Granikos Technology Blog

Exchange Server besteht aus zwei Kernkomponenten. Zum einen ist es die Bereitstellung von Postfächern, mit all den benötigten Client-Zugriffsprotokollen und Postfach-Funktionen. Die zweite Komponente ist der Nachrichtenfluss, also der Empfang, die Verarbeitung und der Versand von E-Mail-Nachrichten.

Was sich so einfach und trivial anhört, ist ein zentraler und komplexer Baustein in der Exchange Architektur. In diesem Artikel versuche ich ein wenig Licht ins Dunkel des Exchange Nachrichtenflusses zu bringen. Lassen Sie uns mit einem kurzen Rückblick auf die Exchange Server Architektur beginnen.

Die Exchange Server Architektur

Wer sich den Nachrichtenfluss von Exchange Server anschaut, muss sich immer den Funktionsaufbau eines Exchange Servers und die empfohlene Implementierung im Rahmen der Preferred Architecture (PA) in Erinnerung rufen. In der PA wird Exchange Server immer in einer Konfiguration aus mehreren Exchange Servern, die als Datenbankverfügbarkeitsgruppe (DAG) zusammengefasst sind, betrieben. Hierdurch wird eine hochverfügbare Bereitstellung von Postfachfunktionen und Nachrichtentransport erreicht.

Jeder Exchange Server besteht aus einer Frontend- und Backend-Komponente. Eingehende Verbindungen von Drittsystemen erfolgen immer über die Exchange Frontend-Komponenten. Die Kommunikation mit den Backend-Komponenten erfolgt im Regelfall nur Exchange-intern.

Das folgende Diagramm zeigt den schematischen Aufbau der Verbindungen in einer DAG.

Die Konfigurationen für den Nachrichtenfluss unterteilen sich in organisationsweite und serverbezogene Einstellungen. Die organisationsweiten Einstellungen gelten, wie der Name es schon sagt, für die gesamte Exchange Organisation, ganz unabhängig davon wie viele Exchange Server oder  DAGs Sie betreiben. Ob und wie ein Exchange Server diese Einstellungen verarbeiten kann, hängt von der Produktversion ab. Diese Einstellungen sind vollständig in der Konfigurationspartition des Active Directory gespeichert. Ein Beispiel für den Nachrichtenfluss sind die Konfigurationen der Sendekonnektoren.

Serverbezogene Einstellungen wirken sich nur für ein bestimmtes Serversystem aus. Diese Einstellungen werden hauptsächlich ebenfalls in der Konfigurationspartition des Active Directory gespeichert. Ein Beispiel für den Nachrichtenfluss sind die Konfigurationen der Empfangskonnektoren. Einige wenige Einstellungen werden jedoch auch in der lokalen Systemregistrierung gespeichert.

Für den sicheren und stabilen Betrieb von Exchange Server ist eine funktionierende Active Directory Replikation unerlässlich. Hierzu gehört auch eine korrekte Konfiguration der Active Directory Sites. Sie ist gerade in größeren Exchange Organisationen unerlässlich.

Ebenso wichtig ist die korrekte und einheitliche Konfiguration der TLS-Einstellungen auf allen Exchange Servern. Ohne solch eine Konfiguration ist nicht sichergestellt, dass verschlüsselte Verbindungen durch die Empfangs- und Sendekonnektoren aufgebaut werden können. Exchange Server vertraut hier auf die Konfiguration des lokalen Windows Server Betriebssystems und die Bereitstellung gültiger TLS-Zertifikate.

Kommen wir nun zum eigentlichen Thema, dem Exchange Nachrichtenfluss und beginnen mit dem Empfang von E-Mail-Nachrichten.

Der Empfang von Nachrichten

Exchange Server nehmen eingehende E-Mail-Nachrichten über unterschiedliche Wege entgegen. Der bekannteste Weg ist der Empfang über das Protokoll SMTP. Ein Exchange Server unterscheidet hierbei drei unterschiedliche Quelltypen. Im Frontend-Transport erfolgt die Annahme von Verbindungen anderer Server über den Standard TCP-Port 25. Zu den Servern, die sich über diesen Standard SMTP-Port verbinden, zählen:

• Externe E-Mail-Server fremder E-Mail-Domänen, die E-Mail-Nachrichten über das Internet an Ihren Exchange Server senden
• Interne Applikationsserver, die E-Mail-Nachrichten an interne und externe Empfänger senden und einen Exchange Server als sog. Relay-Server verwenden
• Andere interne Exchange Server anderer Produktversionen oder Exchange Server, die in anderen Active Directory Sites platziert sind

Diese Verbindungen erfolgen über den Default Frontend Konnektor, der in seiner Standardkonfiguration nur Nachrichten, die an bekannte Empfänger eigener Domänen entgegennimmt. Die Zustellung von Applikationsnachrichten an externe Empfänger erfordert die Erstellung eines separaten Frontend-Empfangskonnektor.

Zusätzlich zu den Empfangskonnektoren stehen zwei weitere Wege über das lokale Dateisystem des Exchange Servers zur Verfügung, das Pickup- und Replay-Verzeichnis. Beide Verzeichnisse werden vom Backend-Transportdienst, den Sie aus früheren Exchange Versionen sicher noch als Hub-Transport kennen, permanent überwacht und sobald eine Datei dort abgelegt ist, wird sie aufgenommen und verarbeitet. Das Pickup-Verzeichnis dient der Ablage von neuen E-Mail-Nachrichten durch Applikationen. Das Replay-Verzeichnis können Sie nutzen, um Nachrichten, die Sie aus einer Warteschlange exportiert und entfernt haben, erneut in die Verarbeitung zu übergeben.

Zum Schutz vor unberechtigten Verbindungen verwendet Exchange Server unterschiedliche Formen der Authentifizierung. Ergänzend verfügen die Eingangswege über eine Header-Firewall, mit der unberechtigte Informationen aus einer E-Mail-Nachricht herausgefiltert werden.

Der Frontend-Transport verfügt über keine komplexe Business-Logik. Daher ist es wichtig, das Zusammenspiel zwischen Frontend-Transport und Transportdiensten im Backend zu verstehen und sich immer wieder in Erinnerung zu rufen, wenn es zu Problemen kommt. Der Empfangskonnektor im Frontend-Transport nimmt die Verbindung entgegen und führt die Authentifizierung durch. Anschließend wird eine Proxyverbindung zum Transportdienst per TCP-Port 2525 aufgebaut. Hierbei entscheidet nun die Konfiguration Ihrer Exchange Umgebung darüber, wie diese Proxyverbindung erfolgt. Bei einem Einzelserverbetrieb erfolgt die Verbindung zum Transportdienst des gleichen Servers. In einer DAG-Konfiguration wählt der Frontend-Transport den Transportdienst des DAG-Mitgliedservers aus, auf dem in diesem Moment die Datenbankkopie mit dem Postfach des Empfängers aktiv eingebunden ist.

Das folgende Diagramm zeigt das Zusammenspiel zwischen Frontend und Backend beim Empfang von Nachrichten per SMTP.

Beim Empfang einer Nachricht per SMTP versucht Exchange Server die Nachricht ausfallsicher entgegenzunehmen. Zu diesem Zweck erstellt Exchange Server eine Kopie der empfangenen Nachricht und speichert sie als Schattenkopie im Transportdienst eines anderen Exchange Servers. Erst nach dem erfolgreichen Speichern der Schattenkopie und der Speicherung in der lokalen Warteschlange des Backend-Transportdienstes, meldet der empfangende Exchange Server dem sendenden Server eine OK-Meldung.

Auf einem Exchange Server können mehrere Empfangskonnektoren für den gleichen Port konfiguriert werden. Wenn Sie weitere Konnektoren für den gleichen Port erstellen, müssen Sie festlegen, wie Exchange Server einen Konnektor auswählen soll. Am einfachsten ist hier die Konfiguration der IP-Adressen des absendenden Systems als Remote IP-Adresse am Konnektor.

Im Backend des Exchange Servers befinden sich zwei Transportdienste. Der wichtigste Dienst ist der Transportdienst, den manche von Ihnen sicher noch als Hub-Transport aus älteren Versionen von Exchange Server kennen. Diesen Dienst schauen wir uns im nächsten Abschnitt einmal genauer an. Der zweite Dienst ist der Postfachtransportdienst. Dieser Dienst hat die Aufgabe, eingehende Nachrichten in Postfächern lokal eingebundener Datenbanken zu speichern und Nachrichten, die versendet werden sollen, aus Postfächern lokaler Datenbanken zu lesen und zur weiteren Verarbeitung an den Transportdienst zu übermitteln. Diesen Dienst beschreibe ich in einem zukünftigen Artikel.

