TERRL - Tenant External Recipient Rate Limit

Exchange Online ist eine Service für Menschen und es gibt Grenzwerte pro Postfach zum Versand an und Empfang aus dem Internet, die normale Menschen eigentlich nie erreichen. Damit sind aber nicht alles Missbrauchsmöglichkeiten reglementiert, so dass Microsoft auch noch tenantweite Grenzwerte umsetzt. Sie wirken zusätzlich zu den Limits pro Postfach (Exchange Online External Recipient Rate (ERR) Limit) und sind Teil des Limit Enforcement System. Darum geht es auf dieser Seite.

Der Einführungszeitplan wurde verschoben:

Quelle: MC1023294 New Exchange Online Tenant Outbound Email Limits
https://admin.microsoft.com/Adminportal/Home?#/MessageCenter/:/messages/MC1023294

Exchange Online Funktionsbeschreibung

Exchange Online ist eine Kommunikationsplattform für Menschen und die können nun mal nur eine gewisse Anzahl an Mails pro Zeit lesen und schreiben. Daher hat Microsoft in seinen "Online Service Descriptions" auch einige Grenzwerte (Siehe Exchange Online Message Rate Grenzen dokumentiert, die nicht veränderlich sind. In Kürze sind das:

  • 3600 Mails/Stunde eingehend
  • 30 Mails/Min ausgehend

Ich denke kaum, dass ein Mensch auf Dauer alle 2 Sekunden eine neue Mail starten, adressieren und versenden kann. Solche Werte könnten aber ein Problem werden, wen Sie einen Serienbrief z.B. mit Word als Mails an viele Personen versenden. Aber auch dann kommen wir langsam an Grenzen, bei denen eine kommerzielle Versand-Lösung mit automatischer Verarbeitung von Rückläufern angesagt ist. Zudem gibt es weitere Limits pro Postfach im Bezug auf externe und interne Empfänger, die ich auf Exchange Online External Recipient Rate (ERR) Limit beschrieben haben. Jeder Benutzer kann..

Damit ist aber auch klar, was ein Exchange Online Postfach nicht sein kann:

  • Newsletter-Versender
  • ERP/CRM Kundenkommunikation
  • Massenempfang mit Event-Adressen
  • Spamversand u.a.

Dafür gibt es andere Lösungen wie z.B.

Limit pro Tenant

Neben den Grenzen pro Postfach gibt es aber auch noch ein globales Limits für ihren Tenant. Es gab wohl Firmen, die trickreicht die postfachbasierten Grenzen einfach mit vielen Postfächern umgegangen, mit Test- und Trial-Tenants o.ä. gearbeitet haben. Die Kalkulation eines Microsoft 365 Postfachs ist immer eine Michkalkulation und es wird immer aktivere und weniger aktive Nutzer geben. Auch die "Internet Flat Rate" oder "Fair Use Policy" beim Mobilfunk und DSL-Anschlüssen funktioniert so. Hinter einem Privatkundenanschluss mit "Telefonie Flat" darf ich auch kein Callcenter betreiben muss damit rechnen, dass der Anbieter Gegenmaßnahmen einleitet.

Für die Tenant-Grenzen sind aktuell nur die nach extern versendeten Mails relevant, d.h. Empfänger, die nicht in ihrem Tenant sind. Exchange Online entscheidet dies anhand der SMTP-Domain des Empfängers und ob diese in den "Accepted Domain" ihres Tenants vorhanden sind. Exchange zählt die Menge der Mails in den letzten 24h-Fenster und sorgt dafür, dass ein Tenant nicht mehr Mails senden kann. Jede zusätzliche Mails wird als Unzustellbar an den internen Absender zurückgemeldet. Die Obergrenze ist dabei von der Anzahl der Lizenzen im Tenant abhängig und folgt einer Formel:

Jeder reguläre Tenant hat also 9500 Message/Tag nach extern frei. Dazu kommen 500 Nachrichten pro Lizenz "hoch" 0,7. Wer sich noch an Mathematik erinnert ist "im Quadrat" eine Multiplikation mit sich selbst. Ein "hoch 1" ist die Zahl selbst nur ein "hoch 0,7" reduziert die Zunahme pro Lizenz.

Hinweis: Trial-Tenants sind pauschal auf 5000 Mails/Tag limitiert.

Weil das niemand so einfach rechnen kann, habe ich es in Excel schnell dargestellt:


Quelle: Frank Carius, eigene Berechnung der Formel in Excel.

