Zum Inhalt springen
sw
en

Tippe um zu suchen

Microsoft 365

Microsoft 365 – Exchange Online verwalten

Exchange Online ist der cloudbasierte Mailserver in M365. Postfächer, Weiterleitungen, Quarantäne, SPF/DKIM/DMARC und PowerShell – alles im Überblick.

8 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Was ist Exchange Online?

Exchange Online ist der vollständig von Microsoft betriebene E-Mail-Dienst in der M365-Cloud. Du installierst keinen eigenen Mailserver mehr – Microsoft kümmert sich um Hardware, Updates, Redundanz und Verfügbarkeit. Als IT-Allrounder bist du trotzdem gefragt: Postfächer anlegen und verwalten, Weiterleitungen einrichten, Spam-Regeln anpassen, DNS-Records korrekt setzen und Outlook-Probleme der User lösen.

Die Verwaltung läuft über das Exchange Admin Center (EAC). Die aktuelle URL lautet:

https://admin.cloud.microsoft/exchange

Die ältere URL admin.exchange.microsoft.com leitet seit Anfang 2026 automatisch um. Bookmarks aktualisieren lohnt sich.

Das EAC im Überblick

Nach dem Login siehst du die wichtigsten Bereiche in der linken Navigation:

BereichInhalt
EmpfängerPostfächer, Gruppen, Ressourcen, Kontakte
NachrichtenflussRegeln, Connectors, Nachrichtenablaufverfolgung
BerichteMail-Traffic, Spam, gesendete/empfangene Mails
EinsichtenEmpfehlungen und Anomalieerkennung
RollenAdmin-Rollengruppen
MigrationPostfach-Migrationen aus anderen Systemen

Für den Alltag arbeitest du hauptsächlich unter Empfänger und Nachrichtenfluss.

Postfächer verwalten

Postfach anlegen

Postfächer entstehen automatisch, wenn du im M365 Admin Center einen Benutzer mit Lizenz anlegst. Eine Exchange-Lizenz (mindestens Exchange Online Plan 1) muss dabei enthalten sein – das ist bei allen M365 Business-Plänen der Fall.

Direkt im EAC unter Empfänger > Postfächer > Benutzerpostfach hinzufügen kannst du auch reine Mailboxen ohne M365-Account anlegen, das brauchst du aber selten.

Postfachgrösse prüfen

EAC > Empfänger > Postfächer > Benutzer anklicken > im Flyout-Panel scrollst du nach unten zu Postfachnutzung. Du siehst die aktuelle Grösse und den Prozentsatz der Auslastung.

Per PowerShell geht das effizienter (mehr dazu unten):

Get-MailboxStatistics -Identity "m.muster@firma.ch" |
  Select DisplayName, TotalItemSize, ItemCount

Archivpostfach aktivieren

Wenn ein Postfach an die Grenze stösst (Exchange Online Plan 1: 50 GB, Plan 2: 100 GB), aktivierst du das Online-Archiv. Das gibt dem User zusätzlichen Speicher, der in Outlook als separater Ordner erscheint.

Im EAC: Empfänger > Postfächer > Benutzer auswählen > Andere > Postfacharchiv verwalten > Einschalten.

Per PowerShell:

Enable-Mailbox -Identity "m.muster@firma.ch" -Archive

Shared Mailbox (Freigegebenes Postfach)

Eine Shared Mailbox ist eine Postfach-Adresse ohne eigene Lizenz – ideal für funktionale Adressen wie info@firma.ch oder support@firma.ch. Mehrere User können gleichzeitig lesen und senden. Maximal 50 GB Speicher, kein direkter Login möglich.

Anlegen: EAC > Empfänger > Postfächer > Freigegebenes Postfach hinzufügen.

Danach den User als Mitglied hinzufügen: Postfach auswählen > Delegierung > Senden als + Vollzugriff aktivieren.

In Outlook erscheint die Shared Mailbox automatisch, sobald der User Vollzugriff hat (Autodiscover macht das).

Postfach-Weiterleitung einrichten

Klassischer Anwendungsfall: Mitarbeiter verlässt das Unternehmen, Mails sollen temporär weitergeleitet werden.

Im EAC: Empfänger > Postfächer > Postfach auswählen > Nachrichtenfluss > E-Mail-Weiterleitung verwalten > Adresse eingeben.

