MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

Weiterleitung mit Exchange Online Kontakten

Mit der Abschaltung von SMTP Basic Auth in Exchange Online können einfache Dienste sich nicht mehr in den klassischen Anmeldeverfahren an Exchange Online anmelden. Für den Fall, dass ihre internen Absender aber nur genau eine Zieladresse erreichen müssen, können Sie dies z.B. mit einem Exchange Online Kontakt ermöglichen.

Einsatzzweck

Mögliche Einsatzbereiche sind:

  • Meldung an Druckerservice
    Wenn ihre Firma ein "Druck on Demand"-Service nutzt, dann  könnten die Dienstleiter sie fragen, ob ihr Drucker per SMTP eine Mail an den Dienstleister senden dürfen. Klar könnten Sie dem Drucker-VLAN nun die Rechte geben, per SMTP an die IP-Adresse des Dienstleisters zu senden. Oft liefern die Drucker ihre Mails auf einem lokalen Exchange Server ab. Mit dem Wechsel zu Exchange Online und der Exchange Online SMTP BasicAuth Abschaltung ist das kniffligers.
  • "Hosted Support"
    Wie lösen Sie das Problem, dass Mitarbeiter eine Mail an "Support@<ihre-firma>" senden aber das Helpdesk-System irgendwo gehostet ist. Sicher kann das Helpdesk-System ein IMAP4/POP3-Postfach zyklisch abrufen aber erfordert ein Benutzerkonto mit Zugangsdaten, MFA-Ausnahmen, ein Postfach mit Lizenz etc. Ein Kontakt kann solche Mails an ein Postfach wie "support@<ihrefirma>.<dienstleister-domain>" weiterreichen.
  • Monitoring/Alarm-Funktion
    Einige meiner Kunden haben Storage-Systeme, die per Mail bei Defekten dem Dienstleister Bescheid geben. Das waren schon NetApp, EMC und andere Systeme. Auch hier müssen und wollen Sie nicht, dass diese Systeme Mails an beliebige Empfänger senden, sondern ein Ziel könnte reichen.

Sicher nutzen immer mehr dieser Automatismen auch HTTPS um Telemetrie-Daten zum Hersteller oder Dienstleister zu senden. Aber SMTP ist immer noch ein gerade bei älteren Systemen genutztes Protokoll.

Ich habe hier eine Beispielkonfiguration für den "Toner-Fall" mit Exchange Online beschrieben. Im Exchange Online Tenant gibt es keine Connectoren, Extended Protection oder Spamfilter-Anpassungen. Wenn Sie hier höhere Schutzfunktionen wie z.B. Exchange DirectSend/RejectDirectSend aktiviert haben, dann müssen sie vielleicht kleine Löcher für die Source-IP-Adresse ihrer Firewall einrichten.

Kontakt

Zuerst habe ich mit New-MailContact" oder über das Exchange  Online Admin Center einfach einen Kontakt mit der gewünschten Zieladresse angelegt Ich habe dazu die folgenden Daten genutzt:

Displayname     : Tonermeldung 
ExternalAddress : xxxxxx@web.de

Die web.de-Adresse ist eine Adresse, die ich für Tests u.a. gerne mal nutze aber sonst nicht produktiv einsetze. Auch die anderen hier genutzten Adressen sind nicht von Dauer.

Den resultierenden Kontakt können Sie über das Exchange Admin Center nicht weiter bearbeiten. Ich habe dem Kontakt aber auch noch eine Adresse aus meiner eigenen Tenant-Domain geben.

Set-MailContact `
   -Identity tonermeldung `
   -EmailAddresses @{add="tonermeldung@msxfaq.net"}

Schon in den Standardeinstellungen ist der Kontakt von überall anonym erreichbar. "RequireSenderAuthenticationEnabled" ist auf False gestellt.

