Microsoft Exchange und Microsoft 365

Während im Linux-Universum Postfix und Dovecot dominieren, ist die Microsoft-Welt seit über 25 Jahren von Microsoft Exchange Server geprägt – ursprünglich klassisch on-premises, heute überwiegend als Exchange Online innerhalb von Microsoft 365. Exchange ist mehr als ein Mailserver: er ist gleichzeitig Kalender-Server, Adressbuch (Global Address List), Aufgaben-Manager und Teil der zentralen Identitäts-Welt rund um Active Directory bzw. Entra ID. Diese Lektion zeigt dir die typische Exchange-Architektur mit den verschiedenen Rollen, vergleicht die drei Deployment-Modelle On-Premises / Hybrid / Cloud (Exchange Online) mit ihren Vor- und Nachteilen, erklärt die Microsoft-spezifischen Protokolle (EAS, MAPI, EWS, Graph API), gibt einen Überblick über die wichtigsten Microsoft-365-Pläne und zeigt typische PowerShell-Befehle zur Mailbox-Verwaltung. Wer in einer Microsoft-Umgebung arbeitet, kommt um Exchange-Wissen nicht herum – und wer es nicht nutzt, sollte zumindest die Konzepte kennen, weil halbe Welt damit kommuniziert.

1) Die drei Deployment-Varianten

Klick die Varianten an, um Architektur und Trade-offs zu sehen:

Exchange-Deployment: On-Premises vs. Hybrid vs. Online

🏢On-PremisesEigene Server

🔗HybridLokal + Cloud

☁Exchange OnlineM365 / Cloud-only

2) Exchange-Server-Rollen

Die Rollen-Architektur hat sich über die Jahre vereinfacht. Aktueller Stand (Exchange 2019, Exchange Subscription Edition):

Rolle	Funktion
Mailbox Server	Speichert Postfächer in Exchange-Datenbanken (.edb). Beinhaltet seit 2016 auch Client Access und Transport.
Client Access	Empfängt Client-Verbindungen (Outlook, OWA, mobile). In Exchange 2016+ Teil der Mailbox-Rolle, früher separat.
Transport	Mail-Routing (SMTP). Auch in Mailbox-Rolle integriert.
Edge Transport	Optional, in DMZ. Spam- und Virenfilter vor dem internen Netz. Nicht Teil der AD-Domain.
Unified Messaging	Voicemail, abgekündigt seit Exchange 2019.

3) Microsoft-spezifische Mail-Protokolle

Neben SMTP, IMAP und POP3 (alle unterstützt) hat Microsoft eigene, reichere Protokolle entwickelt:

MAPI / MAPI over HTTP

Messaging API. Native Outlook-zu-Exchange-Verbindung. Seit Exchange 2013 als HTTP-Variante (Port 443). Bietet vollen Funktionsumfang: Mails, Kalender, Kontakte, Aufgaben, Public Folders.

EWS – Exchange Web Services

SOAP-basierte API auf Port 443. Wird von vielen Drittanbieter-Tools, Apple Mail, ältere mobile Clients genutzt. Microsoft kündigt sukzessive Abschaltung bei M365 an (Migration zu Graph).

EAS – Exchange ActiveSync

Mobil-optimiertes Protokoll. Push-Benachrichtigungen für neue Mails, Sync von Mails+Kalender+Kontakten. Standard bei iOS Mail, Outlook Mobile, Android-Mail-Apps.

Microsoft Graph API

Moderne REST/JSON-API. Standard für Cloud-/SaaS-Integrationen mit M365. Authentifizierung per OAuth2. Ersatz für EWS langfristig.

OWA / Outlook Web App

Browser-basierter Mail-Client. Spricht intern mit Exchange über REST-APIs.

IMAP / POP3

Werden auch unterstützt, aber meist deaktiviert (geringere Funktionalität, weniger Sicherheit). In M365 ist Modern Authentication Pflicht.

4) Microsoft 365 – die wichtigsten Pläne

Microsoft bündelt Exchange Online mit anderen Services. Übersicht der relevanten Pläne (Stand 2026, Preise indikativ):

M365-Pläne mit E-Mail-Bezug

Plan / Feature

Exchange Online Plan 1/2

Business Basic / Standard / Premium

Enterprise E3 / E5

Postfach-Größe

50 GB (P1) / 100 GB (P2)

50 GB

100 GB

Office-Apps (Word, Excel, PowerPoint)

✗

Standard/Premium: Desktop · Basic: Web

✓ Desktop + Web + Mobile

Teams

✗

✓

SharePoint / OneDrive

✗

✓ 1 TB

✓ unlimitiert

Defender for Office 365

Plan 1 nur via Add-on

Premium: integriert

E5: integriert

In-Place Archive (unbegrenzt)

P2: ✓

Standard: ✗ · Premium: ✓

✓

Litigation Hold / eDiscovery

P2: ✓

Premium: ✓ Basic

E5: ✓ Advanced

DLP (Data Loss Prevention)

✗

Premium: ✓

✓

Typische Größe

Kleinst-Setups

KMU bis ~300 User

Mittel/Groß

Genaue Preise und Feature-Sets ändern sich häufig. Aktuell pflegt Microsoft die Übersicht unter microsoft.com/microsoft-365/business/compare-all-plans. Die Business-Pläne sind auf max. 300 User begrenzt, darüber Pflicht-Wechsel zu Enterprise. Defender for Office 365 ist die Microsoft-eigene Anti-Spam/Anti-Phishing-Lösung.

