EXO 5000 Group Member
Wer die Exchange Online Service Description genau liest, wird ein seltsames Limit bei Mailverteilern finden, welches ich hier genauer beschreibe:
EXO Online Description
Verteilerlisten werden gerne genutzt, um Mails an eine Gruppe von Empfänger zu senden ohne dass der Absender die Empfängerliste mühsam selbst zusammenstellen muss. Das ist insbesondere für "Rundschreiben" interessant.
Ich sehe Verteiler aber kritisch, da sie nur Postfächer füllen und auf Abteilungsebene sehr schnell Kettenbriefe draus werden. Überlegen Sie immer, ob nicht eine Ankündigung auf dem Intranet oder ein Chat in Teams deutlich effektiver ist
Sie können aber in Exchange Online auch bis zu 100.000 Mitglieder in einem Verteiler aufnehmen, wobei im Hybrid-Mode durch AADConnect nur bis zu 50.000 Mitglieder einer Gruppe aus dem lokalen Active Directory synchronisiert werden können. Wenn dann noch jeder eine Mail an diesen Verteiler senden kann und noch ein paar "Reply All" dazu kommen, dann belastet das nicht nur Exchange Server sondern zehrt auch mächtig an der Akzeptanz des Mailsystems.
Solche Mails an XL-Verteiler sollten also sehr mit Bedacht eingesetzt werden. Sie landen ja auch bei all den Empfängern, die vielleicht gerade auf Dienstreise, krank daheim oder in Urlaub sind und daher von tagesaktuellen Informationen über z.B. den Speiseplan der Kantine nicht profitieren. Als Absender möchten sie doch nicht, dass die Empfänger Mails an den Verteiler über Regeln automatisch löschen, oder? Exchange Online hat daher ein Limit, dass Verteiler mit mehr als 5000 Empfängern beschränkt sind.
In der Beschreibung steht auch ein "5000 or more members" und im begleitenden Text steht:
Limit sending messages to large distribution groups: Distribution groups that
contain the number of members specified by this limit must have delivery
management or message approval options configured. Delivery management specifies
a list of senders who are allowed to send messages to the distribution group.
Message approval specifies one or more moderators who must approve all messages
sent to the distribution group.
Quelle:
https://docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-service-description/exchange-online-limits#distribution-group-limits
Es ist also in Exchange Online nicht möglich eine Mail an einer Verteilergruppe mit mehr als 5000 Empfänger zu senden.
NDR für Limit
Wenn ein Anwender dann versucht eine Mail an so einen Verteiler zu senden, dann wird die Mail mit einer Unzustellbarkeit abgelehnt und quittiert. Die Meldung sollte von jedem Anwender problemlos verstanden werden.
Delivery has failed to these recipients
or groups:
<name der gruppe mit
Mailadresse>
Your message couldn't be delivered because the group you
sent to isn't
ready to accept messages. Before you can send mail to the
group, it needs
to have sender restrictions or message approval set.
Ask the owner of the group to set message approval (also
called moderation)
or sender restrictions for the group, then try resending
your message.
Allerdings muss der Helpdesk diesen Fehler natürlich auch mit dem 5000er Limit in Verbindung bringen.
- E-Mail-Unzustellbarkeitsbereiche in
Exchange Online
https://docs.microsoft.com/de-de/Exchange/mail-flow-best-practices/non-delivery-reports-in-exchange-online/non-delivery-reports-in-exchange-online - Fix email delivery issues for error code
550 5.7.1 in Exchange Online
https://docs.microsoft.com/en-us/exchange/mail-flow-best-practices/non-delivery-reports-in-exchange-online/fix-error-code-550-5-7-1-in-exchange-online
Lösung: Moderation/Limit
Das 5000er Limit ist nicht veränderbar aber sie können einen Absender entsprechend qualifizieren, damit er dennoch so einen Verteiler nutzen kann. Ansonsten würde es ja gar keinen Sinn machen, Verteiler mit mehr als 5000 Teilnehmern zu erstellen.
