Amazon WorkMailAdministrator-Handbuch

Version 1.0

Amazon WorkMail Administrator-Handbuch

Amazon WorkMail: Administrator-HandbuchCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.

Amazon WorkMail Administrator-Handbuch

Table of ContentsWas ist Amazon WorkMail? ................................................................................................................. 1

Amazon WorkMail-Systemanforderungen ...................................................................................... 1Amazon WorkMail-Konzepte ......................................................................................................... 1Zugehörige AWS-Services ........................................................................................................... 2Amazon WorkMail-Preise ............................................................................................................. 3Ressourcen ............................................................................................................................... 3

Voraussetzungen ................................................................................................................................ 4Erstellen eines AWS-Kontos und der Stammbenutzer-Anmeldeinformationen ....................................... 4Erstellen von AWS Identity and Access Management-Benutzern und -Gruppen .................................... 5

Gewähren von Berechtigungen für IAM für Amazon WorkMail-Benutzer ....................................... 5Sicherheit .......................................................................................................................................... 6

Identity and Access Management .................................................................................................. 6Zielgruppe ......................................................................................................................... 7Authentifizieren mit Identitäten .............................................................................................. 7Verwalten des Zugriffs mit Richtlinien .................................................................................... 9So funktioniert Amazon WorkMail mit IAM ............................................................................ 11Beispiele für identitätsbasierte Richtlinien ............................................................................. 14Fehlersuche ..................................................................................................................... 18

Verwenden von serviceverknüpften Rollen .................................................................................... 20Berechtigungen von serviceverknüpften Rollen für Amazon WorkMail ........................................ 20Erstellen einer serviceverknüpften Rolle für Amazon WorkMail ................................................. 21Bearbeiten einer serviceverknüpften Rolle für Amazon WorkMail .............................................. 21Löschen einer serviceverknüpften Rolle für Amazon WorkMail ................................................. 21Unterstützte Regionen für Amazon WorkMail-serviceverknüpfte Rollen ...................................... 22

Protokollieren und überwachen ................................................................................................... 22Überwachung mit CloudWatch ............................................................................................ 23Protokollieren von Amazon WorkMail-API-Aufrufen mit AWS CloudTrail ..................................... 31

Compliance-Validierung .............................................................................................................. 34Ausfallsicherheit ........................................................................................................................ 34Sicherheit der Infrastruktur ......................................................................................................... 34

Erste Schritte ................................................................................................................................... 36Erste Schritte mit Amazon WorkMail ............................................................................................ 36

Schritt 1: Melden Sie sich bei der Amazon WorkMail-Konsole an .............................................. 36Schritt 2: Einrichten Ihrer Amazon WorkMail-Website .............................................................. 36Schritt 3: Einrichten des Amazon WorkMail-Benutzerzugriffs .................................................... 37Weitere „Erste Schritte“-Themen ......................................................................................... 37

Migration zu Amazon WorkMail ................................................................................................... 37Schritt 1: Erstellen oder Aktivieren von Benutzern in Amazon WorkMail ..................................... 38Schritt 2: Migrieren zu Amazon WorkMail .............................................................................. 38Schritt 3: Abschließen der Migration zu Amazon WorkMail ....................................................... 38

Interoperabilität zwischen Amazon WorkMail und Microsoft Exchange ............................................... 39Voraussetzungen .............................................................................................................. 39Hinzufügen von Domänen und Aktivieren von Postfächern ...................................................... 40Aktivieren der Interoperabilität ............................................................................................. 40Erstellen von Service-Konten in Microsoft Exchange und Amazon WorkMail ............................... 40Beschränkungen im Interoperabilitätsmodus .......................................................................... 41Aktivieren von E-Mail-Weiterleitungen zwischen Microsoft Exchange- und Amazon WorkMail-Benutzern ........................................................................................................................ 41Konfigurieren der Verfügbarkeitseinstellungen in Amazon WorkMail .......................................... 43Konfigurieren der Verfügbarkeitseinstellungen in Microsoft Exchange ........................................ 44Deaktivieren der Interoperabilität und Außerbetriebsetzen Ihres Mail-Servers .............................. 44Fehlersuche ..................................................................................................................... 45

Amazon WorkMail-Kontingente .................................................................................................... 46Kontingente für die Amazon WorkMail-Organisation und -Benutzer ........................................... 46

Version 1.0iii

Amazon WorkMail Administrator-Handbuch

Kontingente für WorkMail-Organisationen ............................................................................. 47Kontingente pro Benutzer ................................................................................................... 48Nachrichtenkontingente ...................................................................................................... 48

Arbeiten mit Organisationen ............................................................................................................... 50Hinzufügen einer Organisation .................................................................................................... 50

Schnelleinrichtung: Erstellen eines neuen Verzeichnisses ........................................................ 50Standardeinrichtung: Integrieren in ein vorhandenes Verzeichnis .............................................. 51Integrieren eines Amazon WorkDocs- oder Amazon WorkSpaces-Verzeichnisses ........................ 52Organisationszustände und Beschreibungen ......................................................................... 52

Entfernen einer Organisation ...................................................................................................... 53Bearbeiten der Mobilgeräte-Richtlinie Ihrer Organisation ................................................................. 54E-Mail-Fluss verwalten ............................................................................................................... 55

Regelaktionen für eingehende E-Mails ................................................................................. 55Regelaktionen für ausgehende E-Mails ................................................................................ 56Absender- und Empfängermuster ........................................................................................ 57E-Mail-Flussregel erstellen ................................................................................................. 58Konfigurieren von SMTP-Gateways ...................................................................................... 58Konfigurieren von Lambda für Amazon WorkMail ................................................................... 59Abrufen von Nachrichteninhalten ......................................................................................... 61E-Mail-Flussregel testen ..................................................................................................... 63E-Mail-Flussregel ändern .................................................................................................... 64E-Mail-Flussregel entfernen ................................................................................................ 64

Nachverfolgen von Nachrichten ................................................................................................... 64Aktivieren der E-Mail-Ereignisprotokollierung ......................................................................... 65Erstellen einer benutzerdefinierten Protokollgruppe und einer IAM-Rolle für die E-Mail-Ereignisprotokollierung ....................................................................................................... 65Ausschalten der E-Mail-Ereignisprotokollierung ...................................................................... 67

Durchsetzen von DMARC-Richtlinien für eingehende E-Mails ........................................................... 67Verwenden der E-Mail-Ereignisprotokollierung zum Nachverfolgen der DMARC-Durchsetzung ....... 68

Arbeiten mit Domänen ....................................................................................................................... 69Hinzufügen einer Domäne .......................................................................................................... 69Entfernen einer Domäne ............................................................................................................ 71Auswählen der Standarddomäne ................................................................................................. 72Verifizieren von Domänen .......................................................................................................... 72

Überprüfen von TXT-Datensätzen und MX-Datensätzen mit Ihrem DNS-Service .......................... 73Fehlerbehebung bei der Domänenverifizierung ...................................................................... 75

Aktivieren von AutoDiscover zur Konfiguration von Endpunkten ........................................................ 76Fehlerbehebung für die AutoDiscover-Phase 2 ...................................................................... 78

Bearbeiten von Domänenidentitätsrichtlinien .................................................................................. 79Authentifizierung Ihrer E-Mails mit SPF ........................................................................................ 80

Arbeiten mit Benutzern ...................................................................................................................... 81Verwalten von Benutzerkonten .................................................................................................... 81

Erstellen neuer Benutzer .................................................................................................... 81Aktivieren vorhandener Benutzer ......................................................................................... 82Bearbeiten von Benutzer-E-Mail-Adressen ............................................................................ 82Bearbeiten von Benutzerdetails ........................................................................................... 82Zurücksetzen von Benutzerpasswörtern ................................................................................ 83Fehlerbehebung für Amazon WorkMail-Passwortrichtlinien ....................................................... 83

Verwalten von Benutzer-Postfächern ............................................................................................ 84Deaktivieren von Benutzer-Postfächern ................................................................................ 84Wiederherstellen deaktivierter Postfächer .............................................................................. 85Arbeiten mit Benachrichtigungen ......................................................................................... 85

Verwalten mobiler Geräte ........................................................................................................... 88Remote-Zurücksetzung von Mobilgeräten ............................................................................. 89Entfernen von Geräten eines Benutzers aus der Geräteliste .................................................... 89Anzeigen von Mobilgerätedetails ......................................................................................... 90

Aktivieren signierter oder verschlüsselter E-Mails ........................................................................... 90

Version 1.0iv

Amazon WorkMail Administrator-Handbuch

Arbeiten mit Gruppen ........................................................................................................................ 92Erstellen einer Gruppe ............................................................................................................... 92Aktivieren einer vorhandenen Gruppe .......................................................................................... 93Hinzufügen von Benutzern zu einer Gruppe .................................................................................. 93Entfernen von Benutzern aus einer Gruppe .................................................................................. 94Eine Gruppe deaktivieren ........................................................................................................... 94

Arbeiten mit Postfachberechtigungen ................................................................................................... 96Postfach- und Ordnerberechtigungen ........................................................................................... 96Aktivieren von Postfachberechtigungen ........................................................................................ 97Bearbeiten von Postfachberechtigungen ....................................................................................... 97Entfernen von Postfachberechtigungen ......................................................................................... 97Verwalten von Gruppenberechtigungen ........................................................................................ 98

Mit Ressourcen arbeiten .................................................................................................................... 99Erstellen einer Ressource .......................................................................................................... 99Bearbeiten einer Ressource ....................................................................................................... 99Entfernen einer Ressource ....................................................................................................... 100

Verwenden des E-Mail-Journals mit Amazon WorkMail ......................................................................... 102Verwenden des E-Mail-Journals ................................................................................................ 102

Dokumentverlauf ............................................................................................................................. 104

Version 1.0v

Amazon WorkMail Administrator-HandbuchAmazon WorkMail-Systemanforderungen

Was ist Amazon WorkMail?Amazon WorkMail ist ein sicherer, verwalteter E-Mail- und Kalender-Service für den geschäftlichen Einsatz,der vorhandene Desktop- und mobile E-Mail-Clients unterstützt. Amazon WorkMail-Benutzer können mitMicrosoft Outlook, einem Browser oder den systemeigenen iOS- und Android-E-Mail-Anwendungen auf E-Mails, Kontakte und Kalender zugreifen. Sie können vorhandene Firmenverzeichnisse direkt in AmazonAmazon WorkMail einbinden und die Schlüssel, die zur Verschlüsselung Ihrer Daten verwendet werden,sowie den Speicherort für Ihre Daten steuern.

Eine Liste der unterstützten AWS-Regionen und Endpunkte finden Sie unter Regionen und Endpunkte vonAWS.

Themen• Amazon WorkMail-Systemanforderungen (p. 1)• Amazon WorkMail-Konzepte (p. 1)• Zugehörige AWS-Services (p. 2)• Amazon WorkMail-Preise (p. 3)• Amazon WorkMail-Ressourcen (p. 3)

Amazon WorkMail-SystemanforderungenAmazon WorkMail funktioniert mit allen wichtigen mobilen Geräten und Betriebssystemen, die dasExchange ActiveSync-Protokoll unterstützen. Zu diesen Geräten zählen iPad, iPhone, Android- undWindows-Telefone. Benutzer von macOS können ihr Amazon WorkMail-Konto zu ihren Apps für E-Mail,Kalender und Kontakte hinzufügen.

Wenn Sie über eine gültige Microsoft Outlook-Lizenz verfügen, können Sie mit den folgenden Versionenvon Microsoft Outlook auf Amazon WorkMail zugreifen:

• Outlook 2007, Outlook 2010, Outlook 2013, Outlook 2016 und Outlook 2019• Outlook 2010 und Outlook 2013 Click-to-Run• Outlook für Mac 2011, Outlook 2016 für Mac und Outlook 2019 für Mac

Auf die Amazon WorkMail-Web-Anwendung wird unter https://alias.awsapps.com/mailzugegriffen. Amazon WorkMail kann auch mit IMAP-Clients verwendet werden. Weitere Informationenfinden Sie unter Setting Up Email Clients for Amazon WorkMail im Amazon WorkMail User Guide.

Amazon WorkMail-KonzepteDie Terminologie und Konzepte, die für Ihr Verständnis und den Umgang mit Amazon WorkMail vonwesentlicher Bedeutung sind, werden nachstehend beschrieben.

Organisation

Eine Mandanteneinrichtung für Amazon WorkMail.Alias

Ein global eindeutiger Name zur Identifizierung Ihrer Organisation. Der Alias wird verwendet, um aufdie Amazon WorkMail-Webanwendung zuzugreifen (https://Alias.awsapps.com/mail).

Version 1.01

Amazon WorkMail Administrator-HandbuchZugehörige AWS-Services

Domäne

Die Webadresse, die hinter dem @-Symbol in einer E-Mail-Adresse steht. Sie können eine Domänehinzufügen, die E-Mails empfängt und an Postfächer in Ihrem Unternehmen weiterleitet.

Test-Maildomäne

Während der Installation wird automatisch eine Domäne konfiguriert, die zum Testen von AmazonWorkMail verwendet werden kann. Die Test-Maildomäne ist Alias.awsapps.com und wird alsStandarddomäne verwendet, wenn Sie keine eigene Domäne konfigurieren. Die Test-Maildomäneunterliegt unterschiedlichen Beschränkungen. Weitere Informationen finden Sie unter AmazonWorkMail-Kontingente (p. 46).

Verzeichnis

Ein AWS Simple AD, AWS Managed AD oder AD Connector, der in AWS Directory Service erstelltwurde. Wenn Sie eine Organisation mit der Amazon WorkMail-Schnelleinrichtung erstellen, erstellenwir für Sie ein WorkMail-Verzeichnis. Sie können ein WorkMail-Verzeichnis in AWS Directory Servicenicht anzeigen.

Benutzer

Ein Benutzer, der in AWS Directory Service angelegt wurde. Wenn ein Benutzer für Amazon WorkMailaktiviert ist, erhält er sein eigenes Postfach, auf das er zugreifen kann. Wenn ein Benutzer deaktiviertist, kann er nicht auf Amazon WorkMail zugreifen.

Gruppe

Eine in AWS Directory Service verwendete Gruppe. Eine Gruppe kann als Verteilerliste oderSicherheitsgruppe in Amazon WorkMail verwendet werden. Gruppen verfügen nicht über eigenePostfächer.

Ressource

Eine Ressource repräsentiert einen Konferenzraum oder eine Ausrüstung, der bzw. die von AmazonWorkMail-Benutzern gebucht werden kann.

Richtlinie für Mobilgeräte

Verschiedene Regeln für IT-Richtlinien, die die Sicherheitsmerkmale und das Verhalten eines mobilenGeräts steuern.

Zugehörige AWS-ServicesDie folgenden Services werden in Verbindung mit Amazon WorkMail verwendet:

• AWS Directory Service—Sie können Amazon WorkMail mit einem vorhandenen AWS Simple AD, AWSManaged AD oder AD Connector integrieren. Erstellen Sie ein Verzeichnis in AWS Directory Service undaktivieren Sie dann Amazon WorkMail für dieses Verzeichnis. Nachdem Sie diese Integration konfigurierthaben, können Sie aus einer Liste von Benutzern in Ihrem bestehenden Verzeichnis auswählen, welcheBenutzer Sie für Amazon WorkMail aktivieren möchten, und Benutzer können sich mit ihren vorhandenenActive Directory-Anmeldeinformationen anmelden. Weitere Informationen erhalten Sie unter AWSDirectory Service Administration Guide.

• Amazon Simple Email Service—Amazon WorkMail verwendet Amazon SES zum Versenden derabgesendeten E-Mails. Die Test-Maildomäne und Ihre Domänen stehen für die Verwaltung in derAmazon SES-Konsole zur Verfügung. Es entstehen keine Kosten für ausgehende E-Mails, die vonAmazon WorkMail gesendet werden. Weitere Informationen finden Sie unter Amazon Simple EmailService-Entwicklerhandbuch.

• AWS Identity and Access Management—Die AWS Management Console erfordert Ihren Benutzernamenund das Passwort, damit der Dienst feststellen kann, ob Sie berechtigt sind, auf dessen Ressourcenzuzugreifen. Wir empfehlen Ihnen, die Verwendung von AWS-Konto-Anmeldeinformationen für den

Version 1.02

Amazon WorkMail Administrator-HandbuchAmazon WorkMail-Preise

Zugriff auf AWS zu vermeiden, da die AWS-Konto-Anmeldeinformationen in keiner Weise widerrufenoder eingeschränkt werden können. Stattdessen empfehlen wir Ihnen, einen IAM-Benutzer anzulegenund den Benutzer zu einer IAM-Gruppe mit administrativen Berechtigungen hinzuzufügen. Sie könnendann mit den IAM-Benutzeranmeldeinformationen auf die Konsole zugreifen.

Wenn Sie sich zwar bei AWS angemeldet, aber für sich selbst keinen IAM-Benutzer erstellt haben,können Sie mithilfe der IAM-Konsole einen Benutzer erstellen. Weitere Informationen finden Sie unterIndividuelle IAM-Benutzer erstellen im IAM-Benutzerhandbuch.

• AWS Key Management Service—Amazon WorkMail ist zur Verschlüsselung von Kundendaten mitAWS KMS integriert. Die Schlüsselverwaltung kann über die AWS KMS-Konsole erfolgen. WeitereInformationen finden Sie unter Was ist AWS Key Management Service im AWS Key ManagementService Developer Guide.

Amazon WorkMail-PreiseMit Amazon WorkMail müssen Sie keine Vorauszahlungen leisten oder sonstige Verbindlichkeiteneingehen. Sie zahlen nur für aktive Benutzerkonten. Weitere Informationen zu Preisen erhalten Sie unterPreise.

Amazon WorkMail-RessourcenDie folgenden verwandten Ressourcen bieten Ihnen nützliche Informationen für die Arbeit mit diesemService.

• Kurse und Workshops – Links zu rollenbasierten und speziellen Kursen sowie Übungen im Selbststudiumzur Verbesserung Ihrer AWS-Kompetenzen und für praktische Erfahrung.

• AWS-Entwickler-Tools – Links zu Entwickler-Tools, SDKs, IDE-Toolkits und Befehlszeilen-Tools für dieEntwicklung und Verwaltung von AWS-Anwendungen.

• AWS-Whitepaper – Links zu einer umfangreichen Liste technischer AWS-Whitepaper zu Themen wieArchitektur, Sicherheit und Wirtschaftlichkeit. Diese Whitepaper wurden von AWS-Lösungsarchitektenund anderen technischen Experten verfasst.

• AWS Support-Center –– Der zentrale Ort für die Erstellung und Verwaltung Ihrer AWS Support-Fälle.Bietet außerdem Links zu hilfreichen Ressourcen wie z. B. Foren, technischen Fragen und Antworten,Übersicht zum Servicestatus und AWS Trusted Advisor.

• AWS Support – Die Hauptwebsite mit Informationen zum AWS Support ist ein persönlicher undreaktionsschneller Support-Kanal, der Sie beim Konfigurieren und Ausführen von Anwendungen in derCloud unterstützt.

• Kontaktieren Sie uns – Ein zentraler Kontaktpunkt für Anfragen zur AWS-Abrechnung, zu Konten,Ereignissen, Missbrauch und anderen Problemen.

• Nutzungsbedingungen für die AWS-Website – Detaillierte Informationen zu unseren Copyright- undMarkenbestimmungen, Ihrem Konto, den Lizenzen, Websitezugriff und anderen Themen.

Version 1.03

Amazon WorkMail Administrator-HandbuchErstellen eines AWS-Kontos und der

Stammbenutzer-Anmeldeinformationen

VoraussetzungenUm Amazon WorkMail verwenden zu können, benötigen Sie ein AWS-Konto. Wenn Sie sich noch nicht fürAWS angemeldet haben, gehen Sie wie folgt vor, um ein Konto einzurichten.

Themen• Erstellen eines AWS-Kontos und der Stammbenutzer-Anmeldeinformationen (p. 4)• Erstellen von AWS Identity and Access Management-Benutzern und -Gruppen (p. 5)

Erstellen eines AWS-Kontos und derStammbenutzer-Anmeldeinformationen

Für den Zugriff auf AWS benötigen Sie ein AWS-Konto.

Für ein AWS-Konto registrieren Sie sich wie folgt:

1. Öffnen Sie https://portal.aws.amazon.com/billing/signup.2. Folgen Sie den Onlineanweisungen.

Der Anmeldeprozess beinhaltet auch einen Telefonanruf und die Eingabe eines Verifizierungscodesüber die Telefontastatur.

AWS sendet Ihnen eine Bestätigungs-E-Mail, sobald die Registrierung abgeschlossen ist. Sie könnenjederzeit Ihre aktuelle Kontoaktivität ansehen und Ihr Konto verwalten. Rufen Sie dazu https://aws.amazon.com/ auf und klicken Sie auf Mein Konto.

Zugriffsschlüssel bestehen aus einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel. Diesewerden zum Signieren der von Ihnen ausgeführten programmgesteuerten Anforderungen an AWSverwendet. Wenn Sie noch keine Zugriffsschlüssel besitzen, können Sie diese über die AWS ManagementConsole erstellen. Verwenden Sie als bewährte Methode nicht die Stammbenutzer des AWS-Kontos-Zugriffsschlüssel für Aufgaben, für die dies nicht erforderlich ist. Erstellen Sie stattdessen einen neuen IAM-Benutzer mit Administratorrechten und mit Zugriffschlüsseln für Sie selbst.

Beim Erstellen der geheimen Zugriffschlüssel besteht die einzige Möglichkeit, diese anzuzeigen oderherunterzuladen. Später lassen sie sich nicht wieder wiederherstellen. Sie können jedoch jederzeit neueZugriffsschlüssel erstellen. Sie müssen auch über Berechtigungen verfügen, um die benötigten IAM-Aktionen durchzuführen. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für denZugriff auf IAM-Ressourcen im IAM-Benutzerhandbuch.

So erstellen Sie Zugriffsschlüssel für einen IAM-Benutzer

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Klicken Sie im Navigationsbereich auf Users.3. Wählen Sie erst den Namen des Benutzers, dessen Zugriffsschlüssel Sie erstellen möchten, und dann

die Registerkarte Security credentials (Sicherheitsanmeldeinformationen) aus.4. Wählen Sie im Bereich Access keys (Zugriffsschlüssel) die Option Create access key

(Zugriffsschlüssel erstellen).

Version 1.04

Amazon WorkMail Administrator-HandbuchErstellen von AWS Identity and AccessManagement-Benutzern und -Gruppen

5. Um das neue Zugriffsschlüsselpaar anzuzeigen, wählen Sie Show (Anzeigen). Sie haben keinenZugriff auf den geheimen Zugriffsschlüssel mehr, nachdem das Dialogfeld geschlossen wird. IhreAnmeldeinformationen sehen etwa folgendermaßen aus:

• Zugriffsschlüssel-ID: AKIAIOSFODNN7EXAMPLE• Geheimer Zugriffsschlüssel: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

6. Wählen Sie zum Herunterladen des Schlüsselpaares Download .csv file aus. Speichern Sie dieSchlüssel an einem sicheren Ort. Sie haben keinen Zugriff auf den geheimen Zugriffsschlüssel mehr,nachdem das Dialogfeld geschlossen wird.

Behandeln Sie die Schlüssel vertraulich, um Ihr AWS-Konto zu schützen, und senden Sie dieSchlüssel niemals per E-Mail. Geben Sie die Schlüssel nicht außerhalb Ihrer Organisation weiter, auchnicht im Falle von Anfragen, die von AWS oder Amazon.com zu kommen scheinen. Niemand, derAmazon legitim vertritt, wird Sie nach dem geheimen Schlüssel fragen.

7. Nachdem Sie die .csv-Datei heruntergeladen haben, klicken Sie auf Close (Schließen). Wenn Sieeinen Zugriffsschlüssel erstellen, ist das Schlüsselpaar standardmäßig aktiv, und Sie können es sofortverwenden.

Verwandte Themen

• Was ist IAM? im IAM-Benutzerhandbuch• AWS-Sicherheitsanmeldeinformationen in der AWS General Reference

Erstellen von AWS Identity and AccessManagement-Benutzern und -Gruppen

Die AWS Management Console erfordert Ihren Benutzernamen und das Passwort, damit der Dienstfeststellen kann, ob Sie berechtigt sind, auf dessen Ressourcen zuzugreifen. Wir empfehlen Ihnen, dieVerwendung von Stammkonto-Anmeldeinformationen für den Zugriff auf AWS zu vermeiden, da dieStammkonto-Anmeldeinformationen in keiner Weise widerrufen oder eingeschränkt werden können. LegenSie stattdessen mit AWS Identity and Access Management (IAM) einen IAM-Benutzer an und fügen Sieden Benutzer zu einer IAM-Gruppe mit administrativen Berechtigungen hinzu. Sie können dann mithilfe derAnmeldeinformationen für den IAM-Benutzer auf die Konsole zugreifen.

Wenn Sie sich zwar bei AWS angemeldet, aber für sich selbst keinen IAM-Benutzer erstellt haben, könnenSie mithilfe der IAM-Konsole einen Benutzer erstellen. Weitere Informationen finden Sie unter Erstellenindividueller IAM-Benutzer im IAM-Benutzerhandbuch.

Gewähren von Berechtigungen für IAM für AmazonWorkMail-BenutzerStandardmäßig können IAM-Benutzer keine Amazon WorkMail-Ressourcen verwalten. Sie müssen einevon AWS verwaltete Richtlinie (AmazonWorkMailFullAccess oder AmazonWorkMailReadOnlyAccess)anfügen oder eine benutzerverwaltete Richtlinie erstellen, die IAM-Benutzern ausdrücklich dieseBerechtigungen verlieht, und diese Richtlinie an die IAM-Benutzer oder -Gruppen anfügen, die dieseBerechtigungen benötigen. Weitere Informationen finden Sie unter Identity and Access Management fürAmazon WorkMail (p. 6).

Version 1.05

Amazon WorkMail Administrator-HandbuchIdentity and Access Management

Sicherheit in Amazon WorkMailCloud-Sicherheit hat bei AWS höchste Priorität. Als AWS-Kunde profitieren Sie von einer Rechenzentrums-und Netzwerkarchitektur, die zur Erfüllung der Anforderungen von Organisationen entwickelt wurden, fürdie Sichherheit eine kritische Bedeutung hat.

Sicherheit ist eine übergreifende Verantwortlichkeit zwischen AWS und Ihnen. Im Modell derübergreifenden Verantwortlichkeit wird Folgendes mit „Sicherheit der Cloud“ bzw. „Sicherheit in der Cloud“umschrieben:

• Sicherheit der Cloud selbst – AWS ist dafür verantwortlich, die Infrastruktur zu schützen, mit derAWS-Services in der AWS- Cloud ausgeführt werden. AWS stellt Ihnen außerdem Services bereit,die Sie sicher nutzen können. Auditoren von Drittanbietern testen und überprüfen die Effektivitätunserer Sicherheitsmaßnahmen im Rahmen der AWS-Compliance-Programme regelmäßig. WeitereInformationen zu den Compliance-Programmen für Amazon WorkMail finden Sie unter Vom Compliance-Programm abgedeckte AWS-Services.

• Sicherheit in der Cloud – Ihre Verantwortung richtet sich nach dem AWS-Service, den Sie verwenden.Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für dieAnforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.

In dieser Dokumentation wird beschrieben, wie das Modell der übergreifenden Verantwortlichkeit imZusammenhang mit Amazon WorkMail angewendet wird. Die folgenden Themen zeigen, wie Sie AmazonWorkMail konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erfüllen. Sie erfahren außerdem,wie Sie weitere AWS-Services verwenden, um Ihre Amazon WorkMail-Ressourcen zu überwachen und zuschützen.

Topics• Identity and Access Management für Amazon WorkMail (p. 6)• Verwenden von serviceverknüpften Rollen für Amazon WorkMail (p. 20)• Protokollieren und Überwachen in Amazon WorkMail (p. 22)• Compliance-Validierung für Amazon WorkMail (p. 34)• Ausfallsicherheit in Amazon WorkMail (p. 34)• Sicherheit der Infrastruktur in Amazon WorkMail (p. 34)

Identity and Access Management für AmazonWorkMail

AWS Identity and Access Management (IAM) ist ein AWS-Service, der Administratoren bei der sicherenKontrolle des Zugriffs auf AWS-Ressourcen unterstützt. IAM-Administratoren steuern, wer zur Verwendungvon -Ressourcen authentifiziert (angemeldet) und autorisiert (berechtigt) werden kann. IAM ist ein AWS-Service, den Sie ohne zusätzliche Kosten nutzen können.

Themen• Zielgruppe (p. 7)• Authentifizieren mit Identitäten (p. 7)

Version 1.06

Amazon WorkMail Administrator-HandbuchZielgruppe

• Verwalten des Zugriffs mit Richtlinien (p. 9)• So funktioniert Amazon WorkMail mit IAM (p. 11)• Beispiele für identitätsbasierte Amazon WorkMail-Richtlinien (p. 14)• Fehlerbehebung für Amazon WorkMail Identity and Access (p. 18)

ZielgruppeWie Sie AWS Identity and Access Management (IAM) verwenden, unterscheidet sich je nach Ihrer Arbeitin .

Service-Benutzer – Wenn Sie den -Service verwenden, stellt Ihnen Ihr Administrator die erforderlichenAnmeldeinformationen und Berechtigungen bereit. Wenn Sie für Ihre Arbeit weitere -Funktionenausführen, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Funktionsweise derZugriffskontrolle verstehen, kann Ihnen dies helfen, die richtigen Berechtigungen von Ihrem Administratoranzufordern. Unter Fehlerbehebung für Amazon WorkMail Identity and Access (p. 18) finden Sienützliche Informationen für den Fall, dass Sie keinen Zugriff auf eine Funktion in haben.

Service-Administrator – Wenn Sie in Ihrem Unternehmen die Verantwortung für -Ressourcen haben,haben Sie wahrscheinlich vollständigen Zugriff auf . Ihre Aufgabe besteht darin, die -Funktionen und -Ressourcen festzulegen, auf die Mitarbeiter zugreifen können sollten. Sie müssen anschließend bei IhremIAM-Administrator entsprechende Änderungen für die Berechtigungen Ihrer Service-Benutzer anfordern.Lesen Sie die Informationen auf dieser Seite, um die Grundkonzepte von IAM zu verstehen. WeitereInformationen dazu, wie Ihr Unternehmen IAM mit verwenden kann, finden Sie unter So funktioniertAmazon WorkMail mit IAM (p. 11).

IAM Administrator – Wenn Sie als IAM-Administrator fungieren, sollten Sie Einzelheiten dazu kennen,wie Sie Richtlinien zur Verwaltung des Zugriffs auf verfassen können. Beispiele für identitätsbasierte -Richtlinien, die Sie in IAM verwenden können, finden Sie unter Beispiele für identitätsbasierte AmazonWorkMail-Richtlinien (p. 14).

Authentifizieren mit IdentitätenDie Authentifizierung ist die Art und Weise, wie Sie sich mit Ihren Anmeldeinformationen bei AWSanmelden. Weitere Informationen zum Anmelden über die AWS Management Console finden Sie unter DieIAM-Konsole und -Anmeldeseite im IAM-Benutzerhandbuch.

Sie müssen als Stammbenutzer des AWS-Kontos, als IAM-Benutzer oder durch Übernahme einer IAM-Rolle authentifiziert (bei AWS angemeldet) sein. Sie können auch die Single-Sign-on-AuthentifizierungIhres Unternehmens verwenden oder sich sogar über Google oder Facebook anmelden. In diesen Fällenhat Ihr Administrator vorher einen Identitätsverbund unter verwendung von IAM-Rollen eingerichtet. WennSie mit Anmeldeinformationen eines anderen Unternehmens auf AWS zugreifen, nehmen Sie indirekt eineRolle an.

Verwenden Sie zur direkten Anmeldung bei AWS Management Console Ihr Kennwort mit Ihrer Root-Benutzer-E-Mail-Adresse oder Ihrem IAM-Benutzernamen. Sie können auf AWS programmgesteuertoder mit Ihren Root-Benutzer- oder IAM-Benutzerzugriffsschlüsseln zugreifen. AWS stellt SDK- undBefehlszeilen-Tools bereit, mit denen Ihre Anforderung anhand Ihrer Anmeldeinformationen kryptografischsigniert wird. Wenn Sie keine AWS-Tools verwenden, müssen Sie die Anforderung selbst signieren.Hierzu verwenden Sie Signature Version 4, ein Protokoll für die Authentifizierung eingehender API-Anforderungen. Weitere Informationen zur Authentifizierung von Anfragen finden Sie unter SignatureVersion 4-Signaturprozess im AWS General Reference.

Unabhängig von der von Ihnen verwendeten Authentifizierungsmethode müssen Sie möglicherweise auchzusätzliche Sicherheitsinformationen angeben. AWS empfiehlt beispielsweise die Verwendung von Multi-

Version 1.07

Amazon WorkMail Administrator-HandbuchAuthentifizieren mit Identitäten

Factor Authentication (MFA), um die Sicherheit Ihres Kontos zu verbessern. Weitere Informationen findenSie unter Verwenden der Multi-Factor Authentication (MFA) in AWS im IAM-Benutzerhandbuch.

Stammbenutzer des AWS-KontosWenn Sie ein AWS-Konto neu erstellen, enthält es zunächst nur eine einzelne Anmeldeidentität, die überVollzugriff auf sämtliche AWS-Services und -Ressourcen im Konto verfügt. Diese Identität wird als Root-Benutzer des AWS-Kontos bezeichnet. Um auf es zuzugreifen, müssen Sie sich mit der E-Mail-Adresseund dem Passwort anmelden, die zur Erstellung des Kontos verwendet wurden. Wir raten ausdrücklichdavon ab, den Root-Benutzer für Alltagsaufgaben einschließlich administrativen Aufgaben zu verwenden.Bleiben Sie stattdessen bei der bewährten Methode, den Root-Benutzer nur zu verwenden, um Ihrenersten IAM-Benutzer zu erstellen. Anschließend legen Sie die Anmeldedaten für den Root-Benutzeran einem sicheren Ort ab und verwenden ihn nur, um einige Konto- und Service-Verwaltungsaufgabendurchzuführen.

IAM-Benutzer und -GruppenEin IAM-Benutzer ist eine Entität in Ihrem AWS-Konto mit bestimmten Berechtigungen für eine einzelnePerson oder eine einzelne Anwendung. Ein IAM-Benutzer kann langfristige Anmeldeinformationen wieBenutzername und Kennwort oder einen Satz von Zugriffsschlüsseln haben. Informationen zum Generierenvon Zugriffsschlüsseln finden Sie unter Verwalten von Zugriffsschlüsseln für IAM-Benutzer im IAM-Benutzerhandbuch. Achten Sie beim Generieren von Zugriffsschlüsseln für einen IAM-Benutzer darauf,dass Sie das Schlüsselpaar anzeigen und sicher speichern. Sie können den geheimen Zugriffsschlüsselspäter nicht wiederherstellen. Stattdessen müssen Sie ein neues Zugriffsschlüsselpaar generieren.

Ein IAM-Gruppe ist eine Identität, die eine Sammlung von IAM.Benutzern angibt. Sie können sich nichtals Gruppe anmelden. Mithilfe von Gruppen können Sie Berechtigungen für mehrere Benutzer gleichzeitigangeben. Gruppen vereinfachen die Verwaltung von Berechtigungen, wenn es zahlreiche Benutzer gibt.Sie könnten beispielsweise einer Gruppe mit dem Namen IAMAdmins Berechtigungen zum Verwalten vonIAM-Ressourcen erteilen.

Benutzer unterscheiden sich von Rollen. Ein Benutzer ist einer einzigen Person oder Anwendung eindeutigzugeordnet. Eine Rolle kann von allen Personen angenommen werden, die sie benötigen. Benutzerbesitzen permanente langfristige Anmeldeinformationen. Rollen stellen temporäre Anmeldeinformationenbereit. Weitere Informationen finden Sie unter Erstellen eines IAM-Benutzers (anstelle einer Rolle) im IAM-Benutzerhandbuch.

IAM-RollenEine IAMRolle ist eine Entität in Ihrem AWS-Konto mit spezifischen Berechtigungen. Sie ist einem IAM-Benutzer vergleichbar, jedoch nicht mit einer bestimmten Person verknüpft. Sie können eine AWSManagement Console-Rolle vorübergehend in der IAM annehmen, indem Sie Rollen wechseln. Siekönnen eine Rolle annehmen, indem Sie eine AWS CLI- oder AWS-API-Operation aufrufen oder einebenutzerdefinierte URL verwenden. Weitere Informationen zu Methoden für die Verwendung von Rollenfinden Sie unter Verwenden von IAM-Rollen im IAM-Benutzerhandbuch.

IAM-Rollen mit temporären Anmeldeinformationen sind in folgenden Situationen hilfreich:

• Temporäre IAM-Benutzerberechtigungen – Ein IAM-Benutzer kann eine IAM-Rolle annehmen, umvorübergehend andere Berechtigungen für eine bestimmte Aufgabe zu erhalten.

• Zugriff für verbundene Benutzer –Statt einen IAM-Benutzer zu erstellen, können Sie vorhandeneIdentitäten von AWS Directory Service, aus Ihrem Unternehmens-Benutzerverzeichnis oder von einemWeb-Identitätsanbieter verwenden. Diese werden als verbundene Benutzer bezeichnet. AWS weisteinem verbundenen Benutzer eine Rolle zu, wenn der Zugriff über einen Identitätsanbieter angefordertwird. Weitere Informationen zu verbundenen Benutzern finden Sie unter Verbundene Benutzer undRollen im IAM-Benutzerhandbuch.

