Exchange Online mit IMAP4-Hybrid

Wer bislang seine Domäne samt Postfach bei einem klassischen Internetprovider gehostet und per IMAP4 genutzt hat, muss beim Wechsel zu Office 365 eine Koexistenz berücksichtigen. Nicht alle Firmen könne oder wollen in einer Nacht und Nebel-Aktion umsteigen. Vielleicht gibt es auch funktionale oder Kostenargumente, warum bestimmte Postfächer beim bisherigen Provider verbleiben sollen und nur ein Teil auf Office 365 schwenkt. Damit haben wir ein "SMTP Domain-Sharing" zu konfigurieren.

Ich beschreibe hier immer nur IMAP4, da hiermit eine Migration von Inhalten einfacher möglich ist. POP3 ist zwar möglich aber zumindest in Firmen nicht mehr empfohlen.

Grundlagen

Die Grundlagen eines Koexistenz-Betriebes sind immer wieder die gleichen Punkte:

  • Es gibt zwei Mailsysteme mit Postfächern und der gleichen SMTP-Domäne
    Es muss hier also sichergestellt werden, dass beide Systeme auch Mails an das jeweils andere System senden können.
  • Eingehende Mails werden per MX-Record geroutet
    Damit Hier kein Chaos entsteht, sollte eines der beiden System als "primär" definiert werden, bei dem alle Mails ankommen und dieses sollte die Mails dann auf Spam/Viren filtern und quasi "hintenrum" dann weitergeben. Dabei ist aber zu beachten, dass das nachgeordnete System die Mails von dem primären System annimmt, auch wenn der Absender eben "extern" ist. Insbesondere auf zusätzliche Spamfilter und SPF-Prüfungen etc. müssen hier umgangen werden.
  • Ausgehende Mails, SPF und Tracking
    Theoretisch könnte jedes Mailsystem ausgehende Mails an externe Empfänger direkt versenden. Technisch ist es kein Problem, wenn Sie beide Systeme im entsprechenden SPF-Eintrag hinterlegen. Allerdings müssen Sie dann auch immer unterschiedliche Plattformen nutzen, wenn Sie z.B. im Fehlerfall nach Problemen suchen. Aber es gibt Konstellationen, bei denen ist es nicht anders möglich.
  • Gemeinsames Adressbuch / Verteiler
    Sofern die Clients ein Adressbuch nutzen wollen, sollte der Service ein einheitliches Adressbuch bereitstellen. Die Existenz der Empfänger des jeweils anderen Systems ist auch für eine saubere Auflösung von Verteilern erforderlich. Leider erlauben die meisten einfachen IMAP4-Provider erst gar nicht die Verwaltung von Verteilen auf Firmenebene sondern nur individuell pro Benutzer.

Eine allgemeingültige Beschreibung kann ich hier nicht liefern, da es sehr viele Mail-Provider gibt. Ich habe mir aber mal Gedanken gemacht, wie dies mit meinem Provider 1und1 aussehen könnte, bei dem ich einige Postfächer betreibe und daher die Konfiguration recht gut kenne. Vermutlich sieht es bei OVH, Host Europe, Strato, Domain Factory und all den anderen Providern auch nicht viel anders aus.

Abgrenzung

Bitte verwechseln sie nicht das normale PostfachHosting per IMAP4 dieser Provider mit einem Exchange Hosting, welches früher oft als "Premium-Postfach" angeboten wird oder Office 365, welches als Reseller verkauft wird

Die Koexistenz der noch von Providern selbst betriebenen Exchange Hosting Plattformen ist nicht Thema dieser Seite und wenn Sie Office 365 über ihren Hoster statt direkt bei Microsoft kaufen, dann entfällt der Bedarf einer Koexistenz, da sie ja eh schon in Office 365 sind und der Hosting Provider nur das Inkasso macht.

Zielgruppe

Als überzeugter Exchange Consultant, der auch die Vorteile von Office 365 kennt, fällt mir die Argumentation für eine Koexistenz mit IMAP4-Systemen nicht einfach. Es kann aber durchaus interessant sein, nicht alle Postfächer nach Exchange Online zu verlagern, weil ihnen vielleicht selbst das Exchange Online Plan1-Paket zu teuer ist und daher die Anwender weiterhin per Browser oder IMAP4-Client ihre Postfächer beim aktuellen Provider zu betreiben. Vielleicht wollen Sie ja auch erst mal schauen, wie gut Exchange Online ist und über einen längeren Zeitraum ihre Mails umziehen.