5) Outlook-Integration

Outlook ist der Mailclient der Microsoft-Welt – mit deutlich mehr Funktionen als ein generischer IMAP-Client:

Outlook Classic (Win32): die klassische Variante seit Jahren. Voll-MAPI-Support, viele Add-Ins.
New Outlook für Windows: webbasierte Variante (Web-Wrapper), ersetzt langfristig den klassischen Client. Bei reinen M365-Setups vorgesehen.
Outlook for Mac: eigene Codebasis, EWS- bzw. Graph-basiert.
Outlook Mobile: iOS/Android-App, EAS- und Graph-basiert. Sehr verbreitet.
OWA (Outlook on the Web): Webmail-Variante – fast volle Outlook-Funktionalität im Browser.

Praktische Outlook-Spezialitäten, die andere Clients nicht haben:

Calendar Sharing nativ – Kollegen sehen freie/belegte Zeiten.
Resource Mailboxes – Räume und Geräte mit eigenem Kalender, automatisierte Buchung.
Public Folders – gemeinsame Ordner (historisch, heute meist durch SharePoint ersetzt).
Out-of-Office (Automatische Antworten) mit interner/externer Differenzierung.
Inbox Rules server-seitig.
Search per Exchange-Index sehr schnell, auch über Postfach hinaus.

6) PowerShell-Verwaltung

Exchange wird über PowerShell verwaltet – sowohl on-prem (Exchange Management Shell) als auch online (Exchange Online PowerShell V3 Modul). Typische Befehle:

# Verbindung zu Exchange Online aufbauen
Connect-ExchangeOnline -UserPrincipalName admin@firma.de

# Neue Mailbox anlegen
New-Mailbox -Name "Bob Schmidt" -DisplayName "Bob Schmidt" `
  -UserPrincipalName "bob@firma.de" `
  -PrimarySmtpAddress "bob@firma.de" `
  -Password (ConvertTo-SecureString "Init!1234" -AsPlainText -Force)

# Mailbox-Größe abfragen
Get-MailboxStatistics -Identity bob@firma.de | Select-Object DisplayName, TotalItemSize, ItemCount

# Quota setzen (Warning bei 45 GB, Send-Stopp bei 49 GB)
Set-Mailbox -Identity bob@firma.de `
  -IssueWarningQuota 45GB `
  -ProhibitSendQuota 49GB `
  -ProhibitSendReceiveQuota 50GB

# Auto-Reply (Out-of-Office) konfigurieren
Set-MailboxAutoReplyConfiguration -Identity bob@firma.de `
  -AutoReplyState Enabled `
  -InternalMessage "Bin bis 30.5. im Urlaub." `
  -ExternalMessage "Ich bin bis 30.5. nicht erreichbar."

# Verteilerliste anlegen
New-DistributionGroup -Name "Vertrieb" -PrimarySmtpAddress "vertrieb@firma.de"
Add-DistributionGroupMember -Identity "Vertrieb" -Member alice@firma.de

# Shared Mailbox (für Funktionen wie support@)
New-Mailbox -Name "Support" -Shared `
  -PrimarySmtpAddress "support@firma.de"
Add-MailboxPermission -Identity support@firma.de `
  -User alice@firma.de -AccessRights FullAccess

# Litigation Hold aktivieren (für Compliance)
Set-Mailbox -Identity bob@firma.de -LitigationHoldEnabled $true `
  -LitigationHoldDuration 2555  # 7 Jahre in Tagen

# Audit Logs für eine Mailbox aktivieren
Set-Mailbox -Identity bob@firma.de -AuditEnabled $true

# Message Trace (wo ist eine Mail steckengeblieben?)
Get-MessageTrace -SenderAddress alice@firma.de `
  -RecipientAddress bob@partner.com `
  -StartDate (Get-Date).AddDays(-2) -EndDate (Get-Date)

7) Hybrid-Konfiguration im Detail

Hybrid bedeutet: Postfächer können parallel on-prem und online liegen, mit einer einzigen Mail-Adresse und nahtloser Co-Existence. Voraussetzungen:

Microsoft Entra Connect (früher Azure AD Connect) – Synchronisiert AD-User in Entra ID.
Hybrid Configuration Wizard (HCW) – richtet Konnektoren ein, Federation, SMTP-Routing.
SMTP-Konnektoren zwischen on-prem Exchange und Exchange Online.
Freebusy-Federation – Kalender-Verfügbarkeiten werden zwischen beiden Seiten geteilt.
Mailbox Move – einzelne Postfächer können remote von on-prem in die Cloud verschoben werden, ohne dass der User es merkt.