Version 1.08

Amazon WorkMail Administrator-HandbuchVerwalten des Zugriffs mit Richtlinien

• Kontenübergreifender Zugriff–: Sie können eine IAM-Rolle verwenden, um einem vertrauenswürdigenPrinzipal in einem anderen Konto den Zugriff auf Ressourcen in Ihrem Konto zu ermöglichen. Rollensind die primäre Möglichkeit, um kontoübergreifenden Zugriff zu gewähren. In einigen AWS-Serviceskönnen Sie jedoch eine Richtlinie direkt an eine Ressource anfügen (anstatt eine Rolle als Proxyzu verwenden). Informationen zu den Unterschieden zwischen Rollen und ressourcenbasiertenRichtlinien für den kontenübergreifenden Zugriff finden Sie unter So unterscheiden sich IAM-Rollen vonressourcenbasierten Richtlinien im IAM-Benutzerhandbuch.

• AWS-Service-Zugriff –Eine Servicerolle ist eine IAM-Rolle, die ein Service übernimmt, um Aktionenin Ihrem Konto für Sie auszuführen. Beim Einrichten einiger AWS-Serviceumgebungen müssen Sieeine Rolle für den zu übernehmenden Service definieren. Diese Servicerolle muss alle für den Serviceerforderlichen Berechtigungen für den Zugriff auf die AWS-Ressourcen, die erforderlich sind, enthalten.Servicerollen unterscheiden sich von Service zu Service, aber viele erlauben Ihnen, Ihre Berechtigungenauszuwählen, solange Sie die dokumentierten Anforderungen für diesen Service erfüllen. Service-Rollenbieten nur Zugriff innerhalb Ihres Kontos und können nicht genutzt werden, um Zugriff auf Services inanderen Konten zu erteilen. Sie können eine Servicerolle in IAM erstellen, ändern und löschen. Siekönnen beispielsweise eine Rolle erstellen, mit der Amazon Redshift in Ihrem Namen auf einen AmazonS3-Bucket zugreifen und Daten aus diesem Bucket in einen Amazon Redshift-Cluster laden kann.Weitere Informationen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen aneinen AWS-Service im IAM-Benutzerhandbuch.

• Auf Amazon EC2 ausgeführte Anwendungen – Sie können eine IAM-Rolle nutzen, um temporäreAnmeldeinformationen für Anwendungen zu verwalten, die auf einer EC2-Instance ausgeführtwerden und AWS CLI- oder AWS-API-Anforderungen durchführen. Das ist empfehlenswerter alsZugriffsschlüssel innerhalb der EC2 Instance zu speichern. Erstellen Sie ein Instance-Profil, das an dieInstance angefügt ist, um eine AWS-Rolle einer EC2-Instance zuzuweisen und die Rolle für sämtlicheAnwendungen der Instance bereitzustellen. Ein Instance-Profil enthält die Rolle und ermöglicht, dassProgramme, die in der EC2-Instance ausgeführt werden, temporäre Anmeldeinformationen erhalten.Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen fürAnwendungen, die auf Amazon EC2-Instances ausgeführt werden im IAM-Benutzerhandbuch.

Informationen dazu, wann Sie IAM-Rollen verwenden sollten, finden Sie unter Wann Sie eine IAM-Rolle(statt eines Benutzers) erstellen sollten im IAM-Benutzerhandbuch.

Verwalten des Zugriffs mit RichtlinienFür die Zugriffssteuerung in AWS erstellen Sie Richtlinien und weisen sie den IAM-Identitäten oderAWS-Ressourcen zu. Eine Richtlinie ist ein Objekt in AWS, das, wenn es einer Identität oder Ressourcezugeordnet wird, deren Berechtigungen definiert. AWS wertet diese Richtlinien aus, wenn eine Entität(Root-Benutzer, IAM-Benutzer oder IAM-Rolle) eine Anforderung stellt. Berechtigungen in den Richtlinienbestimmen, ob die Anforderung zugelassen oder abgelehnt wird. Die meisten Richtlinien werden inAWS als JSON-Dokumente gespeichert. Weitere Informationen zu Struktur und Inhalten von JSON-Richtliniendokumenten finden Sie unter Übersicht über JSON-Richtlinien im IAM-Benutzerhandbuch.

Ein IAM-Administrator kann mithilfe von Richtlinien die Benutzer, die auf AWS-Ressourcen zugreifenkönnen, und die Aktionen, die diese für diese Ressourcen ausführen dürfen, angeben. Eine IAM-Entität (Benutzer oder Rolle) besitzt zunächst keine Berechtigungen. Anders ausgedrückt, könnenBenutzer standardmäßig keine Aktionen ausführen und nicht einmal ihr Kennwort ändern. Um einemBenutzer die Berechtigung für eine Aktion zu erteilen, muss ein Administrator einem Benutzer eineBerechtigungsrichtlinie zuweisen. Alternativ kann der Administrator den Benutzer zu einer Gruppehinzufügen, die über die gewünschten Berechtigungen verfügt. Wenn ein Administrator einer GruppeBerechtigungen erteilt, erhalten alle Benutzer in dieser Gruppe diese Berechtigungen.

IAM-Richtlinien definieren Berechtigungen für eine Aktion unabhängig von der Methode, die Sie zurAusführung der Aktion verwenden. Angenommen, es gibt eine Richtlinie, die Berechtigungen für dieiam:GetRole-Aktion erteilt. Ein Benutzer mit dieser Richtlinie kann Benutzer informationen über die AWSManagement Console, die AWS CLI oder die AWS-API abrufen.

Version 1.09

Amazon WorkMail Administrator-HandbuchVerwalten des Zugriffs mit Richtlinien

Identitätsbasierte RichtlinienIdentitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einem Prinzipal (odereiner Identität) anfügen können, z. B.IAM-Benutzern, -Rollen oder -Gruppen. Diese Richtlinien steuern,welche Aktionen diese Identität für welche Ressourcen und unter welchen Bedingungen ausführen kann.Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter Erstellen von IAM-Richtlinien imIAM-Benutzerhandbuch.

Identitätsbasierte Richtlinien können weiter als Inline-Richtlinien oder verwaltete Richtlinien kategorisiertwerden. Inline-Richtlinien sind direkt in einen einzelnen Benutzer, eine einzelne Gruppe oder eine einzelneRolle eingebettet. Verwaltete Richtlinien sind eigenständige Richtlinien, die Sie mehreren Benutzern,Gruppen und Rollen in Ihrem AWS-Konto anfügen können. Verwaltete Richtlinien umfassen von AWSverwaltete und von Kunden verwaltete Richtlinien. Informationen dazu, wie Sie zwischen einer verwaltetenRichtlinie und einer Inline-Richtlinie wählen, finden Sie unter Wählen zwischen verwalteten und Inline-Richtlinien im IAM-Benutzerhandbuch.

Ressourcenbasierte RichtlinienRessourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource wie z. B.einen Amazon S3-Bucket anfügen. Serviceadministratoren können mit diesen Richtlinien festlegen,welche Aktionen ein angegebener Prinzipal (Kontomitglied, Benutzer oder Rolle) für diese Ressourcedurchführen kann, und unter welchen Bedingungen dies möglich ist. Ressourcenbasierte Richtlinien sindInline-Richtlinien. Es gibt keine verwalteten ressourcenbasierte Richtlinien.

Zugriffskontrolllisten (ACLs)Zugangskontrollrichtlinien (ACLs) steuern, welche Prinzipale (Kontomitglieder, Benutzer oder Rollen)auf eine Ressource zugreifen können. ACLs sind ähnlich wie ressourcenbasierte Richtlinien, obwohl sieder einzige Richtlinientyp sind, der das JSON-Richtliniendokumentformat nicht verwendet. Amazon S3,AWS WAF und Amazon VPC sind Beispiele für Services, die ACLs unterstützen. Weitere Informationenzu ACLs finden Sie unter Zugriffskontrollliste (ACL) – Übersicht im Amazon Simple Storage Service-Entwicklerhandbuch.

Weitere RichtlinientypenAWS unterstützt zusätzliche, weniger häufig verwendete Richtlinientypen. Diese Richtlinientypen könnendie maximalen Berechtigungen festlegen, die Ihnen von den häufiger verwendeten Richtlinientypen erteiltwerden können.

• Berechtigungsgrenzen – Eine Berechtigungsgrenze ist eine erweiterte Funktion, mit der Sie diemaximalen Berechtigungen festlegen können, die eine identitätsbasierte Richtlinie einer IAM-Entität(IAM-Benutzer oder Rolle) erteilen kann. Sie können eine Berechtigungsgrenze für eine Entität festlegen.Die resultierenden Berechtigungen sind eine Schnittmenge der identitätsbasierten Richtlinien derEntität und ihrer Berechtigungsgrenzen. Ressourcenbasierte Richtlinien, die den Benutzer oder dieRolle im Feld Principal angeben, werden nicht durch Berechtigungsgrenzen eingeschränkt. Eineexplizite Zugriffsverweigerung in einer dieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. WeitereInformationen zu Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten imIAM-Benutzerhandbuch.

• Service-Kontrollrichtlinien (Service Control Policies, SCPs) – SCPs sind JSON-Richtlinien, die diemaximalen Berechtigungen für eine Organisation oder Organisationseinheit (Organization Unit,OU) in AWS Organizations angeben. AWS Organizations ist ein Service für die Gruppierung undzentrale Verwaltung der AWS-Konten Ihres Unternehmens. Wenn Sie innerhalb einer Organisationalle Funktionen aktivieren, können Sie Service-Kontrollrichtlinien (SCPs) auf alle oder einzelne IhrerKonten anwenden. SCPs schränken Berechtigungen für Entitäten in Mitgliedskonten einschließlich desjeweiligen Stammbenutzer des AWS-Kontos ein. Weitere Informationen zu Organisationen und SCPsfinden Sie unter Funktionsweise von SCPs im AWS Organizations-Benutzerhandbuch.

Version 1.010

Amazon WorkMail Administrator-HandbuchSo funktioniert Amazon WorkMail mit IAM

• Sitzungsrichtlinien – Sitzungsrichtlinien sind erweiterte Richtlinien, die Sie als Parameter übergeben,wenn Sie eine temporäre Sitzung für eine Rolle oder einen verbundenen Benutzer programmgesteuerterstellen. Die resultierenden Sitzungsberechtigungen sind eine Schnittmenge der auf der Identität desBenutzers oder der Rolle basierenden Richtlinien und der Sitzungsrichtlinien. Berechtigungen könnenauch aus einer ressourcenbasierten Richtlinie stammen. Eine explizite Zugriffsverweigerung in einerdieser Richtlinien setzt eine Zugriffserlaubnis außer Kraft. Weitere Informationen finden Sie unterSitzungsrichtlinien im IAM-Benutzerhandbuch.

Mehrere RichtlinientypenWenn mehrere Richtlinientypen für eine Anforderung gelten, sind die sich daraus ergebendenBerechtigungen schwieriger zu verstehen. Informationen dazu, wie AWS die Zuässigkeit einer Anforderungermittelt, wenn mehrere Richtlinientypen beteiligt sind, finden Sie unter Logik für die Richtlinienauswertungim IAM-Benutzerhandbuch.

So funktioniert Amazon WorkMail mit IAMBevor Sie IAM zum Verwalten des Zugriffs auf Amazon WorkMail verwenden, sollten Sie wissen, welcheIAM-Funktionen für die Verwendung mit Amazon WorkMail verfügbar sind. Eine Übersicht darüber, wieAmazon WorkMail und andere AWS-Services mit IAM funktionieren, finden Sie unter AWS-Services, die mitIAM funktionieren im IAM-Benutzerhandbuch.

Themen• Identitätsbasierte Amazon WorkMail-Richtlinien (p. 11)• Ressourcenbasierte Amazon WorkMail-Richtlinien (p. 13)• Autorisierung auf der Basis von Amazon WorkMail-Tags (p. 13)• Amazon WorkMail IAM-Rollen (p. 13)

Identitätsbasierte Amazon WorkMail-RichtlinienMit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassenoder abgelehnt werden sollen. Darüber hinaus können Sie festlegen, unter welchen Bedingungen Aktionenzugelassen oder abgelehnt werden. Amazon WorkMail unterstützt bestimmte Aktionen, Ressourcen undBedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden,finden Sie in der IAM-Referenz für JSON-Richtlinienelemente im IAM-Benutzerhandbuch.

AktionenDas Element Action einer identitätsbasierten IAM-Richtlinie beschreibt die spezifischen Aktionen,die von der Richtlinie zugelassen oder abgelehnt werden. Richtlinienaktionen haben normalerweisedenselben Namen wie die zugehörige AWS-API-Operation. Die Aktion wird in einer Richtlinie verwendet,um Berechtigungen zur Durchführung der zugehörigen Aktion zu gewähren.

Richtlinienaktionen in Amazon WorkMail verwenden das folgende Präfix vor der Aktion: workmail:. Umbeispielsweise einem Benutzer die Berechtigung zum Abrufen einer Benutzerliste über die API-OperationAmazon WorkMail workmail:ListUsers zu gewähren, fügen Sie die Aktion ListUsers in dessenRichtlinie ein. Richtlinienanweisungen müssen das Element Action oder NotAction enthalten. AmazonWorkMail definiert einen eigenen Satz von Aktionen, die Aufgaben beschreiben, die Sie mit diesem Serviceausführen können.

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie folgendermaßen mitKommas:

"Action": [

Version 1.011

Amazon WorkMail Administrator-HandbuchSo funktioniert Amazon WorkMail mit IAM

"workmail:ListUsers", "workmail:DeleteUser"

Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Um beispielsweise alleAktionen anzugeben, die mit dem Wort List beginnen, schließen Sie die folgende Aktion ein:

"Action": "workmail:List*"

Die Liste der Amazon WorkMail-Aktionen finden Sie unter Von Amazon WorkMail definierte Aktionen imIAM-Benutzerhandbuch.

Ressourcen

Amazon WorkMail unterstützt die Angabe von Ressourcen-ARNs in einer Richtlinie nicht.

Bedingungsschlüssel

Amazon WorkMail stellt keine servicespezifischen Bedingungsschlüssel bereit, unterstützt jedoch dieVerwendung der folgenden globalen Bedingungsschlüssel.

• aws:CurrentTime

• aws:EpochTime

• aws:MultiFactorAuthAge

• aws:MultiFactorAuthPresent

• aws:PrincipalOrgID

• aws:PrincipalArn

• aws:RequestedRegion

• aws:SecureTransport

• aws:UserAgent

Die folgende Beispielrichtlinie gewährt den Zugriff auf die Amazon WorkMail-Konsole nur über MFA-authentifizierte IAM-Prinzipale in der AWS-Region eu-west-1.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ses:Describe*", "ses:Get*", "workmail:Describe*", "workmail:Get*", "workmail:List*", "workmail:Search*", "lambda:ListFunctions", "iam:ListRoles", "logs:DescribeLogGroups", "cloudwatch:GetMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": [ "eu-west-1"

Version 1.012

Amazon WorkMail Administrator-HandbuchSo funktioniert Amazon WorkMail mit IAM

] }, "Bool": { "aws:MultiFactorAuthPresent": true } } } ]}

Die Liste aller globalen AWS-Bedingungsschlüssel finden Sie unter Globale AWS-Bedingungskontextschlüssel im IAM-Benutzerhandbuch.

Beispiele

Beispiele für identitätsbasierte Amazon WorkMail-Richtlinien finden Sie unter Beispiele für identitätsbasierteAmazon WorkMail-Richtlinien (p. 14).

Ressourcenbasierte Amazon WorkMail-RichtlinienAmazon WorkMail unterstützt keine ressourcenbasierten Richtlinien.

Autorisierung auf der Basis von Amazon WorkMail-TagsAmazon WorkMail unterstützt weder das Markieren von Ressourcen noch die Steuerung des Zugriffs aufder Basis von Tags.

Amazon WorkMail IAM-RollenEine IAM-Rolle ist eine Entität in Ihrem AWS-Konto mit spezifischen Berechtigungen.

Verwenden temporärer Anmeldeinformationen mit Amazon WorkMail

Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden,eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäreAnmeldeinformationen, indem Sie AWS STS-API-Operationen wie AssumeRole oder GetFederationTokenaufrufen.

Amazon WorkMail unterstützt die Verwendung temporärer Anmeldeinformationen.

Serviceverknüpfte Rollen

Serviceverknüpfte Rollen erlauben AWS-Services den Zugriff auf Ressourcen in anderen Services, umeine Aktion in Ihrem Auftrag auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigtund gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollenanzeigen, aber nicht bearbeiten.

Amazon WorkMail unterstützt serviceverknüpfte Rollen. Details zum Erstellen oder Verwalten vonserviceverknüpften Amazon WorkMail-Rollen finden Sie unter Verwenden von serviceverknüpften Rollenfür Amazon WorkMail (p. 20).

Servicerollen

Diese Funktion ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. DieseRolle gewährt dem Service Zugriff auf Ressourcen in anderen Services, um eine Aktion in Ihrem Namenauszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet,

Version 1.013

Amazon WorkMail Administrator-HandbuchBeispiele für identitätsbasierte Richtlinien

dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch dieFunktionalität des Services beeinträchtigen.

Amazon WorkMail unterstützt Servicerollen.

Beispiele für identitätsbasierte Amazon WorkMail-RichtlinienIAM-Benutzer und -Rollen besitzen standardmäßig keine Berechtigungen zum Erstellen oder Ändern vonAmazon WorkMail-Ressourcen. Sie können auch keine Aufgaben mithilfe der AWS Management Console,AWS CLI oder AWS-API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzernund Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcengewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzernoder -Gruppen anfügen, die diese Berechtigungen benötigen.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eineidentitätsbasierte IAM-Richtlinie erstellen, finden Sie unter Erstellen von Richtlinien auf der JSON-Registerkarte im IAM-Benutzerhandbuch.

Themen• Bewährte Methoden für Richtlinien (p. 14)• Verwenden der Amazon WorkMail-Konsole (p. 15)• Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer (p. 16)• Zulassen des schreibgeschützten Zugriff auf Amazon WorkMail-Ressourcen für Benutzer (p. 17)

Bewährte Methoden für RichtlinienIdentitätsbasierte Richtlinien sind sehr leistungsfähig. Sie können festlegen, ob jemand -Ressourcen inIhrem Konto erstellen oder löschen oder auf sie zugreifen kann.. Dies kann zusätzliche Kosten für IhrAWS-Konto verursachen. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien diefolgenden Anleitungen und Empfehlungen:

• Verwenden Sie zum Einstieg von AWS verwaltete Richtlinien – Um schnell mit der Verwendung vonzu beginnen, verwenden Sie von AWS verwaltete Richtlinien, um Ihren Mitarbeitern die von ihnenbenötigten Berechtigungen zu gewähren. Diese Richtlinien sind bereits in Ihrem Konto verfügbar undwerden von AWS gewartet und aktualisiert. Weitere Informationen finden Sie unter Erste Schritte zurVerwendung von Berechtigungen mit von AWS verwalteten Richtlinien im IAM-Benutzerhandbuch.

• Gewähren Sie die geringstmöglichen Berechtigungen – Gewähren Sie beim Erstellen benutzerdefinierterRichtlinien nur die Berechtigungen, die zum Ausführen einer Aufgabe erforderlich sind. Beginnen Sie miteinem Mindestsatz von Berechtigungen und gewähren Sie zusätzliche Berechtigungen wie erforderlich.Dies ist sicherer, als mit Berechtigungen zu beginnen, die zu weit gefasst sind, und dann später zuversuchen, sie zu begrenzen. Weitere Informationen finden Sie unter Gewähren der geringstmöglichenBerechtigungen im IAM-Benutzerhandbuch.

• Aktivieren Sie für sensible Vorgänge MFA – Fordern Sie von IAM-Benutzern die Verwendung vonMulti-Factor Authentication (MFA), um zusätzliche Sicherheit beim Zugriff auf sensible Ressourcenoder API-Operationen zu bieten. Weitere Informationen finden Sie unter Verwenden von Multi-FactorAuthentication (MFA) in AWS im IAM-Benutzerhandbuch.

• Verwenden Sie Richtlinienbedingungen, um zusätzliche Sicherheit zu bieten – Definieren Sie dieBedingungen, unter denen Ihre identitätsbasierten Richtlinien den Zugriff auf eine Ressource zulassen,soweit praktikabel. Beispielsweise können Sie Bedingungen schreiben, die eine Reihe von zulässigenIP-Adressen festlegen, von denen eine Anforderung stammen muss. Sie können auch Bedingungenschreiben, die Anforderungen nur innerhalb eines bestimmten Datums- oder Zeitbereichs zulassenoder die Verwendung von SSL oder MFA fordern. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.

Version 1.014

Amazon WorkMail Administrator-HandbuchBeispiele für identitätsbasierte Richtlinien

Verwenden der Amazon WorkMail-KonsoleUm auf die Amazon WorkMail-Konsole zuzugreifen, müssen Sie einen Mindestsatz von Berechtigungenbesitzen. Diese Berechtigungen müssen Ihnen das Auflisten und Anzeigen von Details zu AmazonWorkMail-Ressourcen in Ihrem AWS-Konto gestatten. Wenn Sie eine identitätsbasierte Richtlinie erstellen,die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wievorgesehen für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie.

Um sicherzustellen, dass diese Entitäten die Amazon WorkMail-Konsole weiter verwenden können, fügenSie den Entitäten auch die folgende von AWS verwaltete Richtlinie an: AmazonWorkMailFullAccess.Weitere Informationen finden Sie unter Hinzufügen von Berechtigungen zu einem Benutzer im IAM-Benutzerhandbuch.

Die Richtlinie AmazonWorkMailFullAccess gewährt einem IAM-Benutzer Vollzugriff auf Amazon WorkMail-Ressourcen. Diese Richtlinie gewährt dem Benutzer Zugriff auf alle Amazon WorkMail-, AWS KeyManagement Service-, Amazon Simple Email Service- und AWS Directory Service-Operationen. Diesumfasst auch verschiedene Amazon EC2-Operationen, die Amazon WorkMail in Ihrem Namen ausführenmuss. Die Berechtigungen logs und cloudwatch sind für das Protokollieren von E-Mail-Ereignissen unddas Anzeigen von Metriken in der Amazon WorkMail-Konsole erforderlich. Weitere Informationen finden Sieunter Protokollieren und Überwachen in Amazon WorkMail (p. 22).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:CheckAlias", "ds:CreateAlias", "ds:CreateDirectory", "ds:CreateIdentityPoolDirectory", "ds:DeleteAlias", "ds:DeleteDirectory", "ds:DescribeDirectories", "ds:GetDirectoryLimits", "ds:ListAuthorizedApplications", "ds:UnauthorizeApplication", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateTags", "ec2:CreateVpc", "ec2:DeleteSecurityGroup", "ec2:DeleteSubnet", "ec2:DeleteVpc", "ec2:DescribeAvailabilityZones", "ec2:DescribeRouteTables", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "kms:DescribeKey", "kms:ListAliases" "lambda:ListFunctions", "route53:ChangeResourceRecordSets", "route53:ListHostedZones", "route53:ListResourceRecordSets", "route53domains:CheckDomainAvailability", "route53domains:ListDomains",

Version 1.015

Amazon WorkMail Administrator-HandbuchBeispiele für identitätsbasierte Richtlinien

"ses:*", "workmail:*", "iam:ListRoles", "logs:DescribeLogGroups", "logs:CreateLogGroup", "logs:PutRetentionPolicy", "cloudwatch:GetMetricData" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "events.workmail.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/events.workmail.amazonaws.com/AWSServiceRoleForAmazonWorkMailEvents*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*workmail*", "Condition": { "StringLike": { "iam:PassedToService": "events.workmail.amazonaws.com" } } } ]}

Sie müssen Benutzern, die nur Aufrufe an die AWS CLI oder AWS-API ausführen, keineMindestberechtigungen für die Konsole erteilen. Stattdessen sollten Sie nur Zugriff auf die Aktionenzulassen, die den API-Operation entsprechen, die Sie ausführen möchten.

Gewähren der Berechtigung zur Anzeige der eigenenBerechtigungen für BenutzerIn diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zumAnzeigen der Inline-Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügtsind. Diese Richtlinie enthält Berechtigungen für die Ausführung dieser Aktion auf der Konsole oder für dieprogrammgesteuerte Ausführung über die AWS CLI oder die AWS-API.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy",

Version 1.016

Amazon WorkMail Administrator-HandbuchBeispiele für identitätsbasierte Richtlinien

"iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }

Zulassen des schreibgeschützten Zugriff auf Amazon WorkMail-Ressourcen für BenutzerMit der nachfolgenden Richtlinienanweisung wird einem IAM-Benutzer der schreibgeschützte Zugriffauf Amazon WorkMail-Ressourcen gewährt. Diese Richtlinie gewährt dieselbe Zugriffsebene wiedie AWS-verwaltete Richtlinie AmazonWorkMailReadOnlyAccess. Beide Richtlinien gewähren demBenutzer Zugriff auf alle Describe-Operationen in Amazon WorkMail. Der Zugriff auf die AWS DirectoryService DescribeDirectories-Operation wird benötigt, um Informationen zu Ihren AWS DirectoryService-Verzeichnissen abrufen zu können. Der Zugriff auf den Amazon SES-Service ist erforderlich,um Informationen zu den konfigurierten Domänen abzurufen. Der Zugriff auf AWS Key ManagementService ist erforderlich, um Informationen zu den verwendeten Verschlüsselungsschlüsseln abzurufen.Die Berechtigungen logs und cloudwatch sind für das Protokollieren von E-Mail-Ereignissen und dasAnzeigen von Metriken in der Amazon WorkMail-Konsole erforderlich. Weitere Informationen finden Sieunter Protokollieren und Überwachen in Amazon WorkMail (p. 22).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ses:Describe*", "ses:Get*", "workmail:Describe*", "workmail:Get*", "workmail:List*", "workmail:Search*", "lambda:ListFunctions", "iam:ListRoles", "logs:DescribeLogGroups", "cloudwatch:GetMetricData" ], "Resource": "*" }

Version 1.017

Amazon WorkMail Administrator-HandbuchFehlersuche

] }}

Fehlerbehebung für Amazon WorkMail Identity andAccessVerwenden Sie die folgenden Informationen, um häufige Probleme zu diagnostizieren und zu beheben, diebeim Arbeiten mit Amazon WorkMail und IAM auftreten könnten.

Themen• Ich bin nicht autorisiert, eine Aktion in Amazon WorkMail auszuführen (p. 18)• Ich bin nicht zur Ausführung von iam:PassRole autorisiert (p. 18)• Ich möchte meine Zugriffsschlüssel anzeigen (p. 19)• Ich bin Administrator und möchte anderen den Zugriff auf Amazon WorkMail ermöglichen (p. 19)• Ich möchte Personen außerhalb meines AWS-Kontos Zugriff auf meine Amazon WorkMail-Ressourcen

gewähren (p. 19)

Ich bin nicht autorisiert, eine Aktion in Amazon WorkMailauszuführenWenn die AWS Management Console Ihnen mitteilt, dass Sie nicht zur Ausführung einer Aktion autorisiertsind, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator istdie Person, die Ihnen Ihren Benutzernamen und Ihr Passwort bereitgestellt hat.

Der folgende Beispielfehler tritt auf, wenn der mateojackson IAM-Benutzer versucht, mithilfe der KonsoleDetails zu einer Gruppe anzuzeigen, aber über keine workmail:DescribeGroup-Berechtigungenverfügt.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: workmail:DescribeGroup on resource: group

In diesem Fall bittet Mateo seinen Administrator, seine Richtlinien zu aktualisieren, damit er mit derworkmail:DescribeGroup-Aktion auf die group-Ressource zugreifen kann.

Ich bin nicht zur Ausführung von iam:PassRole autorisiertWenn Sie die Fehlermeldung erhalten, dass Sie nicht zur Ausführung der Aktion iam:PassRole autorisiertsind, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator istdie Person, die Ihnen Ihren Benutzernamen und Ihr Passwort bereitgestellt hat. Bitten Sie diese Person umdie Aktualisierung Ihrer Richtlinien, um eine Rolle an übergeben zu können.

Einige AWS-Services gewähren Ihnen die Berechtigung zur Übergabe einer vorhandenen Rolle an diesenService, statt eine neue Service-Rolle oder serviceverknüpfte Rolle erstellen zu müssen. Hierfür benötigenSie Berechtigungen zur Übergabe der Rolle an den Service.

Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen marymajor versucht, dieKonsole zu verwenden, um eine Aktion in auszuführen. Um die Aktion ausführen zu können, müssendem Service jedoch von einer Service-Rolle Berechtigungen gewährt werden. Mary besitzt keineBerechtigungen für die Übergabe der Rolle an den Service.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

Version 1.018

Amazon WorkMail Administrator-HandbuchFehlersuche

In diesem Fall bittet Mary ihren Administrator um die Aktualisierung ihrer Richtlinien, um die Aktioniam:PassRole ausführen zu können.

Ich möchte meine Zugriffsschlüssel anzeigenNachdem Sie Ihre IAM-Benutzerzugriffsschlüssel erstellt haben, können Sie Ihre Zugriffsschlüssel-IDjederzeit anzeigen. Sie können Ihren geheimen Zugriffsschlüssel jedoch nicht erneut anzeigen. Wenn Sieden geheimen Zugriffsschlüssel verlieren, müssen Sie ein neues Zugriffsschlüsselpaar erstellen.

Zugriffsschlüssel bestehen aus zwei Teilen: einer Zugriffsschlüssel-ID (z. B. AKIAIOSFODNN7EXAMPLE)und einem geheimen Zugriffsschlüssel (z. B. wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY).Ähnlich wie bei Benutzernamen und Passwörtern müssen Sie die Zugriffsschlüssel-ID und den geheimenZugriffsschlüssel zusammen verwenden, um Ihre Anfragen zu authentifizieren. Verwalten Sie IhreZugriffsschlüssel so sicher wie Ihren Benutzernamen und Ihr Passwort.

Important

Stellen Sie Ihre Zugriffsschlüssel keinen Dritten bereit, auch nicht, wenn Sie Hilfe bei der Suchenach Ihrer kanonischen Benutzer-ID benötigen. Wenn Sie dies tun, gewähren Sie anderenPersonen möglicherweise den permanenten Zugriff auf Ihr Konto.

Während der Erstellung eines Zugriffsschlüsselpaars werden Sie aufgefordert, die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel an einem sicheren Speicherort zu speichern. Der geheimeZugriffsschlüssel ist nur zu dem Zeitpunkt verfügbar, an dem Sie ihn erstellen. Wenn Sie Ihren geheimenZugriffsschlüssel verlieren, müssen Sie Ihrem IAM-Benutzer neue Zugriffsschlüssel hinzufügen. Sie könnenmaximal zwei Zugriffsschlüssel besitzen. Wenn Sie bereits zwei Zugriffschlüssel besitzen, müssen Sie einSchlüsselpaar löschen, bevor Sie ein neues erstellen. Anweisungen hierfür finden Sie unter Verwalten vonZugriffsschlüsseln im IAM-Benutzerhandbuch.

Ich bin Administrator und möchte anderen den Zugriff aufAmazon WorkMail ermöglichenUm anderen Personen oder einer Anwendung Zugriff auf zu gewähren, müssen Sie eine IAM-Entität(Benutzer oder Rolle) für die Person oder Anwendung erstellen, die Zugriff benötigt. Diese verwendet danndie Anmeldeinformationen für diese Entität, um auf AWS zuzugreifen. Anschließend müssen Sie der Entitäteine Richtlinie anfügen, die dieser die korrekten Berechtigungen in gewährt.

Informationen zum Einstieg finden Sie unter Erstellen Ihrer ersten delegierten IAM-Benutzer und -Gruppenim IAM-Benutzerhandbuch.

Ich möchte Personen außerhalb meines AWS-Kontos Zugriff aufmeine Amazon WorkMail-Ressourcen gewährenSie können eine Rolle erstellen, die Benutzer in anderen Konten oder Personen außerhalb IhrerOrganisation für den Zugriff auf Ihre Ressourcen verwenden können. Sie können angeben, welchenPersonen vertraut werden darf, damit diese die Rolle übernehmen können. Im Fall von Services, dieressourcenbasierte Richtlinien oder Zugriffskontrolllisten (Access Control Lists, ACLs) verwenden, könnenSie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.

Weitere Informationen finden Sie hier:

• Informationen dazu, ob diese Funktionen unterstützt, finden Sie unter So funktioniert Amazon WorkMailmit IAM (p. 11).

• Informationen zum gewähren des Zugriffs auf Ihre Ressourcen für alle Ihre AWS-Konten finden Sieunter Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen Ihrer AWS-Konten im IAM-Benutzerhandbuch.

Version 1.019

Amazon WorkMail Administrator-HandbuchVerwenden von serviceverknüpften Rollen

• Informationen dazu, wie Sie AWS-Konten Dritter Zugriff auf Ihre Ressourcen bereitstellen, finden Sieunter Gewähren von Zugriff auf AWS-Konten Dritter im IAM-Benutzerhandbuch.

• Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter Gewährenvon Zugriff für extern authentifizierte Benutzer (Identitätsverbund) im IAM-Benutzerhandbuch.

• Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasiertenRichtlinien für den kontenübergreifenden Zugriff finden Sie unter So unterscheiden sich IAM-Rollen vonressourcenbasierten Richtlinien im IAM-Benutzerhandbuch.

Verwenden von serviceverknüpften Rollen fürAmazon WorkMail

Amazon WorkMail verwendet serviceverknüpfte Rollen von AWS Identity and Access Management (IAM).Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit Amazon WorkMailverknüpft ist. Serviceverknüpfte Rollen werden von Amazon WorkMail vordefiniert und schließen alleBerechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen erfordert.

Eine serviceverknüpfte Rolle vereinfacht die Einrichtung von Amazon WorkMail, da Sie die erforderlichenBerechtigungen nicht manuell hinzufügen müssen. Amazon WorkMail definiert die Berechtigungenseiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur AmazonWorkMail die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- undBerechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesenwerden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöschtwurden. Dies schützt Ihre Amazon WorkMail-Ressourcen, da Sie nicht versehentlich die Berechtigung fürden Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unterAWS-Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der SpalteServiceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einerserviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen von serviceverknüpften Rollen fürAmazon WorkMailAmazon WorkMail verwendet die serviceverknüpfte Rolle AmazonWorkMailEvents – Amazon WorkMailuses this service-linked role to enable access to AWS services and resources used or managed by AmazonWorkMail events, such as monitoring email events logged by CloudWatch. For more information aboutenabling email event logging for Amazon WorkMail, see Nachverfolgen von Nachrichten (p. 64).

Die serviceverknüpfte Rolle AmazonWorkMailEvents vertraut darauf, dass die folgenden Services die Rolleannehmen:

• events.workmail.amazonaws.com

Die Rollenberechtigungsrichtlinie erlaubt Amazon WorkMail die Durchführung der folgenden Aktionen fürdie angegebenen Ressourcen:

• Aktion: logs:CreateLogGroup für all AWS resources• Aktion: logs:CreateLogStream für all AWS resources• Aktion: logs:PutLogEvents für all AWS resources

Version 1.020

Amazon WorkMail Administrator-HandbuchErstellen einer serviceverknüpften

Rolle für Amazon WorkMail

Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. Benutzer, Gruppe oder Rolle) eineserviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unterBerechtigungen von serviceverknüpften Rollen im IAM-Benutzerhandbuch.

Erstellen einer serviceverknüpften Rolle für AmazonWorkMailSie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie turn on Amazon WorkMailevent logging and use the default settings in der Amazon WorkMail-Konsole exportieren,erstellt AmazonWorkMail die serviceverknüpfte Rolle für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Siedasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Amazon WorkMail erstellterneut die serviceverknüpfte Rolle für Sie, wenn Sie turn on Amazon WorkMail event logging and use thedefault settings.

Bearbeiten einer serviceverknüpften Rolle für AmazonWorkMailAmazon WorkMail verhindert die Bearbeitung der serviceverknüpften Rolle AmazonWorkMailEvents. Damöglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstelleneiner serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rollemit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle imIAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für AmazonWorkMailWenn Sie eine Funktion oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehrbenötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nichtaktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rollezunächst bereinigen, bevor Sie sie manuell löschen können.

Note

Wenn der Amazon WorkMail-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcenzu löschen, schlägt das Löschen möglicherweise fehl. Wenn das passiert, warten Sie einigeMinuten und versuchen Sie es erneut.

So löschen Sie Amazon WorkMail-Ressourcen, die von AmazonWorkMailEvents verwendetwerden

1. Deaktivieren Sie die Amazon WorkMail-Ereignisprotokollierung.

a. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.b. Wählen Sie den Organisationsalias aus, für den die AmazonWorkMailEvents-Rolle gelöscht

werden soll.c. Wählen Sie Organization settings (Organisationseinstellungen), Monitoring (Überwachung) aus.d. Wählen Sie für Log settings (Protokolleinstellungen) die Option Edit (Bearbeiten) aus.e. Deaktivieren Sie das Kontrollkästchen für Enable mail events (E-Mail-Ereignisse aktivieren).f. Wählen Sie Save aus.

2. Löschen Sie die Amazon CloudWatch-Protokollgruppe.

Version 1.021

Amazon WorkMail Administrator-HandbuchUnterstützte Regionen für AmazonWorkMail-serviceverknüpfte Rollen

a. Öffnen Sie die CloudWatch-Konsole unter https://console.aws.amazon.com/cloudwatch/.b. Wählen Sie Logs.c. Wählen Sie für Log Groups (Protokollgruppen) die zu löschende Protokollgruppe aus.d. Wählen Sie für Actions (Aktionen) die Option Delete log group (Protokollgruppe löschen) aus.e. Wählen Sie Yes, Delete (Ja, löschen) aus.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, die AWS CLI oder die AWS-API, um die serviceverknüpfteAmazonWorkMailEvents-Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einerserviceverknüpften Rolle im IAM-Benutzerhandbuch.

