de-DEen-GB
rss

Granikos Technology Blog

Thomas Stensitzki | MVP
Thomas Stensitzki | MVP

MVP LogoThomas Stensitzki is a leading technology consultant focusing on the Microsoft messaging and collaboration technologies and the owner of Granikos GmbH & Co. KG.

He is an MVP for Office Apps & Services since 2018.

Thomas is an MCT Regional Lead for Germany and delivers Microsoft Learning training courses for Office 365, Microsoft Teams, and Exchange Server.

He holds Master certifications as Microsoft Certified Solutions Master Messaging and as Microsoft Certified Master for Exchange Server 2010. His experience makes him a subject matter expert for any messaging topic related to Microsoft Exchange, Exchange Online, Office 365, and Hybrid configurations.

Podcast #MVPbuzzChat with Thomas Stensitzki

Follow Thomas on LinkedIn or Twitter

His sessions: https://sessionize.com/thomas-stensitzki

MVP Blog: https://blogs.msmvps.com/thomastechtalk
Personal blog: http://justcantgetenough.granikos.eu
Personal website: http://www.stensitzki.de 
Thomas' Tech Talk: youtube.com/ThomasStensitzki

Contact Thomas at thomas@mcsmemail.de

 

Letzte Aktualisierung: 2017-02-08


Die E-Mail Gateway Lösung NoSpamProxy von Net at Work ist seit Kurzem als NoSpamProxy Azure Edition im Azure Marketplace verfügbar. Somit kann NoSpamProxy auch dann für den Schutz der E-Mail Kommunikation eingesetzt werden, wenn keine eigenen IT-Systeme für den Betrieb von NoSpamProxy zur Verfügung stehen.

Die in NoSpamProxy Azure integrierte Möglichkeit zur Anbindung von Office 365 bietet eine einfache und kostengünstige Möglichkeit zur zentralen Ver-und Entschlüsselung von E-Mails und zur sicheren Spamabwehr.

Das aktuell verfügbare Paket installiert eine Single-Server Variante, bei der die NoSpamProxy Intranet-Rolle und die Gateway-Rolle auf einem System kombiniert betrieben werden.

Die NoSpamProxy Azure Edition wird als BYOL (Bring Your Own License) System bereitgestellt und erfordert neben den Betriebskosten in Microsoft Azure den Erwerb einer NoSpamProxy Lizenz. Eine bereits vorhandene Lizenz für die aktuelleste NoSpamProxy Version kann bei einer Migration zu Microsoft Azure weiter verwendet werden.

 

Inhaltsübersicht

Betriebsmöglichkeiten
Hinweise
Bereitstellung
Links

 

Betriebsmöglichkeiten

NoSpamProxy Azure kann auf unterschiedliche Weise in Microsoft Azure betrieben werden. Das System wird standardmäßig als Workgroup System und somit ohne eine AD-Mitgliedschaft in Microsoft Azure bereitgestellt. Die einzelnen Betriebsmöglichkeiten von NoSpamProxy Azure leiten hauptsächlich dadurch ab, ob zwischen der eigenen IT-Infrastruktur und Microsoft Azure ein Site-2-Site VPN besteht oder nicht.

  • Ohne Site-2-Site VPN zu Microsoft Azure
     
    • Ein lokaler E-Mail Server (z.B. Exchange Server oder SmarterMail) nutzt NoSpamProxy Azure als externen Relay Server für ausgehende E-Mail Nachrichten, eingehende E-Mail Nachrichten werden von NoSpamProxy Azure über das Internet an den lokalen E-Mail Server weitergeleitet.
       
    • Manuelle Pflege der unternehmensinternen E-Mail Adressen mit Hilfe einer Textdatei – Automatischer Import der Textdatei durch NoSpamProxy Azure
      Diese Variante ist nur empfehlenswert, wenn die Anzahl der zu verwaltenden E-Mail Adresse überschaubar ist, da alle Adressen in einer Importdatei gepflegt werden müssen.
       