Hybrid ist meist Übergangs-Setup auf dem Weg zur Vollmigration. Microsoft empfiehlt heute, längerfristig in die Cloud zu migrieren – einer der wenigen Gründe für dauerhaftes On-Premises sind regulatorische Anforderungen (KRITIS, klassifizierte Bereiche, DSGVO-Sondersituationen).

8) DSGVO und M365 – kurz angerissen

Bei der Nutzung von Microsoft 365 in der EU gibt es einige Aspekte zu beachten:

Auftragsverarbeitungs-Vertrag (AVV) mit Microsoft Pflicht – ist Teil der Microsoft Online Services Agreement.
EU Data Boundary – Microsoft speichert seit 2024 die meisten Kundendaten innerhalb der EU.
Drittstaaten-Transfer – Theoretisch kann Microsoft auf Daten zugreifen (CLOUD Act). Diskussion um sicherere Setups bleibt aktiv.
Customer Lockbox (E5) – Microsoft-Support braucht User-Genehmigung, um auf Postfächer zuzugreifen.
Microsoft Purview – Compliance-Suite für Klassifizierung, DLP, Retention-Policies. Siehe Archivierung.

Wer mit Behörden- oder kritischen Branchen-Daten arbeitet, prüft die DSGVO-Konformität sehr genau – manche Branchen verlangen weiterhin on-prem.

9) Antipatterns

Veraltetes Exchange on-prem ohne Patches. Exchange-CVEs sind hochgradig kritisch (z. B. „ProxyShell" 2021, „ProxyNotShell" 2022). Patch-Management Pflicht – mehr in Patch-Prozess.
Migrations-Hybrid „ein paar Jahre". Wer sagt „wir sind in 2 Jahren ganz Cloud" und es dann 7 Jahre stehen lässt: doppelte Komplexität, doppelter Patch-Aufwand, doppelte Lizenz-Kosten.
Basic Auth aktiviert in M365. Microsoft hat Basic Auth für mehrere Protokolle deprecatet. Modern Authentication (OAuth2) ist Pflicht.
Outlook Anywhere ohne MFA. Phishing-Angriffe hebeln Single-Faktor schnell aus. MFA Pflicht.
IMAP / POP3 in M365 für alle aktiviert. Erhöht Angriffsfläche. Nur für ausgewählte User aktivieren, wenn überhaupt nötig.
Postfächer ohne Quotas. User füllen 100 GB an, Migration und Backup werden Albtraum.
Shared Mailboxes mit Lizenz statt Sharing. Eine Shared Mailbox bis 50 GB braucht keine Lizenz – wer hier User-Lizenzen verbrennt, zahlt unnötig.
Mass-Mailings über Exchange Online. M365 hat Sending-Limits (~10.000 Mails/Tag, 30 Empfänger/Minute). Newsletter besser über SendGrid/Mailgun/AWS SES.

Zusammenfassung

Microsoft Exchange ist die führende Mailserver-Plattform in der Windows-Welt – kombiniert Mail mit Kalender, Adressbuch und Aufgaben. Drei Deployment-Modelle: On-Premises (eigene Server, volle Kontrolle, aber hoher Wartungsaufwand), Hybrid (lokal + Cloud parallel, Übergangs-Setup), Exchange Online als Teil von Microsoft 365 (Cloud-only, Microsoft kümmert sich um Betrieb). Server-Rollen ab Exchange 2016 stark vereinfacht: Mailbox (alles in einer Rolle), optional Edge Transport in DMZ. Microsoft-spezifische Protokolle: MAPI/MAPI over HTTP (Outlook nativ), EWS (SOAP), EAS (mobil-optimiert mit Push), Microsoft Graph API (modern, Cloud-Integrationen). M365-Pläne: Exchange Online Plan 1/2 (nur Mail), Business Basic/Standard/Premium (KMU bis 300 User), Enterprise E3/E5 (groß, mit erweitertem Compliance/Security). Verwaltung primär per PowerShell: Get-Mailbox, New-Mailbox, Set-Mailbox, Get-MessageTrace, Set-MailboxAutoReplyConfiguration. Hybrid braucht Entra Connect, Hybrid Configuration Wizard, Konnektoren, Federation. DSGVO: AVV, EU Data Boundary, Customer Lockbox, Microsoft Purview. Antipatterns: ungepatchtes on-prem Exchange (kritische CVEs!), Basic Auth, fehlende MFA, IMAP/POP3 für alle, fehlende Quotas, Lizenzen für Shared Mailboxes, Mass-Mailings über Exchange Online.

Verwandte Lektionen: Postfix & Dovecot · E-Mail-Archivierung · Spam-Schutz · und mehrWeitere relevante LektionenPOP3 vs. IMAP DNS und E-Mail TLS & S/MIME MFA DSGVO Windows-Server-Rollen Patch-Prozess