Der einfach erscheinende Empfang einer E-Mail-Nachricht ist, aus Gründen der Nachrichtensicherheit und zum Schutz vor dem Ausfall eines Systems, eine komplexe Aufgabe. Nach dem Empfang der Nachricht muss sie verarbeitet werden.

Die Verarbeitung von Nachrichten

Die gesamte Verarbeitung von E-Mail-Nachrichten erfolgt im Transportdienst und ist Warteschlangen-basiert, mit der Betonung auf „Warte“. Eine empfangene E-Mail-Nachricht wird in der Submission-Warteschlange gespeichert und wartet dort darauf, zur sog. Kategorisierung aufgegriffen zu werden. In der Categorizer-Komponente erfolgt die Hauptarbeit des Transportdienstes. Zu den Aufgaben gehören:

• Auflösung der Empfängeradressen
• Entscheidung über das Routing der Nachricht, auf Basis der in diesem Moment geltenden Topologie-Informationen
• Konvertierung des Nachrichteninhaltes
• Aufteilung der Nachricht in weitere Nachrichten
  • Aufteilung der Nachricht an mehrere Empfänger
  • Auflösung der Empfänger einer adressierten Verteilerliste
• Paketierung der Nachricht oder Nachrichten zur Zustellung
• Erstellung von Delivery Status Notifications (DSN)

Nach der Verarbeitung im Categorizer ist die Nachricht bereit zur weiteren Zustellung und wird hierzu in einer passenden Warteschlange gespeichert. Der Transportdienst legt für jedes Zustellungsziel eine separate Warteschlange an. Dies ist der Grund, warum Sie immer eine unterschiedliche Anzahl an Warteschlangen auf einem Exchange Server sehen. Die Warteschlangen gliedern sich in unterschiedliche Kategorien:

• Lokale Zustellung an eine aktive Postfachdatenbankkopie, die das Postfach des Empfängers beinhaltet
• Remote Zustellung an eine aktive Postfachdatenbankkopie in der gleichen DAG, die das Postfach des Empfängers beinhaltet
• Remote Zustellung an einen beliebigen Mitgliedsserver einer anderen DAG zur weiteren Zustellung an Postfächer in dieser DAG
• Zustellung an einen konfigurierten Exchange Server eines Sendekonnektors eines Zieladressraumes
• Zustellung an Remote-Domänen über einen definierten Smarthost
• Zustellung an Remote-Domänen mit DNS-basierter MX-Auflösung für die Ziel-Domäne

Zur Speicherung der Warteschlangen verwendet der Transportdienst auf jedem Exchange Server eine eigene Datenbank. In dieser Datenbank werden alle Nachrichten mit ihrem jeweiligen Verarbeitungs- und Zustellungsstatus gespeichert. Der Transportdienst kümmert sich eigenständig um den Funktionsstatus der Datenbank. Kommt es zu einem nicht behebbaren Fehler, wir eine komplett neue Datenbank erstellt und die korrupte Datenbank in einen neuen Ordner verschoben.

Das folgende Schaubild zeigt die Hauptkomponenten zur Verarbeitung von E-Mail-Nachrichten im Exchange Transportdienst.

Leider steht uns für die aktuelle Version Exchange Server kein detailliertes Diagramm des Transportdienstes offiziell zur Verfügung. Im Microsoft Download Center steht das Diagramm von Exchange Server 2010 zur Verfügung und bietet einen guten konzeptionellen Überblick über den Transportdienst. Achten Sie auf die Unterschiede zu modernen Exchange Server Versionen.

Das Routing von Nachrichten

Anwender leben in der Illusion, dass die Zustellung von E-Mail-Nachrichten eine einfache Sache ist und haben meist kein Verständnis für eine verzögerte Zustellung von Nachrichten. In Zeiten von Gigabit-Leitungen und schier unerschöpflicher Computer-Ressourcen hat man sich daran gewöhnt, dass Nachrichten nahezu in Echtzeit übertragen werden.

Einen wesentlichen Beitrag zu einer schnellen und fehlerfreien Verarbeitung leistet das korrekte Routing einer E-Mail-Nachricht. Damit eine Nachricht von Exchange Server fehlerfrei verarbeitet und zugestellt werden kann, ist eine fehlerfreie Active Directory Gesamtstruktur unerlässlich. Die im Exchange Transportdienst aktiven Routing-Agenten arbeiten mit den Informationen, die im Active Directory gespeichert sind. Dies sind u.a.:

• Adressen von Exchange Empfängerobjekten
  • Inkonsistente, fehlerhafte Einträge und identische Einträge an mehreren Objekten sind eine häufige Fehlerquelle
  • Verwaiste Objekte von E-Mail-aktivierten Öffentlichen Ordner gehören ebenso zu den Fehlerquellen
• Konfiguration der Exchange Organisation
  • Verwaiste Server- und Konnektoreinstellungen durch nicht korrekt durchgeführte Deinstallationen können zu Fehlern und Verzögerungen beim Routing führen
• Active Directory Site-Konfiguration
  • Eine fehlerhafte Konfiguration der AD-Sites kann zu Fehlern bei der Zustellung und bei der Nutzung von Schattenkopien führen

Beim Routing einer Nachricht spielt auch die Nachrichtengröße eine Rolle. Exchange zieht mehrere Konfigurationen zu maximalen Nachrichtengröße in Betracht, um so zu bewerten, ob die Nachricht auch wirklich zugestellt werden kann. Kann eine Nachricht nicht zugestellt werden, erhält der Absender einen sog. Non-Delivery Report (NDR). Der Transportdienst betrachtet für die Ermittlung der erlaubten Nachrichtengröße die Konfigurationen auf Organisationsebene, die aller Sende- und Empfangskonnektoren der internen Verbindungsstrecke und die Einstellungen des Zielpostfaches.

Der Versand von Nachrichten

Sendekonnektoren arbeiten die Nachrichten in den Warteschlangen ab und versuchen das jeweilige Zielsystem mit den Konnektoreinstellungen zu erreichen. Eine korrekte DNS-Namensauflösung ist der Schlüssel zu einer fehlerfreifunktionierenden Exchange Infrastruktur. Die interne Namensauflösung ist selten eine Fehlerquelle. Anderes sieht es aus, wenn es um die DNS-Auflösung externer Domänen geht. Stellen Sie sicher, dass Ihre Exchange Server auch externe Domänen effizient und sicher auflösen können, um einen fehlerfreien Nachrichtenfluss mit externen Empfängern zu gewährleisten.

Kommt es beim Versuch einer Zustellung zu einem Fehler, wird der Fehler in der Warteschlange festgehalten. Im Regelfall erkennen Sie Zustellfehler am Anwachsen einer oder mehrerer Warteschlangen. Die Überwachung der Warteschlangengröße ist unerlässlich für einen stabilen Betrieb der Exchange Organisation.

Bedenken Sie, dass die Datenbank des Transportdienstes im Installationspfad eines Exchange Servers platziert ist. Wenn Ihre Exchange Server eine hohe Anzahl von Nachrichten verarbeiten muss, sollten Sie die Datenbank auf einem separaten und ausreichend dimensionierten Laufwerk platzieren.

Zusammenfassung

Der Exchange Server Nachrichtenfluss ist, wenn man unter die Motorhaube schaut, ein komplexes Gebilde. Mit einem richtig konfigurierten Active Directory sind keine Probleme beim Betrieb von Exchange Server zu erwarten. Die Herausforderungen für den Exchange Nachrichtenfluss beginnen mit der Anpassung der Exchange Konfiguration.

Gerade im Hinblick auf die Konfiguration von zusätzlichen Empfangskonnektoren müssen Sie sich immer fragen, ob Sie einen neuen Konnektor wirklich benötigen. Das Troubleshooting des Exchange Nachrichtenflusses ist nicht schwierig, jedoch zeitaufwendig. Gerade in Exchange Umgebungen, die seit einigen Jahren betrieben werden und mehrere Exchange Versionen gesehen haben, besteht ein Risiko, dass veraltete Einträge in der Konfigurationspartition den Betrieb stören. Gleiches gilt für die Exchange Empfängerobjekte. Eine regelmäßige Pflege vermeidet Störungen im Nachrichtenfluss.

Der tägliche Betrieb Ihrer Exchange Organisation wird durch ein proaktives Monitoring, in dem nicht nur der Nachrichtenfluss überwacht wird, einfacher. Neben der Überwachung der Warteschlangen, empfehle ich auch die Überwachung der Transportdienste selbst. Exchange Server verfügt mit der Funktion der Managed Availability zwar über eine integrierte Monitoring Lösung mit automatischen Recovery-Aktionen, jedoch möchten Sie sicher nicht von automatisch neustartenden Diensten überrascht werden.