    • Optimal für Office 365 Kunden, die Benutzerkonten und E-Mail Postfächer nur in Office 365 pflegen, kein lokales Active Directory nutzen
      Die für NoSpamProxy Azure erforderliche Importdatei kann durch einen Export aus Office 365 einfach erstellt werden.
       
    • Einschränkung des RDP Zugriffes auf das NoSpamProxy Azure System auf eine externe IP-Adresse des Unternehmensnetzwerkes.
       
  • Mit Site-2-Site VPN zu Microsoft Azure
     
    • Ein lokaler E-Mail Server (z.B. Exchange Server oder SmarterMail) nutzt NoSpamProxy Azure als internen Relay Server für ausgehende E-Mail Nachrichten, eingehende E-Mail Nachrichten werden von NoSpamProxy Azure über das Site-2-Site VPN an den lokalen E-Mail Server weitergeleitet.
       
    • Automatischer Import der unternehmensinternen E-Mail Adresse aus einem LDAP Verzeichnis (z.B. Active Directory)
      Dies Variante vereinfacht die Verwaltung, da im LDAP Verzeichnis erstellte Benutzer automatisch in NoSpamProxy importiert werden.
       
    • Optimal für Office 365 Kunden, die Benutzerkonten in einem lokalen LDAP Verzeichnis pflegen und eventuell sogar eine Office 365 Hybrid-Konfiguration nutzen
       
    • Einschränkung des RDP Zugriffes auf das NoSpamProxy Azure System aus dem internen Netzwerk.

Aktuell wird eine direkte Anbindung an Azure AD nicht unterstützt, ist aber in Planung.

 

Hinweise

  • Der Azure Service für das NoSpamProxy Azure System erfordert eine Reverse-DNS Konfiguration, damit externe SMTP Server eine Reverse-DNS Prüfung erfolgreich durchführen können. Einen Link zur Reverse-DNS Konfiguration in Azure finden Sie in unter Links.
     
  • Der Name für das NoSpamProxy Azure System sollte nicht der internen IT Namenskonvention entsprechen, da der Service-Name extern auflösbar ist.

Je nach ausgewählter Azure VM können unterschiedliche Datendurchsätze hinsichtlich der verarbeiteten E-Mails pro Minute erreicht werden.

Lasttests auf Basis von Standard A Maschinen haben folgendes Ergebnis gebracht:

Größe CPU Cores Arbeitsspeicher E-Mails/Minute
Standard A1 1 1,75 100
Standard A2 2 3,5 200
Standard A3 4 7 300
Standard A4 8 14 300

 

Bereitstellung

Die nachfolgenden Schritte beschreiben die einfache Bereitstellung von NoSpamProxy Azure.

NoSpamProxy Azure Edition im Microsoft Azure Marketplace

Suchen Sie im Azure Marketplace nach NoSpamProxy und wählen Sie die NoSpamProxy Azure Edition aus.

Klicken Sie auf Create, um das NoSpamProxy Azure System zu konfigurieren.

NoSpamProxy Azure System  - Basics

Konfigurieren Sie die Parameter für

  • Name
    Name des Systems, dieser Name wird im Azure DNS eingetragen und ist somit extern auflösbar.
  • VM disk type
    Bei Auswahl von SSD muss in einem nachfolgenden Schritt auch ein Azure VM Typ ausgewählt werden, der SSD unterstützt.
  • User name, Password
    Benutzername des lokalen Administratorkontos
    Da das System in seiner Standardkonfiguration per Remote Desktop aus dem Internet erreichbar ist, sollte hier ein nicht trivialer Benutzername und ein komplexes Kennwort gewählt werden.
  • Subscription
    Azure Abonnement in dem das System erstellt werden soll.
  • Resource group
    Auswahl der Resource Group, in der das System  erstellt werden soll. In diesem Beispiel wird eine neue Resource Group erstellt.
  • Location
    Azure Region, in der die neue Resource Group erstellt werden soll.