Sie sollten ihren Spamfilter vielleicht anweisen, diese Kontakte nicht von extern erreichbar zu machen oder sie verwenden einfach die "@<tenantname>.onmicrosoft.com"-Domain.

Hinweis:
Wer eine "Kopie" all dieser  Mails erhalten will, kann dies entweder über eine Transportregel steuern oder einfach einen Mailverteiler anlegen, in welchen der Kontakt und die Kopie-Empfänger aufgenommen werden. Ihre Drucker sollten die Mails dann einfach an den Verteiler senden.

Anonyme Einlieferung

Um zu zeigen, dass das wirklich funktioniert, habe ich per TELNET eine Mail an meinen Tenant gesendet. Dazu habe ich mir natürlich per NSLOOKUP zuerst den passenden Mailserver gesucht:

Dann habe ich TELNET verwendet, um die einfache Mail ganz ohne Anmeldung und ohne TLS bei Exchange Online einzuliefern. Siehe auch SMTP-Telnet.:

Hinweis: Lesen Sie dazu auch die Seite Exchange DirectSend/RejectDirectSend
Sie erleichtern die Zustellung/Weiterleitung, wenn Sie eine Absenderadresse aus ihrer Domain nutzen und dieser zumindest per SPF eintragen und einen Inbound Connector für die Domain anlegen.

Exchange Messagetracking

Im Exchange Admin Center erscheint die Mail nach einigen Minuten mit zwei Events:

Der untere Event ist der Empfang mit der Auflösung auf den Kontakt. Exchange Online erstellt dann eine neue Mail mit dem gleichen Absender aber der Zieladresse aus dem Kontakt. in den Details sehen wir dann, dass die Mail an einen der Mailserver von Web.de weitergesendet wurde:

Damit ist der Beweis erbracht, dass Exchange Online Mails an einen Kontakt auch von extern einfach weiterleitet.

Allerdings hat ein normaler Kontakt keine SMTP-Adresse aus meinem Tenant. Erreichbar wurde er quasi nur dadurch, dass ich eine SMTP-Adresse aus meinem Tenant addiert und die Authentifizierung nicht aktiviert habe. Sie müssen also schon ein paar Löcher bohren, damit die Funktion nutzbar ist.

Ziel

Beim Empfänger, hier also GMX, habe ich die Mail per Thunderbird und IMAP4 abgerufen.

Ein Blick in dem SMTP-Header sehen wir, dass die Mail von der IP-Adresse 217.91.247.140 (Telekom Dialup-IP) bei Exchange Online anonym eingeliefert wurde. Exchange hat die Mail dann aber sogar DKIM-signiert und beim Versand zu Web.de konnte der Empfänger auch den SPF-Record erfolgreich prüfen. Mein "TELNET" hat natürlich keine DKIM-Signatur angefügt und ich erwarte auch nicht, dass dies ein Drucker, ein Skript oder ein Storage-Systeme tut. Daher ist auch klar, dass mein Exchange Tenant  keine entsprechende Prüfung machen kann und damit auch die ARC-Signatur nicht positiv sein kann. Dazu hätte ich die IP-Adresse 217.91.247.140 zumindest in den SPF-Eintrag der Domain "msxfaq.net" addieren müssen.

Damit wird eine ziemlich erfolgreiche Zustellung wahrscheinlich. Der Empfänger sollte natürlich dennoch prüfen, ob sein Spamfilter die Mails von seinen Kunden durchlässt.

Zusammenfassung

Wenn Sie ihren lokalen Exchange Server abbauen aber lokale Systeme per SMTP ihre Mails ins Internet senden wollen, dann müssen Sie ein anderes System als "Smarthost" konfigurieren. Wenn Sie eine einzelne externe Adresse erreichen wollen, dann kann dazu ein Exchange MailContact der richtige Weg sein, um anonym ihre Mails an ihren Tenant zuzustellen und mit passender DKIM/SPF-Verifikation in die Welt zu senden.

Weitere Links