Es gibt zahlreiche Gründe, warum externe Dienstanbieter E-Mails unter Verwendung einer E-Mail Dömane eines Kunden senden. Beispielhafte Anwednungsfälle sind z.B.
Die Nutzung einer E-Mail Domäne, die ein Unternehmen bereits in Verwendung hat, birgt Riskien. Bei der Nutzung durch einen Marketingdienstleister, der hauptsächlich an externe Empfänger sendet, treten die Probleme noch nicht so deutlich hervor. Werden jedoch Dienste in Anspruch genommen, die eine Zustellung von E-Mails an interne MItarbeiter notwendig machen, kommt es zu Problemen.
Eine der einfachsten Funktionen im Rahmen des E-Mail Grundschutzes ist die Abweisung von E-Mails, die eine eigene Domäne (Accepted oder Owned Domain) als Absender nutzen.
Das nachfolgende Schaubild verdeutlicht die Situation.
Das Unternehmen nutzt die E-Mail Domäne varunagroup.de als primäre E-Mail Domäne. Der Dienstanbieter nutzt die Adresse news@varunagroup.de als Absender. E-Mails an externe Empfänger können meist problemlos zugestellt werden, solange der SPF Eintrag des Dienstanbieters in der externen DNS Zone varunagroup.de eingetragen ist. Die E-Mail Sicherheitslösung am Gateway verweigert die Annahme von E-Mails, da nur interne Systeme unter der Domäne varunagroup.de senden dürfen.
Am E-Mail Gateway können natürlich Ausnahmen konfiguriert werden. Diese sind aber von Natur aus wartungs- und fehleranfällig.
Das Problem kann durch Nutzung von Subdomänen einfach und elegant gelöst werden.
Anstatt der Domäne varunagroup.de werden E-Mails von externen Dienstanbietern unter der Subdomäne email.varunagroup.de gesendet. In der zur DNS-Zone der Subdomäne werden der zugehörige SPF Eintrag und alle erforderlichen DKIM Einträge verwaltet.
Das nachfolgende Schaubild verdeutlicht den Unterschied zum ersten Schaubild.
Das Unternehmen nutzt weiterhin die Domäne varunagroup.de als primäre E-Mail Domäne. Für externe Dienstanbieter wurde nun aber die Subdomäne email.varunagroup.de eingerichtet. Somit versendet der Anbieter in diesem Beispiel E-Mail Nachrichten mit der Absenderadresse news@email.varunagroup.de. Für externe Empfänger ändert sich hierdurch nichts. Für das E-Mail Sicherheitsgateway des Unternehmens ändert sich aber alles. Die Absenderdomäne email.varunagroup.de ist ist eine vollwertige externe Domäne, die durch SPF und DKIM abgesichert wurde. Alle Nachrichten des Dienstanbieters werden angenommen und an interne Empfänger zugestellt.
Bei Bedarf kann für jeden externen Dienstanbieter eine separate Subdomäne konfiguriert werden. Dieses Vorgehen ist ein wenig aufwendiger, bietet jedoch ein verbesserte Kontrolle der DNS Konfiguration.
Die nachfolgende Präsentation verdeutlich die Optionen noch einmal.
Richten Sie für externe Dienstanbieter, die unter Ihrer E-Mail Domäne Nachrichten versenden sollen, immer Subdomänen ein. Für Unternehmen, die Office 365 und Exchange Online nutzen, ist die Empfehlung mit der beschriebenen Subdomänen-Konfiguration zu arbeiten. Ansonsten wird Exchange Online Portection (EOP) E-Mails von externen Dienstanbietern abweisen.
Die E-Mail Gateway Lösung NoSpamProxy von Net at Work ist seit Kurzem als NoSpamProxy Azure Edition im Azure Marketplace verfügbar. Somit kann NoSpamProxy auch dann für den Schutz der E-Mail Kommunikation eingesetzt werden, wenn keine eigenen IT-Systeme für den Betrieb von NoSpamProxy zur Verfügung stehen.
Die in NoSpamProxy Azure integrierte Möglichkeit zur Anbindung von Office 365 bietet eine einfache und kostengünstige Möglichkeit zur zentralen Ver-und Entschlüsselung von E-Mails und zur sicheren Spamabwehr.
Das aktuell verfügbare Paket installiert eine Single-Server Variante, bei der die NoSpamProxy Intranet-Rolle und die Gateway-Rolle auf einem System kombiniert betrieben werden.
Die NoSpamProxy Azure Edition wird als BYOL (Bring Your Own License) System bereitgestellt und erfordert neben den Betriebskosten in Microsoft Azure den Erwerb einer NoSpamProxy Lizenz. Eine bereits vorhandene Lizenz für die aktuelleste NoSpamProxy Version kann bei einer Migration zu Microsoft Azure weiter verwendet werden.