Die Aussagekraft der Tabelle ist meiner Ansicht am leichtesten zu verstehen, denn aufgrund der großen Wertebereiche habe ich die Achsen logarithmisch formatiert, um halbwegs lesbar zu bleiben. Sie sehen in rot, dass die durchschnittliche Anzahl der Mails pro Postfach mit zunehmender Lizenz abnimmt. Das spiegelt aber die Realität wieder, dass viele Postfächer viel weniger Mails/Tag senden und daher die Vielschreiber ausgleichen. Die Gesamtzahl der Mails pro Tenant an externe Empfänger innerhalb von 24 Stunden steigt natürlich an aber auch hier ist die logarithmische Darstellung zu beachten.

  • 1 Lizenz: 10.000
    Der alleinige Benutzer darf bis zu 10.000 Mails innerhalb von 24h nach extern senden.
  • 2 Lizenzen: 10.312
    Aber schon zwei Benutzer dürfte nicht mehr 20.000 Mails sondern nur noch 10312 Mails nach extern senden. Das ist schon eine deutliche Reduzierung.
  • 10 Lizenzen: 12.005
    100^0,7 ist nun mal nur knapp 5, so das 5*500 = 2500 + 9500 Mails nach extern erlaubt sind.
  • 10.000 Lizenzen
    Hier kann ein Mitarbeiter durchschnittlich nur noch 32 externe Empfänger/24h erreichen. Das erscheint gering aber wenn wir realistisch sind, dann ist das immer noch sehr viel. Es ist ja der Mittelwert über alle Benutzer.

Je größer die Firma wird und je mehr Lizenzen sie kauft, desto mehr externe Empfänger kann sie in absoluten Zahlen pro 24h erreichen aber pro Postfach nimmt die Anzahl natürlich ab. Wer also eine Firma mit 10.000 Verkäufern über Exchange Online betreiben wollt, sollte sich nach einer CRM-Lösung umschauen, die gerade nicht über Exchange Online nach extern kommuniziert.

Einführung

So eine Änderung wird nicht sofort auf alle Tenants ausgerollt. Sie haben zumindest eine Information im Message Center bekommen und Microsoft hat folgendes Schema veröffentlicht:

Phase Start Lizenzen Beschreibung

1

Sofort

"Trial Tenants"

Alle "Trial Tenants", die keine richtige gekaufte Lizenz haben, z.B. Test-Tenants, Developer Tenants etc.

2

3. Apr 25

< 25

<25 Lizenzen: Diese Tenants dürfte aufgrund der hohen Startwerte keine Einschränkungen bemerken, es sei denn es sind Missbrauch-Tenants, die mit wenigen Postfächern sehr viele Mails senden.

3

10. Apr 25

< 200

Dann wird die Filterfunktion auf etwas größere Tenants ausgeweitet

4

17. Apr 25 

< 500

Solche Tenants können nun nicht mehr als ca. 48000 Mails/Stunde nach extern senden, was im Schnitt immer noch 96 Mails/Benutzer sind

5

01. Mai 25

Alle Tenants

Ab dem 31. März gelten die Limits dann für alle Tenants

Ich habe keine Größenverteilung der Tenants aber vermutlich sind 0-500 ein sehr großer Anteil, auch wenn meine Kunden meist darüber sind.

Ich bin sicher, dass Microsoft vorab sehr genau ihre Telemetrie-Daten angeschaut hat und weiß, welche Tenants durch die neuen TERRL-Konfiguration betroffen sein dürften. Microsoft wird es sich sicher nicht mit dem großen Kunden verscherzen aber muss auch den Support-Aufwand für viele kleine Tenants im Blick behalten. Fakt dürfte aber sein, dass es für Firmen, die Exchange Online als ausgehendes Relay für ihre Massenmail-Dienste missbrauchen, problematisch werden kann.

24h-Fenster

Mehrfach wurde von "Mails pro 24h" geschrieben und für die Ermittlung ist es schon wichtig, wie Exchange hier den Zeitraum ermittelt. Es ist ein "Sliding Window", d.h. Exchange Online merkt sich den Zeitpunkt, wann eine Mail versendet wurde und addiert einfach alle Mails der letzen 24h zusammen.

Leider geht noch nicht genau hervor, wie genau die Auflösung ist, d.h. ob Exchange Online einfach die Mails pro Stunde zusammenrechnet und daher jede Stunde die Stunde des Vortags durch die aktuell angeschlossene Stunde ersetzt wird oder dies pro Minute erfolgt. Allerdings ist das wohl eher eine theoretische Frage.

