Transportoptionen in Exchange-HybridbereitstellungenTransport options in Exchange hybrid deployments

In Hybridbereitstellungen können Sie Postfächer verwenden, die sich in der lokalen Exchange-Organisation und auch in einer Exchange Online-Organisation befinden. Damit diese beiden separaten Organisationen als eine kombinierte Organisation für Benutzer und zwischen ihnen ausgetauschte Nachrichten angezeigt werden, ist der Hybridtransport unabdingbar. Der Hybridtransport ermöglicht es, dass zwischen Empfängern in den Organisationen gesendete Nachrichten mithilfe von TLS (Transport Layer Security) authentifiziert, verschlüsselt und übertragen werden. Diese Nachrichten werden gegenüber Exchange-Komponenten wie Transportregeln, Journaling und Antispamrichtlinien als „intern" angezeigt werden. Der Hybridtransport wird vom Assistenten für die Hybridkonfiguration automatisch konfiguriertIn hybrid deployments, you can have mailboxes that reside in your on-premises Exchange organization and also in an Exchange Online organization. A critical component of making these two separate organizations appear as one combined organization to users and messages exchanged between them is hybrid transport. With hybrid transport, messages sent between recipients in either organization are authenticated, encrypted, and transferred using Transport Layer Security (TLS). These messages appear as "internal" to Exchange components such as transport rules, journaling, and anti-spam policies. Hybrid transport is automatically configured by the Hybrid Configuration wizard.

Damit die Hybridtransportkonfiguration mit dem Assistenten für die Hybridkonfiguration funktioniert, muss es sich bei dem lokalen SMTP-Endpunkt, der Verbindungen von Exchange Online akzeptiert, um einen Postfachserver (Exchange 2016 und neuer), Clientzugriffsserver (Exchange 2013), Hub-Transport-Server (Exchange 2010 und älter) oder um einen Edge-Transport-Server (Exchange 2010 und neuer) handeln.For hybrid transport configuration to work with the Hybrid Configuration wizard, the on-premises SMTP endpoint that accepts connections from Exchange Online must be a Mailbox server (Exchange 2016 and newer), Client Access server (Exchange 2013), Hub Transport server (Exchange 2010 and older), or an Edge Transport server (Exchange 2010 and newer).

Wichtig

Platzieren Sie keine Server, Dienste oder Geräte, die SMTP-Datenverkehr verarbeiten oder ändern, zwischen Ihren lokalen Exchange-Servern und Office 365. Das Sichern der E-Mail-Übertragung zwischen Ihrer lokalen Exchange-Organisation und Office 365 hängt von Informationen ab, die in Nachrichten, die innerhalb der Organisation gesendet werden, enthalten sind. Firewalls, die SMTP-Datenverkehr über TCP-Port 25 ohne Änderung zulassen, werden unterstützt. Wenn ein Server, Dienst oder Gerät eine Nachricht verarbeitet, die zwischen der lokalen Exchange-Organisation und Office 365 gesendet wird, werden diese Informationen entfernt. Wenn dies der Fall ist, wird die Nachricht nicht mehr als organisationsintern eingestuft und unterliegt Antispamfiltern, Transport- und Journalregeln sowie andere Richtlinien, die möglicherweise nicht für die Nachricht gelten.Don't place any servers, services, or devices between your on-premises Exchange servers and Office 365 that process or modify SMTP traffic. Secure mail flow between your on-premises Exchange organization and Office 365 depends on information contained in messages sent between the organization. Firewalls that allow SMTP traffic on TCP port 25 through without modification are supported. If a server, service, or device processes a message sent between your on-premises Exchange organization and Office 365, this information is removed. If this happens, the message will no longer be considered internal to your organization and will be subject to anti-spam filtering, transport and journal rules, and other policies that may not apply to it.

Eingehende Nachrichten, die von externen Absendern im Internet an Empfänger in beiden Organisationen gesendet werden, verwenden eine allgemeine eingehende Route. Ausgehende Nachrichten, die von den Organisationen an externe Empfänger im Internet gesendet werden, können entweder eine allgemeine ausgehende Route verwenden oder über unabhängige Routen gesendet werden.Inbound messages sent to recipients in both organizations from external Internet senders follow a common inbound route. Outbound messages sent from the organizations to external Internet recipients can either follow a common outbound route or can be sent via independent routes.