Überlegungen Mailrouting

Ich beginne mit dem Mailrouting zwischen dem Internet, dem Office 365 Tenant und dem bisherigen Mail-Provider. Dabei nehme ich folgendes an:

  • Der bisherige Provider macht auch DNS-Hosting
    Sie können dort also die für Office 365 erforderlichen Einträge vornehmen
  • Kontakte oder Weiterleitung beim Mailbox Provider
    Für die Koexistenz muss es möglich sein, dass Sie bei ihrem bisherigen Internet-Provider entsprechende Weiterleitungen zu Office 365 einrichten können.
  • Kein "Send Connector beim Internet Provider
    Ich gehe davon aus, dass ihr bisheriger Mailbox Provider keine eigene Routing-Konfiguration erlaubt, d.h. er sendet Mails per MX-Record und alle eingehenden Mails sind "unsicher" und durchlaufen den Spamfilter.
  • Die Benutzer auf dem MailProvider haben keinerlei Office 365 Lizenz
    Damit dürfen Sie offiziell nicht die Spamfilter-Funktion von Exchange nutzen. Exchange Online Protection ist nur für Office 365 Empfänger lizenziert oder muss gesondert gekauft werden

Diese Vorgaben haben natürlich einige Einschränkungen zur Folge:

Eingehende Mails aus dem Internet

Schauen wir uns erst mal das Routing von Mails aus dem Internet an.

  • Sie können den MX-Record nicht auf Exchange Online stellen, auch wenn Exchange Online den vermutlich besseren Spamfilter hat.
    Die Benutzer auf dem System des Mailbox-Providers haben ja keine Lizenz.
  • Doppelter Spamfilter
    Wir könnten zwar aus Exchange Online die Mails über "Mailuser" und "Outbound Connectoren" an das IMAP4-System senden, aber dort kann der Provider nicht unterscheiden, dass die Mails schon mal gescannt wurden. Er kann nicht mal unterscheiden, wenn die Mails von den Exchange Online Kollegen kommen. Sie werden durch den Spamfilter geschickt.
  • SPF blockiert
    Neben dem False Positive-Risiko kommt hier noch SPF zum Tragen. Wie verhält sich wohl der IMAP4-Provider wenn von den Office 365-Servern eine Mail kommt, deren Absender eine externe Domäne nutzt, die zudem einen SPF-Eintrag hat. Wenn die Office 365 Server dort nicht auftauchen, wird die Mail abgelehnt

Damit ist klar, dass der MX-Record nicht zu Exchange Online verweisen kann. Alle eingehenden Mails müssen weiterhin zum bisherigen Provider gehen. "Schuld" ist dabei aber nicht Office 365 sondern die fehlende Möglichkeit beim IMAP4-Provider eine Art "Vertrauensstellung" für eingehende Mails des Office 365 Tenants einzurichten.

Ausgehende Mails

Der Versand von Mails an das Internet kann jede Umgebung für sich selbst regeln. Das tun die Umgebungen auch per Default so. Bei Exchange Online könnten Sie über einen "Outbound Connector" und regeln sogar vorgeben, dass alle Mails nicht direkt per DNS und MX-Record sondern über den IMAP4-Provider als Smarthost versendet werden. Allerdings habe ich noch keinen Provider gesehen, der dann auch die eingehende Verbindung von ihrem Office Office Tenant unterscheiden und explizit erlauben kann. Sie können es versuchen aber es wird nicht zuverlässig funktionieren.

Zudem sollten Sie dran denken, dass Sie einen etwa vorhandenen SPF-Eintrag natürlich erweitern. Wenn dieser allein den bisherigen IMAP4-Server umfasst, dann muss da noch die Office 365 Umgebung addiert werden. Am besten geht das durch einen Include.

# Standardeintrag von Office 365
v=spf1 include:spf.protection.outlook.com -all

#Eintrag, wenn z.B. 1und1 der Anbieter wäre
v=spf1 include:spf.protection.outlook.com include:_spf.perfora.net include:_spf.kundenserver.de -all

Ich habe bei beiden mit einem "-all" einen HardFail konfiguriert. ein Soft-Fail macht den SPF-Eintrag wirkungslos, da alle nicht aufgeführten Hosts dennoch mit ihrem guten Namen senden dürften.

Wenn aber jede Topologie für sich sendet, dann ist es natürlich aufwändiger nach Fehlern zu suchen. Sie müssen ja erst mal ermitteln, welcher Benutzer wo ist, um dann dort den Support zu bemühen. Bei Exchange Online geht es einfacher, das Sie hier als Administrator selbst ein Messagetracking nutzen können.

