none
Externe E-Mails über interne Verteiler an externe Kontakte RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    wir haben bei uns Verteiler im Einsatz, die u.a. externe E-Mail-Adressen in Form von Kontakten beinhalten. Wird eine externe E-Mail an einen solchen Verteiler gesendet, schickt der Exchange diese Mail an den externen SMTP Server. Dabei verwendet der Exchange als Absender (envelope-from) die externe E-Mail-Adresse, was korrekterweise zu Problemen mit SPF führt.

    Ich bin mir ehrlich gesagt unsicher, ob dieses Vorgehen schon immer so war. Verwendet Exchange nicht die MailContact-Adresse als envelope-from und packt die externe Mail-Adresse in den Mail-Header? Wir verwenden solche Verteiler schon seit Jahren. Aber erst jetzt melden Anwender die abgelehnten E-Mails. Blieb der Fehler so lange unentdeckt oder handelt es sich um einen Bug?

    Wir verwenden Exchange 2016 CU13 (Version 15.1 Build 1779.2) auf Windows Server 2016 (1607). Exchange schickt die Mails über Cisco Ironports ins Internet, die als Smarthost im Exchange Send Connector eingetragen sind.

    Die wichtigsten Parameter des Kontakts:

    ExternalEmailAddress          : SMTP:mail@external.domain
EmailAddresses                : {SMTP:mail@internal.domain, smtp:mail@external.domain}
HiddenFromAddressListsEnabled : False
EmailAddressPolicyEnabled     : False
PrimarySmtpAddress            : mail@internal.domain
WindowsEmailAddress           : mail@internal.domain


    Besten Dank
    Matthias


    • Bearbeitet Matthias S. _ Montag, 21. Oktober 2019 17:01 Korrektur der Daten
    Montag, 21. Oktober 2019 16:58
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Nun... ohne die uns gesetzten, technischen Vorgaben der externen Partner zu kennen, ist deine Aussage eher eine Mutmaßung. Nach deiner Aussage sind Mailing Listen ebenfalls eine Art begrenztes Open Relay. ;) Faktisch gesehen sind unsere Konstruktionen denen einer Mailing Liste gleich. Und dennoch ist es kein begrenztes Open Relay.

    Nun, was ist ein Open Relay? Eine Vorrichtung, die einen Absender, auf den Du keinen Einfluss hast, in die Lage versetzt, Mails an Empfänger zu versenden, die nicht erklärt haben, ob sie diese wollen oder nicht. Und genau das machst Du mit einer unmoderierten Mailing-Liste.

    Im Übrigen sind die Mailing-Listen nicht zuletzt deswegen nahezu ausgestorben, aber alle, in denen ich jemals war, haben die Adresse umgeschrieben, so dass die Mails von der Liste kamen. Und die unmoderierten Listen hatten zumindest die Eigenart, dass nur Mitglieder senden konnten. Das kannst Du mit Exchange *im Prinzip* auch erreichen (Transportregel mit Filter auf Absender-Adresse), aber der Pflegeaufwand ist enorm.

    Wenn das Vertrauen zwischen allen beteiligten Parteien so groß wäre, dass es meine Feststellung zu einer Mutmaßung degradieren würde, wäre es doch ein Leichtes zu verhandeln, dass die Absender euch in deren SPF-Records aufnehmen. Aber sie vertrauen euch eben doch nicht so weit, und das ist auch gut so - Mail verzeiht eben keine Schwächen ;-)

    Die Lösung sieht so aus, dass ihr die Adressen umschreibt. Mit den Bordmitteln des Exchange ist es eine Weiterleitungs- (nicht Umleitungs-)Postfachregel: die Ziel-Adresse der Mailingliste ist ein Postfach, und dieses leitet dann auf die tatsächliche Liste um, die wiederum nur von intern erreichbar ist. Ja, ist fummelig. Funktioniert aber.

    Oder ein Custom Agent im Transport a la CodeTwo Rules Pro. Der kann das out of the box.

    Alles in allem würde ich, wenn diese Mailinglisten ein wichtiger Teil meines Geschäftes wären und ich viele davon pflegen müsste, ein echte Mailinglisten-Lösung außerhalb von Exchange dafür einsetzen. Davon gibt es ja einige, und teilweise sind sie sogar kostenlos.

