EXO 5000 Group Member

Wer die Exchange Online Service Description genau liest, wird ein seltsames Limit bei Mailverteilern finden, welches ich hier genauer beschreibe:

EXO Online Description

Verteilerlisten werden gerne genutzt, um Mails an eine Gruppe von Empfänger zu senden ohne dass der Absender die Empfängerliste mühsam selbst zusammenstellen muss. Das ist insbesondere für "Rundschreiben" interessant.

Ich sehe Verteiler aber kritisch, da sie nur Postfächer füllen und auf Abteilungsebene sehr schnell Kettenbriefe draus werden. Überlegen Sie immer, ob nicht eine Ankündigung auf dem Intranet oder ein Chat in Teams deutlich effektiver ist

Sie können aber in Exchange Online auch bis zu 100.000 Mitglieder in einem Verteiler aufnehmen, wobei im Hybrid-Mode durch AADConnect nur bis zu 50.000 Mitglieder einer Gruppe aus dem lokalen Active Directory synchronisiert werden können. Wenn dann noch jeder eine Mail an diesen Verteiler senden kann und noch ein paar "Reply All" dazu kommen, dann belastet das nicht nur Exchange Server sondern zehrt auch mächtig an der Akzeptanz des Mailsystems.

Solche Mails an XL-Verteiler sollten also sehr mit Bedacht eingesetzt werden. Sie landen ja auch bei all den Empfängern, die vielleicht gerade auf Dienstreise, krank daheim oder in Urlaub sind und daher von tagesaktuellen Informationen über z.B. den Speiseplan der Kantine nicht profitieren. Als Absender möchten sie doch nicht, dass die Empfänger Mails an den Verteiler über Regeln automatisch löschen, oder? Exchange Online hat daher ein Limit, dass Verteiler mit mehr als 5000 Empfängern beschränkt sind.

m
https://docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-service-description/exchange-online-limits#distribution-group-limits

In der Beschreibung steht auch ein "5000 or more members" und im begleitenden Text steht:

Limit sending messages to large distribution groups: Distribution groups that contain the number of members specified by this limit must have delivery management or message approval options configured. Delivery management specifies a list of senders who are allowed to send messages to the distribution group. Message approval specifies one or more moderators who must approve all messages sent to the distribution group.
Quelle: https://docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-service-description/exchange-online-limits#distribution-group-limits

Es ist also in Exchange Online nicht möglich eine Mail an einer Verteilergruppe mit mehr als 5000 Empfänger zu senden.

NDR für Limit

Wenn ein Anwender dann versucht eine Mail an so einen Verteiler zu senden, dann wird die Mail mit einer Unzustellbarkeit abgelehnt und quittiert. Die Meldung sollte von jedem Anwender problemlos verstanden werden.

Delivery has failed to these recipients or groups:

<name der gruppe mit Mailadresse>

Your message couldn't be delivered because the group you sent to isn't
ready to accept messages. Before you can send mail to the group, it needs
to have sender restrictions or message approval set.
Ask the owner of the group to set message approval (also called moderation)
or sender restrictions for the group, then try resending your message. 

Allerdings muss der Helpdesk diesen Fehler natürlich auch mit dem 5000er Limit in Verbindung bringen.

Lösung: Moderation/Limit

Das 5000er Limit ist nicht veränderbar aber sie können einen Absender entsprechend qualifizieren, damit er dennoch so einen Verteiler nutzen kann. Ansonsten würde es ja gar keinen Sinn machen, Verteiler mit mehr als 5000 Teilnehmern zu erstellen.

Wobei ich hier immer auf den Nerv/Stör-Faktor so einer Mail an so viele Empfänger hinweisen möchte. Ich bin eher ein Freund von Veröffentlichungen auf dem Intranet, Yammer oder Teams um das Postfach frei zu halten. Nur wichtige Schreiben, die eine direkte Zustellung erfordern, würde ich so versenden.

Damit jemand das 5000er Limit umgehen kann, sieht Microsoft eine von zwei Methoden vor, die natürlich auch kombiniert werden können.

Methode Beschreibung

Moderation

Sie können einen Mailverteiler über einen Moderator verwalten lassen. Jede Mail an diesen Verteiler wird also zum Moderator umgeleitet, der diese dann sichten und freigeben kann. Wenn Absender und Moderator unterschiedliche Personen sind, dann haben sie ein 4-Augen-Prinzip. Das verzögert etwas die Zustellung aber es verhindert auch Mail-Stürme durch "ReplyAll"-Aktionen der Empfänger.

Beschränkungen

Die zweite Option besteht in der Beschränkung der möglichen Absender. Nur eine bekannte Liste von Absendern darf solche große Verteiler adressieren und sind entsprechend "geschult" im Umgang damit. Auch dies reduziert den Schaden eines "ReplyAll" durch Empfänger.

