EXO Forwarding

Zu Exchange On-Premises habe ich auf Weiterleitungen, ForwardingSmtpAddress und anderen Seiten schon einiges geschrieben. Mit Exchange Online gibt es aber mit den EOP Outbound Antispam Policies eine weitere Komponente, weswegen ihr hier eine eigene Seite über Weiterleitungen für Exchange Online schreibe. Laut Microsoft soll die Funktion auch für Exchange On-Premises irgendwann kommen.

Einführung

Normalerweise wird eine Mail an einen Mailserver zum Routing übergeben. Absender kann ein eigener angemeldeter Benutzer sein oder die Mail kommt von einem vertrauenswürdigen Computer-Prozess oder anonym über den MX-Record aus dem Internet mit entsprechendem Spamfilter. Der Mailserver sucht das passende Postfach zur Mailadresse und legt die Mail im Postfach ab. Da ist die Geschichte meist zu Ende aber es gibt Fälle, in denen der Mailserver einer Domain nur Zwischenstation ist, z.B. wenn.

  • Migrationen und Umzug
    Das neue finale Postfach des Anwenders ist in einem anderen System und der Mailserver muss die Mail dorthin weiterrouten
  • Funktionspostfach
    Generische Adressen wie support@, vertrieb@ landen nicht immer in einem Postfach, welches dann per POP3 o.ä. abgesaugt wird, sondern sollen an eine neue Adresse wie sales@server.example.com weiter geleitet werden. Das sind gerne auch mal gehostete Cloud-Systeme von Dienstleistern, die von extern gar keinen Benutzer bekommen sollen und sie ihren internen Mailserver auch nicht erreichbar machen wollen.
  • u.a.
    Ich bin sicher, sie haben noch ganz andere Anforderungen.

Des weiteren müssen Sie den Unterschied zwischen "Weiterleitung" und "Umleitung" kennen. Bei einer Weiterleitung einer Mail von A->B wird der Absender ersetzt und bei C kommt eine Mail von B an. Bei einer Umleitung bleibt der Absender unverändert und bei C kommt eine Mail von A an. Dann müssen Sie aber Spamfilter beachten, da der umleitende Server "B" eventuell nicht mit den Adressen von A senden darf. SPF, DKIM und Allow-Listen sind hier zu bedenken.

Es gibt aber noch andere Gründe gegen automatische Weiterleitungen nach extern, z.B.:

  • Informationsausleitung
    Es gibt immer wieder Mitarbeiter, die gerne all ihre Mails als Kopie auch an ein "privates" Postfach senden wollen, z.B. weil sie als Firma aus Sicht des Anwenders keine gute Zugriffsmöglichkeiten von extern bereitstellen. Es gibt durchaus Firmen, die zurecht den Zugriff auf Firmen-Clients und bestimmte Protokolle beschränken. Diese Herausforderung müssen Sie primär arbeitsrechtlich lösen aber auch technisch unterbinden oder zumindest erschweren und kontrollieren
  • Kompromittierte Konten
    Wenn ein Benutzer seine Zugangsdaten verrät, dann richten viele Angreifer eine Regel ein, um jegliche weitere Mail des Mitarbeiters als Kopie zu bekommen. Oft merkt das der Mitarbeiter gar nicht, dass er einen stillen Mitleser hat, der z.B. Rücksetzlinks/Einmalkennworte auf weitere Anmeldeseiten abfischt etc.
  • Schleifen
    Und dann gibt es natürlich immer noch das Risiko von Mailschleifen. Wenn ein Mitarbeiter eine OOF-Meldung beim Provider 1 aktiviert hat und von einem Firmen-Postfach was dort hin weiterleitet, sendet der Provider eine Rückmeldung. Wir die nicht als "automatische Mail" erkannt, dann wird Sie wieder weiter geleitet und die nächste Automatische Antwort kommt.

Daher sind zumindest in Exchange die automatische Umleitung/Weiterleitung in den Standardeinstellungen auch nicht erlaubt.

[PS] C:\>  Get-RemoteDomain standard | fl auto*

AutoReplyEnabled   : False
AutoForwardEnabled : False

Über die "Remote-Domains" kann ein Administrator in der Cloud und On-Premises anhand der Zieldomain steuern, welche automatischen Mails erlaubt sind.

