Weiterleitungen
Diese Seite beschäftigt sich mit den Besonderheiten einer Umleitung von Mails an eine neue Zieladresse. Eine normale Mail wird von einer Person ein eine oder mehrere andere Personen gesendet. Die Mailadresse und entsprechende MX-Records dienen dabei zum Routing. Beim Betrieb von Exchange hat sich zudem ein klares Prinzip bewährt:
Ein Benutzer = Ein Postfach
Exchange ist ja in jeder Hinsicht erreichbar und wenn ein Anwender nicht mit Outlook und ActiveSync arbeiten kann, dann könnte der Zugriff per Browser (OWA) eine Alternative sein. Wenn auch das nicht reicht, dann kann sogar per IMAP4 oder notfalls per POP3 das Postfach gelesen werden. Selbst Zugriffe per EWS oder REST-API sind möglich. Dennoch lässt sich dies nicht immer durchhalten, da manchmal Funktionen gefordert werden, die eine Weiterleitung an ein anderes Postfach oder sogar eine externe Mailadresse erfordern.
Achtung
Angeblich kann man in einem Office 365 Tenant maximal 200 Weiterleitungen nach extern einrichten oder Microsoft blockt Weiterleitungen, wenn es zu viele externe Empfänger gibt.. Das ist bei
Migrationen zu beachten, wenn Sie der Benutzer schon im Ziel arbeitet und Sie Mails an dan Quellpostfach ins Ziel umleiten.
All you need to know about automatic
email forwarding in Exchange Online
https://techcommunity.microsoft.com/t5/exchange-team-blog/all-you-need-to-know-about-automatic-email-forwarding-in/ba-p/2074888
Gründe für eine Weiterleitung
Hier ein paar Beispiele, für welche eine Weiterleitung genutzt werden könnte aber auch gleich einige Hinweise, wie diese Funktion vielleicht besser oder sicherer abgebildet werden kann. Die Erläuterung der Vorschläge finden Sie weiter unten:
- Weiterleitung intern an Stellvertreter in der Organisation
Die kann erforderlich sein, wen ein Mitarbeiter ausscheidet oder längere Zeit abwesend ist und die Beantwortung von Mailanfragen sicher stellen muss. Allerdings kann dies vermieden werden, wenn von vorneherein mit Funktionspostfächern gearbeitet wird. Alternativ gibt es Programme, die auf dem Server laufen und gezielt noch nicht gelesene Nachrichten in Postfächern suchen und entsprechend eskalieren.
Der Anwender kann über eine Posteingangsregel dies einrichten.
Der Administrator kann einen alternativen Empfänger für alle Mails beim Postfach einrichten. - Externes Postfach zum Abruf aus dem Internet
Manchmal behilft sich eine Firma derart, dass ein Mitarbeiter auf Reisen oder von Zuhause nicht auf den Exchange Server zugreifen darf und daher alle Mails an sein Postfach an ein externes Konto bei einem Dienstleister (z.B.: GMX, HOTMAIL etc.) weiter geleitet wird. Allerdings gibt es hierbei dann keine Synchronisation und Achtung, dass Sie nicht das gleiche externe Postfach mit einem POP3 Sammler einsammeln. Dann ist die Schleife perfekt.
Der Anwender kann über eine Posteingangsregel dies einrichten. Hierbei muss ein automatisches Weiterleiten dann diese Domäne oder global durch den Administrator erst frei geschaltet werden.