Unterstützte Regionen für Amazon WorkMail-serviceverknüpfte RollenAmazon WorkMail unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, indenen der Service verfügbar ist. Weitere Informationen finden Sie unter Amazon WorkMail Regions andEndpoints.

Protokollieren und Überwachen in AmazonWorkMail

Die Überwachung Ihres E-Mail-Flusses ist wichtig, um den Zustand Ihrer Amazon WorkMail-Organisationaufrechtzuerhalten. Durch das Überwachen der E-Mail-Sendeaktivität Ihrer Organisation schützen Siedie Zuverlässigkeit Ihrer Domäne. Durch die Überwachung können Sie zudem E-Mails nachverfolgen, diegesendet und empfangen wurden. Weitere Informationen zum Aktivieren der E-Mail-Ereignisprotokollierungfinden Sie unter Nachverfolgen von Nachrichten (p. 64).

AWS bietet die folgenden Überwachungstools zur Beobachtung von Amazon WorkMail. Es gibt eineMeldung aus, wenn etwas nicht funktioniert und ergreift bei Bedarf automatisch Gegenmaßnahmen:

• Amazon CloudWatch überwacht Ihre AWS-Ressourcen und -Anwendungen, die Sie auf AWS ausführen,in Echtzeit. Wenn Sie beispielsweise die E-Mail-Ereignisprotokollierung für Amazon WorkMail aktivieren,kann CloudWatch die E-Mails Ihrer Organisation nachverfolgen, die gesendet und empfangen wurden.Weitere allgemeine Informationen zur Überwachung von Amazon WorkMail mit CloudWatch finden Sieunter Überwachen von Amazon WorkMail mit Amazon CloudWatch (p. 23). Weitere Informationenüber CloudWatch finden Sie im Amazon CloudWatch-Benutzerhandbuch.

• Amazon CloudWatch Logs ermöglicht Ihnen die Überwachung, Speicherung und den Zugriff auf Ihre E-Mail-Ereignisprotokolle für Amazon WorkMail, wenn die E-Mail-Ereignisprotokollierung in der AmazonWorkMail-Konsole aktiviert ist. CloudWatch Logs kann Informationen in den Protokolldateien überwachenund Sie können Ihre Protokolldaten in einem robusten Speicher archivieren. Weitere Informationen zumNachverfolgen von Amazon WorkMail-Nachrichten mit CloudWatch Logs finden Sie unter Nachverfolgenvon Nachrichten (p. 64). Weitere Informationen über CloudWatch Logs finden Sie im AmazonCloudWatch Logs User Guide.

• AWS CloudTrail erfasst API-Aufrufe und zugehörige Ereignisse, die von oder im Namen Ihres AWS-Kontos erfolgten, und übermittelt die Protokolldateien an einen von Ihnen angegebenen AmazonS3-Bucket. Sie können die Benutzer und Konten, die AWS aufgerufen haben, identifizieren, sowiedie Quell-IP-Adresse, von der diese Aufrufe stammen, und den Zeitpunkt der Aufrufe ermitteln.Weitere Informationen finden Sie unter Protokollieren von Amazon WorkMail-API-Aufrufen mit AWSCloudTrail (p. 31).

Version 1.022

Amazon WorkMail Administrator-HandbuchÜberwachung mit CloudWatch

Themen• Überwachen von Amazon WorkMail mit Amazon CloudWatch (p. 23)• Protokollieren von Amazon WorkMail-API-Aufrufen mit AWS CloudTrail (p. 31)

Überwachen von Amazon WorkMail mit AmazonCloudWatchSie können Amazon WorkMail mit CloudWatch überwachen. Dabei werden Rohdaten gesammelt und zulesbaren, nahezu in Echtzeit bereitgestellten Metriken verarbeitet. Diese Statistiken werden 15 Monategespeichert, damit Sie auf Verlaufsinformationen zugreifen können und einen besseren Überblickdarüber erhalten, wie Ihre Webanwendung oder der Service ausgeführt werden. Sie können auch Alarmeeinrichten, die auf bestimmte Grenzwerte achten und Benachrichtigungen senden oder Aktivitätenauslösen, wenn diese Grenzwerte erreicht werden. Weitere Informationen hierzu finden Sie im AmazonCloudWatch-Benutzerhandbuch.

CloudWatch-Metriken für Amazon WorkMailAmazon WorkMail sendet die folgenden Metriken und Dimensionsinformationen an CloudWatch.

Der AWS/WorkMail-Namespace enthält die folgenden Metriken.

Metrik Beschreibung

OrganizationEmailReceived Die Anzahl der E-Mails, die von Ihrer AmazonWorkMail-Organisation empfangen wurden.Wenn eine E-Mail an 10 Empfänger inIhrer Organisation adressiert ist, ist dieOrganizationEmailReceived-Anzahl 1.

Einheiten: Anzahl

MailboxEmailDelivered Die Anzahl der E-Mails an einzelne Postfächerin Ihrer Amazon WorkMail-Organisation.Wenn 1 E-Mail erfolgreich an 10 Empfängerin Ihrer Organisation zugestellt wurde, ist dieMailboxEmailDelivered-Anzahl 10.

Einheiten: Anzahl

IncomingEmailBounced Die Anzahl der eingehenden E-Mails, die aufgrundvoller oder nicht vorhandener Postfächer nichtzugestellt werden konnten. Diese Metrik wirdfür jeden beabsichtigten Empfänger erstellt.Beispiel: Wenn 1 E-Mail an 10 Empfänger inIhrer Organisation gesendet wurde und 2 derEmpfänger volle Postfächer haben, sodass eineUnzustellbarkeitsnachricht generiert wird, dann istdie IncomingEmailBounced-Anzahl 2.

Einheiten: Anzahl

OutgoingEmailBounced Die Anzahl der ausgehenden E-Mails, die nichtzugestellt werden konnten, berechnet für jedenbeabsichtigten Empfänger. Beispiel: Wenn 1 E-Mail-Empfänger an 10 Empfänger gesendet wurde

Version 1.023

Amazon WorkMail Administrator-HandbuchÜberwachung mit CloudWatch

Metrik Beschreibungund 2 E-Mails nicht zugestellt werden konnten, istdie OutgoingEmailBounced-Anzahl 2.

Einheiten: Anzahl

OutgoingEmailSent Die Anzahl der E-Mails, die erfolgreich vonIhrer Amazon WorkMail-Organisation gesendetwurden. Diese Metrik wird für jeden einzelnenEmpfänger einer erfolgreich versendetenE-Mail berechnet. Beispiel: Wenn 1 E-Mailan 10 Empfänger gesendet wurde und an8 Empfänger erfolgreich zugestellt werden konnte,ist die OutgoingEmailSent-Anzahl 8.

Einheiten: Anzahl

CloudWatch-Ereignisprotokolle für Amazon WorkMailWenn Sie die E-Mail-Ereignisprotokollierung für Ihre Amazon WorkMail-Organisation aktivieren,protokolliert Amazon WorkMail E-Mail-Ereignisse mit CloudWatch. Weitere Informationen zum Aktivierender E-Mail-Ereignisprotokollierung finden Sie unter Nachverfolgen von Nachrichten (p. 64).

Die folgenden Tabellen beschreiben die Ereignisse, die Amazon WorkMail mit CloudWatch protokolliert,wenn die Ereignisse übertragen werden. Es wird auch aufgezeichnet, was die Ereignisfelder enthalten.

ORGANIZATION_EMAIL_RECEIVED

Dieses Ereignis wird protokolliert, wenn Ihre Amazon WorkMail-Organisation eine E-Mail-Nachricht erhält.

Feld Beschreibung

recipients Die beabsichtigten Empfänger der Nachricht.

sender Die E-Mail-Adresse des Benutzers, der die E-Mail-Nachricht im Namen eines anderen Benutzersgesendet hat. Dieses Feld wird nur eingestellt,wenn eine E-Mail im Namen eines anderenBenutzers gesendet wird.

from Die Adresse für From (Von). Dies ist in derRegel die E-Mail-Adresse des Benutzers, der dieNachricht gesendet hat. Wenn der Benutzer dieNachricht als ein anderer Benutzer oder im Auftrageines anderen Benutzers gesendet hat, gibt dasFeld die E-Mail-Adresse des Benutzers zurück,in dessen Auftrag die E-Mail gesendet wurde,und nicht die E-Mail-Adresse des tatsächlichenAbsenders.

subject Der Betreff der E-Mail-Nachricht.

messageId Die SMTP-Nachrichten-ID

spamVerdict Gibt an, ob die Nachricht von Amazon SES alsSpam gekennzeichnet ist. Weitere Informationenfinden Sie unter Inhalte der Benachrichtigungen

Version 1.024

Amazon WorkMail Administrator-HandbuchÜberwachung mit CloudWatch

Feld Beschreibungfür den Amazon SES-E-Mail-Empfang im AmazonSimple Email Service-Entwicklerhandbuch.

dkimVerdict Gibt an, ob die DomainKeys Identified Mail (DKIM)-Prüfung bestanden wurde. Weitere Informationenfinden Sie unter Inhalte der Benachrichtigungenfür den Amazon SES-E-Mail-Empfang im AmazonSimple Email Service-Entwicklerhandbuch.

dmarcVerdict Gibt an, ob die DMARC-Prüfung (Domain-based Message Authentication, Reporting& Conformance) bestanden wurde. WeitereInformationen finden Sie unter Inhalte derBenachrichtigungen für den Amazon SES-E-Mail-Empfang im Amazon Simple Email Service-Entwicklerhandbuch.

dmarcPolicy Erscheint nur, wenn das dmarcVerdict-Feld „FAIL“enthält. Gibt die Aktion an, die für die E-Mailausgeführt werden soll, wenn die DMARC-Prüfungfehlschlägt (NONE, QUARANTINE oder REJECT).Dies wird vom Besitzer der E-Mail-Domain desAbsenders festgelegt.

spfVerdict Gibt an, ob die Sender Policy Framework (SPF)-Prüfung bestanden wurde. Weitere Informationenfinden Sie unter Inhalte der Benachrichtigungenfür den Amazon SES-E-Mail-Empfang im AmazonSimple Email Service-Entwicklerhandbuch.

messageTimestamp Gibt an, wann die Nachricht empfangen wurde.

MAILBOX_EMAIL_DELIVERED

Dieses Ereignis wird protokolliert, wenn eine Nachricht an ein Postfach in Ihrer Organisation zugestelltwird. Dies wird einmal für jedes Postfach protokolliert, an das eine Nachricht geliefert wird. Somit kannein einzelnes ORGANIZATION_EMAIL_RECEIVED-Ereignis zu mehreren MAILBOX_EMAIL_DELIVERED-Ereignissen führen.

Feld Beschreibung

recipient Das Postfach, an das die Nachricht geliefert wird.

folder Die E-Mail-Ordner, in dem die Nachricht platziertwird.

RULE_APPLIED

Dieses Ereignis wird protokolliert, wenn eine eingehende oder ausgehende Nachricht eine E-Mail-Flussregel auslöst.

Feld Beschreibung

ruleName Der Name der Regel

Version 1.025

Amazon WorkMail Administrator-HandbuchÜberwachung mit CloudWatch

Feld Beschreibung

ruleType Der angewendete Regeltyp (INBOUND_RULEOUTBOUND_RULE MAILBOX_RULE). Regeln fürein- und ausgehenden Datenverkehr werden fürIhre Amazon WorkMail-Organisation angewendet.Regeln gelten nur für angegebene E-Mail-Postfächer. Weitere Informationen finden Sie unterE-Mail-Fluss verwalten (p. 55).

ruleActions Aufgrund einer Regel durchgeführte Aktionen.Für die einzelnen Empfänger der Nachrichtsind möglicherweise verschiedene Aktionendurchgeführt wurden, beispielsweise fürunzustellbare E-Mails oder erfolgreich zugestellte.

targetFolder Vorgesehener Zielordner für eine Move- oderCopy-MAILBOX_RULE.

targetRecipient Vorgesehener Empfänger für eine Forward- oderRedirect-MAILBOX_RULE.

JOURNALING_INITIATED

Dieses Ereignis wird protokolliert, wenn Amazon WorkMail eine E-Mail an eine Journal-Adresse sendet, dievom Administrator der Organisation angegeben wurde. Eine Übertragung findet nur statt, wenn die Journal-Erstellung für Ihre Organisation konfiguriert ist. Weitere Informationen finden Sie unter Verwenden des E-Mail-Journals mit Amazon WorkMail (p. 102).

Feld Beschreibung

journalingAddress Die E-Mail-Adresse, an die die Journal-Nachrichtgesendet wird.

INCOMING_EMAIL_BOUNCED

Dieses Ereignis wird protokolliert, wenn eine eingehende Nachricht nicht an einen Ziel-Empfängerzugestellt werden kann. Unzustellbare E-Mails kommen beispielsweise vor, wenn das Ziel-Postfachnicht vorhanden oder das Postfach voll ist. Dies wird nur einmal pro Empfänger protokolliert, der eineunzustellbare E-Mail verursacht hat. Beispiel: Wenn eine eingehende Nachricht an drei Empfängeradressiert ist und zwei von diesen volle Postfächer haben, werden zwei INCOMING_EMAIL_BOUNCED-Ereignisse protokolliert.

Feld Beschreibung

bouncedRecipient Die beabsichtigten Empfänger, für den AmazonWorkMail die Unzustellbarkeitsnachricht generierthat.

OUTGOING_EMAIL_SUBMITTED

Dieses Ereignis wird protokolliert, wenn ein Benutzer in Ihrer Organisation eine E-Mail-Nachricht zurÜbertragung übermittelt. Dies wird protokolliert, bevor die Nachricht Amazon WorkMail verlässt, sodassdieses Ereignis nicht angibt, ob die Nachricht erfolgreich zugestellt wurde.

Version 1.026

Amazon WorkMail Administrator-HandbuchÜberwachung mit CloudWatch

Feld Beschreibung

recipients Der Empfänger der Nachricht, wie er vomAbsender angegeben wurde. Enthält alleEmpfänger der Zeilen To (An), CC und BCC.

sender Die E-Mail-Adresse des Benutzers, der die E-Mail-Nachricht im Namen eines anderen Benutzersgesendet hat. Dieses Feld wird nur eingestellt,wenn eine E-Mail im Namen eines anderenBenutzers gesendet wird.

from Die Adresse für From (Von). Dies ist in derRegel die E-Mail-Adresse des Benutzers, der dieNachricht gesendet hat. Wenn der Benutzer dieNachricht als ein anderer Benutzer oder im Auftrageines anderen Benutzers gesendet hat, gibt dasFeld die E-Mail-Adresse des Benutzers zurück,in dessen Auftrag die E-Mail gesendet wurde,und nicht die E-Mail-Adresse des tatsächlichenAbsenders.

subject Der Betreff der E-Mail-Nachricht.

OUTGOING_EMAIL_SENT

Dieses Ereignis wird protokolliert, wenn eine ausgehende E-Mail erfolgreich an einen Ziel Empfängerzugestellt wurde. Dies wird nur einmal pro erfolgreichem Empfänger protokolliert, sodass ein einzelnerOUTGOING_EMAIL_SUBMITTED-Eintrag zu mehreren OUTGOING_EMAIL_SENT-Einträgen führen kann.

Feld Beschreibung

recipient Der Empfänger der erfolgreich zugestellten E-Mail.

sender Die E-Mail-Adresse des Benutzers, der die E-Mail-Nachricht im Namen eines anderen Benutzersgesendet hat. Dieses Feld wird nur eingestellt,wenn eine E-Mail im Namen eines anderenBenutzers gesendet wird.

from Die Adresse für From (Von). Dies ist in derRegel die E-Mail-Adresse des Benutzers, der dieNachricht gesendet hat. Wenn der Benutzer dieNachricht als ein anderer Benutzer oder im Auftrageines anderen Benutzers gesendet hat, gibt dasFeld die E-Mail-Adresse des Benutzers zurück,in dessen Auftrag die E-Mail gesendet wurde,und nicht die E-Mail-Adresse des tatsächlichenAbsenders.

messageId Die SMTP-Nachrichten-ID

OUTGOING_EMAIL_BOUNCED

Dieses Ereignis wird protokolliert, wenn eine ausgehende Nachricht nicht an einen Ziel-Empfängerzugestellt werden kann. Unzustellbare E-Mails kommen beispielsweise vor, wenn das Ziel-Postfach

Version 1.027

Amazon WorkMail Administrator-HandbuchÜberwachung mit CloudWatch

nicht vorhanden oder das Postfach voll ist. Dies wird nur einmal pro Empfänger protokolliert, der eineunzustellbare E-Mail verursacht hat. Beispiel: Wenn eine ausgehende Nachricht an drei Empfängeradressiert ist und zwei von diesen volle Postfächer haben, werden zwei OUTGOING_EMAIL_BOUNCED-Ereignisse protokolliert.

Feld Beschreibung

bouncedRecipient Der beabsichtigte Empfänger, an den der Ziel-E-Mail-Server die Nachricht nicht zustellen konnte.

DMARC_POLICY_APPLIED

Dieses Ereignis wird protokolliert, wenn eine DMARC-Richtlinie auf eine E-Mail angewendet wird, die anIhre Organisation gesendet wird.

Feld Beschreibung

from Die Adresse für From (Von). Dies ist in derRegel die E-Mail-Adresse des Benutzers, der dieNachricht gesendet hat. Wenn der Benutzer dieNachricht als ein anderer Benutzer oder im Auftrageines anderen Benutzers gesendet hat, gibt dasFeld die E-Mail-Adresse des Benutzers zurück,in dessen Auftrag die E-Mail gesendet wurde,und nicht die E-Mail-Adresse des tatsächlichenAbsenders.

recipients Die beabsichtigten Empfänger der Nachricht.

Richtlinie Die angewandte DMARC-Richtlinie, die die Aktionangibt, die für die E-Mail ausgeführt werdensoll, wenn die DMARC-Prüfung fehlschlägt(NONE, QUARANTINE oder REJECT). Diesist identisch mit dem dmarcPolicy-Feld imORGANIZATION_EMAIL_RECEIVED-Ereignis.

Verwenden von CloudWatch Insights mit Amazon WorkMailWenn Sie die E-Mail-Ereignisprotokollierung in der Amazon WorkMail-Konsole aktiviert haben, könnenSie mit Amazon CloudWatch Logs Insights Ihre Ereignisprotokolle abfragen. Weitere Informationen zumAktivieren der E-Mail-Ereignisprotokollierung finden Sie unter Nachverfolgen von Nachrichten (p. 64).Weitere Informationen über CloudWatch Logs Insights finden Sie unter Analysieren von Protokolldaten mitCloudWatch Logs Insights im Amazon CloudWatch Logs User Guide.

Die folgenden Beispiele zeigen, wie Sie CloudWatch-Protokolle für gängige E-Mail-Ereignisse abfragen.Sie führen diese Abfragen in der CloudWatch-Konsole aus. Anweisungen zum Ausführen dieser Abfragenfinden Sie unter Tutorial: Ausführen und Ändern einer Beispiel-Abfrage im Amazon CloudWatch Logs UserGuide.

Example Beispiel: Erfahren Sie, warum Benutzer B eine von Benutzer A gesendete E-Mail nichterhalten hat

Das folgende Codebeispiel zeigt, wie Sie eine ausgehende E-Mail, die von Benutzer A an Benutzer Bgesendet wurde, sortiert nach Zeitstempel abfragen können.

Version 1.028

Amazon WorkMail Administrator-HandbuchÜberwachung mit CloudWatch

fields @timestamp, traceId| sort @timestamp asc| filter (event.from like /(?i)userA@example.com/and event.eventName = "OUTGOING_EMAIL_SUBMITTED"and event.recipients.0 like /(?i)userB@example.com/)

Dies gibt die gesendete Nachricht und Nachverfolgungs-ID zurück. Verwenden Sie die Nachverfolgungs-IDim folgenden Codebeispiel, um die Ereignisprotokolle der gesendeten Nachricht abzufragen.

fields @timestamp, event.eventName| sort @timestamp asc| filter traceId = "$TRACEID"

Dies gibt die E-Mail-ID und die E-Mail-Ereignisse zurück. OUTGOING_EMAIL_SENT gibt an, dass die E-Mailgesendet wurde. OUTGOING_EMAIL_BOUNCED weist darauf hin, dass die E-Mail nicht zugestellt wurde. Umzu sehen, ob die E-Mail empfangen wurde, führen Sie eine Abfrage mit der Nachrichten-ID im folgendenCodebeispiel aus.

fields @timestamp, event.eventName| sort @timestamp asc| filter event.messageId like "$MESSAGEID"

Dies sollte auch die empfangene Nachricht zurückgeben, da diese die gleiche Nachrichten-ID hat.Verwenden Sie die Nachverfolgungs-ID im folgenden Codebeispiel, um die Zustellung abzufragen.

fields @timestamp, event.eventName| sort @timestamp asc| filter traceId = "$TRACEID"

Dies gibt die Zustellaktion sowie alle zutreffenden Regelaktionen zurück.

Example Beispiel: Alle E-Mails, die von einem Benutzer oder einer Domäne empfangen wurden

Das folgende Codebeispiel zeigt, wie Sie alle E-Mails abfragen können, die von einem bestimmtenBenutzer empfangen wurden.

fields @timestamp, event.eventName| sort @timestamp asc| filter (event.from like /(?i)user@example.com/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED")

Das folgende Codebeispiel zeigt, wie Sie alle E-Mails abfragen können, die von einer bestimmten Domäneempfangen wurden.

fields @timestamp, event.eventName| sort @timestamp asc| filter (event.from like "example.com" and event.eventName = "ORGANIZATION_EMAIL_RECEIVED")

Example Beispiel: Erfahren Sie, wer nicht zustellbare E-Mails gesendet hat

Das folgende Codebeispiel zeigt, wie Sie eine Abfrage für ausgehende E-Mails erstellen können, die nichtzugestellt werden konnten. Er liefert zudem auch die Gründe für die Nichtzustellbarkeit.

fields @timestamp, event.destination, event.reason

Version 1.029

Amazon WorkMail Administrator-HandbuchÜberwachung mit CloudWatch

| sort @timestamp desc| filter event.eventName = "OUTGOING_EMAIL_BOUNCED"

Das folgende Codebeispiel zeigt, wie Sie eine Abfrage für eingehende E-Mails erstellen können, die nichtzugestellt werden konnten. Er gibt auch die E-Mail-Adressen der Empfänger an, an die nicht zugestelltwerden konnte, sowie die Gründe für die Nichtzustellbarkeit.

fields @timestamp, event.bouncedRecipient.emailAddress, event.bouncedRecipient.reason, event.bouncedRecipient.status| sort @timestamp desc| filter event.eventName = "INCOMING_EMAIL_BOUNCED"

Example Beispiel: Erfahren Sie, welche Domänen Spam senden

Das folgende Codebeispiel zeigt, wie Sie Empfänger in Ihrer Organisation abfragen können, die Spamerhalten.

stats count(*) as c by event.recipients.0| filter (event.eventName = "ORGANIZATION_EMAIL_RECEIVED" and event.spamVerdict = "FAIL")| sort c desc

Das folgende Codebeispiel zeigt, wie Sie die Absender der Spam-E-Mails abfragen können.

fields @timestamp, event.recipients.0, event.sender, event.from| sort @timestamp asc| filter (event.spamVerdict = "FAIL")

Example Beispiel: Erfahren Sie, warum eine E-Mail an den Spam-Ordner eines Empfängersgesendet wurde

Das folgende Codebeispiel zeigt, wie Sie E-Mails, gefiltert nach Betreff, abfragen können, die als Spamidentifiziert wurden.

fields @timestamp, event.recipients.0, event.spamVerdict, event.spfVerdict, event.dkimVerdict, event.dmarcVerdict| sort @timestamp asc| filter event.subject like /(?i)$SUBJECT/ and event.eventName = "ORGANIZATION_EMAIL_RECEIVED"

Sie können auch die Nachverfolgungs-ID der E-Mail abfragen, um alle Ereignisse für die E-Maileinzusehen.

Example Beispiel: Erfahren Sie, welche E-Mails mit den E-Mail-Flussregeln übereinstimmen

Das folgende Codebeispiel zeigt, wie Sie E-Mails abfragen, die mit den E-Mail-Flussregeln für ausgehendeNachrichten übereingestimmt haben.

fields @timestamp, event.ruleName, event.ruleActions.0.action| sort @timestamp desc| filter event.ruleType = "OUTBOUND_RULE"

Das folgende Codebeispiel zeigt, wie Sie E-Mails abfragen, die mit den E-Mail-Flussregeln für eingehendeNachrichten übereingestimmt haben.

fields @timestamp, event.ruleName, event.ruleActions.0.action, event.ruleActions.0.recipients.0

Version 1.030

Amazon WorkMail Administrator-HandbuchProtokollieren von Amazon WorkMail-

API-Aufrufen mit AWS CloudTrail

| sort @timestamp desc| filter event.ruleType = "INBOUND_RULE"

Example Beispiel: Erfahren Sie, wie E-Mails von Ihrer Organisation gesendet oder empfangenwurden

Das folgende Codebeispiel zeigt, wie Sie die Anzahl der E-Mails abfragen, die von den einzelnenEmpfängern in Ihrer Organisation empfangen wurden.

stats count(*) as c by event.recipient| filter event.eventName = "MAILBOX_EMAIL_DELIVERED"| sort c desc

Das folgende Codebeispiel zeigt, wie Sie die Anzahl der E-Mails abfragen, die von den einzelnenAbsendern in Ihrer Organisation gesendet wurden.

stats count(*) as c by event.from| filter event.eventName = "OUTGOING_EMAIL_SUBMITTED"| sort c desc

Protokollieren von Amazon WorkMail-API-Aufrufen mitAWS CloudTrailAmazon WorkMail ist in AWS CloudTrail integriert, einen Service, der die Aktionen eines Benutzers,einer Rolle oder eines AWS-Service in Amazon WorkMail aufzeichnet. CloudTrail erfasst alle API-Aufrufe für Amazon WorkMail als Ereignisse, einschließlich Aufrufen von der Amazon WorkMail-Konsoleund von Code-Aufrufen an die Amazon WorkMail-APIs. Wenn Sie einen Trail erstellen, können Sie diekontinuierliche Bereitstellung von CloudTrail-Ereignissen an einen Amazon S3-Bucket, einschließlichEreignissen für Amazon WorkMail, aktivieren. Auch wenn Sie keinen Trail konfigurieren, können Sie dieneuesten Ereignisse in der CloudTrail-Konsole in Event history (Ereignisverlauf) anzeigen. Mit den vonCloudTrail gesammelten Informationen können Sie die an Amazon WorkMail gestellte Anfrage, die IP-Adresse, von der die Anfrage gestellt wurde, den Initiator der Anfrage, den Zeitpunkt der Anfrage undweitere Angaben bestimmen.

Weitere Informationen zu CloudTrail finden Sie im AWS CloudTrail User Guide.

Amazon WorkMail-Informationen in CloudTrailCloudTrail wird beim Erstellen Ihres AWS-Kontos für Sie aktiviert. Die in Amazon WorkMail auftretendenAktivitäten werden als CloudTrail-Ereignis zusammen mit anderen AWS-Serviceereignissen in Eventhistory (Ereignisverlauf) aufgezeichnet. Sie können die neusten Ereignisse in Ihrem AWS-Konto anzeigen,suchen und herunterladen. Weitere Informationen finden Sie unter Anzeigen von Ereignissen mit demCloudTrail-API-Ereignisverlauf.

Erstellen Sie für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS-Konto, darunter Ereignissefür Amazon WorkMail, einen Trail. Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateienan einen Amazon S3-Bucket. Wenn Sie einen Pfad in der Konsole anlegen, gilt dieser standardmäßig füralle Regionen. Der Trail protokolliert Ereignisse aus allen Regionen in der AWS-Partition und stellt dieProtokolldateien in dem Amazon S3-Bucket bereit, den Sie angeben. Darüber hinaus können Sie andereAWS-Services konfigurieren, um die in den CloudTrail-Protokollen erfassten Ereignisdaten weiter zuanalysieren und entsprechend zu agieren. Weitere Informationen finden Sie unter:

• Übersicht zum Erstellen eines Pfads• In CloudTrail unterstützte Services und Integrationen

Version 1.031

Amazon WorkMail Administrator-HandbuchProtokollieren von Amazon WorkMail-

API-Aufrufen mit AWS CloudTrail

• Konfigurieren von Amazon SNS-Benachrichtigungen für CloudTrail• Empfangen von CloudTrail-Protokolldateien aus mehreren Regionen und EmpfangenCloudTrail von

Protokolldateien aus mehreren Konten

Alle Amazon WorkMail-Aktionen werden von CloudTrail protokolliert und in der Amazon WorkMail-API-Referenz dokumentiert. Beispielsweise werden durch Aufrufe der API-Operationen CreateUser,CreateAlias und GetRawMessageContent Einträge in den CloudTrail-Protokolldateien generiert.

Jedes Event oder jeder Protokolleintrag enthält Informationen über den Ersteller der Anfrage. Anhand derIdentitätsinformationen zur Benutzeridentität können Sie Folgendes bestimmen:

• Ob die Anforderung mit Root- oder IAM-Benutzeranmeldeinformationen ausgeführt wurde.• Ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen

föderierten Benutzer ausgeführt wurde.• Ob die Anforderung von einem anderen AWS-Service getätigt wurde.

Weitere Informationen finden Sie unter CloudTrail-Element "userIdentity".

Grundlagen zu Amazon WorkMail-ProtokolldateieinträgenEin Trail ist eine Konfiguration, durch die Ereignisse an den von Ihnen angegebenen Amazon S3-Bucket übermittelt werden. CloudTrail-Protokolldateien können einen oder mehrere Einträge enthalten.Ein Ereignis stellt eine einzelne Anfrage aus einer beliebigen Quelle dar und enthält unter anderemInformationen über die angeforderte Aktion, das Datum und die Uhrzeit der Aktion sowie über dieAnfrageparameter. CloudTrail-Protokolldateien sind kein geordnetes Stacktrace der öffentlichen API-Aufrufe und erscheinen daher nicht in einer bestimmten Reihenfolge.

Das folgende Beispiel zeigt einen CloudTrail-Protokolleintrag, der die Aktion CreateUser in der AmazonWorkMail-API zeigt.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111111111111:user/WMSDK", "accountId": "111111111111", "accessKeyId": "AKIAIOSFODNN7EXAMPLE" "userName": "WMSDK" }, "eventTime": "2017-12-12T17:49:59Z", "eventSource": "workmail.amazonaws.com", "eventName": "CreateUser", "awsRegion": "us-west-2", "sourceIPAddress": "203.0.113.12", "userAgent": "aws-sdk-java/1.11.205 Mac_OS_X/10.11.6 Java_HotSpot(TM)_64-Bit_Server_VM/25.151-b12 java/1.8.0_151", "requestParameters": { "name": "janedoe", "displayName": "Jane Doe", "organizationId": "m-5b1c980000EXAMPLE" }, "responseElements": { "userId": "a3a9176d-EXAMPLE" }, "requestID": "dec81e4a-EXAMPLE", "eventID": "9f2f09c5-EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "111111111111"

Version 1.032

Amazon WorkMail Administrator-HandbuchProtokollieren von Amazon WorkMail-

API-Aufrufen mit AWS CloudTrail

}

Das folgende Beispiel zeigt einen CloudTrail-Protokolleintrag, der die Aktion CreateAlias in der AmazonWorkMail-API zeigt.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111111111111:user/WMSDK", "accountId": "111111111111", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "WMSDK" }, "eventTime": "2017-12-12T18:13:44Z", "eventSource": "workmail.amazonaws.com", "eventName": "CreateAlias", "awsRegion": "us-west-2", "sourceIPAddress": "203.0.113.12", "userAgent": "aws-sdk-java/1.11.205 Mac_OS_X/10.11.6 Java_HotSpot(TM)_64-Bit_Server_VM/25.151-b12 java/1.8.0_151", "requestParameters": { "alias": "aliasjamesdoe@testofconsole.awsapps.com", "organizationId": "m-5b1c980000EXAMPLE" "entityId": "a3a9176d-EXAMPLE" }, "responseElements": null, "requestID": "dec81e4a-EXAMPLE", "eventID": "9f2f09c5-EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "111111111111"}

Das folgende Beispiel zeigt einen CloudTrail-Protokolleintrag, der die Aktion GetRawMessageContent inder Amazon WorkMail Message Flow-API zeigt.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111111111111:user/WMSDK", "accountId": "111111111111", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "WMSDK" }, "eventTime": "2017-12-12T18:13:44Z", "eventSource": "workmailMessageFlow.amazonaws.com", "eventName": "GetRawMessageContent", "awsRegion": "us-west-2", "sourceIPAddress": "203.0.113.12", "userAgent": "aws-sdk-java/1.11.205 Mac_OS_X/10.11.6 Java_HotSpot(TM)_64-Bit_Server_VM/25.151-b12 java/1.8.0_151", "requestParameters": { "messageId": "123A4A5A-67B8-90C1-D23E-45FG67H890J1" }, "responseElements": null, "requestID": "dec81e4a-EXAMPLE", "eventID": "9f2f09c5-EXAMPLE", "readOnly": true, "eventType": "AwsApiCall", "recipientAccountId": "111111111111"

Version 1.033

Amazon WorkMail Administrator-HandbuchCompliance-Validierung

}

Compliance-Validierung für Amazon WorkMailExterne Auditoren bewerten die Sicherheit und Compliance von Amazon WorkMail als Teil verschiedenerAWS-Compliance-Programme. Zu diesen gehören SOC, ISO und C5.

Eine Liste der AWS-Services, die von bestimmten Compliance-Programmen abgedeckt werden, finden Sieunter Von Compliance-Programmen abgedeckte AWS-Services. Allgemeine Informationen finden Sie unterAWS-Compliance-Programme.

Die Auditberichte von Drittanbietern lassen sich mit AWS Artifact herunterladen. Weitere Informationenfinden Sie unter Herunterladen von Berichten in AWS Artifact.

Ihre Verantwortung in Bezug auf die Compliance beim Verwenden von Amazon WorkMail wird durch dieVertraulichkeit Ihrer Daten, die Compliance-Ziele Ihres Unternehmens und die geltenden Gesetze undVorschriften bestimmt. AWS stellt die folgenden Ressourcen zur Unterstützung bei Compliance-Fragenbereit:

• Kurzanleitungen für Sicherheit und Compliance – In diesen Bereitstellungsleitfäden finden Sie wichtigeÜberlegungen zur Architektur sowie die einzelnen Schritte zur Bereitstellung von sicherheits- undCompliance-orientierten Basisumgebungen in AWS.

• AWS-Compliance-Ressourcen – Diese Arbeitsbücher und Leitfäden könnten für Ihre Branche und IhrenStandort interessant sein.

• AWS Config: Dieser AWS-Service bewertet, zu welchem Grad die Konfiguration Ihrer Ressourcen deninternen Vorgehensweisen, Branchenrichtlinien und Vorschriften entspricht.

• AWS Security Hub: Dieser AWS-Service liefert einen umfassenden Überblick über den Sicherheitsstatusin AWS. So können Sie die Compliance mit den Sicherheitsstandards in der Branche und den bewährtenMethoden abgleichen.

Ausfallsicherheit in Amazon WorkMailIm Zentrum der globalen AWS-Infrastruktur stehen die AWS-Regionen und -Availability Zones(Verfügbarkeitszonen, AZs). AWS-Regionen stellen mehrere physisch getrennte und isolierte AvailabilityZones bereit, die über hoch redundante Netzwerke mit niedriger Latenz und hohen Durchsätzen verbundensind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen,die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungenkommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmlicheInfrastrukturen mit einem oder mehreren Rechenzentren.

Weitere Informationen zu AWS-Regionen und Availability Zones finden Sie unter Globale AWS-Infrastruktur.

Neben der globalen AWS-Infrastruktur stellt Amazon WorkMail verschiedene Funktionen bereit, um IhreAnforderungen in Bezug auf Ausfallsicherheit und Sicherungen zu erfüllen.

Sicherheit der Infrastruktur in Amazon WorkMailAls verwalteter Service ist Amazon WorkMail durch die globalen AWS-Verfahren zur Gewährleistungder Netzwerksicherheit geschützt, die im Whitepaper Amazon Web Services: Übersicht überSicherheitsprozesse beschrieben werden.

Version 1.034

Amazon WorkMail Administrator-HandbuchSicherheit der Infrastruktur

Sie verwenden von AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon WorkMailzuzugreifen. Clients müssen Transport Layer Security (TLS) 1.0 oder höher unterstützen. Wir empfehlenTLS 1.2 oder höher. Clients müssen außerdem Cipher Suites mit PFS (Perfect Forward Secrecy) wieDHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Diemeisten modernen Systemen wie Java 7 und höher unterstützen diese Modi.

Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüsselsigniert sein, der mit einem IAM-Prinzipal verknüpft ist. Alternativ können Sie mit AWS Security TokenService (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zusignieren.

Version 1.035

Amazon WorkMail Administrator-HandbuchErste Schritte mit Amazon WorkMail

Erste Schritte mit Amazon WorkMailNachdem Sie die Voraussetzungen (p. 4) erfüllt haben, können Sie sich mit Amazon WorkMail vertrautmachen. Weitere Informationen finden Sie unter Erste Schritte mit Amazon WorkMail (p. 36).

Zudem finden Sie in den folgenden Abschnitten weitere Informationen über das Migrieren vorhandenerPostfächer zu Amazon WorkMail, die Interoperabilität mit Microsoft Exchange und Amazon WorkMail-Kontingente.