Um-/Weiterleitung einstellen

Outlook und Exchange kenne nicht nur eine Stelle, an der eine eingehende Mail wieder an eine andere Adresse weiter geschickt werden kann. Auf der folgenden Seite beschreibt Microsoft im Jahr 2021 einen Zwischenstand:

In der Tabelle können Sie sehen, wer (Benutzer oder Admin) die Konfiguration wo pflegen kann, und ob es eine Umleitung oder Weiterleitung ist. Die drei letzten Spalten zeigen, welche Komponente in Exchange auf die Einstellung Einfluss nehmen kann.

Wer Wo Typ RemoteDomain Transportregel EOP SPF DKIM

Anwender

Outlook Postfachregel

Weiterleitung

Blockiert

Steuerbar

Steuerbar

 

 

Anwender

Outlook OOF-Regel

Weiterleitung

Blockiert

Steuerbar

Steuerbar

 

 

Anwender

OWA Weiterleitung (ForwardingAddress)

Umleitung

Blockiert

Nein

Steuerbar

 

 

Anwender

PowerFlow Prozess

Weiterleitung

NA

Steuerbar

Nein*

 

 

Administrator

ForwardingSMTP-Address

Umleitung

NA

Nein

Steuerbar

 

 

Administrator

ForwardingAddress, z.B. auf einen Kontakt

Umleitung

NA

Nein

Steuerbar

 

 

Administrator

Kontakt-Objekt

Umleitung

NA

Nein

Steuerbar

 

 

Das der Administrator per PowerShell oder über delegierte Rechte auch die Einstellungen ändern kann, die ansonsten der Anwender setzt, führe ich hier nicht gesondert auf.

Drei Werkzeuge

Neben den "Remote Domains" gibt es aber noch weitere Regler, anhand denen ein Exchange Administrator das Verhalten des Systems anpassen kann.

Regler Funktionsweise Kriterien

Remote Domains

Diese sehr alte Funktion blockiert per Default automatische Mails nach extern anhand der Zieldomain. Sie können einzelne Domains als "Allow-List" pflegen oder den Default freigeben.

Zieldomain

Transport Regel

Über Exchange Transportregeln können Sie ebenfalls Mails blockieren. Die Kriterien sind dabei sehr umfangreich und granular einstellbar. Automatisch erstellte Mails erkennt man über Messagetype=“Auto-Forward“ (IPM.Note.forward). Solche Regeln können aber schnell komplex werden. Sie können aber nicht eine Weiterleitung per "ForwardingAddress", "ForwardingSMTPAddress" oder Kontakte unterbinden, welche speziell bei Migrationen genutzt werden.

Quelle, Ziel, u.a.

EOP Outbound Spam Filter Policy

Spamfilter werden nicht nur auf eingehende Mails sondern auch auf ausgehende Mails angewendet. Mit der Einführung wurden noch keine automatischen Mails geblockt aber über das Rollout soll diese Funktion per Default "aktiviert" werden, d.h. automatische Mails nach extern wären dann geblockt, wenn Sie nicht zusätzliche Allow-Regeln anlegen.

Absender User/Gruppe/Domain

Sie haben hier schon gesehen, dass die drei Mechanismen auf unterschiedliche Kriterien reagieren und sie vielleicht mehrere Funktionen kombinieren müssen. Wichtig ist dabei:

Sobald eine der drei Einstellung eine Mail stoppt, wird sie auch gestoppt.

Wer also automatische Mails nach extern erlauben will, muss alle drei Komponenten passende einrichten, die zudem nicht alle Fälle behandeln können.

EOP Filterung

Die Exchange Transport-Regeln und die RemoteDomains sind schon sehr lange bekannt aber mit dem EOP-Schutz ist vielen Administratoren vielleicht weniger vertraut. Natürlich sorgt EOP dafür, dass eingehende Mails auf Malware und Spam gescannt und entsprechend behandelt werden. Aber EOP prüft auch ausgehende Mails, denn schließlich möchte man sich ja nicht die Reputation durch Kundenspam zerstören. Entsprechend gibt es immer eine "Standardrichtlinie" und ich kann auch zusätzliche Richtlinien anlegen, die ich auf Benutzer, Gruppen oder Domains des eigenen Absenders einer Mail filtern kann. In den Schutzeinstellungen findet sich auch die Einstellung zu den Weiterleitungsregeln,

Die Beschreibung für "Automatisch - vom System gesteuert" ist etwas unglücklich, da sie nichts aussagt, was das System denn macht. Es bedeutet aber nur, dass Sie nicht selbst entschieden haben, sondern sie den Empfehlungen von Microsoft folgen. Bei der Einführung der Funktion war "Ein - Weiterleitung ist aktiviert" noch aktiv aber schon sehr schnell hat Microsoft die sicherere Einstellung "Aus- Weiterleitung ist deaktiviert" gewählt.

