X-MS-Exchange-Organization-AuthAs

Für viele Aktionen in Exchange ist es wichtig zu wissen, ob der Absender "Extern" oder "Intern" ist. Sie können .z.B. Transportregeln darauf abstimmen aber auch Outlook ändert die Anzeige von Absendern anhand dieser Information. Damit sollten wir schauen, wann dieser Header wie gesetzt ist und wann er gelöscht wird. Ein Absender in meiner Umgebung ist beim Ziel ja nicht mehr intern.

Bedeutung des Header

Exchange und Outlook verhalten sich unterschiedlich, wenn der Absender "intern" oder anonym ist. Sie sehen das direkt in Outlook, das der Absender entweder mit einem "sprechenden Namen" oder nur mit der Mailadresse angezeigt wird.

• Interne Mail, Outlook zeigt nur den "Displaynamen" des Absenders
  
• Externer Mail. Outlook zeigt auch die SMTP-Adresse mit an
  

Auch bei den Transport-Regel bei Exchange können Sie pauschal interne und externe Absender unterscheiden:

Daher ist es schon interessant, wie Exchange dieses "Inside/Outside Organization". Wo genau Exchange diese Information intern speichert ist mir nicht bekannt aber folgende Quelle beschreibt, dass wir als Administratoren zumindest in einem SMTP-Header den Status auslesen können. 

Note: X-MS-Exchange-Organization-AuthAs header stamped on email received by On-Premises server from O365 can be either “Internal” or “Anonymous”. For instance, emails sent from your EXO tenant to On-Premises servers, will have the X-MS-Exchange-Organization-AuthAs set to “Internal”. If it’s an external email which is relayed through your tenant, the original “Anonymous” identity would be preserved and the X-MS-Exchange-Organization-AuthAs will be set to “Anonymous”. Thus, X-MS-Exchange-Organization-AuthAs header would not differentiate between email coming directly to your On-Premises and email relayed through your tenant.
Quelle: https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Advanced-Office-365-Routing-Locking-Down-Exchange-On-Premises/ba-p/609238

Das bedeutet aber auch, dass Exchange diesen Header beim Empfang explizit setzt oder entfernt, wenn eine Mail von einer nicht vertrauenswürdigen Quelle eingeliefert wird.

• Externe Mails kennzeichnen
• SMTP P1/P2-Felder

Interne Mails

Die einfache Kommunikation innerhalb der gleichen Exchange Umgebung ist der Header am einfachsten zu finden. Sie senden oder Empfangen eine Mail an ihren Kollegen und sehen:

From: "user1" <user1@msxfaq.de>
To: "user2" <user2@msxfaq.de>
Subject: Testmail Intern zu Intern
X-MS-Exchange-Organization-SCL: -1
X-MS-Exchange-Organization-MessageDirectionality: Originating
X-MS-Exchange-Organization-AuthSource: AM0PR04MB5362.eurprd04.prod.outlook.com
X-MS-Exchange-Organization-AuthAs: Internal
X-MS-Exchange-Organization-AuthMechanism: 04
X-MS-PublicTrafficType: Email
X-MS-Exchange-CrossTenant-FromEntityHeader: Hosted
X-MS-Exchange-CrossTenant-Id: de21c301-a4ae-4292-aa09-6db710a590a6
X-MS-Exchange-CrossTenant-AuthSource: AM0PR04MB5362.eurprd04.prod.outlook.com
X-MS-Exchange-CrossTenant-AuthAs: Internal
X-MS-Exchange-CrossTenant-MailboxType: HOSTED

Neben dem Feld "X-MS-Exchange-Organization-AuthAs" sehen Sie aber noch eine Reihe weiterer Felder, die bei einer Mail zwischen zwei Exchange Online Postfächern in der gleichen Organisation addiert werden. Bei einem Exchange On-Premises Server ist es ein paar weniger Felder

Externe Mail

Im nächsten Schritt habe ich eine Mail von einem Provider (IONOS) an ein Exchange Online Postfach gesendet.

