Verwalten des Nachrichtenflusses mithilfe eines Drittanbieter-Clouddiensts mit Exchange Online

In diesem Thema werden die folgenden komplexen Nachrichtenflussszenarien mit Exchange Online behandelt:

Szenario 1: MX-Eintrag verweist auf den Spamfilterdienst eines Drittanbieters

Szenario 2: MX-Eintrag verweist auf die Drittanbieterlösung ohne Spamfilterung

Hinweis

Beispiele in diesem Thema verwenden die fiktive Organisation Contoso, die die Domäne contoso.com besitzt und ein Mandant in Exchange Online ist. Dies ist nur ein Beispiel. Sie können dieses Beispiel bei Bedarf an den Domänennamen Ihrer Organisation und die IP-Adressen des Drittanbieterdiensts anpassen.

Verwenden eines Drittanbieter-Clouddiensts mit Microsoft 365 oder Office 365

Szenario 1: MX-Eintrag verweist auf den Spamfilterdienst eines Drittanbieters

Wichtig

Microsoft empfiehlt dringend, die erweiterte Filterung für Connectors zu aktivieren oder die Filterung vollständig mithilfe einer Nachrichtenflussregel zu umgehen (lesen Sie Punkt 5). Wenn Sie dies nicht befolgen, führt dies zwangsläufig zu einer fehlerhaften Klassifizierung eingehender E-Mails an Ihre Organisation und zu einer subparenten Erfahrung Office 365 E-Mail- und Schutzfunktionen.

Ich möchte Exchange Online verwenden, um alle Postfächer meiner Organisation zu hosten. Meine Organisation verwendet einen Drittanbieter-Clouddienst für Spam-, Schadsoftware- und Phishingfilterung. Alle E-Mails aus dem Internet müssen zuerst von diesem Drittanbieter-Clouddienst gefiltert werden, bevor sie an Microsoft 365 oder Office 365 weitergeleitet werden.

In diesem Szenario sieht der Nachrichtenfluss in Ihrer Organisation aus wie im folgenden Diagramm dargestellt:

Diagramm für den Nachrichtenfluss, das eingehende E-Mails aus dem Internet an einen Filterdienst eines Drittanbieters zeigt, um Microsoft 365 oder Office 365 und ausgehende E-Mails von Microsoft 365 oder Office 365 in das Internet zu senden.

Bewährte Methoden für die Verwendung eines Drittanbieter-Cloudfilterdiensts mit Microsoft 365 oder Office 365

  1. Fügen Sie Ihre benutzerdefinierten Domänen in Microsoft 365 oder Office 365 hinzu. Um nachzuweisen, dass Sie besitzer der Domänen sind, befolgen Sie die Anweisungen unter Hinzufügen einer Domäne zu Microsoft 365.

  2. Erstellen Sie Benutzerpostfächer in Exchange Online oder verschieben Sie die Postfächer aller Benutzer in Microsoft 365 oder Office 365.

  3. Aktualisieren der DNS-Einträge für die Domänen, die Sie in Schritt 1 hinzugefügt haben. (Sie sind nicht sicher, wie Sie dies tun? Befolgen Sie die Anweisungen auf dieser Seite.) Die folgenden DNS-Einträge steuern den Nachrichtenfluss:

    • MX-Eintrag: Der MX-Eintrag Ihrer Domäne muss auf Ihren Drittanbieter verweisen. Befolgen Sie die entsprechenden Richtlinien für das Konfigurieren Ihres MX-Eintrags.

    • SPF-Eintrag: Alle E-Mails, die von Ihrer Domäne an das Internet gesendet werden, stammen aus Microsoft 365 oder Office 365, sodass Ihr SPF-Eintrag den Standardwert für Microsoft 365 oder Office 365 erfordert:

      v=spf1 include:spf.protection.outlook.com -all
      

      Sie müssen den Drittanbieterdienst nur dann in Ihren SPF-Eintrag aufnehmen, wenn Ihre Organisation ausgehende Internet-E-Mails über den Dienst sendet (wobei der Drittanbieterdienst eine Quelle für E-Mails aus Ihrer Domäne wäre).

    Wenn Sie dieses Szenario konfigurieren, wird der "Host", den Sie für den Empfang von E-Mails vom Drittanbieterdienst konfigurieren müssen, im MX-Eintrag angegeben. Zum Beispiel:

    Beispiel für Hostnamenwert.

    In diesem Beispiel sollte der Hostname für den Microsoft 365 oder Office 365 Host hubstream-mx.mail.protection.outlook.com sein. Dieser Wert kann von Domäne zu Domäne variieren. Überprüfen Sie daher Ihren Wert in der > Konfigurationsdomäne, > <select domain> um Ihren tatsächlichen Wert zu bestätigen.

  4. Sperren Sie Ihre Exchange Online Organisation, um nur E-Mails von Ihrem Drittanbieterdienst zu akzeptieren.

    Erstellen und konfigurieren Sie einen eingehenden Partner-Connector mithilfe der Parameter "TlsSenderCertificateName" (bevorzugt) oder "SenderIpAddresses", und legen Sie dann die entsprechenden Parameter "RestrictDomainsToCertificate" oder "RestrictDomainsToIPAddresses" auf $True fest. Alle Nachrichten, die vom Smarthost direkt an Exchange Online weitergeleitet werden, werden abgelehnt (da sie nicht über eine Verbindung mithilfe des angegebenen Zertifikats oder von den angegebenen IP-Adressen empfangen wurden).

