Einrichtung POP3, IMAP4 und SMTP auf Exchange 2016

In diesem Artikel werde ich darauf eingehen, wie man POP3 oder IMAP4 auf seinem Exchange konfiguriert. Nach dem Einrichten der Protokolle funktionieren sowohl der Mailempfang zum Client als auch das Mailsenden vom Client aus. Darüber hinaus werden die Einstellungen zum Verbindungsaufbau und Senden per SMTP näher beleuchtet. Die Anleitung lehnt sich an die Exchange 2016 Version an, trifft aber auch auf Exchange 2019 zu.

Einrichtung des Protokolls POP3

Schritt 1

Zuerst müssen die Dienste für POP3 gestartet und für interne Clients konfiguriert werden.

Navigieren Sie über Windows-Taste + R mit Eingabe Services.msc oder über den Server Manager unter Tools > Services zum Dienste-Fenster.

In diesem Fenster suchen wir nach dem Dienst Microsoft Exchange POP3.

Über Dienst > Properties unter dem Reiter General können wir über den Start-Knopf den Dienst starten und unter Startup type den Typ auf Automatisch stellen. Anschließend muss die Änderung über den Apply-Knopf angewendet werden.

Die gleichen Einstellungen müssen für den Dienst Microsoft Exchange POP3 Backend durchgeführt werden.

Zur Überprüfung, ob die Dienste tatsächlich laufen, kann der Taskmanager aufgerufen werden. Im Reiter Services werden alle Dienste angezeigt. Der Status beider Dienste sollte auf Running sein.

Alternativ kann das Vorgehen über die Exchange Management Shell (EMS) durch die folgenden Befehle erreicht werden.

  • Starten der Dienste:

    Start-Service MSExchangePOP3
    Start-Service MSExchangePOP3BE
  • Konfigurierung der Dienste zum automatischen Starten:

    Set-Service MSExchangePOP3 -StartupType Automatic
    Set-Service MSExchangePOP3BE -StartupType Automatic
  • Alternativ kann auch hier die EMS zur Überprüfung genutzt werden:

    Get-Service MSExchangePOP3
    Get-Service MSExchangePOP3BE

Nun sind die Dienste für interne Nutzer verfügbar.

Schritt 2

Im zweiten Schritt werden die Dienste für Nutzer außerhalb des lokalen Netzes verfügbar gemacht.

Die Einstellung wird über die EMS gesetzt, der Befehl trägt folgendes Format:

Set-PopSettings
-ExternalConnectionSettings "<FQDN1>:<TCPPort1>:<SSL | TLS | blank>", "<FQDN2>:<TCPPort2>:<SSL | TLS | blank>"...  
-X509CertificateName <FQDN> 
[-SSLBindings "<IPv4Orv6Address1>:<TCPPort1>","<IPv4Orv6Address2>:<TCPPort2>"...]
[-UnencryptedOrTLSBindings "<IPv4Orv6Address1>:<TCPPort1>","<IPv4Orv6Address2>:<TCPPort2>"...] 

Set-PopSettings: Der Befehl zum Setzen der POP3-Einstellungen

ExternalConnectionSettings: Dieser Parameter definiert, welche Protokolle (z. B. SSL) und Ports für die POP3-Kommunikation von außen verwendet werden sollen. Zudem wird angegeben, welcher Mailserver angesprochen werden soll.

FQDN: Bestimmt den anzusprechenden Mailserver. Beispiel: mail.domain.de

TCPPort: Der Port 995 wird für die verschlüsselte TLS-Verbindungen genutzt. Der Port 110 ist für erstmals unverschlüsselte Verbindungen nach Verbindungsaufbau, die zu einem späteren Zeitpunkt verschlüsselt werden. Dazu gehört auch das STARTTLS-Protokoll.

SSL wird als Wert gewählt für die Verwendung von verschlüsselten TLS-Verbindungen.

TLS wird als Wert gewählt zur Verwendung von STARTTLS-Verbindungen.

X509CertificateName: Das Zertifikat des Mailservers unter Angabe des jeweiligen FQDNs. Beispiel: mail.domain.de.

SSLBindings: Optionaler Parameter zum Setzen der verfügbaren IP-Adressen an Port 995 für verschlüsselte Verbindungen zum internen Mailserver.