Letztlich führt Exchange wie ein Girokonto Buch über alle Mails der letzten 24 Stunden und wenn Sie ihr Budget aufgebracht haben, dann bekommen Sie in der nächsten Stunden die Menge wieder gutgeschrieben, die sie vor 24h verbraucht haben.

Unzustellbarkeit und Alarmierung

Wenn ein Postfach ihres Tenant einen Mail versendet und diese anhand der TERRL-Grenzwerte nicht ins Internet versendet werden kann, dann hilft nur noch warten. Die Grenzen sind nicht verhandelbar oder aufzuweichen. Sie könnten auch nicht alle Mails über einen Hybrid Connector zur OnPremises-Umgebung oder einen anderen Smarthost routen. Alles was Exchange Online zu einem anderen SMTP-Server verlässt, wird gezählt. Die Absender bekommt einen NDR.

Tenant-Type Fehlermeldung

Trial

 
550 5.7.232 Your message can't be sent because your Trial tenant has exceeded
            its daily limit for sending email to external recipients 
            (tenant external recipient rate limit). 
            For more information see https://aka.ms/EXONdrs.

Regulär

 
550 5.7.233 Your message can't be sent because your tenant has exceeded
            its daily limit for sending email to external recipients 
            (tenant external recipient rate limit). 
            For more information see https://aka.ms/EXONdrs.

Exchange Online verrät hier also, dass ihre Firma vielleicht nur einen Trial-Tenant hat. der Link verweist auf:

Die Fehlernummern mit der Beschreibung waren ünrigens schon viele Monate vorher in der öffentlichen Dokumentation einsehbar


https://learn.microsoft.com/en-us/exchange/troubleshoot/email-delivery/ndr/non-delivery-reports-in-exchange-online

Wer also Veränderungen in der Exchange Online Dokumentation nachtrackt, hätte schon viel früher wissen können, dass hier eine Änderung ansteht.

Ausnahmen

Das Feature heißt "Total External Recipient Rate Limit" und für Exchange Online sind alle Empfänger "extern", deren Domain nicht als "Accepted Domain" im Tenant hinterlegt sind.

Wenn sie sicher sein wollen, dann sollten sie möglichst alle Domains im Tenant hinterlegen, die Sie für den Versand von Mails nutzen und zu ihnen gehören. Microsoft selbst hat aber ebenfalls einige Nachrichten ausgenommen z.B.

  • Zählen Mails per Hybrid zum lokalen Postfach als extern?
    Nein, denn die Empfängerdomains sind in "Accepted Domains".
  • Zählen Mails per Hybrid Centralized Mailrouting ins Internet als extern?
    Ja. Sie haben also hinsichtlich TERRL keinen Vorteil, wenn Sie die Mails über eigene Versandwege ins Internet senden
  • Mails an Subdomains
    In vielen Umgebungen werden Mails mit einem Outbonud-Connector an Subdomains gesendet, z.B. <rufnummer>@fax.msxfaq.de oder <rufnummer>@erp.msxfaq.de etc. Obwohl die Subdomains nicht als Domains im Tenant eingetragen sind, werden sie als "intern" betrachtet und nicht gezählt.
  • Mails an "private" Domains
    Es ist tatsächlich möglich in Exchange Online einen Outbound Connector für "msxfaq.local" anzulegen und sogar Mails dahin zu senden. Diese Domain können Sie aber nie als "Accepted Domain" eintragen und die Mails werden als "nach extern" in TERRL gezählt. Sie sollten solche Konstruktionen auf offizielle Domains oder Subdomains umstellen.
  • Disclaimer, Archiv und Regeln
    Es gibt Produkte, die über Transport-Regeln alle Mails an einen externen Service senden, der diese nach Verarbeitung wieder zu Exchange Online zurücksendet und Exchange Online dann Mails an externe Empfänger ins Internet sendet. Diese Mails werden aber nur einmal gezählt. Ich vermute, dass Exchange sich die MessageID der Mail merkt und damit keine doppelte Zählung erfolgt.
  • NDRs, OOF
    Wenn eine Mail aus dem Internet angenommen aber nicht zugestellt wird, dann sollte jeder gut konfigurierte Mailserver eine Unzustellbarkeit erzeugen. Diese Mails mit dem leeren Absender "<>" werden wohl auch nicht gezählt. Dazu zählen wohl auch automatische generierte Mails wie z.B. Abwesenheitsinformationen.
  • Journaling
    Wenn Sie über Transport Journal-Regeln ihre Mails an einen externen Dienstleister senden, dann zählen diese nicht bei der TERRL-Berechnung.
  • Mails zu Azure Communication Services
    Angeblich werden ausgehende Mails nicht gezählt, wenn Sie diese über die "Azure Communication Services" routen. Allerdings konnte ich das noch nicht bestätigen und wüsste auch nicht, wie sich Exchange Online über einen Connector per SMTPAUTH an Azure Communication Services authentifizieren sollte. Vielleicht meint Microsoft damit auch nur, dass ihr Versandprozess einfach Exchange Online umgehen sollte.
  • Microsoft Systemnachrichten (Teams, SharePoint, Yammer, etc.)
    Diese Meldungen an solche Dienste sollen angeblich nicht gezählt werden. Eingehende Mails sind sowieso nicht im Scope.
  • Multi Tenant
    Größere Firmen können durchaus mehrere Tenants zu einer MultiTenant-Umgebung zusammenfassen. Mails zwischen diesen Tenants werden nicht als extern gewertet.