Mails zwischen den beiden Plattformen

Auch wenn die Empfänger auf beiden Seite die gleiche SMTP-Domain nutzen, können Sie sich doch gegenseitig erreichen. In Office 365 ist es gar kein Problem das Routing so einzustellen, dass der Tenant nicht "Autoritativ" für die Domäne zuständig ist und daher alle unbekannten oder als Kontakt gepflegten Empfänger über den MX-Record oder einen Outbound-Connector an den IMAP4-Provider sendet.

In die Gegenrichtung vom IMAP4-Provider zu Exchange Online bedienen Sie sich einfach der "%tenantname%.onmicrosoft.com-Adresse, die jeder Office 365 Empfänger sowieso zusätzlich hat. Allerdings sollten Sie in ihrem Office 365-Tenant einen "Inbound Connector" einrichten, mit dem Sie Mails von ihrem Provider anders behandeln, als die Mails aus dem Internet. Allerdings ist das Unterfangen nicht ganz einfach, da auch beim IMAP4-Provider neben ihren Domänen auch andere Kunden gehostet werden. und sie damit auch all die anderen Absender auf diesem Server quasi zulassen. Ohne diesen Connector werden aber auch die "internen Mails" bei Office 365 durch den Spamfilter gejagt. Viel schlimmer ist hier natürlich, das Exchange dann Mail aus dem Internet "via IMAP4-Provider" bekommt und jein aktiver SPF-Check daneben geht. Es bleibt ihnen also gar nichts anderes übrig, als in Office 365 ihren IMAP4-Provider und damit auch all dessen anderen Kunden als "vertrauenswürdig" einzustufen.

Eine Lösung hierfür gibt es, anders als beim Exchange Hybrid Mode, nicht, da sie keine Möglichkeit der Steuerung auf der Seite des IMAP4-Providers haben.

Damit Mails nun vom IMAP4-Provider zu Exchange Online gelangen, pflegen beim IMAP4-Provider alle Empfänger in ihrer Domäne. Das können sein:

  • Postfächer beim IMAP4-Provider
    Die arbeiten wie bisher allein dort
  • Postfächer beim IMAP4-Provider mit Um/Weiterleitung
    Bei den meisten Anbieten können Sie eingehende Mails an eine andere, z.B. die username@%tenantname%.onmicrosoft.com-Adresse umleiten. Das ist ideal, wenn das Postfach migriert wird und sie im Hintergrund per IMAP4 die Inhalte schon zu Office 365 verlagern und neue Elemente gleich in Office 365 erscheinen sollen.
  • Alias-Einträge
    Bei den meisten IMAP4-Providern lassen sich auch Mailadressen anlegen, die direkt auf eine andere Adresse umgeleitet werden. Für jedes Postfach aber auch jeden andren Empfänger (Verteiler, Office Groups etc) in Office 365 müssen Sie daher mindestens so einen Kontakt anlegen, der auf die onmicrosoft.com-Adresse verweist

Sie sehen natürlich, dass gerade die Kommunikation zwischen Office 365 und dem IMAP4-Provider alles andere als perfekt für einen Dauerbetrieb ist. Office 365 ist "richtig Multitenant" fähig, weil Sie als Administrator nicht nur Empfänger verwalten sondern eben auch direkt Einfluss auf den Mailversand und Empfang nehmen können. Diese Funktion vermisse ich bei IMAP4-Providern gänzlich.

Mehrwerte

Mir ist noch keine Lösung untergekommen, die neben dem Mailrouting auch andere Anforderungen an den Betrieb von zwei Mailsystemen bereitstellt. So fehlt komplett

  • DirSync
    Sicher könnte man etwas "programmieren" aber ich kenne nur weniger IMAP4-Provider, die für die Verwaltung der Anwender eine API bereit stellen. Die meisten Hoster erwarten, dass der Administrator dir Anwender manuell über die Webseite oder vielleicht über den Import einer CSV-Datei anlegt.
  • Free/Busy
    Kalender in Exchange Online und Outlook sind bei IMAP4 in der Art nicht vorgesehen. Natürlich können Sie in einem IMAP4-Ordner entsprechende ICAL-Elemente ablegen und mit einem Client diese Anzeigen. Aber das spielt sich alles im Postfach ab und kann nicht wirklich übergreifend genutzt werden. Meist ist die Funktion ja nicht mal zwischen Anwendern der IMAP4-Providers möglich.
  • Stellvertreter/Shared Mailbox
    Lösen Sie sich von der Vorstellung, dass ein Anwender in einem System als Stellvertreter eines anderen Postfachs auf der anderen Seite genutzt werden kann. Aus dem gleichen Grund gibt es außerhalb von Office 365 auch keine gemeinsamen Postfächer.

