Microsoft 365 – Exchange Online verwalten
Exchange Online ist der cloudbasierte Mailserver in M365. Postfächer, Weiterleitungen, Quarantäne, SPF/DKIM/DMARC und PowerShell – alles im Überblick.
Was ist Exchange Online?
Exchange Online ist der vollständig von Microsoft betriebene E-Mail-Dienst in der M365-Cloud. Du installierst keinen eigenen Mailserver mehr – Microsoft kümmert sich um Hardware, Updates, Redundanz und Verfügbarkeit. Als IT-Allrounder bist du trotzdem gefragt: Postfächer anlegen und verwalten, Weiterleitungen einrichten, Spam-Regeln anpassen, DNS-Records korrekt setzen und Outlook-Probleme der User lösen.
Die Verwaltung läuft über das Exchange Admin Center (EAC). Die aktuelle URL lautet:
https://admin.cloud.microsoft/exchange
Die ältere URL admin.exchange.microsoft.com leitet seit Anfang 2026 automatisch um. Bookmarks aktualisieren lohnt sich.
Das EAC im Überblick
Nach dem Login siehst du die wichtigsten Bereiche in der linken Navigation:
| Bereich | Inhalt |
|---|---|
| Empfänger | Postfächer, Gruppen, Ressourcen, Kontakte |
| Nachrichtenfluss | Regeln, Connectors, Nachrichtenablaufverfolgung |
| Berichte | Mail-Traffic, Spam, gesendete/empfangene Mails |
| Einsichten | Empfehlungen und Anomalieerkennung |
| Rollen | Admin-Rollengruppen |
| Migration | Postfach-Migrationen aus anderen Systemen |
Für den Alltag arbeitest du hauptsächlich unter Empfänger und Nachrichtenfluss.
Postfächer verwalten
Postfach anlegen
Postfächer entstehen automatisch, wenn du im M365 Admin Center einen Benutzer mit Lizenz anlegst. Eine Exchange-Lizenz (mindestens Exchange Online Plan 1) muss dabei enthalten sein – das ist bei allen M365 Business-Plänen der Fall.
Direkt im EAC unter Empfänger > Postfächer > Benutzerpostfach hinzufügen kannst du auch reine Mailboxen ohne M365-Account anlegen, das brauchst du aber selten.
Postfachgrösse prüfen
EAC > Empfänger > Postfächer > Benutzer anklicken > im Flyout-Panel scrollst du nach unten zu Postfachnutzung. Du siehst die aktuelle Grösse und den Prozentsatz der Auslastung.
Per PowerShell geht das effizienter (mehr dazu unten):
Get-MailboxStatistics -Identity "m.muster@firma.ch" |
Select DisplayName, TotalItemSize, ItemCount
Archivpostfach aktivieren
Wenn ein Postfach an die Grenze stösst (Exchange Online Plan 1: 50 GB, Plan 2: 100 GB), aktivierst du das Online-Archiv. Das gibt dem User zusätzlichen Speicher, der in Outlook als separater Ordner erscheint.
Im EAC: Empfänger > Postfächer > Benutzer auswählen > Andere > Postfacharchiv verwalten > Einschalten.
Per PowerShell:
Enable-Mailbox -Identity "m.muster@firma.ch" -Archive
Shared Mailbox (Freigegebenes Postfach)
Eine Shared Mailbox ist eine Postfach-Adresse ohne eigene Lizenz – ideal für funktionale Adressen wie info@firma.ch oder support@firma.ch. Mehrere User können gleichzeitig lesen und senden. Maximal 50 GB Speicher, kein direkter Login möglich.
Anlegen: EAC > Empfänger > Postfächer > Freigegebenes Postfach hinzufügen.
Danach den User als Mitglied hinzufügen: Postfach auswählen > Delegierung > Senden als + Vollzugriff aktivieren.
In Outlook erscheint die Shared Mailbox automatisch, sobald der User Vollzugriff hat (Autodiscover macht das).
Postfach-Weiterleitung einrichten
Klassischer Anwendungsfall: Mitarbeiter verlässt das Unternehmen, Mails sollen temporär weitergeleitet werden.
Im EAC: Empfänger > Postfächer > Postfach auswählen > Nachrichtenfluss > E-Mail-Weiterleitung verwalten > Adresse eingeben.