Links

• Microsoft Exchange Server 2010 Transport Server Role Architecture Diagrams
• Message size and recipient limits in Exchange Server
• DNS and Report Types
• Exchange 2016 + 2019 Mail Flow with Ports

Viel Spaß mit Exchange Server.

Mailscape 365 - Überwachung von Hybrid Exchange und Office 365: Viele Unternehmen verwenden eine lokale Exchange Organisation und Exchange Online in einer Hybrid-Konfiguration, um die Anforderungen ihrer Mitarbeiter zu erfüllen. Der Betrieb einer hybriden Exchange Organisation seine ganz eigenen Herausforderungen für das Monitoring der Dienstverfügbarkeiten. Beginnen Sie noch heute einen unverbindlichen 14-Tage Test von Mailscape 365.

Die E-Mail Gateway Lösung NoSpamProxy von Net at Work ist seit Kurzem als NoSpamProxy Azure Edition im Azure Marketplace verfügbar. Somit kann NoSpamProxy auch dann für den Schutz der E-Mail Kommunikation eingesetzt werden, wenn keine eigenen IT-Systeme für den Betrieb von NoSpamProxy zur Verfügung stehen.

Die in NoSpamProxy Azure integrierte Möglichkeit zur Anbindung von Office 365 bietet eine einfache und kostengünstige Möglichkeit zur zentralen Ver-und Entschlüsselung von E-Mails und zur sicheren Spamabwehr.

Das aktuell verfügbare Paket installiert eine Single-Server Variante, bei der die NoSpamProxy Intranet-Rolle und die Gateway-Rolle auf einem System kombiniert betrieben werden.

Die NoSpamProxy Azure Edition wird als BYOL (Bring Your Own License) System bereitgestellt und erfordert neben den Betriebskosten in Microsoft Azure den Erwerb einer NoSpamProxy Lizenz. Eine bereits vorhandene Lizenz für die aktuelleste NoSpamProxy Version kann bei einer Migration zu Microsoft Azure weiter verwendet werden.

Inhaltsübersicht

Betriebsmöglichkeiten
Hinweise
Bereitstellung
Links

Betriebsmöglichkeiten

NoSpamProxy Azure kann auf unterschiedliche Weise in Microsoft Azure betrieben werden. Das System wird standardmäßig als Workgroup System und somit ohne eine AD-Mitgliedschaft in Microsoft Azure bereitgestellt. Die einzelnen Betriebsmöglichkeiten von NoSpamProxy Azure leiten hauptsächlich dadurch ab, ob zwischen der eigenen IT-Infrastruktur und Microsoft Azure ein Site-2-Site VPN besteht oder nicht.

• Ohne Site-2-Site VPN zu Microsoft Azure
   
  • Ein lokaler E-Mail Server (z.B. Exchange Server oder SmarterMail) nutzt NoSpamProxy Azure als externen Relay Server für ausgehende E-Mail Nachrichten, eingehende E-Mail Nachrichten werden von NoSpamProxy Azure über das Internet an den lokalen E-Mail Server weitergeleitet.
     
  • Manuelle Pflege der unternehmensinternen E-Mail Adressen mit Hilfe einer Textdatei – Automatischer Import der Textdatei durch NoSpamProxy Azure
    Diese Variante ist nur empfehlenswert, wenn die Anzahl der zu verwaltenden E-Mail Adresse überschaubar ist, da alle Adressen in einer Importdatei gepflegt werden müssen.
     
  • Optimal für Office 365 Kunden, die Benutzerkonten und E-Mail Postfächer nur in Office 365 pflegen, kein lokales Active Directory nutzen
    Die für NoSpamProxy Azure erforderliche Importdatei kann durch einen Export aus Office 365 einfach erstellt werden.
     
  • Einschränkung des RDP Zugriffes auf das NoSpamProxy Azure System auf eine externe IP-Adresse des Unternehmensnetzwerkes.
     
• Mit Site-2-Site VPN zu Microsoft Azure
   
  • Ein lokaler E-Mail Server (z.B. Exchange Server oder SmarterMail) nutzt NoSpamProxy Azure als internen Relay Server für ausgehende E-Mail Nachrichten, eingehende E-Mail Nachrichten werden von NoSpamProxy Azure über das Site-2-Site VPN an den lokalen E-Mail Server weitergeleitet.
     
  • Automatischer Import der unternehmensinternen E-Mail Adresse aus einem LDAP Verzeichnis (z.B. Active Directory)
    Dies Variante vereinfacht die Verwaltung, da im LDAP Verzeichnis erstellte Benutzer automatisch in NoSpamProxy importiert werden.
     
  • Optimal für Office 365 Kunden, die Benutzerkonten in einem lokalen LDAP Verzeichnis pflegen und eventuell sogar eine Office 365 Hybrid-Konfiguration nutzen
     
  • Einschränkung des RDP Zugriffes auf das NoSpamProxy Azure System aus dem internen Netzwerk.

Aktuell wird eine direkte Anbindung an Azure AD nicht unterstützt, ist aber in Planung.

Hinweise

• Der Azure Service für das NoSpamProxy Azure System erfordert eine Reverse-DNS Konfiguration, damit externe SMTP Server eine Reverse-DNS Prüfung erfolgreich durchführen können. Einen Link zur Reverse-DNS Konfiguration in Azure finden Sie in unter Links.
   
• Der Name für das NoSpamProxy Azure System sollte nicht der internen IT Namenskonvention entsprechen, da der Service-Name extern auflösbar ist.

Je nach ausgewählter Azure VM können unterschiedliche Datendurchsätze hinsichtlich der verarbeiteten E-Mails pro Minute erreicht werden.

Lasttests auf Basis von Standard A Maschinen haben folgendes Ergebnis gebracht:

Bereitstellung

Die nachfolgenden Schritte beschreiben die einfache Bereitstellung von NoSpamProxy Azure.

Suchen Sie im Azure Marketplace nach NoSpamProxy und wählen Sie die NoSpamProxy Azure Edition aus.

Klicken Sie auf Create, um das NoSpamProxy Azure System zu konfigurieren.

Konfigurieren Sie die Parameter für

• Name
  Name des Systems, dieser Name wird im Azure DNS eingetragen und ist somit extern auflösbar.
• VM disk type
  Bei Auswahl von SSD muss in einem nachfolgenden Schritt auch ein Azure VM Typ ausgewählt werden, der SSD unterstützt.
• User name, Password
  Benutzername des lokalen Administratorkontos
  Da das System in seiner Standardkonfiguration per Remote Desktop aus dem Internet erreichbar ist, sollte hier ein nicht trivialer Benutzername und ein komplexes Kennwort gewählt werden.
• Subscription
  Azure Abonnement in dem das System erstellt werden soll.
• Resource group
  Auswahl der Resource Group, in der das System  erstellt werden soll. In diesem Beispiel wird eine neue Resource Group erstellt.
• Location
  Azure Region, in der die neue Resource Group erstellt werden soll.

Wählen Sie einen passenden VM Typ. NoSpamProxy hat keine großen Anforderungen an Prozessor und Arbeitsspeicher. Der verwendete SQL Server 2014 Express kommt initial mit einem kleinen System zurecht.

In diesem einfachen Beispiel bleiben die weiteren Einstellungen unverändert. Diese können bei Bedarf individuell angepasst werden, um bereits bestehende Ressourcen zu nutzen.

• Storage Account
  Speicherort für die VHD Dateien der VM
• Virtual Network
  Zu verbindendes Netzwerk für das neue System
• Subnet
  Gewünschtes Subnetz aus dem virtuellen Netzwerk
• Public IP Address
  Externe IP-Adresse
• Network Security Group
  Netzwerk Firewall Konfiguration

Prüfen Sie in der technischen Zusammenfassung die Einstellung und klicken Sie OK, um die das konfigurierte System in den Warenkorb zu legen.

Prüfen Sie auf der Angebotsseite den ausgewählten Azure Service und die konfigurierte VM. Klicken Sie auf Purchase, um den Service und das Systemabo zu kaufen. Da es sich um ein BYOL Deployment handelt, benötigen Sie für die Konfiguration entweder eine NoSpamProxy Testlizenz oder eine gültige NoSpamProxy Volllizenz.

