none
Exchange 2016 - Verteiler: Nur Absender in meiner Organisation - greift nicht

    Question

  • Guten Tag,

    ich habe bei meinen Verteilern über den ECP eingestellt das "Nur Absender in meiner Organisation" an Verteiler schicken sollen. Leider kommen trotzem Absender von extern an den Verteilern an?

    Woran macht der Exchange die Organisation abhängig? Von der Email Adresse des Absenders?

    Wo ist der Bug/Fehler?

    Thursday, December 21, 2017 8:17 AM

Answers

  • Du stellst es genau an der Stelle ein.

    Die Unterscheidung wird aber so gemacht, wie ich es beschrieben habe: Durch Authentifikation.

    Du musst nun prüfen, wie die Mails von außen eingeliefert werden und welche Einstellungen der entsprechende Connector hat.

    Wenn z.B. ein Relay-Host außen steht, der dann eine authentifizierte Verbindung zum Exchange aufbaut, werden alle Verteiler als "intern" betrachtet.

    Dann müsstest Du (technisch sauber) dafür sorgen, dass der Externe Server die Mails nicht annimmt. Alternativ (technisch unsauber) könnte eine Transport-Regel helfen.

    Das gleiche Bild würde sich IMHO zeigen, wenn über den Connector mit der Berechtigung "extern gesichert" eingeliefert wird.

    Infos findest Du eventuell auch im Header einer von außen über den Verteiler geschickten Mail. Die Authentifizierungsmethode wird von Exchange normalerweise dort protokolliert.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Friday, December 22, 2017 10:23 AM
  • Moin,

    es ist wohl so wie Robert das beschrieben hat: Connector steht auf "Extern gesichert", daher sind die Absender quasi alle "intern".

    Ketzerische Gegenfrage: Wenn die Gruppe nur von intern erreichbar sein soll, warum hat sie eine extern auflösbare Adresse? Falls bei euch interne Domain = externe Domain ist, ist die Frage natürlich gegenstandslos ;-)

    Du könntest Dir damit behelfen, dass Du eine Verteilergruppe baust, in der alle Mitarbeiter Mitglied sind, und auf die anderen Gruppen den Befehl

    Set-DistributionGroup -AcceptMessagesOnlyFromDLMembers <Alle Mitarbeiter>

    anwendest.

    Wie Du die "alle" Gruppe gegen externen Empfang absicherst, ist Dir überlassen. Ich würde ihr eine Adresse aus einer "Phantasiedomain" geben oder den "technisch unsauberen" Weg gehen und eine Transportregel einsetzen. Bzw. eine einzelne *bekannte und dauerhafte* Adresse könntest Du auch auf dem Relay blocken.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Friday, December 22, 2017 4:07 PM

All replies

  • Moin,

    wenn man sich den Befehl in der Shell anschaut, dann wird klar, woran des festgemacht wird (bei 2010 war auch in der EMC noch der "richtige" Text):

    Set-DistributionGroup -Identity DL_NAME -RequireSenderAuthenticationEnabled:$true

    Es wird also an Authentifizierung geknüpft. Ist die SMTP-Verbindung authentifiziert gilt sie als intern, sonst als extern.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Thursday, December 21, 2017 10:24 AM
  • Das heißt welche gute Alternative gibt es Verteiler von extern nicht erreichbar zu machen?
    Thursday, December 21, 2017 12:10 PM
  • Hallo,

    per Default sind Verteiler von extern nicht erreichbar.

    Insofern ist das nicht das erwartete Verhalten.

    ;)


    Gruß Norbert

    Thursday, December 21, 2017 12:59 PM
    Moderator
  • Wieso sind Sie es dann bei mir? :-)

    Wo stelle ich denn genau ein das Verteiler erreichbar sind bzw. nicht erreichbar sind?


    Ich habe ein Gateway davor. Aber dies authentifiziert sich nicht. Es ist freigeschaltet das es auf port 25 EMails zustellen darf?
    • Edited by MaddinB Friday, December 22, 2017 10:38 AM
    Friday, December 22, 2017 10:09 AM
  • Du stellst es genau an der Stelle ein.