Themen• Erste Schritte mit Amazon WorkMail (p. 36)• Migration zu Amazon WorkMail (p. 37)• Interoperabilität zwischen Amazon WorkMail und Microsoft Exchange (p. 39)• Amazon WorkMail-Kontingente (p. 46)

Erste Schritte mit Amazon WorkMailEgal, ob Sie Amazon WorkMail zum ersten Mal verwenden oder Amazon WorkDocs bzw. AmazonWorkSpaces bereits kennen, können Sie sich mit Amazon WorkMail vertraut machen, indem Sie dienachfolgenden Schritte durchführen.

Note

Erfüllen Sie die Voraussetzungen (p. 4), bevor Sie beginnen.

Themen• Schritt 1: Melden Sie sich bei der Amazon WorkMail-Konsole an (p. 36)• Schritt 2: Einrichten Ihrer Amazon WorkMail-Website (p. 36)• Schritt 3: Einrichten des Amazon WorkMail-Benutzerzugriffs (p. 37)• Weitere „Erste Schritte“-Themen (p. 37)

Schritt 1: Melden Sie sich bei der Amazon WorkMail-Konsole anSie müssen sich bei der Amazon WorkMail-Konsole anmelden, bevor Sie Benutzer hinzufügen und Kontenund Postfächer verwalten können.

Anmelden bei der Amazon WorkMail-Konsole

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon WorkMail-Konsoleunter https://console.aws.amazon.com/workmail/.

2. Sofern erforderlich, wählen Sie auf der Navigationsleiste die AWS-Region aus, die IhrenAnforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte in derAllgemeinen Referenz zu Amazon Web Services.

Schritt 2: Einrichten Ihrer Amazon WorkMail-Website1. Nachdem Sie sich bei der Amazon WorkMail-Konsole angemeldet haben, richten Sie Ihre Organisation

ein. Wählen Sie die folgenden Optionen zur Einrichtung der Organisation aus:

Version 1.036

Amazon WorkMail Administrator-HandbuchSchritt 3: Einrichten des Amazon WorkMail-Benutzerzugriffs

• Schnelleinrichtung: Erstellen eines neuen Verzeichnisses (p. 50) - Legt ein neues Verzeichnis fürSie an

• Standardeinrichtung: Integrieren in ein vorhandenes Verzeichnis (p. 51) – Wird in Ihr vorhandenesVerzeichnis integriert

2. Nachdem Sie Ihre Organisation erfolgreich hinzugefügt haben, können Sie Ihre Domäne zu AmazonWorkMail hinzufügen. Weitere Informationen finden Sie unter Hinzufügen einer Domäne (p. 69).

3. Erstellen Sie neue Benutzer oder aktivieren Sie Ihre vorhandenen Verzeichnisbenutzer für AmazonWorkMail. Weitere Informationen finden Sie unter Erstellen neuer Benutzer (p. 81).

4. (Optional) Wenn Sie über vorhandene Microsoft Exchange-Postfächer verfügen, migrieren Sie sie zuAmazon WorkMail. Weitere Informationen finden Sie unter Migration zu Amazon WorkMail (p. 37).

Nachdem Sie Ihre Amazon WorkMail-Website fertig eingerichtet haben, können Sie über die URL derWebanwendung auf Amazon WorkMail zugreifen.

So finden Sie die URL für die Amazon WorkMail-Webanwendung

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Klicken Sie im Navigationsbereich auf Organization settings.

Die URL der Webanwendung befindet sich auf der Registerkarte General settings (AllgemeineEinstellungen) und weist folgendes Format auf: https://alias.awsapps.com/mail.

Schritt 3: Einrichten des Amazon WorkMail-BenutzerzugriffsWählen Sie eine der folgenden Optionen aus, um den Benutzerzugriff auf Amazon WorkMail einzurichten.

• Richten Sie den Benutzerzugriff mithilfe des Microsoft Outlook-Clients über einen vorhandenen Desktop-Client ein. Weitere Informationen finden Sie unter Verknüpfen von Microsoft Outlook mit Ihrem AmazonWorkMail-Konto.

• Richten Sie den Benutzerzugriff von einem mobilen Gerät, wie z. B. einem Kindle, Android, iPad, iPhoneoder Windows Phone, ein. Weitere Informationen finden Sie unter Erste Schritte mit einem Mobilgerät.

• Richten Sie den Benutzerzugriff mit einer beliebigen IMAP-kompatiblen Client-Software ein. WeitereInformationen finden Sie unter Verknüpfen von IMAP-Clients mit Ihrem Amazon WorkMail-Konto.

Weitere „Erste Schritte“-Themen• Migration zu Amazon WorkMail (p. 37)• Interoperabilität zwischen Amazon WorkMail und Microsoft Exchange (p. 39)• Amazon WorkMail-Kontingente (p. 46)

Migration zu Amazon WorkMailSie können von Microsoft Exchange, Microsoft Office 365, G Suite Basic (ehemals Google Apps for Work)und vielen anderen Plattformen in Zusammenarbeit mit einem unserer Partner auf Amazon WorkMailmigrieren. Weitere Informationen über unsere Partner finden Sie unter Amazon WorkMail-Funktionen.

Themen

Version 1.037

Amazon WorkMail Administrator-HandbuchSchritt 1: Erstellen oder Aktivieren

von Benutzern in Amazon WorkMail

• Schritt 1: Erstellen oder Aktivieren von Benutzern in Amazon WorkMail (p. 38)• Schritt 2: Migrieren zu Amazon WorkMail (p. 38)• Schritt 3: Abschließen der Migration zu Amazon WorkMail (p. 38)

Schritt 1: Erstellen oder Aktivieren von Benutzern inAmazon WorkMailBevor Sie Ihre Benutzer migrieren können, müssen Sie die Benutzer in Amazon WorkMail hinzufügen, umdas Postfach bereitzustellen. Weitere Informationen finden Sie unter Erstellen neuer Benutzer (p. 81).

Schritt 2: Migrieren zu Amazon WorkMailUnsere Migrationspartner helfen Ihnen bei der Migration zu Amazon WorkMail. Weitere Informationen zudiesen Anbietern finden Sie unter Amazon WorkMail-Funktionen.

Um Ihre Postfächer zu migrieren, können Sie einen Amazon WorkMail-Benutzer zumMigrationsadministrator ernennen. Verwenden Sie dazu eine der folgenden Optionen:

• Fügen Sie den neuen Benutzer migration_admin in der Amazon WorkMail-Konsole hinzu. Sie könnenauch den Benutzer migration_admin in Ihrem Active Directory erstellen und diesen Benutzer für AmazonWorkMail aktivieren.

• Klicken Sie in der Amazon WorkMail-Konsole auf der Seite Organizations settings(Organisationseinstellungen) unter Migration settings (Migrationseinstellungen) auf Edit (Bearbeiten) undgeben Sie im Feld migration_admin den Benutzer ein, den Sie zum Migrationsadministrator ernennenmöchten.

Schritt 3: Abschließen der Migration zu AmazonWorkMailNachdem Sie Ihre E-Mail-Konten zu Amazon WorkMail migriert haben, überprüfen Sie die DNS-Datensätzeund konfigurieren Sie Ihre Desktop- und mobilen Clients.

So schließen Sie die Migration zu Amazon WorkMail ab

1. Stellen Sie sicher, dass alle DNS-Datensätze aktualisiert sind und auf Amazon WorkMail verweisen.Weitere Informationen zu den erforderlichen DNS-Datensätzen finden Sie unter Hinzufügen einerDomäne (p. 69).

Note

Es kann einige Stunden dauern, bis die DNS-Datensätze aktualisiert sind. Wenn währendder Änderung an den MX-Datensätzen neue Elemente in einem Quellpostfach ankommen,führen Sie das Migrationstool erneut aus, um neue Elemente nach Abschluss der DNS-Aktualisierung zu migrieren.

2. Weitere Informationen zur Konfiguration Ihrer Desktop- und mobilen Clients für die Verwendung vonAmazon WorkMail finden Sie unter Verbindung von Microsoft Outlook mit Ihrem Amazon WorkMail-Konto im Amazon WorkMail User Guide.

Version 1.038

Amazon WorkMail Administrator-HandbuchInteroperabilität zwischen AmazonWorkMail und Microsoft Exchange

Interoperabilität zwischen Amazon WorkMail undMicrosoft Exchange

Durch die Interoperabilität zwischen Amazon WorkMail und Microsoft Exchange Server können Sie dieUnterbrechungen für Ihre Benutzer minimieren, wenn Sie Postfächer nach Amazon WorkMail migrierenoder Amazon WorkMail für eine Teilmenge Ihrer Unternehmenspostfächer verwenden.

Diese Interoperabilität ermöglicht es Ihnen, dieselbe Unternehmensdomäne für Postfächer in beidenUmgebungen zu verwenden. Auf diese Weise können Ihre Benutzer Meetings mit bidirektionaler Freigabevon Kalenderinformationen freigeben.

VoraussetzungenBevor Sie die Interoperabilität mit Microsoft Exchange aktivieren, führen Sie die folgenden Schritte aus:

• Vergewissern Sie sich, dass mindestens ein Benutzer für Amazon WorkMail aktiviert ist, sodass Siedie Verfügbarkeitseinstellungen für Microsoft Exchange konfigurieren können. Gehen Sie wie unterAktivieren der E-Mail-Weiterleitung für einen Benutzer (p. 41) beschrieben vor, um einen Benutzer zuaktivieren.

• Einrichten eines Active Directory (AD) Connectors — Wenn Sie einen AD Connectormit Ihrem lokalen Verzeichnis einrichten, können Benutzer weiterhin ihre vorhandenenUnternehmensanmeldeinformationen verwenden. Weitere Informationen finden Sie unter Einrichteneines AD Connector und Integrieren von Amazon WorkMail in Ihr lokales Verzeichnis.

• Einrichten Ihrer Amazon WorkMail-Organisation — Erstellen Sie eine Amazon WorkMail-Organisation,die den von Ihnen eingerichteten AD Connector verwendet.

• Fügen Sie Ihre Unternehmensdomänen zu Ihrer Amazon WorkMail-Organisation hinzu und überprüfenSie sie in der Amazon WorkMail-Konsole. Andernfalls werden E-Mails, die an diesen Alias gesendetwerden, nicht zugestellt. Weitere Informationen finden Sie unter Arbeiten mit Domänen.

• Migrieren von Postfächern — Ermöglichen Sie es Benutzern, Postfächer von Ihrer lokalen Umgebungfür Amazon WorkMail bereitzustellen. Weitere Informationen finden Sie unter Aktivieren vorhandenerBenutzer und Migration zu Amazon WorkMail.

Note

Aktualisieren Sie DNS-Datensätze nicht so, dass sie auf Amazon WorkMail verweisen. Sowird sichergestellt, dass Microsoft Exchange der primäre Server für eingehende E-Mails bleibt,solange Sie mit beiden Umgebungen parallel arbeiten möchten.

• Stellen Sie sicher, dass die User Principal Names (UPNs) im Active Directory mit den primären SMTP-Adressen der Benutzer übereinstimmen.

Amazon WorkMail sendet HTTPS-Anforderungen an die EWS-URL in Microsoft Exchange, umKalenderinformationen abzurufen.

• Stellen Sie sicher, dass die benötigten Firewall-Einstellungen für den Zugriff aus dem Interneteingerichtet sind. Der Standard-Port für HTTPS-Anforderungen ist 443.

• HTTPS-Anforderungen von Amazon WorkMail an die EWS-URL in Microsoft Exchange sind nurerfolgreich, wenn ein von einer gültigen Zertifizierungsstelle (Certification Authority, CA) signiertesZertifikat in der Microsoft Exchange-Umgebung vorhanden ist. Weitere Informationen findenSie im Microsoft TechNet unter Erstellen einer Exchange 2016-Zertifikatsanforderung für eineZertifizierungsstelle. Weitere Informationen zum Importieren von Zertifikaten finden Sie im MicrosoftTechNet unter Import-ExchangeCertificate.

Version 1.039

Amazon WorkMail Administrator-HandbuchHinzufügen von Domänen und Aktivieren von Postfächern

• Sie müssen Basic Authentication (Grundlegende Authentifizierung) für EWS in Microsoft Exchangezu aktivieren. Weitere Informationen finden Sie im Microsoft MVP Award Program-Blog unter VirtualDirectories: Exchange 2013.

Hinzufügen von Domänen und Aktivieren vonPostfächernFügen Sie Unternehmensdomänen zu Amazon WorkMail hinzu, um sie in E-Mail-Adressen verwenden zukönnen. Stellen Sie sicher, dass die zu Amazon WorkMail hinzugefügten Domänen verifiziert sind. Dannkönnen Sie Benutzer und Gruppen befähigen, Postfächer in Amazon WorkMail bereitzustellen. Ressourcenkönnen im Interoperabilitätsmodus nicht in Amazon WorkMail aktiviert werden und müssen in AmazonWorkMail erneut erstellt werden, nachdem der Interoperabilitätsmodus deaktiviert wurde. Sie könnenRessourcen jedoch im Interoperabilitätsmodus zum Planen von Meetings verwenden. Ressourcen ausMicrosoft Exchange werden auf der Registerkarte Users in Amazon WorkMail immer angezeigt.

• Weitere Informationen finden Sie unter Hinzufügen von Domänen , Aktivieren vorhandener Benutzer undAktivieren einer vorhandenen Gruppe.

Note

Um die Interoperabilität mit Microsoft Exchange sicherzustellen, dürfen Sie die DNS-Datensätzenicht so aktualisieren, dass sie auf Amazon WorkMail-Datensätze verweisen. Microsoft Exchangebleibt der primäre Server für eingehende E-Mails, solange Sie mit beiden Umgebungen parallelarbeiten möchten.

Aktivieren der InteroperabilitätWenn Sie keine Amazon WorkMail-Organisation erstellt haben, befolgen Sie die Anleitung unter AmazonWorkMail in Ihr lokales Verzeichnis integrieren (benutzerdefinierte Einrichtung) und wählen Sie beimErstellen Ihrer Amazon WorkMail-Organisation Enable interoperability (Interoperabilität aktivieren) aus.

Wenn Sie bereits über eine Amazon WorkMail-Organisation mit einem AD Connector verfügen, die mitActive Directory verknüpft ist, sowie über Microsoft Exchange, kontaktieren Sie den AWS Support, umsich beim Aktivieren der Microsoft Exchange-Interoperabilität für eine vorhandene Amazon WorkMail-Organisation helfen zu lassen.

Erstellen von Service-Konten in Microsoft Exchangeund Amazon WorkMailUm auf Kalenderinformationen zugreifen zu können, müssen Sie ein Service-Konto sowohl in MicrosoftExchange als auch in Amazon WorkMail erstellen. Das Service-Konto in Microsoft Exchange ist einBenutzer in Microsoft Exchange mit Zugriff auf die Kalenderinformationen anderer Exchange-Benutzer. DaZugriff standardmäßig gewährt wird, werden keine besonderen Berechtigungen benötigt.

Das Service-Konto in Amazon WorkMail ist ebenfalls ein Benutzer in Amazon WorkMail mit Zugriff auf dieKalenderinformationen anderer Benutzer in Amazon WorkMail. Dieser Zugriff wird ebenfalls standardmäßiggewährt.

Wenn Sie eine Amazon WorkMail-Organisation verwenden, die einen in Ihr lokales Verzeichnis integriertenAD Connector nutzt, muss der Benutzer des Amazon WorkMail-Service-Kontos in Ihrem lokalenVerzeichnis erstellt und dann für Amazon WorkMail aktiviert werden.

Version 1.040

Amazon WorkMail Administrator-HandbuchBeschränkungen im Interoperabilitätsmodus

Beschränkungen im InteroperabilitätsmodusWenn Ihre Organisation im Interoperabilitätsmodus arbeitet, muss das gesamte Benutzer-, Gruppen- undRessourcenmanagement in der Exchange-Verwaltungskonsole erfolgen. Benutzer und Gruppen können inder Amazon WorkMail für AWS Management Console aktiviert werden. Weitere Informationen finden Sieunter Aktivieren vorhandener Benutzer und Aktivieren einer vorhandenen Gruppe.

Wenn Sie einen Benutzer oder eine Gruppe für Amazon WorkMail aktivieren, können Sie die E-Mail-Adressen oder Aliasse dieser Benutzer oder Gruppen nicht bearbeiten. Auch diese müssen über dieExchange-Verwaltungskonsole konfiguriert werden. Amazon WorkMail synchronisiert Änderungen in IhremVerzeichnis alle vier Stunden.

Ressourcen können in Amazon WorkMail nicht erstellt oder aktiviert werden, solange derInteroperabilitätsmodus aktiviert ist. Alle Exchange-Ressourcen sind jedoch im Amazon WorkMail-Adressbuch verfügbar und können wie gewohnt zum Planen von Meetings verwendet werden.

Aktivieren von E-Mail-Weiterleitungen zwischenMicrosoft Exchange- und Amazon WorkMail-BenutzernWenn Sie E-Mail-Weiterleitungen zwischen Microsoft Exchange Server und Amazon WorkMail aktivieren,können für Amazon WorkMail konfigurierte Benutzer ihre vorhandenen E-Mail-Adressen zum Senden undEmpfangen von E-Mails in Amazon WorkMail verwenden. Wenn E-Mail-Weiterleitungen aktiviert sind, bleibtMicrosoft Exchange Server der primäre SMTP-Server für eingehende E-Mails.

Voraussetzungen für die E-Mail-Weiterleitung:

• Der Interoperabilitätsmodus ist für Ihre Organisation aktiviert. Weitere Informationen finden Sie unterAktivieren der Interoperabilität (p. 40).

• Ihre Domäne wurde in der Amazon WorkMail-Konsole hinzugefügt und verifiziert.• Ihr Microsoft Exchange Server kann E-Mails an das Internet senden. Sie müssen möglicherweise einen

Sendeconnector konfigurieren. Weitere Informationen finden Sie im Microsoft TechNet unter Erstelleneines Sendeconnectors zum Senden von E-Mails ins Internet.

Aktivieren der E-Mail-Weiterleitung für einen BenutzerWir empfehlen Ihnen, die folgende Anleitung zunächst mit Testbenutzern auszuprobieren, bevor SieÄnderungen auf Ihre Organisation anwenden.

1. Aktivieren Sie den Benutzer, den Sie nach Amazon WorkMail migrieren. Weitere Informationen findenSie unter Aktivieren vorhandener Benutzer.

2. Stellen Sie in der Amazon WorkMail-Konsole sicher, dass dem aktivierten Benutzer mindestens zwei E-Mail-Adressen zugeordnet sind.• workmailuser@orgname.awsapps.com (Diese wird automatisch hinzugefügt und kann auch ohne

Microsoft Exchange für Testzwecke verwendet werden.)• workmailuser@yourdomain.com (Diese wird automatisch hinzugefügt und ist die primäre Adresse

von Microsoft Exchange.)

Weitere Informationen finden Sie unter Bearbeiten von E-Mail-Adressen der Benutzer.3. Stellen Sie sicher, dass Sie alle Daten vom Posteingang in Microsoft Exchange in das Postfach in

Amazon WorkMail migrieren. Weitere Informationen finden Sie unter Migrieren zu Amazon WorkMail.4. Nachdem alle Daten migriert wurden, deaktivieren Sie das Postfach für den Benutzer in Microsoft

Exchange und erstellen Sie einen E-Mail-Benutzer (oder einen E-Mail-fähigen Benutzer), dessen externeSMTP-Adresse auf Amazon WorkMail verweist. Verwenden Sie dazu die folgenden Befehle in ExchangeManagement Shell.

Version 1.041

Amazon WorkMail Administrator-HandbuchAktivieren von E-Mail-Weiterleitungen zwischen

Microsoft Exchange- und Amazon WorkMail-Benutzern

Important

Mit den unten genannten Schritten wird der Inhalt des Postfachs gelöscht. Stellen Sie sicher,dass Ihre Daten nach Amazon WorkMail migriert wurden, bevor Sie die E-Mail-Weiterleitungaktivieren. Einige E-Mail-Clients wechseln mit diesem Befehl nicht nahtlos zu AmazonWorkMail. Weitere Informationen finden Sie unter Mail-Client-Konfiguration (p. 42).

$old_mailbox = Get-Mailbox exchangeuser

Disable-Mailbox $old_mailbox

$new_mailuser = Enable-MailUser $old_mailbox.Identity -ExternalEmailAddress workmailuser@orgname.awsapps.com -PrimarySmtpAddress $old_mailbox.PrimarySmtpAddress

Set-MailUser $new_mailuser -EmailAddresses $old_mailbox.EmailAddresses -HiddenFromAddressListsEnabled $old_mailbox.HiddenFromAddressListsEnabled

In den oben genannten Befehlen steht orgname für den Namen der Amazon WorkMail-Organisation.Weitere Informationen finden Sie im Microsoft TechNet unter Deaktivieren oder Löschen eines Postfachsund Enable-MailUser.

5. Senden Sie eine Test-E-Mail an den Benutzer (gemäß dem obigen Beispiel anworkmailuser@yourdomain.com). Wenn die E-Mail-Weiterleitung korrekt aktiviert wurde, kann sichder Benutzer bei dem Amazon WorkMail-Postfach anmelden und die E-Mail empfangen.

Note

Microsoft Exchange bleibt der primäre Server für eingehende E-Mails, solange Sie mit beidenUmgebungen parallel arbeiten möchten. Um die Interoperabilität mit Microsoft Exchangesicherzustellen, dürfen Sie die DNS-Datensätze nicht so aktualisieren, dass sie auf AmazonWorkMail verweisen.

Konfiguration nach dem EinrichtenMit den oben beschriebenen Schritten wird ein Benutzerpostfach von Microsoft Exchange Server nachAmazon WorkMail verschoben. Der Benutzer bleibt in Microsoft Exchange dabei als Kontakt erhalten. Dader migrierte Benutzer jetzt ein externer E-Mail-Benutzer ist, unterliegt er in Microsoft Exchange Serverzusätzlichen Beschränkungen. Daher sind eventuell weitere Konfigurationsschritte erforderlich, um dieMigration abzuschließen.

• Der Benutzer kann möglicherweise nicht standardmäßig E-Mails an Gruppen senden. Um diese Funktionzu aktivieren, muss der Benutzer zu einer Liste der sicheren Absender für alle Gruppen hinzugefügtwerden. Weitere Informationen finden Sie im Microsoft TechNet unter Zustellungsverwaltung.

• Außerdem kann der Benutzer möglicherweise keine Ressourcen reservieren. Um diese Funktion zuaktivieren, müssen Sie die ProcessExternalMeetingMessages aller Ressourcen einrichten, auf dieder Benutzer zugreifen können muss. Weitere Informationen finden Sie im Microsoft TechNet unter Set-CalendarProcessing.

Mail-Client-KonfigurationEinige E-Mail-Clients wechseln nicht nahtlos zu Amazon WorkMail. Der Benutzer muss in diesem Fall einezusätzliche Einrichtung vornehmen. Je nach E-Mail-Client sind hier unterschiedliche Schritte erforderlich.

Version 1.042

Amazon WorkMail Administrator-HandbuchKonfigurieren der Verfügbarkeitseinstellungen

in Amazon WorkMail

• Microsoft Outlook unter Windows — MS Outlook muss neu gestartet werden. Beim Start müssen Siefestlegen, ob Sie das alte Postfach behalten oder ein temporäres Postfach verwenden möchten. WählenSie die Option für das temporäre Postfach und konfigurieren Sie das Microsoft Exchange-Postfachkomplett neu.

• Microsoft Outlook unter MacOS Beim Neustart von Outlook wird die folgende Nachricht angezeigt: —Outlook was redirected to server orgname.awsapps.com. Do you want this server to configure yoursettings? (Outlook wurde auf den Server orgname.awsapps.com umgeleitet. Möchten Sie, dass dieserServer Ihre Einstellungen konfiguriert?). Akzeptieren Sie den Vorschlag.

• Mail unter iOS — Die E-Mail-App empfängt keine E-Mails mehr und erzeugt den Fehler Cannot get mail(E-Mail kann nicht abgerufen werden). Konfigurieren Sie das Microsoft Exchange-Postfach komplett neu.

Konfigurieren der Verfügbarkeitseinstellungen inAmazon WorkMailKonfigurieren Sie die Verfügbarkeitseinstellungen in Amazon WorkMail und Microsoft Exchange, um diebidirektionale Freigabe von Kalenderinformationen zu aktivieren.

So konfigurieren Sie die Verfügbarkeitseinstellungen in der Konsole

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Klicken Sie im Navigationsbereich auf Organization settings, Interoperability Settings.3. Klicken Sie auf Configure availability settings und geben Sie die folgenden Informationen ein:

• Domain — Die Domäne, für die die Interoperabilität zwischen Amazon WorkMail und Microsoft Exchangeeingerichtet werden soll.

• Exchange Web Services (EWS) URL — Die URL, an die Amazon WorkMail HTTPS-Anforderungen fürden Zugriff auf Kalenderinformationen von Microsoft Exchange-Benutzern sendet. Die EWS URL siehtnormalerweise wie folgt aus: https://servername.com/EWS/Exchange.asmx. Sie können dieEWS-URL mit einer der folgenden Optionen abrufen:• Mit Microsoft Outlook

1. Melden Sie sich in Windows als Benutzer der Exchange-Umgebung in Microsoft Outlook an.2. Halten Sie die Taste Strg gedrückt und öffnen Sie das Kontextmenü (rechte Maustaste) auf dem

Microsoft Outlook-Symbol in der Taskleiste.3. Klicken Sie auf Test E-mail AutoConfiguration.4. Geben Sie die E-Mail-Adresse und das Passwort des Microsoft Exchange-Benutzers ein und

klicken Sie auf Test.5. Kopieren Sie im Ergebnisfenster den Wert für Availability Service URL.

• Mit PowerShell

•Get-WebServicesVirtualDirectory |Select name, *url* | fl

Die externe URL, die über den oben genannten Befehl zurückgegeben wird, ist die EWS-URL.• User email address and password (E-Mail-Adresse und Passwort des Benutzers) — Dies sind die

Anmeldeinformationen des Microsoft Exchange-Service-Kontos. Sie werden von Amazon WorkMailverschlüsselt und sicher gespeichert. Die E-Mail-Adresse des Microsoft Exchange-Service-Kontosmuss den vollständig qualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) verwenden.Weitere Informationen finden Sie unter Erstellen von Service-Konten in Microsoft Exchange und AmazonWorkMail (p. 40).

Version 1.043

Amazon WorkMail Administrator-HandbuchKonfigurieren der Verfügbarkeitseinstellungen

in Microsoft Exchange

Wenn Ihre Active Directory-Domäne nicht mit Ihrer Microsoft Exchange-Domäne übereinstimmt,verwenden Sie den User Principal Name (UPN) des Microsoft Exchange-Service-Kontos. Diesen könnenSie mithilfe des folgenden PowerShell-Befehls abrufen:

Get-ADUser exchange_service_account_username | select UserPrincipalName

Im obigen Beispiel ist exchange_service_account_username der Benutzername des MicrosoftExchange-Service-Kontos.

Konfigurieren der Verfügbarkeitseinstellungen inMicrosoft ExchangeUm alle Anforderungen zu Kalenderinformationen für aktivierte Benutzer an Amazon WorkMailweiterzuleiten, richten Sie den Verfügbarkeitsadressraum in Microsoft Exchange ein.

Verwenden Sie den folgenden PowerShell-Befehl:

$credentials = Get-Credential

Geben Sie in der Eingabeaufforderung die Anmeldeinformationen des Amazon WorkMail-Service-Kontosein. Der Benutzername muss in folgendem Format eingegeben werden domain\username (d. h.,orgname.awsapps.com\workmail_service_account_username. Hier steht orgname für denNamen der Amazon WorkMail-Organisation. Weitere Informationen finden Sie unter Erstellen von Service-Konten in Microsoft Exchange und Amazon WorkMail (p. 40).

Add-AvailabilityAddressSpace -ForestName orgname.awsapps.com -AccessMethod OrgWideFB -Credentials $credentials

Weitere Informationen finden Sie im Microsoft TechNet unter Add-AvailabilityAddressSpace.

Deaktivieren der Interoperabilität undAußerbetriebsetzen Ihres Mail-ServersSobald alle Microsoft Exchange-Postfächer für Amazon WorkMail konfiguriert sind, können Sie dieInteroperabilität deaktivieren. Wenn Sie keine Benutzer oder Datensätze migriert haben, wirkt sich dieDeaktivierung der Interoperabilität nicht auf Ihre Konfigurationen aus.

Warning

Stellen Sie vor dem Deaktivieren der Interoperabilität sicher, dass Sie alle erforderlichen Schritteabgeschlossen haben. Andernfalls können E-Mails nicht zugestellt werden oder es kommtzu unerwünschten Verhaltensweisen des Programms. Wenn Sie die Migration noch nichtabgeschlossen haben, kann das Deaktivieren der Interoperabilität die Abläufe in Ihrer Organisationunterbrechen. Dieser Vorgang kann nicht rückgängig gemacht werden.

So deaktivieren Sie die Unterstützung der Interoperabilität

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

Version 1.044

Amazon WorkMail Administrator-HandbuchFehlersuche

3. Wählen Sie auf der Seite Organizations die Organisation mit aktivem Interoperabilitätsmodus aus undklicken Sie auf Disable Interoperability.

4. Geben Sie im Dialogfeld Disable interoperability with Microsoft Exchange den Namen der Organisationein und klicken Sie auf Disable.

Nach dem Deaktivieren der Interoperabilität werden Benutzer und Gruppen, die nicht für Amazon WorkMailaktiviert sind, aus dem Adressbuch entfernt. Sie können fehlende Benutzer oder Gruppen in der AmazonWorkMail-Konsole jederzeit aktivieren. Diese werden dann zum Adressbuch hinzugefügt. Bevor SieRessourcen aus Microsoft Exchange aktivieren und im Adressbuch anzeigen können, müssen Sie diefolgenden Schritte abschließen.

• Create resources in Amazon WorkMail (Ressourcen in WM erstellen)—Sie können Ressourcen inAmazon WorkMail erstellen und Delegierungs- und Reservierungsoptionen für diese Ressourcenkonfigurieren. Weitere Informationen finden Sie unter Mit Ressourcen arbeiten.

• Create an AutoDiscover DNS record (Erstellen eines AutoDiscover DNS-Datensatzes) — KonfigurierenSie einen AutoDiscover DNS-Datensatz für alle Mail-Domänen in der Organisation, um es Benutzernzu ermöglichen, sich einfach in Microsoft Outlook oder mobilen Clients bei ihrem Amazon WorkMail-Postfach anzumelden. Weitere Informationen finden Sie unter Aktivieren von AutoDiscover zurKonfiguration von Endpunkten.

• Switch your MX DNS record to Amazon WorkMail (Ihren MX DNS-Datensatz auf WM wechseln) —Damitalle eingehenden E-Mails an Amazon WorkMail gesendet werden, müssen Sie Ihren MX DNS-Datensatzauf Amazon WorkMail wechseln. Es kann bis zu 72 Stunden dauern, bevor die DNS-Änderung an alleDNS-Server übermittelt wurde.

• Decommission your mail server (Ihren Mail-Server außer Betrieb nehmen) — Nachdem Sie sichergestellthaben, dass alle E-Mails direkt an Amazon WorkMail weitergeleitet werden, können Sie Ihren Mail-Serveraußer Betrieb nehmen, wenn Sie ihn nicht mehr verwenden möchten.

FehlersucheIm Folgenden sind Lösungen für die in der Amazon WorkMail-Interoperabilität und -Migration am häufigstenauftretenden Fehler aufgelistet.

Exchange Web Services (EWS) URL is invalid or unreachable (Exchange Web Services (EWS)-URList ungültig oder nicht erreichbar) — Stellen Sie sicher, dass Sie die korrekte EWS-URL verwenden.Weitere Informationen finden Sie unter Konfigurieren der Verfügbarkeitseinstellungen in AmazonWorkMail (p. 43).

Connection failure during EWS Validation (Verbindungsfehler während der EWS-Validierung) — Dies ist einallgemeiner Fehler, der folgende Ursachen haben kann:

• Es ist keine Internetverbindung in Microsoft Exchange vorhanden.• Ihre Firewall ist nicht für den Zugriff aus dem Internet konfiguriert. Stellen Sie sicher, dass Port 443 (der

Standardport für HTTPS-Anforderungen) offen ist.

Wenn Sie die Internetverbindungs- und Firewall-Einstellungen überprüft haben, der Fehler jedoch weiterhinauftritt, wenden Sie sich an den AWS Support.

Invalid username and password when configuring Microsoft Exchange interoperability (UngültigerBenutzername oder ungültiges Passwort beim Konfigurieren der Microsoft Exchange-Interoperabilität). —Dies ist ein allgemeiner Fehler, der folgende Ursachen haben kann:

• Der Benutzername liegt nicht im erwarteten Format vor. Verwenden Sie das folgende Muster:

DOMAIN\username

Version 1.045

Amazon WorkMail Administrator-HandbuchAmazon WorkMail-Kontingente

• Ihr Microsoft Exchange-Server ist nicht für grundlegende Authentifizierung für EWS konfiguriert. WeitereInformationen finden Sie im Microsoft MVP Award Program-Blog unter Virtual Directories: Exchange2013.

User receives emails with winmail.dat attachment (Benutzer empfängt E-Mails mit winmail.dat-Anhang) —Das kann passieren, wenn verschlüsselte S&MIME-E-Mails von Exchange an Amazon WorkMail gesendetund in Outlook für Mac 2016 oder einem IMAP-Client empfangen werden. Führen Sie zum Beheben desProblems den folgenden Befehl in der Exchange Management Shell aus:

Set-RemoteDomain -Identity "Default" -TNEFEnabled $false

Wenn Sie die obigen Punkte überprüft haben, der Fehler jedoch weiterhin auftritt, wenden Sie sich an denAWS Support.

Amazon WorkMail-KontingenteAmazon WorkMail kann sowohl von Unternehmenskunden als auch von Kleinunternehmern genutztwerden. Obwohl wir die meisten Anwendungsfälle unterstützen, ohne dass Änderungen an denKontingenten vorgenommen werden müssen, schützen wir unsere Benutzer und das Internetvor dem Missbrauch des Produkts. Daher kann es vorkommen, dass einige Kunden auf von unsfestgelegte Kontingente stoßen. Dieser Abschnitt beschreibt diese Kontingente und die entsprechendenÄnderungsmöglichkeiten.

Einige Kontingente können geändert werden. Andere sind feste Kontingente, die nicht geändert werdenkönnen. Weitere Informationen zum Anfordern einer Kontingenterhöhung finden Sie unter AWS-Servicekontingente in der Allgemeine Amazon Web Services-Referenz.

Kontingente für die Amazon WorkMail-Organisationund -BenutzerSie können bei einer kostenlose 30-Tage-Testversion bis zu 25 Benutzer hinzufügen. Nach Ablaufdieser Frist werden Ihnen alle aktiven Benutzer in Rechnung gestellt, es sei denn, Sie entfernen sie oderschließen Ihr Amazon WorkMail-Konto.

In die Berechnung dieser Kontingente fließen alle Nachrichten ein, die an einen anderen Benutzergesendet werden. Dazu gehören E-Mails, Besprechungsanfragen, Besprechungsantworten,Aufgabenanfragen und Nachrichten, die als Ergebnis einer Regel automatisch weitergeleitet oderumgeleitet werden.

Note

Wenn Sie eine Erhöhung der Kontingente nur für eine bestimmte Organisation beantragen, fügenSie den Namen der Organisation in Ihre Anfrage ein.

Ressource Standardkontingent Obergrenze fürÄnderungsanfragen

Benutzer pro Amazon WorkMail-Organisation

1 000 Kann je nach demVerzeichnistyp, der für dieOrganisation verwendet wird,erhöht werden:

• Amazon WorkMail-Verzeichnis:bis zu 10 Millionen Benutzer

Version 1.046

Amazon WorkMail Administrator-HandbuchKontingente für WorkMail-Organisationen

Ressource Standardkontingent Obergrenze fürÄnderungsanfragen• Simple AD oder AD Connector,

groß: bis zu 5.000 Benutzer*.• Simple AD oder AD Connector,

klein: bis zu 500 Benutzer*.• Microsoft AD, durch AWS

Directory Service gehostet:je nach Einrichtung undKonfiguration bis zu 10Millionen Benutzer

*Wenn Sie Simple AD oder ADConnector verwenden, finden Sieweitere Informationen unter AWSDirectory Service.

Kostenlose Testbenutzer Bis zu 25 Benutzer in den ersten30 Tagen

Der kostenlose Testzeitraumgilt nur für die ersten 25Benutzer in jeder Organisation.Zusätzliche Benutzer sind nichtim kostenlosen Testangebotenthalten.

Adressierte Empfänger pro AWS-Konto und Tag

100.000 Empfänger außerhalbder Organisation, ohne festeKontingente der Empfängerinnerhalb der Organisation.

Es gibt keine Obergrenze.Allerdings ist Amazon WorkMailein geschäftlicher E-Mail-Dienstund nicht für den Massen-E-Mail-Versand vorgesehen. Nutzen Siefür den Massen-E-Mail-VersandAmazon SES oder AmazonPinpoint.

Adressierte Empfängerpro AWS-Konto und Tagunter Verwendung einer derTestdomänen

200 Empfänger, unabhängig vomZiel

Es gibt keine Obergrenze. DieTestmail-Domäne ist jedoch nichtfür eine langfristige Nutzungvorgesehen. Stattdessenempfehlen wir Ihnen, Ihre eigeneDomäne hinzuzufügen unddiese als Standarddomäne zuverwenden.

Kontingente für Gruppen werden durch das zugrunde liegende Verzeichnis festgelegt.

Kontingente für WorkMail-Organisationen

Ressource Standardkontingent

Domänenanzahl pro Amazon WorkMail-Organisation

1 000

Dies ist ein festes Kontingent, das nicht geändertwerden kann.