Verteilergruppen und M365-Gruppen
Unter Empfänger > Gruppen verwaltest du alle Mail-Gruppen:
| Gruppentyp | Einsatz |
|---|---|
| Verteilergruppe | Klassische Mailliste, kein Teams |
| M365-Gruppe | Mailliste + Teams + SharePoint + Planner |
| Mailaktivierte Sicherheitsgruppe | Mailliste + AD-Berechtigungen |
| Dynamische Verteilergruppe | Mitglieder werden per Regel automatisch hinzugefügt |
Für einfache Maillisten ohne Teams-Integration nimm eine klassische Verteilergruppe. Für Projektgruppen, die auch Teams nutzen sollen, nimm eine M365-Gruppe – diese legst du am besten direkt in Teams an, dann entsteht alles automatisch.
SPF, DKIM und DMARC einrichten
Das ist der häufigste Grund, warum Mails im Spam landen oder zurückgewiesen werden. Alle drei DNS-Records müssen stimmen.
SPF (Sender Policy Framework)
SPF legt fest, welche Server Mails für deine Domain senden dürfen. Für reines Exchange Online ohne eigene Mailserver reicht ein Eintrag:
TXT @ v=spf1 include:spf.protection.outlook.com -all
Wenn du weitere Dienste nutzt (z. B. Mailchimp, HubSpot), musst du deren Include ebenfalls eintragen. SPF-Record-Länge ist auf 10 DNS-Lookups begrenzt – darüber hinaus gibt es Fehler.
DKIM (DomainKeys Identified Mail)
DKIM signiert jede ausgehende Mail kryptografisch. M365 richtet das für die Standarddomain (firma.onmicrosoft.com) automatisch ein. Für deine eigene Domain (firma.ch) musst du es aktivieren:
- Microsoft Defender Portal > E-Mail & Zusammenarbeit > Richtlinien > DKIM
- Domain auswählen > DKIM-Signaturen aktivieren
- M365 zeigt dir zwei CNAME-Einträge an, die du bei deinem DNS-Anbieter eintragen musst:
selektor1._domainkey.firma.ch → selektor1-firma-ch._domainkey.firma.onmicrosoft.com
selektor2._domainkey.firma.ch → selektor2-firma-ch._domainkey.firma.onmicrosoft.com
DNS-Propagation abwarten (bis zu 48 Stunden), dann DKIM aktivieren.
DMARC (Domain-based Message Authentication, Reporting & Conformance)
DMARC baut auf SPF und DKIM auf und legt fest, was mit Mails passiert, die beide Prüfungen nicht bestehen. Einstieg mit none (nur monitoring):
TXT _dmarc.firma.ch v=DMARC1; p=none; rua=mailto:dmarc-reports@firma.ch
Später auf quarantine oder reject hochstufen, sobald du sichergestellt hast, dass alle legitimen Mailquellen korrekt signieren.
Spam und Quarantäne
Mails, die als Spam erkannt werden, landen in der Quarantäne. User können ihre eigene Quarantäne selbst einsehen unter:
https://security.microsoft.com/quarantine
Als Admin siehst du alles unter Microsoft Defender Portal > E-Mail & Zusammenarbeit > Überprüfung > Quarantäne.
Dort kannst du:
- Mails freigeben oder löschen
- Absender auf Allow-/Blocklisten setzen
- Quarantänerichtlinien anpassen (wer darf was selbst freigeben?)
Anti-Spam-Richtlinien anpassen: Defender Portal > E-Mail & Zusammenarbeit > Richtlinien > Anti-Spam. Dort kannst du Schwellwerte für Spam, Massen-Mails (Bulk) und Phishing konfigurieren.
Nachrichtenfluss und Connectors
Unter Nachrichtenfluss > Regeln erstellst du Transport-Regeln (ehemals “Nachrichtenflussregeln”). Beispiele:
- Alle Mails an externe Empfänger mit einem Disclaimer versehen
- Mails mit bestimmten Anhang-Typen (.exe, .bat) blockieren
- Mails von einer Abteilung immer in BCC an Compliance weiterleiten
- Betreff automatisch mit
[EXTERN]taggen, wenn die Mail von aussen kommt
Connectors brauchst du, wenn du einen eigenen Mailserver als Relay betreibst (z. B. Multifunktionsdrucker, der Mails senden muss) oder wenn du ausgehende Mails über einen eigenen Smarthost leitest. EAC > Nachrichtenfluss > Connectors.
