Plus-Adressierung
Auf der Ignite 2019 wurde die Funktion angedeutet und bei der Ignite 2020 gesagt, dass das Rollout im Gange ist und im Oktober 2020 allen Tenants zur Verfügung stehen wird. Warum führt Microsoft diese Funktion ein und was müssen Administratoren beachten und Anwender dazu wissen?
Update (13. Mrz 22): MC343788 Plus
addressing: New disable setting and on by default
... new setting to allow customers the ability to disable
the feature ahead of the change. That setting is now ready
for use, and we are giving customers 30 days to proactively
opt out of the feature before we enable plus addressing by
default.
Update (7. Aug 2021): MC276028 Plus
addressing to be enabled for all Exchange Online customers
Das seit Sep2020 per Opt-In angebotene Feature wird ab Jan
2022 für alle Tenants eingeschaltet. Wer heute schon ein "+"
in Mailadressen nutzt, muss diese bis dahin ggfls. anpassen,
damit die Erreichbarkeit bestehen bleibt.
Wenn Sie keine Plus-Adressierung möchten, dann müssen Sie bis 17. April 2022 aktiv werden!
Sie können relativ schnell per LDAP-Anfrage oder PowerShell ermitteln, ob es Benutzer mit "+" im Userpart gibt.
Get-ADUser -LDAPFilter "(proxyaddresses=SMTP:*+*)" Get-ADUser -LDAPFilter "(proxyaddresses=smtp:*+*)"
Der Einzeiler findet zwar nicht nur die +-Zeichen im Userpart einer SMTP-Adresse aber in Domains sollten sie ja keine Plus-Zeichen haben.
Geschichte
Die Geschichte von "Plus-Adressing" hat sich mehrfach in der Vergangenheit geändert:
Zeit | Status |
---|---|
Vor Sep 2020 |
Feature nicht verfügbarVor dem Sep 2020 war die Funktion weder On-Premises noch in Exchange Online verfügbar. Allerdings hatte Google Mail schon länger so eine Funktion, dass Anwender quasi "sehr viele" unterscheidbare SMTP-Adressen auf einem Postfach haben können. Exchange Administratoren konnten nur bis zu 200 ProxyAddresses pro Postfach anlegen. |
Sep 2020 |
Feature verfügbarSeit dem Zeitpunkt konnte Exchange Online auch "Plus-Adressen" unterstützen. Hier ist aber zu unterscheiden:
Die Konfiguration erfolgt über die Exchange Online PowerShell Set-OrganizationConfig ` -AllowPlusAddressInRecipients $true Bei mir war die Aktivierung innerhalb weniger Minuten aktiv. Der aktuelle Status kann genauso wieder abgefragt werden: PS C:\> (Get-OrganizationConfig).AllowPlusAddressInRecipients False |
Aug 2021 |
Ankündigung: "ON als Default und "Disable Option"Die unterschiedliche Konfiguration von "alten" und "neuen Tenants führt natürlich zu Verwirrungen. Daher hat Microsoft ca. ein Jahr später angekündigt, dass auch die älteren Tenants, die vor Sep 2020 angelegt wurden, nun auch nach und nach aktiviert werden. Das Feedback der Kunden war aber schon so, dass dies nicht einfach passieren darf und daher hat Microsoft eine Option angekündigt, mit der ich als Exchange Online Admin dieses Funktion deaktivieren kann. |
Mrz 2022 |
MC343788 Plus addressing: New disable setting and on by defaultIn den nächsten Wochen wird es in allen Tenants eine Option geben, wie ich als Administrator die Aktivierung von "Plus-Adressing" bis zu 30 Tage vorab deaktivieren kann. Set-OrganizationConfig ` -DisablePlusAddressInRecipients $true Ich muss aber aktiv werden, damit die Funktion "Plus-Addressing" nicht nach 30 Tagen aktiviert wird. Wenn Sie keine Plus-Adressierung möchten, dann müssen Sie bis 17. April 2022 aktiv werden! |
April/Mai 2022 |
Microsoft will im Zeitraum "Mitte April 2022 bis Mitte Mai 2022" alle alten Tenants umstellen, dass Plus-Adressing per Default eingeschaltet ist. |
Dass eine unterschiedliche Einstellung je nach Anlagezeitpunkt auf Dauer nicht funktioniert, sollte allen Administratoren einleuchten. Daher war die Anpassung zu "Default Aktiv" auch vorherzusehen und mit der Option "DisablePlusAddressInRecipients" hat Microsoft auch den Firmen einen Option gegeben, diese Umschaltung zu blockieren. Alles gut?