Wobei ich hier immer auf den Nerv/Stör-Faktor so einer Mail an so viele Empfänger hinweisen möchte. Ich bin eher ein Freund von Veröffentlichungen auf dem Intranet, Yammer oder Teams um das Postfach frei zu halten. Nur wichtige Schreiben, die eine direkte Zustellung erfordern, würde ich so versenden.
Damit jemand das 5000er Limit umgehen kann, sieht Microsoft eine von zwei Methoden vor, die natürlich auch kombiniert werden können.
Methode | Beschreibung |
---|---|
Moderation |
Sie können einen Mailverteiler über einen Moderator verwalten lassen. Jede Mail an diesen Verteiler wird also zum Moderator umgeleitet, der diese dann sichten und freigeben kann. Wenn Absender und Moderator unterschiedliche Personen sind, dann haben sie ein 4-Augen-Prinzip. Das verzögert etwas die Zustellung aber es verhindert auch Mail-Stürme durch "ReplyAll"-Aktionen der Empfänger. |
Beschränkungen |
Die zweite Option besteht in der Beschränkung der möglichen Absender. Nur eine bekannte Liste von Absendern darf solche große Verteiler adressieren und sind entsprechend "geschult" im Umgang damit. Auch dies reduziert den Schaden eines "ReplyAll" durch Empfänger.
|
Limit sending messages to large distribution groups: Distribution groups that
contain the number of members specified by this limit must have Delivery
Management or Message Approval options configured. Delivery management specifies
a list of senders who are allowed to send messages to the distribution group.
Message approval specifies one or more moderators who must approve all messages
sent to the distribution group
https://docs.microsoft.com/en-us/powershell/module/exchange/users-and-groups/set-distributiongroup?view=exchange-ps
Gerade das Risiko eines "Mailsturms" ist nicht zu unterschätzen und hat auch schon andere Firmen (Inklusive Bundestag und Microsoft) für einige Zeit behindert, weil Mails stark verzögert zugestellt wurden.
Wenn Sie aber eine der beiden Optionen einstellen, dann können zumindest bestimmte Absender eine solche große Gruppen als Empfänger nutzen.
Alternative: Serienbrief
Natürlich kann ein Anwender immer noch viele kleine E-Mails versenden. Word "Serienbriefe" können genauso gut mehrere Mails an viele Empfänger versenden wie diverse Adressverwaltungsprogramme und klassische Mailtools. Allerdings gibt es auch hier zumindest in Exchange Online wieder Grenzwerte, die ein Anwender nicht überschreiten kann.
- Exchange Online-Begrenzungen
https://docs.microsoft.com/de-de/office365/servicedescriptions/exchange-online-service-description/exchange-online-limits - Exchange Online Message Rate Grenzen
AD-Felder
Natürlich möchte ich auch etwas hinter die Kulissen schauen. Solche Einstellungen werden ja für gewöhnlich im lokalen Active Directory abgelegt. Daher habe ich auf einer Gruppen diese Werte gesetzt und parallel beobachtet, was sich im Active Directory dazu verändert. Interessant ist nämlich, dass die PowerShell "Set-distributiongroup" sechs Parameter kennt
- Set-Distribution Group
https://docs.microsoft.com/de-de/powershell/module/exchange/users-and-groups/set-distributiongroup
Im Active Directory habe ich aber nur zwei ganz anders benannte Felder (dLMemSubmitPerms und dLMemRejectPerms) gefunden. Da war natürlich klar, dass ich mit Set-DistributionGroup verschiedene Objekte addiert und die Änderungen im Active Directory mit GET-ADChanges nachverfolgt habe.