Betriebsmöglichkeiten Hinweise Bereitstellung Links
NoSpamProxy Azure kann auf unterschiedliche Weise in Microsoft Azure betrieben werden. Das System wird standardmäßig als Workgroup System und somit ohne eine AD-Mitgliedschaft in Microsoft Azure bereitgestellt. Die einzelnen Betriebsmöglichkeiten von NoSpamProxy Azure leiten hauptsächlich dadurch ab, ob zwischen der eigenen IT-Infrastruktur und Microsoft Azure ein Site-2-Site VPN besteht oder nicht.
Aktuell wird eine direkte Anbindung an Azure AD nicht unterstützt, ist aber in Planung.
Je nach ausgewählter Azure VM können unterschiedliche Datendurchsätze hinsichtlich der verarbeiteten E-Mails pro Minute erreicht werden.
Lasttests auf Basis von Standard A Maschinen haben folgendes Ergebnis gebracht:
Die nachfolgenden Schritte beschreiben die einfache Bereitstellung von NoSpamProxy Azure.
Suchen Sie im Azure Marketplace nach NoSpamProxy und wählen Sie die NoSpamProxy Azure Edition aus.
Klicken Sie auf Create, um das NoSpamProxy Azure System zu konfigurieren.
Konfigurieren Sie die Parameter für
Wählen Sie einen passenden VM Typ. NoSpamProxy hat keine großen Anforderungen an Prozessor und Arbeitsspeicher. Der verwendete SQL Server 2014 Express kommt initial mit einem kleinen System zurecht.
In diesem einfachen Beispiel bleiben die weiteren Einstellungen unverändert. Diese können bei Bedarf individuell angepasst werden, um bereits bestehende Ressourcen zu nutzen.
Prüfen Sie in der technischen Zusammenfassung die Einstellung und klicken Sie OK, um die das konfigurierte System in den Warenkorb zu legen.
Prüfen Sie auf der Angebotsseite den ausgewählten Azure Service und die konfigurierte VM. Klicken Sie auf Purchase, um den Service und das Systemabo zu kaufen. Da es sich um ein BYOL Deployment handelt, benötigen Sie für die Konfiguration entweder eine NoSpamProxy Testlizenz oder eine gültige NoSpamProxy Volllizenz.
Melden Sie sich nach der erfolgreichen Erstellung des System per Remote Desktop an. Bei der ersten Anmeldung wird die Installation von NoSpamProxy durch einen Scheduled Task gestartet. Der Task führt folgende Schritte durch:
Schließen oder Unterbrechen Sie das Windows PowerShell Fenster nicht.
Nach Abschluss der Installation wird die öffentliche Webseite von NoSpamProxy Azure aufgerufen. Da der Internet Explorer zu diesem Zeitpunkt noch im abgesicherten Modus läuft, erscheint ein Warnhinweis. Nehmen Sie NoSpamProxy in die Liste der Ausnahmen auf. Über diese Webseite können Sie Ihre persönliche Testlizenz anfordern.
Durch die Installation von NoSpamProxy wurden Gruppenmitgliedschaften für das Benutzerkonto des angemeldeten Administrators geändert. Um NoSpamProxy verwalten zu können, müssen Sie sich einmal ab- und wieder anmelden.
Starten Sie nach der erneuten Anmeldung die NoSpamProxy Verwaltungskonsole um beginnen Sie mit dem Import der Testlizenz oder Ihrer vorhandenen Volllizenz.
In der Verwaltungskonsole können Sie auf der rechten Seite die installierte Version von NoSpamProxy ablesen.
Nach dem Import der Lizenz erfolgt die individuelle Konfiguration von NoSpamProxy für Ihre Anforderungen.
Bei dem Thema Cloud wird allzu oft nur an gehostete Dienstleistungen der unterschiedlichen Anbieter gedacht. In den letzten Jahren gab es jedoch eine wahre Explosion von Angeboten, die im Rahmen von Software-as-a-Service (SaaS)[1] ihren Weg zu privaten und gewerblichen Kunden gefunden haben.
Die Nutzung dieser sog. "Cloud-basierten" Anwendungen ist sowohl für Anwender, wie auch für Administratoren gleichermaßen, vollständig transparent. Hier wird vordergründig die Einsparung von zusätzlicher Hardware und die schnelle Umsetzung der Anforderungen (z.B. FastTrack Onboarding in Office 365) gesehen.
Das Umsetzen des Cloud-Gedanken auf der Infrastrukturseite erfordert allerdings ein Umdenken der IT-Verantwortlichen und auch ein Loslassen von alten Konzepten bei Administratoren.
Der sehr allgemeine Begriff "Cloud" lässt sich für die IT-Infrastruktur in die Bereiche Private Cloud und Public Cloud verfeinern. Mit diesen Begriffen wurde in der Vergangenheit hauptsächlich die Bereitstellung von Infrastrukturkomponenten beschrieben, mit denen eine Virtualisierung von Serversystemen mehr oder weniger einfach erreicht werden konnte. Man war in der Lage ein Serversystem entweder in der eigenen Umgebung ("Private Cloud") oder in der Umgebung eines Hosters ("Public Cloud") zu betreiben.