Melden Sie sich nach der erfolgreichen Erstellung des System per Remote Desktop an. Bei der ersten Anmeldung wird die Installation von NoSpamProxy durch einen Scheduled Task gestartet. Der Task führt folgende Schritte durch:

• Konfiguration des vorinstallierten SQL Server Express
• Download und Installation der aktuellen Version von NoSpamProxy
• Aufruf der öffentlichen NoSpamProxy Azure Webseite
• Entfernung des Scheduled Task

Schließen oder Unterbrechen Sie das Windows PowerShell Fenster nicht.

Nach Abschluss der Installation wird die öffentliche Webseite von NoSpamProxy Azure aufgerufen. Da der Internet Explorer zu diesem Zeitpunkt noch im abgesicherten Modus läuft, erscheint ein Warnhinweis. Nehmen Sie NoSpamProxy in die Liste der Ausnahmen auf. Über diese Webseite können Sie Ihre persönliche Testlizenz anfordern.

Durch die Installation von NoSpamProxy wurden Gruppenmitgliedschaften für das Benutzerkonto des angemeldeten Administrators geändert. Um NoSpamProxy verwalten zu können, müssen Sie sich einmal ab- und wieder anmelden.

Starten Sie nach der erneuten Anmeldung die NoSpamProxy Verwaltungskonsole um beginnen Sie mit dem Import der Testlizenz oder Ihrer vorhandenen Volllizenz.

In der Verwaltungskonsole können Sie auf der rechten Seite die installierte Version von NoSpamProxy ablesen.

Nach dem Import der Lizenz erfolgt die individuelle Konfiguration von NoSpamProxy für Ihre Anforderungen.

Links

• NoSpamProxy Azure
• NoSpamProxy Protection
• Blogartikel: Zentrale E-Mail Verschlüsselung mit Office 365
• Blogartikel: Sichere E-Mail Kommunikation mit NoSpamProxy 11
• Microsoft Azure Trial
• Microsoft Azure Reverse DNS
• Microsoft Azure Reverse DNS mit der CLI

Cloud

Bei dem Thema Cloud wird allzu oft nur an gehostete Dienstleistungen der unterschiedlichen Anbieter gedacht. In den letzten Jahren gab es jedoch eine wahre Explosion von Angeboten, die im Rahmen von Software-as-a-Service (SaaS)^[1] ihren Weg zu privaten und gewerblichen Kunden gefunden haben.

Die Nutzung dieser sog. "Cloud-basierten" Anwendungen ist sowohl für Anwender, wie auch für Administratoren gleichermaßen, vollständig transparent. Hier wird vordergründig die Einsparung von zusätzlicher Hardware und die schnelle Umsetzung der Anforderungen (z.B. FastTrack Onboarding in Office 365) gesehen.

Das Umsetzen des Cloud-Gedanken auf der Infrastrukturseite erfordert allerdings ein Umdenken der IT-Verantwortlichen und auch ein Loslassen von alten Konzepten bei Administratoren.

Cloud Dienstleistungen

Der sehr allgemeine Begriff "Cloud" lässt sich für die IT-Infrastruktur in die Bereiche Private Cloud und Public Cloud verfeinern. Mit diesen Begriffen wurde in der Vergangenheit hauptsächlich die Bereitstellung von Infrastrukturkomponenten beschrieben, mit denen eine Virtualisierung von Serversystemen mehr oder weniger einfach erreicht werden konnte. Man war in der Lage ein Serversystem entweder in der eigenen Umgebung ("Private Cloud") oder in der Umgebung eines Hosters ("Public Cloud") zu betreiben.

Ergänzt wird das Public Cloud Angebot durch Platform-as-a-Service (PaaS)^[2]. Hierbei kann der Kunde seine Kompetenz ganz auf den Betrieb und die Nutzung seiner Line-of-Business Applikationen ausrichten und den größtmöglichen Nutzen aus allen Plattformkomponenten ziehen. Am Beispiel von Microsoft Azure stehen über den Middleware-Stack nicht nur unterschiedliche Speichermedien bereit, sondern vielmehr Dienste, die z.B. eine automatische Verarbeitung von großen Datenmengen erleichtern. Die kontinuierliche Erweiterung und Verbesserung der Plattform ist für die Kunden von großen Nutzen, da in technologischen Spezialgebieten keine eigenes Infrastruktur Knowhow aufgebaut werden muss.

Das nachfolgende Schaubild verdeutlicht die Unterschiede zwischen dem Betrieb einer eigenen IT-Infrastruktur, Infrastructure-as-a-Service (IaaS)^[3], Platform-as-a-Service (PaaS)^[2] und Software-as-a-Service (SaaS)^[1].
 

Cloud In The House

Am Beispiel Microsoft Azure lässt sich der Nutzen der "Private Cloud" in Unternehmen sehr gut verdeutlichen. Aus Sicht von Microsoft Azure sind "Kunden" immer "externe Kunden" des Plattformbetreibers.

Wie wäre es, wenn man die Vorteile einer Platform-as-a-Service (PaaS)^[2] Umgebung im eigenen Unternehmen bereitstellen könnte?

Genau dies erreicht man mit dem Microsoft Cloud Platform System (CPS). Hierbei handelt es sich um eine vorkonfigurierte Hardwareumgebung, die aus einem 19" Rack mit allen erforderlichen Komponenten besteht. Das System kann auf bis zu 4 Racks erweitert werden.

Setzt man nun den Plattformbetreiber gleich mit der internen IT-Abteilung eines Unternehmens und die  "externen Kunden" mit den Fachabteilungen eines Unternehmens, wird deutlich, wo die Vorteile einer solchen Konfiguration liegen.

Abteilungen können eigenständig die erforderlichen Dienste aus der Plattform abonnieren, konfigurieren und nutzen. Durch die Integration von Microsoft System Center und der Azure Pack Erweiterung ergibt sich ein einheitliches Nutzungsszenario zwischen dem On-Premise CPS und dem Azure-Abonnements des Unternehmens.

Gerade die dynamische Skalierung von Systemen, bei der automatisch zusätzliche Server mit gleicher Konfiguration bereitgestellt und genutzt werden, hilft Fachabteilungen bei der effizienten Realisierung antizyklischer Berechnungen.

Neben der Nutzung des integrierten Portals (Azure Pack), besteht auch die Möglichkeit, die konfigurierten Dienste durch eigene Softwareentwicklung über eine REST-API anzusprechen oder ein eigenes, den Unternehmensvorgaben entsprechendes, Portal zu erstellen.

Insgesamt stehen in einem CPS, bestehend aus vier Racks, 1,1 PB Speicherkapazität zur Verfügung. Mit einer VM Konfiguration von 2vCPU und 1,75 GB lassen sich in solch einem CPS bis zu 8.000 virtuelle Serversysteme betreiben.

Das standardmäßig integrierte Management, auf Basis von System Center, erleichert das Monitoring der Umgebung und die Verteilung von Softwareaktualisierungen. Mit Hilfe der integrierten Automation Engine können beliebige Konfigurationsschritte teilweise oder vollständig automatisiert werden. Von Hause aus, müssen keinen zusätzlichen Arbeiten zur Erstellung von Datensicherungen durch geführt werden. Neue Systeme werden automatischen durch den integrierten Data Protection Manager (DPM) gesichert.

Somit stellt das CPS eine attraktive Alternative oder Ergänzung zu bereits vorhandenen On-Premise Lösungen dar. Insbesondere Unternehmen die, aus unterschiedlichsten Gründen, den Weg in die Public Cloud nicht gehen wollen finden in CPS einen gangbaren Weg um die Vorteile einer Cloud Lösung nutzen zu können.

Links

• Cloud Platform System
• Microsoft Azure

Glossar

1. SaaS - Software as a Service
   Alle Komponenten, inklusive der Applikation und der Verarbeitung der Daten werden vom Hostinganbieter betrieben und betreut.
   Der Kunden nutzt die Applikation.
2. PaaS - Platform as a Service
   Alle erforderlichen Komponenten zum Betrieb einer Applikation werden vom Hostinganbieter betrieben.
   Die Betriebsverantwortung für den Kunden ist die Applikation und die Verarbeitung der Daten.
3. IaaS - Infrastructure as a Service
   Die erforderliche Infrastruktur zum Betrieb von virtualisierten Systemen wird vom Hostinganbieter betrieben.
   Die Betriebsantwortung für den Kunden beginnt ab Betriebssystem.

In vorherigen Blog-Artikeln wurde allgemein das Thema E-Mail Verschlüsselung und E-Mail Sicherheit besprochen und auf die Verbindungsverschlüsselung mit TLS eingegangen. In diesem Artikel werden Möglichkeiten zum Einsatz von S/MIME zur Signierung und Verschlüsselung von E-Mail Nachrichten betrachtet.