UnencryptedOrTLSBindings: Optionaler Parameter zum Setzen der verfügbaren IP-Adressen an Port 110 für unverschlüsselte oder STARTTLS-Verbindungen zum internen Mailserver.

 Eine gültige Einstellung könnte folgendermaßen aussehen:

Set-PopSettings 
-ExternalConnectionSettings "mail.domain.de:995:SSL", "mail.domain.de:110:TLS"  
-X509CertificateName mail.domain.de

Überprüfung über folgenden Befehl:

Get-PopSettings | Format-List *ConnectionSettings,*Bindings,X509CertificateName

Schritt 3

Im Anschluss müssen die POP3-Dienste neugestartet werden. Öffnen Sie hierfür die services.msc. Navigieren Sie zu den POP3-Diensten Microsoft Exchange POP3 Backend und Microsoft Exchange POP3 und starten Sie diese mithilfe eines Rechtsklicks auf den Dienst > Restart neu.

Über EMS:

Restart-Service „Microsoft Exchange POP3 Backend”
Restart-Service „Microsoft Exchange POP3”

Schritt 4

Das erfolgreiche Einstellen von POP3 kann in der OWA überprüft werden. Navigieren Sie dazu in der OWA oben rechts zum Zahnrad und wählen Sie Options aus.

Unter Mail > Accounts > POP and IMAP sollte das POP3-Feld ausgefüllt sein.

Sollte das POP-Setting-Feld bei Ihnen leer sein, sollten Sie nochmals überprüfen, ob der angegebene FQDN einen entsprechenden DNS-Eintrag besitzt und die TCP-Ports 995 und 110 in ihrer Firewall zum Exchange Server offen sind.

 

Einrichtung des Protokolls IMAP4

Schritt 1

Schritt 1 ist analog zu POP3. Die Dienste müssen gestartet und auf einen automatischen Start konfiguriert werden. Die Überprüfung auf einen erfolgreichen Start verläuft ebenfalls auf gleichem Wege. Die Namen der jeweiligen Dienste lauten Microsoft Exchange IMAP4 und Microsoft Exchange IMAP4 Backend. Falls Sie die EMS bevorzugen, so lauten die Namen der Dienste MSExchangeIMAP4 und MSExchangeIMAP4BE.

Starten der Dienste:

Start-Service MSExchangeIMAP4
Start-Service MSExchangeIMAP4BE

Konfigurierung der Dienste zum automatischen Starten:

Set-Service MSExchangeIMAP4 -StartupType Automatic
Set-Service MSExchangeIMAP4BE -StartupType Automatic

Schritt 2

Für IMAP4 muss ebenfalls die Konfiguration für einen externen Zugriff gesetzt werden.

Hierfür existiert ebenfalls ein Befehl mit folgendem Format:

Set-ImapSettings 
-ExternalConnectionSettings "<FQDN1>:<TCPPort1>:<SSL | TLS | blank>", "<FQDN2>:<TCPPort2>:<SSL | TLS | blank>"...  
-X509CertificateName <FQDN> 
[-SSLBindings "<IPv4Orv6Address1>:<TCPPort1>","<IPv4Orv6Address2>:<TCPPort2>"...]
 [-UnencryptedOrTLSBindings "<IPv4Orv6Address1>:<TCPPort1>","<IPv4Orv6Address2>:<TCPPort2>"...] 

Das Format ist gleich zum Befehl für externe POP3-Verbindungen. Einzig die TCP-Portnummern unterscheiden sich: 993 für TLS und 143 für unverschlüsselte Verbindungen und STARTTLS.

Überprüfung über folgenden Befehl:

Get-ImapSettings | Format-List *ConnectionSettings,*Bindings,X509CertificateName

Schritt 3

Nun Starten wir wie zuvor bei POP3 die Dienste neu.

EMS-Befehle:

Restart-Service „Microsoft Exchange IMAP4 Backend”
Restart-Service „Microsoft Exchange IMAP4”

Die Überprüfung auf eine erfolgreiche Konfiguration erfolgt ebenfalls über die OWA. Navigieren Sie dazu in der OWA oben rechts zum Zahnrad und wählen Sie Options aus.

Unter der gleichen Option POP and IMAP sollte nun das IMAP-Feld belegt sein.