Ergänzt wird das Public Cloud Angebot durch Platform-as-a-Service (PaaS)[2]. Hierbei kann der Kunde seine Kompetenz ganz auf den Betrieb und die Nutzung seiner Line-of-Business Applikationen ausrichten und den größtmöglichen Nutzen aus allen Plattformkomponenten ziehen. Am Beispiel von Microsoft Azure stehen über den Middleware-Stack nicht nur unterschiedliche Speichermedien bereit, sondern vielmehr Dienste, die z.B. eine automatische Verarbeitung von großen Datenmengen erleichtern. Die kontinuierliche Erweiterung und Verbesserung der Plattform ist für die Kunden von großen Nutzen, da in technologischen Spezialgebieten keine eigenes Infrastruktur Knowhow aufgebaut werden muss.
Das nachfolgende Schaubild verdeutlicht die Unterschiede zwischen dem Betrieb einer eigenen IT-Infrastruktur, Infrastructure-as-a-Service (IaaS)[3], Platform-as-a-Service (PaaS)[2] und Software-as-a-Service (SaaS)[1].
Am Beispiel Microsoft Azure lässt sich der Nutzen der "Private Cloud" in Unternehmen sehr gut verdeutlichen. Aus Sicht von Microsoft Azure sind "Kunden" immer "externe Kunden" des Plattformbetreibers.
Wie wäre es, wenn man die Vorteile einer Platform-as-a-Service (PaaS)[2] Umgebung im eigenen Unternehmen bereitstellen könnte?
Genau dies erreicht man mit dem Microsoft Cloud Platform System (CPS). Hierbei handelt es sich um eine vorkonfigurierte Hardwareumgebung, die aus einem 19" Rack mit allen erforderlichen Komponenten besteht. Das System kann auf bis zu 4 Racks erweitert werden.
Setzt man nun den Plattformbetreiber gleich mit der internen IT-Abteilung eines Unternehmens und die "externen Kunden" mit den Fachabteilungen eines Unternehmens, wird deutlich, wo die Vorteile einer solchen Konfiguration liegen.
Abteilungen können eigenständig die erforderlichen Dienste aus der Plattform abonnieren, konfigurieren und nutzen. Durch die Integration von Microsoft System Center und der Azure Pack Erweiterung ergibt sich ein einheitliches Nutzungsszenario zwischen dem On-Premise CPS und dem Azure-Abonnements des Unternehmens.
Gerade die dynamische Skalierung von Systemen, bei der automatisch zusätzliche Server mit gleicher Konfiguration bereitgestellt und genutzt werden, hilft Fachabteilungen bei der effizienten Realisierung antizyklischer Berechnungen.
Neben der Nutzung des integrierten Portals (Azure Pack), besteht auch die Möglichkeit, die konfigurierten Dienste durch eigene Softwareentwicklung über eine REST-API anzusprechen oder ein eigenes, den Unternehmensvorgaben entsprechendes, Portal zu erstellen.
Insgesamt stehen in einem CPS, bestehend aus vier Racks, 1,1 PB Speicherkapazität zur Verfügung. Mit einer VM Konfiguration von 2vCPU und 1,75 GB lassen sich in solch einem CPS bis zu 8.000 virtuelle Serversysteme betreiben.
Das standardmäßig integrierte Management, auf Basis von System Center, erleichert das Monitoring der Umgebung und die Verteilung von Softwareaktualisierungen. Mit Hilfe der integrierten Automation Engine können beliebige Konfigurationsschritte teilweise oder vollständig automatisiert werden. Von Hause aus, müssen keinen zusätzlichen Arbeiten zur Erstellung von Datensicherungen durch geführt werden. Neue Systeme werden automatischen durch den integrierten Data Protection Manager (DPM) gesichert.
Somit stellt das CPS eine attraktive Alternative oder Ergänzung zu bereits vorhandenen On-Premise Lösungen dar. Insbesondere Unternehmen die, aus unterschiedlichsten Gründen, den Weg in die Public Cloud nicht gehen wollen finden in CPS einen gangbaren Weg um die Vorteile einer Cloud Lösung nutzen zu können.
In vorherigen Blog-Artikeln wurde allgemein das Thema E-Mail Verschlüsselung und E-Mail Sicherheit besprochen und auf die Verbindungsverschlüsselung mit TLS eingegangen. In diesem Artikel werden Möglichkeiten zum Einsatz von S/MIME zur Signierung und Verschlüsselung von E-Mail Nachrichten betrachtet.
In der heutigen Zeit kommt der Signierung und Verschlüsselung von E-Mail Nachrichten eine zentrale Rolle zu, um sich gegen Wirtschaftsspionage und anderen Zugriffe Dritter auf die Unternehmenskommunikation zu schützen. Die Sicherung des Nachrichtenverkehrs ist nur ein Baustein im gesamten Informationssicherheitskonzept eines Unternehmens. Weitere Punkte sind u.a. Schutz gegen den Verlust von Daten (Data Leackage Prevention, DLP), Berechtigungsmanagement (RMS) oder die Kontrolle von Zugriffsberechtigungen.
