Exchange Online External Recipient Rate (ERR) Limit

Ab Januar 2025 beschränkt Exchange Online die Anzahl der Nachrichten an externe Empfänger mit der Funktion "External Recipient Rate (ERR) Limit". Diese Seite beschreibt die Auswirkungen.

Diese Seite bezieht sich auf die Grenzen pro Postfach. Es gibt noch Grenzen pro Tenant.

Worum geht es?

Seit Exchange Online etwas im Jahre 2007 das Licht (BPOS) erblickt hat, konnten Anwender im Rahmen ihrer Limits Mails an externe Empfänger senden. Allerdings konnten im Hybrid-Betrieb lokale Server über Exchange Online quasi "unlimited Mails" an andere externe Empfänger senden. Dies wird sich ab Januar 2025 ändern, denn diese freie Konfiguration wurde von Spammern und teils auch unwissenden Administratoren immer wieder missbraucht.

Damit nutzen diese Absender zum einen nur die Microsoft Plattform über Gebühr, denn jede Mail kostet Microsoft Strom, Server-I/O und Netzwerk-Kapazität. Zum anderen wehren sich die Empfänger natürlich gegen Spam und setzen damit die ausgehenden IP-Adressen von Exchange Online auf Sperrlisten. Microsoft musste also etwas tun, um den Missbrauch von Exchange Online für Spammer unattraktiv zu machen oder zumindest das Volumen zu drosseln.

Es ist nicht immer einfach die legitimen Administratoren namentlich zu kennen und ggfls. strafrechtlich zu verfolgen oder die Kosten in Rechnung zu stellen, wenn man auf der anderen Seite den Start einer Nutzung nicht erschweren will.

Letzter Stand

Im November 2024 hat Microsoft den Hinweis MC787382 im Admin Center noch einmal aktualisiert. Am 1. Januar gelten die neuen Limits für alle danach neu angelegten Tenants. Die Bestandstenants bekommen noch etwas mehr Zeit und werden am Juli 2025 bis Dezember 2025 angepasst.


https://admin.microsoft.com/#/MessageCenter/:/messages/MC787382

Damit wird es zumindest für neue Tenants schwerer, die Microsoft Plattform für Zwecke zu missbrauchen, die Microsoft ausgeschlossen aber bislang nicht immer streng verfolgt hat.

Bisherige Limits

Schon immer hat Exchange Online verschiedene Limits aktiviert, die auch öffentlich beschrieben sind.

Im wesentlichen kennen Administratoren z.B. das Limit pro Postfach von:

  • 10.000 Empfänger/Tag/Postfach
  • 1.000 Empfänger pro Mail
  • 30 Mails/Minute ausgehend
  • 3600 Mail/Tag eingehend
  • max. 33% vom gleichen Absender

Dabei sind "Empfänger" wirklich jede einzelne Adresse. 10 Mails an immer die gleiche Person werden als 10 Recipients gezählt. Diese Limits galten aber immer nur für authentifizierte Benutzer mit einem Exchange Online Postfach. Ian McDonald hat als Antwort zu den Kommentaren noch einige Aussagen nachgereicht, die ich gerne etwas erläutere (Quelle: https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-online-to-introduce-external-recipient-rate-limit/ba-p/4114733 ):

Aussage Beschreibung
The External Recipient Rate Limit will only be applicable to cloud-hosted mailboxes and it will be applied per cloud-hosted mailbox. If you are relaying through us from an on-premises mailbox, this doesn't apply to you.

Microsoft wendet die Limit als nur an, wenn die Mail von einem Exchange Online Postfach versendet wird. Es ist dabei aber egal, ob sie als Anwender nach erfolgter Anmeldung die Mail per MAPI, OWA; ActiveSync, IMAP oder auch SMTP einliefern.

We won’t count intratenant mail against the External Recipient Rate Limit even if it routes out of ExO then back in.

Solange der Absender und Empfänger intern sind, wird diese Mail als Intern gezählt. Das gilt auch, wenn Sie z.B. per Transportregel jede Mail per SMTP über ein externes System routen, z.B. für Disclaimer, Archiv, SMIME etc.

We also won’t double-count messages or recipients when the message is sent out of ExO, routes back in, then routes out of ExO again and to the final destination. 