E-Mail Sicherheit

In der heutigen Zeit kommt der Signierung und Verschlüsselung von E-Mail Nachrichten eine zentrale Rolle zu, um sich gegen Wirtschaftsspionage und anderen Zugriffe Dritter auf die Unternehmenskommunikation zu schützen. Die Sicherung des Nachrichtenverkehrs ist nur ein Baustein im gesamten Informationssicherheitskonzept eines Unternehmens. Weitere Punkte sind u.a. Schutz gegen den Verlust von Daten (Data Leackage Prevention, DLP), Berechtigungsmanagement (RMS) oder die Kontrolle von Zugriffsberechtigungen.

Das generelle Konzept zur Verschlüsselung von Nachrichten per S/MIME geht auf das Jahr 1995 zurück. Die aktuellen Implementierung von S/MIME 3.2 sind seit 2010 Stand der Technik.

S/MIME - E-Mail Signierung und Verschlüsselung

Bei der Verwendung von S/MIME wird eine unverschlüsselte E-Mail Nachricht in einer sog. MIME gekapselt und nur signiert oder auch verschlüsselt. Neben diesem ersten Teil enthält die neue Nachricht auch die erforderliche Zertifikatsinformation zum Zugriff auf den Nachrichtenteil.

Zertifikate teilen sich in einen öffentlichen und einen privaten Schlüssel und bilden gemeinsam das Schlüsselpaar eines Anwenders. Im Standardfall wird das Schlüsselpaar auf einem Clientrechner eines Benutzers erzeugt und der öffentliche Schlüssel von einer Zertifizierungsstelle signiert. Der private Schlüssel verbleibt auf dem Rechner des Benutzers.

Da der private Schlüssel somit nur an einer Stelle gespeichert ist, jedoch für die Laufzeit des Zertifikates zum Entschlüsseln von Nachrichten benötigt wird, stellt dies ein Risiko dar. Kommt es ohne Datensicherung des privaten Schlüssels zu einem Schaden am Gerät, muss ein neues Zertifikat ausgestellt werden und alte, mit dem verlorenen Zertifikat verschlüsselte Nachrichten, können nicht mehr entschlüsselt werden. Mehr dazu im Abschnitt "Gateway-Lösungen".

Neben der Speicherung des Zertifikates auf dem Clientrechner können auch Signaturkarten verwendet werden. Der Einsatz von Signaturkarten erfordert allerdings auch den Einsatz von passenden Lesegeräten, die meist nicht für alle Arten von Clientgeräten zur Verfügung stehen. Die auf Signaturkarten gespeicherten Zertifikate sind durch eine PIN vor unbefugtem Zugriff geschützt.

S/MIME Clients

Im Standardfall ist das S/MIME E-Mail Zertifikat auf dem Clientrechner eines Benutzers vorhanden. Dies bedeutet, dass der Benutzer auf diesem Clientrechner in der Lage ist, E-Mail Nachrichten zu signieren oder zu verschlüsseln. Und dies auch nur mit einem E-Mail Programm wie Outlook. Alternative Produkte verfügen eventuell über einen separaten Speicher für S/MIME Zertifikate und verwenden nicht den Zertifikatsspeicher des Betriebssystems.

In der heutigen Welt ist ein fester Clientrechner, sei es ein Desktop PC oder ein Laptop, nicht mehr das einzige Gerät, über das ein Mitarbeiter Zugriff auf E-Mails hat. Wenn in einem Unternehmen S/MIME verwendet wird, soll die Zugriff auf E-Mail Nachrichten und damit das Verfassen und Lesen von verschlüsselten Nachrichten auf allen Clients verfügbar sein.

Zu den Client-Optionen und Zugriffsarten gehören:

• E-Mail Client - Outlook
• Webmail - Outlook Web App
• Mobile App - Exchange ActiveSync Implementierung, OWA App
• Citrix - Remote Desktop Zugriff
• VDI - Virtual Desktop Infrastructure
• AppV - Application Virtualization

Je nach erforderlichem Einsatzszenario im Unternehmen, muss das S/MIME Zertifikat sowohl auf den Servern, als auch auf den auf den unterschiedlichen Endgeräten ausgerollt und installiert werden. Dies bringt ganz neue Herausforderungen mit sich. Gerade wenn unterschiedlichste Endgeräte zum Einsatz kommen oder eine BYOD Kultur etabliert ist, empfiehlt sich eine zentrale Gateway-Lösung für die E-Mail Verschlüsselung.

Der Einsatz von S/MIME Verschlüssung beim Zugriff auf Webmail (Outlook Web App) erfordert den Zugriff des Browsers auf den lokalen Zertifikatsspeicher. Hierzu muss eine separate Software-Komponente (S/MIME Plugin) installiert werden, die nur mit dem Internet Explorer funktioniert. Zusätzlich müssen die serverseitigen S/MIME Parameter für OWA im Exchange Server konfiguriert werden. Da die OWA S/MIME Implementierung aber nur ein Teil der zur Verfügung stehenden Crypto-Einstellungen unterstützt, müssen OWA S/MIME Einstellungen und die Crypto Konfigurationen des Betriebssystem im Einklang erfolgen. Ansonsten kommt es in OWA zu Fehlermeldungen und der Benutzer kann E-Mails nicht signieren, verschlüsseln oder entschlüsseln. Dies bedeutet, dass ein Benutzer per Outlook verschlüsselte E-Mails nicht in OWA öffnen kann.

PKI - Public Key Infrastructure

Die zur Signierung und Verschlüsselung verwendeten Zertifikate werden von einer Zertifizierungsstelle signiert. Diese Zertifizierungsstelle ist Bestandteil einer sog. PKI und wird entweder von einem externen Anbieter oder aber vom eigenen Unternehmen betrieben.

Die Verwendung eines externen Anbieters von Zertifikaten hat den Vorteil, dass in den allermeisten Fällen die erforderlichen Zertifikate (Root- und Intermediate-Zertifikate) zur Überprüfung eines E-Mail Zertifikates bereits auf den jeweiligen Endgeräten zur Verfügung stehen. Die benötigten E-Mail Zertifikate für Mitarbeiter werden immer für einen bestimmten Zeitraum ausgestellt, wobei unterschiedliche Zeiträume mit unterschiedlichen Kosten verbunden sind.

Die Implementierung einer eigenen PKI ermöglicht es Unternehmen, die Zertifikatsinfrastruktur auch für andere Komponenten zu verwenden. Hierzu gehören u.a. interne Webserver, Lync Kommunikation oder Benutzerauthentifizierung.

Die Verwendung einer eigenen PKI erhöht aber auch die Komplexität der IT-Infrastruktur und will gut überlegt und geplant sein, da etablierte PKI für einen langen Zeitraum in Betrieb ist.

Für S/MIME bedeutet der Einsatz einer eigenen PKI, dass die erforderlichen Root- und Intermediate Zertifikate für externe E-Mail Empfänger zur Verfügung stehen müssen. Partnerunternehmen können diese Zertifikate mit Hilfe von Softwareverteilung intern zur Verfügung stellen. Andere Empfänger müssen in der Lage sein, sich diese Zertifikate von einer Webseite herunterladen zu können. Hinzu kommt, dass der Endpunkt zur Überprüfung von zurückgezogenen Zertifikaten ebenfalls aus dem Internet erreichbar sein muss.

Gateway-Lösungen

Wie bereits oben beschrieben, ist die Ausstellung von E-Mail Signatur Zertifikaten auf Benutzerrechnern in Unternehmen als Risiko zu sehen. Ebenso können Benutzer nicht ohne weiteres die gewohnten unterschiedlichen Endgeräte verwenden, um S/MIME Nachrichten zu empfangen oder zu senden.

Hier setzen Gateway-Lösungen an, die zentral die Signierung und die Ver- und Entschlüsselung sicherstellen. Das Zertifikatmanagement, also die Ausstellung und das Widerrufen von Benutzerzertifikaten erfolgt ebenfalls zentral am Gateway.

Die öffentlichen Schlüssel von eingehenden Nachrichten werden automatisch ausgelesen und zentral gespeichert. Hierdurch stehen die öffentlichen Schlüssel von externen Kommunikationspartnern allen Mitarbeitern im Unternehmen für eine sichere E-Mail Kommunikation zur Verfügung.

Durch ein Regelwerk kann sichergestellt werden, dass E-Mails an Empfänger, die keine Verschlüsselung unterstützen, auch unverschlüsselt zugestellt werden. Die Verschlüsselung des Übertragungskanal ist weiterhin möglich.