Gehen Sie davon aus, dass in den Standardeinstellungen daher Weiterleitungen hier abgeschaltet sind".

Sie könnten natürlich den Default ändern aber ich würde wie bei einer Firewall besser eine einige Richtlinie für die wenigen Ausnahmen einrichten, die automatisch Mails nach extern Weiterleiten dürfen.

Ist-Aufnahme

Da eine generelle Freischaltung der "automatischen Weiterleitungen" nicht in ihrem Interesse erfolgen sollte, müssen Sie sich überlegen, welche der Komponenten sie wie einsetzen wollen. Dazu müssen Sie aber zumindest in einer gewachsenen Umgebung erst einmal wissen, wer heute schon mit Regeln und Weiterleitungen diese Funktion nutzt. Sie könne natürlich über das Messagetracking versuchen, die Weiterleitungen zu erfassen und vielleicht können Sie auch über vorhandene RemoteDomains und MailContacts eine erste Einschätzung erhalten. Aber einfach die System ohne Meldung zu verschließen ist weniger geeignet.

Bei einer Blockade mittels Transport-Regeln können Sie eine Nachricht an den Absender und einen "Incident report" an ein anderes Postfach als Aktion hinterlegen. Beim EOP-Filterung können Sie zumindest dem Absender einen NDR zukommen lassen und hoffen, dass dies kein totes Postfach ist, welches nur für Systemmeldungen genutzt und daher von niemandem genutzt wird.

Dennoch würde ich als erste Bestandsaufname einfach eine Transportregel konfigurieren, die alle Mails mit dem "Nachrichtentyp = AutoForward" an ein Postfach berichtet. Ich beschränke mich auf den Absender, Empfänger und Betreff´, da damit schon eine zielgerichtete Suche im Messagetracking möglich ist.

Wenn ich die "Treffer" dann betrachte, dann muss ich für jeden Fall überlegen, welche der vielen Optionen einer Weiterleitungen der beste Lösungsweg ist. Nur weil eine Mailadresse eine Weiterleitung zu GMX o.ä. nutzen soll, kann ich ja nicht "gmx.de" als RemoteDomain generell für "AutoForward" erlauben.

  1. Erlaubt und gewollt
    Ich muss dann in der späteren Zielkonfiguration auf diese Kombination Rücksicht nehmen
  2. Erlaubt aber besserer Weg
    Vielleicht ist der aktuell konfigurierte Weg zwar noch möglich aber soll zukünftig nicht mehr genutzt werden. Dann muss die Konfiguration entsprechend geändert werden
  3. Nicht erlaubt
    Es wird aber auch Fälle geben, in denen ich dem aktuellen Nutzer sagen muss, dass seine Weiterleitung/Umleitung zukünftig nicht mehr funktionieren wird und das z.B. aus Sicherheitsgründen auch so gewollt ist.

Das Ziel ist ja nicht zum "Lösungsverhinderer" zu werden aber dennoch das Missbrauchspotential und das Risiko zu minimieren.

Übrigens gibt es in Exchange Online sogar eine Funktion, die eine Eirichtung einer Weilerleitung als Alarm an den Postfachbesitzer und die Administratoren meldet:

Konfigurationsvorschläge

Wir möchten auf keinen Fall "zu offen" sein und wissen aber auch, dass jede der drei Steuerungsmöglichkeiten eine Weiterleitung unterbinden kann. In der Standardkonfiguration verhindern die Einstellungen bei den "RemoteDomains" generell eine automatisch Weiterleitung durch Anwender aber nicht über die Eintragungen in ForwardingAddress und ForwardingSMTPAddress. Damit sind natürlich Kontakte ein einfacher Weg Mails an bisher lokale Empfänger zu einem bestimmten anderen Ziel zu senden. Aber es gibt mehr Fälle

Methode

Anwendungsfälle

Umleitung per ForwardSMTPAddress an einem MailContact oder MailUser oder RemoteMailbox

Ein vormals lokales Postfach wurde in eine andere Organisation verschoben und weiterhin an die alte SMTP-Adresse ankommenden Mails sollen umgeleitet werden, d.h. Sie kennen die genaue Ziel-Adresse und die Quell-Adresse darf nicht geändert werden.

Denken Sie dabei aber auch an den Spamfilter am Ziel, damit sie ihrem Server entsprechend vertraut, speziell wenn der Absender selbst SPF/DKIM/DMARC streng konfiguriert hat.