Wenn Sie die Hybridbereitstellung planen und konfigurieren, müssen Sie festlegen, wie eingehende und ausgehende Nachrichten weitergeleitet werden sollen. Die Route von eingehenden und ausgehenden Nachrichten, die an Empfänger und von Empfängern in der lokalen und der Exchange Online-Organisation gesendet werden, hängt von folgenden Bedingungen ab:You'll need to choose how to route inbound and outbound mail when you plan and configure your hybrid deployment. The route taken by inbound and outbound messages sent to and from recipients in the on-premises and Exchange Online organizations depends on the following:

  • Möchten Sie, dass eingehende Internet-E-Mails sowohl für lokale als auch für Exchange Online-Postfächer über Exchange Online oder Ihre lokale Organisation weitergeleitet werden?Do you want to route inbound Internet mail for both your on-premises and Exchange Online mailboxes through Exchange Online or through your on-premises organization?

    Wohin eingehende Nachrichten für beide Organisationen weitergeleitet werden, hängt von verschiedenen Faktoren ab, u. a. davon, wo sich die Mehrheit Ihrer Postfächer befindet, ob Sie Ihre lokale Organisation mithilfe von Antimalware- und Antispamfiltern von Office 365 schützen möchten und ob Ihre Kompatibilitätsinfrastruktur konfiguriert ist.The route that inbound messages for both organizations take depends on various factors, such as where the majority of your mailboxes are located, whether you want to protect your on-premises organization using Office 365's anti-malware and anti-spam scanning, where your compliance infrastructure is configured, and so on.

  • Sollen ausgehende Nachrichten von Ihrer Exchange Online-Organisation an externe Empfänger über Ihre lokale Organisation (zentraler E-Mail-Transport) weitergeleitet werden, oder sollen sie direkt an das Internet weitergeleitet werden?Do you want to route outbound mail to external recipients from your Exchange Online organization through your on-premises organization (centralized mail transport), or do you want to route it directly to the Internet?

    Beim zentralen E-Mail-Transport können Sie alle E-Mails von Postfächern in der Exchange Online-Organisation über die lokale Organisation weiterleiten, bevor sie an das Internet zugestellt werden. Diese Methode ist hilfreich in Richtlinientreueszenarien, in denen alle Nachrichten an das und vom Internet von lokalen Servern verarbeitet werden müssen. Alternativ können Sie Exchange Online so konfigurieren, dass Nachrichten von externen Empfängern direkt an das Internet zugestellt werden.With centralized mail transport, you can route all mail from mailboxes in the Exchange Online organization through the on-premises organization before they're delivered to the Internet. This approach is helpful in compliance scenarios where all mail to and from the Internet must be processed by on-premises servers. Alternately, you can configure Exchange Online to deliver messages for external recipients directly to the Internet.

    Hinweis

    Der zentrale E-Mail-Transport wird nur für Organisationen empfohlen, die aufgrund der Richtlinientreue spezielle Transportanforderungen haben. Für typische Exchange-Organisationen empfiehlt es sich, den zentralen E-Mail-Transport nicht aktivieren, da so möglicherweise die Menge der von Ihren lokalen Servern verarbeiteten Nachrichten erheblich erhöht, die verwendete Bandbreite erhöht und eine nicht benötigte Abhängigkeit auf Ihren lokalen Servern erstellt wird.Centralized mail transport is only recommended for organizations with specific compliance-related transport needs. Our recommendation for typical Exchange organizations is not to enable centralized mail transport as it can significantly increase the amount of messages processed by your on-premises servers, increase the bandwidth used, and create an unnecessary dependency on your on-premises servers.

  • Möchten Sie in Ihrer lokalen Organisation einen Edge-Transport-Server bereitstellen?Do you want to deploy an Edge Transport server in your on-premises organization?