Das generelle Konzept zur Verschlüsselung von Nachrichten per S/MIME geht auf das Jahr 1995 zurück. Die aktuellen Implementierung von S/MIME 3.2 sind seit 2010 Stand der Technik.
Bei der Verwendung von S/MIME wird eine unverschlüsselte E-Mail Nachricht in einer sog. MIME gekapselt und nur signiert oder auch verschlüsselt. Neben diesem ersten Teil enthält die neue Nachricht auch die erforderliche Zertifikatsinformation zum Zugriff auf den Nachrichtenteil.
Zertifikate teilen sich in einen öffentlichen und einen privaten Schlüssel und bilden gemeinsam das Schlüsselpaar eines Anwenders. Im Standardfall wird das Schlüsselpaar auf einem Clientrechner eines Benutzers erzeugt und der öffentliche Schlüssel von einer Zertifizierungsstelle signiert. Der private Schlüssel verbleibt auf dem Rechner des Benutzers.
Da der private Schlüssel somit nur an einer Stelle gespeichert ist, jedoch für die Laufzeit des Zertifikates zum Entschlüsseln von Nachrichten benötigt wird, stellt dies ein Risiko dar. Kommt es ohne Datensicherung des privaten Schlüssels zu einem Schaden am Gerät, muss ein neues Zertifikat ausgestellt werden und alte, mit dem verlorenen Zertifikat verschlüsselte Nachrichten, können nicht mehr entschlüsselt werden. Mehr dazu im Abschnitt "Gateway-Lösungen".
Neben der Speicherung des Zertifikates auf dem Clientrechner können auch Signaturkarten verwendet werden. Der Einsatz von Signaturkarten erfordert allerdings auch den Einsatz von passenden Lesegeräten, die meist nicht für alle Arten von Clientgeräten zur Verfügung stehen. Die auf Signaturkarten gespeicherten Zertifikate sind durch eine PIN vor unbefugtem Zugriff geschützt.
Im Standardfall ist das S/MIME E-Mail Zertifikat auf dem Clientrechner eines Benutzers vorhanden. Dies bedeutet, dass der Benutzer auf diesem Clientrechner in der Lage ist, E-Mail Nachrichten zu signieren oder zu verschlüsseln. Und dies auch nur mit einem E-Mail Programm wie Outlook. Alternative Produkte verfügen eventuell über einen separaten Speicher für S/MIME Zertifikate und verwenden nicht den Zertifikatsspeicher des Betriebssystems.
In der heutigen Welt ist ein fester Clientrechner, sei es ein Desktop PC oder ein Laptop, nicht mehr das einzige Gerät, über das ein Mitarbeiter Zugriff auf E-Mails hat. Wenn in einem Unternehmen S/MIME verwendet wird, soll die Zugriff auf E-Mail Nachrichten und damit das Verfassen und Lesen von verschlüsselten Nachrichten auf allen Clients verfügbar sein.
Zu den Client-Optionen und Zugriffsarten gehören:
Je nach erforderlichem Einsatzszenario im Unternehmen, muss das S/MIME Zertifikat sowohl auf den Servern, als auch auf den auf den unterschiedlichen Endgeräten ausgerollt und installiert werden. Dies bringt ganz neue Herausforderungen mit sich. Gerade wenn unterschiedlichste Endgeräte zum Einsatz kommen oder eine BYOD Kultur etabliert ist, empfiehlt sich eine zentrale Gateway-Lösung für die E-Mail Verschlüsselung.
Der Einsatz von S/MIME Verschlüssung beim Zugriff auf Webmail (Outlook Web App) erfordert den Zugriff des Browsers auf den lokalen Zertifikatsspeicher. Hierzu muss eine separate Software-Komponente (S/MIME Plugin) installiert werden, die nur mit dem Internet Explorer funktioniert. Zusätzlich müssen die serverseitigen S/MIME Parameter für OWA im Exchange Server konfiguriert werden. Da die OWA S/MIME Implementierung aber nur ein Teil der zur Verfügung stehenden Crypto-Einstellungen unterstützt, müssen OWA S/MIME Einstellungen und die Crypto Konfigurationen des Betriebssystem im Einklang erfolgen. Ansonsten kommt es in OWA zu Fehlermeldungen und der Benutzer kann E-Mails nicht signieren, verschlüsseln oder entschlüsseln. Dies bedeutet, dass ein Benutzer per Outlook verschlüsselte E-Mails nicht in OWA öffnen kann.
Die zur Signierung und Verschlüsselung verwendeten Zertifikate werden von einer Zertifizierungsstelle signiert. Diese Zertifizierungsstelle ist Bestandteil einer sog. PKI und wird entweder von einem externen Anbieter oder aber vom eigenen Unternehmen betrieben.