    Die Unterscheidung wird aber so gemacht, wie ich es beschrieben habe: Durch Authentifikation.

    Du musst nun prüfen, wie die Mails von außen eingeliefert werden und welche Einstellungen der entsprechende Connector hat.

    Wenn z.B. ein Relay-Host außen steht, der dann eine authentifizierte Verbindung zum Exchange aufbaut, werden alle Verteiler als "intern" betrachtet.

    Dann müsstest Du (technisch sauber) dafür sorgen, dass der Externe Server die Mails nicht annimmt. Alternativ (technisch unsauber) könnte eine Transport-Regel helfen.

    Das gleiche Bild würde sich IMHO zeigen, wenn über den Connector mit der Berechtigung "extern gesichert" eingeliefert wird.

    Infos findest Du eventuell auch im Header einer von außen über den Verteiler geschickten Mail. Die Authentifizierungsmethode wird von Exchange normalerweise dort protokolliert.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Friday, December 22, 2017 10:23 AM
  • Hallo,

    ich muss zugeben ich bin etwas verwirrt. Wenn der Flag gesetzt ist das eine Sender Authentication benötigt wird für Verteiler, wieso darf dann mein Gateway an Verteiler Emails senden/weiterleiten wenn dieser sich nicht authentifiziert sondern nur per Port 25 erlaubt ist ohne Authethifizierung?

    Das heißt wenn mein Anti-Spam Gateway eine authentifizierte Verbindung aufbaut nimmt er keine für Verteiler an?  Authentifiziert heißt mit einem Benutzernamen korrekt? Weil das könnte ich ja auch angeben.

    Aktuell ist es eingestellt Authentifizierung "Extern gesichert" und Berechtigungsgruppen "Partner" und "Anonyme Benutzer"


    Die zweite Frage ist was für du genau meinst mit Relay-Host "außen" er steht schon im LAN aber halt in der DMZ, also der Relay-Host

    Damit eine verbindung nicht als authentifiziert gilt auf Port 25 habe ich jetzt bei Authentifizierung garkein Häkchen gesetzt, ist das richtig das es dann als nicht authentifiziert ist?

    • Edited by MaddinB Friday, December 22, 2017 2:40 PM
    Friday, December 22, 2017 1:01 PM
  • Moin,

    es ist wohl so wie Robert das beschrieben hat: Connector steht auf "Extern gesichert", daher sind die Absender quasi alle "intern".

    Ketzerische Gegenfrage: Wenn die Gruppe nur von intern erreichbar sein soll, warum hat sie eine extern auflösbare Adresse? Falls bei euch interne Domain = externe Domain ist, ist die Frage natürlich gegenstandslos ;-)

    Du könntest Dir damit behelfen, dass Du eine Verteilergruppe baust, in der alle Mitarbeiter Mitglied sind, und auf die anderen Gruppen den Befehl

    Set-DistributionGroup -AcceptMessagesOnlyFromDLMembers <Alle Mitarbeiter>

    anwendest.

    Wie Du die "alle" Gruppe gegen externen Empfang absicherst, ist Dir überlassen. Ich würde ihr eine Adresse aus einer "Phantasiedomain" geben oder den "technisch unsauberen" Weg gehen und eine Transportregel einsetzen. Bzw. eine einzelne *bekannte und dauerhafte* Adresse könntest Du auch auf dem Relay blocken.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Friday, December 22, 2017 4:07 PM
  • Hallo,

    die Idee mit den internen Email-Adressen ist genial wie auch simpel. Auf die einfachsten Dinge kommt man dort nicht.


    • Edited by MaddinB Tuesday, January 02, 2018 9:41 AM
    Tuesday, January 02, 2018 9:15 AM
  • Gibt es einen sinnvollen Filter um eine Adressrichtlinie anzulegen ohne das man alle manuell anpacken muss?

    Nach dem Empfängertyp ;-)

    Aber Du wirst sie dennoch einmal einzeln, ggfls. per Skript, anpacken müssen, da die Adressrichtlinien keine Adressen löschen, sondern nur neue hinzufügen und die Default-Adresse verändern.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Tuesday, January 02, 2018 9:28 AM