Planen ausgehender E-Mails für eine SharePoint Server-Farm
GILT FÜR:
2013 2016 2019 Subscription Edition 
SharePoint in Microsoft 365
Ausgehende E-Mails sind die Grundlage, auf der Websiteadministratoren mehrere E-Mail-Benachrichtigungsfeatures implementieren können. Mithilfe dieser Features können Endbenutzer Änderungen und Updates an einzelnen Websitesammlungen nachverfolgen, und Websiteadministratoren können Statusnachrichten übermitteln.
Informationen zu ausgehenden E-Mails
Die ordnungsgemäße Konfiguration ausgehender E-Mails ist eine Voraussetzung für die Implementierung von E-Mail-Warnungen und -Benachrichtigungen. Das Feature für ausgehende E-Mails verwendet einen SMTP-Dienst (Simple Mail Transfer Protocol), um E-Mail-Warnungen und -Benachrichtigungen weiterzuführen. Diese E-Mail-Features umfassen Folgendes:
Benachrichtigungen
In einer großen und wachsenden Websitesammlung benötigen Benutzer eine Möglichkeit, mit Updates für Listen, Bibliotheken und Diskussionen auf dem Laufenden zu bleiben. Warnungen helfen, Benutzer über Änderungen auf dem Laufenden zu halten. Wenn beispielsweise viele Benutzer an demselben Dokument arbeiten, kann der Besitzer des Dokuments Benachrichtigungen einrichten, um benachrichtigt zu werden, wenn Änderungen an dem Dokument vorgenommen wurden. Benutzer können angeben, welche Bereiche der Websitesammlung oder welche Dokumente sie nachverfolgen möchten, und sie können entscheiden, wie of sie Benachrichtigungen empfangen möchten.
Hinweis
Benutzer müssen mindestens über Ansichtsberechtigungen verfügen, um Warnungen einzurichten.
Verwaltungsnachrichten
Websiteadministratoren möchten möglicherweise benachrichtigt werden, wenn Benutzer den Zugriff auf eine Website anfordern oder wenn Websitebesitzer den angegebenen Speicherplatz überschritten haben. Durch das Einrichten ausgehender E-Mails können Websiteadministratoren automatische Benachrichtigungen bei Problemen mit der Websiteverwaltung erhalten.
Die Unterstützung ausgehender E-Mails kann sowohl auf Serverfarmebene (verfügbar im Abschnitt Systemeinstellungen der SharePoint-Zentraladministrationswebsite) als auch auf Webanwendungsebene (verfügbar im Abschnitt Anwendungsverwaltung der Zentraladministration) aktiviert werden. Ausgehende E-Mail-Einstellungen auf Webanwendungsebene setzen die einstellungen auf Serverfarmebene außer Kraft. Sie können auch verschiedene Einstellungen für eine bestimmte Webanwendung angeben.
Wichtige Planungsphasen für ausgehende E-Mails
Sie müssen beim Planen der Einstellungen für ausgehende E-Mails die folgenden Komponenten berücksichtigen:
Ein SMTP-Dienst zum Weiterleiten von E-Mail-Warnungen und Benachrichtigungen. Sie benötigen den DNS-Namen oder die IP-Adresse des zu verwendenden SMTP-Mailservers.
Eine Adresse zur Verwendung in der Kopfzeile einer Benachrichtigung, mit der der Absender der Nachricht identifiziert wird.
Eine Antwortadresse, die im Feld An einer Nachricht angezeigt wird, wenn ein Benutzer auf eine Warnung oder Benachrichtigung antwortet.
Einen Zeichensatz zur Verwendung im Textkörper von Benachrichtigungen.
SMTP-Server für ausgehende Nachrichten
Der SMTP-Dienst ist eine Komponente von Internetinformationsdienste (IIS); Es ist jedoch nicht standardmäßig mit IIS aktiviert. Sie kann mithilfe des Assistenten zum Hinzufügen von Rollen und Features im Server-Manager aktiviert werden.