FAQs

Exchange Online zählt dazu alle Mails, die an externe Empfänger gesendet werden und dazu gibt es einige Fakten:

  • Was ist "External"
    Extern sind alle Empfänger an Domains, die nicht im Tenant selbst als "Accepted Domain" gelistet sind.
  • Was ist ein Empfänger?
    Die Frage kommt bei Verteilern immer wieder. Exchange löst die Verteiler erst auf und zählt dann jeden externen Empfänger einzelne. Wenn Sie eine Mail an einen Verteiler senden, der aber erst beim Empfänger aufgelöst wird, dann ist es eine Mail.
  • Internet oder andere Tenants
    Extern ist, was nicht eine Domain aus ihren Accepted Domains hat. Damit macht es keinen Unterschied, ob die Zieladresse in einem anderen Tenant oder auf einem nicht von Microsoft betriebenen Mailserver liegt. Auch Hotmail o.ä. hat keinen Vorteil.
  • Was ist mit Kontakten?
    Eine Kontakt in ihrem Exchange Adressbuch mit einer externen Adresse wird nicht anders behandelt, wie eine manuell eingegebene Adresse und gezählt. Das kann insbesondere in "Multi Tenant"-Umgebungen stören, die Adressen austauschen. Hier soll es aber auch eine Lösung geben
  • Exchange Online als eingehendes Relay
    Wenn Sie Mails aus dem Internet annehmen und Exchange Online diese geprüft hat und der Empfänger dann intern ist, d.h. ein Postfach in Exchange Online oder per Hybrid-Mode ist "intern" und die Zieladresse ist ja in "Accepted Domains" und wird daher nicht gezählt
  • Exchange Online als ausgehendes Relay
    Wenn ihr lokaler Exchange Server alle Mails über Exchange Online sendet, dann zählt jeder Empfänger nach Extern in die TERRL-Kalkulation. Eventuell ist es daher sinnvoll, dass die lokalen Server einen anderen Versandweg zum Internet nutzen, wobei sie dann wieder SPF, DKIM etc. beachten müssen
  • Verteilerlisten
    Die Mitglieder einer Verteilerliste werden erst nach der Erweiterung und einzeln gezählt. Damit kann es passieren, das sie eine Mail an eine größere Verteilerliste senden aber nur die ersten externen Empfänger die Mail bekommen bis das Limit erreicht ist. Für alle anderen Empfänger bekommen Sie eine Unzustellbarkeit.

Weitere Fragen und die dazu passenden Antworten addiere ich gerne.

Reporting

Microsoft stellt einen Report bereit, mit dem Sie die individuelle Versandstatistik ihres Tenants ermitteln können. Diesen sollten Sie umgehend einmal kontrollieren. Sie finden ihn im Exchange Admin Center unter Reports - MailFlow

Die direkte URL ist https://admin.cloud.microsoft/exchange?ref=/reports/outboundconnectordetails#/reports/outboundexternalrecipientsvolume

Dieser Tenant ist also weit unter seinen Grenzwerten. Der "Knick" um den 25. Feb war wohl eine Kündigung einiger Lizenzen.