 

Einrichtung des Protokolls SMTP

Die Konfiguration von SMTP verläuft über das Exchange Admin Center (EAC). Die Konfiguration einer authentifizierten SMTP-Verbindung zwischen Client und Server lässt sich in 2 Hauptschritte unterteilen.

Schritt 1

Zuerst wollen wir den Receive Connector konfigurieren. Die Einstellungen über ECP erreichen wir über Mail flow > Receive connectors > Client Frontend <Servername>.

Client Frontend <Servername> bezeichnet hierbei den Standard-Connector. Bei neuerstellten Connectoren können Sie den Namen des Connectors durch Ihren eigenen ersetzen.

Nach einem Doppelklick auf Client Frontend <Servername> öffnet sich ein Einstellungsfenster. Unter Scoping in der linken Menüleiste finden wir am Ende der Seite die FQDN-Einstellung. Hier können wir dann den FQDN wählen. 

Alternativ kann die EMS zum Einstellen des FQDN genutzt werden:

Get-ReceiveConnector -Identity "Client Frontend <Servername>" | Set-ReceiveConnector -Fqdn <FQDN>

Wobei der FQDN-Wert beispielsweise mail.domain.de wäre. Auch hier soll der Name des Connectors durch Ihren eigenen ersetzt werden, wenn Sie nicht den Standard-Connector nutzen.

Befehl zur Überprüfung:

Get-ReceiveConnector -Identity "Client Frontend <Servername>" | Format-List Name,Fqdn

Wird der Connector mit dem zuvor gesetzten FQDN-Eintrag zurückgegeben, war die Konfiguration erfolgreich. Bitte beachten Sie, dass der eingegebene FQDN-Wert auch einen Eintrag im DNS haben muss und der Port 587 für TCP in der Firewall freigegeben sein muss.

Schritt 2

Abschließend können wir das Zertifikat wählen, welches auf das gesetzte FQDN ausgestellt ist. Zuerst müssen wir sicherstellen, dass das Zertifikat dem SMTP-Dienst zugewiesen ist. Dazu navigieren wir in der ECP zu Servers > Certificates.

Über einen Doppelklick auf das korrekte Zertifikat öffnen sich anschließend die Zertifikats-Einstellungen. Über die linke Menüleiste wählen wir Services aus und können dann über Auswahl von SMTP das Zertifikat diesem Dienst zuweisen. Nach der Zuweisung erscheint die Nachfrage zum Überschreiben des aktuellen Connectors, lehnen Sie diese ab.

Sollte kein Zertifikat zur Verfügung stehen, kann über das Pluszeichen oberhalb der Zertifikatsansicht ein neues Zertifikat angefragt und anschließend die Zuweisung durchgeführt werden.

EMS-Alternative:

Alternativ kann folgender Befehl zur Zuweisung eines Dienstes zum Zertifikat genutzt werden:

Enable-ExchangeCertificate -Thumbprint <Thumbprint> -Services <Service1>,<Service2>... [-Server <ServerIdentity>]

Thumbprint: Der Fingerabdruck des Zertifikates.

Der Fingerabdruck des Zertifikates kann in der MMC mit dem Snap-in Certificates ermittelt werden. Wählen Sie nach Hinzufügen des Snap-Ins jeweils die Maschine, auf der das benötigte Zertifikat gespeichert wurde oder ein Benutzerkonto mit administratorischen Rechten zur Einsicht der Zertifikate im jeweils gespeicherten Bereich. Für den Standard angelegten Exchange-Zertifikat ist dies unter Trusted Root Certificates.

Sind Sie mit dem jeweils administrativen Konto angemeldet, können Sie folgende Schritte über Powershell durchführen:

cd Cert:; dir

Navigiert Sie zum Speicherort der Zertifikate und gibt die jeweiligen Unterordner wieder. Der per Standard angelegte Exchange-Zertifikat befindet sich im Unterverzeichnis Root.

dir Cert:\CurrentUser\Root

Der Befehl lässt dann die Zertifikate des benötigten Ordners wiedergeben, woraus wir den benötigten Thumbprint entnehmen können.

Alternativ können alle Zertifikate ausgegeben werden mit:

dir cert: -Recurse

Services: Hier können die gewünschten Dienste gewählt werden: IMAP, SMTP, IIS, …

Bei Auswahl von SMTP muss bei der Nachfrage zur Überschreibung des Connectors, diese ablehnt werden.