Die Verwendung eines externen Anbieters von Zertifikaten hat den Vorteil, dass in den allermeisten Fällen die erforderlichen Zertifikate (Root- und Intermediate-Zertifikate) zur Überprüfung eines E-Mail Zertifikates bereits auf den jeweiligen Endgeräten zur Verfügung stehen. Die benötigten E-Mail Zertifikate für Mitarbeiter werden immer für einen bestimmten Zeitraum ausgestellt, wobei unterschiedliche Zeiträume mit unterschiedlichen Kosten verbunden sind.
Die Implementierung einer eigenen PKI ermöglicht es Unternehmen, die Zertifikatsinfrastruktur auch für andere Komponenten zu verwenden. Hierzu gehören u.a. interne Webserver, Lync Kommunikation oder Benutzerauthentifizierung.
Die Verwendung einer eigenen PKI erhöht aber auch die Komplexität der IT-Infrastruktur und will gut überlegt und geplant sein, da etablierte PKI für einen langen Zeitraum in Betrieb ist.
Für S/MIME bedeutet der Einsatz einer eigenen PKI, dass die erforderlichen Root- und Intermediate Zertifikate für externe E-Mail Empfänger zur Verfügung stehen müssen. Partnerunternehmen können diese Zertifikate mit Hilfe von Softwareverteilung intern zur Verfügung stellen. Andere Empfänger müssen in der Lage sein, sich diese Zertifikate von einer Webseite herunterladen zu können. Hinzu kommt, dass der Endpunkt zur Überprüfung von zurückgezogenen Zertifikaten ebenfalls aus dem Internet erreichbar sein muss.
Wie bereits oben beschrieben, ist die Ausstellung von E-Mail Signatur Zertifikaten auf Benutzerrechnern in Unternehmen als Risiko zu sehen. Ebenso können Benutzer nicht ohne weiteres die gewohnten unterschiedlichen Endgeräte verwenden, um S/MIME Nachrichten zu empfangen oder zu senden.
Hier setzen Gateway-Lösungen an, die zentral die Signierung und die Ver- und Entschlüsselung sicherstellen. Das Zertifikatmanagement, also die Ausstellung und das Widerrufen von Benutzerzertifikaten erfolgt ebenfalls zentral am Gateway.
Die öffentlichen Schlüssel von eingehenden Nachrichten werden automatisch ausgelesen und zentral gespeichert. Hierdurch stehen die öffentlichen Schlüssel von externen Kommunikationspartnern allen Mitarbeitern im Unternehmen für eine sichere E-Mail Kommunikation zur Verfügung.
Durch ein Regelwerk kann sichergestellt werden, dass E-Mails an Empfänger, die keine Verschlüsselung unterstützen, auch unverschlüsselt zugestellt werden. Die Verschlüsselung des Übertragungskanal ist weiterhin möglich.
Als Beispiel einer solchen Lösung sein hier enQsig von Net at Work, Paderborn, genannt. Diese zertifizierte Verschlüsselungslösung unterstützt neben der Verschlüsselung mit S/MIME auch PGP. Das Produkt verfügt über weitere Funktionen, die Sie gerne hier nachlesen können.
Eine zentrale Gateway-Lösung zur E-Mail Verschlüsselung stellt eine optimale Möglichkeit zur Implementierung sicherer E-Mail Kommunikation dar, bei gleichzeitiger Reduzierung des Aufwandes für die erforderliche IT-Infrastruktur und die notwendigen Prozesse.
Es gibt keinen wirklichen Grund, E-Mail Verschlüsselung nicht einzusetzen. Die Gefährdungen für sensible Unternehmenskommunikation werden in den nächsten Jahren eher steigen als sinken.
Und mit einer zentralen Gateway-Lösung ist es sowohl für mittelständische Unternehmen, als auch für Großkonzerne möglich, eine verlässliche Kommunikationsumgebung zu schaffen, die anderen technischen Entwicklungen nicht im Wege steht.
Haben Sie Fragen rund um das Thema E-Mail Verschlüsselung und E-Mail Sicherheit? Kontaktieren Sie uns unter: emailsecurity@granikos.eu.
Die Nutzung von Office 365 Diensten erfordert eine korrekte Namensauflösung für die verwendeten Dienste. Ohne eine funktionierende Namensauflösung können Anwender aus dem Unternehmensnetzwerk oder direkt aus dem Internet nicht auf Office 365-Dienste zugreifen. Das "Finden" der Office 365-Dienste erfolgt auf Basis des Anmeldenamens des Anwenders. Dieser Anmeldename (UPN) und die Haupt-E-Mail-Adresse sind im Idealfall identisch. Die Hintergründe für diese Anforderung hat Joe Palichario bereits 2015 in seinem Blog veröffentlicht. In meinem Beispiel folgen die Anmeldenamen dem Schema Vorname.Nachname@granikoslabs.de, der ADFS Authentifizierungsserver ist unter dem Namen adfs.granikoslabs.de veröffentlicht.