Als Beispiel einer solchen Lösung sein hier enQsig von Net at Work, Paderborn, genannt. Diese zertifizierte Verschlüsselungslösung unterstützt neben der Verschlüsselung mit S/MIME auch PGP. Das Produkt verfügt über weitere Funktionen, die Sie gerne hier nachlesen können.

Eine zentrale Gateway-Lösung zur E-Mail Verschlüsselung stellt eine optimale Möglichkeit zur Implementierung sicherer E-Mail Kommunikation dar, bei gleichzeitiger Reduzierung des Aufwandes für die erforderliche IT-Infrastruktur und die notwendigen Prozesse.

Fazit

Es gibt keinen wirklichen Grund, E-Mail Verschlüsselung nicht einzusetzen. Die Gefährdungen für sensible Unternehmenskommunikation werden in den nächsten Jahren eher steigen als sinken.

Und mit einer zentralen Gateway-Lösung ist es sowohl für mittelständische Unternehmen, als auch für Großkonzerne möglich, eine verlässliche Kommunikationsumgebung zu schaffen, die anderen technischen Entwicklungen nicht im Wege steht.

Links

• NoSpamProxy Encryption, E-Mail Verschlüsselung am Gateway
• RFC 3851 - S/MIME 3.1
• RFC 5751 - S/MIME 3.2
• PKI - Public Key Infrastructure, Common Trust, Encryption and Digital ID Troubleshooting – for Microsoft Outlook and Microsoft Exchange users
• MS-OXOSMIME Protokoll

Mini-Serie E-Mail Sicherheit

• E-Mail Verschlüsselung und E-Mail Sicherheit
• E-Mail Verschlüsselung - TLS, S/MIME & Co (Teil 1)
• E-Mail Verschlüsselung - TLS, S/MIME & Co (Teil 2)
• E-Mail Verschlüsselung und Cipher Suites

Fragen zur E-Mail Sicherheit

Haben Sie Fragen rund um das Thema E-Mail Verschlüsselung und E-Mail Sicherheit? Kontaktieren Sie uns unter: emailsecurity@granikos.eu.

Die Nutzung von Office 365 Diensten erfordert eine korrekte Namensauflösung für die verwendeten Dienste. Ohne eine funktionierende Namensauflösung können Anwender aus dem Unternehmensnetzwerk oder direkt aus dem Internet nicht auf Office 365-Dienste zugreifen. Das "Finden" der Office 365-Dienste erfolgt auf Basis des Anmeldenamens des Anwenders. Dieser Anmeldename (UPN) und die Haupt-E-Mail-Adresse sind im Idealfall identisch. Die Hintergründe für diese Anforderung hat Joe Palichario bereits 2015 in seinem Blog veröffentlicht. In meinem Beispiel folgen die Anmeldenamen dem Schema Vorname.Nachname@granikoslabs.de, der ADFS Authentifizierungsserver ist unter dem Namen adfs.granikoslabs.de veröffentlicht.

Unter einer Split-DNS Konfiguration versteht man den Betrieb der DNS-Zone, in einer internen und einer externen Konfiguration. Die interne DNS-Zone wird auf DNS-Servern bereitgestellt, die von Clientsystemen aus dem Unternehmensnetzwerk angefragt werden. Die externe DNS-Zone wird entweder auf eigenen DNS-Servern, die aus dem Internet erreichbar sind, oder auf DNS-Servern eines Internet DNS-Anbieters bereitgestellt. Diese Split-DNS Aufteilung ist wichtig, um Clientsystemen entweder die interne IP-Adresse oder die öffentliche IP-Adresse eines Dienstendpunktes bereitzustellen. In einer Hybrid-Konfiguration mit Office 365 ist solch eine Split-DNS Konfiguration dringend empfohlen. Wenn Sie Office 365 im reinen Cloudbetrieb nutzen, ist diese Konfiguration nicht notwendig.

Das folgende Schaubild verdeutlicht die DNS Konfiguration für die Split-DNS Implementierung inklusive ADFS-Server und ADFS-Proxy.

Ein interner Client, der auf Ressourcen von Office 365 zugreifen möchte, muss sich am internen ADFS-System authentifizieren . Hierzu wird der Client zum ADFS-Server umgeleitet.

1. Das interne Clientsystem fragt den internen DNS-Server nach der IP-Adresse für adfs.granikoslabs.de und erhält die interne IP-Adresse des ADFS-Servers
2. Das interne Clientsystem verbindet sich zum internen ADFS-Server, wird authentifiziert und kann, falls berechtigt, auf die gewünschte Office 365 Ressource zugreifen

Ein externer Client, der auf Ressourcen von Office 365 zugreifen möchte, muss sich ebenfalls am internen ADFS-System authentifizieren. Jedoch ist dieses System nicht direkt aus dem Internet erreichbar, sondern über einen ADFS-Proxy veröffentlicht.

3. Das externe Clientsystem fragt den DNS-Server des Internet DNS-Anbieters nach der IP-Adresse für adfs.granikoslabs.de und erhält die öffentliche IP-Adresse des ADFS-Proxy-Servers
4. Der externe Client verbindet sich über den ADFS-Proxy-Server mit dem internen ADFS-Server, wird authentifiziert und kann, falls berechtigt, auf die gewünschte Office 365 Ressource zugreifen

Es ist wichtig, dass neben den individuellen Adressen für die benutzerdefinierte Domäne des Office 365-Tenant auch alle weiteren, von Microsoft bereitgestellten, öffentlichen Adressen für Office 365 auflösbar sein müssen. Die öffentlichen Office 365 Endpunkte werden über CNAME, SRV und TXT Einträge in der internen und externen DNS-Zone definiert. 

Die nachfolgende Liste gibt einen Überblick der DNS-Namen für den Office 365 Tenant mit der benutzerdefinierten Domäne granikoslabs.de.

Die vollständige Liste der erforderlichen DNS-Namen finden Sie in der Administrationsoberflache von Office 365. Für jede benutzerdefinierte Domäne sind separate Einträge in der jeweiligen DNS-Zone erforderlich, wenn diese Domäne zur Anmeldung an Office 365 und als E-Mail Domäne verwendet wird.

Grundsätzlich unterstützt Office 365 auch eine Konfiguration, bei der der Anmeldename nicht identisch mit der primäre SMTP-Adresse oder SIP-Adresse ist. Jedoch erhöht eine solche Konfiguration den Supportaufwand im Fehlerfall und führt zu einer verwirrenden Benutzererfahrung. Auf den unterschiedlichen Anmeldeseiten der Office 365 Dienste wird der Anwender mal aufgefordert, die E-Mail-Adresse oder den Anmeldenamen einzugeben. Gleichzeitig bietet eine solch individuelle Konfiguration keinerlei Vorteile hinsichtlich der IT-Sicherheit. Eine bessere Absicherung wird vielmehr durch den Einsatz einer Multi-Faktor-Authentifizierung und Zugriffsfilterung (Conditional Access) erreicht.

Viel Spaß mit Office 365!

Office 365 ist ein Software-as-a-Service Angebot von Microsoft, das aus unterschiedlichen Bestandteilen besteht. Diese Bestandteile gliedern sich zum einen in die Onlinedienste- und Produkte, die Sie per Browser nutzen können, wie z.B. Office Online, Microsoft Teams oder Planner. Für einen Teil dieser Dienste und Produkte stehen auch Desktopclients für Windows, Mac und Linux (Preview), und mobile Anwendungen für iOS und Android zur Verfügung. 

Eine weiterer Bestandteil von Office 365 ist die Desktop Version von Microsoft Office. Die Desktop Version steht in zwei unterschiedlichen Varianten für Office 365 Business- und Office 365 Enterprise-Lizenzpläne zur Verfügung. Diese beiden Softwarepakete unterscheiden sich in ihrem Funktionsumfang.

Die in Office 365 zru Verfügung stehenden Produkte und Dienste werden regelmäßig erweitert und angepasst. Zu diesen Anpassungen gehört auch, dass einzelne Funktionen in andere Dienste integriert werden, um die Nutzung zu vereinfachen. 

Produkte und Dienste von Office 365 werden als Abonnement angeboten. Für den Erwerb von Lizenzplänen benötigen Sie einen Office 365-Mandanten, den sog. Tenant. Über diesen Mandanten verwalten Sie alle Office 365-Einstellungen, die Office 365 Abonnements und die Zuweisung der erworbenen Lizenzpläne zu Benutzerkonten. Sie können Office 365-Lizenzplanabonnements direkt in Ihren Office 365-Mandanten abschließen oder über einen Cloud Solution Provider (CSP) erwerben. 

