X-MS-Exchange-Organization-AuthAs
Für viele Aktionen in Exchange ist es wichtig zu wissen, ob der Absender "Extern" oder "Intern" ist. Sie können .z.B. Transportregeln darauf abstimmen aber auch Outlook ändert die Anzeige von Absendern anhand dieser Information. Damit sollten wir schauen, wann dieser Header wie gesetzt ist und wann er gelöscht wird. Ein Absender in meiner Umgebung ist beim Ziel ja nicht mehr intern.
Bedeutung des Header
Exchange und Outlook verhalten sich unterschiedlich, wenn der Absender "intern" oder anonym ist. Sie sehen das direkt in Outlook, das der Absender entweder mit einem "sprechenden Namen" oder nur mit der Mailadresse angezeigt wird.
- Interne Mail, Outlook zeigt nur den "Displaynamen"
des Absenders
- Externer Mail. Outlook zeigt auch die
SMTP-Adresse mit an
Auch bei den Transport-Regel bei Exchange können Sie pauschal interne und externe Absender unterscheiden:
Daher ist es schon interessant, wie Exchange dieses "Inside/Outside Organization". Wo genau Exchange diese Information intern speichert ist mir nicht bekannt aber folgende Quelle beschreibt, dass wir als Administratoren zumindest in einem SMTP-Header den Status auslesen können.
Note: X-MS-Exchange-Organization-AuthAs header stamped on email received by On-Premises
server from O365 can be either “Internal” or “Anonymous”. For instance, emails
sent from your EXO tenant to On-Premises servers, will have the X-MS-Exchange-Organization-AuthAs
set to “Internal”. If it’s an external email which is relayed through your
tenant, the original “Anonymous” identity would be preserved and the
X-MS-Exchange-Organization-AuthAs will be set to “Anonymous”. Thus,
X-MS-Exchange-Organization-AuthAs header would not differentiate between email
coming directly to your On-Premises and email relayed through your tenant.
Quelle: https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Advanced-Office-365-Routing-Locking-Down-Exchange-On-Premises/ba-p/609238
Das bedeutet aber auch, dass Exchange diesen Header beim Empfang explizit setzt oder entfernt, wenn eine Mail von einer nicht vertrauenswürdigen Quelle eingeliefert wird.
Interne Mails
Die einfache Kommunikation innerhalb der gleichen Exchange Umgebung ist der Header am einfachsten zu finden. Sie senden oder Empfangen eine Mail an ihren Kollegen und sehen:
From: "user1" <user1@msxfaq.de> To: "user2" <user2@msxfaq.de> Subject: Testmail Intern zu Intern X-MS-Exchange-Organization-SCL: -1 X-MS-Exchange-Organization-MessageDirectionality: Originating X-MS-Exchange-Organization-AuthSource: AM0PR04MB5362.eurprd04.prod.outlook.com X-MS-Exchange-Organization-AuthAs: Internal X-MS-Exchange-Organization-AuthMechanism: 04 X-MS-PublicTrafficType: Email X-MS-Exchange-CrossTenant-FromEntityHeader: Hosted X-MS-Exchange-CrossTenant-Id: de21c301-a4ae-4292-aa09-6db710a590a6 X-MS-Exchange-CrossTenant-AuthSource: AM0PR04MB5362.eurprd04.prod.outlook.com X-MS-Exchange-CrossTenant-AuthAs: Internal X-MS-Exchange-CrossTenant-MailboxType: HOSTED
Neben dem Feld "X-MS-Exchange-Organization-AuthAs" sehen Sie aber noch eine Reihe weiterer Felder, die bei einer Mail zwischen zwei Exchange Online Postfächern in der gleichen Organisation addiert werden. Bei einem Exchange On-Premises Server ist es ein paar weniger Felder
Externe Mail
Im nächsten Schritt habe ich eine Mail von einem Provider (IONOS) an ein Exchange Online Postfach gesendet.
