Weiterleitungen

Diese Seite beschäftigt sich mit den Besonderheiten einer Umleitung von Mails an eine neue Zieladresse. Eine normale Mail wird von einer Person ein eine oder mehrere andere Personen gesendet. Die Mailadresse und entsprechende MX-Records dienen dabei zum Routing. Beim Betrieb von Exchange hat sich zudem ein klares Prinzip bewährt:


Ein Benutzer = Ein Postfach

Exchange ist ja in jeder Hinsicht erreichbar und wenn ein Anwender nicht mit Outlook und ActiveSync arbeiten kann, dann könnte der Zugriff per Browser (OWA) eine Alternative sein. Wenn auch das nicht reicht, dann kann sogar per IMAP4 oder notfalls per POP3 das Postfach gelesen werden. Selbst Zugriffe per EWS oder REST-API sind möglich. Dennoch lässt sich dies nicht immer durchhalten, da manchmal Funktionen gefordert werden, die eine Weiterleitung an ein anderes Postfach oder sogar eine externe Mailadresse erfordern.

Achtung
Angeblich kann man in einem Office 365 Tenant maximal 200 Weiterleitungen nach extern einrichten oder Microsoft blockt Weiterleitungen, wenn es zu viele externe Empfänger gibt.. Das ist bei Migrationen zu beachten, wenn Sie der Benutzer schon im Ziel arbeitet und Sie Mails an dan Quellpostfach ins Ziel umleiten.

All you need to know about automatic email forwarding in Exchange Online
https://techcommunity.microsoft.com/t5/exchange-team-blog/all-you-need-to-know-about-automatic-email-forwarding-in/ba-p/2074888

Gründe für eine Weiterleitung

Hier ein paar Beispiele, für welche eine Weiterleitung genutzt werden könnte aber auch gleich einige Hinweise, wie diese Funktion vielleicht besser oder sicherer abgebildet werden kann. Die Erläuterung der Vorschläge finden Sie weiter unten:

  • Weiterleitung intern an Stellvertreter in der Organisation
    Die kann erforderlich sein, wen ein Mitarbeiter ausscheidet oder längere Zeit abwesend ist und die Beantwortung von Mailanfragen sicher stellen muss. Allerdings kann dies vermieden werden, wenn von vorneherein mit Funktionspostfächern gearbeitet wird. Alternativ gibt es Programme, die auf dem Server laufen und gezielt noch nicht gelesene Nachrichten in Postfächern suchen und entsprechend eskalieren.
    Der Anwender kann über eine Posteingangsregel dies einrichten.
    Der Administrator kann einen alternativen Empfänger für alle Mails beim Postfach einrichten.
  • Externes Postfach zum Abruf aus dem Internet
    Manchmal behilft sich eine Firma derart, dass ein Mitarbeiter auf Reisen oder von Zuhause nicht auf den Exchange Server zugreifen darf und daher alle Mails an sein Postfach an ein externes Konto bei einem Dienstleister (z.B.: GMX, HOTMAIL etc.) weiter geleitet wird. Allerdings gibt es hierbei dann keine Synchronisation und Achtung, dass Sie nicht das gleiche externe Postfach mit einem POP3 Sammler einsammeln. Dann ist die Schleife perfekt.
    Der Anwender kann über eine Posteingangsregel dies einrichten. Hierbei muss ein automatisches Weiterleiten dann diese Domäne oder global durch den Administrator erst frei geschaltet werden.
    Der Administrator kann einen Kontakt als alternativen Empfänger für alle Mails beim Postfach einrichten.
  • Weiterleitung für externe Mitarbeiter an eigentliches Postfach
    Wenn Sie externe Kräfte beschäftigen, dann erhalten diese oft ein Konto und ein Postfach. Diese Person hat aber eigentlich ein primäres Postfach bei seiner eigenen Firma. Über eine Weiterleitung können Sie daher sicherstellen, dass Nachrichten an das Postfach bei ihnen so weiter gegeben werden, dass der externe Mitarbeiter diese auch dann noch lesen kann, wenn er nicht bei ihnen vor Ort arbeitet. Gerade externe Mitarbeiter, die für mehrere Kunden arbeiten, werden nicht täglich zu jedem Kunden eine Verbindung aufbauen und nach neuer Mail schauen.
  • Weiterleitung zu einem Dienstleister
    Es kann eine Aufgabenstellung sein, dass ein internes System eine Meldung an einen Dienstleister versendet. Natürlich könnte solch ein System komplett für die Funktion "RELAY" frei geschaltet werden. Nur würde dann ein Wurm auf dem Server ebenfalls vollen Zugriff haben. Es ist sicher besser, einfach bestimmte Zieladressen als "erreichbar" zu definieren und bei bedarf auch wieder umstellen zu können.
  • Weiterleitung an Mobilgerät
    Mobilität ist trumpf und nichts liegt näher, als jede neue Mail auch unterwegs zu lesen. Wenn Sie nun nicht Lösungen wie Blackberry oder Exchange ActiveSync Server einsetzen, dann könnte eine Weiterleitung auf eine mobile Mailadresse eine Lösung darstellen. Viele Mobilfunkhersteller erlauben den Versand einer Mail auf ein Mobiltelefon per SMS (Siehe SMS) oder betreiben eigene Server, die die Anbindung mit Blackberry etc. erlauben.
  • Weiterleitung der gesamten Domäne
    Als Hoster könnten Sie natürlich die Anforderung stellen, dass alle Mail für ihre Kunden bei ihrem Exchange Server landen und an den Kunden weiter geleitet werden. Dieses Szenario ist z.B. der Fall, wenn ihr Exchange Server als "Backup-MX" arbeiten soll
  • Weiterleitung von nicht lokalen Empfänger einer Domäne
    Eine Besonderheit ist die selektive Weitergabe von Nachrichten an nicht lokale Empfänger, d.h. es kann sein, dass einige Empfänger ein Postfach in ihrer Exchange Organisation haben und weitere Empfänger auf einem anderen System angelegt sind. Auch hier kann entweder mit Weiterleitern oder über ein so genanntes Domain Sharing arbeiten.