    Wenn die der Domäne beigetretenen internen Exchange-Server nicht direkt für das Internet zugänglich sein sollen, können Sie im Umkreisnetzwerk Edge-Transport-Server bereitstellen. Weitere Informationen zum Hinzufügen eines Edge-Transport-Servers zu Ihrer Hybridbereitstellung finden Sie unter Edge-Transport-Server in Hybridbereitstellungen.If you don't want to expose your domain-joined internal Exchange servers directly to the Internet, you can deploy Edge Transport servers in your perimeter network. For more information about adding an Edge Transport server to your hybrid deployment, see Edge Transport servers with hybrid deployments.

Unabhängig davon, wie Sie Nachrichten an das und vom Internet weiterleiten möchten, wird für alle Nachrichten, die zwischen der lokalen und der Exchange Online-Organisation gesendet werden, der sichere Transport verwendet. Weitere Informationen finden Sie weiter unten in diesem Thema im Abschnitt Vertrauenswürdige Kommunikation.Regardless of how you route messages to and from the Internet, all messages sent between the on-premises and Exchange Online organizations are sent using secure transport. For more information, see Trusted communication later in this topic.

Weitere Informationen dazu, wie diese Optionen das Nachrichtenrouting in Ihrer Organisation beeinflussen, finden Sie unter Transportweiterleitung in Exchange-Hybrid-Bereitstellungen.To learn more about how these options affect message routing in your organization, see Transport routing in Exchange hybrid deployments.

Exchange Online Protection in HybridbereitstellungenExchange Online Protection in hybrid deployments

EOP ist ein von Microsoft bereitgestellter Onlinedienst, der von vielen Unternehmen zum Schutz ihrer lokalen Organisationen vor Viren, Spam, betrügerischen Phishing-Versuchen und Richtlinienverletzungen verwendet wird. In Office 365 wird EOP zum Schutz von Exchange Online-Organisationen vor eben diesen Bedrohungen verwendet. Wenn Sie sich für Office 365 registrieren, wird automatisch ein EOP-Unternehmen erstellt, das an Ihre Exchange Online-Organisation gebunden ist.EOP is an online service provided by Microsoft that's used by many companies to protect their on-premises organizations from viruses, spam, phishing scams, and policy violations. In Office 365, EOP is used to protect Exchange Online organizations from the same threats. When you sign up for Office 365, an EOP company is automatically created that's tied to your Exchange Online organization.

Ein EOP-Unternehmen enthält viele der E-Mail-Transporteinstellungen, die für Ihre Exchange Online-Organisation konfiguriert werden können. Sie können u. a. angeben, welche SMTP-Domänen von bestimmten IP-Adressen stammen müssen, ein TLS- und ein SSL-Zertifikat (Secure Sockets Layer) benötigen und Antispamfilterung oder Kompatibilitätsrichtlinien umgehen können. EOP fungiert quasi als Eingangstür zu Ihrer Exchange Online-Organisation. Alle Nachrichten, egal, woher sie stammen, müssen EOP durchlaufen, bevor sie die Postfächer in Ihrer Exchange Online-Organisation erreichen. Ebenso müssen alle Nachrichten, die von Ihrer Exchange Online-Organisation gesendet werden, EOP durchlaufen, bevor sie das Internet erreichen.An EOP company contains several of the mail transport settings that can be configured for your Exchange Online organization. You can specify which SMTP domains must come from specific IP addresses, require a TLS and a Secure Sockets Layer (SSL) certificate, bypass anti-spam filtering or compliance policies, and more. EOP is the front door to your Exchange Online organization. All messages, regardless of their origin, must pass through EOP before they reach mailboxes in your Exchange Online organization. And, all messages sent from your Exchange Online organization must go through EOP before they reach the Internet.

Wenn Sie eine Hybridbereitstellung mithilfe des Assistenten für die Hybridkonfiguration konfigurieren, werden alle Transporteinstellungen automatisch in Ihrer lokalen Organisation und im EOP-Unternehmen konfiguriert, das in Ihrer Exchange Online-Organisation enthalten ist. Der Assistent für die Hybridkonfiguration konfiguriert alle eingehenden und ausgehenden Connectors sowie andere Einstellungen in diesem EOP-Unternehmen, um zwischen der lokalen und der Exchange Online-Organisation gesendete Nachrichten zu sichern und Nachrichten an das richtige Ziel weiterzuleiten. Wenn Sie benutzerdefinierte Transporteinstellungen für Ihre Exchange Online-Organisation konfigurieren möchten, konfigurieren Sie diese auch in diesem EOP-Unternehmen.When you configure a hybrid deployment with the Hybrid Configuration wizard, all transport settings are automatically configured in your on-premises organization and in the EOP company included in your Exchange Online organization. The Hybrid Configuration wizard configures all inbound and outbound connectors and other settings in this EOP company to secure messages sent between the on-premises and Exchange Online organizations and route messages to the right destination. If you want to configure custom transport settings for your Exchange Online organization, you'll configure them in this EOP company also.