Unter einer Split-DNS Konfiguration versteht man den Betrieb der DNS-Zone, in einer internen und einer externen Konfiguration. Die interne DNS-Zone wird auf DNS-Servern bereitgestellt, die von Clientsystemen aus dem Unternehmensnetzwerk angefragt werden. Die externe DNS-Zone wird entweder auf eigenen DNS-Servern, die aus dem Internet erreichbar sind, oder auf DNS-Servern eines Internet DNS-Anbieters bereitgestellt. Diese Split-DNS Aufteilung ist wichtig, um Clientsystemen entweder die interne IP-Adresse oder die öffentliche IP-Adresse eines Dienstendpunktes bereitzustellen. In einer Hybrid-Konfiguration mit Office 365 ist solch eine Split-DNS Konfiguration dringend empfohlen. Wenn Sie Office 365 im reinen Cloudbetrieb nutzen, ist diese Konfiguration nicht notwendig.
Das folgende Schaubild verdeutlicht die DNS Konfiguration für die Split-DNS Implementierung inklusive ADFS-Server und ADFS-Proxy.
Ein interner Client, der auf Ressourcen von Office 365 zugreifen möchte, muss sich am internen ADFS-System authentifizieren . Hierzu wird der Client zum ADFS-Server umgeleitet.
Ein externer Client, der auf Ressourcen von Office 365 zugreifen möchte, muss sich ebenfalls am internen ADFS-System authentifizieren. Jedoch ist dieses System nicht direkt aus dem Internet erreichbar, sondern über einen ADFS-Proxy veröffentlicht.
Es ist wichtig, dass neben den individuellen Adressen für die benutzerdefinierte Domäne des Office 365-Tenant auch alle weiteren, von Microsoft bereitgestellten, öffentlichen Adressen für Office 365 auflösbar sein müssen. Die öffentlichen Office 365 Endpunkte werden über CNAME, SRV und TXT Einträge in der internen und externen DNS-Zone definiert.
Die nachfolgende Liste gibt einen Überblick der DNS-Namen für den Office 365 Tenant mit der benutzerdefinierten Domäne granikoslabs.de.
Die vollständige Liste der erforderlichen DNS-Namen finden Sie in der Administrationsoberflache von Office 365. Für jede benutzerdefinierte Domäne sind separate Einträge in der jeweiligen DNS-Zone erforderlich, wenn diese Domäne zur Anmeldung an Office 365 und als E-Mail Domäne verwendet wird.
Grundsätzlich unterstützt Office 365 auch eine Konfiguration, bei der der Anmeldename nicht identisch mit der primäre SMTP-Adresse oder SIP-Adresse ist. Jedoch erhöht eine solche Konfiguration den Supportaufwand im Fehlerfall und führt zu einer verwirrenden Benutzererfahrung. Auf den unterschiedlichen Anmeldeseiten der Office 365 Dienste wird der Anwender mal aufgefordert, die E-Mail-Adresse oder den Anmeldenamen einzugeben. Gleichzeitig bietet eine solch individuelle Konfiguration keinerlei Vorteile hinsichtlich der IT-Sicherheit. Eine bessere Absicherung wird vielmehr durch den Einsatz einer Multi-Faktor-Authentifizierung und Zugriffsfilterung (Conditional Access) erreicht.
Viel Spaß mit Office 365!
Mit Exchange Version 2013 wurden die sog. Modernen Öffentlichen Ordner (Modern Public Folder) eingeführt. In den vorherigen Produktversionen von Exchange Server erfolgte die Replikation der Öffentlichen Ordner mit einer eigenen Replikationstechnologie. Die öffentlichen Ordner bis einschließlich Exchange Server 2010 bezeichnet man als Legacy Public Folder oder als Öffentliche Ordner alter Bauart.
Im April 2017 habe ich bereits die Herausforderungen aufgezeigt, die bei der Migration von Öffentlichen Ordner innerhalb einer lokalen Exchange Organisation auftauchen. Dieser Blogartikel behandelt die Migration von Legacy Public Foldern zu Exchange Online.
Exchange Online unterstützt die direkte Migration von Legacy Public Foldern aus der lokalen Exchange Organisation zu Modern Public Foldern in Exchange Online. Da es sich hierbei technisch um eine Migration über Exchange Organisationsgrenzen hinweg (sog. Cross-Forest Migration) handelt, ergeben sich ganz eigene Herausforderungen.
Die Postfach-Migration aus einer lokalen Exchange Organisation hin zu Exchange Online erfordert immer die Konfiguration eines Migrationsendpunktes. Über diesen Endpunkt greift Exchange Online auf einen lokal installiert Exchange Server 2016 mit Hybrid Funktion zu.
Das nachfolgende Schaubild zeigt die Zugriffswege für die Migration von Postfächern und die Migration von Öffentlichen Ordnern von Exchange Server 2010 zu Exchange Online. Der Zugriffsweg zur die Migration von Exchange-Postfächern ist grün dargestellt, der für die Migration von Öffentlichen Ordner blau.
