Moderation

Verteilergruppen in Exchange erlauben die schnelle Verteilung von Mails an vom System vorgegebene Verteilergruppen. Über die Funktion "Nachrichtengenehmigung" können Sie steuern, wer diese Verteiler nutzen darf.

Steuerung tut not

Die Nutzung von Verteilern ist durchaus kritisch zu sehen, da eine Mails an so einen Verteiler sehr schnell hundert- oder gar tausendfach multipliziert in Postfächer ihrer Firma verteilt wird. Wenn Mails heute nicht mehr nur ein paar kByte Text enthalten, sondern formatierte HTML-Nachrichten mit Bildern oder gar Anlagen sind, dann kann jeder Mailserver überlastet werden. Eine Mails mit 1 MB an "Alle" einer Firma lässt nicht nur die Postfächer um insgesamt 1 GB anwachsen, sondern muss zumindest zeitweise auch den SMTP-Transport durchlaufen und in Transaktionsprotokollen der Datenbanken landen. Kommt dann noch ein "allen Antworten" mehrfach dazu, ist das schon fast ein interner DoS gegen das System.

Unabhängig von technischen Aspekten bin ich kein Freund von Verteilern, da Informationen damit mehrfach dupliziert werden und am Ende jeder Mitarbeiter alle Mails zu einem Thema noch selbst verwalten muss. Ich bin hier dann noch der Freund der früheren Newsgroups oder mittlerweile Gruppenchats in Microsoft Teams

Folgende Kriterien können Sie zur Kontrolle verwenden und sind von Exchange aktiviert.

Limit Beschreibung Defaults

Anonyme Absender

Ein Verteiler kann sowohl von internen authentifizierten als auch von externen anonymen Absendern erreicht werden. Wenn interne Anwender einen Verteiler anschreiben, dann ist der Absender, wie geschrieben, nicht anonym sondern bekannt und kann ggfls. auf seine Falschnutzung angesprochen werden. Ist ein Verteiler aus dem Internet mit einer öffentlichen Adresse erreichbar, dann ist dies ein gefundenes Fressen für Spammer und Missbrauch. Zum Glück hat Exchange hier mittlerweile den Standard, dass eine externe Erreichbarkeit erst einmal abgeschaltet ist

Nicht erlaubt

Bestimmte Empfänger

Aber auch die internen Absender sind ein Problem, wenn die Firma immer größer wird. Wir kennen alle die Mails an "alle" und je mehr Mitglieder ein Verteiler hat, desto nerviger sind solche Mailstürme. Eine Lösung ist dann die Beschränkung auf bestimmte Absender.

Das macht natürlich nur Sinn. wenn Sie die Absender auf "Nur Absender in meiner Organisation" festgelegt haben.

Kein Limit

Limit auf 5000

Exchange hat noch eine zweite Default-Schwelle, die Mails an sehr große Verteiler verhindert. Wenn ein Verteiler mehr als 5000 Empfänger enthält, dann muss zwingend "Moderation" eingeschaltet sein.

Limit sending messages to large distribution groups: Distribution groups that contain the number of members specified by this limit must have delivery management or message approval options configured. Delivery management specifies a list of senders who are allowed to send messages to the distribution group. Message approval specifies one or more moderators who must approve all messages sent to the distribution group.
Quelle: https://docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-service-description/exchange-online-limits#distribution-group-limits

Diese Limit kann meiner Ansicht auch nicht umgangen werden.

5000

Globale Limits

In Exchange Online gibt es aber noch weitere Limits für Postfächer, die maximal 10.000 Empfänger pro Tag adressieren können oder maximal 30 Nachrichten pro Minute senden dürften. Bei Exchange OnPremises werden solche Grenzen aktuell nicht durchgesetzt aber die meisten Firmen nutzen Hybrid oder sind schon in Exchange Online. Limits auf die Größe einer Mail können

Vorgegeben

Transport Moderation

Eine letzte Möglichkeit zur Moderation einer Mail besteht durch eine Transportregel. Sie ist nicht auf einen Verteiler oder ein Postfach beschränkt, sondern sehr flexibel nutzbar. Von Hause aus sind aber keine Moderationsregeln vorgegeben.

Keine

Einen Teil der Einstellungen können sich auch auf Postfächern nutzen

Gruppenmoderation

Diese Seite konzentriert sich aber auf die Moderation von Gruppen. Harte Limits über die Konfiguration von Empfangsbeschränkungen sind durch Anwender nicht einfach zu umgehen. Über die Moderation können Sie ausgewählten Personen einen Weg eröffnen, damit sie Mails an einen Verteiler erst gesichtet und freigegeben werden muss.

Diese Möglichkeit ist ideal, um besonders schützenswerte Verteiler abzusichern. Das kann der Verteiler an "Alle" oder auch nur an besonders schützenswerte Personen sein. Technisch wird die Mail dann, analog zu Exchange Transport Moderation und Hybrid Message Approval erst in einer Systemmailbox gepackt und die Moderatoren ebenfalls per Mail informiert. Sobald dann ein Moderator zustimmt, wird die Mail aus dem Systempostfach weiter zugestellt.

Empfänger mit Moderation

Nur weil im Exchange Control Panel nicht bei allen Objekten eine Moderation angeboten wird, bedeutet es nicht, dass es nicht doch möglich ist. Für einige Empfänger müssen Sie allerdings die PowerShell bemühen. Die folgenden Parameter sind dabei

  • ModerationEnabled $true/$false
    Damit schalten Sie Moderation auf dem Empfänger generell ein oder aus.
  • ModeratedBy <recipient1,recipient2...>
    Liste der Empfänger, die als Moderatoren bestimmt werden und die Genehmigungsmail bekommen
  • BypassModerationFromSendersOrMembers <recipient1,recipient2...>
    Liste der Absender, die auch ohne Zustimmung der Moderatoren den Empfänger anschreiben können
  • SendModerationNotifications <Never | Always | Internal>
    Kontrolliert, welche Absender über Ablehnungen informiert werden.

Diese Parameter sind bei fast allen Objekten mit einer Ausnahme verfügbar

Die "Unified Groups", die auch Microsoft Teams nutzen sind keine "richtige" Gruppe sondern eher ein Postfach. Dennoch können Sie mit "Get-UnifiedGroup" alle Parameter lesen.

Sie können aber nur die beiden Parameter "ModeratedBy" und "ModerationEnabled" setzen. Alle anderen Einstellungen können Sie nicht per PowerShell oder Admin Portal setzen. Sie sind einfach nicht da.

Dies ist eine Momentaufnahme vom Juni 2024 und anscheinend liefert Get-UnifiedGroup einfach diese Felder als "$null" aus.

Eine generelle Moderation von Unified Group ist aber schon möglich. In dem Fall gehen die Moderationseinstellungen der bisherigen Gruppe verloren.

Microsoft bietet ihnen aber an verschiedenen Stellen aktiv an, eine Verteilergruppe zu einer Unified Group oder Microsoft Teams "aufzuwerten"

Weitere Links