Plus-Adressierung

Auf der Ignite 2019 wurde die Funktion angedeutet und bei der Ignite 2020 gesagt, dass das Rollout im Gange ist und im Oktober 2020 allen Tenants zur Verfügung stehen wird. Warum führt Microsoft diese Funktion ein und was müssen Administratoren beachten und Anwender dazu wissen?

Überlegung

Anwender mit einem Exchange Online Postfach nutzen andere Dienste im Internet. Wann immer sie sich irgendwo anmelden, müssen wie eine Mailadresse hinterlegen. Diese wird zur Identifizierung aber auch zur Kommunikation des Service mit ihnen genutzt. Genau genommen geben Sie also jedem Service die gleiche Adresse, was zu Problemen führt:

  • Die Mailadresse wird "verbreitet"
    Da sie ja nur eine Adresse haben und überall die gleiche Adresse verwenden, ist ihre Identität einfach zusammen zu führen.
  • Ein Wechsel bei Diebstahl ist erschwert
    Wenn eine Adresse durch ein Leak öffentlich wird und immer mehr mit Spam belagert wird, dann können Sie die Adresse ja dennoch nicht einfach ändern ohne alle anderen seriösen Dienste mit anzupassen.
  • Leak erkennen
    Zuletzt wissen sie ja gar nicht bei welchem Service ihre Mailadresse abhanden gekommen ist

Viele dieser Probleme lassen sich entschärfen, wenn Sie für jeden Dienst z.B. eine individuelle Mailadresse verwenden.

So funktioniert es

Jeder Benutzer mit einem Postfach in Exchange Online hat ein oder mehrere Mailadressen. Er sendet jede Mail erst einmal mit seiner primären Adresse aber kann über viele andere Adressen empfangen. So können auch Umbenennungen der Firma oder des Nachnamens bei Heirat/Scheidung abgebildet werden. Diese Mailadressen sind im Feld "ProxyAddresses" hinterlegt und werden vom Administrator gepflegt. Das Feld kann aber nicht endlos wachsen und der Anwender selbst kann es auch nicht ändern. Das wollen Sie sicher auch nicht, da Missbrauch sonst sehr einfach möglich wäre.

Mit der Aktivierung der "Plus-Adressierung" bekommt ein Anwender aber quasi unendlich viele Adressen, die er nach einem Namensschema ableiten kann:

Primäre Adresse:  vorname.nachname@msxfaq.de
Weitere Adressen: vorname.nachname+<xxxxxx>@msxfaq.de

Der Anwender muss einfach nach seinem "Userpart" und vor dem "@" ein "+" und dann einen beliebigen Text einfügen. Er könnte für jeden Service z.B. eine eigene Adresse als Kennwort Rücksetzaddresse nutzen, z.B.

gmx.de            vorname.nachname+gmx.de@msxfaq.de
web.de            vorname.nachname+web.de@msxfaq.de
telekom.de        vorname.nachname+telekom.de@msxfaq.de
msn.de            vorname.nachname+msn.de@msxfaq.de

Ich denke das Prinzip sollte verstanden sein. Hier ist natürlich die Firma gefragt, wie der Anwender über diese Funktion und deren sinnvollem Einsatz informiert wird. Auch so ist Missbrauch möglich, z.B. indem sich ein Mitarbeiter bei einem gewinnspiel mit unterschiedlichen Adressen mehrfach anmeldet.

Der Exchange Server nimmt die Mail an und prüft erst einmal, ob der Empfänger so enthalten ist. Es kann ja auch legitime Adressen mit einem "+" geben. Wenn der Empfänger so aber nicht gefunden wird, dann schneidet Exchange das Plus und die Zeichen bis zum "@" heraus und prüft einfach noch einmal. Wenn dann ein "Match" vorhanden ist, dann nimmt Exchange die Mail an und stellt Sie dem Benutzer zu. Der kann natürlich weiterhin sehen, an welche reale Adresse die Mail zugestellt wurde.

Der Anwender kann daher z.B. mit Posteingangsregeln die Mails je nach Empfänger unterschiedlich verarbeiten, z.B: Löschen oder in Ordner verschieben. Das macht es bei Phishing natürlich sehr offensichtlich, wenn in einem Ordner sich der Absender ändert. Dann ist diese Mailadresse wohl in fremde Hände gelangt.

Aktivierung und Abhängigkeiten

Die Funktion "Plus"-Adressierung ist normalerweise nicht eingeschaltet. Das ist auch besser so, denn nicht immer konfigurieren Sie ihren MX-Record so, dass die Mails direkt zu Office 365 zugestellt werden. Viele Firmen betreiben Exchange noch im Hybrid Mode oder nutzen eigene vorgelagerte Spamfilter, wenn Exchange Online Protection nicht ausreichend ist. Solche Systeme müssen erst auf "Plus-Adressing" angepasst werden.

Gerade eingehende Spamfilter sind hier zu prüfen, da diese z.B. per LDAP die Gültigkeit einer Adresse prüfen und diese zusätzlichen Adressen eben nicht im Feld Mail oder ProxyAddresses hinterlegt sind. Wenn Sie diese Prüfungen und Anpassungen aber durchgeführt haben, dann ist die Aktivierung mit der Exchange Online PowerShell ein Einzeiler:

Set-OrganizationConfig -AllowPlusAddressInRecipients $true

Der aktuelle Status kann genauso wieder abgefragt werden:

PS C:\> (Get-OrganizationConfig).AllowPlusAddressInRecipients
False

Es dauert wieder einige Zeit, bis alle Transport-Services von Exchange Online mitbekommen haben, dass ihr Tenant diese Funktion nutzen möchte.

Bei mir war die Aktivierung innerhalb weniger Minuten aktiv.

Hinweis: Die Aktivierung erfolgt pro Tenant und damit dann für alle Domains ihres Tenant. Eine Einstellung pro Domain ist nicht möglich.

Test-Nachrichten

Natürlich wollte ich die Funktion auch live sehen und habe eine Mail direkt an eine frei gewählte Plus-Adresse eines Postfach in der "onmicrosoft.com"-Domäne gesendet. Per OWA war dann gut zu sehen, dass die angesprochene Mailadresse in der "To"-Zeile enthalten ist.

Damit steht sie auch für Posteingangsregeln und andere Verarbeitungen zur Verfügung. Exchange scheint hier nach dem Empfang einfach nur die "Envelope RCPT TO"-Adresse umzuschreiben. Natürlich habe ich auf die Mail geantwortet. Der Empfänger der Antwort hat dann aber nicht mehr die Plus-Adresse als Absender gesehen sondern die reale primäre Adresse.

Pro und Kontra

Die Plus-Adressen hinterlassen bei mir einen gemischten Eindruck. Es gibt sicher die ein oder anderen Vorteile oder Einsatzbereiche aber auch Einschränkungen, die Sie als Administrator und ihre Anwender kennen sollten. Hier mal eine Liste meiner Punkte

Beschreibung Bewertung

Einfache Bildungsregel

Die "Erfindung" neuer Mailadressen ist einfach und sollte für die Anwender kein größeres Problem darstellen. Ob diese die neue Funktion verwenden werden, hängt natürlich von ihrer Schulung und der Vorgabe für den Einsatz ab.

Erkennung von Leaks

Da bin ich skeptisch, denn dass der Teil vor dem "Plus" der native Userpart ist, macht es für Spammer und Adresshändler doch sehr einfach, den Teil nach dem Plus zu entfernen

Neue Funktionen denkbar

Auch andere Funktionen werden auf einmal denkbar. Stellen Sie sich vor, ihr ERP/CRM-System sendet und empfängt Mails und nutzt für jeden Case eine eigene Mailadresse. Das könnte dann so aussehen:

Support@msxfaq.de
support.<casenummer>@msxfaq.de

Die Rückantworten von Kunden könnte das ERP-Systeme damit sehr schnell einem bestehenden Ticket zuordnen. Das kann schon interessant sein.

Keine Adressen-Sperren

Sollte wirklich mal eine Adresse "verbrannt" sein, dann wäre es schön, wenn der Anwender diese Adresse auch sperren und Exchange die Annahme verweigern könnte. Allerdings dürfte das gar nicht viel bringen, denn ein Spammer, der um das Thema bescheid weis, kann ja einfach eine andere Adresse verwenden, die nach dem "+" sich geändert hat. Hier schlägt das Prinzip sogar ins Gegenteil um.

Kein Versand als Plus-Adresse

Wenn ich auf so eine eingegangene Mail antworte, dann sendet Exchange leider nicht mit der Plus-Adresse. Das verhinder die Nutzung z.B. mit Mailinglisten. Dort kann ich mich zwar mit einer Plus-Adresse eintragen aber dennoch nie was hin senden oder den Opt-In Handshake ausführen.

Kein SendAs

Ich habe natürlich auch einmal versucht, mit einer "Plus"-Adresse eine Mail zu versenden. Es geht aber weder mit Outlook noch über SMTP mit Authentifizierung (Daher habe ich auch PS mit STARTTLS geschrieben). Das bedeutet aber auch, dass ich die Adresse nicht für Rückantworten verwenden kann

PlusPlus-Konflikt

Das "+"-Zeichen ist ja durchaus ein "legitimes" Zeichen in einer Mail. Also habe ich getestet, wie sich ein Konflikt auswirkt und habe zwei Postfächer wie folgt konfiguriert:

Postfach1:  SMTP:Vertrieb+Einkauf@msxfaq.net
Postfach2:  SMTP:Vertrieb@msxfaq.net

Mail an Vertrieb+Einkauf+gmxde@msxfaq.net

Ich wollte damit ermitteln, ob Exchange nur das erste Plus oder das letzte Plus als Trenner annimmt. Folgende Testnachrichten habe ich versendet

Fall  Empfängeradresse                     Postfach
----  ---------------------------------    ----------------------------
1     Vertrieb+Einkauf+gmxde@msxfaq.net    Vertrieb@msxfaq.net
2           Vertrieb+Einkauf@msxfaq.net    Vertrieb+Einkauf@msxfaq.net
3             Vertrieb+gmxde@msxfaq.net    Vertrieb@msxfaq.net
4                   Vertrieb@msxfaq.net    Vertrieb@msxfaq.net

Anscheinend wird zuerst auf die direkt passende Mailadresse geprüft und zugestellt. Aber Fall 1 zeigt, dass Exchange das erste "+"-Zeichen schon als Trenner nutzt. Wenn eine Mailadresse nicht direkt "passt", dann wird der UserPart aus dem Text vor dem ersten "+" Zeichen genommen.

Hybrid

Ein OnPremises-Server hat diese Funktion aktuell noch nicht und ich wüsste nicht, ob diese Funktion irgendwann kommt. Hier könnten Sie eine ähnliche Funktion aber auf einem vorgelagerten Spamgateway umsetzen und noch Zusatzfunktionen, z.B. Sperren, realisieren. Sie können aber alle Mails über den MX-Record natürlich zu Office 365 senden lassen und Exchange Online leitet die Mails dann weiter. Hier der Auszug aus dem Messagetracking:

Der erste Exchange Hub-Transport-Server scheint also schon die Auflösung der Plus-Adresse auf das reale Exchange Empfängerobjekt zu machen und den RCP TO-Envelope zu verändern.

Plus Adressierung mit Google

Microsoft ist aber nicht die erste Firma, die auf diese Idee gekommen ist. Google Mail macht solche Zusatzadressen schon länger, indem sie Punkte im Userpart einfach komplett ignorieren und alles nach dem "Plus" ebenfalls abschneiden.

vorname.nachname@gmail.com      ->  vornamenachname@gmail.com
vorname.nach.name@gmail.com     ->  vornamenachname@gmail.com
vorname.nachname+123@gmail.com  ->  vornamenachname@gmail.com

Das Postfach bei Google hat einfach keine "Punkte" im UserPart und so können Sie allein über Punkte schon ein paar Adresse mehr erhalten.

Weitere Links