Ich finde es schade, dass es nun mit AllowPlusAddressInRecipients und DisablePlusAddressInRecipients zwei Parameter bei Set-OrganizationConfig gibt. Ich hätte mir eher einen Wert "PlusAddressInRecipients" gewünscht, der auf $true, $False oder "Default" stehen könnte, ähnlich wie den Teams InteropMode, der ja auch "Default" oder andere Werte annehmen kann.
Hinweis: Die Steuerung erfolgt pro Tenant und damit dann für alle Domains ihres Tenant. Eine Einstellung pro Domain ist nicht möglich.
- Plus Addressing in Exchange Online Article
https://docs.microsoft.com/en-us/exchange/recipients-in-exchange-online/plus-addressing-in-exchange-online - Set-OrganizationConfig
https://docs.microsoft.com/de-de/powershell/module/exchange/set-organizationconfig?view=exchange-ps
Konfiguration per Browser
Im neuen Admin-Center habe ich im März 2022 auch noch eine Checkbox zum Thema "Plus-Adressing" gefunden. Ich tippe aber darauf, dass diese den Parameter "AllowPlusAddressInRecipients" auslösut und noch nicht die Verzögerung durch "DisablePlusAddressInRecipients" beienflusst.
Ich gehe auch nicht davon aus, dass Microsoft eine Option für "DisablePlusAddressInRecipients" addiert, sondern dieses Plus-Addressing verbleibt aber zukünftig "enabled" ist.
- Plusadressierung in Exchange Online
https://docs.microsoft.com/de-de/exchange/recipients-in-exchange-online/plus-addressing-in-exchange-online
Überlegung
Anwender mit einem Exchange Online Postfach nutzen andere Dienste im Internet. Wann immer sie sich irgendwo anmelden, müssen wie eine Mailadresse hinterlegen. Diese wird zur Identifizierung aber auch zur Kommunikation des Service mit ihnen genutzt. Genau genommen geben Sie also jedem Service die gleiche Adresse, was zu Problemen führt:
- Die Mailadresse wird "verbreitet"
Da sie ja nur eine Adresse haben und überall die gleiche Adresse verwenden, ist ihre Identität einfach zusammen zu führen. - Ein Wechsel bei Diebstahl ist erschwert
Wenn eine Adresse durch ein Leak öffentlich wird und immer mehr mit Spam belagert wird, dann können Sie die Adresse ja dennoch nicht einfach ändern ohne alle anderen seriösen Dienste mit anzupassen. - Leak erkennen
Zuletzt wissen sie ja gar nicht bei welchem Service ihre Mailadresse abhanden gekommen ist
Viele dieser Probleme lassen sich entschärfen, wenn Sie für jeden Dienst z.B. eine individuelle Mailadresse verwenden.
So funktioniert es
Jeder Benutzer mit einem Postfach in Exchange Online hat ein oder mehrere Mailadressen. Er sendet jede Mail erst einmal mit seiner primären Adresse aber kann über viele andere Adressen empfangen. So können auch Umbenennungen der Firma oder des Nachnamens bei Heirat/Scheidung abgebildet werden. Diese Mailadressen sind im Feld "ProxyAddresses" hinterlegt und werden vom Administrator gepflegt. Das Feld kann aber nicht endlos wachsen und der Anwender selbst kann es auch nicht ändern. Das wollen Sie sicher auch nicht, da Missbrauch sonst sehr einfach möglich wäre.
Mit der Aktivierung der "Plus-Adressierung" bekommt ein Anwender aber quasi unendlich viele Adressen, die er nach einem Namensschema ableiten kann:
Primäre Adresse: vorname.nachname@msxfaq.de Weitere Adressen: vorname.nachname+<xxxxxx>@msxfaq.de
Der Anwender muss einfach nach seinem "Userpart" und vor dem "@" ein "+" und dann einen beliebigen Text einfügen. Er könnte für jeden Service z.B. eine eigene Adresse als Kennwort Rücksetzaddresse nutzen, z.B.
gmx.de vorname.nachname+gmx.de@msxfaq.de web.de vorname.nachname+web.de@msxfaq.de telekom.de vorname.nachname+telekom.de@msxfaq.de msn.de vorname.nachname+msn.de@msxfaq.de
Ich denke das Prinzip sollte verstanden sein. Hier ist natürlich die Firma gefragt, wie der Anwender über diese Funktion und deren sinnvollem Einsatz informiert wird. Auch so ist Missbrauch möglich, z.B. indem sich ein Mitarbeiter bei einem gewinnspiel mit unterschiedlichen Adressen mehrfach anmeldet.