NoSpamProxy Azure System  - Choose Size

Wählen Sie einen passenden VM Typ. NoSpamProxy hat keine großen Anforderungen an Prozessor und Arbeitsspeicher. Der verwendete SQL Server 2014 Express kommt initial mit einem kleinen System zurecht.

NoSpamProxy Azure System - Settings

In diesem einfachen Beispiel bleiben die weiteren Einstellungen unverändert. Diese können bei Bedarf individuell angepasst werden, um bereits bestehende Ressourcen zu nutzen.

  • Storage Account
    Speicherort für die VHD Dateien der VM
  • Virtual Network
    Zu verbindendes Netzwerk für das neue System
  • Subnet
    Gewünschtes Subnetz aus dem virtuellen Netzwerk
  • Public IP Address
    Externe IP-Adresse
  • Network Security Group
    Netzwerk Firewall Konfiguration

NoSpamProxy Azure System - Summary

Prüfen Sie in der technischen Zusammenfassung die Einstellung und klicken Sie OK, um die das konfigurierte System in den Warenkorb zu legen.

NoSpamProxy Azure System - Purchase

Prüfen Sie auf der Angebotsseite den ausgewählten Azure Service und die konfigurierte VM. Klicken Sie auf Purchase, um den Service und das Systemabo zu kaufen. Da es sich um ein BYOL Deployment handelt, benötigen Sie für die Konfiguration entweder eine NoSpamProxy Testlizenz oder eine gültige NoSpamProxy Volllizenz.

Melden Sie sich nach der erfolgreichen Erstellung des System per Remote Desktop an. Bei der ersten Anmeldung wird die Installation von NoSpamProxy durch einen Scheduled Task gestartet. Der Task führt folgende Schritte durch:

  • Konfiguration des vorinstallierten SQL Server Express
  • Download und Installation der aktuellen Version von NoSpamProxy
  • Aufruf der öffentlichen NoSpamProxy Azure Webseite
  • Entfernung des Scheduled Task

NoSpamProxy Azure System - Setup

Schließen oder Unterbrechen Sie das Windows PowerShell Fenster nicht.

Nach Abschluss der Installation wird die öffentliche Webseite von NoSpamProxy Azure aufgerufen. Da der Internet Explorer zu diesem Zeitpunkt noch im abgesicherten Modus läuft, erscheint ein Warnhinweis. Nehmen Sie NoSpamProxy in die Liste der Ausnahmen auf. Über diese Webseite können Sie Ihre persönliche Testlizenz anfordern.

Durch die Installation von NoSpamProxy wurden Gruppenmitgliedschaften für das Benutzerkonto des angemeldeten Administrators geändert. Um NoSpamProxy verwalten zu können, müssen Sie sich einmal ab- und wieder anmelden.

Starten Sie nach der erneuten Anmeldung die NoSpamProxy Verwaltungskonsole um beginnen Sie mit dem Import der Testlizenz oder Ihrer vorhandenen Volllizenz.

In der Verwaltungskonsole können Sie auf der rechten Seite die installierte Version von NoSpamProxy ablesen.

NoSpamProxy Azure System - Verwaltungskonsole

Nach dem Import der Lizenz erfolgt die individuelle Konfiguration von NoSpamProxy für Ihre Anforderungen.

Links

 

 

Weiterlesen »

Vor Office 365 gab es bereits eine Cloud Productivity Lösung von Microsoft. Die Business Productivity Online Services (BPOS) haben Dienste auf Basis der Produkte Exchange 2007 and MOSS 2007 bereitgestellt.

SharePoint Sites wurden in BPOS unter der Domäne microsoftonline.com erstellt und sind bis heute in Nutzung.

Ab dem 1. Januar 2017 werden SharePoint Sites, die noch der *.microsoftonline.com Namenskonvention entsprechen, zu *.sharepoint.com überführt.