From: "POP3User" <pop3user@carius.de>
To: "User1" <user@msxfaq.de>
Subject: IIONOS zu EXO
X-EOPAttributedMessage: 0
X-EOPTenantAttributedMessage: de21c301-a4ae-4292-aa09-6db710a590a6:0
X-MS-Exchange-Organization-MessageDirectionality: Incoming
X-MS-Exchange-SkipListedInternetSender: ip=[217.72.192.75];domain=217.72.192.75
X-MS-Exchange-ExternalOriginalInternetSender: ip=[217.72.192.75];domain=217.72.192.75
X-MS-PublicTrafficType: Email
X-MS-Exchange-Organization-AuthSource: DBAEUR03FT020.eop-EUR03.prod.protection.outlook.com
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Office365-Filtering-Correlation-Id: 0d5930e8-3bca-4e2d-f9c3-08da38a2ca2c
X-MS-Exchange-AtpMessageProperties: SA|SL
X-MS-Exchange-Organization-SCL: -1
X-MS-Exchange-CrossTenant-Network-Message-Id: 0d5930e8-3bca-4e2d-f9c3-08da38a2ca2c
X-MS-Exchange-CrossTenant-Id: de21c301-a4ae-4292-aa09-6db710a590a6
X-MS-Exchange-CrossTenant-AuthSource: DBAEUR03FT020.eop-EUR03.prod.protection.outlook.com
X-MS-Exchange-CrossTenant-AuthAs: Anonymous
X-MS-Exchange-CrossTenant-FromEntityHeader: Internet
X-MS-Exchange-Transport-CrossTenantHeadersStamped: VI1PR0402MB3920

Hier steht in X-MS-Exchange-Organization-AuthAs:  nun ein "Anonymous" drin.

Exchange Hybrid On-Prem zu EXO

Der Nächste test war natürlich die Kommunikation in einer Hybrid Bereitstellung. Zuerst habe ich eine Mail von einem Exchange 2016 Postfach zu einem Cloud-Postfach gesendet. Der Header "X-MS-Exchange-Organization-AuthAs" ist korrekt als "Internal" gesetzt:

From: "OnPremUser1" <onpremuser1@msxfaq.de>
To: "ExoUser1" <exouser1@msxfaq.de>
Subject: EXOnPrem2EXO Hybrid
X-OrganizationHeadersPreserved: EX16.msxfaq.de
Return-Path: frank.carius4@netatwork.de
X-MS-Exchange-Organization-MessageDirectionality: Originating
X-MS-Exchange-Organization-AuthAs: Internal
X-MS-Exchange-Organization-AuthMechanism: 04
X-MS-Exchange-Organization-AuthSource: EX16.msxfaq.de
X-MS-Exchange-Organization-SCL: -1
X-OriginatorOrg: msxfaq.de
X-MS-Exchange-CrossTenant-Id: de21c301-a4ae-4292-aa09-6db710a590a6
X-MS-Exchange-CrossTenant-OriginalAttributedTenantConnectingIp:
 TenantId=de21c301-a4ae-4292-aa09-6db710a590a6;Ip=[82.62.120.22];Helo=[hybrid.msxfaq.de]
X-MS-Exchange-CrossTenant-AuthAs: Internal
X-MS-Exchange-CrossTenant-AuthSource: EX16.msxfaq.de
X-MS-Exchange-CrossTenant-FromEntityHeader: HybridOnPrem

Exchange Hybrid EXO zu OnPrem

Auch in die Gegenrichtung wird bei einem korrekten Hybrid-Setup im Feld "X-MS-Exchange-Organization-AuthAs" ein "Internal" hinterlegt