Limit sending messages to large distribution groups: Distribution groups that contain the number of members specified by this limit must have Delivery Management or Message Approval options configured. Delivery management specifies a list of senders who are allowed to send messages to the distribution group. Message approval specifies one or more moderators who must approve all messages sent to the distribution group
https://docs.microsoft.com/en-us/powershell/module/exchange/users-and-groups/set-distributiongroup?view=exchange-ps

Gerade das Risiko eines "Mailsturms" ist nicht zu unterschätzen und hat auch schon andere Firmen (Inklusive Bundestag und Microsoft) für einige Zeit behindert, weil Mails stark verzögert zugestellt wurden.

Wenn Sie aber eine der beiden Optionen einstellen, dann können zumindest bestimmte Absender eine solche große Gruppen als Empfänger nutzen.

Alternative: Serienbrief

Natürlich kann ein Anwender immer noch viele kleine E-Mails versenden. Word "Serienbriefe" können genauso gut mehrere Mails an viele Empfänger versenden wie diverse Adressverwaltungsprogramme und klassische Mailtools. Allerdings gibt es auch hier zumindest in Exchange Online wieder Grenzwerte, die ein Anwender nicht überschreiten kann.

AD-Felder

Natürlich möchte ich auch etwas hinter die Kulissen schauen. Solche Einstellungen werden ja für gewöhnlich im lokalen Active Directory abgelegt. Daher habe ich auf einer Gruppen diese Werte gesetzt und parallel beobachtet, was sich im Active Directory dazu verändert. Interessant ist nämlich, dass die PowerShell "Set-distributiongroup" sechs Parameter kennt

Im Active Directory habe ich aber nur zwei ganz anders benannte Felder (dLMemSubmitPerms und dLMemRejectPerms) gefunden. Da war natürlich klar, dass ich mit Set-DistributionGroup verschiedene Objekte addiert und die Änderungen im Active Directory mit GET-ADChanges nachverfolgt habe.

genutzter Parameter mögliche Werte Geändertes AD-Feld

AcceptMessagesOnlyFrom

Mailbox, MailUser, Mailcontacts

authorig

Enthält die DNs der berechtigten Objekte

AcceptMessagesOnlyFromDLMember

distribution groups, mail-enabled security groups, and dynamic distribution groups

dlmemsubmitperms

Enthält die DNs der berechtigten Objekte

AcceptMessagesOnlyFromSendersOrMembers

mailboxes, mail users, and mail contacts.
distribution groups, mail-enabled security groups, and dynamic distribution groups.

authorig
dlmemsubmitperms

Bearbeitet einfach beide Felder und teilt die Objekte nach dem Typ auf

RejectMessagesFromDLMembers

distribution groups, mail-enabled security groups, and dynamic distribution groups

dlmemrejectperms

RejectMessagesFrom

Mailbox, MailUser, Mailcontacts

unauthorig

RejectMessagesFromSendersOrMembers

Mailbox, MailUser, Mailcontacts
distribution groups, mail-enabled security groups, and dynamic distribution groups

unauthorig
dlmemrejectperms

Die Parameter "RejectMessagesFromSendersOrMembers" und "AcceptMessagesOnlyFromSendersOrMembers" unterstützen alle verschiedenen Absender und sie könnten versucht sein, die vier anderen Parameter einfach zu ignorieren. Sie sind aber durchaus hilfreich, wenn Sie z.B. nur eine bestimmte Klasse verwalten wollen. Wenn Sie z.B. bei einem Verteiler alle Objekte from Typ Mailuser,Mailbox entfernen wollen dann reicht ein:

get-distributiongroup -identity <groupname> -AcceptMessagesOnlyFrom $null

Hier wird dann nur das Feld "authorig" geleert aber die berechtigten Gruppen bleiben erhalten.

Ein Objekte kann natürlich nicht gleichzeitig auf beiden Listen erscheinen. Solche Konflikte verhindert die Exchange PowerShell aber durch eine Fehlermeldung.. Wenn Sie also versuchen einen Eintrag sowohl als "Allowed" als auch "Denied" zu pflegen, dann kommt ein Fehler:

The distribution group or dynamic distribution group, "uclabor.de/Accounts/FCTest/fcgroup1", cannot appear as both accepted and rejected.

Das funktioniert natürlich nur zuverlässig, wenn das Active Directory synchron ist.

Remote Mailbox

Beim Exchange Hybrid Mode gibt es neben den lokalen Postfächern natürlich auch Benutzer, deren Postfach schon in Exchange Online ist. Die Verwaltung der Empfangsbeschränkungen auf Verteilern und Postfächern erfolgt aber immer im lokalen Active Directory.

Leider konnte ich im Märt 2020 noch keine "RemoteMailbox" als berechtigter oder blockierter Absender eintragen. Es ist aber per PowerShell möglich. Anscheinend ist da die WebUI noch nicht so weit.

Exchange Online und ADSync

In Verbindung mit Exchange Online muss auch ADSync diese Einstellungen irgendwie in die Cloud übertragen. Dankenswerterweise hat Microsoft die durch ADSync übertragenen Felder dokumentiert.


Quelle: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-sync-attributes-synchronized

Damit erklärt sich dann auch, dass diese Felder basierend auf der Konfiguration auf ihrem "On-Premises"-Server durch ADSync zu Exchange Online übertragen werden.

Weitere Links