Der Administrator kann einen Kontakt als alternativen Empfänger für alle Mails beim Postfach einrichten. - Weiterleitung für externe Mitarbeiter an eigentliches Postfach
Wenn Sie externe Kräfte beschäftigen, dann erhalten diese oft ein Konto und ein Postfach. Diese Person hat aber eigentlich ein primäres Postfach bei seiner eigenen Firma. Über eine Weiterleitung können Sie daher sicherstellen, dass Nachrichten an das Postfach bei ihnen so weiter gegeben werden, dass der externe Mitarbeiter diese auch dann noch lesen kann, wenn er nicht bei ihnen vor Ort arbeitet. Gerade externe Mitarbeiter, die für mehrere Kunden arbeiten, werden nicht täglich zu jedem Kunden eine Verbindung aufbauen und nach neuer Mail schauen. - Weiterleitung zu einem Dienstleister
Es kann eine Aufgabenstellung sein, dass ein internes System eine Meldung an einen Dienstleister versendet. Natürlich könnte solch ein System komplett für die Funktion "RELAY" frei geschaltet werden. Nur würde dann ein Wurm auf dem Server ebenfalls vollen Zugriff haben. Es ist sicher besser, einfach bestimmte Zieladressen als "erreichbar" zu definieren und bei bedarf auch wieder umstellen zu können. - Weiterleitung an Mobilgerät
Mobilität ist trumpf und nichts liegt näher, als jede neue Mail auch unterwegs zu lesen. Wenn Sie nun nicht Lösungen wie Blackberry oder Exchange ActiveSync Server einsetzen, dann könnte eine Weiterleitung auf eine mobile Mailadresse eine Lösung darstellen. Viele Mobilfunkhersteller erlauben den Versand einer Mail auf ein Mobiltelefon per SMS (Siehe SMS) oder betreiben eigene Server, die die Anbindung mit Blackberry etc. erlauben. - Weiterleitung der gesamten Domäne
Als Hoster könnten Sie natürlich die Anforderung stellen, dass alle Mail für ihre Kunden bei ihrem Exchange Server landen und an den Kunden weiter geleitet werden. Dieses Szenario ist z.B. der Fall, wenn ihr Exchange Server als "Backup-MX" arbeiten soll - Weiterleitung von nicht lokalen Empfänger einer Domäne
Eine Besonderheit ist die selektive Weitergabe von Nachrichten an nicht lokale Empfänger, d.h. es kann sein, dass einige Empfänger ein Postfach in ihrer Exchange Organisation haben und weitere Empfänger auf einem anderen System angelegt sind. Auch hier kann entweder mit Weiterleitern oder über ein so genanntes Domain Sharing arbeiten.
Sie finden sicher noch viele andere Gründe, eine Weiterleitung oder Umleitung einzustellen.
Umleitung ist nicht Weiterleitung
Um den Unterschied zu verstehen, muss ich kurz erklären, was der Unterschied zwischen einer Umleitung und einer Weiterleitung ist. Eine Mail von Absender A zum Empfänger b kann über zwei Varianten bei Empfänger C ankommen.
- A->B wird weitergleitet als B- >C hier sieht der Empfänger in C aber nicht mehr die original e Absenderadresse
- A->B wird weitergleitet als A- >C hier sieht der Empfänger in C die originale Absenderadresse
Allein die Änderung der Zieladresse hat natürlich Auswirkungen auf die Lesbarkeit der Mail, wenn diese z.B. per PGP, SMIME oder RMS gesichert ist. Ob dann Empfänger C die Mail lesen kann, steht auf einem anderen Blatt. Auch die Änderung der Absenderadresse im Fall 1 gewirkt, dass z.B. eine digitale Signatur (SMIME/PGP) bricht. In den Outlook Regeln ist dies schon zu sehen:
Ehe Sie nun gleich die Option "Umleitung" als „ideal“ einrichten, müssen Sie hier berücksichtigen, dass sich dann der Server von Empfänger B als „Empfänger A“ als Absender ausgibt. Gerade in Zeiten von SPF und DKIM müssen hier weitere Maßnahmen umgesetzt werden, damit die Mail tatsächlich auch vom Server des Empfänger-C angenommen wird. Wird die Mail hingegen „weiter geleitet“, dann wird der Absender ersetzt und die Spamfilter sind sehr viel entspannter. Ob das dem Empfänger-C aber gefallen wird, da er den Absender nicht mehr sofort sieht und vor allem auch nicht einfach darauf antworten kann, sei dahin gestellt. Daher ist eine „Umleitung“ in der Regel interessanter.