Der Exchange Server nimmt die Mail an und prüft erst einmal, ob der Empfänger so enthalten ist. Es kann ja auch legitime Adressen mit einem "+" geben. Wenn der Empfänger so aber nicht gefunden wird, dann schneidet Exchange das Plus und die Zeichen bis zum "@" heraus und prüft einfach noch einmal. Wenn dann ein "Match" vorhanden ist, dann nimmt Exchange die Mail an und stellt Sie dem Benutzer zu. Der kann natürlich weiterhin sehen, an welche reale Adresse die Mail zugestellt wurde.
Der Anwender kann daher z.B. mit Posteingangsregeln die Mails je nach Empfänger unterschiedlich verarbeiten, z.B.: Löschen oder in Ordner verschieben. Das macht es bei Phishing natürlich sehr offensichtlich, wenn in einem Ordner sich der Absender ändert. Dann ist diese Mailadresse wohl in fremde Hände gelangt.
Test-Nachrichten
Natürlich wollte ich die Funktion auch live sehen und habe eine Mail direkt an eine frei gewählte Plus-Adresse eines Postfach in der "onmicrosoft.com"-Domäne gesendet. Per OWA war dann gut zu sehen, dass die angesprochene Mailadresse in der "To"-Zeile enthalten ist.
Damit steht sie auch für Posteingangsregeln und andere Verarbeitungen zur Verfügung. Exchange scheint hier nach dem Empfang einfach nur die "Envelope RCPT TO"-Adresse umzuschreiben. Natürlich habe ich auf die Mail geantwortet. Der Empfänger der Antwort hat dann aber nicht mehr die Plus-Adresse als Absender gesehen sondern die reale primäre Adresse.
Pro und Kontra
Die Plus-Adressen hinterlassen bei mir einen gemischten Eindruck. Es gibt sicher die ein oder anderen Vorteile oder Einsatzbereiche aber auch Einschränkungen, die Sie als Administrator und ihre Anwender kennen sollten. Hier mal eine Liste meiner Punkte
Beschreibung | Bewertung |
---|---|
Einfache BildungsregelDie "Erfindung" neuer Mailadressen ist einfach und sollte für die Anwender kein größeres Problem darstellen. Ob diese die neue Funktion verwenden werden, hängt natürlich von ihrer Schulung und der Vorgabe für den Einsatz ab. |
|
Erkennung von LeaksDa bin ich skeptisch, denn dass der Teil vor dem "Plus" der native Userpart ist, macht es für Spammer und Adresshändler doch sehr einfach, den Teil nach dem Plus zu entfernen |
|
Neue Funktionen denkbarAuch andere Funktionen werden auf einmal denkbar. Stellen Sie sich vor, ihr ERP/CRM-System sendet und empfängt Mails und nutzt für jeden Case eine eigene Mailadresse. Das könnte dann so aussehen: Support@msxfaq.de support.<casenummer>@msxfaq.de Die Rückantworten von Kunden könnte das ERP-Systeme damit sehr schnell einem bestehenden Ticket zuordnen. Das kann schon interessant sein. |
|
Keine Adressen-SperrenSollte wirklich mal eine Adresse "verbrannt" sein, dann wäre es schön, wenn der Anwender diese Adresse auch sperren und Exchange die Annahme verweigern könnte. Allerdings dürfte das gar nicht viel bringen, denn ein Spammer, der um das Thema bescheid weis, kann ja einfach eine andere Adresse verwenden, die nach dem "+" sich geändert hat. Hier schlägt das Prinzip sogar ins Gegenteil um. |
|
Kein Versand als Plus-AdresseWenn ich auf so eine eingegangene Mail antworte, dann sendet Exchange leider nicht mit der Plus-Adresse. Das verhinder die Nutzung z.B. mit Mailinglisten. Dort kann ich mich zwar mit einer Plus-Adresse eintragen aber dennoch nie was hin senden oder den Opt-In Handshake ausführen. |
|
Kein SendAsIch habe natürlich auch einmal versucht, mit einer "Plus"-Adresse eine Mail zu versenden. Es geht aber weder mit Outlook noch über SMTP mit Authentifizierung (Daher habe ich auch PS mit STARTTLS geschrieben). Das bedeutet aber auch, dass ich die Adresse nicht für Rückantworten verwenden kann |