Exchange Server 2016 arbeitet bei der Migration von Postfächern als Proxy und nimmt in unserem Beispiel Verschiebeanforderungen von Exchange Online per Exchange Web Service (EWS) unter dem Hostnamen ews.varunagroup.de entgegen. Der Migrationsendpunkt für Exchange-Postfächer kann nicht für die Migration von Legacy Public Foldern verwendet werden. Die Migration der Legacy Public Foldern erfolgt über einen OutlookAnywhere Migrationsendpunkt vom Typ Public Folder. Ein Endpunkt dieses Typs kann im Exchange Admin Center nicht manuell erstellt werden. Die Erstellung erfolgt im Rahmen der Einrichtung des Migrationsbatchs mit Hilfe der Exchange Online Remote PowerShell. Für die Einrichtung des Migrationsendpunktes wird ein Benutzerkonto (Migrationskonto) im lokalen Active Directory benötigt, dass Organisationsadministrator ist.
Wenn Sie den externen OutlookAnywhere Zugriff auf Exchange Server 2010 bereits entfernt haben oder ihn noch nie in Betrieb hatten, so müssen Sie diesen Zugriff konfigurieren. Die externe Verfügbarkeit eines OutlookAnywhere Endpunktes ist für die Migration der Legacy Public Folder zu Exchange Online eine Voraussetzung.
Ein Wort zu E-Mail-aktivierten Öffentlichen Ordnern. E-Mail-aktivierte Öffentliche Ordner hatten in der Vergangenheit ihre Daseinsberechtigung, sind aber in der heutigen Zeit nicht mehr State-of-the-Art. Sie sollten darüber nachdenken, E-Mail-aktivierte Öffentliche Ordner durch eine zeitgemäße Lösung ersetzen. Wenn Sie die Öffentlichen Ordner Hierarchie zu Office 365 migrieren und anschließend zu etwas Neuem wechseln möchten, bringen Sie vielleicht die Funktionen von Microsoft Teams weiter.
Im Beispiel dieses Artikels gab es zu Beginn der Postfach-Migration in der Exchange Organisation E-Mail-aktivierte Öffentlichen Ordner, die mit Hilfe des Scripts Sync-MailPublicFolders.ps1 (Download) zu Office 365 manuell synchronisiert wurden. Dies war erforderlich, damit Anwender mit einem Postfach in Exchange Online E-Mail-Nachrichten an diese Öffentlichen Ordner senden konnten.
Als Teil der Vorbereitungen zur Migration der Öffentlichen Ordner zu Exchange Online wurden Funktionen der E-Mail-aktivierten Ordner in Freigegebene Postfächer migriert. Hierzu gehörte damit auch die Deaktivierung der E-Mail Funktionen der betroffenen Öffentlichen Ordner.
Der Ablauf einer Migration der Öffentlichen Ordner von Exchange Server 2010 zu Exchange Online ist im Grundsatz identisch zur Migration zu Exchange Server 2016 in einer lokalen Exchange Organisation. Der Hauptunterschied liegt in der Konfiguration des Migrationsendpunktes und des Remote-Migrationsbatches.
Die Schritte sind:
# Quota für die Migration ganz aufheben Set-OrganizationConfig -DefaultPublicFolderProhibitPostQuota Unlimited -DefaultPublicFolderIssueWarningQuota Unlimited
# Erste Public Folder Mailbox freigeben Set-Mailbox Mailbox1 -PublicFolder -IsExcludedFromServingHierarchy:$false # Default Public Folder Mailbox für Test-Benutzer setzen Set-Mailbox -Identity JohneDoe@varunagroup.de -DefaultPublicFolderMailbox Mailbox1
# Alle Public Folder Postfächer für den Hierarchie-Zugriff freigeben Set-Mailbox -PublicFolder -IsExcludedFromServingHierarchy:$false # Öffentlichen Ordner Zugriff auf "local" setzen (aus Sicht der Office 365 E-Mail Postfächer) Set-OrganizationConfig -PublicFoldersEnabled Local
Wie bereits erwähnt, wurden alle E-Mail-aktivierten Ordner vor der Migration zu Exchange Online deaktiviert und das Skript zur Synchronisation der E-Mail-aktivierten Öffentlichen Ordner mit Office 365 ausgeführt. Leider führt das Skript nicht alle notwendigen Schritte aus, um die Informationen in Exchange Online korrekt zu entfernen.
Fehlermeldung im Migrationsbatch:
"Error: More than N mail public folders in Active Directory were not linked to any public folder during migration. Mail flow will stop working for these public folders after the migration is finalized. Please check whether these are important"
Sie müssen die nicht mehr vorhanden Ordner manuell mit Hilfe der Exchange Online Remote PowerShell löschen. Mit dem nachfolgenden Beispiel löschen Sie alle E-Mail aktivierten Öffentlichen Ordner, die mit Hilfe des Skriptes Sync-MailPublicFolders.ps1 in Exchange Online erstellt wurden.