Alle Produkte und Dienste von Office 365 werden mit einer Standardkonfiguration von Microsoft bereitgestellt und ermöglichen eine sofortige Nutzung durch Anwender. Aus diesem Grund ist es wichtig, dass Sie die für Ihren Office 365-Mandanten erworbenen Produkte und Dienste kennen und für die Anforderungen Ihres Unternehmens konfigurieren. Grundsätzlich empfiehlt Microsoft eine stufenweise Aktivierung von Diensten, um die Einführung mit der passenden Kommunikation zu begleiten. Nur so können Sie sicherstellen, dass die neu eingeführten Dienste von Anwendern positiv angenommen werden und die Einführung ein Erfolg wird.

Was ist Microsoft 365?

Neben Office 365 existiert eine weiteres SaaS-Lizenzmodell unter dem Namen Microsoft 365. Microsoft 365 ist ein kombiniertes Angebot, dass aus den folgenden drei Komponenten besteht:

• Office 365
  Dies sind die Standardbestandteile des SaaS-Angebotes von Office 365 im ausgewählten Lizenzplan (s.u.).
   
• Office 365 Enterprise Mobility + Security (EMS)
  Office 365 EMS ist eine Funktionslizenz, mit der Sie wichtige Sicherheitsfunktionen zum Schutz von Identitäten (Benutzerkonten) und Unternehmensinformationen lizensieren, die über den Standardschutz von Office 365 hinausgehen.
   
• Windows 10
  Über diese Lizensierung erhalten Ihre Anwender das Windows 10 Betriebssystem in einer Windows-as-a-Service Variante. Hierdurch stellen Sie sicher, dass das Betriebssystem immer aktuell ist. 

Microsoft 365 wird für große Unternehmen (Enterprise Pläne E5, E3, F1), Selbstständige und mittelständische Unternehmen (Microsoft 365 Business) und für Bildungseinrichtungen (Microsoft 365 Education) angeboten. 

Die zusätzlich zu Office 365 in Microsoft 365 enthaltenen Komponenten müssen ebenfalls konfiguriert werden. Der reine Erwerb und die Zuweisung der Lizenz sind nicht ausreichend.

Übersicht

Mit der Zuweisung eines Lizenzplanes, z.B. Microsoft 365 E5, an ein Benutzerkonto, werden alle im Lizenzplan enthaltenen Produkte und Dienste lizensiert und stehen dem Anwender zur Verfügung. 

Der zentrale Einstiegspunkt für den browserbasierten Zugriff ist die Url: https://office.com. 

Nach der Anmeldung erscheint die ganz persönliche Portalseite von Office 365. Auf dieser Seite können Anwender direkt zu einer Office 365-Applikation wechseln oder an einem Office-Dokument weiterarbeiten. 

Der folgende Screenshot zeigt die Office 365-Portalseite beispielhaft.

Über diese Portalseite haben Anwender auch die Möglichkeit, die aktuelle Version des Office-Paketes zu installieren. Die Installation erfolgt per Click-to-Run und wird für jeden Anwender einzeln aus der Cloud auf den lokalen Computer heruntergeladen. 

Produkte und Dienste

Die folgende, alphabetisch sortierte, Liste gibt einen Überblick über die Funktionskomponenten von Office 365. Ob Ihnen eine Komponente in Ihrem Office 365-Mandaten zur Verfügung steht, hängt von den erworbenen und zugewiesenen Abonnements ab. Der Vollständigkeit halber werden hier auch die Applikationen aufgeführt, die Administratoren zur Verfügung stehen.

Für Administratoren

Die folgenden Applikationen stehen Anwender zur Verfügung, die Mitglied einer adminstrativen Rolle sind.

	Administration Das Microsoft 365 Adminportal ist die zentrale Stelle zur Einrichtung und Verwaltung Ihres Office 365-Mandanten. In diesem Portal können Sie mandantenweite Einstellungen vornehmen und einfache Konfigurationen der zu Ihren Abonnements gehörenden Produkte und Dienste durchführen. Ebenso dient das Portal der individuellen Zuweisung von Office 365-Lizenzen zu benutzerkonten. URL: https://admin.microsoft.com
	Compliance Das Microsoft 365 Compliance-Portal bündelt alle Funktionen zur Erstellung von Compliance-Richtlinien, Benachrichtigungen bei Richtlinienverstössen und zur Abfrage von Compliance-Berichten. Der Compliance-Score (in Vorschau) unterstützt Sie bei der Konfiguration von Compliance-Richtlinien Ihres Office 365-Mandaten. URL: https://compliance.microsoft.com  Je nach Konfiguration Ihres Office 365-Mandaten erfolgt eine automatische Umleitung zum kombinierten Office 365 Security & Compliance Portal.
	Sicherheit Das Microsoft 365 Security Center dient der Verwalten und Überwachung der Sicherheitsfunktionen in Ihrem Office 365-Mandanten. Sie verwalten die Sicherheitseinstellungen für Benutzerkonten, die in Office 365 gespeicherten Daten, die von Anwendern verwendeten Geräte und Applikationen.  a href="https://www.granikos.eu/de/Blog/PostId/1830/microsoft-365-security-center">URL: https://security.microsoft.com Je nach Konfiguration Ihres Office 365-Mandaten erfolgt eine automatische Umleitung zum kombinierten Office 365 Security & Compliance Portal.