genutzter Parameter | mögliche Werte | Geändertes AD-Feld |
---|---|---|
AcceptMessagesOnlyFrom |
Mailbox, MailUser, Mailcontacts |
authorig Enthält die DNs der berechtigten Objekte |
AcceptMessagesOnlyFromDLMember |
distribution groups, mail-enabled security groups, and dynamic distribution groups |
dlmemsubmitperms Enthält die DNs der berechtigten Objekte |
AcceptMessagesOnlyFromSendersOrMembers |
mailboxes, mail
users, and mail contacts. |
authorig dlmemsubmitperms Bearbeitet einfach beide Felder und teilt die Objekte nach dem Typ auf |
RejectMessagesFromDLMembers |
distribution groups, mail-enabled security groups, and dynamic distribution groups |
dlmemrejectperms |
RejectMessagesFrom |
Mailbox, MailUser, Mailcontacts |
unauthorig |
RejectMessagesFromSendersOrMembers |
Mailbox, MailUser, Mailcontacts |
unauthorig dlmemrejectperms |
Die Parameter "RejectMessagesFromSendersOrMembers" und "AcceptMessagesOnlyFromSendersOrMembers" unterstützen alle verschiedenen Absender und sie könnten versucht sein, die vier anderen Parameter einfach zu ignorieren. Sie sind aber durchaus hilfreich, wenn Sie z.B. nur eine bestimmte Klasse verwalten wollen. Wenn Sie z.B. bei einem Verteiler alle Objekte from Typ Mailuser,Mailbox entfernen wollen dann reicht ein:
get-distributiongroup -identity <groupname> -AcceptMessagesOnlyFrom $null
Hier wird dann nur das Feld "authorig" geleert aber die berechtigten Gruppen bleiben erhalten.
Ein Objekte kann natürlich nicht gleichzeitig auf beiden Listen erscheinen. Solche Konflikte verhindert die Exchange PowerShell aber durch eine Fehlermeldung.. Wenn Sie also versuchen einen Eintrag sowohl als "Allowed" als auch "Denied" zu pflegen, dann kommt ein Fehler:
The distribution group or dynamic distribution group, "uclabor.de/Accounts/FCTest/fcgroup1", cannot appear as both accepted and rejected.
Das funktioniert natürlich nur zuverlässig, wenn das Active Directory synchron ist.
Remote Mailbox
Beim Exchange Hybrid Mode gibt es neben den lokalen Postfächern natürlich auch Benutzer, deren Postfach schon in Exchange Online ist. Die Verwaltung der Empfangsbeschränkungen auf Verteilern und Postfächern erfolgt aber immer im lokalen Active Directory.
Leider konnte ich im Märt 2020 noch keine "RemoteMailbox" als berechtigter oder blockierter Absender eintragen. Es ist aber per PowerShell möglich. Anscheinend ist da die WebUI noch nicht so weit.
Exchange Online und ADSync
In Verbindung mit Exchange Online muss auch ADSync diese Einstellungen irgendwie in die Cloud übertragen. Dankenswerterweise hat Microsoft die durch ADSync übertragenen Felder dokumentiert.
Damit erklärt sich dann auch, dass diese Felder basierend auf der Konfiguration auf ihrem "On-Premises"-Server durch ADSync zu Exchange Online übertragen werden.
Weitere Links
- Exchange LDAP-Felder
- AD Felder
- EX55 Felder
- Exchange Provisioning Felder
- ADSync mit Exchange Online
- Office 365 - ADSync Felder
- Exchange Online limits: Distribution group limits
https://docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-service-description/exchange-online-limits#distribution-group-limits - QuickTipp: „Allen antworten“ Mailflut
verhindern
https://www.frankysweb.de/quicktipp-allen-antworten-mailflut-verhindern/ - Microsoft staff giggle beneath the
weight of a 52,000-person Reply-All email
storm
https://www.theregister.co.uk/2020/03/26/microsoft_reply_all_email_storm_52000/ - Wie Babette den Bundestag lahmlegte
https://www.spiegel.de/politik/deutschland/e-mail-desaster-wie-babette-den-bundestag-lahmlegte-a-811303.html - EXO Distribution Group Moderation (5000+
members)
https://www.reddit.com/r/Office365/comments/df668z/exo_distribution_group_moderation_5000_members/