Sie finden sicher noch viele andere Gründe, eine Weiterleitung oder Umleitung einzustellen.

Umleitung ist nicht Weiterleitung

Um den Unterschied zu verstehen, muss ich kurz erklären, was der Unterschied zwischen einer Umleitung und einer Weiterleitung ist. Eine Mail von Absender A zum Empfänger b kann über zwei Varianten bei Empfänger C ankommen.

  • A->B wird weitergleitet als B- >C hier sieht der Empfänger in C aber nicht mehr die original e Absenderadresse
  • A->B wird weitergleitet als A- >C hier sieht der Empfänger in C die originale Absenderadresse

Allein die Änderung der Zieladresse hat natürlich Auswirkungen auf die Lesbarkeit der Mail, wenn diese z.B. per PGP, SMIME oder RMS gesichert ist. Ob dann Empfänger C die Mail lesen kann, steht auf einem anderen Blatt. Auch die Änderung der Absenderadresse im Fall 1 gewirkt, dass z.B. eine digitale Signatur (SMIME/PGP) bricht. In den Outlook Regeln ist dies schon zu sehen:

Ehe Sie nun gleich die Option "Umleitung" als „ideal“ einrichten, müssen Sie hier berücksichtigen, dass sich dann der Server von Empfänger B als „Empfänger A“ als Absender ausgibt. Gerade in Zeiten von SPF und DKIM müssen hier weitere Maßnahmen umgesetzt werden, damit die Mail tatsächlich auch vom Server des Empfänger-C angenommen wird. Wird die Mail hingegen „weiter geleitet“, dann wird der Absender ersetzt und die Spamfilter sind sehr viel entspannter. Ob das dem Empfänger-C aber gefallen wird, da er den Absender nicht mehr sofort sieht und vor allem auch nicht einfach darauf antworten kann, sei dahin gestellt. Daher ist eine „Umleitung“ in der Regel interessanter.

Probleme und Risiken

All diese Weiterleitungen haben aber einige sehr schwerwiegende Probleme und Risiken, die Sie genau bedenken sollten.