Diese Funktion ist aber auch möglich, wenn interne Clients, z.B. Drucker eine Mail an einen benannte Adresse eines Dienstleisters senden wollen. Sie wollen sicher nicht, dass der Drucker "die weite Welt" erreichen kann oder der Exchange Server der Source-IP der Drucker vertraut. Auch hier ist ein Mailcontact optimal, zumal die Zieladresse beim Anbieterwechsel schnell geändert werden kann.

Auch die Weiterleitung einer Funktionsadresse wie "support@msxfaq.de" kann über einen Kontakt und Send-Connector an einen anderen Mailserver erfolgen, z.B. an "support@otrs.msxfaq.de".

Denken Sie aber daran, dass EOP diese Mails dennoch blocken könnte. Bei einem On-Premises Server hat EOP aber nur was zu sagen, wenn der lokale Exchange Server die Mails über Exchange Online versendet.

Domainfreischaltung per RemoteDomain

Wenn Sie eine Domain in den Exchange "Remote Domain"-liste addieren und sie "AutoForwardEnabled:$true" setzen und weder eine Transportregel noch EOP dies verhindert, dann kann jeder Empfänger per Regel seine Mails an einen Empfänger in dieser Domain weiterleiten.

Bitte tun sie dies nur, wenn sie genau wissen, was sie tun.

EOP + Remote Domain

Es kann eine kleine Gruppe von Anwendern oder Postfächern geben, die relativ frei eine Weiterleitung verändern dürfen. Ich würde dann aber dennoch die Finger auf den Zieldomains haben und nur diese in den "RemoteDomains" eintragen und zusätzlich in EOP die Absender erlauben.

Rückmeldung

Bei allen drei Möglichkeiten zur Blockade von automatischen Weiterleitungen können Sie nicht nur als Administrator den Fehler im Messagetracking finden sondern auch dem Benutzer eine Information zukommen lassen.

Bei der Blockade über "Remote Domains" oder EOP Richtlinien sendet Exchange Online eine Unzustellbarkeitsquittung an das Postfach, welches die Weiterleitung vorgenommen hat.

Wenn Sie eine Transportregel nutzen, dann sollten Sie eine entsprechende Aktion hinterlegen, um dem Absender eine Information zukommen zu lassen oder einen Schadensbericht an eine geeignete Stelle (Helpdesk, IT-Security o.ä.) senden. Die beiden Aktionen finden Sie im Assistenten.

Dies ist besonders wichtig, wenn Sie eine "Umleitung" konfigurieren, bei der die originale Mail nicht mehr im Postfach selbst abgelegt wird.

Microsoft beschreibt in https://techcommunity.microsoft.com/t5/exchange-team-blog/all-you-need-to-know-about-automatic-email-forwarding-in/ba-p/2074888 allerdings, dass eine Blockade über "Remote Domains" keine Fehlermeldung liefert. Das konnte ich in meinen Tests nicht beobachten. Prüfen Sie daher ihre Schutz und Filter-Einstelungen mit ein paar Testmails und überwachen Sie das Messagetrackinglog sowohl hinsichtlich erfolgreicher (gewünscht oder ungewünscht) und verhinderter (gewünscht oder ungewünscht) Weiterleitungen.

Einschätzung

Durch die EOP-Funktion in Exchange Online gibt es einen weiteren Weg die automatischen Weiterleitungen zu anderen Domänen und Mailsystemen zu kontrollieren. Wenn sie bislang noch keine Weiterleitungen genutzt haben, wird ihnen gar nicht auffallen, dass sowohl die Einstellung in "RemoteDomains" als auch in EOP dies zuverlässig verhindern und sie entsprechend gesichert sind. Es reicht nun aber nicht mehr, die Zieldomain in RemoteDomains passend einzutragen sondern sie müssen auch noch in EOP die Absender explizit zulassen.

Meine Empfehlung ist natürlich, auf jegliche durch den Benutzer zu steuernde Weiterleitung oder Umleitung zu verzichten und maximal mit Mailcontacts/MailUser explizite Umleitungen für bestimmte Anwendungsfälle zu konfigurieren. Hier müssen Sie dann aber auch den ausgehenden EOP-Schutz anpassen, wenn diese Empfänger nicht über eigene Connectoren erreicht werden. Den EOP-Schutz für ausgehende Weiterleitungen würde ich nur dann global abschalten, wenn sicher keine RemoteDomain eine Weiterleitung erlaubt.

Weitere Links