Version 1.047

Amazon WorkMail Administrator-HandbuchKontingente pro Benutzer

Ressource Standardkontingent

Anzahl der Absendermuster in Regeln für den E-Mail-Verkehr pro Regel

250

Dies ist ein festes Kontingent, das nicht geändertwerden kann.

Anzahl der Absendermuster in Regeln für den E-Mail-Ablauf pro Organisation

1.000

Dies ist ein festes Kontingent, das nicht geändertwerden kann.

Kontingente pro BenutzerIn die Berechnung dieser Kontingente fließen alle Nachrichten ein, die an einen anderen Benutzergesendet werden. Dazu gehören E-Mails, Besprechungsanfragen, Besprechungsantworten,Aufgabenanfragen und Nachrichten, die als Ergebnis einer Regel automatisch weitergeleitet oderumgeleitet werden.

Ressource Standardkontingent Oberes Kontingent fürÄnderungsanfragen

Maximale Größe des Postfachs 50 GB 50 GB

Maximale Anzahl von Aliasen proBenutzer

100

Dies ist ein festes Kontingent,das nicht geändert werden kann.

Nicht zutreffend

Adressierte Empfänger, diepro Benutzer und Tag über dieeigene Domäne angesprochenwerden.

10.000 Empfänger außerhalbder Organisation, ohne festeKontingente der Empfängerinnerhalb der Organisation.

Es gibt keine Obergrenze.Allerdings ist Amazon WorkMailein geschäftlicher E-Mail-Dienstund nicht für den Massen-E-Mail-Versand vorgesehen. Nutzen Siefür den Massen-E-Mail-VersandAmazon SES oder AmazonPinpoint.

NachrichtenkontingenteIn die Berechnung dieser Kontingente fließen alle Nachrichten ein, die an einen anderen Benutzergesendet werden. Dazu gehören E-Mails, Besprechungsanfragen, Besprechungsantworten,Aufgabenanfragen und Nachrichten, die als Ergebnis einer Regel automatisch weitergeleitet oderumgeleitet werden.

Ressource Standardkontingent

Maximale Größe der eingehenden Nachricht 25 MB

Dies ist ein festes Kontingent, das nicht geändertwerden kann.

Maximale Größe der ausgehenden Nachricht 25 MB

Version 1.048

Amazon WorkMail Administrator-HandbuchNachrichtenkontingente

Ressource StandardkontingentDies ist ein festes Kontingent, das nicht geändertwerden kann.

Empfängeranzahl pro Nachricht 500

Dies ist ein festes Kontingent, das nicht geändertwerden kann.

Version 1.049

Amazon WorkMail Administrator-HandbuchHinzufügen einer Organisation

Arbeiten mit OrganisationenIn Amazon WorkMail repräsentiert die Organisation die Benutzer in Ihrem Unternehmen. In der AmazonWorkMail-Konsole sehen Sie eine Liste Ihrer verfügbaren Organisationen. Wenn Sie keine haben, müssenSie eine erstellen, um Amazon WorkMail verwenden zu können.

Themen• Hinzufügen einer Organisation (p. 50)• Entfernen einer Organisation (p. 53)• Bearbeiten der Mobilgeräte-Richtlinie Ihrer Organisation (p. 54)• E-Mail-Fluss verwalten (p. 55)• Nachverfolgen von Nachrichten (p. 64)• Durchsetzen von DMARC-Richtlinien für eingehende E-Mails (p. 67)

Hinzufügen einer OrganisationUm Amazon WorkMail zu verwenden, müssen Sie zuerst eine Organisation hinzufügen. Ein AWS-Kontokann mehrere Amazon WorkMail-Organisationen haben. Anschließend können Sie Benutzer, Gruppen undDomänen zur Organisation hinzufügen.

Die folgenden Setup-Optionen stehen zur Verfügung:

• Quick setup (Schnelleinrichtung): Erstellt ein Verzeichnis für Sie.• Standard setup (Standardeinrichtung): Integriert Amazon WorkMail in ein bestehendes Verzeichnis, wie

z. B. ein lokales Microsoft Active Directory, AWS Managed Active Directory oder AWS Simple ActiveDirectory.

Sie können auch ein kompatibles Verzeichnis mit Amazon WorkDocs oder Amazon WorkSpaces erstellenund dann die Amazon WorkMail-Einrichtung mithilfe der Option Standard setup (Standardeinrichtung)durchführen.

Themen• Schnelleinrichtung: Erstellen eines neuen Verzeichnisses (p. 50)• Standardeinrichtung: Integrieren in ein vorhandenes Verzeichnis (p. 51)• Integrieren eines Amazon WorkDocs- oder Amazon WorkSpaces-Verzeichnisses (p. 52)• Organisationszustände und Beschreibungen (p. 52)

Schnelleinrichtung: Erstellen eines neuenVerzeichnissesSie können die Option Quick setup (Schnelleinrichtung) zum Erstellen einer Amazon WorkMail-Organisation verwenden.

Version 1.050

Amazon WorkMail Administrator-HandbuchStandardeinrichtung: Integrierenin ein vorhandenes Verzeichnis

Note

Die Option Quick setup (Schnelleinrichtung) unterstützt keine verschachtelten Gruppen und istnicht mit Amazon WorkDocs oder Amazon WorkSpaces kompatibel.

Die Amazon WorkMail-Option Quick setup (Schnelleinrichtung) macht Folgendes für Sie:

• Erstellt ein neues WorkMail-Verzeichnis zum Speichern Ihrer Benutzer und Gruppen. Sie können diesenVerzeichnistyp in AWS Directory Service nicht anzeigen.

• Erstellt eine kostenlose Testdomäne.• Verwendet den AWS-verwalteten KMS-Standard-Masterschlüssel zur Verschlüsselung des

Postfachinhalts.

So fügen Sie eine Organisation über die Option "Quick setup (Schnelleinrichtung)" hinzu

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Wählen Sie auf der Navigationsleiste die Region aus, die Ihren Anforderungen entspricht. Weitere

Informationen finden Sie unter Regionen und Endpunkte im Allgemeine Amazon Web Services-Referenz.

3. Wählen Sie Get started.4. Wählen Sie auf der Seite Set up your organization die Option Quick setup aus.5. Geben Sie auf der Seite Quick setup unter Organization name einen eindeutigen Alias ein, der als Ihre

Mail-Domäne verwendet werden soll, und wählen Sie dann Create aus.

Nachdem Ihre Organisation erstellt wurde, können Sie Domänen, Benutzer und Gruppen hinzufügen.

Note

Wenn Sie die Anzahl der Organisationen, die Sie mit der Schnellinstallation erstellenkönnen, überschreiten, erhalten Sie die Fehlermeldung "Sie haben die maximale Anzahlder anlegbaren Organisationen erreicht". Weitere Informationen finden Sie unter AmazonWorkMail-Kontingente (p. 46).

Standardeinrichtung: Integrieren in ein vorhandenesVerzeichnisSie können Amazon WorkMail mit einem bestehenden Verzeichnis integrieren, z. B. in ein lokales MicrosoftActive Directory, AWS Managed Active Directory oder AWS Simple Active Directory. Durch die Integrationmit Ihrem lokalen Verzeichnis können Sie Ihre vorhandenen Benutzer und Gruppen in Amazon WorkMailwiederverwenden und Benutzer können sich mit ihren vorhandenen Anmeldeinformationen anmelden.

Sie haben auch die Möglichkeit, einen vom Kunden verwalteten Masterschlüssel auszuwählen, denAmazon WorkMail zur Verschlüsselung des Postfachinhalts verwendet. Sie können entweder denAWS-verwalteten Standard-Masterschlüssel für Amazon WorkMail oder einen vom Kunden verwaltetenMasterschlüssel in AWS KMS für die Verwendung mit Amazon WorkMail auswählen.

Wenn es sich bei dem vorhandenen Verzeichnis um ein lokales Verzeichnis handelt, müssen Siezunächst einen AD Connector in AWS Directory Service einrichten. Der AD Connector wird verwendet,um Ihre Benutzer und Gruppen mit dem Amazon WorkMail-Adressbuch zu synchronisieren undBenutzerauthentifizierungsanfragen durchzuführen.

Informationen zum Einrichten eines AD Connectors finden Sie unter Verbinden mit Ihrem bestehendenVerzeichnis mit AD Connector im AWS Directory Service Administration Guide.

Version 1.051

Amazon WorkMail Administrator-HandbuchIntegrieren eines Amazon WorkDocs- oder

Amazon WorkSpaces-Verzeichnisses

So führen Sie eine Standardeinrichtung durch

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Wählen Sie in der Navigationsleiste die Region aus, die Ihren Anforderungen entspricht. Weitere

Informationen finden Sie unter Regionen und Endpunkte im Allgemeine Amazon Web Services-Referenz.

3. Wählen Sie Get started.4. Wählen Sie auf der Seite Set up your organization die Option Standard setup aus.5. Wählen Sie auf der Seite Standard setup unter Available Directories Ihr vorhandenes Verzeichnis aus.

Note

Wenn Sie über ein lokales Active Directory mit Microsoft Exchange und einen AWS-ADConnector verfügen, wählen Sie auf der Seite Interoperability with Microsoft Exchange(Interoperabilität mit Microsoft Exchange) die Option Enable interoperability (Interoperatbilitätaktivieren) aus. Durch die Interoperabilität können Sie die Unterbrechungen für Ihre Benutzerminimieren, wenn Sie Postfächer nach Amazon WorkMail migrieren oder Amazon WorkMailfür eine Teilmenge Ihrer Unternehmenspostfächer verwenden. Weitere Informationen findenSie unter Interoperabilität zwischen Amazon WorkMail und Microsoft Exchange.Amazon WorkMail unterstützt derzeit keine verwalteten Microsoft Active Directory-Verzeichnisdienste, die für mehrere Konten freigegeben sind.

6. Wählen Sie für Mater keys (Masterschlüssel) entweder den AWS-verwalteten Standard-Masterschlüssel oder einen vom Kunden verwalteten Masterschlüssel in AWS Key ManagementService aus.

Note

Informationen zum Erstellen eines neuen kundenverwalteten Masterschlüssels finden Sieunter Erstellen von Schlüsseln im AWS Key Management Service Developer Guide.Wenn Sie als IAM-Benutzer angemeldet sind, machen Sie sich zum Schlüsseladministratorfür den Masterschlüssel. Weitere Informationen finden Sie unter Aktivieren und Deaktivierenvon Schlüsseln im AWS Key Management Service Developer Guide.

Integrieren eines Amazon WorkDocs- oder AmazonWorkSpaces-VerzeichnissesUm Amazon WorkMail mit Amazon WorkDocs oder Amazon WorkSpaces verwenden zu können, müssenSie ein kompatibles Verzeichnis erstellen, indem Sie die folgenden Schritte ausführen.

So fügen Sie eine kompatible Amazon WorkDocs- oder Amazon WorkSpaces-Organisation hinzu

1. Erstellen Sie mithilfe von Amazon WorkDocs oder Amazon WorkSpaces ein kompatibles Verzeichnis.

a. Anweisungen zu Amazon WorkDocs finden Sie unter Erstellen eines Simple AD-Verzeichnissesmit Quick Start.

b. Anweisungen zu Amazon WorkSpaces finden Sie unter Erste Schritte mit Amazon WorkSpacesQuick Setup.

2. Richten Sie in der Amazon WorkMail-Konsole Amazon WorkMail ein. Weitere Informationen finden Sieunter Standardeinrichtung: Integrieren in ein vorhandenes Verzeichnis (p. 51).

Organisationszustände und BeschreibungenNachdem Sie eine Organisation angelegt haben, kann sie einen der folgenden Zustände haben.

Version 1.052

Amazon WorkMail Administrator-HandbuchEntfernen einer Organisation

Bundesstaat Beschreibung

Aktiv Ihre Organisation ist funktionsfähig undeinsatzbereit.

Erstellen Ein Workflow wird ausgeführt, um Ihre Organisationzu erstellen.

Fehlgeschlagen Ihre Organisation konnte nicht erstellt werden.

Beeinträchtigt Ihre Organisation ist gestört oder ein Problemwurde entdeckt.

Inaktiv Ihre Organisation ist inaktiv.

Angefragt Ihre Anforderung zur Erstellung einer Organisationsteht in der Warteschlange und wartet darauf,erstellt zu werden.

Validierung Alle Einstellungen für die Organisation werdeneiner Statusprüfung unterzogen.

Entfernen einer OrganisationWenn Sie Amazon WorkMail nicht mehr für die E-Mails Ihrer Organisation verwenden möchten, können SieIhre Organisation aus Amazon WorkMail löschen.

Note

Dieser Vorgang kann nicht rückgängig gemacht werden und Sie können Ihre Postfachdaten nichtwiederherstellen.

So entfernen Sie eine Organisation

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie in der Navigationsleiste die entsprechende

Region aus. Weitere Informationen finden Sie unter Regionen und Endpunkte im Allgemeine AmazonWeb Services-Referenz.

3. Markieren Sie auf der Seite Organizations in der Liste der Organisationen die Organisation, die Sieentfernen möchten, und wählen Sie Remove aus.

4. Geben Sie für Remove organization (Organisation entfernen) den Namen der Organisation ein undwählen Sie aus, ob das vorhandene Benutzerverzeichnis gelöscht oder beibehalten werden soll.

5. Wählen Sie Remove (Entfernen) aus.

Note

Wenn Sie kein eigenes Verzeichnis für Amazon WorkMail bereitgestellt haben, haben wir eines fürSie generiert. Wenn Sie dieses Verzeichnis beim Entfernen der Organisation behalten, fallen dafürKosten an, sofern es nicht von Amazon WorkMail, Amazon WorkDocs oder Amazon WorkSpacesverwendet wird. Informationen zu den Kosten finden Sie auf der Seite über Preise für andereVerzeichnistypen.Damit ein Verzeichnis gelöscht werden kann, dürfen keine anderen AWS-Anwendungen für diesesaktiviert sein. Weitere Informationen finden Sie unter Löschen eines Simple AD-Verzeichnissesoder Löschen eines AD-Connector-Verzeichnisses im AWS Directory Service AdministrationGuide.

Version 1.053

Amazon WorkMail Administrator-HandbuchBearbeiten der Mobilgeräte-Richtlinie Ihrer Organisation

Wenn bei dem Versuch, eine Organisation zu entfernen, in einer Fehlermeldung auf einen ungültigenAmazon SES-Regelsatz hingewiesen wird, bearbeiten Sie die Amazon SES-Regel in der Amazon SES-Konsole und entfernen Sie den ungültigen Regelsatz. Bei der von Ihnen bearbeiteten Regel sollte sichIhre Amazon WorkMail-Organisations-ID im Regelnamen befinden. Weitere Informationen zum Bearbeitenvon Amazon SES-Regelsätzen finden Sie unter Bearbeiten einer Empfangsregel im Amazon Simple EmailService-Entwicklerhandbuch.

Durch Speichern der Regel können Sie herausfinden, welcher Regelsatz ungültig ist. Bei dem ungültigenRegelsatz erscheint eine Fehlermeldung.

Bearbeiten der Mobilgeräte-Richtlinie IhrerOrganisation

Sie können die Richtlinien für Mobilgeräte in Ihrem Unternehmen bearbeiten, um die Art und Weise zuändern, wie Mobilgeräte mit Amazon WorkMail interagieren.

So bearbeiten Sie die Richtlinie für Mobilgeräte in Ihrem Unternehmen

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie in der Navigationsleiste die entsprechende

Region aus. Weitere Informationen finden Sie unter Regionen und Endpunkte im Allgemeine AmazonWeb Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organisationen) in der Spalte Alias (Alias) den Namen der zubearbeitenden Organisation aus.

4. Wählen Sie im Navigationsbereich Mobile Policies (Richtlinie für Mobilgeräte) und dann auf der Seite Default mobile policy (Standardrichtlinie für Mobilgeräte) die Option Edit (Bearbeiten) aus.

5. Aktualisieren Sie die folgenden Elemente, falls erforderlich:

a. Require encryption on device (Verschlüsseln auf Gerät erforderlich): Verschlüsseln von E-Mail-Daten auf dem Mobilgerät.

b. Require encryption on storage card (Verschlüsseln auf Speicherkarte erforderlich): Verschlüsselnvon E-Mail-Daten auf dem Wechseldatenträger des Mobilgeräts.

c. Password required (Passwort erforderlich): Passwort erforderlich, um ein mobiles Gerät zusperren.

d. Allow simple password (Einfaches Passwort erlauben): Verwenden der PIN als Passwort für dasGerät.

e. Minimal password length (Mindestlänge für Passwort): Legen Sie die Anzahl der Zeichen fest, diefür ein gültiges Passwort erforderlich sind.

f. Require alphanumeric password: (Alphanumerisches Passwort erforderlich:) Passwörter müssenaus Buchstaben und Zahlen bestehen.

g. Minimum number of character sets (Mindestanzahl der Zeichensätze): Geben Sie die Anzahlder Zeichensätze an, die in einem Passwort benötigt werden (z. B. Klein- und Großbuchstaben,Symbole und Zahlen).

h. Number of failed attempts allowed (Anzahl der zulässigen Fehlversuche): Geben Sie die Anzahlder fehlgeschlagenen Anmeldeversuche an, die erlaubt sind, bevor das Konto eines Benutzersgesperrt wird.

i. Password expiration (Passwortablauf): Geben Sie die Anzahl der Tage an, bevor ein Passwortabläuft und geändert werden muss.

j. Enable screen lock (Bildschirmsperre aktivieren): Geben Sie die Anzahl der Sekunden an, dieohne Benutzereingaben vergehen müssen, um den Bildschirm des Benutzers zu sperren.

Version 1.054

Amazon WorkMail Administrator-HandbuchE-Mail-Fluss verwalten

k. Enforce password history (Passwortverlauf erzwingen): Geben Sie die Anzahl der Passwörter an,die verwendet werden müssen, bevor dasselbe Passwort wiederholt werden kann.

6. Wählen Sie Save (Speichern) aus.

E-Mail-Fluss verwaltenSie können nun E-Mail-Flussregeln für den Umgang mit dem E-Mail-Verkehr basierend auf E-Mail-Adressen oder Domänen einrichten. E-Mail-Flussregeln für eingehenden E-Mail-Verkehr basieren auf derE-Mail-Adresse oder der Domäne des Absenders. E-Mail-Flussregeln für ausgehenden E-Mail-Verkehrbasieren sowohl auf den E-Mail-Adressen oder Domänen des Absenders als auch des Empfängers.

Um eine E-Mail-Flussregel zu erstellen, geben Sie eine Regelaktion (p. 55) an, die auf eine E-Mailanzuwenden ist, wenn einem angegebenen Muster (p. 57) entsprochen wird.

Themen• Regelaktionen für eingehende E-Mails (p. 55)• Regelaktionen für ausgehende E-Mails (p. 56)• Absender- und Empfängermuster (p. 57)• E-Mail-Flussregel erstellen (p. 58)• Konfigurieren von SMTP-Gateways (p. 58)• Konfigurieren von AWS Lambda für Amazon WorkMail (p. 59)• Abrufen von Nachrichteninhalten mit AWS Lambda (p. 61)• E-Mail-Flussregel testen (p. 63)• E-Mail-Flussregel ändern (p. 64)• E-Mail-Flussregel entfernen (p. 64)

Regelaktionen für eingehende E-MailsMit E-Mail-Flussregeln lässt sich verhindern, dass ungewünschte E-Mails die Postfächer Ihrer Benutzererreichen. Sie können diese Regeln mit einer AWS Lambda-Funktion für die Verarbeitung eingehender E-Mails verwenden, bevor sie an die Postfächer Ihrer Benutzer übermittelt werden. Weitere Informationen zurVerwendung von Lambda mit Amazon WorkMail finden Sie unter Konfigurieren von Lambda für AmazonWorkMail (p. 59). Weitere Informationen über Lambda finden Sie im AWS Lambda Developer Guide.

Im Gegensatz zu den E-Mail-Regeln für einzelne Postfächer gelten die E-Mail-Flussregeln für eingehendenE-Mail-Verkehr, auch als Regelaktionen bezeichnet, automatisch für alle E-Mails, die an Personeninnerhalb Ihrer Amazon WorkMail-Organisation gesendet werden.

Die folgenden Regelaktionen definieren, wie eingehende E-Mails gehandhabt werden. Für jede Regelgeben Sie Absendermuster (p. 57) zusammen mit einer der folgenden Aktionen an.

Action Beschreibung

E-Mail entfernen Die E-Mail wird ignoriert. Sie wird nichtzugestellt und der Absender wird nicht über dieNichtzustellung informiert.

Senden einer Unzustellbarkeitsantwort Die E-Mail wird nicht zugestellt und der Absenderwird in einer Mitteilung über die Unzustellbarkeitinformiert.

Version 1.055

Amazon WorkMail Administrator-HandbuchRegelaktionen für ausgehende E-Mails

Action Beschreibung

Deliver to junk folder Die E-Mail wird an die Spam- oder Junk-Ordner derBenutzer gesendet, auch wenn sie vom AmazonWorkMail-Spam-Erkennungssystem ursprünglichnicht als Spam identifiziert wurde.

Standard Die E-Mail wird zugestellt, nachdem sie vomAmazon WorkMail-Spam-Erkennungssystemüberprüft wurde. Spam-E-Mail wird an den Junk-Ordner übermittelt. Alle anderen E-Mails werden inden Posteingang gesendet.

Andere E-Mail-Flussregeln mit wenigerspezifischen Absendermustern werden ignoriert.Um Ausnahmen zu domänenbasierten Regeln fürden E-Mail-Verkehr hinzuzufügen, konfigurierenSie die Standardaktion mit einem spezifischerenAbsendermuster. Weitere Informationen finden Sieunter Absender- und Empfängermuster (p. 57).

Never deliver to junk folder Die E-Mail wird immer in die Posteingänge derBenutzer zugestellt, auch wenn sie vom AmazonWorkMail-Spam-Erkennungssystem als Spamidentifiziert wird.

Important

Da Sie kein Spam-Erkennungssystemverwenden, könnten Sie Ihre Benutzerriskanten Inhalten von den von Ihnenangegebenen Adressen aussetzen.

Führen Sie Folgendes aus:Lambda Übergibt die E-Mail an eine Lambda-Funktion zurVerarbeitung, bevor sie an die Posteingänge derBenutzer übermittelt wird.

Note

Eingehende E-Mails werden zuerst an Amazon SES und dann an Amazon WorkMail zugestellt.Wenn Amazon SES eine eingehende E-Mail blockiert, dann treffen keine Regelaktionen zu.Beispiel: Amazon SES blockiert eine E-Mail, wenn ein bekannter Virus erkannt wird oder aufgrundvon expliziten IP-Filterregeln. Die Angabe einer Regelaktion, wie z. B. Default (Standard), Deliverto junk folder (In Junk-Ordner verschieben) oder Never deliver to junk folder (Nie in Junk-Ordnerverschieben) hat in diesem Fall keine Auswirkungen.

Regelaktionen für ausgehende E-MailsE-Mail-Flussregeln für ausgehenden E-Mail-Verkehr können verwendet werden, um E-Mails über SMTP-Gateways weiterzuleiten oder um Absender am Versenden von E-Mails zu bestimmten Empfängernzu hindern. Weitere Informationen zu SMTP-Gateways finden Sie unter Konfigurieren von SMTP-Gateways (p. 58).

E-Mail-Flussregeln für ausgehenden E-Mail-Verkehr können dazu verwendet werden, die E-Mail nach demSenden zwecks Verarbeitung an eine AWS Lambda-Funktion weiterzuleiten. Weitere Informationen zurVerwendung von Lambda mit Amazon WorkMail finden Sie unter Konfigurieren von Lambda für AmazonWorkMail (p. 59). Weitere Informationen über Lambda finden Sie im AWS Lambda Developer Guide.

Version 1.056

Amazon WorkMail Administrator-HandbuchAbsender- und Empfängermuster

Die folgenden Regelaktionen definieren, wie ausgehende E-Mails gehandhabt werden. Für jede Regelgeben Sie Absender- und Empfängermuster (p. 57) zusammen mit einer der folgenden Aktionen an.

Action Beschreibung

Standard Die E-Mail wird über den normalen E-Mail-Verkehrgesendet.

E-Mail entfernen Die E-Mail wird gelöscht. Sie wird nicht gesendetund der Absender wird nicht benachrichtigt.

Senden einer Unzustellbarkeitsnachricht Die E-Mail wird nicht gesendet und dem Absenderwird mitgeteilt, dass der Administrator die E-Mailblockiert hat.

Route to SMTP gateway (An SMTP-Gatewayweiterleiten)

Die E-Mail wird über ein konfiguriertes SMTP-Gateway gesendet.

Führen Sie Lambda aus Übergibt die E-Mail nach dem Senden zwecksVerarbeitung an eine Lambda-Funktion. Dies hatkeine Auswirkungen auf den E-Mail-Versand.

Absender- und EmpfängermusterEine E-Mail-Flussregel kann für eine bestimmte E-Mail-Adresse oder für alle E-Mail-Adressen in einerbestimmten Domäne oder einem bestimmten Satz von Domänen gelten. Sie legen durch Definieren einesMusters fest, für welche E-Mail-Adressen eine Regel gilt.

Sowohl Absender- als auch Empfängermuster können eine der folgenden Formen haben:

• Eine E-Mail-Adresse entspricht einer einzelnen E-Mail-Adresse, zum Beispiel:

mailbox@example.com

• Ein Domänenname passt zu allen E-Mail-Adressen in dieser Domäne, zum Beispiel:

example.com

• Eine Platzhalter-Domäne passt zu allen E-Mail-Adressen in dieser Domäne und allen Subdomänen. EinPlatzhalter erscheint nur am Anfang einer Domäne, zum Beispiel:

*example.com

• Stern betrifft alle E-Mail-Adressen in jeder Domäne.

*

Für eine Regel können mehrere Muster angegeben werden. Weitere Informationen finden Sie unterRegelaktionen für eingehende E-Mails (p. 55) und Regelaktionen für ausgehende E-Mails (p. 56).

E-Mail-Flussregeln für eingehenden E-Mail-Verkehr werden angewendet, wenn entweder der Sender-oder der From-Header in einer eingehenden E-Mail mit einem Muster übereinstimmt. Falls vorhanden, wirddie Sender-Adresse zuerst abgeglichen. Die From-Adresse wird abgeglichen, wenn es keinen Sender-Header gibt oder wenn der Sender-Header keiner Regel entspricht.

Version 1.057

Amazon WorkMail Administrator-HandbuchE-Mail-Flussregel erstellen

E-Mail-Flussregeln für ausgehenden E-Mail-Verkehr werden angewendet, wenn der Empfängerund entweder der Sender- oder der From-Header in einer ausgehenden E-Mail mit einem Musterübereinstimmt. Wenn mehrere Empfänger für die E-Mail vorhanden sind, auf die verschiedene Regelnzutreffen, dann gilt jede Regel für die entsprechenden Empfänger.

Wenn mehrere Regeln zutreffen, wird die Aktion der spezifischsten Regel angewendet. So hatbeispielsweise eine Regel für eine bestimmte E-Mail-Adresse Priorität gegenüber einer Regel für einegesamte Domain. Wenn mehrere Regeln dasselbe Maß an Spezifität aufweisen, wird die Aktion, die diegrößte Einschränkung darstellt, ausgeführt. Beispiel: Eine Drop-Aktion hat Vorrang vor einer Bounce-Aktion. Die Rangfolge für Aktionen entspricht der Reihenfolge, in der sie in Regelaktionen für eingehendeE-Mails (p. 55) undRegelaktionen für ausgehende E-Mails (p. 56) aufgeführt werden.

Note

Seien Sie vorsichtig, wenn Sie Regeln mit überlappenden Absendermustern mit Drop- oderBounce-Aktionen erstellen. Eine unerwartete Rangfolge könnte dazu führen, dass vieleeingehende E-Mails nicht zugestellt werden.

E-Mail-Flussregel erstellenUm eine E-Mail-Flussregel zu erstellen, geben Sie eine Regelaktion (p. 55) an, die auf eine E-Mailangewendet werden soll, die einem angegebenen Muster (p. 57) entspricht. Wenn Sie eine neue Regelfür den E-Mail-Fluss erstellen, wird diese sofort angewendet.

So erstellen Sie eine neue E-Mail-Flussregel

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Wählen Sie im Navigationsbereich Organization settings (Organisationseinstellungen) und Inbound/

Outbound rules (Regeln für ein-/ausgehenden Datenverkehr) aus.3. Wählen Sie Create Rule (Regel erstellen) aus.4. Geben Sie einen Namen für Ihre Regel ein.5. Führen Sie einen der folgenden Schritte aus:

• Geben Sie für E-Mail-Flussregeln für eingehenden E-Mail-Verkehr ein oder mehrereAbsendermuster ein.

• Geben Sie für E-Mail-Flussregeln für ausgehenden E-Mail-Verkehr ein oder mehrereAbsendermuster und ein oder mehrere Empfängermuster ein.

6. Wählen Sie die Aktion aus, die auf die E-Mail angewendet werden soll.7. Wählen Sie Create Rule (Regel erstellen) aus.

Sie können die neu erstellte E-Mail-Flussregeln testen. Weitere Informationen finden Sie unter E-Mail-Flussregel testen (p. 63).

Konfigurieren von SMTP-GatewaysSie können SMTP-Gateways für die Verwendung mit E-Mail-Flussregeln für ausgehenden E-Mail-Verkehrkonfigurieren. Mit E-Mail-Flussregeln für ausgehenden E-Mail-Verkehr können Sie von Ihrer AmazonWorkMail-Organisation gesendete E-Mails über ein SMTP-Gateway weiterleiten. Weitere Informationenfinden Sie unter Regelaktionen für ausgehende E-Mails (p. 56).

Note

SMTP-Gateways, die für E-Mail-Flussregeln für ausgehenden E-Mail-Verkehr konfiguriertsind, müssen TLS v1.2 mit Zertifikaten von führenden Zertifizierungsstellen unterstützen. Nurgrundlegende Authentifizierung wird unterstützt.

Version 1.058

Amazon WorkMail Administrator-HandbuchKonfigurieren von Lambda für Amazon WorkMail

So konfigurieren Sie einen SMTP-Gateway

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Wählen Sie Organization settings (Organisationseinstellungen) und SMTP gateways (SMTP-

Gateways).3. Wählen Sie Create gateway (Gateway erstellen).4. Geben Sie einen Namen für das Gateway und die Server-Adresse und den Port ein.5. Geben Sie für Basic authentication (Standardauthentifizierung) den Benutzernamen und das Passwort

für die Authentifizierung bei dem Gateway ein.6. Wählen Sie Create gateway (Gateway erstellen).7. Das SMTP-Gateway ist für die Verwendung mit E-Mail-Flussregeln für ausgehenden E-Mail-Verkehr

verfügbar.

Wenn Sie ein SMTP-Gateway zur Verwendung in einer E-Mail-Flussregelnl für ausgehenden E-Mail-Verkehr konfigurieren, werden alle ausgehenden E-Mails, die der Regel mit der SMTP-Gateway-Aktionentsprechen, an das entsprechende SMTP-Gateway weitergeleitet. Die SMTP-Gateway übernimmt denRest der E-Mail-Zustellung.

Wenn Amazon WorkMail das SMTP-Gateway nicht erreichen kann, wird die E-Mail als unzustellbar an denAbsender zurückgesandt. Korrigieren Sie in diesem Fall die SMTP-Gateway-Einstellungen in der AmazonWorkMail-Konsole durch Wahl von Organization settings (Organisationseinstellungen) und SMTP gateways(SMTP-Gateways).

Konfigurieren von AWS Lambda für Amazon WorkMailVerwenden Sie die Run Lambda (Lambda ausführen)-Regeln für ein- und ausgehenden E-Mail-Verkehr,wenn E-Mails, die den Regeln entsprechen, zur Verarbeitung an eine Lambda-Funktion übergeben werdensollen.

Wenn Sie die Run Lambda (Lambda-Regel ausführen)-Regel für eingehende E-Mails verwenden, werdeneingehende E-Mails, die der Regel entsprechen, zur Verarbeitung an eine Lambda-Funktion übergeben,bevor die E-Mails an die Postfächer der Benutzer übermittelt werden.

Wenn Sie die Run Lambda (Lambda ausführen)-Regel für ausgehende E-Mails verwenden, werdenausgehende E-Mails, die der Regel entsprechen, zur Verarbeitung an eine Lambda-Funktion übergeben,während die E-Mails gleichzeitig gesendet werden.

Die Lambda-Funktion hat keine Auswirkungen auf das Senden oder Empfangen der E-Mail. WeitereInformationen über E-Mail-Flussregeln für ein- und ausgehenden E-Mail-Verkehr finden Sie unter E-Mail-Fluss verwalten (p. 55). Weitere Informationen über Lambda finden Sie im AWS Lambda DeveloperGuide.

Note

Derzeit verweisen Lambda-E-Mail-Flussregeln nur auf Lambdas in derselben AWS-Region und indemselben AWS-Konto wie die Amazon WorkMail-Organisation, die derzeit konfiguriert wird.

Erste Schritte mit Lambda für Amazon WorkMailUm mit der Verwendung von Lambda mit Amazon WorkMail zu beginnen, stellen Sie die Lambda-Beispielfunktion von AWS Serverless Application Repository für Ihr Konto bereit. Berechtigungen für dieLambda-Beispielfunktion sind bereits für Sie konfiguriert.

Wenn Sie eine eigene Lambda-Funktion für die Verwendung mit Amazon WorkMail erstellen möchten,müssen Sie Berechtigungen mithilfe der AWS Command Line Interface (AWS CLI) konfigurieren. ErsetzenSie im folgenden Beispielbefehl MY_FUNCTION_NAME durch den Namen Ihrer Lambda-Funktion und

Version 1.059

Amazon WorkMail Administrator-HandbuchKonfigurieren von Lambda für Amazon WorkMail

REGION durch Ihre Amazon WorkMail-Region. Verfügbare Amazon WorkMail-Regionen sind us-east-1,us-west-2 und eu-west-1.

aws --region REGION lambda add-permission --function-name MY_FUNCTION_NAME --statement-id AllowWorkMail --action "lambda:InvokeFunction" --principal workmail.REGION.amazonaws.com

Weitere Informationen zur Verwendung der AWS CLI finden Sie unter Benutzerhandbuch für AWSCommand Line Interface.

Lambda-EreignisdatenDie Lambda-Funktion wird durch die folgenden Ereignisdaten ausgelöst. Die Darstellung der Daten hängtdavon ab, welche Programmiersprache für die Lambda-Funktion verwendet wird.

{ "summaryVersion": "2018-10-10", "envelope": { "mailFrom" : { "address" : "from@example.com" }, "recipients" : [ { "address" : "recipient1@example.com" }, { "address" : "recipient2@example.com" } ] }, "sender" : { "address" : "sender@example.com" }, "subject" : "Hello From Amazon WorkMail!", "messageId": "00000000-0000-0000-0000-000000000000", "truncated": false}

Das Ereignis-JSON enthält die folgenden Daten.

envelope

Der Umschlag der E-Mail-Nachricht, der die folgenden Felder enthält:mailFrom

Die Adresse für From (Von). Dies ist in der Regel die E-Mail-Adresse des Benutzers, der dieNachricht gesendet hat. Wenn der Benutzer die Nachricht als ein anderer Benutzer oder imAuftrag eines anderen Benutzers gesendet hat, gibt das Feld mailFrom die E-Mail-Adresse desBenutzers zurück, in dessen Auftrag die E-Mail gesendet wurde, und nicht die E-Mail-Adresse destatsächlichen Absenders.

recipients

Eine Liste der Empfänger-E-Mail-Adressen. Es wird zwischen To (An), CC oder BCCunterschieden.

Note

Für E-Mail-Flussregeln für eingehende E-Mails enthält diese Liste Empfänger für jedeDomäne, die Teil der Amazon WorkMail-Organisation ist, in der die Regel erstellt wurde.Die Lambda-Funktion wird für jede SMTP-Konversation vom Sender separat aufgerufen.Der Inhalt des Empfänger-Feldes stimmt mit den Empfängern von dieser SMTP-Konversation überein. Empfänger mit externen Domänen werden nicht eingeschlossen.

Version 1.060

Amazon WorkMail Administrator-HandbuchAbrufen von Nachrichteninhalten

sender

Die E-Mail-Adresse des Benutzers, der die E-Mail-Nachricht im Namen eines anderen Benutzersgesendet hat. Dieses Feld wird nur eingestellt, wenn eine E-Mail im Namen eines anderen Benutzersgesendet wird.

subject

Die E-Mail-Betreffzeile. Wird abgeschnitten, wenn die Beschränkung auf 256 Zeichen überschrittenwird.

messageId

Eine eindeutige ID für den Zugriff auf den vollständigen Inhalt der E-Mail-Nachricht bei Verwendungdes Amazon WorkMail Message Flow SDK.

truncated

Gilt für die Nutzlastgröße und nicht für die Länge der Betreffzeile. Bei dem Wert true überschreitetdie Nutzlast das 128-KB-Limit, sodass die Liste von Empfängern abgeschnitten wird, um dem Limit zuentsprechen.

Weitere Informationen zur Verwendung von Lambda mit AmazonWorkMailSie können auch auf den vollständigen Inhalt der E-Mail-Nachricht zugreifen, die Lambda auslöst. WeitereInformationen finden Sie unter Abrufen von Nachrichteninhalten mit AWS Lambda (p. 61).

Abrufen von Nachrichteninhalten mit AWS LambdaNachdem Sie eine AWS Lambda-Funktion für die Verwaltung von E-Mail-Flüssen für Amazon WorkMailkonfiguriert haben, können Sie auf den vollständigen Inhalt der mit Lambda verarbeiteten E-Mail-Nachrichten zugreifen. Weitere Informationen zu den ersten Schritten mit Lambda für Amazon WorkMailfinden Sie unter Konfigurieren von AWS Lambda für Amazon WorkMail (p. 59).