    Evgenij Smirnov

    http://evgenij.smirnov.de



    Montag, 21. Oktober 2019 21:30
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    das Verhalten war schon immer so. Leute fangen einfach an, SPF ernst zu nehmen, wie immer, mit 10 Jahren Verspätung.

    Du machst mit diesem Konstrukt im übrigen eine Art begrenztes Open Relay auf, da ist es nur lobenswert, dass wenigstens die Empfänger dem entgegen wirken.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 21. Oktober 2019 19:15
    |
  • Question
    Anmelden
    0
    Anmelden

    Nun... ohne die uns gesetzten, technischen Vorgaben der externen Partner zu kennen, ist deine Aussage eher eine Mutmaßung. Nach deiner Aussage sind Mailing Listen ebenfalls eine Art begrenztes Open Relay. ;) Faktisch gesehen sind unsere Konstruktionen denen einer Mailing Liste gleich. Und dennoch ist es kein begrenztes Open Relay.

    Bitte nicht falsch verstehen. Danke für deine Antwort. Aber ich entnehme dieser, dass der Exchange das nicht kann. Die externe Mailadresse hinter dem Kontakt erfordert jedoch, dass E-Mails, an unseren Verteiler gerichtet, an ihn weitergeleitet werden. Daher werde ich weiter nach einer Lösung suchen müssen. Wenn du eine kennst, würde ich mich freuen, sie zu hören.

    Viele Grüße
    Matthias


    Montag, 21. Oktober 2019 20:20
    |
  • Question
    Anmelden
    1
    Anmelden

    Nun... ohne die uns gesetzten, technischen Vorgaben der externen Partner zu kennen, ist deine Aussage eher eine Mutmaßung. Nach deiner Aussage sind Mailing Listen ebenfalls eine Art begrenztes Open Relay. ;) Faktisch gesehen sind unsere Konstruktionen denen einer Mailing Liste gleich. Und dennoch ist es kein begrenztes Open Relay.

    Nun, was ist ein Open Relay? Eine Vorrichtung, die einen Absender, auf den Du keinen Einfluss hast, in die Lage versetzt, Mails an Empfänger zu versenden, die nicht erklärt haben, ob sie diese wollen oder nicht. Und genau das machst Du mit einer unmoderierten Mailing-Liste.

    Im Übrigen sind die Mailing-Listen nicht zuletzt deswegen nahezu ausgestorben, aber alle, in denen ich jemals war, haben die Adresse umgeschrieben, so dass die Mails von der Liste kamen. Und die unmoderierten Listen hatten zumindest die Eigenart, dass nur Mitglieder senden konnten. Das kannst Du mit Exchange *im Prinzip* auch erreichen (Transportregel mit Filter auf Absender-Adresse), aber der Pflegeaufwand ist enorm.

    Wenn das Vertrauen zwischen allen beteiligten Parteien so groß wäre, dass es meine Feststellung zu einer Mutmaßung degradieren würde, wäre es doch ein Leichtes zu verhandeln, dass die Absender euch in deren SPF-Records aufnehmen. Aber sie vertrauen euch eben doch nicht so weit, und das ist auch gut so - Mail verzeiht eben keine Schwächen ;-)

    Die Lösung sieht so aus, dass ihr die Adressen umschreibt. Mit den Bordmitteln des Exchange ist es eine Weiterleitungs- (nicht Umleitungs-)Postfachregel: die Ziel-Adresse der Mailingliste ist ein Postfach, und dieses leitet dann auf die tatsächliche Liste um, die wiederum nur von intern erreichbar ist. Ja, ist fummelig. Funktioniert aber.

    Oder ein Custom Agent im Transport a la CodeTwo Rules Pro. Der kann das out of the box.

    Alles in allem würde ich, wenn diese Mailinglisten ein wichtiger Teil meines Geschäftes wären und ich viele davon pflegen müsste, ein echte Mailinglisten-Lösung außerhalb von Exchange dafür einsetzen. Davon gibt es ja einige, und teilweise sind sie sogar kostenlos.

    Evgenij Smirnov

    http://evgenij.smirnov.de



    Montag, 21. Oktober 2019 21:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke, das sind hilfreiche Tipps, aber eher aufwendig. Address Rewrite gibts schon für den Exchange, leider nur für die Edge Rolle. Wir haben den Partner angeschrieben, seine SPF Prüfung anzupassen. Langfristig müssen wir mal schauen, was mir machen.

    Gruß
    Matthias

    Mittwoch, 23. Oktober 2019 14:06
    |