Probleme und Risiken
All diese Weiterleitungen haben aber einige sehr schwerwiegende Probleme und Risiken, die Sie genau bedenken sollten.
- Duplikate
Das generelle Problem von Weiterleitungen ist, dass die Mail meist dupliziert wird. Wenn Personen daher derart zwei Postfächer betreiben und in einem Postfach eine Mail lesen oder löschen, dann ist in dem zweiten Postfach diese Mail nicht gelöscht oder als gelesen markiert. Sehr schnell wird dann die Anforderung kommen, ob dies nicht aus möglich ist, d.h. dass die Mails im zweiten Postfach analog zum Hauptpostfach gelöscht werden. Dies ist dann aber wieder eher eine Synchronisation, die von Hause aus nicht möglich ist. Prüfen Sie in solch einem Fall, ob Sie nicht wieder zum "Ein Benutzer = ein Postfach" zurückkehren und den Mitarbeitern einfach den Zugriff auf ihr einziges Postfach über verschiedene Wege erlauben. Es ist meist immer sicherer, wenn die Mails an einem Ort in der Firma liegen, statt eine Kopie davon auf ihnen unbekannten öffentlich zugänglichen Servern liegen. - Unsicherheit weiterer Weiterleitungen
Da die Mail auf einem anderen nicht unter ihrer Kontrolle stehenden Postfach liegen, können Sie nicht sicher sein, dass auf dem zweiten Postfach nicht noch eine Weiterleitung an ein drittes Postfach stattfindet oder andere Personen mit in das Postfach schauen. Insofern sollten Sie genau prüfen, ob eine Weiterleitung wirklich gewünscht ist. - Mehrfachquittungen
Ich schreibe eine Mail als Einschreiben (Gelesen und Übermittel Quittung wird angefordert) an ein Postfach. Diese Zustellung wird quittiert. Aber oft wird auch die Weiterleitung und die Zustellung beim zweiten Postfach erneut quittiert. Das kann beim Absender zu Verwirrung führen und gibt nach Außen bekannt, dass die Mails weiter geleitet werden. - Stellvertreter
Eine Weiterleitung verarbeitet meist nur neue Nachrichten an den Empfänger. Wird nun innerhalb der Exchange Organisation die Funktion der Stellvertreter mit Outlook genutzt, dann werden Änderungen durch den Stellvertreter, ( z.B. neuer Termin, neue Aufgabe etc.) nicht weiter geleitet. Der Mitarbeiter erhält im zweiten Postfach daher nur eine Teilmenge der Informationen. - Loops
Weiterleitungen sind ideale Voraussetzungen für Endlosschleifen. Wenn zwei Weiterleitungen sich gegenseitig die Mails zusenden und dabei immer neue Nachrichten erstellen, dann kann kein System diese Schleife zuverlässig erkennen und unterbrechen. Es ist nur eine Frage der Bandbreite und Festplattenkapazität, bis die Funktion ihres Mailsystems nicht mehr gegeben ist. - Absenderadresse ?
Ein häufig übersehener Sachverhalt ist die Frage der Absenderadresse. Wenn Sie eine Mail in ihrem Postfach erhalten und darauf antworten, dann ist die Absenderadresse meist identisch mit der Adresse, unter der Sie erreicht werden. Wenn Sie aber nun mit dem Postfach des Weiterleitungsziels arbeiten, dann ist ihre Absenderadresse meist die Adresse dieses Postfachs. Einige Absender sind irritiert, wenn Sie auf eine Mail an Benutzer1 eine Antwort von Benutzer2 erhalten. - Signierung und Verschlüsselung
Immer mehr Mails werden signiert oder verschlüsselt. Über die Weiterleitung erhalten Sie zwar die Mail aber Sie müssen selbst dafür sorgen, dass Sie ihren Key für die Dechiffrierung dabei haben. Dieser "Private Key" ist in ihrem Netzwerk sicher gut aufgehoben, aber Sie sollten sehr sorgfältig damit umgehen, wenn Sie ihre Mails auf anderen Systemen lesen. - Extra Traffic
Nicht zu vergessen ist, dass jede weiter geleitete Mails den Datenverkehr diesbezüglich verdoppelt.