Vertrauenswürdige KommunikationTrusted communication

Zum Schutz der Empfänger in der lokalen und der Exchange Online-Organisation und um sicherzustellen, dass zwischen diesen Organisationen gesendete Nachrichten nicht abgefangen und gelesen werden, wird TLS für den Transport zwischen der lokalen Organisation und EOP erzwungen. Der Sichere E-Mail-Transport verwendet TLS-/SSL-Zertifikate, die von einer vertrauenswürdigen externen Zertifizierungsstelle stammen. Für Nachrichten zwischen EOP und der Exchange Online-Organisation wird auch TLS verwendet.To help protect recipients in both the on-premises and Exchange Online organizations, and to help ensure that messages sent between the organizations aren't intercepted and read, transport between the on-premises organization and EOP is configured to use forced TLS. Secure mail transport uses TLS/SSL certificates provided by a trusted third-party certificate authority (CA). Messages between EOP and the Exchange Online organization also use TLS.

Wenn der erzwungene TLS-Transport verwendet wird, prüfen der sendende und der empfangende Server das Zertifikat, das auf dem jeweils anderen Server konfiguriert ist. Der Antragstellername oder einer der alternativen Antragstellernamen, die für die Zertifikate konfiguriert sind, muss mit dem FQDN übereinstimmen, den ein Administrator explizit auf dem jeweils anderen Server angegeben hat. Wenn EOP beispielsweise so konfiguriert ist, dass Nachrichten akzeptiert und geschützt werden, die über den FQDN "mail.contoso.com" gesendet wurden, muss der sendende lokale Clientzugriffs- oder Edge-Transport-Server über ein SSL-Zertifikat mit "mail.contoso.com" im Feld für den Antragstellernamen oder den alternativen Antragstellernamen verfügen. Ist diese Voraussetzung nicht erfüllt, wird die Verbindung von EOP abgelehnt.When using forced TLS transport, the sending and receiving servers examine the certificate configured on the other server. The subject name, or one of the subject alternative names (SANs), configured on the certificates must match the FQDN that an administrator has explicitly specified on the other server. For example, if EOP is configured to accept and secure messages sent from the mail.contoso.com FQDN, the sending on-premises Client Access or Edge Transport server must have an SSL certificate with mail.contoso.com in either the subject name or SAN. If this requirement isn't met, the connection is refused by EOP.

Hinweis

Der verwendete FQDN muss nicht mit dem E-Mail-Domänennamen der Empfänger übereinstimmen. Die einzige Bedingung ist, dass der FQDN im Antragstellernamen oder in einem alternativen Antragstellernamen mit dem FQDN übereinstimmt, den der empfangende oder sendende Server entsprechend der Konfiguration akzeptiert.The FQDN used doesn't need to match the email domain name of the recipients. The only requirement is that the FQDN in the certificate subject name or SAN must match the FQDN that the receiving or sending servers are configured to accept.

Zusätzlich zur Verwendung von TLS werden Nachrichten zwischen den Organisationen als "intern" behandelt Durch diese Vorgehensweise können Nachrichten Antispameinstellungen und andere Dienste umgehen.In addition to using TLS, messages between the organizations are treated as "internal." This approach allows messages to bypass anti-spam settings and other services.

Weitere Informationen zu SSL-Zertifikaten und der Domänensicherheit finden Sie unter Zertifikatanforderungen für Hybridbereitstellungen und Grundlegendes zu TLS-Zertifikaten.Learn more about SSL certificates and domain security at Certificate requirements for hybrid deployments and Understanding TLS Certificates.