Administratoren können dies bereits vor dem 1. Januar 2017 durchführen. Microsoft hat hierzu einen Support-Artikel veröffentlicht.

Neben der reinen Änderung der Url für die SharePoint Sites ergibt sich ein zusätzlicher Vorteil. SharePoint Sites unter der Url *.sharepoint.com können das neue SharePoint App Modell nutzen. Dies ist unter *.microsoftonline.com nicht möglich.

Link

 

Viel Spaß mit Office 365.


 

Weiterlesen »
On September 14, 2016
2630 Views
This is a translated blog post of the original post in German, which can be read here.



Different technologies are used to verify the validity of email senders. Each technology by itself represents only one component of a holistic solution. It is currently recommended to implement all three technologies.

The technologies are:

  • SPF - Sender Policy Framework
    The SPF resource record of a DNS zone defines which servers (hostnames or IP addresses) are allowed to send emails on behalf of the domain. Each sender domain must have it's own SPF resource record.
     
  • DKIM - Domain Keys Identified Mail
    DKIM pursues the same objective as SPF. With DKIM parts of an email, messages are encrypted using a private key. The public key is published as a DNS resource record. In most cases, the key pair is generated by the mail servers, as these encrypt the message anyway.
     
  • DMARC - Domain-based Message Authentication, Reporting & Conformance
    DMARC is placed on top of SPF and DKIM. DMARC executes a so-called alignment for SPF and DKIM. An alignment defines a policy that describes how strict a receiving server (MTA) should validate and assess the sender address with SPF and DKIM. Stefan Cink of Net at Work has published a detailed post (DE) on this.

 

The following figure illustrates the protocol relations.

DMARC, SPC and DKIM relations

The use of SPF, DKIM, and DMARC are no substitute for email message encryption itself or transport encryption. These technologies are used to identify and asses valid senders and to protect against spam messages.

Keep in mind that SPF, DKIM, and DMARC are offerings for other emails servers. As a sending party, you do not control if and how SPF, DKIM, and DMARC are evaluated by the receiving server. But if evaluated, the configuration must be correct to avoid messages being rejected by receiving email servers.

The following sections focus on the DNS configuration for SPF, DKIM, and DMARC. This post is not intended to rate the technologies, but to describe the implementation.

 

SPF

Each domain is used for sending emails requires an SPF resource record (RR) in its DNS zone. An SPF record is always of the type TXT and does not use any hostname (or resource record name, if you will). An SPF RR is always valid for the entire DNS zone.

Example

mcsmemail.de.          3600     IN      TXT     "v=spf1 mx a:mail.mcsmemail.de ?all"

The following screenshot illustrates adding a new SPF TXT record in a common DNS management interface (DE) of an internet provider. The hostname textbox remains empty.

Anlegen eines SPF TXT DNS Eintrages

Example explained:

v=spf1
SPF Version

mx
MX server records defined within the DNS zone are valid senders

a:mail.mcsmemail.de
The additional DNS hostname defined as A resource record is a valid sender as well

?all
Neutral validation of non listed servers that send emails for this domain

SPF records can be created by using one of the various online resources.

 

DKIM

DKIM resource records are configured as TXT resource records as well. In contrast to an SPF record, a hostname is mandatory. In this case its called selector.

A DKIM TXT record is always created as a record in the subdomain _domainkey.

Example

nsp._domainkey.mcsmemail.eu. 3600 IN     TXT     "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQChZM8yjegaKfd0ssKyezTW/7xbDSNc0uPd50xa5/ecerv1v3mHKM+T7mClzRmIEx+Ji6AisVeo2uvjTYPemHFMBlQpuS/4zc2QxWHqp62FSQ7lASBOzDfUrIwayPVqwSPD6NrnfVSWoUNrFGGSVeU5uLASecBzTfxPukqTHgYKhQIDAQAB"

The following screenshot illustrates adding a new DKIM TXT record in a common DNS management interface (DE) of an internet provider. The hostname textbox contains the selector nsp followed by the subdomain _domainkey.