Nachdem ermittelt wurde, welcher SMTP-Server verwendet werden soll, muss der SMTP-Server so konfiguriert werden, dass anonymer Zugriff zugelassen und E-Mail-Nachrichten weitergeleitet werden können. Darüber hinaus muss der SMTP-Server über Internetzugriff verfügen, wenn Sie Nachrichten an externe E-Mail-Adressen senden möchten.
Weitere Informationen zum Installieren, Konfigurieren und Verwalten des SMTP-Diensts finden Sie unter Konfiguration für ausgehende E-Mails .
Hinweis
Nur ein Mitglied der Gruppe der Farmadministratoren kann einen SMTP-Server konfigurieren. Der Benutzer muss auch ein Mitglied der Gruppe Administratoren auf dem lokalen Server sein.
"Von"- und "Antwort-an"-Adresse
Beim Konfigurieren ausgehender E-Mails können Sie die folgenden beiden Adressen konfigurieren:
"Von"-Adresse
Warnungen und Benachrichtigungen werden von einem Administratorkonto in der Serverfarm gesendet. Dieses Konto ist wahrscheinlich nicht das Konto, das im Feld Von einer E-Mail-Nachricht angezeigt werden soll. Die von Ihnen verwendete Adresse muss keinem tatsächlichen E-Mail-Konto entsprechen. Es kann eine einfache freundliche Adresse sein, die für einen Endbenutzer erkennbar ist. Beispielsweise kann "Websiteadministrator" eine geeignete From-Adresse sein.
"Antwort-an"-Adresse
Dies ist die Adresse, die im Feld An einer Nachricht angezeigt wird, wenn ein Benutzer auf eine Warnung oder Benachrichtigung antwortet. Bei der Antwortadresse sollte es sich auch um ein überwachtes Konto handeln, damit sichergestellt ist, dass Endbenutzer auf Probleme, die sie möglicherweise haben, auch unmittelbar eine Antwort bekommen. Ein Helpdeskalias kann beispielsweise eine geeignete Antwortadresse sein.
Zeichensatz
Wenn Sie ausgehende E-Mails konfigurieren, müssen Sie den Zeichensatz angeben, der im Textkörper von E-Mail-Nachrichten verwendet werden soll. Ein Zeichensatz ist eine Zuordnung von Zeichen zu ihren identifizierenden Codewerten. Der Standardzeichensatz für ausgehende E-Mails ist Unicode UTF-8. Dadurch können die meisten Zeichenkombinationen (einschließlich bidirektionalem Text) in einem einzelnen Dokument gleichzeitig vorhanden sein. In den meisten Fällen funktioniert die Standardeinstellung von UTF-8 gut, obwohl ostasiatische Sprachen am besten mit einem eigenen Zeichensatz gerendert werden.
Beachten Sie, dass bei Auswahl eines bestimmten Sprachcodes der Text in E-Mail-Programmen, die für andere Sprachen konfiguriert sind, möglicherweise nicht ordnungsgemäß angezeigt wird.
SMTP-Serverauthentifizierung
Die SMTP-Serverauthentifizierungsfunktion ist nur in SharePoint Server 2019 verfügbar.
SharePoint Server 2019 unterstützt anonyme oder Authentifizierungsverbindungen mit SMTP-Servern. Wenn Ihr SMTP-Server eine Authentifizierung erfordert, müssen Sie Anmeldeinformationen angeben, die SharePoint für die Authentifizierung beim SMTP-Server verwendet. Es wird empfohlen, Kontoanmeldeinformationen zu verwenden, die der Von-Adresse entsprechen. Wenn Sie Anmeldeinformationen für ein anderes Konto verwenden möchten, stellen Sie sicher, dass das Konto über die Berechtigung "Senden als" verfügt, um die Identität der Von-Adresse annehmen zu können.