Um auf den vollständigen Inhalt von E-Mail-Nachrichten zuzugreifen, verwenden Sie die AktionGetRawMessageContent in der Amazon WorkMail Message Flow-API. Die ID der E-Mail-Nachricht, diebeim Aufruf an Ihre Lambda-Funktion übergeben wird, sendet eine Anforderung an die API. Anschließendantwortet die API mit dem vollständigen MIME-Inhalt der E-Mail-Nachricht. Weitere Informationen findenSie unter Amazon WorkMail Message Flow in der Amazon WorkMail-API-Referenz.

Das folgende Beispiel zeigt, wie eine Lambda-Funktion, die die Python-Laufzeitumgebung verwendet, denvollständigen Nachrichteninhalt abrufen kann.

import boto3import email

def email_handler(event, context): workmail = boto3.client('workmailmessageflow', region_name=os.environ["AWS_REGION"]) msg_id = event['message_id'] raw_msg = workmail.get_raw_message_content(msg_id)

parsed_msg = email.message_from_bytes(raw_msg['messageContent'].read()) print(parsed_msg)

Detailliertere Beispiele für die Analyse des Inhalts von Nachrichten, die übertragen werden, finden Sie imRepository amazon-workmail-lambda-templates auf GitHub.

Version 1.061

Amazon WorkMail Administrator-HandbuchAbrufen von Nachrichteninhalten

Note

Die Amazon WorkMail Message Flow-API kann nur für den Zugriff auf E-Mail-Nachrichtenverwendet werden, die übertragen werden. Der Zugriff auf die Nachrichten ist nur innerhalb von24 Stunden nach dem Senden oder Empfangen möglich. Um programmgesteuert auf Nachrichtenzuzugreifen, die bereits an das Postfach eines Benutzers übermittelt wurden, verwenden Sie einesder anderen von Amazon WorkMail unterstützten Protokolle, z. B. IMAP oder Exchange WebServices (EWS).

Verwalten des Zugriffs auf die Amazon WorkMail Message Flow-APISie verwenden AWS Identity and Access Management (IAM)-Richtlinien, um den Zugriff auf die AmazonWorkMail Message Flow-API zu verwalten.

Die Amazon WorkMail Message Flow-API funktioniert nur für einen einzigen Ressourcentyp: E-Mail-Nachrichten während der Übertragung. Jeder E-Mail-Nachricht, die übertragen wird, ist ein eindeutigerAmazon-Ressourcenname (ARN) zugeordnet.

Das folgende Beispiel zeigt die Syntax eines ARN, der einer E-Mail-Nachricht während der Übertragungzugeordnet ist.

arn:aws:workmailmessageflow:region:account:message/organization/context/messageID

Zu den Feldern im vorherigen Beispiel, die geändert werden können, gehören die folgenden:

• Region – Die AWS-Region für Ihre Amazon WorkMail-Organisation.• Konto – Die ID des AWS-Kontos Ihrer Amazon WorkMail-Organisation.• Organisation – Die ID Ihrer Amazon WorkMail-Organisation.• Kontext – Gibt an, ob die Nachricht incoming oder outgoing in Bezug auf Ihre Organisation ist.• Nachrichten-ID – Die eindeutige ID der E-Mail-Nachricht, die als Eingabe an Ihre Lambda-Funktion

übergeben wird.

Das folgende Beispiel enthält Beispiel-IDs für einen ARN, der einer eingehenden E-Mail-Nachricht währendder Übertragung zugeordnet ist.

arn:aws:workmailmessageflow:us-east-1:111122223333:message/m-n1pq2345678r901st2u3vx45x6789yza/incoming/d1234567-8e90-1f23-456g-hjk7lmnop8q9

Sie können diese ARNs als Ressourcen im Abschnitt Resource Ihrer IAM-Benutzerrichtlinien verwenden,um den Zugriff auf Amazon WorkMail-Nachrichten während der Übertragung zu verwalten. WeitereInformationen zum Erteilen von IAM-Benutzerberechtigungen für Amazon WorkMail finden Sie unterErstellen von AWS Identity and Access Management-Benutzern und -Gruppen (p. 5).

IAM-Beispielrichtlinien für den Zugriff auf Amazon WorkMailMessage FlowDie folgende Beispielrichtlinie gewährt einer IAM-Entität vollständigen Lesezugriff auf alle ein- undausgehenden Nachrichten für jede Amazon WorkMail-Organisation in Ihrem AWS-Konto.

{ "Version": "2012-10-17",

Version 1.062

Amazon WorkMail Administrator-HandbuchE-Mail-Flussregel testen

"Statement": [ { "Action": [ "workmailmessageflow:GetRawMessageContent" ], "Resource": "arn:aws:workmailmessageflow:region:account:message/*", "Effect": "Allow" } ]}

Wenn es mehrere Organisationen in Ihrem AWS-Konto gibt, können Sie auch den Zugriff auf eine odermehrere Organisationen einschränken. Dies ist nützlich, wenn bestimmte Lambdas nur für bestimmteOrganisationen verwendet werden sollen.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workmailmessageflow:GetRawMessageContent" ], "Resource": "arn:aws:workmailmessageflow:region:account:message/organization/*", "Effect": "Allow" } ]}

Sie können den Zugriff auf Nachrichten auch abhängig davon gewähren, ob sie incoming oder outgoingin Bezug auf Ihre Organisation sind. Hierzu verwenden Sie die Qualifizierer incoming oder outgoing imARN.

Die folgende Beispielrichtlinie gewährt Zugriff nur auf Nachrichten, die bei Ihrer Organisation eingehen.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "workmailmessageflow:GetRawMessageContent" ], "Resource": "arn:aws:workmailmessageflow:region:account:message/organization/incoming/*", "Effect": "Allow" } ]}

E-Mail-Flussregel testenUm Ihre aktuelle Regelkonfiguration zu überprüfen, können Sie testen, wie sich die Konfigurationgegenüber bestimmten E-Mail-Adressen verhält.

So testen Sie eine E-Mail-Flussregel

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Wählen Sie im Navigationsbereich Organization settings (Organisationseinstellungen) und Inbound/

Outbound rules (Regeln für ein-/ausgehenden Datenverkehr) aus.

Version 1.063

Amazon WorkMail Administrator-HandbuchE-Mail-Flussregel ändern

3. Führen Sie einen der folgenden Schritte aus:

• Geben Sie für E-Mail-Flussregeln für eingehenden E-Mail-Verkehr neben Test configuration(Konfiguration testen) die vollständige E-Mail-Adresse des Absenders ein, die getestet werden soll.

• Geben Sie für E-Mail-Flussregeln für ausgehenden E-Mail-Verkehr neben Test configuration(Konfiguration testen) die vollständige E-Mail-Adresse sowohl des Absenders als auch desEmpfängers ein, die getestet werden soll.

4. Wählen Sie Test aus. Die Aktion, die für die angegebene E-Mail-Adresse durchgeführt wird, wirdangezeigt.

E-Mail-Flussregel ändernSie können die Regelaktion (p. 55) oder das Muster (p. 57) für eine E-Mail-Flussregel ändern. WennSie eine E-Mail-Flussregel ändern, werden die Änderungen sofort übernommen.

So ändern Sie eine E-Mail-Flussregel

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Wählen Sie im Navigationsbereich Organization settings (Organisationseinstellungen) und Inbound/

Outbound rules (Regeln für ein-/ausgehenden Datenverkehr) aus.3. Wählen Sie die Regel und dann Edit aus.4. Ändern Sie die Muster oder die Aktion nach Bedarf.5. Wählen Sie Save (Speichern) aus.

Sie können die neu erstellte E-Mail-Flussregeln testen. Weitere Informationen finden Sie unter E-Mail-Flussregel testen (p. 63).

E-Mail-Flussregel entfernenWenn Sie eine E-Mail-Flussregel entfernen, werden die Änderungen sofort übernommen.

So entfernen Sie eine E-Mail-Flussregel

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Wählen Sie im Navigationsbereich Organization settings (Organisationseinstellungen) und Inbound/

Outbound rules (Regeln für ein-/ausgehenden Datenverkehr) aus.3. Wählen Sie die Regel und dann Remove aus.4. Wählen Sie an der Bestätigungsaufforderung Remove (Entfernen) aus.

Nachverfolgen von NachrichtenAktivieren Sie die E-Mail-Ereignisprotokollierung in der Amazon WorkMail-Konsole, um E-Mail-Nachrichtenfür Ihre Organisation nachzuverfolgen. Die E-Mail-Ereignisprotokollierung verwendet eine serviceverknüpfteAWS Identity and Access Management-Rolle zum Erteilen von Berechtigungen zur Veröffentlichung der E-Mail-Ereignisprotokolle an Amazon CloudWatch. Bei den Ereignisprotokollen können Sie die CloudWatch-Such-Tools nutzen, um Nachrichten nachzuverfolgen und E-Mail-Probleme zu beheben.

Weitere Informationen zur Verwendung von serviceverknüpften IAM-Rollen für die Amazon WorkMailEreignisprotokollierung finden Sie unter Verwenden von serviceverknüpften Rollen für AmazonWorkMail (p. 20). Weitere Informationen zur Verwendung von CloudWatch für die Überwachung vonAmazon WorkMail finden Sie unter Protokollieren und Überwachen in Amazon WorkMail (p. 22).

Version 1.064

Amazon WorkMail Administrator-HandbuchAktivieren der E-Mail-Ereignisprotokollierung

Aktivieren der E-Mail-EreignisprotokollierungWenn Sie die E-Mail-Ereignisprotokollierung mit den Standardeinstellungen aktivieren, führt AmazonWorkMail Folgendes durch:

• Service-verknüpfte AWS Identity and Access Management-Rolle – AmazonWorkMailEvents erstellen• CloudWatch-Protokollgruppe – /aws/workmail/emailevents/organization-alias erstellen• Aufbewahrungsdauer für CloudWatch-Protokolle auf 30 Tage festlegen

So aktivieren Sie die E-Mail-Ereignisprotokollierung

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Wählen Sie für Organizations (Organisationen) den Alias Ihrer Amazon WorkMail-Organisation aus.3. Wählen Sie im Navigationsbereich Organization settings (Organisationseinstellungen), Monitoring

(Überwachung) aus.4. Wählen Sie für Log settings (Protokolleinstellungen) Edit (Bearbeiten) aus.5. Wählen Sie für Log Events (Protokollereignisse) Enable mail events (E-Mail-Ereignisse aktivieren) aus.6. Führen Sie eine der folgenden Aufgaben aus:

a. (Empfohlen) Wählen Sie Use default settings (Standardeinstellungen verwenden) aus.b. (Optional) Deaktivieren Sie das Kontrollkästchen Use default settings (Standardeinstellungen

verwenden) und wählen Sie eine Destination Log Group (Ziel-Protokollgruppe) und eine IAM Role(IAM-Rolle) aus.

Note

Wählen Sie diese Option nur, wenn Sie bereits eine Protokollgruppe und einebenutzerdefinierte IAM-Rolle mit AWS CLI erstellt haben. Weitere Informationen findenSie unter Erstellen einer benutzerdefinierten Protokollgruppe und einer IAM-Rolle für dieE-Mail-Ereignisprotokollierung (p. 65).

7. Wählen Sie I authorize Amazon WorkMail to publish logs in my account using this configuration(Ich autorisiere Amazon WorkMail dazu, Protokolle in meinem Konto mit dieser Konfiguration zuveröffentlichen) aus.

8. Wählen Sie Save aus.

Erstellen einer benutzerdefinierten Protokollgruppeund einer IAM-Rolle für die E-Mail-EreignisprotokollierungWir empfehlen die Verwendung der Standardeinstellungen beim Aktivieren der E-Mail-Ereignisprotokollierung für Amazon WorkMail. Wenn Sie eine benutzerdefinierteÜberwachungskonfiguration benötigen, können Sie die AWS CLI zum Erstellen einer dediziertenProtokollgruppe und einer benutzerdefinierten IAM-Rolle für die E-Mail-Ereignisprotokollierung verwenden.

So erstellen Sie eine benutzerdefinierte Protokollgruppe und eine IAM-Rolle für die E-Mail-Ereignisprotokollierung

1. Erstellen Sie mit der AWS CLI eine Protokollgruppe in der AWS-Region mit der Amazon WorkMail-Organisation. Weitere Informationen finden Sie unter create-log-group in AWS CLI CommandReference.

Version 1.065

Amazon WorkMail Administrator-HandbuchErstellen einer benutzerdefinierten Protokollgruppe undeiner IAM-Rolle für die E-Mail-Ereignisprotokollierung

aws –-region us-east-1 logs create-log-group --log-group-name workmail-monitoring

2. Erstellen Sie eine Datei mit der folgenden Richtlinie:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "events.workmail.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

3. Erstellen Sie mit der AWS CLI eine IAM-Rolle und fügen Sie diese Datei als Rollenrichtliniendokumentan. Weitere Informationen finden Sie unter create-role in AWS CLI Command Reference.

aws iam create-role --role-name workmail-monitoring-role --assume-role-policy-document file://trustpolicyforworkmail.json

Note

Wenn Sie Benutzer einer verwalteten WorkMailFullAccess-Richtlinie sind, müssen Sieden Begriff workmail in den Rollennamen einfügen. Diese verwaltete Richtlinie erlaubtIhnen nur das Konfigurieren der E-Mail-Ereignisprotokollierung zur Verwendung von Rollen,die workmail im Namen enthalten. Weitere Informationen finden Sie unter Gewähren vonBerechtigungen, mit denen ein Benutzer eine Rolle an einen AWS-Service übergeben kannim IAM-Benutzerhandbuch.

4. Erstellen Sie eine Datei mit der Richtlinie für die IAM-Rolle, die Sie im vorherigen Schritt erstellt haben.Die Richtlinie muss der Rolle mindestens die Berechtigungen zum Erstellen von Protokoll-Streams undzum Platzieren von Protokollereignissen in der in Schritt 1 erstellten Protokollgruppe gewähren.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:us-east-1:111122223333:log-group:workmail-monitoring*" } ]}

5. Fügen Sie mit der AWS CLI die Richtliniendatei an die IAM-Rolle an. Weitere Informationen finden Sieunter put-role-policy in AWS CLI Command Reference.

Version 1.066

Amazon WorkMail Administrator-HandbuchAusschalten der E-Mail-Ereignisprotokollierung

aws iam put-role-policy --role-name workmail-monitoring-role --policy-name workmail-permissions --policy-document file://rolepolicy.json

Befolgen Sie die Schritte im vorherigen Thema, um die E-Mail-Ereignisprotokollierung mit der neuerstellten Protokollgruppe und der neu erstellten Rolle zu aktivieren. Weitere Informationen finden Sie unterAktivieren der E-Mail-Ereignisprotokollierung (p. 65).

Ausschalten der E-Mail-EreignisprotokollierungSchalten Sie die E-Mail-Ereignisprotokollierung von der Amazon WorkMail Konsole aus. Wenn Siedie E-Mail-Ereignisprotokollierung nicht mehr benötigen, sollten Sie die entsprechende CloudWatch-Protokollgruppe sowie die serviceverknüpfte Rolle ebenfalls löschen. Weitere Informationen finden Sieunter Löschen einer serviceverknüpften Rolle für Amazon WorkMail (p. 21).

So deaktivieren Sie E-Mail-Ereignisprotokollierung

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Wählen Sie für Organizations (Organisationen) den Alias Ihrer Amazon WorkMail-Organisation aus.3. Wählen Sie im Navigationsbereich Organization settings (Organisationseinstellungen), Monitoring

(Überwachung) aus.4. Wählen Sie für Log settings (Protokolleinstellungen) Edit (Bearbeiten) aus.5. Deaktivieren Sie das Kontrollkästchen für Enable mail events (E-Mail-Ereignisse aktivieren).6. Wählen Sie Save aus.

Durchsetzen von DMARC-Richtlinien füreingehende E-Mails

E-Mail-Domänen verwenden DNS-Einträge aus Sicherheitsgründen. Sie schützen Ihre Benutzer vorhäufigen Angriffen wie Spoofing oder Phishing. DNS-Einträge für Domänen enthalten häufig DMARC TXT-Einträge, die vom Domäneneigentümer festgelegt werden, der die E-Mail sendet. DMARC TXT-Datensätzeenthalten Richtlinien, die Aktionen angeben, die ausgeführt werden sollen, wenn eine E-Mail eine DMARC-Prüfung nicht besteht. Sie können wählen, ob die DMARC-Richtlinie für E-Mails durchgesetzt werden soll,die an Ihre Organisation gesendet werden.

Bei neuen Amazon WorkMail-Organisationen ist die DMARC-Durchsetzung standardmäßig aktiviert.

Aktivieren der DMARC-Erzwingung

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Wählen Sie für Organizations (Organisationen) den Alias Ihrer Amazon WorkMail-Organisation aus.3. Klicken Sie im Navigationsbereich auf Organization settings (Organisationseinstellungen).4. Wählen Sie Advanced (Erweitert) aus.5. Wählen Sie für Inbound DMARC Settings (Eingehende DMARC-Einstellungen) die Option Edit

(Bearbeiten).6. Wählen Sie für DMARC enforcement (DMARC-Durchsetzung) die Option On (Ein).7. Aktivieren Sie das Bestätigungsfeld.8. Wählen Sie Save aus.

Version 1.067

Amazon WorkMail Administrator-HandbuchVerwenden der E-Mail-Ereignisprotokollierungzum Nachverfolgen der DMARC-Durchsetzung

Deaktivieren der DMARC-Durchsetzung

• Führen Sie die Schritte 1-8 im vorherigen Abschnitt durch, wählen Sie allerdings in Schritt 6 Off (Aus)anstelle von On (Ein).

Verwenden der E-Mail-Ereignisprotokollierung zumNachverfolgen der DMARC-DurchsetzungDas Aktivieren der DMARC-Durchsetzung kann dazu führen, dass eingehende E-Mails gelöscht oder alsSpam markiert werden, je nachdem, wie der Absender seine Domain konfiguriert hat. Wenn ein Absenderseine E-Mail-Domain falsch konfiguriert, erhalten Ihre Benutzer ordnungsgemäße E-Mails möglicherweisenicht mehr. Um nach E-Mails zu suchen, die Ihren Benutzern nicht zugestellt werden, können Sie die E-Mail-Ereignisprotokollierung für Ihre Amazon WorkMail-Organisation aktivieren. Anschließend könnenSie Ihre E-Mail-Ereignisprotokolle nach eingehenden E-Mails abfragen, die basierend auf den DMARC-Richtlinien des Absenders herausgefiltert werden.

Bevor Sie die E-Mail-Ereignisprotokollierung zum Nachverfolgen der DMARC-Erzwingung verwenden,aktivieren Sie die E-Mail-Ereignisprotokollierung in der Amazon WorkMail-Konsole. Um Ihre Protokolldatenoptimal zu nutzen, warten Sie, bis einige E-Mail-Ereignisse protokolliert wurden. Weitere Informationen undAnweisungen finden Sie unter the section called “Aktivieren der E-Mail-Ereignisprotokollierung” (p. 65).

Verwenden der E-Mail-Ereignisprotokollierung zur Nachverfolgung der DMARC-Durchsetzung

1. Wählen Sie in der CloudWatch Insights-Konsole unter Logs (Protokolle) die Option Insightsaus.2. Wählen Sie für Select log group(s) (Protokollgruppe(n) auswählen) die Protokollgruppe Ihrer Amazon

WorkMail-Organisation. Beispiel: /aws/workmail/events/organization-alias.3. Wählen Sie einen abzufragenden Zeitraum aus.4. Führen Sie die folgende Abfrage aus: stats count() by event.dmarcPolicy | filter event.dmarcVerdict ==

"FAIL"5. Klicken Sie auf Abfrage ausführen.

Sie können auch benutzerdefinierte Metriken für diese Ereignisse einrichten. Weitere Informationen findenSie unter Erstellen von Metrikfiltern.

Version 1.068

Amazon WorkMail Administrator-HandbuchHinzufügen einer Domäne

Arbeiten mit DomänenSie können E-Mail-Domänen hinzufügen, entfernen oder als Standard festlegen.

Themen• Hinzufügen einer Domäne (p. 69)• Entfernen einer Domäne (p. 71)• Auswählen der Standarddomäne (p. 72)• Verifizieren von Domänen (p. 72)• Aktivieren von AutoDiscover zur Konfiguration von Endpunkten (p. 76)• Bearbeiten von Domänenidentitätsrichtlinien (p. 79)• Authentifizierung Ihrer E-Mails mit SPF (p. 80)

Hinzufügen einer DomäneSie können Ihrer Organisation bis zu 100 Domänen zum Senden von E-Mails hinzufügen. Wenn Sieeine neue Domäne hinzufügen, wird automatisch eine Amazon SES-Sendeautorisierungsrichtlinie zurDomänenidentitätsrichtlinie hinzugefügt. Dies gewährt Amazon WorkMail den Zugriff auf alle Amazon SES-Sendeaktionen für Ihre Domäne und ermöglicht Ihnen, E-Mails an Ihre Domäne sowie externe Domänenumzuleiten.

Note

Als bewährte Methode sollten Sie Aliasse für postmaster@ und abuse@ hinzufügen. Sie könnenVerteilergruppen für diese Aliasse anlegen, wenn Sie möchten, dass bestimmte Benutzer in IhrerOrganisation E-Mails erhalten, die an diese Aliasse gesendet werden.

So fügen Sie eine Domäne hinzu

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon WorkMail-Konsoleunter https://console.aws.amazon.com/workmail/.

2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, dieIhren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations in der Spalte Alias den Namen der Organisation aus, zu derSie eine Domäne hinzufügen möchten.

4. Klicken Sie im Navigationsbereich auf Domains und Add domain.5. Geben Sie auf der Seite Add domain (Domäne hinzufügen) den Domänennamen ein, den Sie

hinzufügen möchten. Domänennamen können ASCII-Zeichen (Basic Latin) enthalten.

• (Optional) Wenn Ihre Domäne in einer öffentlichen, von Amazon Route 53 gehosteten Zoneverwaltet wird, können Sie sie aus dem eingeblendeten Dropdown-Menü auswählen.

6. Wählen Sie Add domain (Domäne hinzufügen).

• (Optional) Wenn Sie eine Domäne hinzufügen, für die Sie Route 53 als DNS-Service verwenden unddie gehostete Zone enthält keine Datensätze für Amazon WorkMail (z. B. MX-Datensätze) enthält,werden Sie auf die Seite Automatic Configuration (Automatische Konfiguration) weitergeleitet.Wählen Sie Configure automatisch (Automatisch konfigurieren) und befolgen Sie die Anweisungen,

Version 1.069

Amazon WorkMail Administrator-HandbuchHinzufügen einer Domäne

damit Amazon WorkMail die DNS-Datensätze automatisch für Sie einfügt. Überspringen Sie denRest dieses Verfahrens.

7. Der Abschnitt Step 1: Verify domain ownership (Schritt 1: Überprüfen des Domäneneigentümers) in derKonsole verifiziert Ihre Eigentümerschaft der Domäne.

Nachdem alle Ihre Benutzer und Verteilergruppen erstellt und die Postfächer erfolgreich migriertwurden, können Sie den MX-Datensatz so einstellen, dass E-Mails an Amazon WorkMail weitergeleitetwerden. Aktualisierungen von DNS-Datensätzen können bis zu 48 Stunden in Anspruch nehmen.Informationen zum Erstellen von DNS-Datensätzen finden Sie unter Schritt 8.

8. In den Konsolen-Abschnitten Step 2: Finalize domain setup (Schritt 2: Abschließen desDomänensetups) und Step 3: Increase security (recommended) (Schritt 3: Erhöhen der Sicherheit(empfohlen)) werden die folgenden Datensätze aufgeführt:

• Der MX-Datensatz, um eingehende E-Mails an Amazon WorkMail zu senden.• Der CNAME-Autodiscover-Eintrag, mit dem Benutzer, die nur ihre E-Mail-Adresse und ihr Passwort

kennen, auf einfache Weise Microsoft Outlook oder Mobilgeräte konfigurieren können.• Die CNAME-Einträge für die DKIM-Signierung. Weitere Informationen zur DKIM-Signierung

finden Sie unter Authentifizierung von E-Mails mit DKIM im Amazon Simple Email Service-Entwicklerhandbuch.

• Der TXT-Datensatz für SPF-Verifizierung. Weitere Informationen zur SPF-Verifizierung finden Sieunter Authentifizierung Ihrer E-Mails mit SPF (p. 80).

• Der TXT-Datensatz für DMARC. Weitere Informationen zu DMARC-Datensätzen in AmazonWorkMail finden Sie unter Einhaltung von DMARC mit Amazon SES im Amazon Simple EmailService-Entwicklerhandbuch.

Important

Einige DNS-Anbieter hängen den Domänennamen automatisch an das Ende von DNS-Datensätzen an. Wenn Sie einen Datensatz hinzufügen, der bereits den Domänennamenenthält (beispielsweise _amazonses.example.com), kann das zu einer Duplizierung desDomänennamens führen (beispielsweise _amazonses.example.com.example.com).Fügen Sie im DNS-Datensatz einen Punkt an das Ende des Domänennamens an, um eineDuplizierung des Domänennamens im DNS-Datensatz zu vermeiden. Dadurch weiß Ihr DNS-Anbieter, dass der Datensatzname vollqualifiziert ist. Dies bedeutet, dass er sich nicht mehrauf den Domänennamen bezieht.. Darüber hinaus wird verhindert, dass der DNS-Anbietereinen zusätzlichen Domänennamen anfügt.

Sie können diese Datensätze für die Verwendung mit Ihrem DNS-Service kopieren. Die kopiertenDatensatznamen enthalten den Domänennamen. Je nachdem, welchen DNS-Service-Anbieter Sieverwenden, wurde der Domänenname dem DNS-Datensatz der Domäne möglicherweise bereitshinzugefügt.

Die Datensätze auf der Domänenseite enthalten außerdem den Verifizierungsstatus. Nachdem Sieeinen Datensatz erstellt haben, klicken Sie auf das Aktualisierungssymbol, um den Verifizierungsstatusund den Eintragswert anzuzeigen. Weitere Informationen zum Verifizieren von Domänen finden Sieunter Verifizieren von Domänen (p. 72).

Die folgende Tabelle zeigt den verfügbaren Verifizierungsstatus für jeden Datensatztyp.

  Bestätigt Ausstehend Fehlend Fehlgeschlagen Inkonsistent

Eigentümerschaftdes TXT-Datensatzes

Datensatzaufgelöst undbestätigt.

Datensatznoch nichtverifiziert.

Nichtzutreffend

Eigentümerschaftkann nichtüberprüftwerden.

Nichtzutreffend

Version 1.070

Amazon WorkMail Administrator-HandbuchEntfernen einer Domäne

  Bestätigt Ausstehend Fehlend Fehlgeschlagen InkonsistentDatensatznichtübereinstimmendoder nichterreichbar.

MX Datensatzaufgelöst undbestätigt.

Nichtzutreffend

Datensatzkonnte nichtaufgelöstwerden.

Nichtzutreffend

Der Wertentsprichtnicht demerwartetenDatensatz.

AutoDiscover Datensatzaufgelöst undbestätigt.

Nichtzutreffend

Datensatzkonnte nichtaufgelöstwerden.

Nichtzutreffend

Der Wertentsprichtnicht demerwartetenDatensatz.

DKIM-CNAME-Datensätze

Datensatzaufgelöst undbestätigt.

Datensatznoch nichtverifiziert.

Nichtzutreffend

Eigentümerschaftkann nichtüberprüftwerden.Datensatznichtübereinstimmendoder nichterreichbar.

Nichtzutreffend

SPF-TXT-Datensatz

Datensatzaufgelöst undbestätigt.

Nichtzutreffend

Datensatzkonnte nichtaufgelöstwerden.

Nichtzutreffend

Der Wertentsprichtnicht demerwartetenDatensatz.

DMARC-TXT-Datensatz

Datensatzaufgelöst undbestätigt.

Nichtzutreffend

Datensatzkonnte nichtaufgelöstwerden.

Nichtzutreffend

Der Wertentsprichtnicht demerwartetenDatensatz.

Note

Die AutoDiscover-Domänenverifizierung prüft auch, ob AutoDiscover korrekt eingerichtetwurde. Nach Abschluss der Phasen 2 und 3 der Verifizierung wird ein Häkchen neben demStatusfeld Verified (Bestätigt) angezeigt.

Wir empfehlen, dass Sie die Time to Live (TTL) auf 3600 des MX- und Autodiscover-CNAME-Eintragsfestlegen. Die Reduzierung der TTL stellt sicher, dass Ihre Mailserver keine veralteten oder ungültigenMX-Einträge verwenden, nachdem Sie Ihre MX-Einträge aktualisiert oder Ihre Postfächer migrierthaben.

Entfernen einer DomäneWenn Sie eine Domäne nicht mehr benötigen, können Sie sie löschen.

Version 1.071

Amazon WorkMail Administrator-HandbuchAuswählen der Standarddomäne

Note

Sie können eine Domäne nicht löschen, wenn es Benutzer oder Gruppen gibt, die die Domäne alsE-Mail-Adresse verwenden.

So entfernen Sie eine Domäne

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon WorkMail-Konsoleunter https://console.aws.amazon.com/workmail/.

2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, dieIhren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations in der Spalte Alias den Namen der Organisation aus, aus derSie eine Domäne entfernen möchten.

4. Aktivieren Sie in der Liste der Domänen das Kontrollkästchen neben dem Domänennamen und wählenSie Remove aus.

5. Geben Sie im Dialogfenster Remove domain den Namen der zu entfernenden Domäne ein und wählenSie Remove aus.

Auswählen der StandarddomäneUm eine Domäne als Standarddomäne in der E-Mail-Adresse Ihrer Benutzer und Gruppen zu verwenden,können Sie eine Standarddomäne auswählen. Wenn Sie eine Domäne als Standard festlegen, werdenvorhandene E-Mail-Adressen nicht geändert.

So machen Sie eine Domäne zur Standarddomäne

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon WorkMail-Konsoleunter https://console.aws.amazon.com/workmail/.

2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, dieIhren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations in der Spalte Alias den Namen der Organisation aus, zu derSie eine Standarddomäne hinzufügen möchten.

4. Aktivieren Sie in der Liste der Domänen das Kontrollkästchen neben dem Domänennamen und wählenSie Set as default aus.

Verifizieren von DomänenNachdem Sie für Amazon WorkMail eine Domäne in der Konsole hinzugefügt haben, besteht der nächsteSchritt darin, die Domäne zu verifizieren. Durch das Überprüfen der Domäne wird bestätigt, dass SieEigentümer der Domäne sind und dass Sie Amazon WorkMail als E-Mail-Service für die Domäneverwenden.

Um eine Domäne mit Amazon WorkMail zu verifizieren, initiieren Sie den Prozess mit der AmazonWorkMail-Konsole. Fügen Sie dann einen TXT-Datensatz zu Ihrem DNS-Service hinzu, wie unterVerifizieren von Domänen in Amazon SES in der Amazon Simple Email Service-Entwicklerhandbuchbeschrieben. Stellen Sie mithilfe der Amazon WorkMail Konsole sicher, dass Ihr DNS-Service erfolgreichmit dem TXT-Datensatz für Amazon WorkMail aktualisiert wurde. Weitere Informationen finden Sie unterHinzufügen einer Domäne (p. 69).

Version 1.072

Amazon WorkMail Administrator-HandbuchÜberprüfen von TXT-Datensätzen und

MX-Datensätzen mit Ihrem DNS-Service

Außerdem können Sie nslookup oder dig verwenden, um zu überprüfen, ob Ihre Amazon WorkMail-TXT-Datensätze und MX-Datensätze mit Ihrem DNS-Service aktualisiert werden.

Themen• Überprüfen von TXT-Datensätzen und MX-Datensätzen mit Ihrem DNS-Service (p. 73)• Fehlerbehebung bei der Domänenverifizierung (p. 75)

Überprüfen von TXT-Datensätzen und MX-Datensätzen mit Ihrem DNS-ServiceVergewissern Sie sich, dass der TXT-Datensatz, der bestätigt, dass Sie Eigentümer der Domäne sind,korrekt zu Ihrem DNS-Service hinzugefügt wird. Dieses Verfahren verwendet das Tool nslookup, das fürWindows und Linux verfügbar ist. Unter Linux können Sie auch dig verwenden.

In diesem Verfahren für das Tool nslookup müssen Sie zunächst die für Ihre Domäne zuständigen DNS-Server suchen. Anschließend können Sie diese Server abfragen, um die TXT-Datensätze anzuzeigen.Führen Sie eine Abfrage für den DNS-Server für Ihre Domäne durch, da diese Server die neuestenInformationen für Ihre Domäne enthalten. Es kann einige Zeit dauern, bis diese Informationen von anderenDNS-Servern übernommen werden.

So verwenden Sie nslookup, um zu überprüfen, ob Ihr TXT-Datensatz zu Ihrem DNS-Servicehinzugefügt wurde

1. Suchen Sie die Namensserver für Ihre Domäne:

a. Öffnen Sie eine Befehlszeile.b. Führen Sie den folgenden Befehl aus, um alle Nameserver für Ihre Domäne aufzulisten:

nslookup -type=NS example.com

Im nächsten Schritt fragen Sie einen dieser Server ab.2. Überprüfen Sie, ob der TXT-Datensatz korrekt hinzugefügt wurde:

a. Führen Sie den folgenden Befehl mithilfe Ihrer Domäne und einem der Nameserver aus, die Sie inSchritt 1 ermittelt haben.

nslookup -type=TXT _amazonses.example.com ns1.name-server.net

b. Überprüfen Sie in der Ausgabe des Befehls, ob die Zeichenfolge nach text = mit dem TXT-Wert übereinstimmt, der beim Auswählen der Domäne in der Liste "Verified Senders" in derAmazon WorkMail-Konsole angezeigt wird.

In diesem Beispiel suchen Sie unter _amazonses.example.com einen TXT-Datensatz mitdem Wert fmxqxT/icOYx4aA/bEUrDPMeax9/s3frblS+niixmqk=. Wenn der Datensatzordnungsgemäß veröffentlicht wurde, wird folgende Befehlsausgabe erwartet:

_amazonses.example.com text = "fmxqxT/icOYx4aA/bEUrDPMeax9/s3frblS+niixmqk="

So verwenden Sie dig, um zu überprüfen, ob Ihr TXT-Datensatz zu Ihrem DNS-Servicehinzugefügt wurde

1. Öffnen Sie ein Terminal-Fenster.Version 1.0

73

Amazon WorkMail Administrator-HandbuchÜberprüfen von TXT-Datensätzen und

MX-Datensätzen mit Ihrem DNS-Service

2. Führen Sie den folgenden Befehl aus, um die TXT-Datensätze für Ihre Domäne aufzulisten:

dig +short example.com txt

3. Überprüfen Sie, ob die Zeichenfolge nach TXT mit dem TXT-Wert übereinstimmt, der beim Auswählender Domäne in der Liste "Verified Senders" in der Amazon WorkMail-Konsole angezeigt wird.

So verwenden Sie nslookup, um zu überprüfen, ob Ihr MX-Datensatz zu Ihrem DNS-Servicehinzugefügt wurde

1. Suchen Sie die Namensserver für Ihre Domäne:

a. Öffnen Sie eine Befehlszeile.b. Führen Sie den folgenden Befehl aus, um alle Nameserver für Ihre Domäne aufzulisten:

nslookup -type=NS example.com

Im nächsten Schritt fragen Sie einen dieser Server ab.2. Überprüfen Sie, ob der MX-Datensatz korrekt hinzugefügt wurde:

a. Führen Sie den folgenden Befehl mithilfe Ihrer Domäne und einem der Nameserver aus, die Sie inSchritt 1 ermittelt haben.

nslookup -type=MX example.com ns1.name-server.net

b. Vergewissern Sie sich bei der Ausgabe des Befehls, dass die auf mail exchange = folgendeZeichenfolge mit einem der folgenden Werte übereinstimmt:

Für die Region USA Ost (N.-Virginia) muss der Eintrag folgendermaßen aussehen: 10 inbound-smtp.us-east-1.amazonaws.com

Für die Region Europa (Irland) muss der Eintrag folgendermaßen aussehen: 10 inbound-smtp.eu-west-1.amazonaws.com

Für die Region USA West (Oregon) muss der Eintrag folgendermaßen aussehen: 10 inbound-smtp.us-west-2.amazonaws.com

Note

10 stellt die MX-Rangnummer oder -Priorität dar.

So verwenden Sie dig, um zu überprüfen, ob Ihr MX-Datensatz zu Ihrem DNS-Service hinzugefügtwurde

1. Öffnen Sie ein Terminal-Fenster.2. Führen Sie den folgenden Befehl aus, um die MX-Datensätze für Ihre Domäne aufzulisten:

dig +short example.com mx

3. Stellen Sie sicher, dass die Zeichenfolge nach MX mit einem der folgenden Werte übereinstimmt:

Für Region USA Ost (N.-Virginia) muss der Eintrag folgendermaßen aussehen: 10 inbound-smtp.us-east-1.amazonaws.com

Für die Region Europa (Irland) muss der Eintrag folgendermaßen aussehen: 10 inbound-smtp.eu-west-1.amazonaws.com

Version 1.074

Amazon WorkMail Administrator-HandbuchFehlerbehebung bei der Domänenverifizierung

Für die Region USA West (Oregon) muss der Eintrag folgendermaßen aussehen: 10 inbound-smtp.us-west-2.amazonaws.com

Note

10 stellt die MX-Rangnummer oder -Priorität dar.

Fehlerbehebung bei der DomänenverifizierungWeitere Informationen zur Fehlersuche der Domänenverifizierung finden Sie in der folgenden Liste.