Aus all diesen Punkten ist unschwer zu erraten, dass ich kein Freund von Weiterleitungen bin, die eigentlich nur einen falschen Ansatz der Herangehensweise zeigen. Ich muss nicht weiterleiten, wenn ich mit Stellvertretern oder Funktionspostfächern arbeiten kann oder den Zugriff auf mein Postfach über verschiedene Wege anbiete. Exchange kann alles und damit viel mehr als viele POP3-Server im Internet, die meist das Ziel einer Weiterleitung sind. Vielleicht sollten Sie einfach nur überlegen, wie Sie einen Zugriff der Mitarbeiter auf die Postfächer zulassen, anstelle durch ein kleines Loch eine große nicht direkt sichtbare Lücke zu reißen. Nicht umsonst sind die Funktionen für automatische Regeln und Abwesenheitsassistenten bei Exchange 2000/2003 deaktiviert.
Aber wenn Sie nun doch die Nachrichten an einige Empfänger weiter geben müssen, dann können Sie eine Vielzahl von Optionen nutzen.
Spamschutz und Relay bei Weiterleitungen
Knifflig wird es mit Exchange und anderen Systemen immer dann, wenn das Ziel nicht innerhalb des gleichen Mailverbunds ist, sondern wieder nach extern geht. Dann verlässt die Mail das eigene System an eine neue Zieladresse aber die Frage der Absenderadresse ist dabei natürlich nicht zu vernachlässigen. Wenn hier der Absender nämlich der „originale Absender“ der Mail ist, dann gibt es gleich mehrere Herausforderungen
- Eigener Relayschutz/Spamfilter
Wenn ich weiß, welche SMTP-Domänen von mir bedient werden, dann möchte ich ausgehend verhindern, dass ein falsche konfiguriertes System mit einer ungültigen oder sogar fremden Mailadresse etwas versendet. Damit schütze ich meinen ausgehenden Mailserver und die Reputation meiner IP-Adresse. - Eingehender Spamfilter beim Ziel
Aber auch beim Empfänger wird heute immer ein Spamfilter aktiv sein, der genau hinschaut, welcher Absender hier von welcher Source-IP verwendet wird. Und wenn die Domäne des Absender z.B. per SPF sogar ihre „legitimen“ Mailserver veröffentlicht, dann wird es für mich schwer mit eine Mailadresse aus einer solchen externen Domäne zu versenden.
Das ist genau die Aufgabe von SPF, eben solchen „Missbrauch“ einer fremden Domäne als Absender zu verhindern und zugleich ist dies auch der Tod einer jeder Umleitung. Eine Weiterleitung mit der Absenderadresse des Weiterleitenden hingegen ist unproblematisch aber bei finalen Ziel mit der Einschränkung verbunden, dass der originale Absender nicht mehr zu sehen ist.
Ich habe das in drei Beispielen noch einmal beschrieben:
Bild | Beschreibung |
---|---|
|
Mail von A->B1 wird von B1 nach C
weitergeleitet |
|
C antwortet auf die Mail von A mit
Absenderadresse B1 |
|
Antwort auf eine Mail von B2 an B1,
die an C weiter geleitet wurde |
Sie sehen also dass auch hier verschiedene Probleme auftreten können, wenn Sie eine Mail an ein andere Postfach außerhalb ihrer Organisation weiterleiten.