 

Beispiel:

Enable-ExchangeCertificate -Thumbprint 434C224E84599AA698CE8834C148567B -Services POP,IMAP,IIS,SMTP

  

Jetzt wollen wir dem Receive Connector den Zertifikatsnamen noch zuweisen. Das passiert wieder über die EMS.

Zuerst holen wir uns das Zertifikat:

$TLSCert = Get-ExchangeCertificate -Thumbprint <ThumbprintValue>

Jetzt nehmen wir den Zertifikatsherausgeber und den Antragsteller und formen daraus den Zertifikatsnamen. Stellen Sie sicher, dass als Subjekt-Wert der richtige FQDN-Wert steht.

$TLSCertName = "<I>$($TLSCert.Issuer)<S>$($TLSCert.Subject)"

Zuletzt wird dem Zertifikat der zuvor definierte Name aus $TLSCertName zugewiesen:

Get-ReceiveConnector -Identity "Client Frontend <Servername>" | Set-ReceiveConnector -TlsCertificateName $TLSCertName

 

Mit dem folgenden Befehl kann schließlich sichergestellt werden, dass die Namenszuweisung funktioniert hat:

Get-ReceiveConnector -Identity "Client Frontend*" | Format-List Name,Fqdn,TlsCertificateName

 

Hiermit wäre die eigentliche SMTP-Konfiguration abgeschlossen. Allerdings können wir noch die OWA konfigurieren, sodass die SMTP-Einstellung dort angezeigt wird.

Dazu gibt es folgenden Befehl:

Get-ReceiveConnector -Identity "Client Frontend*" | Set-ReceiveConnector -AdvertiseClientSettings $true

Navigieren wir nun wie in den Validierungsschritten bei POP3 und IMAP4 in der OWA zu den Optionen. Hier müssen wir überprüfen, ob ein Eintrag zu SMTP existiert. Sollte kein Eintrag vorhanden sein, ist ein Neustart des IIS notwendig.

Der Neustart kann über einen Kommandozeilenbefehl ausgeführt werden:

iisreset /noforce

 

Mailbox-Einstellung

Nach der Konfiguration von IMAP4 und POP3 ist die Verwendung für alle Benutzer-Mailboxen verfügbar. Im ECP können Mailboxen unter Recipients > Mailboxes ausgewählt werden. Für eine einzelne Mailbox öffnen wir deren Einstellungen und navigieren unter der linken Menüoption Mailbox Features, wo wir, falls gewünscht, jeweils POP3 bzw. IMAP deaktivieren können.

Mehrere Mailboxen können ausgewählt werden, wodurch in der rechten Verwaltungsleiste eine Option zum Deaktivieren von POP3 und IMAP erscheint.

Die Verwaltung ist natürlich auch über die EMS möglich. Der Befehl zur Aktivierung/Deaktivierung der Protokolle einer einzelnen Mailbox lautet:

Set-CasMailbox -Identity <MailboxIdentity> -PopEnabled <$true | $false> -ImapEnabled <$true | $false>

Für die Parameter PopEnabled/ImapEnabled setzen wir dann jeweils true zur Aktivierung und false zur Deaktivierung des jeweiligen Protokolls.

Um die Verwaltung von mehreren Mailboxen zu erleichtern, kann eine Menge von Mailboxen angegeben werden. Die Menge können wir mit dem folgenden Befehl entnehmen:

$Menge = Get-Mailbox -OrganizationalUnit "OU=Organisation, DC=com" -Filter "RecipientTypeDetails -eq 'UserMailbox'" -ResultSize Unlimited

Der obige Befehl ist ein Beispiel, welches die Organisationseinheit (OU) miteinbezieht. Seine Filterparameter können leicht um weitere Bedingungen erweitert werden.

Nun können wir POP3/IMAP4 aktivieren/deaktivieren:

$Menge | foreach {Set-CasMailbox $_.Identity -PopEnabled <$true | $false> -ImapEnabled <$true | $false> }

Nach diesen Einstellungen, müssen die Dienste zu POP3 und IMAP neugestartet werden. Um zu validieren, ob die Protokollumstellung funktioniert hat, kann die SMTP-Einstellung wiederum in der OWA überprüft werden.