Für Anwender

	Aufgaben Bei Aufgaben handelt es sich um die Aufgabenliste in Ihrem persönlichen Postfach, auf die Sie normalerweise direkt über den Outlook-Client zugreifen. In dieser Liste erscheint nicht nur Aufgaben, die Sie direkt als Aufgabe erstellen, sondern auch Aufgaben, die Sie einer To Do-Liste angelegt haben. In Outlook on the Web (OWA) wurde die Verknüpfung zu Aufgaben inzwischen durch eine Verknüpfung zu To Do ersetzt.
	Delve Delve ist Ihre ganz persönliche Startseite, auf der Sie Ihre relevanten Informationen gebündelt angezeigt bekommen. Zu diesen Informationen gehören die Dokumenten, an denen Sie gegenwärtig arbeiten, aber auch die Dokumente von anderen Personen im Unternehmen, an denen Sie mitwirken oder die für Sie relevant sind. Über die Delve-Seite haben Sie auch Zugriff auf Ihre MyAnalytics-Übersicht.  URL: https://eur.delve.office.com
	Dynamics 365 Dynamics 365 ist die Heimat Ihrer Geschäftsanwendungen. Dies können individuell zu lizensierende Dynamics 365-Applikationen von Microsoft sein oder aber Ihre unternehmensweit veröffentlichten PowerApps-Applikationen der Power Plattform. URL: https://home.dynamics.com
	Excel Dies ist die bekannte Tabellenkalkulation als Bestandteil von Office Online. Hier haben Sie die Möglichkeit Excel-Dateien, die in SharePoint Online oder OneDrive gespeichert sind, zu öffnen und zu bearbeiten. Ebenso werden Excel-Dateien, die Sie als Dateianhang erhalten, über Outlook on the Web hier dargestellt. URL: https://www.office.com/launch/excel
	Forms Mit Forms können Sie eigene Formulare und Gruppenformulare erstellen, um Daten zu Erfassen. Eine Auswertung der erfassten Formulardaten ist direkt in Excel Online möglich. URL: https://forms.office.com
	Kaizala Kaizala ist eine mobile Chat-Applikation, für eine Anmeldung per Mobilfunkrufnummer ausreichend ist und so eine schnelle und einfach Kommunikation mit Kunden oder zeitlich begrenzt eingesetzten Arbeitskräften ermöglicht. Für die Nutzung im Unternehmen ist zusätzlich eine Verknüpfung mit bestehenden Office 365-Konten möglich. URL: https://kaiza.la
	Kalender Dies ist der Kalender Ihres persönlichen Exchange Online-Postfaches, ganz so wie Sie ihn aus Outlook kennen. Als Bestandteil von Outlook on the Web verfügt der Kalender jedoch über einige Funktionen, die die Variante eines lokal betriebenen Postfaches auf Exchange Server nicht bietet. URL: https://outlook.office.com/calendar
	MyAnalytics Mit Hilfe von MyAnalytics erfahren Sie mehr über Ihre persönliche Arbeitsweise im Hinblick auf Besprechungen, E-Mail-Nutzung und Fokusstunden. Die zur Verfügung gestellten Informationen helfen Ihnen, Ihre Arbeitsgewohnheiten besser zu verstehen und, falls gewünscht, anzupassen. URL: https://myanalytics.microsoft.com
	OneDrive OneDrive ist Bestandteil von SharePoint und ist Ihre persönlicher Ablageort für Dateien. Er ist so etwas, wie das persönliche Home-Laufwerk, das Sie eventuell aus der lokalen IT-Infrastruktur kennen. Hier abgelegt Datei können Sie mit Hilfe des OneDrive-Clients synchronisieren und, bei Bedarf, auf Offline verfügbar machen. In ObeDrive gespeicherte Dateien können Sie auch freigeben und mit anderen Personen daran gemeinsam arbeiten.
	OneNote Mit OneNote steht Ihnen Ihre Notizen, Zeichnungen und Skizzen auf all Ihren Geräten zur Verfügung. OneNote ist Bestandteil von Office Online und bietet Ihnen ein browserbasiertes Interface. Als Alternative können Sie auch mit der OneNote App auf Ihre OneNote-Notizbücher zugreifen. URL: https://www.office.com/launch/onenote
	Outlook Ihr persönliches E-Mail-Postfach finden Sie in Outlook. Hier haben Sie Zugriff auf Ihr persönliches Postfach, ein eventuell aktivertes Online-Archivpostfach, auf die Postfächer von Office 365-Gruppen, freigegebene Postfächer und, falls verwendet, sogar auf Öffentliche Ordner. Von hier können Sie bequem zu den anderen Postfachkomponenten Kalender und Personen wechseln. Ebenso können Sie direkt zu To-Do wechseln, Die webbasierte Version von Outlook wird auch als Outlook on the Web oder OWA bezeichnet. URL: https://outlook.office365.com
	Personen Unter dem Punkt Personen finden Sie Ihre aus Outlook für Desktop bekannten persönlichen Kontakte. Zusätzlich haben Sie hier Zugriff auf Ihre Office 365 Gruppen und deren Mitglieder und auf die konfigurierten Exchange Online Addresslisten des Unternehmens. URL: https://outlook.office365.com/people
	Planner Mit Planner steht Ihnen ein Kanban-Board basierte Lösung zur Projekt- und Aufgabenplanung a Basis von Plänen zur Verfügung. In einem Projektplan können Sie mit anderen Personen aus Ihrem Unternehmen oder externen Gästen zusammenarbeiten. Ihnen zugewiesene Aufgaben können in To Do integriert werden. URL: https://tasks.office.com
	Power Automate  Mit Hilfe von Power Automate (ehemals Flow) können Sie als Anwender regelmäßig wiederkehrende Aufgaben auf Basis von Worklows automatisieren. Sie können persönliche Workflows erstellen, die Ihnen die tägliche Arbeit erleichtern. Ebenso können unternehmensweite Workflows die Automatisierung von Aufgaben unter Einbindung von cloudbasierten und lokalen Datenquellen ermöglichen. URL: https://flow.microsoft.com
	Power BI Mit Power BI erstellen Sie als Anwender dynamische Dashboards, um Geschäfts- und andere Daten optisch gut aufbereitet darstellen zu können. Die Ausgangsdaten können aus ganz unterschiedlichen Datenquellen eingebunden werden. Neben Power BI-Dashboards für die persönliche Nutzung können Sie Dahboards auch für Ihr Team oder sogar unternehmensweit freigeben und nutzen. URL: https://app.powerbi.com
	PowerApps PowerApps bieten Ihnen, als Anwender, die Möglichkeit, mobile und webbasierte Applikationen zu erstellen, ganz ohne Programmmierkenntnisse. Nutzen Sie in Ihren Applikationen die bereits im Unternehmen exisitierenden Datenquellen. Die in PowerApps angebundenen Datenquellen können sowohl in der Cloud als auch in der lokalen IT-Infrastruktur bereitgestellt sein. URL: https://make.powerapps.com
	PowerPoint PowerPoint gehört, wie auch Excel oder Word, zum Funktionsumfang von Office Online. Hier haben Sie die Möglichkeit Ihre PowerPoint-Dateien, die in SharePoint Online oder OneDrive gespeichert sind, zu öffnen und zu bearbeiten. Ebenso werden PowerPoint-Dateien, die Sie als Dateianhang empfangen, über Outlook on the Web hier dargestellt. PowerPoint ermöglicht Ihnen die direkte Präsentation in einem Browser. URL: https://www.office.com/launch/powerpoint
	SharePoint SharePoint ist die zentrale Lösung zur unternehmensweiten Ablage von Dokumenten, zum Wissensmanagement, zur Bereitstellung von webbasierten Applikationen und zur Teamzusammenarbeit. Neben der direkten Nutzung von SharePoint nutzen diverse Office 365-Applikation SharePoint als Datenspeicher. Hierzu gehört u.a. Teams. Ihr persönlicher OneDrive-Datenspeicher ist Bestandteil von SharePoint.
	Stream Stream ist die zentrale unternehmensinterne Video-Plattform in Ihrem Office 365-Mandaten. In Stream können Sie vorproduzierte Videos für Trainings unterschiedlichen Zielgruppen zur Vergügung stellen. Ebenso werden Aufzeichnungen von Teams-Besprechungen durch Stream automatisch verarbeitet und im zugehörigen Teams-Kanal bereitgestellt.  URL: https://web.microsoftstream.com
	Sway Mit Sway erstellen Sie webbasierte interaktive Berichte oder Präsentationen.In solch ein Sway können Sie externe Quellen für Videos oder vorhandene PowerPoint-Präsentation einbinden. Ein Sway kann mit internen und externen Personen geteilt werden. URL: https://www.office.com/launch/sway
	Teams Teams ist die zentrale Applikation für die Zusammenarbeit in Ihrem Unternehmen und steht als Desktop-Client und als Web-Variante zur Verfügung. Teams unterstützt die Kommunikation von persönlichen Chats, Team-Konversationen, Video- und Audio-Kommunikation und klassicher Telefonie. Der Teams-Arbeitsbereich ist durch zusätzliche Applikationen von Microsoft, Drittherstellern oder durch Eigenentwicklungen erweiterbar.  URL: https://teams.microsoft.com
	To Do Ihre persönliche List an Aufgaben verwalten Sie mit To Do. Hier können Sie Ihre persönlichen Aufgabenlisten in Gruppen zusammenfassen und, bei Bedarf,  mit anderen Anwendern teilen. Ihnen zu gewiesene Aufgaben aus Planner und markierte E-Mail-Nachrichten aus Outlook können Sie ebenfalls in To Do integrieren. Der Zugriff auf die Aufgabenlisten erfolgt per Web, Desktop-App oder mobiler Applikation.   URL: https://to-do.office.com
	Whiteboard WIe man aus dem Namen schon ablesen kann, stellt Ihnen Whiteboard eine Entwurfsfläche für Freihangzeichnungen zur Verfügung, auf der Sie mit Stift-, Touch- und Tastatureingaben Ideen entwickeln können. Die integrierten Funktionen zum Teilen ermöglichen eine zeitliche Zusammenarbeit an einer Idee.    URL: https://whiteboard.microsoft.com
	Word Word ist ebenfalls Bestandteil von Office Online und ermöglicht Ihnen das Erstellung und die Bearbeitung von Word-Dokumenten im Browser. Word-Dateien, die Sie als E-Mail-Dateianhang empfangen, werden über Outlook on the Web hier dargestellt. URL: https://www.office.com/launch/word
	Yammer Yammer ist eine unternehmensweite Kollaborationslösung, die sowohl als soziales Netzwerk, als auch zur Projektzusammenarbeit genutzt werden kann. Die Mitarbeit in Yammer-Netzwerken ist nicht nur internen Mitarbeitern möglich, sondern auch externen Teilnehmern. URL: https://www.yammer.com/office365

Fehlt Ihnen eine Komponente von Office 365? Senden Sie mir gerne eine E-Mail: office365@granikos.eu

Links

• Office 365 für große Unternehmen (Enterprise Pläne)
• Microsoft 365 für große Unternehmen (Enterprise Pläne)
• Office 365 für mittelständische Unternehmen (Business Pläne)
• Office 365 für Bildungseinrichtungen (Academic Pläne)
• Office 365 für gemeinnützige Organisationen

Literaturempfehlungen

• Office 365 for IT Pros (das englischsprachige Standardwerk für IT-Fachleute)

• Short-Link zu dieser Seite: https://go.granikos.eu/Office365

Viel Spaß mit Office 365.

Updates

2020-02-15: Verlinkung Office Online für Excel, OneNote, PowerPoint und Word hinzugefügt 
2020-02-11: Verlinkung Microsoft 365 Security Center hinzugefügt