From: "POP3User" <pop3user@carius.de> To: "User1" <user@msxfaq.de> Subject: IIONOS zu EXO X-EOPAttributedMessage: 0 X-EOPTenantAttributedMessage: de21c301-a4ae-4292-aa09-6db710a590a6:0 X-MS-Exchange-Organization-MessageDirectionality: Incoming X-MS-Exchange-SkipListedInternetSender: ip=[217.72.192.75];domain=217.72.192.75 X-MS-Exchange-ExternalOriginalInternetSender: ip=[217.72.192.75];domain=217.72.192.75 X-MS-PublicTrafficType: Email X-MS-Exchange-Organization-AuthSource: DBAEUR03FT020.eop-EUR03.prod.protection.outlook.com X-MS-Exchange-Organization-AuthAs: Anonymous X-MS-Office365-Filtering-Correlation-Id: 0d5930e8-3bca-4e2d-f9c3-08da38a2ca2c X-MS-Exchange-AtpMessageProperties: SA|SL X-MS-Exchange-Organization-SCL: -1 X-MS-Exchange-CrossTenant-Network-Message-Id: 0d5930e8-3bca-4e2d-f9c3-08da38a2ca2c X-MS-Exchange-CrossTenant-Id: de21c301-a4ae-4292-aa09-6db710a590a6 X-MS-Exchange-CrossTenant-AuthSource: DBAEUR03FT020.eop-EUR03.prod.protection.outlook.com X-MS-Exchange-CrossTenant-AuthAs: Anonymous X-MS-Exchange-CrossTenant-FromEntityHeader: Internet X-MS-Exchange-Transport-CrossTenantHeadersStamped: VI1PR0402MB3920
Hier steht in X-MS-Exchange-Organization-AuthAs: nun ein "Anonymous" drin.
Exchange Hybrid On-Prem zu EXO
Der Nächste test war natürlich die Kommunikation in einer Hybrid Bereitstellung. Zuerst habe ich eine Mail von einem Exchange 2016 Postfach zu einem Cloud-Postfach gesendet. Der Header "X-MS-Exchange-Organization-AuthAs" ist korrekt als "Internal" gesetzt:
From: "OnPremUser1" <onpremuser1@msxfaq.de> To: "ExoUser1" <exouser1@msxfaq.de> Subject: EXOnPrem2EXO Hybrid X-OrganizationHeadersPreserved: EX16.msxfaq.de Return-Path: frank.carius4@netatwork.de X-MS-Exchange-Organization-MessageDirectionality: Originating X-MS-Exchange-Organization-AuthAs: Internal X-MS-Exchange-Organization-AuthMechanism: 04 X-MS-Exchange-Organization-AuthSource: EX16.msxfaq.de X-MS-Exchange-Organization-SCL: -1 X-OriginatorOrg: msxfaq.de X-MS-Exchange-CrossTenant-Id: de21c301-a4ae-4292-aa09-6db710a590a6 X-MS-Exchange-CrossTenant-OriginalAttributedTenantConnectingIp: TenantId=de21c301-a4ae-4292-aa09-6db710a590a6;Ip=[82.62.120.22];Helo=[hybrid.msxfaq.de] X-MS-Exchange-CrossTenant-AuthAs: Internal X-MS-Exchange-CrossTenant-AuthSource: EX16.msxfaq.de X-MS-Exchange-CrossTenant-FromEntityHeader: HybridOnPrem
Exchange Hybrid EXO zu OnPrem
Auch in die Gegenrichtung wird bei einem korrekten Hybrid-Setup im Feld "X-MS-Exchange-Organization-AuthAs" ein "Internal" hinterlegt
From: "ExoUser1" <EXOUser1@msxfaq.de> To: Frank Carius Demo 4 <OnPremUser1@msxfaq.de> Subject: AW:EXO2 EXOnPrem Hybrid X-MS-Exchange-CrossTenant-AuthAs: Internal X-MS-Exchange-CrossTenant-AuthSource: PA4PR04MB9344.eurprd04.prod.outlook.com X-MS-Exchange-CrossTenant-fromentityheader: Hosted X-MS-Exchange-CrossTenant-id: de21c301-a4ae-4292-aa09-6db710a590a6 X-MS-Exchange-CrossTenant-mailboxtype: HOSTED X-OrganizationHeadersPreserved: AM5PR04MB3234.eurprd04.prod.outlook.com X-MS-Exchange-Organization-AuthAs: Internal X-MS-Exchange-Organization-AuthMechanism: 04 X-MS-Exchange-Organization-AuthSource: PA4PR04MB9344.eurprd04.prod.outlook.com X-MS-Exchange-Organization-SCL: -1
EXO zu EXO
Wenn ich Mails von einem anderen Tenant an meinen Tenant sende, indem aber keine "Vertrauensstellung" definiert ist, dann ist auch hier der Absender natürlich "Anonymous".
