Microsoft gibt uns zwei Empfehlungen an die Hand, wie man Exchange Online betreiben kann. Entweder man entscheidet sich für einen reinen Cloudbetrieb oder man nutzt eine Exchange Hybrid-Konfiguration. Exchange Online kann jedoch z.B. auch mit einem vorgeschalteten SMTP-Gateway genutzt werden.
Die Gründe für den Betrieb eines solchen Gateway sind vielfältig. Dies gilt ebenso für die Frage, ob man solch ein Gateway in der lokalen IT-Infrastruktur betreiben möchte oder eine Cloud-Gateway-Lösung nutzen möchte. Die Granikos nutzt z.B. NoSpamProxy Server als zentrales S/MIME-Gateway und den Austausch großer Dateien. Für meinen privaten Microsoft 365 Mandanten nutze ich NoSpamProxy Cloud, ebenfalls als zentrales S/MIME-Gateway.
Unabhängig von der Entscheidung, wo das Gateway betrieben wird, müssen für die richtige Zustellung von Nachrichten in den Exchange Online Mandanten und für die Zustellung ausgehender Nachrichten an das Gateway zwei Konnektoren in Exchange Online erstellt werden. Nur so kann sichergestellt werden, dass Exchange Online Protection eingehende Nachrichten richtig verarbeitet und ausgehende Nachrichten nur an das SMTP-Gateway zustellt.
Der folgende PowerShell Script erstellt die erforderlichen Objekte in Exchange Online
- Einen eingehenden Konnektor, der TLS-Verbindungen nur dann annimmt, wenn das präsentierte Zertifikat den konfigurierten Common Name enthält
- Einen ausgehenden Konnektor, das durch eine Transportregel verwendet werden kann und eine Zustellung per Ziel-MX-Eintrag durchführt
- Eine Transportregel, die alle E-Mail-Nachrichten für Empfänger außerhalb der Exchange Organisation zum ausgehenden Konnektor routet
- Der Spam Confidence Level (SCL) wird für eingehende Nachrichten hart auf -1 gesetzt, um eine erneute Überprüfung durch Exchange Online Protection zu unterbinden
Die Variablenwerte im Skript müssen natürlich auf die eigene Umgebung angepasst werden.
PowerShell Script
Viel Spaß mit Exchange Online.