Verteilergruppen und M365-Gruppen

Unter Empfänger > Gruppen verwaltest du alle Mail-Gruppen:

GruppentypEinsatz
VerteilergruppeKlassische Mailliste, kein Teams
M365-GruppeMailliste + Teams + SharePoint + Planner
Mailaktivierte SicherheitsgruppeMailliste + AD-Berechtigungen
Dynamische VerteilergruppeMitglieder werden per Regel automatisch hinzugefügt

Für einfache Maillisten ohne Teams-Integration nimm eine klassische Verteilergruppe. Für Projektgruppen, die auch Teams nutzen sollen, nimm eine M365-Gruppe – diese legst du am besten direkt in Teams an, dann entsteht alles automatisch.

SPF, DKIM und DMARC einrichten

Das ist der häufigste Grund, warum Mails im Spam landen oder zurückgewiesen werden. Alle drei DNS-Records müssen stimmen.

SPF (Sender Policy Framework)

SPF legt fest, welche Server Mails für deine Domain senden dürfen. Für reines Exchange Online ohne eigene Mailserver reicht ein Eintrag:

TXT @ v=spf1 include:spf.protection.outlook.com -all

Wenn du weitere Dienste nutzt (z. B. Mailchimp, HubSpot), musst du deren Include ebenfalls eintragen. SPF-Record-Länge ist auf 10 DNS-Lookups begrenzt – darüber hinaus gibt es Fehler.

DKIM (DomainKeys Identified Mail)

DKIM signiert jede ausgehende Mail kryptografisch. M365 richtet das für die Standarddomain (firma.onmicrosoft.com) automatisch ein. Für deine eigene Domain (firma.ch) musst du es aktivieren:

  1. Microsoft Defender Portal > E-Mail & Zusammenarbeit > Richtlinien > DKIM
  2. Domain auswählen > DKIM-Signaturen aktivieren
  3. M365 zeigt dir zwei CNAME-Einträge an, die du bei deinem DNS-Anbieter eintragen musst:
selektor1._domainkey.firma.ch → selektor1-firma-ch._domainkey.firma.onmicrosoft.com
selektor2._domainkey.firma.ch → selektor2-firma-ch._domainkey.firma.onmicrosoft.com

DNS-Propagation abwarten (bis zu 48 Stunden), dann DKIM aktivieren.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC baut auf SPF und DKIM auf und legt fest, was mit Mails passiert, die beide Prüfungen nicht bestehen. Einstieg mit none (nur monitoring):

TXT _dmarc.firma.ch v=DMARC1; p=none; rua=mailto:dmarc-reports@firma.ch

Später auf quarantine oder reject hochstufen, sobald du sichergestellt hast, dass alle legitimen Mailquellen korrekt signieren.

Spam und Quarantäne

Mails, die als Spam erkannt werden, landen in der Quarantäne. User können ihre eigene Quarantäne selbst einsehen unter:

https://security.microsoft.com/quarantine

Als Admin siehst du alles unter Microsoft Defender Portal > E-Mail & Zusammenarbeit > Überprüfung > Quarantäne.

Dort kannst du:

  • Mails freigeben oder löschen
  • Absender auf Allow-/Blocklisten setzen
  • Quarantänerichtlinien anpassen (wer darf was selbst freigeben?)

Anti-Spam-Richtlinien anpassen: Defender Portal > E-Mail & Zusammenarbeit > Richtlinien > Anti-Spam. Dort kannst du Schwellwerte für Spam, Massen-Mails (Bulk) und Phishing konfigurieren.

Nachrichtenfluss und Connectors

Unter Nachrichtenfluss > Regeln erstellst du Transport-Regeln (ehemals “Nachrichtenflussregeln”). Beispiele:

  • Alle Mails an externe Empfänger mit einem Disclaimer versehen
  • Mails mit bestimmten Anhang-Typen (.exe, .bat) blockieren
  • Mails von einer Abteilung immer in BCC an Compliance weiterleiten
  • Betreff automatisch mit [EXTERN] taggen, wenn die Mail von aussen kommt

Connectors brauchst du, wenn du einen eigenen Mailserver als Relay betreibst (z. B. Multifunktionsdrucker, der Mails senden muss) oder wenn du ausgehende Mails über einen eigenen Smarthost leitest. EAC > Nachrichtenfluss > Connectors.

