Exchange On-Premises

Mailserver-Variante für lokalen Exchange-Server ab Version 2016. Send-/Receive-Connector im Exchange Admin Center.

Voraussetzung: Schritt 1, Domain & DNS einrichten ist abgeschlossen, alle vier DNS-Prüfungen sind grün.
Was passiert hier: Im lokalen Exchange Admin Center werden ein Send-Connector und ein Receive-Connector eingerichtet. Im Setup-Assistenten wird der Modus Manuell konfigurieren gewählt.
Aufwand: 15 bis 25 Minuten.
Unterschied zu Exchange Online: OnPrem braucht keine Transportregel fürs Routing. Der Send-Connector mit Adressraum * lenkt ausgehende Mails direkt über den Smart-Host nach Conbool. Loops entstehen nicht, weil Mails von Conbool zurück über den Receive-Connector kommen und direkt an die interne Mailbox gehen, ohne den Send-Connector erneut zu triggern.

Schritt A. Send-Connector

Navigation: Exchange Admin Center (On-Premises) → Nachrichtenfluss → Send Connectors → neuer Send-Connector

Feld	Wert
Name	Conbool Outbound Connector
Typ	Custom
Adressraum	`*` für alle Domains, alternativ einzelne Domains
Smart Host	`mail.conbool.com`
Smart-Host-Authentifizierung	Keine, Authentifizierung läuft per TLS-Zertifikat
TLS erzwingen	Aktiviert, Domain-Validierung gegen `mail.conbool.com`
Use MX Record	Nein
Quellserver	Hub-Transport-Server, der den Connector nutzen soll

Connector erstellen und aktivieren.

Schritt B. Receive-Connector

Navigation: Exchange Admin Center (On-Premises) → Nachrichtenfluss → Receive Connectors → neuer Receive-Connector am jeweiligen Server

Feld	Wert
Name	Conbool Inbound Connector
Typ	Partner
Netzwerkadapter-Bindungen	Standard belassen, alle verfügbaren IPs auf Port 25
Remote-IP-Bereiche	Conbool-IP-Adressen, werden von Conbool bereitgestellt
TLS erzwingen	Aktiviert
TLS Sender Certificate Name	`mail.conbool.com`
Restrict Domains to Certificate	Ja

Connector erstellen und aktivieren.

Firewall: Port 25 (SMTP) muss von den Conbool-IP-Adressen zum Exchange-Server geöffnet sein.

Schritt C. Transportregel „Classify Spam" (optional)

Navigation: Exchange Admin Center (On-Premises) → Nachrichtenfluss → Regeln → neue Regel

Diese Regel sortiert von Conbool markierte Spam-Mails in den Spam-Ordner. Falls Conbool die Spam-Klassifikation nicht aktiv nutzt, kann dieser Schritt entfallen.

Name: Conbool Spam classification rule
Diese Regel anwenden, wenn: Nachrichtenkopf stimmt überein → Header X-Conbool-Flag → Pattern YES
Folgendes ausführen: Nachrichteneigenschaften ändern → SCL setzen → 7
Priorität: 1
Modus: Enforce
Speichern und aktivieren.

Schritt D. Release-Bypass-Regel (optional)

Sorgt dafür, dass aus der Conbool-Quarantäne freigegebene E-Mails direkt zugestellt werden, ohne erneut als Spam markiert zu werden. Conbool setzt beim Release den Header X-Conbool-Released: yes; diese Regel erkennt den Header und überspringt den Spam-Filter. Falls die Spam-Klassifikation (Schritt C) ohnehin nicht aktiv ist, kann dieser Schritt entfallen.

Navigation: Exchange Admin Center (On-Premises) → Nachrichtenfluss → Regeln → neue Regel

Name: Conbool Quarantine Release Bypass
Diese Regel anwenden, wenn (alle drei Bedingungen, kombiniert mit UND):
- Nachrichtenkopf stimmt überein → Header: X-Conbool-Released → Pattern: yes
- Der Absender befindet sich → Außerhalb der Organisation
- Der Empfänger befindet sich → Innerhalb der Organisation
Folgendes ausführen:
- Nachrichteneigenschaften ändern → SCL setzen → -1
Priorität: 2
Modus: Enforce
Speichern und aktivieren.

Warum SCL −1: SCL −1 markiert die Mail als vertrauenswürdig, sodass der Spam-Filter sie nicht erneut aussortiert. Eine Routing-Schleife kann in OnPrem nicht entstehen, weil freigegebene Mails über den Receive-Connector zurückkommen und direkt zur Mailbox gehen, ohne den Send-Connector zu triggern.

Geltungsbereich (optional)

Der Send-Connector aus Schritt A lässt sich auf eine Untermenge der Empfänger-Domänen begrenzen, etwa wenn nur ein Teil der Mandanten Conbool nutzt oder eine Migration phasenweise läuft. Statt * als Adressraum einzelne Domains oder Domain-Wildcards eintragen.

Alternativ über eine zusätzliche Transportregel mit „Der Absender ist Mitglied von … → Conbool-Gruppe" und Aktion „Nachricht an folgenden Connector umleiten → Conbool Outbound Connector". Mails außerhalb der Gruppe laufen unverändert am alten Pfad. Diese Variante ist optional und nur sinnvoll, wenn ein Phasen-Rollout über Gruppen statt über Domänen läuft.

Geschafft, wenn

Im Setup-Assistenten zurück zum Schritt Mailserver. Den Relay-Host des Exchange-Servers eintragen, üblicherweise der FQDN des Hub-Transport-Servers, beispielsweise mail.yourcompany.local, dann Verbindung testen. Status „SMTP erreichbar" bedeutet: Anbindung steht.

Weiter mit dem Verbindungstest und Abschluss.

Exchange On-Premises

Mailserver-Variante für lokalen Exchange-Server ab Version 2016. Send-/Receive-Connector im Exchange Admin Center.

Voraussetzung: Schritt 1, Domain & DNS einrichten ist abgeschlossen, alle vier DNS-Prüfungen sind grün.
Was passiert hier: Im lokalen Exchange Admin Center werden ein Send-Connector und ein Receive-Connector eingerichtet. Im Setup-Assistenten wird der Modus Manuell konfigurieren gewählt.
Aufwand: 15 bis 25 Minuten.
Unterschied zu Exchange Online: OnPrem braucht keine Transportregel fürs Routing. Der Send-Connector mit Adressraum * lenkt ausgehende Mails direkt über den Smart-Host nach Conbool. Loops entstehen nicht, weil Mails von Conbool zurück über den Receive-Connector kommen und direkt an die interne Mailbox gehen, ohne den Send-Connector erneut zu triggern.

Schritt A. Send-Connector

Navigation: Exchange Admin Center (On-Premises) → Nachrichtenfluss → Send Connectors → neuer Send-Connector

Feld	Wert
Name	Conbool Outbound Connector
Typ	Custom
Adressraum	`*` für alle Domains, alternativ einzelne Domains
Smart Host	`mail.conbool.com`
Smart-Host-Authentifizierung	Keine, Authentifizierung läuft per TLS-Zertifikat
TLS erzwingen	Aktiviert, Domain-Validierung gegen `mail.conbool.com`
Use MX Record	Nein
Quellserver	Hub-Transport-Server, der den Connector nutzen soll

Connector erstellen und aktivieren.

Schritt B. Receive-Connector

Navigation: Exchange Admin Center (On-Premises) → Nachrichtenfluss → Receive Connectors → neuer Receive-Connector am jeweiligen Server

Feld	Wert
Name	Conbool Inbound Connector
Typ	Partner
Netzwerkadapter-Bindungen	Standard belassen, alle verfügbaren IPs auf Port 25
Remote-IP-Bereiche	Conbool-IP-Adressen, werden von Conbool bereitgestellt
TLS erzwingen	Aktiviert
TLS Sender Certificate Name	`mail.conbool.com`
Restrict Domains to Certificate	Ja

Connector erstellen und aktivieren.

Firewall: Port 25 (SMTP) muss von den Conbool-IP-Adressen zum Exchange-Server geöffnet sein.

Schritt C. Transportregel „Classify Spam" (optional)

Navigation: Exchange Admin Center (On-Premises) → Nachrichtenfluss → Regeln → neue Regel

Diese Regel sortiert von Conbool markierte Spam-Mails in den Spam-Ordner. Falls Conbool die Spam-Klassifikation nicht aktiv nutzt, kann dieser Schritt entfallen.

Name: Conbool Spam classification rule
Diese Regel anwenden, wenn: Nachrichtenkopf stimmt überein → Header X-Conbool-Flag → Pattern YES
Folgendes ausführen: Nachrichteneigenschaften ändern → SCL setzen → 7
Priorität: 1
Modus: Enforce
Speichern und aktivieren.

Schritt D. Release-Bypass-Regel (optional)

Navigation: Exchange Admin Center (On-Premises) → Nachrichtenfluss → Regeln → neue Regel

Name: Conbool Quarantine Release Bypass
Diese Regel anwenden, wenn (alle drei Bedingungen, kombiniert mit UND):
- Nachrichtenkopf stimmt überein → Header: X-Conbool-Released → Pattern: yes
- Der Absender befindet sich → Außerhalb der Organisation
- Der Empfänger befindet sich → Innerhalb der Organisation
Folgendes ausführen:
- Nachrichteneigenschaften ändern → SCL setzen → -1
Priorität: 2
Modus: Enforce
Speichern und aktivieren.

Warum SCL −1: SCL −1 markiert die Mail als vertrauenswürdig, sodass der Spam-Filter sie nicht erneut aussortiert. Eine Routing-Schleife kann in OnPrem nicht entstehen, weil freigegebene Mails über den Receive-Connector zurückkommen und direkt zur Mailbox gehen, ohne den Send-Connector zu triggern.

Geltungsbereich (optional)

Geschafft, wenn

Weiter mit dem Verbindungstest und Abschluss.