Troubleshooting: Häufige Supportfälle
Outlook synchronisiert nicht
- Konto in Outlook entfernen und neu hinzufügen
- Autodiscover testen:
https://testconnectivity.microsoft.com> Outlook Autodiscover - DNS-Eintrag prüfen:
Resolve-DnsName autodiscover.firma.ch - Outlook-Profil reparieren:
outlook.exe /resetnavpanebzw. neues Profil anlegen
Mails landen im Spam
Checkliste in dieser Reihenfolge:
- SPF-Record korrekt? →
Resolve-DnsName firma.ch -Type TXT - DKIM aktiv und DNS-Einträge gesetzt?
- DMARC vorhanden?
- IP-Reputation des sendenden Servers geprüft? → MXToolbox Blacklist Check
- Mail-Inhalt enthält Spam-Trigger (viele Links, ALL CAPS, bestimmte Wörter)?
Postfach voll
- Kurzfristig: Gelöschte Elemente und Junk leeren (EAC oder User selbst)
- Mittelfristig: Archivpostfach aktivieren
- Langfristig: Upgrade auf Exchange Online Plan 2 oder Archivierungs-Add-on prüfen
Autodiscover funktioniert nicht
Autodiscover ist die automatische Konfiguration von Outlook. Ohne funktionierenden Autodiscover muss der User Server-Adressen manuell eingeben – das willst du nicht.
Prüfen: nslookup autodiscover.firma.ch – sollte auf einen CNAME oder A-Record von Microsoft zeigen. Im M365 Admin Center unter Einstellungen > Domänen siehst du, ob alle empfohlenen DNS-Records gesetzt sind.
Exchange Online mit PowerShell verwalten
Das ExchangeOnlineManagement-Modul (V3) ermöglicht vollständige CLI-Verwaltung. Installation einmalig:
Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
Verbinden:
Connect-ExchangeOnline -UserPrincipalName admin@firma.ch
Danach stehen dir hunderte Cmdlets zur Verfügung:
# Alle Postfächer auflisten
Get-Mailbox -ResultSize Unlimited | Select DisplayName, PrimarySmtpAddress, RecipientTypeDetails
# Postfachgrösse aller User
Get-Mailbox -ResultSize Unlimited |
Get-MailboxStatistics |
Select DisplayName, TotalItemSize, ItemCount |
Sort-Object TotalItemSize -Descending
# Weiterleitung setzen
Set-Mailbox -Identity "m.muster@firma.ch" -ForwardingSmtpAddress "chef@firma.ch" -DeliverToMailboxAndForward $true
# Weiterleitung entfernen
Set-Mailbox -Identity "m.muster@firma.ch" -ForwardingSmtpAddress $null
# Shared Mailbox anlegen
New-Mailbox -Shared -Name "Support" -DisplayName "Support" -Alias "support" -PrimarySmtpAddress "support@firma.ch"
# User zu Shared Mailbox berechtigen
Add-MailboxPermission -Identity "support@firma.ch" -User "m.muster@firma.ch" -AccessRights FullAccess -InheritanceType All
Add-RecipientPermission -Identity "support@firma.ch" -Trustee "m.muster@firma.ch" -AccessRights SendAs
# Archiv aktivieren
Enable-Mailbox -Identity "m.muster@firma.ch" -Archive
# Verbindung trennen
Disconnect-ExchangeOnline -Confirm:$false
Offboarding: Mailbox korrekt abschliessen
Wenn ein Mitarbeiter das Unternehmen verlässt, ist die Reihenfolge wichtig:
- Passwort zurücksetzen (sofort, verhindert weiteren Zugriff)
- MFA-Methoden entfernen im Entra ID Admin Center
- Weiterleitung oder Shared Mailbox einrichten, damit wichtige Mails nicht verloren gehen
- Lizenz entfernen – damit wird das Postfach inaktiv, aber die Daten bleiben 30 Tage erhalten
- Nach 30 Tagen (oder früher wenn nötig) Account löschen
Wenn du das Postfach länger behalten willst (z. B. aus rechtlichen Gründen), aktiviere das Archiv und lass die Lizenz etwas länger laufen. Alternativ: Litigation Hold aktivieren (erfordert Exchange Online Plan 2).
Mehr zum Thema User-Lifecycle im Artikel zu M365 User und Lizenzen.
Weiterlernen
- Exchange Admin Center – offizielle Übersicht (Microsoft Learn)
- Exchange Online PowerShell – Verbindung herstellen (Microsoft Learn)
- SPF einrichten für Microsoft 365 (Microsoft Learn)
- DKIM konfigurieren für Microsoft 365 (Microsoft Learn)
- DMARC einrichten für Microsoft 365 (Microsoft Learn)
- Archivpostfächer aktivieren – Microsoft Purview (Microsoft Learn)
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …