Plus-Adressierung

Auf der Ignite 2019 wurde die Funktion angedeutet und bei der Ignite 2020 gesagt, dass das Rollout im Gange ist und im Oktober 2020 allen Tenants zur Verfügung stehen wird. Warum führt Microsoft diese Funktion ein und was müssen Administratoren beachten und Anwender dazu wissen?

Update (13. Mrz 22): MC343788 Plus addressing: New disable setting and on by default
... new setting to allow customers the ability to disable the feature ahead of the change. That setting is now ready for use, and we are giving customers 30 days to proactively opt out of the feature before we enable plus addressing by default.

Update (7. Aug 2021): MC276028 Plus addressing to be enabled for all Exchange Online customers
Das seit Sep2020 per Opt-In angebotene Feature wird ab Jan 2022 für alle Tenants eingeschaltet. Wer heute schon ein "+" in Mailadressen nutzt, muss diese bis dahin ggfls. anpassen, damit die Erreichbarkeit bestehen bleibt.

Wenn Sie keine Plus-Adressierung möchten, dann müssen Sie bis 17. April 2022 aktiv werden!

Sie können relativ schnell per LDAP-Anfrage oder PowerShell ermitteln, ob es Benutzer mit "+" im Userpart gibt.

Get-ADUser -LDAPFilter "(proxyaddresses=SMTP:*+*)"
Get-ADUser -LDAPFilter "(proxyaddresses=smtp:*+*)"

Der Einzeiler findet zwar nicht nur die +-Zeichen im Userpart einer SMTP-Adresse aber in Domains sollten sie ja keine Plus-Zeichen haben.

Geschichte

Die Geschichte von "Plus-Adressing" hat sich mehrfach in der Vergangenheit geändert:

Zeit Status

Vor Sep 2020

Feature nicht verfügbar

Vor dem Sep 2020 war die Funktion weder On-Premises noch in Exchange Online verfügbar. Allerdings hatte Google Mail schon länger so eine Funktion, dass Anwender quasi "sehr viele" unterscheidbare SMTP-Adressen auf einem Postfach haben können. Exchange Administratoren konnten nur bis zu 200 ProxyAddresses pro Postfach anlegen.

Sep 2020

Feature verfügbar

Seit dem Zeitpunkt konnte Exchange Online auch "Plus-Adressen" unterstützen. Hier ist aber zu unterscheiden:

  • Bestehende Tenants: OFF
    Seit Sep 2020 konnten Administratoren von bestehenden Tenants die Funktion global bei Bedarf einschalten. Das war auch besser so, denn nicht immer konfigurieren Sie ihren MX-Record so, dass die Mails direkt zu Office 365 zugestellt werden. Viele Firmen betreiben Exchange noch im Hybrid Mode oder nutzen eigene vorgelagerte Spamfilter, wenn Exchange Online Protection nicht ausreichend ist. Solche Systeme müssen erst auf "Plus-Adressing" angepasst werden.

    Gerade eingehende Spamfilter sind hier zu prüfen, da diese z.B. per LDAP die Gültigkeit einer Adresse prüfen und diese zusätzlichen Adressen eben nicht im Feld Mail oder ProxyAddresses hinterlegt sind.

  • Neue Tenants: ON
    Nur neue Tenants waren per Default aktiviert

Die Konfiguration erfolgt über die Exchange Online PowerShell

Set-OrganizationConfig `
   -AllowPlusAddressInRecipients $true

Bei mir war die Aktivierung innerhalb weniger Minuten aktiv.

Der aktuelle Status kann genauso wieder abgefragt werden:

PS C:\> (Get-OrganizationConfig).AllowPlusAddressInRecipients
False

Aug 2021

Ankündigung: "ON als Default und "Disable Option"

Die unterschiedliche Konfiguration von "alten" und "neuen Tenants führt natürlich zu Verwirrungen. Daher hat Microsoft ca. ein Jahr später angekündigt, dass auch die älteren Tenants, die vor Sep 2020 angelegt wurden, nun auch nach und nach aktiviert werden.

Das Feedback der Kunden war aber schon so, dass dies nicht einfach passieren darf und daher hat Microsoft eine Option angekündigt, mit der ich als Exchange Online Admin dieses Funktion deaktivieren kann.

Mrz 2022

MC343788 Plus addressing: New disable setting and on by default

In den nächsten Wochen wird es in allen Tenants eine Option geben, wie ich als Administrator die Aktivierung von "Plus-Adressing" bis zu 30 Tage vorab deaktivieren kann.

Set-OrganizationConfig `
   -DisablePlusAddressInRecipients $true

Ich muss aber aktiv werden, damit die Funktion "Plus-Addressing" nicht nach 30 Tagen  aktiviert wird.

Wenn Sie keine Plus-Adressierung möchten, dann müssen Sie bis 17. April 2022 aktiv werden!

April/Mai 2022

Microsoft will im Zeitraum  "Mitte April 2022 bis Mitte Mai 2022" alle alten Tenants umstellen, dass Plus-Adressing per Default eingeschaltet ist.

Dass eine unterschiedliche Einstellung je nach Anlagezeitpunkt auf Dauer nicht funktioniert, sollte allen Administratoren einleuchten. Daher war die Anpassung zu "Default Aktiv" auch vorherzusehen und mit der Option "DisablePlusAddressInRecipients" hat Microsoft auch den Firmen einen Option gegeben, diese Umschaltung zu blockieren. Alles gut?

Ich finde es schade, dass es nun mit AllowPlusAddressInRecipients  und DisablePlusAddressInRecipients  zwei Parameter bei Set-OrganizationConfig gibt. Ich hätte mir eher einen Wert "PlusAddressInRecipients" gewünscht, der auf $true, $False  oder "Default" stehen könnte, ähnlich wie den Teams InteropMode, der ja auch "Default" oder andere Werte annehmen kann.

Hinweis: Die Steuerung erfolgt pro Tenant und damit dann für alle Domains ihres Tenant. Eine Einstellung pro Domain ist nicht möglich.

Konfiguration per Browser

Im neuen Admin-Center habe ich im März 2022 auch noch eine Checkbox zum Thema "Plus-Adressing" gefunden. Ich tippe aber darauf, dass diese den Parameter "AllowPlusAddressInRecipients" auslösut und noch nicht die Verzögerung durch "DisablePlusAddressInRecipients" beienflusst.

Ich gehe auch nicht davon aus, dass Microsoft eine Option für "DisablePlusAddressInRecipients" addiert, sondern dieses Plus-Addressing verbleibt aber zukünftig "enabled" ist.

Überlegung

Anwender mit einem Exchange Online Postfach nutzen andere Dienste im Internet. Wann immer sie sich irgendwo anmelden, müssen wie eine Mailadresse hinterlegen. Diese wird zur Identifizierung aber auch zur Kommunikation des Service mit ihnen genutzt. Genau genommen geben Sie also jedem Service die gleiche Adresse, was zu Problemen führt:

  • Die Mailadresse wird "verbreitet"
    Da sie ja nur eine Adresse haben und überall die gleiche Adresse verwenden, ist ihre Identität einfach zusammen zu führen.
  • Ein Wechsel bei Diebstahl ist erschwert
    Wenn eine Adresse durch ein Leak öffentlich wird und immer mehr mit Spam belagert wird, dann können Sie die Adresse ja dennoch nicht einfach ändern ohne alle anderen seriösen Dienste mit anzupassen.
  • Leak erkennen
    Zuletzt wissen sie ja gar nicht bei welchem Service ihre Mailadresse abhanden gekommen ist

Viele dieser Probleme lassen sich entschärfen, wenn Sie für jeden Dienst z.B. eine individuelle Mailadresse verwenden.

So funktioniert es

Jeder Benutzer mit einem Postfach in Exchange Online hat ein oder mehrere Mailadressen. Er sendet jede Mail erst einmal mit seiner primären Adresse aber kann über viele andere Adressen empfangen. So können auch Umbenennungen der Firma oder des Nachnamens bei Heirat/Scheidung abgebildet werden. Diese Mailadressen sind im Feld "ProxyAddresses" hinterlegt und werden vom Administrator gepflegt. Das Feld kann aber nicht endlos wachsen und der Anwender selbst kann es auch nicht ändern. Das wollen Sie sicher auch nicht, da Missbrauch sonst sehr einfach möglich wäre.

Mit der Aktivierung der "Plus-Adressierung" bekommt ein Anwender aber quasi unendlich viele Adressen, die er nach einem Namensschema ableiten kann:

Primäre Adresse:  vorname.nachname@msxfaq.de
Weitere Adressen: vorname.nachname+<xxxxxx>@msxfaq.de

Der Anwender muss einfach nach seinem "Userpart" und vor dem "@" ein "+" und dann einen beliebigen Text einfügen. Er könnte für jeden Service z.B. eine eigene Adresse als Kennwort Rücksetzaddresse nutzen, z.B.

gmx.de            vorname.nachname+gmx.de@msxfaq.de
web.de            vorname.nachname+web.de@msxfaq.de
telekom.de        vorname.nachname+telekom.de@msxfaq.de
msn.de            vorname.nachname+msn.de@msxfaq.de

Ich denke das Prinzip sollte verstanden sein. Hier ist natürlich die Firma gefragt, wie der Anwender über diese Funktion und deren sinnvollem Einsatz informiert wird. Auch so ist Missbrauch möglich, z.B. indem sich ein Mitarbeiter bei einem gewinnspiel mit unterschiedlichen Adressen mehrfach anmeldet.

Der Exchange Server nimmt die Mail an und prüft erst einmal, ob der Empfänger so enthalten ist. Es kann ja auch legitime Adressen mit einem "+" geben. Wenn der Empfänger so aber nicht gefunden wird, dann schneidet Exchange das Plus und die Zeichen bis zum "@" heraus und prüft einfach noch einmal. Wenn dann ein "Match" vorhanden ist, dann nimmt Exchange die Mail an und stellt Sie dem Benutzer zu. Der kann natürlich weiterhin sehen, an welche reale Adresse die Mail zugestellt wurde.

Der Anwender kann daher z.B. mit Posteingangsregeln die Mails je nach Empfänger unterschiedlich verarbeiten, z.B.: Löschen oder in Ordner verschieben. Das macht es bei Phishing natürlich sehr offensichtlich, wenn in einem Ordner sich der Absender ändert. Dann ist diese Mailadresse wohl in fremde Hände gelangt.

Test-Nachrichten

Natürlich wollte ich die Funktion auch live sehen und habe eine Mail direkt an eine frei gewählte Plus-Adresse eines Postfach in der "onmicrosoft.com"-Domäne gesendet. Per OWA war dann gut zu sehen, dass die angesprochene Mailadresse in der "To"-Zeile enthalten ist.

Damit steht sie auch für Posteingangsregeln und andere Verarbeitungen zur Verfügung. Exchange scheint hier nach dem Empfang einfach nur die "Envelope RCPT TO"-Adresse umzuschreiben. Natürlich habe ich auf die Mail geantwortet. Der Empfänger der Antwort hat dann aber nicht mehr die Plus-Adresse als Absender gesehen sondern die reale primäre Adresse.

Pro und Kontra

Die Plus-Adressen hinterlassen bei mir einen gemischten Eindruck. Es gibt sicher die ein oder anderen Vorteile oder Einsatzbereiche aber auch Einschränkungen, die Sie als Administrator und ihre Anwender kennen sollten. Hier mal eine Liste meiner Punkte

Beschreibung Bewertung

Einfache Bildungsregel

Die "Erfindung" neuer Mailadressen ist einfach und sollte für die Anwender kein größeres Problem darstellen. Ob diese die neue Funktion verwenden werden, hängt natürlich von ihrer Schulung und der Vorgabe für den Einsatz ab.

Erkennung von Leaks

Da bin ich skeptisch, denn dass der Teil vor dem "Plus" der native Userpart ist, macht es für Spammer und Adresshändler doch sehr einfach, den Teil nach dem Plus zu entfernen

Neue Funktionen denkbar

Auch andere Funktionen werden auf einmal denkbar. Stellen Sie sich vor, ihr ERP/CRM-System sendet und empfängt Mails und nutzt für jeden Case eine eigene Mailadresse. Das könnte dann so aussehen:

Support@msxfaq.de
support.<casenummer>@msxfaq.de

Die Rückantworten von Kunden könnte das ERP-Systeme damit sehr schnell einem bestehenden Ticket zuordnen. Das kann schon interessant sein.

Keine Adressen-Sperren

Sollte wirklich mal eine Adresse "verbrannt" sein, dann wäre es schön, wenn der Anwender diese Adresse auch sperren und Exchange die Annahme verweigern könnte. Allerdings dürfte das gar nicht viel bringen, denn ein Spammer, der um das Thema bescheid weis, kann ja einfach eine andere Adresse verwenden, die nach dem "+" sich geändert hat. Hier schlägt das Prinzip sogar ins Gegenteil um.

Kein Versand als Plus-Adresse

Wenn ich auf so eine eingegangene Mail antworte, dann sendet Exchange leider nicht mit der Plus-Adresse. Das verhinder die Nutzung z.B. mit Mailinglisten. Dort kann ich mich zwar mit einer Plus-Adresse eintragen aber dennoch nie was hin senden oder den Opt-In Handshake ausführen.

Kein SendAs

Ich habe natürlich auch einmal versucht, mit einer "Plus"-Adresse eine Mail zu versenden. Es geht aber weder mit Outlook noch über SMTP mit Authentifizierung (Daher habe ich auch PS mit STARTTLS geschrieben). Das bedeutet aber auch, dass ich die Adresse nicht für Rückantworten verwenden kann

PlusPlus-Konflikt

Das "+"-Zeichen ist ja durchaus ein "legitimes" Zeichen in einer Mail. Also habe ich getestet, wie sich ein Konflikt auswirkt und habe zwei Postfächer wie folgt konfiguriert:

Postfach1:  SMTP:Vertrieb+Einkauf@msxfaq.net
Postfach2:  SMTP:Vertrieb@msxfaq.net

Mail an Vertrieb+Einkauf+gmxde@msxfaq.net

Ich wollte damit ermitteln, ob Exchange nur das erste Plus oder das letzte Plus als Trenner annimmt. Folgende Testnachrichten habe ich versendet

Fall  Empfängeradresse                     Postfach
----  ---------------------------------    ----------------------------
1     Vertrieb+Einkauf+gmxde@msxfaq.net    Vertrieb@msxfaq.net
2           Vertrieb+Einkauf@msxfaq.net    Vertrieb+Einkauf@msxfaq.net
3             Vertrieb+gmxde@msxfaq.net    Vertrieb@msxfaq.net
4                   Vertrieb@msxfaq.net    Vertrieb@msxfaq.net

Anscheinend wird zuerst auf die direkt passende Mailadresse geprüft und zugestellt. Aber Fall 1 zeigt, dass Exchange das erste "+"-Zeichen schon als Trenner nutzt. Wenn eine Mailadresse nicht direkt "passt", dann wird der UserPart aus dem Text vor dem ersten "+" Zeichen genommen.

Hybrid

Ein On-Premises-Server hat diese Funktion aktuell noch nicht und ich wüsste nicht, ob diese Funktion irgendwann kommt. Hier könnten Sie eine ähnliche Funktion aber auf einem vorgelagerten Spamgateway umsetzen und noch Zusatzfunktionen, z.B. Sperren, realisieren. Sie können aber alle Mails über den MX-Record natürlich zu Office 365 senden lassen und Exchange Online leitet die Mails dann weiter. Hier der Auszug aus dem Messagetracking:

Der erste Exchange Hub-Transport-Server scheint also schon die Auflösung der Plus-Adresse auf das reale Exchange Empfängerobjekt zu machen und den RCP TO-Envelope zu verändern.

Plus Adressierung mit Google

Microsoft ist aber nicht die erste Firma, die auf diese Idee gekommen ist. Google Mail macht solche Zusatzadressen schon länger, indem sie Punkte im Userpart einfach komplett ignorieren und alles nach dem "Plus" ebenfalls abschneiden.

vorname.nachname@gmail.com      ->  vornamenachname@gmail.com
vorname.nach.name@gmail.com     ->  vornamenachname@gmail.com
vorname.nachname+123@gmail.com  ->  vornamenachname@gmail.com

Das Postfach bei Google hat einfach keine "Punkte" im UserPart und so können Sie allein über Punkte schon ein paar Adresse mehr erhalten.

Weitere Links