Wenn Sie schon beim Reporting sind, dann können Sie natürlich auch den "Reports - Mail flow - Outbound messages report" nutzen. Der pro Connector anzeigt, wie viele Mails mit welcher TLS-Verschlüsselung versendet wurden. Eine Mail an mehrere externe Empfänger wird hier natürlich nur einmal gezählt und Mails zu lokalen Postfächern über den Hybrid Connector werden nicht separat ausgewiesen. Aber es hilft vielleicht bei der Suche nach den Mails.


Quelle: https://admin.cloud.microsoft/exchange#/reports/outboundconnectordetails

Diese Bild zeigt den TLS-Report und die 199.53 Mails im Diagramm sind die Zahl für 7 Tage!. Unter dem Bild finden Sie dann die Tabelle, die ihre Mails nach Tagen und Connectoren gruppiert. Nur die unterste Zeile zeigt hier am 18.2.2025 ein Gesamtvolumen von "19820" Mails über den Weg "To the internet withtout connector". Es gab aber auch den 19. und 20. Feb mit ca. 34k Mails.

Dieser Tenant war ein Kundentenant mit mehr als 10.000 Lizenzen und könnte also problemlos auch die zehnfache Menge senden.

Wenn Sie den Report auf 90 Tage stellen, dann hat das Diagramm eine bessere Aussagekraft.

Lassen Sie sich dabei nicht von den 3 Mio Mails total über 90 Tage täuschen. Suchen Sie in ihre Tenant einen "durchschnittlichen" Arbeitstag und den Connector für externe Empfänger, um das Volumen abzuschätzen. Später soll einen besseren Report unter "EAC > Reports > Mailflow > Tenant Outbound External Recipient Rate" geben.

Dennoch sehen sie beim Vergleich des neuen TERRL-Reports mit dem TLS-Mail-Report einen unterschied von ca 

https://admin.exchange.microsoft.com/#/reports/tenantoutboundexternalrecipientRate

Sobald ich einen Weg oder eine API zum automatischen Auslesen oder Alarmieren entwickelt habe, reiche ich dies nach. Dies kann ja auch für Partner (Siehe GDAP - Granular Delegated Admin Privileges), die für ihre Kunden den Betrieb übernehmen, relevant sein.

PowerShell

Mit der Einführung von TERRL gibt es auch ein neues PowerShell-Commandlet "Get-LimitsEnforcementStatus"

Über diesen Befehl können Sie ermitteln, ob ihr Tenant schon für TERRL aktiviert wurde. Bei der Suche mit "Get-Command  *-*limit*" sind noch zwei weitere Commandlets in meinem Tenant sichtbar:


Get-TenantRecipientLimitInfo

Mit "GetEtrLimits" erhalten wir eine Information über die Exchange Transport Rules.

Es gibt aber kein "Set-*"-Gegenstück. 

Einschätzung

Ich denke die meisten Tenants brauchen sich um diese Limits erst einmal keine Gedanken machen. schon die 10.000 Mails/Postfach waren beim Postfachlimit durch einen Anwender nicht zu erreichen und selbst wenn Sie 100 Lizenzen haben, können Sie pro Benutzer im Schnitt noch 22 externe Empfänger anschreiben. Das klingt nach wenig aber wenn ich meinen Postausgang anschaue, dann sind es bei mir als "Poweruser" weniger Mails. Über den gesamten Tenant kann es durchaus einige Benutzer mit höheren Sendebedarf geben, die aber durch viele andere Benutzer ohne hohes Aufkommen ausgeglichen werden. Das Limit betrifft den kompletten Tenant.

Aus den vielen Gesprächen zu dem Thema mit Microsoft habe ich mitgenommen, dass die Werte nicht willkürlich oder ohne Datenbasis so gewählt wurden. Es wird erwartet, dass nur ganz wenige Tenants, die heute schon durch exzessive Nutzung auffallen, betroffen sein werden. Durch die Limits wird es aber auch für Spammer und anderen Missbrauch uninteressant, Exchange Online als Plattform zu nutzen.

Wenn sie aber heute z.B. mit Word oder einer anderen Software regelmäßig ihre externen Kunden per Serienbrief anschreiben, dann sollten Sie sich zügig nach Alternativen umschauen. Dies gibt es und herzu habe ich auf Exchange Online und Massenmail extra eine Seite zu dem Thema geschrieben.

Mit ist keine Option bekannt, das Limit temporär anzuheben zu lassen.. Selbst neue Lizenzen wirken nicht sofort und bei großen Tenants ist die Zunahme durch die Formel geringer als bei kleinen Tenants.

Weitere Links