Gerade Disclaimer-Lösungen nutzen den Weg gerne, ausgehende Mails über Transportregeln zum externen Disclaimer-Service zu routen, der die Mails dann aber wieder zu Exchange Online über einen "Inbound Organization Connector" sendet, damit Exchange Online die Mails dann wieder z.B. per DKIM signiert und ins Internet sendet. Das wird dann nur einmal gezählt.

However, if your cloud hosted mailbox routes any external mail to a 3rd party gateway​, then these mails to external recipients would be counted.

Damit ist klar, dass für Exchange Online eine Mail nach Extern immer gezählt wird, egal ob Exchange Online diese per MX-Record selbst versendet oder über ein vorgelagertes 3rd Party per Smarthost routet.

 

Der Versand über z.B. einen OrganizationConnector nach extern war bislang nicht reglementiert. Allerdings konnte ein Benutzer mit dem Limit für "10.000 Empfänger/Tag" auch 10.000 Mails ins Internet senden. Und genau das wird nun noch mal durch ein 2000er Limit für externe Empfänger limitiert. Ein Postfach kann nach der Aktivierung im Januar 2025 in 24 Stunden Mails wie folgt senden:

Extern Intern Ergebnis Ergebnis

0

10.000

OK

Bis zu 10.000 Mails gibt es kein Problem durch ERR.

1.000

9.000

OK

Auch die Summe von Extern und Intern sind <= 10.000.

2.000

8.000

OK

Bis zu 10.000 Mails in der Summe gibt es kein Problem durch ERR.

1.000

10.000

Problem

Insgesamt sind das dann 11.000 Mails Empfänger und daher werden die letzten 1000 Empfänger nicht erreicht.

3000

7000

Problem

Die 7000 interne Mails werden zugestellt aber 1000 der externen Mails werden nicht zugestellt, da max. 2000 externe Empfänger erlaubt sind.

3000

8000

Problem

Die interne Mails werden zugestellt aber 1000 externe Mails werden nicht zugestellt, da max. 2000 externe Empfänger erlaubt sind. In der Summe bleiben wir ja unter 10.000.

3000

9000

Problem

Es werden maximal 2000 externe Mails zugestellt. Aber auch bis zu 1000 interne Mails werden blockiert. Nun kommt es darauf an in welcher Reihenfolge diese gesendet werden. Werden zu erste alle internen gesendet, dann kommt alle 9000 an aber von den 3000 externen werden nur 1000 zugestellt, da das 10.000er Limit wirkt. Senden Sie erst alle Externen Mails, dann werden 2000 zugestellt und 1000 verworfen. Im Anschluss sind immer noch 8000 interne Mails möglich.

Exchange zählt dabei die Empfänger nach der Aufspaltung durch Gruppen. Ein Verteiler mit 5000 externen Kunden ist daher auch betroffen. Ein Serienbrief mit 5000 Einzeladressen an externe Adressen sind 5000 Empfänger. Mehrere Mails an die gleiche Person werden nicht als "ein Empfänger" gezählt.

Mehr als 200 externe Mails

Wenn ich also als Exchange Online Nutzer die Aufgabenstellung habe, mit einer Absenderadresse mehr als 2000 externe Empfänger innerhalb von 24 Stunden erreichen zu müssen, dann muss ich einen alternativen Weg finden. Microsoft wirbt hier natürlich für ihre eignes Angebot:

Aber natürlich gibt es auch andere Dienste wie z.B. Mailchimp, Mailgun, Sendgrid, etc.

Damit umgehen sie oft auch die Beschränkung von Exchange Online, dass eine Anmeldung per OAUTH erforderlich ist und die Nutzung von Basic Authentication für SMTP-Einlieferung auch ab September 2025 Geschichte ist

Exchange Online will permanently remove support for Basic authentication with Client Submission (SMTP AUTH) in September 2025
Quelle: Exchange Online to retire Basic auth for Client Submission (SMTP AUTH)
https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-online-to-retire-basic-auth-for-client-submission-smtp/ba-p/4114750

Die Nutzung von HVE - High Volume Email mit Exchange ist hier keine Lösung, da HVE nur größere Mailvolumen an eigene interne Empfänger berücksichtigt.

Weitere Links