AD-Felder mit Exchange
Exchange kennt gleich mehrere Möglichkeiten eine Mail an ein Postfach umzuleiten. Das kann durchaus verwirrend sein. Hier die LDAP-Felder, wie sie gesetzt werden können und eine Beschreibung
AD-Feld | Exchange Powershell | Beispielwert | Beschreibung |
---|---|---|---|
altrecipient |
Set-Mailbox -ForwardingAddress fctest6 |
cn=fctets6,ou=firma ,dc=msxfaq,dc=net |
Diese Feld nutzt den DN zu einem anderen Active Directory Postfach oder Kontakt, um die Mails weiter zu leiten. Wenn ich mich recht erinnere, gab es das Feld schon bei Exchange 5.0-Zeiten. |
msexchgenericforwardingaddress |
Set-Mailbox -ForwardingSmtpAddress user1@msxfaq.net |
smtp:user1@msxfaq.net |
Dies Feld nimmt direkt eine SMTP-Adresse auf um Mails umzuleiten. Da es aber nicht die "TargetAddress" ist, stört das z.B. nicht die Autodiscover-Funktion. Das Feld gib es wohl seit Exchange 2003 im Schema |
TargetAddress |
Set-ADUser ... Set-RemoteMailbox -RemoteRoutingAddress <ProxyAddress>s |
"SMTP:user@extern.tld" |
Das Feld TargetAddress habe ich schon gesondert beschrieben und sorgt dafür, dass die Mail immer die eigene Exchange Organisation Richtung Ziel verlässt. Sie ist unersetzlich für Migrationen und den Exchange Hybrid Mode mit Exchange Online. Per Exchange Powershell kann eine Mailbox aber nicht derart konfiguriert werden. |
deliverandredirect |
Set-Mailbox -DeliverToMailboxAndForward $true |
true oder false |
Hiermit wird die Wirkung von "altrecipient" und "msexchgenericforwardingaddress" gesteuert aber nicht der Targetaddress. Das Feld kann auch "true" sein obwohl keine Weiterleitung gesetzt ist. |
Bei der ganzen Liste ist natürlich interessant, wie die Reihenfolge sortiert ist. Eine Anleitung von Microsoft habe ich nicht gefunden aber die ein oder andere Fehlermeldung gibt Hinweise, so dass ich folgenden Reihenfolge entwickelt habe:
- TargetAddress (durch ADSync zu EXO
geschrieben)
Wenn diese Feld gesetzt ist, dann werden die Mails direkt an diese SMTP-Adresse außerhalb der lokalen Organisation gesendet. Ideal für Migrationen, Koexistenz. - altrecipient (durch ADSync zu EXO
geschrieben, kann aber in EXO geändert
werden)
Dies war wohl das erste Feld für Weiterleitungen durch den Administrator und wird von Exchange als nächstes evaluiert. Die Einstellung von "deliverandredirect" wird beachtet. - msexchgenericforwardingaddress (Nicht in
ADSync)
Dies Feld ist jünger und wird als letztes evaluiert. Die Einstellung von "deliverandredirect" wird beachtet
Folgende Fehler habe ich bei der Konfiguration dazu schon gefunden:
- altrecipient und
msexchgenericforwardingaddress gesetzt
Man kann tatsächlich beide Felder setzen. Aber Exchange beschwert sich, dass "msexchgenericforwardingaddress" erst aktiv wird, wenn "altrecipient " geleert wird.
Set-Mailbox user1 -ForwardingSmtpAddress user2@msxfaq.net WARNING: Before your forwarding settings can take effect, you need to contact your helpdesk and ask them to turn off the forwarding your administrator previously set.
- Konflikt altrecipient und TargetAddress
Durch einen Fehler im Provisioning habe ich einmal eine RemoteMailbox gehabt, bei der die On-Premises "Remote Mailbox" neben der TargetAddress zusätzlich noch das Feld "altrecipient" gepflegt war. Das ist nicht erlaubt, da bei einer RemoteMailbox alle Mails immer in die Cloud müssen. Beim "Set-Remote" gibt es zurecht die Parameter "ForwardingSmtpAddress" und "ForwardingAddress" nicht. Interessant war die Fehlermeldung bei einem Zustellversuch über die On-Premises Umgebung.
Remote Server returned '550 5.2.14 RESOLVER.FWD.NotFound; misconfigured forwarding address'
Es gibt sicher noch andere Konflikte, die ich bei Gelegenheit addieren werden. Als generischen Test kann man aber festhalten
Es sollte nie mehr als ein Feld gleichzeitig gefüllt sein.