  • Duplikate
    Das generelle Problem von Weiterleitungen ist, dass die Mail meist dupliziert wird. Wenn Personen daher derart zwei Postfächer betreiben und in einem Postfach eine Mail lesen oder löschen, dann ist in dem zweiten Postfach diese Mail nicht gelöscht oder als gelesen markiert. Sehr schnell wird dann die Anforderung kommen, ob dies nicht aus möglich ist, d.h. dass die Mails im zweiten Postfach analog zum Hauptpostfach gelöscht werden. Dies ist dann aber wieder eher eine Synchronisation, die von Hause aus nicht möglich ist. Prüfen Sie in solch einem Fall, ob Sie nicht wieder zum "Ein Benutzer = ein Postfach" zurückkehren und den Mitarbeitern einfach den Zugriff auf ihr einziges Postfach über verschiedene Wege erlauben. Es ist meist immer sicherer, wenn die Mails an einem Ort in der Firma liegen, statt eine Kopie davon auf ihnen unbekannten öffentlich zugänglichen Servern liegen.
  • Unsicherheit weiterer Weiterleitungen
    Da die Mail auf einem anderen nicht unter ihrer Kontrolle stehenden Postfach liegen, können Sie nicht sicher sein, dass auf dem zweiten Postfach nicht noch eine Weiterleitung an ein drittes Postfach stattfindet oder andere Personen mit in das Postfach schauen. Insofern sollten Sie genau prüfen, ob eine Weiterleitung wirklich gewünscht ist.
  • Mehrfachquittungen
    Ich schreibe eine Mail als Einschreiben (Gelesen und Übermittel Quittung wird angefordert) an ein Postfach. Diese Zustellung wird quittiert. Aber oft wird auch die Weiterleitung und die Zustellung beim zweiten Postfach erneut quittiert. Das kann beim Absender zu Verwirrung führen und gibt nach Außen bekannt, dass die Mails weiter geleitet werden.
  • Stellvertreter
    Eine Weiterleitung verarbeitet meist nur neue Nachrichten an den Empfänger. Wird nun innerhalb der Exchange Organisation die Funktion der Stellvertreter mit Outlook genutzt, dann werden Änderungen durch den Stellvertreter, ( z.B. neuer Termin, neue Aufgabe etc.) nicht weiter geleitet. Der Mitarbeiter erhält im zweiten Postfach daher nur eine Teilmenge der Informationen.
  • Loops
    Weiterleitungen sind ideale Voraussetzungen für Endlosschleifen. Wenn zwei Weiterleitungen sich gegenseitig die Mails zusenden und dabei immer neue Nachrichten erstellen, dann kann kein System diese Schleife zuverlässig erkennen und unterbrechen. Es ist nur eine Frage der Bandbreite und Festplattenkapazität, bis die Funktion ihres Mailsystems nicht mehr gegeben ist.
  • Absenderadresse ?
    Ein häufig übersehener Sachverhalt ist die Frage der Absenderadresse. Wenn Sie eine Mail in ihrem Postfach erhalten und darauf antworten, dann ist die Absenderadresse meist identisch mit der Adresse, unter der Sie erreicht werden. Wenn Sie aber nun mit dem Postfach des Weiterleitungsziels arbeiten, dann ist ihre Absenderadresse meist die Adresse dieses Postfachs. Einige Absender sind irritiert, wenn Sie auf eine Mail an Benutzer1 eine Antwort von Benutzer2 erhalten.
  • Signierung und Verschlüsselung
    Immer mehr Mails werden signiert oder verschlüsselt. Über die Weiterleitung erhalten Sie zwar die Mail aber Sie müssen selbst dafür sorgen, dass Sie ihren Key für die Dechiffrierung dabei haben. Dieser "Private Key" ist in ihrem Netzwerk sicher gut aufgehoben, aber Sie sollten sehr sorgfältig damit umgehen, wenn Sie ihre Mails auf anderen Systemen lesen.
  • Extra Traffic
    Nicht zu vergessen ist, dass jede weiter geleitete Mails den Datenverkehr diesbezüglich verdoppelt.