• Ihr DNS-Anbieter lässt Unterstriche in TXT-Datensatznamen nicht zu – Sie können _amazonses im TXT-Datensatznamen weglassen.

• Sie möchten dieselbe Domäne mehrfach verifizieren und Sie können nicht mehrere TXT-Datensätzedesselben Namens haben – Möglicherweise müssen Sie Ihren Domänennamen mehrfach verifizieren,da Sie von mehreren AWS-Konten in derselben Domäne derselben Region aus senden. Wenn Ihr DNS-Service nicht mehrere TXT-Datensätze mit demselben Namen zulässt, gibt es zwei Möglichkeiten, diesesProblem zu umgehen. Bei der ersten Möglichkeit weisen Sie dem TXT-Datensatz mehrere Werte zu,falls Ihr DNS-Service dies zulässt. Wenn beispielsweise Ihr DNS von Amazon Route 53 verwaltet wird,können Sie mehrere Werte für denselben TXT-Datensatz wie folgt einrichten:1. Wählen Sie in der Route 53-Konsole den _amazonses-TXT-Datensatz aus, den Sie hinzugefügt

haben, als Sie Ihre Domäne in der ersten Region verifiziert haben.2. Bei Value (Wert) drücken Sie nach dem ersten Wert die Enter (Eingabetaste).3. Fügen Sie den Wert für die zusätzlichen Region hinzu und speichern Sie den Datensatz.

Wenn Sie Ihre Domäne nur zweimal verifizieren müssen,besteht eine weitere mögliche Abhilfe darin,sie einmal mit _amazonses im TXT-Datensatznamen zu verifizieren und _amazonses dann imDatensatznamen wegzulassen. Wir empfehlen die Lösungsmöglichkeit mit mehreren Werten alsbewährte Methode.

• Amazon WorkMail meldet, dass die Verifizierung der Domäne fehlgeschlagen ist – Die Domäne zeigt aufder Registerkarte Domains (Domänen) der Amazon WorkMail-Konsole den Status "fehlgeschlagen" an.Dies bedeutet, dass Amazon WorkMail den erforderlichen TXT-Datensatz für Ihren DNS-Server nichtfinden kann. Überprüfen Sie, ob der erforderliche TXT-Datensatz ordnungsgemäß zu Ihrem DNS-Serverhinzugefügt wurde. Gehen Sie dazu wie in Überprüfen von TXT-Datensätzen und MX-Datensätzen mitIhrem DNS-Service (p. 73) beschrieben vor und suchen Sie nach den folgenden möglichen Fehlern:• Ihr DNS-Anbieter hat den Domänennamen an das Ende des TXT-Datensatzes angehängt

– Die Ergänzung eines TXT-Datensatzes, der den Domänennamen bereits enthält (z. B._amazonses.example.com) kann zur Duplizierung des Domänennamens führen (z. B._amazonses.example.com.example.com). Fügen Sie am Ende des Domänenname im TXT-Datensatzeinen Punkt hinzu, um die Duplizierung des Domänennamens im Datensatznamen zu vermeiden.Dadurch weiß Ihr DNS-Anbieter, dass der Eintragsname vollständig qualifiziert ist (also nicht mehrrelativ zum Domänennamen). So wird vermieden, dass der DNS-Anbieter einen zusätzlichenDomänennamen anfügt.

• Amazon WorkMail meldet, dass der MX-Datensatz inkonsistent ist: Bei der Migration von vorhandenen E-Mail-Servern kann der MX-Datensatz Inconsistent (Inkonsistent) lauten. Um dieses Problem zu beheben,aktualisieren Sie den MX-Datensatz so, dass er auf Amazon WorkMail und nicht auf den vorherigen E-Mail-Server zeigt. Der MX-Datensatz wird auch als Inconsistent (Inkonsistent) zurückgegeben, wenn einDrittanbieter-E-Mail-Proxy zusammen mit Amazon WorkMail verwendet wird. Wenn dies der Fall ist, kanndie Inconsistent (Inkonsistent)-Warnung ignoriert werden.

Version 1.075

Amazon WorkMail Administrator-HandbuchAktivieren von AutoDiscover zurKonfiguration von Endpunkten

Aktivieren von AutoDiscover zur Konfiguration vonEndpunkten

AutoDiscover ermöglicht Ihnen die einfache Konfiguration von Microsoft Outlook und mobilen Clientsmit nur Ihrer E-Mail-Adresse und Ihrem Passwort. Der Dienst unterhält außerdem eine Verbindung zuAmazon WorkMail und aktualisiert lokale Einstellungen, sobald Endpunkte oder Einstellungen geändertwerden. Darüber hinaus ermöglicht AutoDiscover Ihrem Client die Nutzung zusätzlicher Amazon WorkMail-Funktionen, wie z. B. das Offline-Adressbuch, den Abwesenheitsassistenten und die Möglichkeit, die freie/besetzte Zeit im Kalender anzuzeigen.

Der Client führt die folgenden AutoDiscover-Phasen durch, um die Server-Endpunkt-URLs zu ermitteln:

• Phase 1: Der Client führt einen SCP-Lookup gegen das lokale Active Directory durch. Wenn sich IhrClient nicht in einer Domäne befindet, überspringt AutoDiscover diesen Schritt.

• Phase 2: Der Client sendet eine Anfrage an die folgenden URLs und validiert die Ergebnisse. DieseEndpunkte sind nur über HTTPS verfügbar.• https://company.tld/autodiscover/autodiscover.xml• https://autodiscover.company.tld/autodiscover/autodiscover.xml

• Phase 3: Der Client führt einen DNS-Lookup für autodiscover.company.tld durch und sendet eine nichtauthentifizierte GET-Anfrage an den von der E-Mail-Adresse des Benutzers abgeleiteten Endpunkt.Wenn der Server ein 302-Redirect zurückgibt, sendet der Client die AutoDiscover-Anfrage erneut an denzurückgegebenen HTTPS-Endpunkt.

Wenn alle Phasen fehlschlagen, kann der Client nicht automatisch konfiguriert werden und Sie müssenden Client manuell einrichten. Informationen zur manuellen Konfiguration von Endgeräten finden Sie unterManuelles Verknüpfen mit dem Gerät.

Wenn Sie Ihre Domäne in Amazon WorkMail einrichten, werden Sie aufgefordert, den AutoDiscover-DNS-Eintrag hinzuzufügen. Dieser ermöglicht es dem Client, Phase 3 des AutoDiscover-Prozessesdurchzuführen. Diese Schritte funktionieren jedoch nicht für alle mobilen Geräte, wie z. B. diestandardmäßige Android-E-Mail-Anwendung, und Sie müssen die AutoDiscover-Phase 2 möglicherweisemanuell einrichten.

Es gibt zwei Möglichkeiten, wie Sie die AutoDiscover-Phase 2 für Ihre Domäne einrichten können:

• Durch die Verwendung von Route 53 und Amazon CloudFront (empfohlen)• Durch die Einrichtung eines Apache-Webservers mit einem Reverse-Proxy

So aktivieren Sie die AutoDiscover-Phase 2 mit Route 53 und CloudFrontNote

Die folgenden Schritte zeigen Ihnen, wie Sie https://autodiscover.company.tld/autodiscover/autodiscover.xml über einen Proxy nutzen. Um https://company.tld/autodiscover/autodiscover.xmlüber einen Proxy zu nutzen, entfernen Sie in den folgenden Schritten das Präfix "autodiscover."von den Domänen.Weitere Informationen über anwendbare Preise finden Sie unter Amazon CloudFront – Preise undAmazon Route 53 – Preise.

1. Rufen Sie ein SSL-Zertifikat für autodiscover.company.tld ab und laden Sie es auf AWS Identity andAccess Management oder AWS Certificate Manager hoch. Weitere Informationen finden Sie unterArbeiten mit Serverzertifikaten im IAM-Benutzerhandbuch oder unter Erste Schritte im AWS CertificateManager-Benutzerhandbuch.

2. Legen Sie eine neue CloudFront-Verteilung an.

Version 1.076

Amazon WorkMail Administrator-HandbuchAktivieren von AutoDiscover zurKonfiguration von Endpunkten

1. Öffnen Sie die CloudFront-Konsole unter der Adresse https://console.aws.amazon.com/cloudfront/.2. Wählen Sie Create Distribution.3. Wählen Sie für Web die Option Get Started (Erste Schritte).4. Geben Sie die folgenden Werte für Origin Settings ein:

• Origin Domain Name: autodiscover-service.mail.us-east-1.awsapps.com, autodiscover-service.mail.eu-west-1.awsapps.com oder autodiscover-service.mail.us-west-2.awsapps.com

• Origin Protocol Policy (Ursprungsprotokollrichtlinie): Match Viewer

Note

Lassen Sie Origin path (Ursprungspfad) leer und ändern Sie nicht den automatischgefüllten Wert für Origin ID (Ursprungs-ID).

5. Geben Sie die folgenden Werte für Default Cache Behavior Settings: ein:• Viewer Protocol Policy (Viewerprotokollrichtlinie): HTTPS Only• Allowed HTTP Methods: GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETE• Cache Based on Selected Request Headers (Cache basierend auf ausgewählte

Anforderungsheader): Alle• Forward Cookies (Cookies weiterleiten): All• Query String Forwarding and Caching (Abfragezeichenfolgen-Weiterleitung und -Caching): Kein

(verbessert das Caching)• Smooth Streaming: Nein• Restrict Viewer Access (Viewer-Zugriff einschränken): Nein

6. Geben Sie die folgenden Werte für Distribution Settings ein:• Price Class (Preisklasse): Nur USA, Kanada und Europa verwenden• Alternate Domain Names (CNAMEs) (Alternative Domänennamen (CNAMEs)):

autodiscover.company.tld (oder company.tld)• SSL Certificate (SSL-Zertifikat): Benutzerdefiniertes SSL-Zertifikat (in IAM gespeichert)• Custom SSL Client Support (Benutzerdefinierte SSL-Client-Unterstützung): Wählen Sie All Clients

(Alle Clients) oder Only Clients that Support Server Name Indication (SNI) (Nur Clients, dieServer Name Indication (Servernamensanzeige, SNI) unterstützen). Ältere Versionen von Androidfunktioniert möglicherweise nicht mit der letzteren Option.

Note

Lassen Sie bei Wahl von All Clients (Alle Clients) das Feld Default Root Object(Standardstammobjekt) leer.

• Logging (Protokollierung): Wählen Sie On (Ein) oder Off (Aus).• Comment (Anmerkung): AutoDiscover type2 for autodiscover.company.tld• Wählen Sie für Distribution State (Status der Verteilung) die Option Enabled (Aktiviert) aus.

3. Erstellen Sie in Route 53 einen Datensatz, der Internetdatenverkehr für Ihren Domänennamen zu IhrerCloudFront-Verteilung umleitet:

Note

Diese Schritte gehen davon aus, dass der DNS-Datensatz für example.com in Route 53gehostet wird.

1. Wählen Sie in der Route 53-Konsole Hosted Zones (Gehostete Zonen) und example.com(beispiel.com) aus.

2. Wählen Sie Create Record Set (Datensatz erstellen) aus und füllen Sie die folgenden Felder aus.• Name: autodiscover.example.com• Type (Typ): A – IPv4-Adresse

Version 1.077

Amazon WorkMail Administrator-HandbuchFehlerbehebung für die AutoDiscover-Phase 2

• Alias: Ja• Alias Target: Die oben erstellte CloudFront-Verteilung

Note

Wenn die oben erstellte CloudFront-Verteilung nicht vorhanden ist, warten Sie eine Weileund versuchen Sie es später noch einmal. Das Ändern der Übertragung für eine neueCloudFront-Verteilung kann bis zu 1 Stunde dauern.

• Evaluate Target Health (Zustand des Ziels bewerten): Nein3. Wählen Sie Create aus.

So aktivieren Sie die AutoDiscover-Phase 2 mit einem Apache-Webserver

1. Konfigurieren Sie die folgenden beiden Direktiven auf einem SSL-fähigen Apache-Server:

SSLProxyEngine on ProxyPass /autodiscover/autodiscover.xmlhttps://autodiscover-service.mail.REGION.awsapps.com/autodiscover/autodiscover.xml

2. Wenn sie nicht bereits aktiviert sind, aktivieren Sie die folgenden Apache-Module:

• proxy• proxy_http• socache_shmcb• ssl

3. Vergewissern Sie sich, dass der Endpunkt SSL-fähig und korrekt konfiguriert ist.

Fehlerbehebung für die AutoDiscover-Phase 2Senden Sie die folgenden Anforderungen an Ihren AutoDiscover-Endpunkt, um zu testen, ob er korrektkonfiguriert ist. Wenn Ihr AutoDiscover-Endpunkt korrekt konfiguriert ist, antwortet er mit einer Meldung, dieauf eine unbefugte Anforderung hinweist.

So führen Sie eine grundlegende unbefugte Anforderung durch

• Erstellen Sie eine nicht authentifizierte POST-Anforderung für den AutoDiscover-Endpunkt.

Wenn Ihr Endpunkt ordnungsgemäß konfiguriert ist, sollte er eine 401 unauthorized-Meldungzurückgeben:

$ curl -X POST -v https://autodiscover.''company.tld''/autodiscover/autodiscover.xml...HTTP/1.1 401 Unauthorized

Führen Sie als Nächstes eine echte Anforderung aus, die ein mobiles Gerät ausgeben würde.

So führen Sie eine echte Anforderung aus

1. Erstellen Sie eine request.xml-Datei mit folgendem XML-Inhalt:

<?xml version="1.0" encoding="utf-8"?><Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/mobilesync/requestschema/2006"> <Request> <EMailAddress>testuser@company.tld</EMailAddress>

Version 1.078

Amazon WorkMail Administrator-HandbuchBearbeiten von Domänenidentitätsrichtlinien

<AcceptableResponseSchema> http://schemas.microsoft.com/exchange/autodiscover/mobilesync/responseschema/2006 </AcceptableResponseSchema> </Request></Autodiscover>

2. Führen Sie die Anforderung durch.

$ curl -d @request.xml -u testuser@company.tld -v https://autodiscover.company.tld/autodiscover/autodiscover.xmlEnter host password for user 'testuser@company.tld':<?xml version="1.0" encoding="UTF-8"?><Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/responseschema/2006" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><Response xmlns="http://schemas.microsoft.com/exchange/autodiscover/mobilesync/responseschema/2006"> <Culture>en:us</Culture> <User> <DisplayName>User1</DisplayName> <EMailAddress>testuser@company.tld</EMailAddress> </User> <Action> <Settings> <Server> <Type>MobileSync</Type> <Url>https://mobile.mail.us-east-1.awsapps.com/Microsoft-Server-ActiveSync</Url> <Name>https://mobile.mail.us-east-1.awsapps.com/Microsoft-Server-ActiveSync</Name> </Server> </Settings> </Action></Response>

Wenn die Antwort ähnlich ist, ist Ihr AutoDiscover-Endpunkt korrekt konfiguriert.

Bearbeiten von DomänenidentitätsrichtlinienDie Domänenidentitätsrichtlinien legen die Berechtigungen für E-Mail-Aktionen fest (z. B. Umleitungvon E-Mails). Wenn Ihre Domäne jedoch vor dem 13. Oktober 2016 hinzugefügt wurde, müssen Sie dieRichtlinien für die Sendeautorisierung manuell aktualisieren, um dies zu unterstützen.

Das Update besteht aus dem Hinzufügen einer neuen Aktion: ses:*. Domänen, die nach dem 13. Oktober2016 hinzugefügt wurden, umfassen es standardmäßig.

Note

Seien Sie vorsichtig, wenn Sie andere Abschnitte der ses-Richtlinie bearbeiten, denn falscheEinstellungen können sich nachteilig auf die Funktionalität von Amazon WorkMail auswirken.

So aktualisieren Sie die Domänenidentitätsrichtlinie

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon SES-Konsole unterhttps://console.aws.amazon.com/ses/home.

2. Wählen Sie im Navigationsbereich der Amazon SES-Konsole unter Identity Management(Identitätsmanagement) die Option Domains (Domänen) aus.

3. Wählen Sie in der Liste der Domänen die Domäne aus, die Sie bearbeiten möchten.

Version 1.079

Amazon WorkMail Administrator-HandbuchAuthentifizierung Ihrer E-Mails mit SPF

4. Erweitern Sie im Bereich Details Identity Policies, suchen Sie die zu bearbeitende Richtlinie undwählen Sie dann Edit Policy aus.

5. Fügen Sie im Bereich Edit Policy unter "Action" die Option ses:*, hinzu.6. Klicken Sie auf Apply Policy.

Die aktualisierten Aktionen der Richtlinie sollten wie folgt aussehen:

"Action": [ "ses:*", "ses:SendBounce", "ses:SendRawEmail" ],

Authentifizierung Ihrer E-Mails mit SPFDas Sender Policy Framework (SPF) ist ein E-Mail-Validierungsstandard zur Bekämpfung von E-Mail-Spoofing. Weitere Informationen zur Konfiguration von SPF für Ihre Amazon WorkMail-fähige Domänefinden Sie unter Authentifizierung Ihrer E-Mails mit SPF in Amazon SES.

Version 1.080

Amazon WorkMail Administrator-HandbuchVerwalten von Benutzerkonten

Arbeiten mit BenutzernSie können Benutzer in Amazon WorkMail erstellen und entfernen. Außerdem können Sie ihre E-Mail-Passwörter zurücksetzen und Daten von ihren Mobilgeräten löschen.

Themen• Verwalten von Benutzerkonten (p. 81)• Verwalten von Benutzer-Postfächern (p. 84)• Verwalten mobiler Geräte (p. 88)• Aktivieren signierter oder verschlüsselter E-Mails (p. 90)

Verwalten von BenutzerkontenÜber Amazon WorkMail können Sie neue Benutzer erstellen oder vorhandene Benutzer aktivieren undBenutzer-E-Mail-Adressen bearbeiten, Benutzer-E-Mail-Aliasse erstellen, Benutzerdetails bearbeiten undBenutzerpasswörter zurücksetzen.

Themen• Erstellen neuer Benutzer (p. 81)• Aktivieren vorhandener Benutzer (p. 82)• Bearbeiten von Benutzer-E-Mail-Adressen (p. 82)• Bearbeiten von Benutzerdetails (p. 82)• Zurücksetzen von Benutzerpasswörtern (p. 83)• Fehlerbehebung für Amazon WorkMail-Passwortrichtlinien (p. 83)

Erstellen neuer BenutzerWenn Sie neue Benutzer erstellen, erstellt Amazon WorkMail Postfächer für sie. Die Benutzer können sichüber die Amazon WorkMail-Webanwendung, ein Mobilgerät oder Microsoft Outlook im MacOS-System oderan einen PC anmelden und auf ihr Postfach zugreifen.

So legen Sie einen neuen Benutzer an

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organisationen) in der Liste der Organisationen den AliasIhrer Organisation aus.

4. Wählen Sie im Navigationsbereich Users (Benutzer), um eine Liste aller Benutzer im Verzeichnisanzuzeigen. Dies umfasst aktivierte, deaktivierte und Systembenutzer entsprechend der Definition imzugrunde liegenden Verzeichnis.

5. Um einen neuen Benutzer zu erstellen, wählen Sie Create User (Benutzer erstellen) aus.6. Geben Sie auf der Seite Add the details for your new user den Vor- und Nachnamen des Benutzers

sowie seinen Benutzernahmen und Displaynamen ein und wählen Sie dann Next aus.

Version 1.081

Amazon WorkMail Administrator-HandbuchAktivieren vorhandener Benutzer

7. Geben Sie auf der Seite Set up email address and password die E-Mail-Adresse des Benutzers undsein Passwort ein und wählen Sie dann Add user aus.

Aktivieren vorhandener BenutzerWenn Amazon WorkMail in das Active Directory Ihres Unternehmens integriert ist oder in Ihrem Simple AD-Verzeichnis bereits Benutzer verfügbar sind, können Sie diese Benutzer in Amazon WorkMail aktivieren.

So aktivieren Sie einen vorhandenen Verzeichnisbenutzer

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organisationen) in der Liste der Organisationen den AliasIhrer Organisation aus.

4. Klicken Sie im Navigationsbereich auf Users, um eine Liste aller Benutzer im Verzeichnis,einschließlich der aktivierten, deaktivierten und Systembenutzer, anzuzeigen.

5. Wählen Sie in der Liste der deaktivierten Benutzer die zu aktivierenden Benutzer aus und klicken Sieauf Enable user.

6. Überprüfen Sie im Dialogfeld Enable user(s) die primäre E-Mail-Adresse und klicken Sie auf Enable.

Bearbeiten von Benutzer-E-Mail-AdressenSie können einem einzigen Benutzer mehrere E-Mail-Adressen zuweisen und die Standard-E-Mail-Adressewird als Standard-Absenderadresse verwendet.

Sie können auch einen oder mehrere E-Mail-Aliasse hinzufügen, die verwendet werden können, um E-Mails von einer anderen Adresse oder Domäne zu senden oder zu erhalten. Weitere Informationen findenSie unter Senden als Alias.

So bearbeiten Sie die E-Mail-Adresse eines Benutzers

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organisationen) in der Liste der Organisationen den AliasIhrer Organisation aus.

4. Wählen Sie im Navigationsbereich Users und dann in der Benutzerliste den Namen des Benutzersaus, den Sie bearbeiten möchten.

5. Wählen Sie auf der Registerkarte General die Option Edit und Add email address aus und geben Siedann die E-Mail-Adresse ein, die für diesen Benutzer hinzugefügt werden soll.

6. Um die neue E-Mail-Adresse zur Standardadresse zu machen, wählen Sie Set as default aus.

Bearbeiten von BenutzerdetailsSie können Vor- und Nachnamen eines Benutzers sowie seine E-Mail-Adresse, Displaynamen, Adresse,Telefonnummer und Unternehmensdetails ändern. Sie können auch das Postfachkontingent einesBenutzers auf 1 MB oder 51.200 MB (50 GB) festlegen. Benutzer werden benachrichtigt, wenn sie 90Prozent ihres festgelegten Postfachkontingents erreichen.

Version 1.082

Amazon WorkMail Administrator-HandbuchZurücksetzen von Benutzerpasswörtern

Das Ändern des Postfachkontingent eines Benutzers hat keine Auswirkungen auf die Preise. WeitereInformationen zu Preisen erhalten Sie unter Amazon WorkMail – Preise.

Note

Wenn Sie Amazon WorkMail mit einem AD Connector-Verzeichnis integrieren, können Sie dieseDetails nicht von der AWS Management Console aus bearbeiten. Sie müssen sie stattdessenüber Ihre Active Directory-Verwaltungstools bearbeiten. Einschränkungen gelten, wenn sichIhre Organisation im Interoperabilitätsmodus befindet. Weitere Informationen finden Sie unterBeschränkungen im Interoperabilitätsmodus (p. 41).

So bearbeiten Sie die Details eines Benutzers

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organisationen) in der Liste der Organisationen den AliasIhrer Organisation aus.

4. Wählen Sie im Navigationsbereich Users und den Namen des zu bearbeitenden Benutzers aus.5. Wählen Sie auf der Registerkarte General die Option Edit aus und aktualisieren Sie dann bei Bedarf

die Felder. Zum Aktualisieren des Postfachkontingents eines Benutzers wählen Sie die RegisterkarteQuota (Kontingent) aus.

6. Wählen Sie Save aus.

Zurücksetzen von BenutzerpasswörternWenn ein Benutzer ein Passwort vergessen hat oder sich nicht in Amazon WorkMail anmelden kann,können Sie das Passwort zurücksetzen. Wenn Sie Amazon WorkMail mit einem AD Connector-Verzeichnisintegrieren, müssen Sie das Passwort des Benutzers im Active Directory zurücksetzen.

So setzen Sie ein Benutzerpasswort zurück

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organisationen) in der Liste der Organisationen den AliasIhrer Organisation aus.

4. Klicken Sie im Navigationsbereich auf Users.5. Wählen Sie in der Benutzerliste den Namen des zu bearbeitenden Benutzers und Reset password aus.6. Geben Sie im Dialogfeld Reset Password (Passwort zurücksetzen) das neue Passwort ein und wählen

Sie Reset (Zurücksetzen) aus.

Fehlerbehebung für Amazon WorkMail-PasswortrichtlinienWenn das Zurücksetzen des Passworts fehlgeschlagen ist, stellen Sie sicher, dass das neue Passwort dieAnforderungen der Passwortrichtlinie erfüllt.

Das Anforderungen der Passwortrichtlinie hängen davon ab, welcher Verzeichnistyp von Ihrer AmazonWorkMail-Organisation verwendet wird.

Version 1.083

Amazon WorkMail Administrator-HandbuchVerwalten von Benutzer-Postfächern

Kennwortrichtlinie für Amazon WorkMail- und Simple AD-Verzeichnisse

Standardmäßig müssen Passwörter für ein Amazon WorkMail-Verzeichnis oder ein Simple AD Verzeichnisdie folgenden Bedingungen erfüllen:

• Sie dürfen nicht leer sein.• Sie müssen mindestens acht Zeichen enthalten.• Sie müssen weniger als 64 Zeichen enthalten.• Sie müssen aus Unicode-Zeichen der Blöcke Basis-Lateinisch oder Lateinisch-1, Ergänzung bestehen.

Darüber hinaus müssen Passwörter Zeichen aus drei von fünf der folgenden Gruppen enthalten:

• Großbuchstaben• Kleinbuchstaben• Numerische Zeichen• Sonderzeichen (z. B. <, ~ oder !)• Unicode-Zeichen des Blocks Lateinisch-1, Ergänzung (z. B. é, ü oder ñ)

Passwortrichtlinien für dasAmazon WorkMail Verzeichnis können nicht geändert werden.

Zum Ändern einer Simple AD-Passwortrichtlinie verwenden Sie die AD-Verwaltungstools auf einerAmazon EC2 Windows-Instance Ihres Simple AD-Verzeichnisses. Weitere Informationen finden Sie unterInstallation von Active Directory-Verwaltungstools im AWS Directory Service Administration Guide.

Passwortrichtlinie für ein AWS Managed Microsoft AD-Verzeichnis

Informationen zur Standard-Kennwortrichtlinie für ein AWS Managed Microsoft AD-Verzeichnis findenSie unter Verwalten von Passwortrichtlinien für AWS Managed Microsoft AD imAWS Directory ServiceAdministration Guide.

Passwortrichtlinien für AD Connector

AD Connector verwendet die Passwortrichtlinie der Active Directory-Domäne, mit der der Serviceverbunden ist.

Verwalten von Benutzer-PostfächernSie können die Postfächer von Benutzern deaktivieren und wiederherstellen und Push-Benachrichtigungenaktivieren. Informationen zur Verwaltung von Mailbox-Berechtigungen finden Sie unter Arbeiten mitPostfachberechtigungen (p. 96).

Themen• Deaktivieren von Benutzer-Postfächern (p. 84)• Wiederherstellen deaktivierter Postfächer (p. 85)• Arbeiten mit Benachrichtigungen (p. 85)

Deaktivieren von Benutzer-PostfächernSie können die Postfächer von Benutzern löschen, wenn sie nicht mehr benötigt werden. Amazon WorkMailspeichert Postfächer 30 Tage lang, bevor sie endgültig entfernt werden.

Version 1.084

Amazon WorkMail Administrator-HandbuchWiederherstellen deaktivierter Postfächer

So deaktivieren Sie das Postfach eines Benutzers

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organisationen) in der Liste der Organisationen den AliasIhrer Organisation aus.

4. Wählen Sie im Navigationsbereich Users (Benutzer), den Namen des zu deaktivierenden Benutzersund Disable User (Benutzer deaktivieren) aus.

5. Klicken Sie im Dialogfeld Disable user(s) auf Disable.

Note

Um einen Benutzer und seine Daten zu löschen, verwenden Sie die API-Aktion DeleteUser fürAmazon WorkMail. Weitere Informationen finden Sie unter DeleteUser in der Amazon WorkMailAPI-Referenz.

Wiederherstellen deaktivierter PostfächerAmazon WorkMail speichert deaktivierte Postfächer 30 Tage lang, bevor sie endgültig entfernt werden. Umein Postfach wiederherzustellen, befolgen Sie dieselben Schritte wie zum Aktivieren eines vorhandenenBenutzers.

Important

Postfächer können nicht wiederhergestellt werden, wenn die Organisation, in der sie enthaltenwaren, gelöscht wurde. Um das deaktivierte Postfach eines Benutzers wiederherzustellen,muss sich der Benutzer noch im Verzeichnis befinden. Wenn sich der Benutzer nicht mehr imVerzeichnis befindet oder Sie ihn neu erstellt haben, kann das Postfach nicht wiederhergestelltwerden, da jedes Postfach mit einer einmaligen Benutzer-ID verbunden ist.

So stellen Sie ein deaktiviertes Postfach wieder her

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organisationen) in der Liste der Organisationen den AliasIhrer Organisation aus.

4. Klicken Sie im Navigationsbereich auf Users, um eine Liste der aktivierten, deaktivierten undSystembenutzer anzuzeigen.

5. Wählen Sie in der Liste der deaktivierten Benutzer die zu aktivierenden Benutzer aus und klicken Sieauf Enable user.

6. Überprüfen Sie im Dialogfeld Enable user(s) die primäre E-Mail-Adresse des Benutzers und klicken Sieauf Enable.

Arbeiten mit BenachrichtigungenMit der Amazon WorkMail Push Notifications-API können Sie Push-Benachrichtigungen zu Änderungenin Ihrem Postfach erhalten, einschließlich neuer E-Mail- und Kalender-Updates. Sie können die URLs(oder Push-Benachrichtigungs-Responder) registrieren, um Benachrichtigungen zu erhalten. Mit dieser

Version 1.085

Amazon WorkMail Administrator-HandbuchArbeiten mit Benachrichtigungen

Funktion können Entwickler reaktionsfähige Anwendungen für Amazon WorkMail-Benutzer erstellen, daAnwendungen schnell über Änderungen im dem Postfach eines Benutzers benachrichtigt werden.

Weitere Informationen finden Sie unter Notification subscriptions, mailbox events, and EWS in Exchange.

Sie können bestimmte Ordner (z. B. Posteingang oder Kalender), oder alle Ordner für Postfach-Änderungsereignisse (einschließlich NewMail, Created und Modified) abonnieren.

Client-Bibliotheken wie die EWS Java-API oder die Managed EWS C# API können verwendet werden,um auf diese Funktion zuzugreifen. Eine vollständige Beispielanwendung eines Push-Responders, die mitAWS Lambda und API Gateway (unter Verwendung des AWS Serverless-Frameworks) entwickelt wurde,finden Sie hier. Sie verwendet die EWS Java-API.

Im Folgenden finden Sie ein Beispiel für eine Push-Abonnementanforderung:

<?xml version="1.0" encoding="UTF-8"?><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:t="http://schemas.microsoft.com/exchange/services/2006/types"> <soap:Body> <m:Subscribe xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages"> <m:PushSubscriptionRequest> <t:FolderIds> <t:DistinguishedFolderId Id="inbox" /> </t:FolderIds> <t:EventTypes> <t:EventType>NewMailEvent</t:EventType> <t:EventType>CopiedEvent</t:EventType> <t:EventType>CreatedEvent</t:EventType> <t:EventType>DeletedEvent</t:EventType> <t:EventType>ModifiedEvent</t:EventType> <t:EventType>MovedEvent</t:EventType> </t:EventTypes> <t:StatusFrequency>1</t:StatusFrequency> <t:URL>https://YOUR_PUSH_RESPONDER_URL</t:URL> </m:PushSubscriptionRequest> </m:Subscribe> </soap:Body></soap:Envelope>

Nachfolgend finden Sie das Ergebnis der erfolgreichen Abonnementforderung:

<?xml version="1.0" encoding="UTF-8"?><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Header xmlns="http://schemas.xmlsoap.org/soap/envelope/"> <ServerVersionInfo xmlns="http://schemas.microsoft.com/exchange/services/2006/types" MajorVersion="14" MinorVersion="2" MajorBuildNumber="390" Version="Exchange2010_SP2" MinorBuildNumber="3" /> </Header> <soap:Body> <m:SubscribeResponse xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages" xmlns:t="http://schemas.microsoft.com/exchange/services/2006/types"> <m:ResponseMessages> <m:SubscribeResponseMessage ResponseClass="Success"> <m:ResponseCode>NoError</m:ResponseCode> <m:SubscriptionId>hKJETtoAdi9PPW0tZDQ4MThmMDoVYB</m:SubscriptionId> <m:Watermark>AAAAAAA=</m:Watermark> </m:SubscribeResponseMessage> </m:ResponseMessages> </m:SubscribeResponse>

Version 1.086

Amazon WorkMail Administrator-HandbuchArbeiten mit Benachrichtigungen

</soap:Body></soap:Envelope>

Anschließend werden Benachrichtigungen an die in der Abonnementanforderung angegebene URLgesendet. Im Folgenden finden Sie eine Beispielbenachrichtigung:

<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"> <soap:Header> <t:RequestServerVersion xmlns:t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages" Version="Exchange2010_SP2"> </t:RequestServerVersion> </soap:Header> <soap:Body> <m:SendNotification xmlns:t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages"> <m:ResponseMessages> <m:SendNotificationResponseMessage ResponseClass="Success"> <m:ResponseCode>NoError</m:ResponseCode> <m:Notification> <t:SubscriptionId>hKJETtoAdi9PPW0tZDQ4MThmMDoVYB</t:SubscriptionId> <t:PreviousWatermark>ygwAAAAAAAA=</t:PreviousWatermark> <t:MoreEvents>false</t:MoreEvents> <t:ModifiedEvent> <t:Watermark>ywwAAAAAAAA=</t:Watermark> <t:TimeStamp>2018-02-02T15:15:14Z</t:TimeStamp> <t:FolderId Id="AAB2L089bS1kNDgxOGYwOGE5OTQ0="></t:FolderId> <t:ParentFolderId Id="AAB2L089bS1kNDgxOGYwOGE="></t:ParentFolderId> </t:ModifiedEvent> </m:Notification> </m:SendNotificationResponseMessage> </m:ResponseMessages> </m:SendNotification> </soap:Body></soap:Envelope>

Um zu bestätigen, dass der Push-Benachrichtigungs-Responder die Benachrichtigung erhalten hat, musser mit folgendem Inhalt antworten:

<?xml version="1.0"?> <s:Envelope xmlns:s= "http://schemas.xmlsoap.org/soap/envelope/"> <s:Body> <SendNotificationResult xmlns="http://schemas.microsoft.com/exchange/services/2006/messages"> <SubscriptionStatus>OK</SubscriptionStatus> </SendNotificationResult> </s:Body> </s:Envelope>

Um sich vom Empfang von Push-Benachrichtigungen abzumelden, müssen Clients eineAbmeldeanforderung im Feld SubscriptionStatus senden. Diese sieht z. B. folgendermaßen aus:

Version 1.087

Amazon WorkMail Administrator-HandbuchVerwalten mobiler Geräte

<?xml version="1.0"?> <s:Envelope xmlns:s= "http://schemas.xmlsoap.org/soap/envelope/"> <s:Body> <SendNotificationResult xmlns="http://schemas.microsoft.com/exchange/services/2006/messages"> <SubscriptionStatus>Unsubscribe</SubscriptionStatus> </SendNotificationResult> </s:Body> </s:Envelope>

Um den Status des Push-Benachrichtigungs-Responders zu verifizieren, sendet StatusEvent einen"Heartbeat" (auch als Amazon WorkMail bezeichnet). Die Häufigkeit, mit der dieser gesendet wird, wirddurch den Parameter StatusFrequency bestimmt, der in der ersten Abonnementanforderung angegebenist. Wenn z. B. StatusFrequency gleich 1 ist, wird jede Minute ein StatusEvent gesendet. Dieser Wertkann zwischen 1 und 1440 Minuten liegen. Das StatusEvent sieht wie folgt aus:

<?xml version="1.0 (http://www.w3.org/TR/REC-xml/)" encoding="utf-8"?><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Header> <t:RequestServerVersion xmlns:t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages" Version="Exchange2010_SP2"/></soap:Header><soap:Body> <m:SendNotification xmlns:t="http://schemas.microsoft.com/exchange/services/2006/types" xmlns:m="http://schemas.microsoft.com/exchange/services/2006/messages"> <m:ResponseMessages> <m:SendNotificationResponseMessage ResponseClass="Success"> <m:ResponseCode>NoError</m:ResponseCode> <m:Notification> <t:SubscriptionId>hKJETtoAdi9PPW0tZDQ4MThmMDoVYB</t:SubscriptionId> <t:PreviousWatermark>AAAAAAAAAAA=</t:PreviousWatermark> <t:MoreEvents>false</t:MoreEvents> <t:StatusEvent> <t:Watermark>AAAAAAAAAAA=</t:Watermark> </t:StatusEvent> </m:Notification> </m:SendNotificationResponseMessage> </m:ResponseMessages></m:SendNotification></soap:Body></soap:Envelope>

Wenn ein Client Push-Benachrichtungs-Responder nicht antwortet (mit dem gleichen OK-Status wiezuvor), wird die Benachrichtigung für maximal StatusFrequency Minuten wiederholt. Wenn z. B.StatusFrequency gleich 5 ist und die erste Benachrichtigung fehlschlägt, wird sie für maximal 5 Minutenmit einem exponentiellen Backoff zwischen den einzelnen Wiederholungsversuchen wiederholt. Wenn dieBenachrichtigung nach Ablauf der Wiederholungszeit nicht zugestellt wird, wird das Abonnement ungültigund es werden keine neuen Benachrichtigungen zugestellt. Sie müssen ein neues Abonnement anlegen,um weiterhin Benachrichtigungen über Postfach-Ereignisse zu erhalten. Derzeit können Sie maximal dreiAbonnements pro Postfach abonnieren.