From: "ExoUser1" <EXOUser1@msxfaq.de>
To: Frank Carius Demo 4 <OnPremUser1@msxfaq.de>
Subject: AW:EXO2 EXOnPrem Hybrid
X-MS-Exchange-CrossTenant-AuthAs: Internal
X-MS-Exchange-CrossTenant-AuthSource: PA4PR04MB9344.eurprd04.prod.outlook.com
X-MS-Exchange-CrossTenant-fromentityheader: Hosted
X-MS-Exchange-CrossTenant-id: de21c301-a4ae-4292-aa09-6db710a590a6
X-MS-Exchange-CrossTenant-mailboxtype: HOSTED
X-OrganizationHeadersPreserved: AM5PR04MB3234.eurprd04.prod.outlook.com
X-MS-Exchange-Organization-AuthAs: Internal
X-MS-Exchange-Organization-AuthMechanism: 04
X-MS-Exchange-Organization-AuthSource: PA4PR04MB9344.eurprd04.prod.outlook.com
X-MS-Exchange-Organization-SCL: -1

EXO zu EXO

Wenn ich Mails von einem anderen Tenant an meinen Tenant sende, indem aber keine "Vertrauensstellung" definiert ist, dann ist auch hier der Absender natürlich "Anonymous".

From: Teant2User <tenant2user@uclabor.de>
To: "User1" <user1@msxfaq.de>
Subject: EXOT2 zu EXOT1
x-ms-exchange-senderadcheck: 1
x-ms-exchange-antispam-relay: 0
X-MS-Exchange-Transport-CrossTenantHeadersStamped: FR3P281MB2624
X-MS-Exchange-Organization-Network-Message-Id: b778d7be-aec6-4c35-6e2d-08da38a2de19
X-MS-Exchange-Organization-MessageDirectionality: Incoming
X-MS-Exchange-Organization-AuthSource: DBAEUR03FT015.eop-EUR03.prod.protection.outlook.com
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-CrossTenant-Id: de21c301-a4ae-4292-aa09-6db710a590a6
X-MS-Exchange-CrossTenant-AuthSource: DBAEUR03FT015.eop-EUR03.prod.protection.outlook.com
X-MS-Exchange-CrossTenant-AuthAs: Anonymous
X-MS-Exchange-CrossTenant-FromEntityHeader: Internet

Wie erwartet gibt es auch bei einer Kommunikation zwischen zwei Tenants erst einmal keinen Vertrauensvorschuss. Exchange Online verhindert zwar den Versand mit einer gefälschten Domain aber deshalb ist der Absender keinesfalls als "intern" anzusehen.

Exchange Partnerschaft

Ich wollte aber wissen, ob ich das z.B. über einen "Partner Connector" beeinflussen kann. Ich habe im Empfängertenant daher einen "Inbound Connector" angelegt, in dem ich die Absender-Domains hinterlegt habe. Der Header der so empfangenen Mail sieht nicht viel anders aus:

From: "Carius, Frank (NAW)" <Frank.Carius@Netatwork.de>
To: "User1" <user1@msxfaq.de>
Subject: Partner EXOT1 zu EXOT2
x-ms-exchange-senderadcheck: 1
X-MS-Exchange-Organization-MessageDirectionality: Incoming
X-MS-PublicTrafficType: Email
X-MS-Exchange-Organization-AuthSource: FR2DEU01FT017.eop-deu01.prod.protection.outlook.com
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-SCL: 1
X-MS-Exchange-CrossTenant-OriginalArrivalTime: 18 May 2022 08:12:30.7420 (UTC)
X-MS-Exchange-CrossTenant-Network-Message-Id: 5ed9ca7f-d245-442b-8e56-08da38a627af
X-MS-Exchange-CrossTenant-Id: 3ae8f2a3-9252-4cc4-b71f-a2bc1d2cf44d
X-MS-Exchange-CrossTenant-AuthSource: FR2DEU01FT017.eop-deu01.prod.protection.outlook.com
X-MS-Exchange-CrossTenant-AuthAs: Anonymous
X-MS-Exchange-CrossTenant-FromEntityHeader: Internet

Auch der Versuch einen "Org Connector" anzulegen hat für einen anderen Tenant nicht geklappt, denn ich kann dort ja nur eine IP-Adresse oder ein Zertifikat hinterlegen. Das geht aber zwischen zwei Tenants nicht wirklich, da ja alle Tenants dieser Welt mit dem gleichen Zertifikat kommen.