Aus all diesen Punkten ist unschwer zu erraten, dass ich kein Freund von Weiterleitungen bin, die eigentlich nur einen falschen Ansatz der Herangehensweise zeigen. Ich muss nicht weiterleiten, wenn ich mit Stellvertretern oder Funktionspostfächern arbeiten kann oder den Zugriff auf mein Postfach über verschiedene Wege anbiete. Exchange kann alles und damit viel mehr als viele POP3-Server im Internet, die meist das Ziel einer Weiterleitung sind. Vielleicht sollten Sie einfach nur überlegen, wie Sie einen Zugriff der Mitarbeiter auf die Postfächer zulassen, anstelle durch ein kleines Loch eine große nicht direkt sichtbare Lücke zu reißen. Nicht umsonst sind die Funktionen für automatische Regeln und Abwesenheitsassistenten bei Exchange 2000/2003 deaktiviert.

Aber wenn Sie nun doch die Nachrichten an einige Empfänger weiter geben müssen, dann können Sie eine Vielzahl von Optionen nutzen.

Spamschutz und Relay bei Weiterleitungen

Knifflig wird es mit Exchange und anderen Systemen immer dann, wenn das Ziel nicht innerhalb des gleichen Mailverbunds ist, sondern wieder nach extern geht. Dann verlässt die Mail das eigene System an eine neue Zieladresse aber die Frage der Absenderadresse ist dabei natürlich nicht zu vernachlässigen. Wenn hier der Absender nämlich der „originale Absender“ der Mail ist, dann gibt es gleich mehrere Herausforderungen

  • Eigener Relayschutz/Spamfilter
    Wenn ich weiß, welche SMTP-Domänen von mir bedient werden, dann möchte ich ausgehend verhindern, dass ein falsche konfiguriertes System mit einer ungültigen oder sogar fremden Mailadresse etwas versendet. Damit schütze ich meinen ausgehenden Mailserver und die Reputation meiner IP-Adresse.
  • Eingehender Spamfilter beim Ziel
    Aber auch beim Empfänger wird heute immer ein Spamfilter aktiv sein, der genau hinschaut, welcher Absender hier von welcher Source-IP verwendet wird. Und wenn die Domäne des Absender z.B. per SPF sogar ihre „legitimen“ Mailserver veröffentlicht, dann wird es für mich schwer mit eine Mailadresse aus einer solchen externen Domäne zu versenden.

Das ist genau die Aufgabe von SPF, eben solchen „Missbrauch“ einer fremden Domäne als Absender zu verhindern und zugleich ist dies auch der Tod einer jeder Umleitung. Eine Weiterleitung mit der Absenderadresse des Weiterleitenden hingegen ist unproblematisch aber bei finalen Ziel mit der Einschränkung verbunden, dass der originale Absender nicht mehr zu sehen ist.

Ich habe das in drei Beispielen noch einmal beschrieben:

Bild Beschreibung

Mail von A->B1 wird von B1 nach C weitergeleitet
Beim Mailserver C kommt dann eine Mail an, in der der Absender A an C sendet. Die IP-Adresse des Mailservers ist aber die Firma B, welche die Mail weiter leitet. Hat nun A seine Mailserver z.B. per SPF/CallerID veröffentlich und schützt sich C mit einem Spamfilter, der SPF oder auch RMX nutzt, dann wird die Mail von B nicht angenommen.

C antwortet auf die Mail von A mit Absenderadresse B1
Wenn C nun auf die Mail antwortet, soll A vielleicht nicht sehen, dass die Mail weiter geleitet wurde. Also nutzt C als Absender seine Adresse B1. Damit kann aber nun der Provider oder Smarthost von C ein Problem haben, wen dieser nämlich die Absenderadresse prüft. Provider schützen sich auch vor Spam von Kunden und verweigern die Zustellung der Mail.
Selbst wenn der Provider die Mail weiterleiten würde kann immer noch die Firma A wie im ersten Fall die Annahme verweigern, weil die Mail nicht von einem Mailserver der Firma B kommt

Antwort auf eine Mail von B2 an B1, die an C weiter geleitet wurde
Ein dritter Fall ist eine Mail von einer anderen Person B2 in der Firma B an die Person B1, die an das Postfach C weiter geleitet wird. Antwortet der Benutzer C nun auf diese Mail an B2 und möchte seine Weiterleitung dadurch verbergen, dass er sein B1-Adresse als Absender verwendet, dann kann es sein, dass die Firma B die Annahme verweigert. Grund ist die Schutzfunktion gegen das Vortäuschen einer vertrauenswürdigen internen Mail, in dem ein Absender einfach eine interne Adresse verwendet.