- ForwardingSmtpAddress
- TargetAddress
- Set-Mailbox
https://docs.microsoft.com/de-de/powershell/module/exchange/mailboxes/set-mailbox?view=exchange-ps - Set-RemoteMailbox
https://docs.microsoft.com/en-us/powershell/module/exchange/federation-and-hybrid/set-remotemailbox?view=exchange-ps - ms-Exch-Forwarding-Address Attribute
https://docs.microsoft.com/en-us/previous-versions/office/developer/exchange-server-2003/ms980520(v%3Dexchg.65)
Wie kann ich weiterleiten ?
Mit Exchange und Outlook gibt es eine Vielzahl von Optionen, eine Nachricht an einen anderen Empfänger weiter zu leiten. Verwechseln Sie dies nicht mit der Funktion eines Stellvertreter mit Outlook. Folgende Optionen mit den aufgeführten Einschränkungen bestehen:
So geht es | Hier wird es eingestellt | Funktionsweise bzw. was geht nicht |
---|---|---|
Mailbox aktivierter Benutzer im Active Directory mit Regel im Postfach |
Der Anwender selbst kann eine Regel in seinem Postfach anlegen, die alle Mails an diese Postfach an eine andere Adresse versendet. Hierzu dient der Outlook Regel Assistent:
|
Solche Regeln funktionieren aber in der Regel nur innerhalb einer
Organisation. Der Versand an beliebige externe Adressen ist per
Default unterbunden und kann vom Administrator aber pro Domäne oder
Global frei geschaltet werden.
Achtung: Quittungen werden nie weiter geleitet ! |
Mailbox aktivierter Benutzer im Active Directory mit alternativem Empfänger |
Der Administrator kann beim Postfach direkt einen alternativen Empfänger eingeben.
Bei Exchange 2013/2016/2019/Online können Sie dies unter /ECP hier einstellen
Recipients > Mailboxes > Edit Mailbox > Delivery Options In der neuen Exchange Online Verwaltung finden Sie es hier:
Interessant: Sie können hier nur Postfächer auswählen. Per Powershell dürfen es u.a. auch Verteiler sein. |
Dazu ist es aber erforderlich, dass im AD ein weiterer Kontakt angelegt wird, der dann auf das andere Postfach verweist. Dazu eignet sich am besten ein Mailaktivierter Kontakt, der bei Bedarf danach verborgen wird. |
Mailaktivierter Benutzer im Active Directory |
Ein Benutzer muss kein Postfach haben, sondern kann auch nur "Mail enabled" werden. Sie tragen dann die externe Adresse ein. Über den RUS bekommt er zusätzlich die Firmenadressen.
|
Eine Mail an diesen Empfänger wird an die eigentliche Adresse weitergeleitet. Es ist dabei unerheblich, an welche der Proxyadressen die Mail gerichtet ist. Exchange wird diese Mails an die primäre Adresse des mailaktivierten Benutzers weiter leiten. Einschränkungen sind über die Empfangsbeschränkungen möglich. Über diesen Weg kann ein Anmeldekonto in ihrem Active Directory auch in ihrer Exchange Organisation als Mailempfänger genutzt werden, ohne dass das Postfach in der Organisation selbst liegen muss. Das Konto kann auch für interaktive Anmeldungen genutzt werden. |
Mailaktivierter Kontakt im AD |
Auch ein Kontakt kann "Exchange aktiviert" sein. Sie tragen dann die externe Adresse ein. Über den RUS bekommt er zusätzlich die Firmenadressen.