Remote Domains

Allerdings ist der Mailfluss nur eine Komponente und nur weil sie einen "Connector" angelegt haben, heißt das noch nicht, dass die Domain vertrauenswürdig ist. Bei der Hybrid Einrichtung mit dem HCW werden nämlich noch weitere Einstellungen im Bereich der "Exchange RemoteDomains" gemacht. Mit Set-RemoteDomain können Sie auf der sendenden Seite hinterlegen ob der Header ans Ziel gesendet wird

Set-RemoteDomain msxfaq.de -TrustedMailOutboundEnabled:$true

Auf der Empfängerseite müssen sie natürlich auch noch verifizieren, dass die absendende Domain vertrauenswürdig ist und der Header akzeptiert wird.

Set-RemoteDomain msxfaq.de -TrustedMailOutboundEnabled:$true

Diese Einstellungen nimmt bei Hybrid der HCW - Hybrid Configuration Wizard für sie mit vor. Siehe auch HCW im Detail

Natürlich müssen sie nun über Connectoren sicherstellen, dass die eingehenden Mails von diesen Domains auch wirklich von der Gegenseite kommen. Da kommt dann wieder der Partner-Connector zum Einsatz ,mit dem man die Gegenstelle mit der Domain verbinden kann. Oder ihr Partner nutzt SPF/DKIM/DMARC mit einer "Reject"-Policy.

• HCW - Hybrid Configuration Wizard
• HCW im Detail
• Emails that are sent from On-Premises to Microsoft 365 show email addresses not display names in From
  https://docs.microsoft.com/en-us/exchange/troubleshoot/send-emails/emails-show-addresses-not-display-names-in-from
• Demystifying and troubleshooting hybrid mail flow: when is a message internal?
  https://techcommunity.microsoft.com/t5/exchange-team-blog/demystifying-and-troubleshooting-hybrid-mail-flow-when-is-a/ba-p/1420838

Message Tracking und Transport Regeln

Viele Firmen möchten gerne abhängig vom Standort bzw. der Authentifizierung des Absenders bestimmte Aktionen auslösen. Leider sehen wir den Header "X-MS-Exchange-Organization-AuthAs" nicht im Messagetracking. Ich finde zwar die Absender und Empfänger aber die Properties sind einfache "Strings". Hier ist also nicht hinterlegt, wie Exchange das Objekte klassifiziert

• View DLP policy detection reports
  https://technet.microsoft.com/en-us/library/jj150520(v=exchg.150).aspx
  Beschreibt die Bedeutung von ETR, ETRP, TRA bei Transportregeln

Weitere Links

• XOORG und Exchange
• Externe Mails kennzeichnen
• SMTP P1/P2-Felder
• X-Message-Flag
• Transportregeln
• Demystifying and troubleshooting hybrid mail flow: when is a message internal?
  https://techcommunity.microsoft.com/t5/exchange-team-blog/demystifying-and-troubleshooting-hybrid-mail-flow-when-is-a/ba-p/1420838
• Emails that are sent from On-Premises to Microsoft 365 show email addresses not display names in From
  https://docs.microsoft.com/en-us/exchange/troubleshoot/send-emails/emails-show-addresses-not-display-names-in-from
• What Rule Touched my Email Message Tracking – Exchange Stuff
  http://www.happymillfam.com/what-rule-touched-my-email-message-tracking-exchange-stuff/
• View DLP policy detection reports
  https://technet.microsoft.com/en-us/library/jj150520(v=exchg.150).aspx
  Beschreibt die Bedeutung von ETR, ETRP, TRA bei Transportregeln
• Message tracking
  https://technet.microsoft.com/en-us/library/bb124375(v=exchg.160).aspx
• Parsing an extended message trace
  https://blogs.technet.microsoft.com/eopfieldnotes/2015/12/01/parsing-an-extended-message-trace-2/
• What is X-MS-Exchange-organization-AuthAs anonymous?
  https://idswater.com/2020/09/20/what-is-x-ms-exchange-organization-authas-anonymous/