Sie sehen also dass auch hier verschiedene Probleme auftreten können, wenn Sie eine Mail an ein andere Postfach außerhalb ihrer Organisation weiterleiten.

AD-Felder mit Exchange

Exchange kennt gleich mehrere Möglichkeiten eine Mail an ein Postfach umzuleiten. Das kann durchaus verwirrend sein. Hier die LDAP-Felder, wie sie gesetzt werden können und eine Beschreibung

AD-Feld Exchange Powershell Beispielwert Beschreibung
altrecipient
Set-Mailbox
   -ForwardingAddress fctest6
cn=fctets6,ou=firma
  ,dc=msxfaq,dc=net

Diese Feld nutzt den DN zu einem anderen Active Directory Postfach oder Kontakt, um die Mails weiter zu leiten.

Wenn ich mich recht erinnere, gab es das Feld schon bei Exchange 5.0-Zeiten.

msexchgenericforwardingaddress
Set-Mailbox
   -ForwardingSmtpAddress user1@msxfaq.net
smtp:user1@msxfaq.net

Dies Feld nimmt direkt eine SMTP-Adresse auf um Mails umzuleiten. Da es aber nicht die "TargetAddress" ist, stört das z.B. nicht die Autodiscover-Funktion. Das Feld gib es wohl seit Exchange 2003 im Schema

TargetAddress
Set-ADUser ...
Set-RemoteMailbox 
   -RemoteRoutingAddress <ProxyAddress>s
"SMTP:user@extern.tld"

Das Feld TargetAddress habe ich schon gesondert beschrieben und sorgt dafür, dass die Mail immer die eigene Exchange Organisation Richtung Ziel verlässt. Sie ist unersetzlich für Migrationen und den Exchange Hybrid Mode mit Exchange Online.

Per Exchange Powershell kann eine Mailbox aber nicht derart konfiguriert werden.

deliverandredirect
Set-Mailbox
    -DeliverToMailboxAndForward $true
true
 oder
false

Hiermit wird die Wirkung von "altrecipient" und "msexchgenericforwardingaddress" gesteuert aber nicht der Targetaddress.

Das Feld kann auch "true" sein obwohl keine Weiterleitung gesetzt ist.

Bei der ganzen Liste ist natürlich interessant, wie die Reihenfolge sortiert ist. Eine Anleitung von Microsoft habe ich nicht gefunden aber die ein oder andere Fehlermeldung gibt Hinweise, so dass ich folgenden Reihenfolge entwickelt habe:

  1. TargetAddress (durch ADSync zu EXO geschrieben)
    Wenn diese Feld gesetzt ist, dann werden die Mails direkt an diese SMTP-Adresse außerhalb der lokalen Organisation gesendet. Ideal für Migrationen, Koexistenz.
  2. altrecipient (durch ADSync zu EXO geschrieben, kann aber in EXO geändert werden)
    Dies war wohl das erste Feld für Weiterleitungen durch den Administrator und wird von Exchange als nächstes evaluiert. Die Einstellung von "deliverandredirect" wird beachtet.
  3. msexchgenericforwardingaddress (Nicht in ADSync)
    Dies Feld ist jünger und wird als letztes evaluiert. Die Einstellung von "deliverandredirect" wird beachtet

Folgende Fehler habe ich bei der Konfiguration dazu schon gefunden:

  • altrecipient und msexchgenericforwardingaddress gesetzt
    Man kann tatsächlich beide Felder setzen. Aber Exchange beschwert sich, dass "msexchgenericforwardingaddress" erst aktiv wird, wenn "altrecipient " geleert wird.
Set-Mailbox user1 -ForwardingSmtpAddress user2@msxfaq.net
WARNING: Before your forwarding settings can take effect, you need to contact your helpdesk and ask them to turn off
the forwarding your administrator previously set.
  • Konflikt altrecipient und TargetAddress
    Durch einen Fehler im Provisioning habe ich einmal eine RemoteMailbox gehabt, bei der die On-Premises "Remote Mailbox" neben der TargetAddress zusätzlich noch das Feld "altrecipient" gepflegt war. Das ist nicht erlaubt, da bei einer RemoteMailbox alle Mails immer in die Cloud müssen. Beim "Set-Remote" gibt es zurecht die Parameter "ForwardingSmtpAddress" und "ForwardingAddress" nicht. Interessant war die Fehlermeldung bei einem Zustellversuch über die On-Premises Umgebung.
Remote Server returned '550 5.2.14 RESOLVER.FWD.NotFound; misconfigured forwarding address'

Es gibt sicher noch andere Konflikte, die ich bei Gelegenheit addieren werden. Als generischen Test kann man aber festhalten

Es sollte nie mehr als ein Feld gleichzeitig gefüllt sein.

Wie kann ich weiterleiten ?

Mit Exchange und Outlook gibt es eine Vielzahl von Optionen, eine Nachricht an einen anderen Empfänger weiter zu leiten. Verwechseln Sie dies nicht mit der Funktion eines Stellvertreter mit Outlook. Folgende Optionen mit den aufgeführten Einschränkungen bestehen:

So geht es Hier wird es eingestellt Funktionsweise bzw. was geht nicht

Mailbox aktivierter Benutzer im Active Directory mit Regel im Postfach

Der Anwender selbst kann eine Regel in seinem Postfach anlegen, die alle Mails an diese Postfach an eine andere Adresse versendet. Hierzu dient der Outlook Regel Assistent:

Solche Regeln funktionieren aber in der Regel nur innerhalb einer Organisation. Der Versand an beliebige externe Adressen ist per Default unterbunden und kann vom Administrator aber pro Domäne oder Global frei geschaltet werden.

Achtung: Quittungen werden nie weiter geleitet !

Mailbox aktivierter Benutzer im Active Directory mit alternativem Empfänger

Der Administrator kann beim Postfach direkt einen alternativen Empfänger eingeben.

Bei Exchange 2013/2016/2019/Online können Sie dies unter /ECP hier einstellen

Recipients > Mailboxes > Edit Mailbox > Delivery Options
https://docs.microsoft.com/en-us/previous-versions/exchange-server/exchange-150/jj156880(v=exchg.150)

In der neuen Exchange Online Verwaltung finden Sie es hier:

Interessant: Sie können hier nur Postfächer auswählen. Per Powershell dürfen es u.a. auch Verteiler sein.

Dazu ist es aber erforderlich, dass im AD ein weiterer Kontakt angelegt wird, der dann auf das andere Postfach verweist.

 Dazu eignet sich am besten ein Mailaktivierter Kontakt, der bei Bedarf danach verborgen wird.

Mailaktivierter Benutzer im Active Directory

Ein Benutzer muss kein Postfach haben, sondern kann auch nur "Mail enabled" werden. Sie tragen dann die externe Adresse ein. Über den RUS bekommt er zusätzlich die Firmenadressen.

Eine Mail an diesen Empfänger wird an die eigentliche Adresse weitergeleitet.

Es ist dabei unerheblich, an welche der Proxyadressen die Mail gerichtet ist. Exchange wird diese Mails an die primäre Adresse des mailaktivierten Benutzers weiter leiten.

Einschränkungen sind über die Empfangsbeschränkungen möglich.

Über diesen Weg kann ein Anmeldekonto in ihrem Active Directory auch in ihrer Exchange Organisation als Mailempfänger genutzt werden, ohne dass das Postfach in der Organisation selbst liegen muss.

Das Konto kann auch für interaktive Anmeldungen genutzt werden.

Mailaktivierter Kontakt im AD

Auch ein Kontakt kann "Exchange aktiviert" sein. Sie tragen dann die externe Adresse ein. Über den RUS bekommt er zusätzlich die Firmenadressen.