From: Teant2User <tenant2user@uclabor.de> To: "User1" <user1@msxfaq.de> Subject: EXOT2 zu EXOT1 x-ms-exchange-senderadcheck: 1 x-ms-exchange-antispam-relay: 0 X-MS-Exchange-Transport-CrossTenantHeadersStamped: FR3P281MB2624 X-MS-Exchange-Organization-Network-Message-Id: b778d7be-aec6-4c35-6e2d-08da38a2de19 X-MS-Exchange-Organization-MessageDirectionality: Incoming X-MS-Exchange-Organization-AuthSource: DBAEUR03FT015.eop-EUR03.prod.protection.outlook.com X-MS-Exchange-Organization-AuthAs: Anonymous X-MS-Exchange-CrossTenant-Id: de21c301-a4ae-4292-aa09-6db710a590a6 X-MS-Exchange-CrossTenant-AuthSource: DBAEUR03FT015.eop-EUR03.prod.protection.outlook.com X-MS-Exchange-CrossTenant-AuthAs: Anonymous X-MS-Exchange-CrossTenant-FromEntityHeader: Internet
Wie erwartet gibt es auch bei einer Kommunikation zwischen zwei Tenants erst einmal keinen Vertrauensvorschuss. Exchange Online verhindert zwar den Versand mit einer gefälschten Domain aber deshalb ist der Absender keinesfalls als "intern" anzusehen.
Exchange Partnerschaft
Ich wollte aber wissen, ob ich das z.B. über einen "Partner Connector" beeinflussen kann. Ich habe im Empfängertenant daher einen "Inbound Connector" angelegt, in dem ich die Absender-Domains hinterlegt habe. Der Header der so empfangenen Mail sieht nicht viel anders aus:
From: "Carius, Frank (NAW)" <Frank.Carius@Netatwork.de> To: "User1" <user1@msxfaq.de> Subject: Partner EXOT1 zu EXOT2 x-ms-exchange-senderadcheck: 1 X-MS-Exchange-Organization-MessageDirectionality: Incoming X-MS-PublicTrafficType: Email X-MS-Exchange-Organization-AuthSource: FR2DEU01FT017.eop-deu01.prod.protection.outlook.com X-MS-Exchange-Organization-AuthAs: Anonymous X-MS-Exchange-Organization-SCL: 1 X-MS-Exchange-CrossTenant-OriginalArrivalTime: 18 May 2022 08:12:30.7420 (UTC) X-MS-Exchange-CrossTenant-Network-Message-Id: 5ed9ca7f-d245-442b-8e56-08da38a627af X-MS-Exchange-CrossTenant-Id: 3ae8f2a3-9252-4cc4-b71f-a2bc1d2cf44d X-MS-Exchange-CrossTenant-AuthSource: FR2DEU01FT017.eop-deu01.prod.protection.outlook.com X-MS-Exchange-CrossTenant-AuthAs: Anonymous X-MS-Exchange-CrossTenant-FromEntityHeader: Internet
Auch der Versuch einen "Org Connector" anzulegen hat für einen anderen Tenant nicht geklappt, denn ich kann dort ja nur eine IP-Adresse oder ein Zertifikat hinterlegen. Das geht aber zwischen zwei Tenants nicht wirklich, da ja alle Tenants dieser Welt mit dem gleichen Zertifikat kommen.