Hinweis
Wenn Sie ein Windows-Konto für die Authentifizierung beim SMTP-Server verwenden, können Sie den Benutzernamen entweder im UPN-Format (Universal Principal Name) (user@domain.com) oder im NT4-Anmeldeformat (DOMAIN\user) angeben. Wenn Sie ein Nicht-Windows-Konto für die Authentifizierung beim SMTP-Server verwenden, wenden Sie sich an Ihren E-Mail-Administrator, um das richtige Benutzernamenformat zu ermitteln.
Sie müssen einen Anwendungsanmeldeinformationsschlüssel auf jedem Server in der Farm festlegen, bevor Sie Anmeldeinformationen angeben. Der Anmeldeinformationsschlüssel der Anwendung ist ein separates Kennwort, das zum Verschlüsseln und Entschlüsseln des SMTP-Kennworts verwendet wird. Der Anmeldeinformationsschlüssel der Anwendung muss auf allen Servern in der Farm identisch sein. Microsoft empfiehlt die Verwendung eines sicheren Kennworts für den Anmeldeinformationsschlüssel der Anwendung, und vermeiden Sie, dasselbe Kennwort wie ihre Farmpassphrase, Farmdienstkonten usw. wiederzuverwenden.
SharePoint unterstützt die folgenden SASL-Mechanismen (Simple Authentication and Security Layer), um sich bei einem SMTP-Server zu authentifizieren:
GSSAPI (Kerberos, NTLM)
NTLM
EINLOGGEN
Hinweis
SharePoint verwendet den folgenden Dienstprinzipalnamen (Service Principal Name, SPN) für die Authentifizierung beim SMTP-Server während der Kerberos- und NTLM-Authentifizierung, wobei <host> der von Ihnen angegebene SMTP-Servername ist:
SMTPSVC/<host>
Verwenden der TLS-Verbindungsverschlüsselung
Legen Sie TLS-Verbindungsverschlüsselung verwenden auf Ja fest, damit SharePoint vor dem Senden von E-Mails eine verschlüsselte Verbindung mit dem SMTP-Server herstellen muss. Auf dem SMTP-Server muss ein gültiges Serverzertifikat installiert sein, um eine verschlüsselte Verbindung herzustellen. Wenn diese Einstellung auf Ja festgelegt ist und keine verschlüsselte Verbindung hergestellt werden kann, werden keine E-Mails gesendet.
Hinweis
SharePoint unterstützt STARTTLS zum Einrichten der TLS-Verbindungsverschlüsselung mit einem SMTP-Server. SMTPS zum Einrichten der SSL-Verbindungsverschlüsselung mit einem SMTP-Server wird nicht unterstützt.
Hinweis
Obwohl SharePoint beim Senden von E-Mails an einen SMTP-Server tls-Verbindungsverschlüsselung erfordern kann, kann es nicht steuern, ob die Verbindungsverschlüsselung verwendet wird, wenn dieser SMTP-Server die E-Mail an andere SMTP-Server sendet. Arbeiten Sie mit Ihrem E-Mail-Administrator zusammen, um Ihre SMTP-Server so zu konfigurieren, dass die Verbindungsverschlüsselung bevorzugt wird.
Verwenden der Clientzertifikatauthentifizierung mit einem SMTP-Server
Hinweis
Dieses Feature Clientzertifikatauthentifizierung mit einem SMTP-Server verwenden ist nur in der SharePoint Server-Abonnementedition verfügbar.
Die Clientzertifikatauthentifizierung über SMTP ist eine optionale, erweiterte Authentifizierungskonfiguration, die es dem "Client" (in diesem Szenario SharePoint) ermöglicht, sich mithilfe eines X.509-Zertifikats, das der Client dem Server präsentiert, beim SMTP-Server zu authentifizieren. Diese Authentifizierung erfolgt entweder "anstelle" oder "zusätzlich zu" den Anmeldeinformationen für Benutzername/Kennwort. Diese Konfiguration ist nicht üblich, kann aber in Umgebungen mit hoher Sicherheit verwendet werden, in denen die standard-Authentifizierung mit Benutzername und Kennwort nicht als ausreichend angesehen wird.