Eine Mail an diesen Kontakt wird an die eigentliche Adresse weitergeleitet. Auch wenn die Mail von Extern kommt !!

Es ist dabei unerheblich, an welche der Proxyadressen die Mail gerichtet ist. Exchange wird diese Mails an die primäre Adresse des Kontakts weiter leiten.

Einschränkungen sind über die Empfangsbeschränkungen möglich.

Über diesen Weg kann ein externer Anwender in ihrem Active Directory auch in ihrer Exchange Organisation als Mailempfänger genutzt werden, ohne dass das Postfach in der Organisation selbst liegen muss.

Das Konto kann aber nicht für interaktive Anmeldungen genutzt werden.

SMTP-Connector und nicht autoritative Domäne

Über die Empfängerrichtlinien können Sie Exchange anweisen nicht allein für eine Domäne zuständig (autoritativ) zu sein.

Über einen passenden SMTP-Connector mit Adressraum können Sie dann steuern, wo hin diese nicht innerhalb der Organisation zustellbaren Mails geleitet werden.

Ihr Exchange wird damit zu einem Durchlaufsystem, bei der Mails an lokale Adressen zugestellt werden und unbekannte Adressen an ein z.B. nach geschaltetes System übermittelt werden.

Achten Sie darauf, dass die Mails von dort nicht wieder über das Internet oder den MX-Eintrag bei Exchange landen, da Sie sonst eine Schleife haben. Auch Spam Mails an unbekannte Empfänger kann Exchange bei einer solchen Konfiguration nicht beim Empfang ablehnen und belasten ihr System.

SMTP-Einstellungen für "unbekannte Benutzer

Auch beim virtuellen SMTP-Server können Sie einen Server angeben, an den nicht auflösbare Mails zugestellt werden.

Dieser Weg ist weiter vorhanden, weil der Windows SMTP-Server diese Funktion bietet. Mit Exchange sollte Sie aber nicht genutzt werden und statt dessen mit nicht autoritativen Domänen oder Kontakten gearbeitet werden.

Weiterleiten einer gesamten Domäne

Richten Sie einen SMTP-Connector mit dem entsprechenden Adressraum und dem Zielsystem ein und aktivieren Sie das Kreuz "Relay für diese Domäne"

Jede Mail, die bei einem ihrer Exchange Server ihrer gesamten Organisation für diese Domäne ankommt, wird angenommen und entsprechend der Konfiguration im SMTP-Connector an das Zielsystem weiter geleitet.

Diese Einstellung hebt sogar die "Empfängerfilterung" der virtuellen SMTP-Server auf.

Die Einstellung, wie die Mails z.B. zum Kunden zugestellt werden, erfolgen ebenfalls im SMTP-Connector.

Ich hoffe ich habe durch die Vielzahl der Möglichkeiten nun die Verwirrung nicht erhöht, sondern ihnen geholfen, die richtige Weiterleitung für ihren Einsatzzweck zu finden.

Umleitung und SPF/DKIM

SPF würde jede Umleitung verhindern. Aber natürlich haben die Autoren der RFC auch daran gedacht und so gibt es Möglichkeiten mit Umleitungen umzugehen. Zum einen müssen Sie sich bewusst machen, was SPF genau überprüft. Bei einer Mail gibt es durchaus mehrere „Absender“.

  • MAIL FROM (Envelope)
  • From (Header)
  • Sender (Header)

Beim Empfänger gibt es ebenfalls mehrere Felder:

  • RCPT TO (Envelope)
  • TO, CC, BCC (Header)

Die Mailserver selbst nutzen für das Routing der Mails ausschließlich die „MAIL FROM“ und die „RCPT TO“-Zeilen, die aber der Absender und Empfänger so nie zu sehen bekommt. Ein SPF und DKIM-Validator kann aber neben diesen beiden Feldern auch noch die Information aus dem Header der Mail heranziehen und sogar die „HELO“-Meldung des einliefernden Servers mit auswerten.