Anlegen eines DKIM TXT DNS Eintrages

Example explained:

v=DKIM1
DKIM version

k=rsa
Public key encryption method

p=MIGfMA....
The DKIM public key

 

DMARC

DMARC is configured as a TXT resource record as well. The DMARC resource record uses the fixed hostname _dmarc.

Example

_dmarc.mcsmemail.de.     3600    IN      TXT     "v=DMARC1\; p=none\; rua=mailto:DMARCRUA@mcsmemail.de\; ruf=mailto:DMARCRUF@mcsmemail.de\; fo=1\; adkim=s\; aspf=s\; rf=afrf\"

The following screenshot illustrates adding a new DMARC TXT record in a common DNS management interface (DE) of an internet provider. The hostname textbox contains always the value _dmarc.

Anlegen eines DMARC TXT DNS Eintrages

Example explained:

v=DMARC1
DMARC version

p=none
No DMARC policy defined (You should always start with None, before switching to Quarantine or Reject)

rua=mailto:DMARCRUA@mcscmemail.de
Email address for status reports

ruf=mailto:DMARCRUF@mcscmemail.de
Email address for error reports

fo=1
Error report type

adkim=s
DKIM alignment, s = strict

aspf=s
SPF alignment, s = strict

rf=afrf
Error report message format, afrf = Abuse Report Format following RFC 5965

The DMARC policy (p) should be raised step-by-step. The results for each policy type are:

  • none - No action, affected messages are part of the daily message report
  • quarantine - Affected messages are marked as spam
  • reject - An affected message is rejected on the SMTP layer

Recommended reading on this topic: Google Support Post.

DMARC DNS zone entries can easily be checked by using the Net at Works PowerShell tool. The PowerShell script can only be used with NoSpamProxy11+. But there are some online tools available as well.

Links

 


Do you need assistance with your Exchange Server setup? You have questions about your Exchange Server infrastructure and going hybrid with Office 365?

Contact us at office365@granikos.eu or visit our website http://www.granikos.eu.

 

Weiterlesen »
On September 13, 2016
1734 Views
Letzte Aktualisierung: 2019-11-17

 

Grafik E-MailProblem

Es gibt zahlreiche Gründe, warum externe Dienstanbieter E-Mails unter Verwendung einer E-Mail-Dömane eines Kunden senden. Beispielhafte Anwendungsfälle sind z.B.:

  • Marketingdienste zum Versand von Newslettern und anderen Nachrichten
  • Reisedienstleister, die das gesamte Reisemanagement für Kunden abwickeln
  • In der Cloud gehostete Geschäftslösungen für CRM, ERP o.ä.

Die Nutzung einer E-Mail Domäne, die ein Unternehmen bereits in Verwendung hat, birgt Risiken. Bei der Nutzung durch einen Marketing-Dienstleister, der hauptsächlich E-Mail-Nachrichten an externe Empfänger sendet, treten die Probleme noch nicht so deutlich hervor. Werden jedoch Dienste in Anspruch genommen, die eine Zustellung von E-Mail-Nachrichten an interne Mitarbeiter notwendig machen, kommt es zu Problemen.

Eine der einfachsten Funktionen im Rahmen des E-Mail-Grundschutzes ist die Abweisung von E-Mails, die eine eigene Domäne (Accepted oder Owned Domain) als Absender verwenden.

Das nachfolgende Schaubild verdeutlicht die Situation.

Blockierte E-Mail eines Dienstanbieters

Das Unternehmen in diesem Beispiel nutzt die E-Mail Domäne varunagroup.de als primäre E-Mail-Domäne. Der Dienstanbieter nutzt die Adresse news@varunagroup.de als Absenderadresse. E-Mail-Nachrichten an externe Empfänger können meist problemlos zugestellt werden, insofern der SPF-Eintrag des Dienstanbieters in der externen DNS-Zone varunagroup.de eingetragen ist. Die E-Mail-Sicherheitslösung am Gateway verweigert jedoch die Annahme von E-Mail-Nachrichten an interne Empfänger, da nur interne Systeme unter der Domäne varunagroup.de senden dürfen.