Remote Domains
Allerdings ist der Mailfluss nur eine Komponente und nur weil sie einen "Connector" angelegt haben, heißt das noch nicht, dass die Domain vertrauenswürdig ist. Bei der Hybrid Einrichtung mit dem HCW werden nämlich noch weitere Einstellungen im Bereich der "Exchange RemoteDomains" gemacht. Mit Set-RemoteDomain können Sie auf der sendenden Seite hinterlegen ob der Header ans Ziel gesendet wird
Set-RemoteDomain msxfaq.de -TrustedMailOutboundEnabled:$true
Auf der Empfängerseite müssen sie natürlich auch noch verifizieren, dass die absendende Domain vertrauenswürdig ist und der Header akzeptiert wird.
Set-RemoteDomain msxfaq.de -TrustedMailOutboundEnabled:$true
Diese Einstellungen nimmt bei Hybrid der HCW - Hybrid Configuration Wizard für sie mit vor. Siehe auch HCW im Detail
Natürlich müssen sie nun über Connectoren sicherstellen, dass die eingehenden Mails von diesen Domains auch wirklich von der Gegenseite kommen. Da kommt dann wieder der Partner-Connector zum Einsatz ,mit dem man die Gegenstelle mit der Domain verbinden kann. Oder ihr Partner nutzt SPF/DKIM/DMARC mit einer "Reject"-Policy.
- HCW - Hybrid Configuration Wizard
- HCW im Detail
- Emails that are sent from On-Premises to
Microsoft 365 show email addresses not
display names in From
https://docs.microsoft.com/en-us/exchange/troubleshoot/send-emails/emails-show-addresses-not-display-names-in-from -
Demystifying and troubleshooting hybrid mail
flow: when is a message internal?
https://techcommunity.microsoft.com/t5/exchange-team-blog/demystifying-and-troubleshooting-hybrid-mail-flow-when-is-a/ba-p/1420838
Message Tracking und Transport Regeln
Viele Firmen möchten gerne abhängig vom Standort bzw. der Authentifizierung des Absenders bestimmte Aktionen auslösen. Leider sehen wir den Header "X-MS-Exchange-Organization-AuthAs" nicht im Messagetracking. Ich finde zwar die Absender und Empfänger aber die Properties sind einfache "Strings". Hier ist also nicht hinterlegt, wie Exchange das Objekte klassifiziert
- View DLP policy detection reports
https://technet.microsoft.com/en-us/library/jj150520(v=exchg.150).aspx
Beschreibt die Bedeutung von ETR, ETRP, TRA bei Transportregeln
Weitere Links
- XOORG und Exchange
- Externe Mails kennzeichnen
- SMTP P1/P2-Felder
- X-Message-Flag
- Transportregeln
-
Demystifying and troubleshooting hybrid mail
flow: when is a message internal?
https://techcommunity.microsoft.com/t5/exchange-team-blog/demystifying-and-troubleshooting-hybrid-mail-flow-when-is-a/ba-p/1420838 - Emails that are sent from On-Premises to Microsoft 365 show email addresses
not display names in From
https://docs.microsoft.com/en-us/exchange/troubleshoot/send-emails/emails-show-addresses-not-display-names-in-from - What Rule Touched my Email Message Tracking – Exchange Stuff
http://www.happymillfam.com/what-rule-touched-my-email-message-tracking-exchange-stuff/ - View DLP policy detection reports
https://technet.microsoft.com/en-us/library/jj150520(v=exchg.150).aspx
Beschreibt die Bedeutung von ETR, ETRP, TRA bei Transportregeln - Message tracking
https://technet.microsoft.com/en-us/library/bb124375(v=exchg.160).aspx - Parsing an extended message trace
https://blogs.technet.microsoft.com/eopfieldnotes/2015/12/01/parsing-an-extended-message-trace-2/ - What is X-MS-Exchange-organization-AuthAs anonymous?
https://idswater.com/2020/09/20/what-is-x-ms-exchange-organization-authas-anonymous/