Zudem steht SPF nicht alleine, sondern wird was immer im gleichen Satz mit DKIM genannt. Das Ziel dieser beiden Verfahren ist nämlich die Legitimierung eines Absenders anhand einer Domain aber auch anhand des Servers. Als Absender einer Mail habe ich ja nicht immer die komplette Kontrolle, über welche Relay-Stationen meine Mail geführt wird. Mit SPF kann ein System aber nur das direkt einliefernde System verifizieren. Interessant wird es, wenn die Mail schon beim ersten Absender „signiert“ wird und diese Signatur auch bei Weiterleitungen erhalten und gültig bleibt. Und genau das ist die Aufgabe von DKIM.

Weiterleitung und Exchange Message Tracking

Natürlich ist es auch im Exchange Message Tracking sichtbar, wenn ein Anwender per Outlook regel eine Mail weiterleitet oder umleitet. Für die Analyse sind folgende Felder besonders interessant:

  • Sender
    Das ist der "Absender" der Mail, die auch der Empfänger sieht
  • Recipients
    Hier stehen die Empfänger der Mail drin
  • ReturnPath
    An diese Adressen gegen eventuelle Rückantworten.

Interessant ist an diesen Feldern, wie sich der Inhalte durch die Weiterleitung bzw. Umleitung verändert. Die EventIDs und die Source sind im Ablauf in beiden Fällen gleich:

EventId    Source     
-------    ------     
RECEIVE    SMTP       
DELIVER    STOREDRIVER
RECEIVE    MAILBOXRULE
DELIVER    STOREDRIVER
Station Umleitung Weiterleitung

Empfang

Sender: Absender@msxfaq.net
Recipients: ZielA@example.com
Return: Absender

Sender: Absender@msxfaq.net
Recipients: ZielA@example.com
Return: Absender@msxfaq.net

Nach Regel

Sender: Absender@msxfaq.net
Recipients: ZielB@example.com
Return: ZielA@example.com

Sender: ZielA@example.com
Recipients: ZielB@example.com
Return: ZielA@example.com

Bemerkung

  • Umgeleitet Mail hat eine neue MessageID
  • Der ReturnPath verweist auf den letzten Absender
  • Der Recipient ändert sich bei der Umleitung
  • Der Sender bleibt unverändert bei einer Umleitung
  • Umgeleitet Mail hat eine neue MessageID
  • Der ReturnPath verweist auf den letzten Absender
  • Der Recipient ändert sich bei der Umleitung
  • Der Sender ändert sich bei einer Weiterleitung

Wer also allein über das Messagetracking solche Mails ermitteln will, kann nach den Events der Quelle "MAILBOXRULE" suchen. Dieser Event enthält auch die MessageID der ersten Mail im Feld "Reference". Hier ein Auszug:

RunspaceId              : 5fc38621-2344-4235-9110-fac5c8bf37a3
Timestamp               : 2/2/2016 8:43:25 PM
ClientIp                :
ClientHostname          :
ServerIp                : fe80::7cb4:b0b3:2e04:1c43%12
ServerHostname          : EXHUB01
SourceContext           : 6723627334584
ConnectorId             :
Source                  : MAILBOXRULE
EventId                 : RECEIVE
InternalMessageId       : 1479602
MessageId               : <6dd51fc10c41481f36dc94983@EXHUB01.example.com>
Recipients              : {ZielB@example.com}
RecipientStatus         : {Unknown}
TotalBytes              : 33018
RecipientCount          : 1
RelatedRecipientAddress :
Reference               : {<e5c24116092206dc5651e3b@msxfaq.net>}
MessageSubject          : TEST Weiterleitung
Sender                  : absender@msxfaq.net
ReturnPath              : ZielA@example.com
MessageInfo             : 03A:
MessageLatency          :
MessageLatencyType      : None
EventData               :

Wer es also genauer haben will, muss sich dann über die "Reference" die Daten der originalen Mail ermitteln. Hier ist dann abzuwägen, ob eine Auswertung erst alle diese Events sammeln um dann mit vielen weiteren Anfragen die dazugehörigen Mails sucht oder ob es nicht doch schneller ist einfach das Messagetracking durchzulaufen, wenn man eh noch weitere Daten ermitteln will.

Weitere Links