Wenn ich nun fast am Ende des Artikels noch mal zurück gehe und über die verschiedenen Punkte nachdenke, dann kann ich nicht mit gutem Gewissen den Parallelbetrieb von IMAP4-Systemen mit Office 365 mit einer gemeinsam genutzten SMTP-Domäne empfehlen. Also machen wir uns noch schnell Gedanken über die Migration.

Migration

Die Migration von IMAP4-Konten zu Office 365 geht relativ schnell. Es gibt dazu einen eigenen Migrationsassistent, bei dem Sie Office 365 eine Liste der Benutzer mit Kennworten geben und dieser dann die Daten von Server zu Server in die Cloud zieht. Technisch würde ich das wie folgt machen

  • Sie legen die Postfächer in Office 365 an
    d.h. die Konfigurieren die Benutzer (manuell oder AADConnect) und die Authentifizierung.
  • Exchange Lizenz zuweisen
    Damit bekommen die Mitarbeiter ein Postfach und die Mailadresse gemäß ihren Empfängerrichtlinien. Sie können die Adressen natürlich auch per Browser im Exchange Admin Center oder per Exchange Online PowerShell anpassen. Solange niemand damit arbeitet und der MX-Record nicht auf Office 365 zeigt, merkt das niemand.
  • Postfachinhalte Synchronisieren
    Die Migration gleicht die Postfachinhalte des IMAP4-Postfachs mit dem Exchange Postfach ab. Dazu muss die Cloud natürlich die Benutzernamen und Kennworte der IMAP4-Konten wissen oder sie haben ein privilegiertes Konto. Die Synchronisation läuft kontinuierlich. Irgendwann sind alle Postfachinhalte dann im Ziel
  • MX-Umstellen /Weiterleiten
    Dann sollten Sie ihren Anwendern sagen, dass Sie ab einem Stichtag nur noch in Office 365 arbeiten sollten. Über eine Anpassung in der IMAP4-Quelle können Sie dafür sorgen, dass alle Mails zu Office 365 weiter geleitet werden. Eine letzte Synchronisation nimmt die letzten Änderungen mit. Die Umstellung des MX-Records können Sie optimieren, indem Sie einige Tage vorher z.B. den TTL reduzieren. So kommen dann irgendwann alle Mails nur noch in Office 365 an und sie können die Postfächer beim IMAP4-Provider durch Weiterleitungen ersetzen oder einfach löschen. Dort sollten ja keine Mails mehr ankommen, da der MX-Record nicht mehr dort hin verweist.

Klingt einfach und ist auch einfach. Es gibt nur drei knifflige Dinge:

  • Kennworte der User bzw. privilegiertes Konto
    Die Datenmigration muss auf die Postfächer aller Benutzer zugreifen, die migriert werden sollen. Meist gibt es beim IMAP4-Hoster keine Möglichkeit eines privilegierten Kontos, so dass Sie die individuellen Kennworte einsammeln müssen, wenn sie diese nicht mehr haben. Zum Glück können bei IMAP4-Hostern die Anwender ihr Kennwort nicht ändern, so dass es immer noch das erste Kennwort sein dürfte.
  • Zeitgleiche Umstellung der Anwender auf Exchange Online
    Meist können Sie beim Quellsystem die Anwender nicht aktiv aussperren, es sei denn, Sie ändern das Kennwort, welches sie natürlich dem Migrationsjob auch beibringen müssen
  • Inhalte
    Es ist in der Regel problemlos, Inhalte per IMAP4 zu lesen und in Exchange Online abzulegen. Dennoch kann es schon mal passieren, dass gewisse Formate nicht sauber übernommen werden. Das gibt es bei jeder Migration

Flapsig könnten Sie natürlich sagen, dass das die letzte Migration ist und es im Ziel viel besser Möglichkeiten gibt. Ob das aber wirkungsvoll ist, hängt von ihren Anwendern ab. Wer danach immer noch mit IMAP4 auf sein Postfach zugreifen will, kann das natürlich weiterhin tun: Siehe IMAP4 mit Office 365