Am E-Mail-Gateway können natürlich Ausnahmen konfiguriert werden. Diese sind aber von Natur aus aufwändig in der Wartung und und sehr fehleranfällig.

 

Lösung

Das Problem kann durch Nutzung von Subdomänen einfach und elegant gelöst werden.

Externe Dienstleister nutzen für den Versand von E-Mail-Nachrichten anstatt der Domäne varunagroup.de die neu konfigurierte Subdomäne email.varunagroup.de. In der zur DNS-Zone der Subdomäne werden der zugehörige SPF-Eintrag des Dienstleisters und alle erforderlichen DKIM-Einträge verwaltet.

Das nachfolgende Schaubild verdeutlicht den Unterschied zum ersten Schaubild.

Erfolgreicher Empfang von E-Mails des Dienstanbieters

 

Das Unternehmen nutzt weiterhin die Domäne varunagroup.de als primäre E-Mail-Domäne. Für externe Dienstanbieter wurde aber die Subdomäne email.varunagroup.de eingerichtet. Somit versendet der externe Dienstanbieter in diesem Beispiel E-Mail-Nachrichten mit der Absenderadresse news@email.varunagroup.de. Für externe Empfänger ändert sich hierdurch nichts. Für das E-Mail-Sicherheitsgateway des Unternehmens ändert sich aber alles. Die Absenderdomäne email.varunagroup.de ist ist eine vollwertige externe Domäne, die durch SPF und DKIM abgesichert wurde und entspricht keiner internen Domäne. Alle E-Mail-Nachrichten des Dienstanbieters werden angenommen und an interne Empfänger zugestellt.

Bei Bedarf kann für jeden externen Dienstanbieter eine separate Subdomäne konfiguriert werden. Dieses Vorgehen ist ein wenig aufwendiger, bietet jedoch ein verbesserte Kontrolle der DNS-Konfiguration.

Die nachfolgenden Präsentationen verdeutlichen die Problemstellung und die Lösungsmöglichkeiten.

Deutschsprachige Präsentation

 

Englischsprachige Präsentation

 

Richten Sie für externe Dienstanbieter, die unter Ihrer E-Mail-Domäne Nachrichten versenden sollen, immer Subdomänen ein. Für Unternehmen, die Office 365 und Exchange Online nutzen, ist die Empfehlung mit der beschriebenen Subdomänen-Konfiguration zu arbeiten. Ansonsten wird Exchange Online Protection (EOP) E-Mails von externen Dienstanbietern abweisen.

 

Links

 

 


Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.

Sie denken über einen vollständigen Wechsel zu Microsoft 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform und Microsoft 365.

Sie möchten mehr über Exchange Server 2019 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem individuellen Workshop. Bis dahin, werfen Sie doch einen Blick in das Microsoft Exchange Server 2019: Das Handbuch für Administratoren.

Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu

Foto von Miguel Á. Padriñán von Pexels.

Weiterlesen »

Die Dokumentation von Microsoft Azure ist einem steten Wandel unterworfen und die Verlinkungen der Informationsquellen ändern sich ähnlich agil.

Mark Grimes von Microsoft hat eine ausführliche Liste (Stichwort: Work in Progress) zusammengestellt, über die man zu (fast) allen Themenbereichen von MIcrosoft Azure den passenden Absprung findet.

Dieser Link gehört ab sofort ins Standardrepertoire, wenn man mit Microsoft Azure arbeitet.

Und sollte es dich mal in eine Sackgasse führen, dann einfach eine E-Mail an: Azure Shortcuts

Viel Spaß mit Microsoft Azure.

 

 

Weiterlesen »