|
Eine Mail an diesen Kontakt wird an die eigentliche Adresse weitergeleitet. Auch wenn die Mail von Extern kommt !! Es ist dabei unerheblich, an welche der Proxyadressen die Mail gerichtet ist. Exchange wird diese Mails an die primäre Adresse des Kontakts weiter leiten. Einschränkungen sind über die Empfangsbeschränkungen möglich. Über diesen Weg kann ein externer Anwender in ihrem Active Directory auch in ihrer Exchange Organisation als Mailempfänger genutzt werden, ohne dass das Postfach in der Organisation selbst liegen muss. Das Konto kann aber nicht für interaktive Anmeldungen genutzt werden. |
SMTP-Connector und nicht autoritative Domäne |
Über die Empfängerrichtlinien können Sie Exchange anweisen nicht allein für eine Domäne zuständig (autoritativ) zu sein. Über einen passenden SMTP-Connector mit Adressraum können Sie dann steuern, wo hin diese nicht innerhalb der Organisation zustellbaren Mails geleitet werden.
|
Ihr Exchange wird damit zu einem Durchlaufsystem, bei der Mails an
lokale Adressen zugestellt werden und unbekannte Adressen an ein z.B.
nach geschaltetes System übermittelt werden. Achten Sie darauf, dass die Mails von dort nicht wieder über das Internet oder den MX-Eintrag bei Exchange landen, da Sie sonst eine Schleife haben. Auch Spam Mails an unbekannte Empfänger kann Exchange bei einer solchen Konfiguration nicht beim Empfang ablehnen und belasten ihr System. |
SMTP-Einstellungen für "unbekannte Benutzer |
Auch beim virtuellen SMTP-Server können Sie einen Server angeben, an den nicht auflösbare Mails zugestellt werden.
|
Dieser Weg ist weiter vorhanden, weil der Windows SMTP-Server diese Funktion bietet. Mit Exchange sollte Sie aber nicht genutzt werden und statt dessen mit nicht autoritativen Domänen oder Kontakten gearbeitet werden. |
Weiterleiten einer gesamten Domäne |
Richten Sie einen SMTP-Connector mit dem entsprechenden Adressraum und dem Zielsystem ein und aktivieren Sie das Kreuz "Relay für diese Domäne"
|
Jede Mail, die bei einem ihrer Exchange Server ihrer gesamten Organisation für diese Domäne ankommt, wird angenommen und entsprechend der Konfiguration im SMTP-Connector an das Zielsystem weiter geleitet. Diese Einstellung hebt sogar die "Empfängerfilterung" der virtuellen SMTP-Server auf. Die Einstellung, wie die Mails z.B. zum Kunden zugestellt werden, erfolgen ebenfalls im SMTP-Connector. |
Ich hoffe ich habe durch die Vielzahl der Möglichkeiten nun die Verwirrung nicht erhöht, sondern ihnen geholfen, die richtige Weiterleitung für ihren Einsatzzweck zu finden.
Umleitung und SPF/DKIM
SPF würde jede Umleitung verhindern. Aber natürlich haben die Autoren der RFC auch daran gedacht und so gibt es Möglichkeiten mit Umleitungen umzugehen. Zum einen müssen Sie sich bewusst machen, was SPF genau überprüft. Bei einer Mail gibt es durchaus mehrere „Absender“.
- MAIL FROM (Envelope)
- From (Header)
- Sender (Header)
Beim Empfänger gibt es ebenfalls mehrere Felder:
- RCPT TO (Envelope)
- TO, CC, BCC (Header)
Die Mailserver selbst nutzen für das Routing der Mails ausschließlich die „MAIL FROM“ und die „RCPT TO“-Zeilen, die aber der Absender und Empfänger so nie zu sehen bekommt. Ein SPF und DKIM-Validator kann aber neben diesen beiden Feldern auch noch die Information aus dem Header der Mail heranziehen und sogar die „HELO“-Meldung des einliefernden Servers mit auswerten.
Zudem steht SPF nicht alleine, sondern wird was immer im gleichen Satz mit DKIM genannt. Das Ziel dieser beiden Verfahren ist nämlich die Legitimierung eines Absenders anhand einer Domain aber auch anhand des Servers. Als Absender einer Mail habe ich ja nicht immer die komplette Kontrolle, über welche Relay-Stationen meine Mail geführt wird. Mit SPF kann ein System aber nur das direkt einliefernde System verifizieren. Interessant wird es, wenn die Mail schon beim ersten Absender „signiert“ wird und diese Signatur auch bei Weiterleitungen erhalten und gültig bleibt. Und genau das ist die Aufgabe von DKIM.