Hinweis
Sie müssen keine Clientzertifikatauthentifizierung verwenden, um die TLS-Verbindungsverschlüsselung mit dem SMTP-Server zu verwenden.
Im Folgenden sind die Anforderungen für SharePoint für die Verwendung der Clientzertifikatauthentifizierung mit einem SMTP-Server aufgeführt:
- Der SMTP-Server muss für die Unterstützung von STARTTLS für die TLS-Verbindungsverschlüsselung konfiguriert werden.
- Der SMTP-Server muss so konfiguriert werden, dass er beim Herstellen von TLS-Verbindungen mithilfe von STARTTLS Clientzertifikate akzeptiert oder erfordert.
- SharePoint muss für die Verwendung der TLS-Verbindungsverschlüsselung mit dem SMTP-Server konfiguriert sein.
- SharePoint muss so konfiguriert werden, dass beim Herstellen einer Verbindung mit dem SMTP-Server ein Clientzertifikat verwendet wird.
- SharePoint-Prozesskonten, die E-Mails senden (einschließlich des SharePoint-Farmdienstkontos und des Webanwendungsdienstkontos), müssen über die Berechtigung zum Lesen des privaten Schlüssels des X.509-Zertifikats verfügen.
- Das X.509-Zertifikat muss die folgenden Anforderungen erfüllen:
- Das X.509-Zertifikat muss sich im Zertifikatspeicher "End Entity" in SharePoint befinden.
- Das X.509-Zertifikat muss RSA- oder ECC-Schlüssel (ECDSA) verwenden. DSA-Schlüssel werden nicht unterstützt.
- Das X.509-Zertifikat muss über einen privaten Schlüssel verfügen.
- Wenn das X.509-Zertifikat über eine Schlüsselverwendungserweiterung verfügt, muss die Erweiterung die Verwendung "Digitale Signatur" enthalten.
- Wenn das X.509-Zertifikat über eine Erweiterung für die erweiterte Schlüsselverwendung verfügt, muss die Erweiterung die Verwendung "Clientauthentifizierung" (OID: 1.3.6.1.5.5.7.3.2) enthalten.
Beispielscreenshot für die Konfiguration in der Zentraladministration:
E-Mail-Identitätswechsel
Einige SharePoint-Features können beim Senden von E-Mails die Identität von Endbenutzern annehmen, um die Nachricht zu personalisieren. Wenn ein Benutzer beispielsweise Zugriff auf eine Website anfordert, legt SharePoint die "Von"-Adresse der E-Mail-Benachrichtigung auf den Benutzer fest, der die Anforderung gestellt hat.
Einige SMTP-Server blockieren möglicherweise den Identitätswechsel, um Benutzer vor nicht autorisierten Versuchen zu schützen, ihre Identitäten zu spoofen. Wenn Ihr SMTP-Server den Identitätswechsel blockiert, gibt es mehrere Optionen, um das Senden von SharePoint-E-Mails zuzulassen:
Erteilen der Berechtigung für das authentifizierte SharePoint-E-Mail-Konto zum Annehmen der Identität von Benutzern
Mit Microsoft Exchange Server können Sie einem Benutzer beim Senden von E-Mails über einen Empfangsconnector die Berechtigung zum Annehmen der Identität anderer Benutzer erteilen. Zu diesen Berechtigungen gehören:
| Empfangsconnectorberechtigung | Beschreibung |
|---|---|
| ms-Exch-SMTP-Submit |
Der Sitzung muss diese Berechtigung erteilt werden, andernfalls kann sie keine Nachrichten an diesen Empfangsconnector senden. Wenn eine Sitzung nicht über diese Berechtigung verfügt, schlagen die Befehle MAIL FROM und AUTH fehl. |
| ms-Exch-SMTP-Accept-Any-Recipient |
Mit dieser Berechtigung ist die Sitzung in der Lage, Nachrichten über diesen Connector weiterzugeben. Wird diese Berechtigung nicht gewährt, akzeptiert der Connector nur Nachrichten an Empfänger in zugelassenen Domänen. |