Verwalten mobiler GeräteÜber Amazon WorkMail können Sie Mobilgeräte remote zurücksetzen, Geräte aus Ihrer Organisationentfernen und Details für Geräte in Ihrer Organisation anzeigen. Weitere Informationen zum Bearbeiten von

Version 1.088

Amazon WorkMail Administrator-HandbuchRemote-Zurücksetzung von Mobilgeräten

Richtlinien für Mobilgeräte in Ihrer Organisation finden Sie unter Bearbeiten der Mobilgeräte-Richtlinie IhrerOrganisation (p. 54).

Themen• Remote-Zurücksetzung von Mobilgeräten (p. 89)• Entfernen von Geräten eines Benutzers aus der Geräteliste (p. 89)• Anzeigen von Mobilgerätedetails (p. 90)

Remote-Zurücksetzung von MobilgerätenSie können eine Remote-Zurücksetzung nur durchführen, wenn das Benutzergerät mit Amazon WorkMailverbunden ist. Wenn das Gerät nicht mit dem Netzwerk verbunden ist, wird der Vorgang nicht funktionieren.

Warning

Bei den meisten Mobilgeräten führt eine Remote-Zurücksetzung dazu, dass das Gerät auf diewerkseitigen Voreinstellungen zurückgesetzt wird. Alle Daten, darunter persönliche Dateien,können entfernt werden, wenn Sie diesen Vorgang durchführen.

So nehmen Sie eine Remote-Zurücksetzung von Benutzermobilgeräten vor

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organisationen) in der Liste der Organisationen den AliasIhrer Organisation aus.

4. Wählen Sie im Navigationsbereich Users den Benutzer, dessen Gerät Sie ansehen möchten, undMobile aus.

5. Wählen Sie aus der Geräteliste das Gerät, das Sie zurücksetzen möchten, und Wipe device aus.6. Überprüfen Sie den Status in der Übersicht, um zu sehen, ob die Zurücksetzung angefordert wurde.7. Nachdem das Gerät zurückgesetzt wurde, können Sie es aus der Liste entfernen.

Important

Um ein Gerät erneut hinzuzufügen, vergewissern Sie sich, dass es von der Liste entferntwurde; andernfalls wird das Gerät erneut zurückgesetzt.

Entfernen von Geräten eines Benutzers aus derGerätelisteWenn ein Benutzer ein bestimmtes Mobilgerät nicht mehr benutzt oder eine Remote-Zurücksetzung für dasGerät vorgenommen wurde, können Sie es aus der Liste entfernen. Wenn der Benutzer das Gerät wiederkonfiguriert, erscheint es in der Liste.

So entfernen Sie die Mobilgeräte eines Benutzers aus der Geräteliste

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organisationen) in der Liste der Organisationen den AliasIhrer Organisation aus.

Version 1.089

Amazon WorkMail Administrator-HandbuchAnzeigen von Mobilgerätedetails

4. Wählen Sie im Navigationsbereich Users, den Benutzer, dessen Gerät Sie ansehen möchten, undMobile aus.

5. Wählen Sie in der Geräteliste das Gerät, das Sie entfernen möchten, und Remove device aus.

Anzeigen von MobilgerätedetailsSie können die Details des Mobilgeräts eines Benutzers aufrufen.

Note

Einige Geräte senden nicht alle Details an den Server. Sie können daher unter Umständen nichtalle verfügbaren Gerätedetails sehen.

So rufen Sie Gerätedetails auf

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organisationen) in der Liste der Organisationen den AliasIhrer Organisation aus.

4. Wählen Sie im Navigationsbereich Users, den Benutzer, dessen Gerät Sie ansehen möchten, undMobile aus.

5. Wählen Sie in der Geräteliste das Gerät aus, dessen Details Sie aufrufen möchten. DieGerätestatuscodes sind in der folgenden Tabelle aufgelistet.

Status Beschreibung

Provisioning Required (Bereitstellungerforderlich)

Ein Benutzer oder Administrator hat beantragt,dass das Gerät für die Verwendung mit AmazonWorkMail bereitgestellt wird. Geräte werdenebenfalls auf diesen Status gesetzt, wenndie aktuelle Richtlinie für dieses Gerät in derAmazon WorkMail-Konsole geändert wird.

Provisioning Succeeded (Bereitstellungerfolgreich)

Das Gerät wurde erfolgreich bereitgestellt oderzurückgesetzt. Im Falle einer Bereitstellung hatdas Gerät die jeweilige Richtlinie durchgeführt.

Wipe Required (Zurücksetzung erforderlich) Ein Administrator hat eine Zurücksetzung in derAmazon WorkMail-Konsole beantragt.

Wipe Succeeded (Zurücksetzung erfolgreich) Das Gerät wurde erfolgreich zurückgesetzt.

Aktivieren signierter oder verschlüsselter E-MailsMit S/MIME können Sie Benutzern ermöglichen, signierte oder verschlüsselte E-Mails innerhalb undaußerhalb der Organisation zu senden.

Note

Benutzerzertifikate in der Global Address List (GAL) werden nur in einer Konfiguration mitverbundenem Active Directory unterstützt.

Version 1.090

Amazon WorkMail Administrator-HandbuchAktivieren signierter oder verschlüsselter E-Mails

So ermöglichen Sie es Benutzern, signierte oder verschlüsselte E-Mails zu senden

1. Richten Sie einen Active Directory (AD) Connector ein. Wenn Sie einen AD Connectormit Ihrem lokalen Verzeichnis einrichten, können Benutzer weiter ihre vorhandenenUnternehmensanmeldeinformationen verwenden.

2. Konfigurieren Sie die automatische Zertifikatregistrierung, um Benutzerzertifikate automatischauszustellen und im Active Directory zu speichern. Amazon WorkMail erhält Benutzerzertifikateaus dem Active Directory und veröffentlicht sie in der GAL. Weitere Informationen finden Sie unterConfigure Certificate Autoenrollment.

3. Verteilen Sie die erstellten Zertifikate an die Benutzer, indem Sie die Zertifikate vom Exchange Serverimportieren und sie ihnen per E-Mail schicken.

4. Jeder Benutzer installiert das Zertifikat in seinem E-Mail-Programm (wie Windows Outlook) und aufseinen Mobilgeräten.

Version 1.091

Amazon WorkMail Administrator-HandbuchErstellen einer Gruppe

Arbeiten mit GruppenGruppen können in Amazon WorkMail als Verteilungslisten für den Empfang von E-Mails für generischeE-Mail-Adressen wie sales@example.com oder support@example.com verwendet werden. Sie könnenmehrere E-Mail-Aliasse für eine Gruppe erstellen.

Darüber hinaus können Sie Gruppen als Sicherheitsgruppen nutzen, um einen Posteingang oder Kalenderfür ein bestimmtes Team freizugeben. Es kann bis zu zwei Stunden dauern, bis neu hinzugefügte Gruppenin Ihrem Offline-Adressbuch von Microsoft Outlook angezeigt werden.

Gruppen verfügen nicht über eigene Postfächer. Weitere Informationen zum Festlegen vonGruppenberechtigungen finden Sie unter Verwalten von Gruppenberechtigungen (p. 98).

Themen• Erstellen einer Gruppe (p. 92)• Aktivieren einer vorhandenen Gruppe (p. 93)• Hinzufügen von Benutzern zu einer Gruppe (p. 93)• Entfernen von Benutzern aus einer Gruppe (p. 94)• Eine Gruppe deaktivieren (p. 94)

Erstellen einer GruppeErstellen Sie Gruppen in der Amazon WorkMail-Konsole. Sie können auch Aliase für Ihre Gruppenerstellen.

So erstellen Sie eine Gruppe

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Wenn Sie eine andere AWS-Region benötigen, ändern Sie sie über die Navigationsleiste. Weitere

Informationen finden Sie unter Regionen und Endpunkte im Allgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organisationen) in der Spalte Alias den Namen derOrganisation aus, zu der Sie eine Gruppe hinzufügen möchten.

4. Klicken Sie im Navigationsbereich auf Groups (Gruppen), um eine Liste der aktivierten, deaktiviertenund Systemgruppen anzuzeigen.

5. Klicken Sie auf Create group, um eine neue Gruppe zu erstellen.6. Geben Sie auf der Seite Add group details den Namen der Gruppe und die E-Mail-Adresse ein und

klicken Sie anschließend auf Add group members.7. Geben Sie auf der Seite Add members to group unter Search den Vornamen, Nachnamen,

Benutzernamen oder Gruppennamen des Benutzers ein und drücken Sie Enter.8. Wählen Sie in der Liste der Verzeichnisbenutzer und -gruppen die als Mitglied hinzuzufügenden

Benutzer oder Gruppen aus.9. Klicken Sie auf den Pfeil nach rechts, um sie zur Liste der ausgewählten Benutzer/Gruppen

hinzuzufügen, und klicken Sie auf Finish (Fertigstellen).

So erstellen Sie einen Gruppe Alias

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.

Version 1.092

Amazon WorkMail Administrator-HandbuchAktivieren einer vorhandenen Gruppe

2. Wenn Sie eine andere AWS-Region benötigen, ändern Sie sie über die Navigationsleiste. WeitereInformationen finden Sie unter Regionen und Endpunkte im Allgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organizationen) in der Spalte Alias den Namen derOrganisation aus, zu der Ihre Gruppe gehört.

4. Klicken Sie im Navigationsbereich auf Groups (Gruppen), um eine Liste der aktivierten, deaktiviertenund Systemgruppen anzuzeigen.

5. Wählen Sie für Group name (Gruppenname), den Namen der Gruppe aus, für die Sie den Aliaserstellen.

6. Wählen Sie auf der Registerkarte General (Allgemein) die Option Edit (Bearbeiten) aus.7. Wählen Sie für Email aliases (E-Mail-Aliasse) die Option Add email address (E-Mail-Adresse

hinzufügen) aus.8. Geben Sie den für die Gruppe zu erstellenden Alias ein.9. Wählen Sie Save (Speichern) aus.

Aktivieren einer vorhandenen GruppeWenn Amazon WorkMail in das Active Directory Ihres Unternehmens integriert ist oder in Ihrem SimpleAD-Verzeichnis bereits Gruppen verfügbar sind, können Sie diese Gruppen als Sicherheitsgruppen oderVerteilungslisten in Amazon WorkMail verwenden.

So aktivieren Sie eine vorhandene Verzeichnisgruppe

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Wenn Sie eine andere AWS-Region benötigen, ändern Sie sie über die Navigationsleiste. Weitere

Informationen finden Sie unter Regionen und Endpunkte im Allgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organisationen) in der Spalte Alias den Namen derOrganisation aus, zu der Sie eine Gruppe hinzufügen möchten.

4. Klicken Sie im Navigationsbereich auf Groups (Gruppen), um eine Liste der aktivierten, deaktiviertenund Systemgruppen anzuzeigen.

5. Wählen Sie in der Liste der deaktivierten Gruppen die zu aktivierenden Gruppen aus und klicken Sieauf Enable Group.

6. Überprüfen Sie im Dialogfeld Enable group(s) die primäre E-Mail-Adresse und klicken Sie auf Enable.

Hinzufügen von Benutzern zu einer GruppeNachdem Sie eine Amazon WorkMail-Gruppe erstellt und aktiviert haben, fügen Sie dieser Gruppe mithilfeder Amazon WorkMail-Konsole Benutzer hinzu.

Note

Wenn Amazon WorkMail in einem verbundenen Active Directory-Service oder in Microsoft ActiveDirectory integriert ist, können Sie Ihre Gruppenmitglieder mithilfe von Active Directory verwalten.Die Verteilung zu Amazon WorkMail kann in diesem Fall länger dauern.

Sie können bis zu 100 Benutzer gleichzeitig hinzufügen, indem Sie die folgenden Schritte ausführen.

So fügen Sie Benutzer einer Gruppe hinzu

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.

Version 1.093

Amazon WorkMail Administrator-HandbuchEntfernen von Benutzern aus einer Gruppe

2. Wenn Sie eine andere AWS-Region benötigen, ändern Sie sie über die Navigationsleiste. WeitereInformationen finden Sie unter Regionen und Endpunkte im Allgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organizationen) in der Spalte Alias den Namen derOrganisation aus, zu der Ihre Gruppe gehört.

4. Klicken Sie auf Groups (Gruppen).5. Wählen Sie den Namen der Gruppe aus.6. Wählen Sie auf der Seite Group details (Gruppendetails) die Option Members (Mitglieder) aus.7. Wählen Sie Edit (Bearbeiten) aus.8. Suchen Sie unter Users and groups (Benutzer und Gruppen) nach den Benutzern, die der Gruppe

hinzugefügt werden sollen, und wählen Sie sie aus.9. Wählen Sie >>. Die Benutzer werden unter Group members (Gruppenmitglieder) angezeigt.10. Wählen Sie Save aus.

Die Verteilung Ihrer Änderungen kann einige Minuten dauern.

Entfernen von Benutzern aus einer GruppeVerwenden Sie die Amazon WorkMail-Konsole, um Benutzer aus einer Gruppe zu entfernen.

Note

Wenn Amazon WorkMail in einem verbundenen Active Directory oder in Microsoft Active Directoryintegriert ist, können Sie Ihre Gruppenmitglieder mithilfe des Active Directory verwalten. DieVerteilung zu Amazon WorkMail kann in diesem Fall länger dauern.

So entfernen Sie Benutzer aus einer Gruppe

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Wenn Sie eine andere AWS-Region benötigen, ändern Sie sie über die Navigationsleiste. Weitere

Informationen finden Sie unter Regionen und Endpunkte im Allgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations (Organizationen) in der Spalte Alias den Namen derOrganisation aus, zu der Ihre Gruppe gehört.

4. Klicken Sie auf Groups (Gruppen).5. Wählen Sie den Namen der Gruppe aus.6. Wählen Sie auf der Seite Group details (Gruppendetails) die Option Members (Mitglieder) aus.7. Wählen Sie Edit (Bearbeiten) aus.8. Suchen Sie unter Group members (Gruppenmitglieder) nach den Benutzern, die der Gruppe

hinzugefügt werden sollen, und wählen Sie sie aus.9. Wählen Sie <<. Die Benutzer werden nicht mehr unter Group members (Gruppenmitglieder) angezeigt.10. Wählen Sie Save aus.

Die Verteilung Ihrer Änderungen kann einige Minuten dauern.

Eine Gruppe deaktivierenWenn Sie eine Gruppe nicht mehr benötigen, können Sie sie deaktivieren.

Version 1.094

Amazon WorkMail Administrator-HandbuchEine Gruppe deaktivieren

So deaktivieren Sie eine Gruppe

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Wenn Sie eine andere AWS-Region benötigen, ändern Sie sie über die Navigationsleiste. Weitere

Informationen finden Sie unter Regionen und Endpunkte im Allgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations in der Spalte Alias den Namen der Organisation aus, aus derSie eine Gruppe entfernen möchten.

4. Wählen Sie im Navigationsbereich die Option Groups (Platzierungsgruppen).5. Wählen Sie in der Liste der Gruppen die zu deaktivierende Gruppe aus und klicken Sie auf Disable

group.6. klicken Sie im Dialogfeld Disable group(s) auf Disable.

Note

Um eine Gruppe permanent zu löschen , verwenden Sie die API-Aktion DeleteGroup fürAmazon WorkMail. Weitere Informationen finden Sie unter DeleteGroup in der Amazon WorkMailAPI-Referenz.

Version 1.095

Amazon WorkMail Administrator-HandbuchPostfach- und Ordnerberechtigungen

Arbeiten mit PostfachberechtigungenSie können mit Postfachberechtigungen in Amazon WorkMail Benutzern oder Gruppen das Recht erteilen,Postfächer anderer Benutzer zu verwenden. Postfachberechtigungen gelten für ein gesamtes Postfach.Dadurch können mehrere Benutzer auf dasselbe Postfach zugreifen, ohne dass die Anmeldeinformationenfür das Postfach freigegeben werden. Benutzer mit Postfachberechtigungen können Postfachdaten lesenund ändern und E-Mails über das geteilte Postfach senden.

In der folgenden Liste sind die Berechtigungen erhalten, die Sie erteilen können:

• Send On Behalf (Im Auftrag senden): Ermöglicht einem Benutzer oder einer Gruppe, E-Mails im Auftrageines anderen Benutzers zu senden. Der Postfachbesitzer wird in der Kopfzeile From: (Von) und derSender in der Kopfzeile Sender: (Absender) angezeigt.

• Send As (Senden als): Ermöglicht einem Benutzer oder einer Gruppe, E-Mails als Postfachbesitzer zusenden, ohne dass der tatsächliche Absender der Nachricht angezeigt wird. Der Postfachbesitzer wird inden Kopfzeilen From: (Von) und Sender: (Absender) angezeigt.

• Full Access (Vollzugriff): Ermöglicht einen vollständigen Lese- und Schreibzugriff auf das Postfach,einschließlich der Berechtigungen, Berechtigungen auf Ordnerebene zu ändern.

Note

Wenn Sie Postfachberechtigungen für eine Gruppe gewähren, werden diese Berechtigungen aufalle Mitglieder der Gruppe ausgedehnt, einschließlich der Mitglieder verschachtelter Gruppen.

Wenn Sie Postfachberechtigungen erteilen, aktualisiert der Amazon WorkMail AutoDiscover-Serviceautomatisch den Zugriff auf diese Postfächer für die hinzugefügten Benutzer oder Gruppen.

Beim Microsoft Outlook-Client in Windows können Benutzer mit vollständigen Zugriffsberechtigungenautomatisch auf freigegebene Postfächer zugreifen. Es kann bis zu 60 Minuten dauern, bis die Änderungenübernommen werden. Alternativ können Sie Microsoft Outlook auch neu starten.

Bei der Amazon WorkMail-Webanwendung und anderen E-Mail-Clients können Benutzer mit vollständigenZugriffsberechtigungen die freigegebenen Postfächer manuell öffnen. Geöffnete Postfächer bleiben auchzwischen Sitzungen geöffnet, sofern der Benutzer diese nicht schließt.

Themen• Postfach- und Ordnerberechtigungen (p. 96)• Aktivieren von Postfachberechtigungen (p. 97)• Bearbeiten von Postfachberechtigungen (p. 97)• Entfernen von Postfachberechtigungen (p. 97)• Verwalten von Gruppenberechtigungen (p. 98)

Postfach- und OrdnerberechtigungenPostfachberechtigungen gelten für alle Ordner in einem Postfach. Diese Berechtigungen können nur vomEigentümer des AWS-Kontos oder dem IAM-Benutzer aktiviert werden, der berechtigt ist, die AmazonWorkMail-Management-API aufzurufen. Um die Berechtigungen für die Postfächer oder Gruppen alsGanzes zu übernehmen, melden Sie sich bei der AWS Management Console an oder verwenden Sie die

Version 1.096

Amazon WorkMail Administrator-HandbuchAktivieren von Postfachberechtigungen

Amazon WorkMail- API. Sie können bis zu 100 Postfach- und Gruppenberechtigungen über die Konsoleverwalten. Um weitere Berechtigungen zu verwalten, verwenden Sie die Amazon WorkMail-API.

Ordnerberechtigungen gelten nur für einen einzigen Ordner. Diese Berechtigungen können vonEndbenutzern über einen E-Mail-Client oder über die Amazon WorkMail-Webanwendung festgelegtwerden.

Aktivieren von PostfachberechtigungenSie können anderen Benutzern den Zugriff auf ein Postfach mit der Amazon WorkMail-Webanwendunggestatten.

So aktivieren Sie Postfachberechtigungen

1. Wählen Sie in der Amazon WorkMail-Anwendung auf der Seite User details (Benutzerdetails) unterPermissions (Berechtigungen) die Option Add or remove (Hinzufügen oder Entfernen) aus.

2. Wählen Sie unter Users and groups (Benutzer und Gruppen) den Benutzer oder die Gruppe aus,mit dem bzw. der Sie Ihren Posteingang teilen möchten, und klicken Sie auf >>, um diese zur ListePermissions (Berechtigungen) hinzuzufügen. Wählen Sie Save aus.

3. Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die zu gewährendeBerechtigungsebene und anschließend Save (Speichern) aus.

Es kann bis zu fünf Minuten dauern, bis aktualisierte Berechtigungen übernommen werden.

Bearbeiten von PostfachberechtigungenSie können vorhandene Postfachberechtigungen für Amazon WorkMail bearbeiten.

So bearbeiten Sie Postfachberechtigungen

1. Wählen Sie in der Amazon WorkMail-Anwendung auf der Seite User details (Benutzerdetails) unterPermissions (Berechtigungen) die Option Edit (Bearbeiten) aus.

2. Wählen Sie die zu ändernden Berechtigungen aus und klicken Sie auf Save (Speichern).

Es kann bis zu fünf Minuten dauern, bis aktualisierte Berechtigungen übernommen werden.

Entfernen von PostfachberechtigungenSie können vorhandene Postfachberechtigungen für Amazon WorkMail entfernen.

So entfernen Sie Postfachberechtigungen

1. Wählen Sie in der Amazon WorkMail-Anwendung auf der Seite User details (Benutzerdetails) unterPermissions (Berechtigungen) die Option Add or remove (Hinzufügen oder Entfernen) aus.

2. Wählen Sie unter Users and groups (Benutzer und Gruppen) den Benutzer oder die Gruppe aus undentfernen Sie diesen bzw. diese aus der Liste Permissions (Berechtigungen).

3. Wählen Sie Save aus.

Es kann bis zu fünf Minuten dauern, bis aktualisierte Berechtigungen übernommen werden.

Version 1.097

Amazon WorkMail Administrator-HandbuchVerwalten von Gruppenberechtigungen

Verwalten von GruppenberechtigungenSie können Gruppenberechtigungen für Amazon WorkMail hinzufügen oder entfernen.

Note

Full Access (Vollzugriff)-Berechtigungen stehen für Gruppen nicht zur Verfügung, da Gruppen keinPostfach haben, auf das sie zugreifen können.

So verwalten Sie Gruppenberechtigungen

1. Wählen Sie in der Amazon WorkMail-Anwendung auf der Seite Groups (Gruppen) unter WorkMailgroups (WorkMail-Gruppen) die zu verwaltende Gruppe aus.

2. Wählen Sie unter Permissions (Berechtigungen) Add or remove (Hinzufügen oder Entfernen) aus.3. Klicken Sie unter Users and groups (Benutzer und Gruppen) auf die Gruppe, die Sie hinzufügen oder

entfernen möchten. Fügen Sie diese zur Liste Permissions (Berechtigungen) hinzu oder entfernen Siesie aus dieser und wählen Sie dann Save (Speichern) aus.

Note

Wenn Sie eine Gruppe zur Liste Permissions (Berechtigungen) hinzugefügt haben,wählen Sie auf der Registerkarte Permissions (Berechtigungen) die zu erteilendeBerechtigungsebene aus und klicken Sie auf Save (Speichern).

Es kann bis zu fünf Minuten dauern, bis aktualisierte Berechtigungen übernommen werden.

Version 1.098

Amazon WorkMail Administrator-HandbuchErstellen einer Ressource

Mit Ressourcen arbeitenAmazon WorkMail kann Ihre Benutzer dabei unterstützen, Ressourcen wie Besprechungsräume oderGeräte (Projektoren, Telefone, Fahrzeuge usw.) zu reservieren. Um eine Ressource zu buchen, fügt derBenutzer die Ressource der Besprechungseinladung hinzu.

Themen• Erstellen einer Ressource (p. 99)• Bearbeiten einer Ressource (p. 99)• Entfernen einer Ressource (p. 100)

Erstellen einer RessourceSie können Ihrer Organisation eine neue Ressource hinzufügen und deren Reservierung zulassen.

So fügen Sie eine Ressource hinzu

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations Ihre Organisation aus.4. Wählen Sie im Navigationsbereich Resources und Add resource aus.5. Geben Sie auf der Seite Add resource details Werte für die Felder Resource name, Description,

Resource type und Email address ein.6. Wählen Sie Create aus.

Bearbeiten einer RessourceSie können die allgemeinen Details einer Ressource (Name, Beschreibung, Typ und E-Mail-Adresse),Buchungsoptionen und Delegierungen bearbeiten.

So bearbeiten Sie allgemeine Ressourcendetails

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations Ihre Organisation aus.4. Klicken Sie im Navigationsbereich auf Resources und wählen Sie die zu bearbeitende Ressource aus.5. Aktualisieren Sie auf der Registerkarte General die zu ändernden Details: Resource name,

Description, Resource Type oder Email address.6. Wählen Sie Save aus.

Sie können eine Ressource so konfigurieren, dass sie Buchungsanfragen automatisch annimmt oderablehnt.

Version 1.099

Amazon WorkMail Administrator-HandbuchEntfernen einer Ressource

So aktivieren oder deaktivieren Sie die automatische Verarbeitung von Buchungsanfragen

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations Ihre Organisation aus.4. Klicken Sie im Navigationsbereich auf Resources und wählen Sie dann die zu bearbeitende Ressource

aus.5. Klicken Sie auf der Registerkarte Booking Options auf Edit.6. Um alle Ressourcenanforderungen automatisch zu akzeptieren, wählen Sie Automatically accept all

resource requests aus.7. Um wiederkehrende Ressourcenanforderungen automatisch abzulehnen, wählen Sie Automatically

decline recurring resource requests aus.8. Wenn Sie in Konflikt stehende Ressourcenanforderungen automatisch ablehnen möchten, wählen Sie

Automatically decline conflicting resource requests aus.9. Wählen Sie Save aus.

Sie können eine Delegierung hinzufügen, um Buchungsanforderungen für eine Ressource zu steuern.Ressourcendelegierte erhalten automatisch Kopien aller Buchungsanfragen und haben vollen Zugriff aufden Ressourcenkalender. Außerdem müssen sie alle Buchungsanfragen für eine Ressource annehmen.

So fügen Sie einen Ressourcendelegierten hinzu

Note

Bevor Sie fortfahren, gehen Sie wie oben beschrieben vor, um die Option Automatically accept allresource requests zu deaktivieren.

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

3. Wählen Sie auf der Seite Organizations Ihre Organisation aus.4. Klicken Sie im Navigationsbereich auf Resources und wählen Sie den Namen der zu bearbeitenden

Ressource aus.5. Wählen Sie auf der Registerkarte Delegates die Option Edit aus.6. Wählen Sie die Benutzer oder Gruppen aus, die Sie als Delegierte hinzufügen möchten, und fügen Sie

sie mit dem Pfeil nach rechts der Delegiertenliste hinzu.7. Wählen Sie Save aus.

Entfernen einer RessourceWenn Sie eine Ressource nicht mehr benötigen, können Sie sie entfernen.

So entfernen Sie eine Ressource

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Ändern Sie, falls erforderlich, die Region. Wählen Sie auf der Navigationsleiste die Region aus, die

Ihren Anforderungen entspricht. Weitere Informationen finden Sie unter Regionen und Endpunkte imAllgemeine Amazon Web Services-Referenz.

Version 1.0100

Amazon WorkMail Administrator-HandbuchEntfernen einer Ressource

3. Wählen Sie auf der Seite Organizations die Organisation aus.4. Wählen Sie im Navigationsbereich Resources aus.5. Markieren Sie in der Liste der Ressourcen die zu entfernende Ressource und wählen Sie Remove aus.6. Wählen Sie im Dialogfeld Remove resource(s) die Option Remove aus.

Version 1.0101

Amazon WorkMail Administrator-HandbuchVerwenden des E-Mail-Journals

Verwenden des E-Mail-Journals mitAmazon WorkMail

Sie können Ihre E-Mail-Kommunikation mithilfe von integrierten Archivierungs- und E-Discovery-Toolsvon Drittanbietern in einem E-Mail-Journal aufzeichnen. Auf diese Weise stellen Sie die Einhaltung vonCompliance-Vorgaben für Datenschutz, Datenspeicherung und Datensicherheit bei der E-Mail-Speicherungsicher.

Verwenden des E-Mail-JournalsAmazon WorkMail erfasst alle E-Mails in einem Journal, die an die Benutzer in der angegebenenOrganisation oder von diesen gesendet werden. Von jeder E-Mail wird eine Kopie in einem Format mit derBezeichnung journal record an die vom Systemadministrator festgelegte Adresse gesendet. DiesesFormat ist mit den E-Mail-Programmen von Microsoft kompatibel. Für die Nutzung des E-Mail-Journalsfallen keine zusätzlichen Gebühren an.

Für das E-Mail-Journal werden zwei E-Mail-Adressen verwendet — eine für das Journal und eine für denReport. Bei der E-Mail-Adresse für das Journal handelt es sich um ein dediziertes Postfach oder das Geräteines Drittanbieters in Ihrem Konto, an das die Journalberichte gesendet werden. Über die E-Mail-Adressefür den Report werden Nachrichten zu fehlerhaften Journalberichten an den Systemadministrator gesendet.

Alle Journaleinträge werden über eine E-Mail-Adresse versendet, die automatisch zu Ihrer Domänehinzugefügt wird und folgendes Format aufweist:

amazonjournaling@yourorganization.awsapps.com

Mit dieser Adresse ist kein Postfach verknüpft (Sie können auch keines mit diesem Namen oder dieserAdresse erstellen).

Note

Der folgende Domäneneintrag darf nicht aus der Amazon SES-Konsole gelöscht werden –andernfalls kann die Funktion des E-Mail-Journals nicht mehr genutzt werden:

yourorganization.awsapps.com

Jede ein- oder ausgehende E-Mail generiert einen Journaleintrag, unabhängig von der Anzahl derEmpfänger oder Benutzergruppen. E-Mails, für die kein Journaleintrag generiert werden kann, erzeugeneine Fehlernachricht, die an die E-Mail-Adresse für den Report gesendet wird.

So aktivieren Sie das E-Mail-Journal

1. Öffnen Sie die Amazon WorkMail-Konsole unter https://console.aws.amazon.com/workmail/.2. Klicken Sie auf dem Bildschirm Organization settings auf Journaling Settings, Edit und On.3. Geben Sie unter Journaling email address die vom E-Mail-Anbieter für das Journal bereitgestellte E-

Mail-Adresse ein.Note

Wir empfehlen die Verwendung eines dedizierten Journal-Anbieters.

Version 1.0102

Amazon WorkMail Administrator-HandbuchVerwenden des E-Mail-Journals

4. Geben Sie unter Report email address die E-Mail-Adresse des Administrators an.5. Wählen Sie Save aus. Die Änderungen werden sofort übernommen.

Version 1.0103

Amazon WorkMail Administrator-Handbuch

DokumentverlaufIn der folgenden Tabelle sind wichtige Änderungen in jeder Version des Amazon WorkMail-Administratorhandbuchs beschrieben. Um Benachrichtigungen über Aktualisierungen dieserDokumentation zu erhalten, können Sie einen RSS-Feed abonnieren.

update-history-change update-history-description update-history-date

Durchsetzen von DMARC-Richtlinien für eingehende E-Mails (p. 104)

Weitere Informationen finden Sieunter Durchsetzen von DMARC-Richtlinien für eingehende E-Mails im Amazon WorkMailAdministrator Guide.

October 17, 2019

Abrufen von Nachrichteninhaltenmit Lambda (p. 104)

Sie verwenden die AmazonWorkMail-Nachrichtenfluss-API mit AWS Lambda, umNachrichteninhalte abzurufen.Weitere Informationenfinden Sie unter Abrufenvon Nachrichteninhalten mitLambda im Amazon WorkMailAdministrator Guide.

September 12, 2019

Protokollieren vonAmazon WorkMail-E-Mail-Ereignissen (p. 104)

Aktivieren Sie die E-Mail-Ereignisprotokollierung in derAmazon WorkMail-Konsole,um E-Mail-Nachrichten für IhreOrganisation nachzuverfolgen.Weitere Informationen findenSie auf der Seite über dasNachverfolgen von Nachrichtenim Amazon WorkMailAdministrator Guide.

May 13, 2019

Einfügung von Route 53-DNS-Datensätzen (p. 104)

Beim Einrichten einer Domäne,die in einer öffentlichen, vonRoute 53 gehosteten Zoneverwaltet wird, fügt AmazonWorkMail die DNS-Datensätzeautomatisch für Sie ein. WeitereInformationen finden Sie unterHinzufügen einer Domäne imAmazon WorkMail AdministratorGuide.

February 13, 2019

Konfigurieren von Lambda fürRegelaktionen für eingehende E-Mails (p. 104)

Amazon WorkMail unterstütztdie Konfiguration von Lambda-Funktionen zur Verwendung mitRegeln für eingehenden E-Mail-Verkehr. Weitere Informationenfinden Sie unter E-Mail-Flussverwalten im Amazon WorkMailAdministrator Guide.

January 24, 2019

Version 1.0104

Amazon WorkMail Administrator-Handbuch

Konfigurieren von Lambda fürAmazon WorkMail (p. 104)

Amazon WorkMail unterstütztdie Konfiguration von Lambda-Funktionen zur Verwendung mitRegeln für ausgehenden E-Mail-Verkehr. Weitere Informationenfinden Sie unter Konfigurierenvon Lambda für AmazonWorkMail im Amazon WorkMailAdministrator Guide.

November 19, 2018

SMTP-Weiterleitung (p. 104) Amazon WorkMail unterstütztdie Konfiguration von SMTP-Gateways zur Verwendung mitRegeln für ausgehenden E-Mail-Verkehr. Weitere Informationenfinden Sie unter Konfigurierenvon SMTP Gateways im AmazonWorkMail Administrator Guide.

November 1, 2018

Debugging-Tools fürbenutzerdefinierteDomänen (p. 104)

Amazon WorkMail hatDebugging-Tools fürbenutzerdefinierte Domänenhinzugefügt. WeitereInformationen finden Sie unterHinzufügen einer Domäne imAmazon WorkMail AdministratorGuide.

October 15, 2018

Unterstützung für Outlook2019 (p. 104)

Amazon WorkMail unterstütztOutlook 2019 für Windowsund macOS. WeitereInformationen finden Sie unterSystemanforderungen fürAmazon WorkMail im AmazonWorkMail Administrator Guide.

October 1, 2018

Verschiedene Updates (p. 104) Verschiedene Updates zumLayout und zur Organisation derThemen.

July 12, 2018

Postfachberechtigungen (p. 104) Sie können mitPostfachberechtigungen inAmazon WorkMail Benutzernoder Gruppen das Rechterteilen, Postfächer andererBenutzer zu verwenden.Weitere Informationenfinden Sie unter Arbeiten mitPostfachberechtigungen imAmazon WorkMail AdministratorGuide.

April 9, 2018

Version 1.0105

Amazon WorkMail Administrator-Handbuch

Unterstützung für AWSCloudTrail (p. 104)

Amazon WorkMail ist in AWSCloudTrail integriert. WeitereInformationen finden Sie unterProtokollieren von AmazonWorkMail-API-Aufrufen mit AWSCloudTrail im Amazon WorkMailAdministrator Guide.

December 12, 2017

Unterstützung für E-Mail-Ablauf (p. 104)

Sie können nun Regeln fürden E-Mail-Verkehr für dieBearbeitung eingehender E-Mailsauf Basis der E-Mail-Adresseoder Domäne des Absenderseinrichten. Weitere Informationenfinden Sie unter E-Mail-Flussverwalten im Amazon WorkMailAdministrator Guide.

July 5, 2017

Aktualisierung derSchnelleinrichtung (p. 104)

Im Rahmen derSchnelleinrichtung wirdnun ein Amazon WorkMail-Verzeichnis für Sie erstellt.Weitere Informationen findenSie unter Amazon WorkMaileinrichten mit Quick Setup imAmazon WorkMail AdministratorGuide.

May 10, 2017

Unterstützung für weitere E-Mail-Clients (p. 104)

Sie können Amazon WorkMailnun mit Microsoft Outlook 2016für Mac und mit IMAP-E-Mail-Clients einsetzen. WeitereInformationen finden Sie unterSystemanforderungen fürAmazon WorkMail im AmazonWorkMail Administrator Guide.

January 9, 2017

Unterstützung für SMTP-Journal (p. 104)

Sie können Ihre E-Mail-Kommunikation in einemJournal aufzeichnen. WeitereInformationen finden Sie unterVerwenden des E-Mail-Journalsmit Amazon WorkMail im AmazonWorkMail Administrator Guide.

November 25, 2016

Unterstützung für E-Mail-Umleitung an externe E-Mail-Adressen (p. 104)

Sie können E-Mail-Umleitungsregeln einrichten,indem Sie die AmazonSES-Identitätsrichtlinie fürIhre Domäne aktualisieren.Weitere Informationen findenSie unter Bearbeiten vonDomänenidentitätsrichtlinien imAmazon WorkMail AdministratorGuide.

October 26, 2016

Version 1.0106

Amazon WorkMail Administrator-Handbuch

Unterstützung fürInteroperabilität (p. 104)

Sie können die Interoperabilitätvon Amazon WorkMail undMicrosoft Exchange nutzen.Weitere Informationen finden Sieunter Interoperabilität zwischenAmazon WorkMail und MicrosoftExchange im Amazon WorkMailAdministrator Guide.

October 25, 2016

AllgemeineVerfügbarkeit (p. 104)

Allgemeine Einführung vonAmazon WorkMail.

January 4, 2016

Unterstützung fürRessourcenreservierung (p. 104)

Unterstützung fürRessourcenreservierung,wie z. B. Konferenzräumeund Equipment. WeitereInformationen finden Sie unter MitRessourcen arbeiten im AmazonWorkMail Administrator Guide.

October 19, 2015

Unterstützung für das E-Mail-Migrationstool (p. 104)

Unterstützung für das E-Mail-Migrationstool. WeitereInformationen finden Sieunter Migration zu AmazonWorkMail im Amazon WorkMailAdministrator Guide.

August 16, 2015

Vorversion von AmazonWorkMail (p. 104)

Die Vorversion von AmazonWorkMail.

January 28, 2015

Version 1.0107