So könnte es doch gehen

Wenn sie unbedingt einen Hybrid-Betrieb zwischen Exchange Online und einem IMAP4-System einrichten wollen, da dürfte die folgende Konfiguration denkbar sein

  • Alle Empfänger in Office 365 anlegen
    Dabei sind die Benutzer mit einem IMAP4-postfach keine "Mailboxuser" sondern nur MailUser" und brauchen daher keine Exchange Online Lizenz. Sie haben ja kein Postfach
  • Für alle Mailuser mit einer EOP-Lizenz kaufen
    Alle eingehenden Mails werden gleich zu Exchange Online gehen und damit müssen auch die Benutzer eine legitime "Spamfilter/Virenschutz-Lizenz" bekommen
  • SMTP-Domain als "Internal Relay" eintragen
    Damit wir dem Exchange Online Tenant gesagt, dass er nicht alleine für diese Domäne zuständig ist und Weitergaben zu einem "nachgeschalteten Server", hier der IMAP4-Server des anderen Hosters, erlaubt sind
  • Outbound Connector für die Firmendomain zu IMAP4-Hoster
    Hier wird nun der Weg zum IMAP4-Hoster vorgegeben, denn der MX-Record verweist ja demnächst auf Office 365. Hier können Sie z.B. auch TLS erzwingen. Wenn der Provider aber seinen Mailserver ändert, müssen Sie den Smarthost hier natürlich auch aktualisieren
  • Warten auf Sender Rewriting
    Microsoft hat für Ende 2018 angekündigt, dass Exchange Online endlich auch SRS unterstützt, d.h. bei einer Mail aus dem Internet, die durch Exchange an ein anderes System weiter geleitet wird, schreibt Exchange den Absender um, damit SPF-Checks funktionieren. Ansonsten kommen die Mails immer seltener an, da der IMAP4-Provider beim SPF-Fail diese ablehnt.
  • SPF-Eintrag
    Vergessen Sie nicht, auch Office 365 als "legitimen Absender" in ihren SPF-Eintrag aufzunehmen.
  • MX-Record
    Zuletzt stellen Sie dann den MX-Record auf Office 365 um

Wenn ich alles richtig durchdenke, dann sollte das so funktionieren. Allerdings warten wir ja noch SRS, der Provider wird die internen Mails dennoch auf Spam/Viren filtern und Mais vom IMAP4-Provider zu Office 365 werden auch durch EOP geprüft. Richtig "intern" ist das also nicht.

Einschätzung

"Tun sie es nicht!", wäre mein erster Aufruf an all die Firmen und Administratoren, die eine Koexistenz zwischen Office 365/Exchange Online und einer IMAP4-basierten Lösung bei einem Hoster versuchen. Es sind nicht mal die fehlenden DirSync oder Provisioning-APIs. Bei wenig Fluktuation könnten Sie die Änderungen durchaus per WebGUI nachhalten. Aber die Lücken beim Mailrouting zwischen den beiden Welten verbieten einen produktiven Einsatz. Sie können eigentlich nicht in ihrem Tenant die Tür weit auf machen, damit die Mails ihrer IMAP4-Kolleten auch zu ihren Exchange Online-Empfängern kommen, wenn sie zeitgleich auch alle anderen Kunden dieses Hosters den gleichen Vertrauensvorschuss einräumen. Die SPF-Thematik in beide Richtungen versetzt diesem Ansatz den Todesstoß

Zudem können Sie nicht den Office 365 Spamfilter nutzen, da der MX-Record natürlich beim IMAP4-Provider bleibt. Wenn Sie alle Empfänger über Exchange Online Protection (EOP) sichern wollen, dann ist für jeden Benutzer eine Lizenz fällig (Stand 2018  1US$/User). Aber selbst dann sendet Office 365 die gefilterten Nachrichten an die IMAP4-Postfächer über das Internet und sie können den Spamfilter und SPF-Check des Hosters nicht umgehen.

Sie können es drehen und wenden wie sie wollen: Mit Office 365 gibt es kein "Halb Schwanger". Wenn Sie Benutzer mit Exchange Online bedienen wollen, müssen in kurzer Zeit alle Postfächer zu Exchange Online. Wenn Anwender kein Outlook nutzen sollen, dann ist Office 365 E1 (ca. 6,70 €/Monat) oder für Kunden unter 500 Benutzer auch Office 365 Business Essentials (4,20€/Monat) eine Option. Noch billiger geht es mit Office 365 F1 (3,40€/Monat), wenn ein 2GB Postfach reicht.

Weitere Links