Troubleshooting: Häufige Supportfälle

Outlook synchronisiert nicht

  1. Konto in Outlook entfernen und neu hinzufügen
  2. Autodiscover testen: https://testconnectivity.microsoft.com > Outlook Autodiscover
  3. DNS-Eintrag prüfen: Resolve-DnsName autodiscover.firma.ch
  4. Outlook-Profil reparieren: outlook.exe /resetnavpane bzw. neues Profil anlegen

Mails landen im Spam

Checkliste in dieser Reihenfolge:

  1. SPF-Record korrekt? → Resolve-DnsName firma.ch -Type TXT
  2. DKIM aktiv und DNS-Einträge gesetzt?
  3. DMARC vorhanden?
  4. IP-Reputation des sendenden Servers geprüft? → MXToolbox Blacklist Check
  5. Mail-Inhalt enthält Spam-Trigger (viele Links, ALL CAPS, bestimmte Wörter)?

Postfach voll

  • Kurzfristig: Gelöschte Elemente und Junk leeren (EAC oder User selbst)
  • Mittelfristig: Archivpostfach aktivieren
  • Langfristig: Upgrade auf Exchange Online Plan 2 oder Archivierungs-Add-on prüfen

Autodiscover funktioniert nicht

Autodiscover ist die automatische Konfiguration von Outlook. Ohne funktionierenden Autodiscover muss der User Server-Adressen manuell eingeben – das willst du nicht.

Prüfen: nslookup autodiscover.firma.ch – sollte auf einen CNAME oder A-Record von Microsoft zeigen. Im M365 Admin Center unter Einstellungen > Domänen siehst du, ob alle empfohlenen DNS-Records gesetzt sind.

Exchange Online mit PowerShell verwalten

Das ExchangeOnlineManagement-Modul (V3) ermöglicht vollständige CLI-Verwaltung. Installation einmalig:

Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

Verbinden:

Connect-ExchangeOnline -UserPrincipalName admin@firma.ch

Danach stehen dir hunderte Cmdlets zur Verfügung:

# Alle Postfächer auflisten
Get-Mailbox -ResultSize Unlimited | Select DisplayName, PrimarySmtpAddress, RecipientTypeDetails

# Postfachgrösse aller User
Get-Mailbox -ResultSize Unlimited |
  Get-MailboxStatistics |
  Select DisplayName, TotalItemSize, ItemCount |
  Sort-Object TotalItemSize -Descending

# Weiterleitung setzen
Set-Mailbox -Identity "m.muster@firma.ch" -ForwardingSmtpAddress "chef@firma.ch" -DeliverToMailboxAndForward $true

# Weiterleitung entfernen
Set-Mailbox -Identity "m.muster@firma.ch" -ForwardingSmtpAddress $null

# Shared Mailbox anlegen
New-Mailbox -Shared -Name "Support" -DisplayName "Support" -Alias "support" -PrimarySmtpAddress "support@firma.ch"

# User zu Shared Mailbox berechtigen
Add-MailboxPermission -Identity "support@firma.ch" -User "m.muster@firma.ch" -AccessRights FullAccess -InheritanceType All
Add-RecipientPermission -Identity "support@firma.ch" -Trustee "m.muster@firma.ch" -AccessRights SendAs

# Archiv aktivieren
Enable-Mailbox -Identity "m.muster@firma.ch" -Archive

# Verbindung trennen
Disconnect-ExchangeOnline -Confirm:$false

Offboarding: Mailbox korrekt abschliessen

Wenn ein Mitarbeiter das Unternehmen verlässt, ist die Reihenfolge wichtig:

  1. Passwort zurücksetzen (sofort, verhindert weiteren Zugriff)
  2. MFA-Methoden entfernen im Entra ID Admin Center
  3. Weiterleitung oder Shared Mailbox einrichten, damit wichtige Mails nicht verloren gehen
  4. Lizenz entfernen – damit wird das Postfach inaktiv, aber die Daten bleiben 30 Tage erhalten
  5. Nach 30 Tagen (oder früher wenn nötig) Account löschen

Wenn du das Postfach länger behalten willst (z. B. aus rechtlichen Gründen), aktiviere das Archiv und lass die Lizenz etwas länger laufen. Alternativ: Litigation Hold aktivieren (erfordert Exchange Online Plan 2).

Mehr zum Thema User-Lifecycle im Artikel zu M365 User und Lizenzen.

Weiterlernen

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben