Freigeben über


Verwalten des Nachrichtenflusses mithilfe eines Clouddiensts eines Drittanbieters mit Exchange Online

In diesem Thema werden die folgenden komplexen Nachrichtenflussszenarien mit Exchange Online behandelt:

Szenario 1: MX-Eintrag verweist auf den Spamfilterdienst eines Drittanbieters

Szenario 2: MX-Eintrag verweist auf die Drittanbieterlösung ohne Spamfilterung

Hinweis

Beispiele in diesem Thema verwenden die fiktive Organisation Contoso, die die Domäne contoso.com besitzt und ein Mandant in Exchange Online ist. Dies ist nur ein Beispiel. Sie können dieses Beispiel bei Bedarf an den Domänennamen und die IP-Adressen des Drittanbieterdiensts anpassen.

Verwenden eines Clouddiensts eines Drittanbieters mit Microsoft 365 oder Office 365

Szenario 1: MX-Eintrag verweist auf den Spamfilterdienst eines Drittanbieters

Wichtig

Microsoft empfiehlt dringend, die erweiterte Filterung für Connectors zu aktivieren oder die Filterung mithilfe einer Nachrichtenflussregel vollständig zu umgehen (siehe Punkt 5). Wenn Sie diesen Schritt nicht befolgen, führt dies unweigerlich zu einer Fehlklassifizierung des eingehenden Hauptteils in Ihrer Organisation und zu einer untergeordneten Erfahrung für Microsoft 365-E-Mail- und Schutzfunktionen.

Microsoft empfiehlt auch, Dienste von Drittanbietern hinzuzufügen, die Nachrichten während der Übertragung als vertrauenswürdige ARC-Siegel ändern, wenn der Dienst ARC-Versiegelung unterstützt. Hinzufügen des Diensts als vertrauenswürdiger ARC-Versiegelung hilft betroffenen Nachrichten, E-Mail-Authentifizierungsprüfungen zu bestehen und zu verhindern, dass legitime Nachrichten in den Junk-E-Mail-Ordner übermittelt, unter Quarantäne gestellt oder abgelehnt werden. Drittanbieterdienste, die Nachrichten ändern und keine ARC-Versiegelung unterstützen, führen dazu, dass die DKIM-Signaturen dieser Nachrichten ungültig werden. In diesen Fällen sollten Sie den Bericht Spooferkennungen überprüfen und Zulassen von Einträgen für gefälschte Absender erstellen , um E-Mail-Authentifizierungsfehler für legitime Nachrichten außer Kraft zu setzen.

Ich plane, Exchange Online zum Hosten aller Postfächer meiner Organisation zu verwenden. Meine Organisation verwendet einen Clouddienst eines Drittanbieters für die Spam-, Schadsoftware- und Phishingfilterung. Alle E-Mails aus dem Internet müssen zuerst von diesem Clouddienst eines Drittanbieters gefiltert werden, bevor sie an Microsoft 365 oder Office 365 weitergeleitet werden.

In diesem Szenario sieht der Nachrichtenfluss in Ihrer Organisation aus wie im folgenden Diagramm dargestellt:

Diagramm des Nachrichtenflusses: Eingehende E-Mails aus dem Internet zu einem Filterdienst eines Drittanbieters nach Microsoft 365 oder Office 365 und von ausgehenden E-Mails von Microsoft 365 oder Office 365 ins Internet.

Bewährte Methoden für die Verwendung eines Cloudfilterdiensts eines Drittanbieters mit Microsoft 365 oder Office 365

  1. Fügen Sie Ihre benutzerdefinierten Domänen in Microsoft 365 oder Office 365 hinzu. Befolgen Sie die Anweisungen unter Hinzufügen einer Domäne zu Microsoft 365, um nachzuweisen, dass Sie der Besitzer der Domänen sind.

  2. Erstellen Sie Benutzerpostfächer in Exchange Online , oder verschieben Sie die Postfächer aller Benutzer nach Microsoft 365 oder Office 365.

  3. Aktualisieren der DNS-Einträge für die Domänen, die Sie in Schritt 1 hinzugefügt haben. (Sie wissen nicht genau, wie das geht? Befolgen Sie die Anweisungen auf dieser Seite.) Die folgenden DNS-Einträge steuern den Nachrichtenfluss:

    • MX-Eintrag: Der MX-Eintrag Ihrer Domäne muss auf Ihren Drittanbieter verweisen. Befolgen Sie die entsprechenden Richtlinien für das Konfigurieren Ihres MX-Eintrags.

    • SPF-Eintrag: Alle E-Mails, die von Ihrer Domäne an das Internet gesendet werden, stammen aus Microsoft 365 oder Office 365, sodass Ihr SPF-Eintrag den Standardwert für Microsoft 365 oder Office 365 erfordert:

      v=spf1 include:spf.protection.outlook.com -all
      

      Sie müssen den Drittanbieterdienst nur dann in Ihren SPF-Eintrag aufnehmen, wenn Ihre Organisation ausgehende Internet-E-Mails über den Dienst sendet (wobei der Drittanbieterdienst eine Quelle für E-Mails aus Ihrer Domäne wäre).

    Wenn Sie dieses Szenario konfigurieren, wird der "Host", den Sie konfigurieren müssen, um E-Mails vom Drittanbieterdienst zu empfangen, im MX-Eintrag angegeben. Beispiel:

    Beispiel für den Hostnamenwert.

    In diesem Beispiel sollte der Hostname für den Microsoft 365- oder Office 365-Host hubstream-mx.mail.protection.outlook.com sein. Dieser Wert kann von Domäne zu Domäne variieren. Überprüfen Sie daher Ihren Wert unter Konfigurationsdomäne>><auswählen,> um Ihren tatsächlichen Wert zu bestätigen.