|
PlusPlus-KonfliktDas "+"-Zeichen ist ja durchaus ein "legitimes" Zeichen in einer Mail. Also habe ich getestet, wie sich ein Konflikt auswirkt und habe zwei Postfächer wie folgt konfiguriert: Postfach1: SMTP:Vertrieb+Einkauf@msxfaq.net Postfach2: SMTP:Vertrieb@msxfaq.net Mail an Vertrieb+Einkauf+gmxde@msxfaq.net Ich wollte damit ermitteln, ob Exchange nur das erste Plus oder das letzte Plus als Trenner annimmt. Folgende Testnachrichten habe ich versendet Fall Empfängeradresse Postfach ---- --------------------------------- ---------------------------- 1 Vertrieb+Einkauf+gmxde@msxfaq.net Vertrieb@msxfaq.net 2 Vertrieb+Einkauf@msxfaq.net Vertrieb+Einkauf@msxfaq.net 3 Vertrieb+gmxde@msxfaq.net Vertrieb@msxfaq.net 4 Vertrieb@msxfaq.net Vertrieb@msxfaq.net Anscheinend wird zuerst auf die direkt passende Mailadresse geprüft und zugestellt. Aber Fall 1 zeigt, dass Exchange das erste "+"-Zeichen schon als Trenner nutzt. Wenn eine Mailadresse nicht direkt "passt", dann wird der UserPart aus dem Text vor dem ersten "+" Zeichen genommen. |
|
HybridEin On-Premises-Server hat diese Funktion aktuell noch nicht und ich wüsste nicht, ob diese Funktion irgendwann kommt. Hier könnten Sie eine ähnliche Funktion aber auf einem vorgelagerten Spamgateway umsetzen und noch Zusatzfunktionen, z.B. Sperren, realisieren. Sie können aber alle Mails über den MX-Record natürlich zu Office 365 senden lassen und Exchange Online leitet die Mails dann weiter. Hier der Auszug aus dem Messagetracking:
Der erste Exchange Hub-Transport-Server scheint also schon die Auflösung der Plus-Adresse auf das reale Exchange Empfängerobjekt zu machen und den RCP TO-Envelope zu verändern. |
|
Plus Adressierung mit Google
Microsoft ist aber nicht die erste Firma, die auf diese Idee gekommen ist. Google Mail macht solche Zusatzadressen schon länger, indem sie Punkte im Userpart einfach komplett ignorieren und alles nach dem "Plus" ebenfalls abschneiden.
vorname.nachname@gmail.com -> vornamenachname@gmail.com vorname.nach.name@gmail.com -> vornamenachname@gmail.com vorname.nachname+123@gmail.com -> vornamenachname@gmail.com
Das Postfach bei Google hat einfach keine "Punkte" im UserPart und so können Sie allein über Punkte schon ein paar Adresse mehr erhalten.
- Create task-specific email addresses
https://support.google.com/a/users/answer/9308648?hl=en - Give a user an additional "email alias" address (sales@)
https://support.google.com/a/answer/33327?hl=en - 2 hidden ways to get more from your Gmail address
https://gmail.googleblog.com/2008/03/2-hidden-ways-to-get-more-from-your.html - How the plus sign can save your Gmail inbox from becoming a
pit of doom
https://thenextweb.com/google/2017/08/17/how-the-plus-sign-can-save-your-gmail-inbox-from-becoming-a-pit-of-doom/ - Get Extra Email Addresses for your Gmail Account with Aliases
https://www.labnol.org/internet/multiple-email-addresses-in-gmail/17426/
Weitere Links
- ProxyAddresses
-
SMTP
P1/P2-Felder
Bedeutung von Mail-from, From, Rcpt to, To, CC, BCC, Sender, Reply.to und Received-from -
Plus Addressing Now Available in Exchange
Online
https://techcommunity.microsoft.com/t5/exchange-team-blog/plus-addressing-now-available-in-exchange-online/ba-p/1824651 -
Microsoft Gives Tenants Opt-Out for Exchange
Online Plus Addressing
https://office365itpros.com/2022/03/21/exchange-online-plus-addressing/