microsoft 365 verwendet. Wenn die Domäne im Zertifikat mehrere Domänen enthält (z. B. mail1.contoso.com, mail2.contoso.com), wird empfohlen, dass die Domäne in der Connector-Benutzeroberfläche *.contoso.com sein sollte.

    Hinweis

    Bestehende Hybrid-Kunden, die ihre Connectors mit dem Hybrid-Konfigurationsassistenten konfiguriert haben, sollten ihren bestehenden Connector überprüfen, um sicherzustellen, dass er z.B. *.contoso.com anstelle von mail.contoso.com oder <hostname>.contoso.com verwendet. Dies liegt daran, dass mail.contoso.com und <hostname>.contoso.com möglicherweise keine registrierten Domänen in Microsoft 365 sind.

                  Die Abbildung zeigt ein Beispiel für das Einrichten eines Connectors zur Verwendung des Contoso.com-Formats.                            

    Abbildung: Einrichten des Connectors für die Verwendung des Formats „contoso.com“ (z. B.)

Schritt 2: Registrieren Sie Ihre Domäne in Microsoft 365

Führen Sie die Schritte im folgenden Office-Artikel aus, um Ihre Domäne zu registrieren:

              Benutzer und Domäne zu Microsoft 365 hinzufügen

Klicken Sie im Microsoft 365 Admin Center auf Setup und dann auf Domänen, um die Liste der registrierten Domänen anzuzeigen.

                             Der Screenshot zeigt die Schritte zur Anzeige der registrierten Domains.                                           

Schritt 3: Konfigurieren Ihrer lokalen Umgebung

Gehen Sie folgendermaßen vor, um die lokale Umgebung zu konfigurieren:

  1. Wenn Ihre Organisation den Exchange Server für den lokalen Server verwendet, konfigurieren Sie den Server so, dass Nachrichten über TLS gesendet werden. Informationen hierzu finden Sie unter Einrichten Ihres E-Mail-Servers zur Weiterleitung von E-Mails ins Internet über Microsoft 365.

    Hinweis

    Wenn Sie den Hybridkonfigurations-Assistenten bereits verwendet haben, können Sie ihn weiterhin verwenden. Stellen Sie jedoch sicher, dass Sie ein Zertifikat verwenden, das den Kriterien entspricht, die in Schritt 1, Unterschritt 5 dieses Abschnitts beschrieben werden.

  2. Installieren Sie ein Zertifikat in Ihrer lokalen Umgebung. Informationen hierzu finden Sie unter Schritt 6: Konfigurieren eines SSL-Zertifikats.

Informationsquellen

Weitere Informationen zum Erfüllen der Connectoreinstellungsanforderung finden Sie unter Wichtiger Hinweis zu Connectors.

Weitere Informationen zur Weiterleitung von Nachrichten über Microsoft 365 finden Sie im Abschnitt „Einrichten eines Mailflusses, bei dem sich einige Postfächer in Microsoft 365 und einige Postfächer auf den Mailservern Ihres Unternehmens befinden“ in Bewährte Praktiken für den Mailfluss für Exchange Online und Microsoft 365.

Weitere Hilfe erforderlich? Besuchen Sie die Microsoft Community oder die Exchange-TechNet-Foren.