  4. Sperren Sie Ihre Exchange Online-Organisation, um nur E-Mails von Ihrem Drittanbieterdienst zu akzeptieren.

    Erstellen und konfigurieren Sie einen Partner-Connector für eingehenden Datenverkehr mithilfe der Parameter TlsSenderCertificateName (bevorzugt) oder SenderIpAddresses , und legen Sie dann die entsprechenden RestrictDomainsToCertificate - oder RestrictDomainsToIPAddresses-Parameter auf $True fest. Alle Nachrichten, die als Smarthost direkt an Exchange Online weitergeleitet werden, werden abgelehnt (da sie nicht über eine Verbindung mit dem angegebenen Zertifikat oder von den angegebenen IP-Adressen empfangen wurden).

    Beispiel:

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToCertificate $true -TlsSenderCertificateName *.contoso.com -RequireTls $true
    

    oder

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToIPAddresses $true -SenderIpAddresses <#static list of on-premises IPs or IP ranges of the third-party service>
    

    Hinweis

    Wenn Sie bereits über einen OnPremises-Connector für eingehende Verbindungen für dasselbe Zertifikat oder die gleiche Absender-IP-Adresse verfügen, müssen Sie dennoch den eingehenden Partnerconnector erstellen (die Parameter RestrictDomainsToCertificate und RestrictDomainsToIPAddresses werden nur auf Partnerconnectors angewendet). Die beiden Connectors können problemlos nebeneinander bestehen.

  5. Für diesen Schritt gibt es zwei Optionen:

    • Erweiterte Filterung für Connectors verwenden (dringend empfohlen): Verwenden Sie die erweiterte Filterung für Connectors (auch als Überspringen der Auflistung bezeichnet) für den eingehenden Partnerconnector, der Nachrichten von der Drittanbieteranwendung empfängt. Dies ermöglicht EOP- und Microsoft Defender XDR für Office 365-Überprüfungen der Nachrichten.

      Hinweis

      Für Hybridszenarien, in denen Drittanbieteranwendungen auf einem lokalen Exchange-Server basieren, um sie an Exchange Online zu senden, müssen Sie auch die erweiterte Filterung für Connectors für den eingehenden OnPremises-Connector in Exchange Online aktivieren.

    • Spamfilterung umgehen: Verwenden Sie eine Nachrichtenflussregel (auch als Transportregel bezeichnet), um die Spamfilterung zu umgehen. Diese Option verhindert die meisten EOP- und Defender für Office 365-Steuerelemente und verhindert daher eine doppelte Antispamprüfung.

      Nachrichtenflussregel, um doppelte Überprüfungen zu verhindern.

      Wichtig

      Anstatt die Spamfilterung mithilfe einer E-Mail-Flussregel zu umgehen, wird dringend empfohlen, die erweiterte Filterung für den Connector (auch als "Eintrag überspringen" bezeichnet) zu aktivieren. Die meisten Drittanbieter von Cloud-Antispamanbietern teilen IP-Adressen für viele Kunden. Das Umgehen der Überprüfung auf diesen IP-Adressen kann spoofte und Phishing-Nachrichten von diesen IP-Adressen zulassen.

Szenario 2: MX-Eintrag verweist auf die Drittanbieterlösung ohne Spamfilterung

Ich plane, Exchange Online zum Hosten aller Postfächer meiner Organisation zu verwenden. Alle E-Mails, die aus dem Internet an meine Domäne gesendet werden, müssen zuerst einen Archivierungs- oder Überwachungsdienst eines Drittanbieters durchlaufen, bevor sie in Exchange Online eintreffen. Alle ausgehenden E-Mails, die von meiner Exchange Online-Organisation an das Internet gesendet werden, müssen ebenfalls über den Dienst gesendet werden. Der Dienst bietet jedoch keine Spamfilterlösung.

In diesem Szenario müssen Sie die erweiterte Filterung für Connectors verwenden. Andernfalls scheinen E-Mails von allen Internet-Absendern vom Drittanbieterdienst zu stammen, nicht aus den tatsächlichen Quellen im Internet.

Diagramm des Nachrichtenflusses, das eingehende E-Mails aus dem Internet zu einer Drittanbieterlösung zu Office 365 oder Microsoft 365 zeigt und ausgehende E-Mails von Microsoft 365 oder Office 365 an die Drittanbieterlösung und dann ins Internet zeigt.

Bewährte Methoden für die Verwendung eines Clouddiensts von Drittanbietern mit Microsoft 365 oder Office 365

Es wird dringend empfohlen, die Von Microsoft 365 und Office 365 bereitgestellten Archivierungs- und Überwachungslösungen zu verwenden.

Siehe auch

Bewährte Methoden für den Nachrichtenfluss für Exchange Online, Microsoft 365, Office 365 (Übersicht)

Einige Nachrichten werden nicht durch die lokale Organisation weitergeleitet, wenn Sie einen zentralisierten E-Mail-Transport verwenden.

Einrichten von Connectors für den sicheren Nachrichtenfluss mit einer Partnerorganisation

Verwalten aller Postfächer und des Nachrichtenflusses mit Microsoft 365 oder Office 365

Verwalten des Nachrichtenflusses mit Postfächern an mehreren Speicherorten (Microsoft 365 oder Office 365 und lokales Exchange)

Verwalten des Nachrichtenflusses mithilfe eines Clouddiensts eines Drittanbieters mit Exchange Online und lokalen Postfächern

Problembehandlung für den Microsoft 365- oder Office 365-E-Mail-Fluss

Testen des E-Mail-Flusses durch Überprüfen Ihrer Connectors