| ms-Exch-SMTP-Accept-Any-Sender |
Mit dieser Berechtigung ist die Sitzung in der Lage, die Spoofingprüfung der Absenderadresse zu umgehen. ANMERKUNG: Diese Berechtigung ist nur erforderlich, wenn SharePoint die Identität von Benutzern an nimmt, deren E-Mail-Konto nicht von Ihrer Organisation verwaltet wird. |
| ms-Exch-SMTP-Accept-Authoritative-Domain-Sender |
Mit dieser Berechtigung können Absender, die über E-Mail-Adressen in autoritativen Domänen verfügen, eine Sitzung für diesen Empfangsconnector einrichten. |
| ms-Exch-Accept-Headers-Routing |
Mit dieser Berechtigung ist die Sitzung in der Lage, eine Nachricht zu übermitteln, bei der alle empfangenen Kopfzeilen intakt sind. Wenn diese Berechtigung nicht erteilt wird, entfernt der Server alle empfangenen Kopfzeilen. |
Führen Sie diesen Befehl auf Ihrem Microsoft Exchange Server aus, um dem sharePoint-authentifizierten E-Mail-Konto die Berechtigung zum Annehmen der Identität anderer Benutzer über einen Empfangsconnector zu erteilen:
Get-ReceiveConnector "<Receive Connector Name>" | Add-ADPermission -User <DOMAIN\AuthenticatedEmailAccount> -ExtendedRights ms-Exch-SMTP-Submit, ms-Exch-SMTP-Accept-Any-Recipient, ms-Exch-SMTP-Accept-Any-Sender, ms-Exch-SMTP-Accept-Authoritative-Domain-Sender, ms-Exch-Accept-Headers-RoutingHinweis
Bei Verwendung von Microsoft Exchange Server 2013 oder höher sollte diese Berechtigung auf den Clientproxy-Empfangsconnector angewendet werden. Bei Verwendung von Microsoft Exchange Server 2010 oder früher sollte diese Berechtigung auf den Client-Front-End-Empfangsconnector angewendet werden.
Deaktivieren des SharePoint-E-Mail-Identitätswechsels
Sie können jede SharePoint-Webanwendung so konfigurieren, dass der E-Mail-Identitätswechsel deaktiviert wird. Dadurch wird sichergestellt, dass SharePoint immer die Auf- und Reply-To Adresse verwendet, die auf Webanwendungsebene angegeben sind. Führen Sie Folgendes aus, um den SharePoint-E-Mail-Identitätswechsel zu deaktivieren:
Starten Sie die SharePoint 2019-Verwaltungsshell.
Führen Sie die folgenden Befehle aus:
$webapp = Get-SPWebApplication <web application URL> $webapp.OutboundMailOverrideEnvelopeSender = $true $webapp.Update()
Verwenden eines extern gesicherten Empfangsconnectors
Microsoft Exchange Server-Empfangsconnectors können so konfiguriert werden, dass alle E-Mails automatisch als authentifiziert gelten, auch wenn keine Authentifizierung durchgeführt wird. SharePoint sendet dann anonym E-Mails an diesen Empfangsconnector. Führen Sie die folgenden Schritte aus, um einen extern gesicherten Empfangsconnector zu erstellen:
- Erstellen Sie einen dedizierten "Benutzerdefinierten" Empfangsconnector für die SharePoint-Farm.
- Legen Sie die Berechtigungsgruppe des Empfangsconnectors auf "Exchange-Server" fest.
- Legen Sie den Authentifizierungstyp des Empfangsconnectors auf "extern gesichert" fest.
Aufgrund des Risikos von Spoofing in dieser Konfiguration wird empfohlen, die IP-Adressen einzuschränken, von der dieser Empfangsconnector E-Mail-Nachrichten nur an die Server in Ihrer SharePoint-Farm akzeptiert.
Siehe auch
Konzepte
Konfigurieren ausgehender E-Mails für eine SharePoint Server-Farm