    Zum Beispiel:

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToCertificate $true -TlsSenderCertificateName *.contoso.com -RequireTls $true
    

    oder

    New-InboundConnector -Name "Reject mail not routed through MX (third-party service name)" -ConnectorType Partner -SenderDomains * -RestrictDomainsToIPAddresses $true -SenderIpAddresses <#static list of on-premises IPs or IP ranges of the third-party service>
    

    Hinweis

    Wenn Sie bereits über einen OnPremises-Eingehenden Connector für dieselben Zertifikat- oder Absender-IP-Adressen verfügen, müssen Sie dennoch den eingehenden Partnerconnector erstellen (die Parameter RestrictDomainsToCertificate und RestrictDomainsToIPAddresses werden nur auf Partnerconnectors angewendet). Die beiden Connectors können problemlos nebeneinander vorhanden sein.

  5. Für diesen Schritt gibt es zwei Optionen:

    • Verwenden Sie die erweiterte Filterung für Connectors (dringend empfohlen): Verwenden Sie die erweiterte Filterung für Connectors (auch als Skip-Eintrag bezeichnet) für den eingehenden Partnerconnector, der Nachrichten von der Drittanbieteranwendung empfängt. Dadurch können EOP und Microsoft 365 Defender die Nachrichten Office 365 überprüfen.

      Hinweis

      Für Hybridszenarien, in denen Anwendungen von Drittanbietern auf Exchange lokalen Zum Senden an Exchange Online angewiesen sind, müssen Sie auch die erweiterte Filterung für Connectors im lokalen eingehenden Connector aktivieren.

    • Umgehen der Spamfilterung: Verwenden Sie eine Nachrichtenflussregel (auch als Transportregel bezeichnet), um die Spamfilterung zu umgehen. Diese Option verhindert die meisten EOP- und Defender-Steuerelemente für Office 365 und verhindert daher eine doppelte Antispamüberprüfung.

      Nachrichtenflussregel zum Verhindern der doppelten Überprüfung.

      Wichtig

      Anstatt die Spamfilterung mithilfe einer Nachrichtenflussregel zu umgehen, wird dringend empfohlen, die erweiterte Filterung für Connector (auch bekannt als Skip Listing)zu aktivieren. Die meisten Drittanbieter von Cloud-Antispamanbietern teilen ip-Adressen zwischen vielen Kunden. Das Umgehen der Überprüfung auf diesen IP-Adressen kann Spoofing- und Phishingnachrichten von diesen IP-Adressen zulassen.

Szenario 2: MX-Eintrag verweist auf die Drittanbieterlösung ohne Spamfilterung

Ich möchte Exchange Online verwenden, um alle Postfächer meiner Organisation zu hosten. Alle E-Mails, die aus dem Internet an meine Domäne gesendet werden, müssen zuerst durch einen Archivierungs- oder Überwachungsdienst eines Drittanbieters fließen, bevor sie in Exchange Online eintreffen. Alle ausgehenden E-Mails, die von meiner Exchange Online Organisation an das Internet gesendet werden, müssen ebenfalls über den Dienst fließen. Der Dienst stellt jedoch keine Spamfilterlösung bereit.

In diesem Szenario müssen Sie die erweiterte Filterung für Connectorsverwenden. Andernfalls scheinen E-Mails von allen Internet-Absendern vom Drittanbieterdienst und nicht von den tatsächlichen Quellen im Internet zu stammen.

Diagramm für den Nachrichtenfluss, das eingehende E-Mails aus dem Internet an eine Drittanbieterlösung für Office 365 oder Microsoft 365 zeigt und ausgehende E-Mails von Microsoft 365 oder Office 365 an die Drittanbieterlösung und dann an das Internet zeigt.

Bewährte Methoden für die Verwendung eines Drittanbieter-Clouddiensts mit Microsoft 365 oder Office 365

Es wird dringend empfohlen, die Von Microsoft 365 und Office 365 bereitgestellten Archivierungs- und Überwachungslösungen zu verwenden.

Siehe auch

Bewährte Methoden für den Nachrichtenfluss für Exchange Online, Microsoft 365, Office 365 (Übersicht)

Einrichten von Connectors für den sicheren Nachrichtenfluss mit einer Partnerorganisation

Verwalten aller Postfächer und des Nachrichtenflusses mit Microsoft 365 oder Office 365

Verwalten des Nachrichtenflusses mit Postfächern an mehreren Speicherorten (Microsoft 365 oder Office 365 und lokale Exchange)

Verwalten des Nachrichtenflusses mithilfe eines Drittanbieter-Clouddiensts mit Exchange Online und lokalen Postfächern

Problembehandlung bei Microsoft 365 oder Office 365 Nachrichtenflusses

Testen des Nachrichtenflusses durch Überprüfen der Connectors