Weiterleitung und Exchange Message Tracking
Natürlich ist es auch im Exchange Message Tracking sichtbar, wenn ein Anwender per Outlook regel eine Mail weiterleitet oder umleitet. Für die Analyse sind folgende Felder besonders interessant:
- Sender
Das ist der "Absender" der Mail, die auch der Empfänger sieht - Recipients
Hier stehen die Empfänger der Mail drin - ReturnPath
An diese Adressen gegen eventuelle Rückantworten.
Interessant ist an diesen Feldern, wie sich der Inhalte durch die Weiterleitung bzw. Umleitung verändert. Die EventIDs und die Source sind im Ablauf in beiden Fällen gleich:
EventId Source ------- ------ RECEIVE SMTP DELIVER STOREDRIVER RECEIVE MAILBOXRULE DELIVER STOREDRIVER
Station | Umleitung | Weiterleitung |
---|---|---|
Empfang |
Sender: Absender@msxfaq.net |
Sender: Absender@msxfaq.net |
Nach Regel |
Sender: Absender@msxfaq.net |
Sender: ZielA@example.com |
Bemerkung |
|
|
Wer also allein über das Messagetracking solche Mails ermitteln will, kann nach den Events der Quelle "MAILBOXRULE" suchen. Dieser Event enthält auch die MessageID der ersten Mail im Feld "Reference". Hier ein Auszug:
RunspaceId : 5fc38621-2344-4235-9110-fac5c8bf37a3 Timestamp : 2/2/2016 8:43:25 PM ClientIp : ClientHostname : ServerIp : fe80::7cb4:b0b3:2e04:1c43%12 ServerHostname : EXHUB01 SourceContext : 6723627334584 ConnectorId : Source : MAILBOXRULE EventId : RECEIVE InternalMessageId : 1479602 MessageId : <6dd51fc10c41481f36dc94983@EXHUB01.example.com> Recipients : {ZielB@example.com} RecipientStatus : {Unknown} TotalBytes : 33018 RecipientCount : 1 RelatedRecipientAddress : Reference : {<e5c24116092206dc5651e3b@msxfaq.net>} MessageSubject : TEST Weiterleitung Sender : absender@msxfaq.net ReturnPath : ZielA@example.com MessageInfo : 03A: MessageLatency : MessageLatencyType : None EventData :
Wer es also genauer haben will, muss sich dann über die "Reference" die Daten der originalen Mail ermitteln. Hier ist dann abzuwägen, ob eine Auswertung erst alle diese Events sammeln um dann mit vielen weiteren Anfragen die dazugehörigen Mails sucht oder ob es nicht doch schneller ist einfach das Messagetracking durchzulaufen, wenn man eh noch weitere Daten ermitteln will.
Weitere Links
-
Get-ForwardingRules
Bericht über Regel mit Weiterleitungen/Umleitungen erstellen - ForwardingSmtpAddress
- Verteiler und SPF/DKIM/DMARC
- Tools: AltRecipient
- SMTP-Relay
- MailMig
- Limits, oder wie kann ich Grenzen setzen
- Schadenspotential
- Regeln
- Out of Office
- Relay bei Internet Mail
- Internet Mail Connector 200x
- Envelope und Header
- Exchange und dynamischem DNS
- Empfängerrichtlinien
- RTFMAIL und WINMAIL.DAT
- Google blockt ct.de wegen Microsoft? - Google nimmt keine Mails von ct.de an und verweist auf Microsoft - Eine Analyse
-
All you need to know about automatic email forwarding in Exchange
Online
https://techcommunity.microsoft.com/t5/exchange-team-blog/all-you-need-to-know-about-automatic-email-forwarding-in/ba-p/2074888 - 259343 XADM: Events 2028 and 290 from Messages Sent by a Public Folder
- 249796 XGEN: Outlook Rule Creates Message Loop in Information Store