# Löschung eines einzelnen ehemals E-Mail-aktivieren Öffentlichen Ordners in Exchange Online Get-MailPublicFolder 'My Mail Public Folder' | Remove-SyncMailPublicFolder # Löschung aller ehemals E-Mail-aktivierten Öffentlichen Ordner in Exchange Online Get-MailPublicFolder -ResultSize Unlimited | Remove-SyncMailPublicFolder
Die Migration von Legacy Public Foldern zu Exchange Online ist nicht schwer. Sie erfordert aber, dass die zu migrierende Hierarchie der Öffentlichen Ordner vorbereitet wird und Ordnernamen keinen unzulässigen Zeichen enthalten. Ebenso muss ein passender OutlookAnywhere Endpunkt aus dem Internet erreichbar sein. Ohne einen OutlookAnywhere Endpunkt und ohne ein berechtigtes Migrationskonto kann der Migrationsbatch von Exchange Online keine Daten kopieren.
Stellen Sie die E-Mail-Aktivierung von Öffentlichen Ordnern in Frage und suchen Sie modernere Lösungen. Eventuell notwendige Umzüge von E-Mail-Adressen müssen vor der Migration der Öffentlichen Ordner abgeschlossen sein.
Planen Sie für die Finalisierung der Migration genügend Zeit ein. Im direkten Vergleich zu lokale durchgeführten Modern Public Folder Migrationen benötigten Finalisierungen von Migrationen zu Exchange Online das Vierfache an Zeit. Bedenken Sie, dass nach einer Umstellung des Public Folder Zugriffes für die Postfachnutzer in Exchange Online es noch mehrere Stunden dauern kann, bis die Konfigurationsänderungen durch Outlook Clients genutzt werden.
Viel Spaß mit modernen Öffentlichen Ordnern.
Der browserbasierte Zugriff auf ein Exchange Postfach mit Hilfe von Outlook on the Web (OWA) ermöglicht Ihren Anwendern die Anzeige und Bearbeitung von Office-Dateianhängen ganz ohne Medienbruch in eine andere Applikation.
Für Kunden von Microsoft 365 und Exchange Online sind hierzu keine weiteren Konfigurationen notwendig. Die Integration von Office Online mit Outlook on the Web ist standardmäßig aktiviert. Jedem Anwender wird automatisch eine Standard-Richtlinie zu gewiesen. Zu den Betriebsrisiken später mehr.
Wenn Sie diese Funktion auch für Ihre lokale Exchange Organisation bereitstellen möchten, müssen Sie zuerst eine Office Online Server Umgebung aufbauen und, falls erforderlich, aus dem Internet erreichbar machen. Die Anforderungen und Implementierungsoptionen einer Office Online Umgebung schauen wir uns in einem der nächsten Artikel an.
In Outlook on the Web wird die Möglichkeit einer Anzeige im Browser im Auswahlmenü eines Dateianhanges anzeigt:
Ebenso ist das Öffnen des Anhanges das Standardverhalten bei einem Klick auf den Dateinamen.
Im Rahmen einer betrieblichen Anforderung kann es notwendig sein, dass bestimmten Anwendergruppen der Zugriff auf Office Online aus OWA heraus zu unterbinden und stattdessen das Herunterladen von Office-Dateianhängen zu erzwingen.
Die Gründe hierfür können sehr unterschiedlich sein.
Je nachdem, ob Sie Office Online als SaaS-Lösung in Microsoft 365 nutzen, oder aber Ihre eigene Office Online Server Umgebung betreiben, stehen Ihnen unterschiedliche Lösungen zur Verfügung. DIe von Office Online (Server) bereitgestellten Funktionen werden nciht nur von OWA verwendet.
Die Option einer neuen OWA-Postfachrichlinie (OwaMailboxPolicy) steht Ihnen für Microsoft 365 und die lokale Exchange Organisation zur Verfügung. Die Erstellung einer neuen OWA-Postfachrichtlinie ist zwar auch über das Exchange Admin Center, jedoch ermöglicht dieser Weg anschließend nur eine sehr rudimentäre Konfiguration. Daher empfehle ich Ihnen, OWA-Postfachrichtlinien immer mit Hilfe der Exchange Management Shell (EMS) zu erstellen und zu verwalten. Wenn Sie mit Exchange Online arbeiten, stellen Sie bitte sicher, dass Ihr administratives Konto mit einer Multi-Faktor-Authentifizierung (MFA) geschützt ist und Sie das speziell hierfür zur Verfügung gestellte PowerShell Modul verwenden.
Die Erstellung einer neuen OWA-Postfachrichlinie gliedert sich immer in zwei Schritte:
Im folgenden Beispiel erstelle ich in Exchange Online eine neue OWA-Postfachrichlinie für das fiktive Unternehmen Contoso. Der Name der neuen Richtlinie ist Contoso-Restricted-OWA-Policy.
# Aktivierung der PowerShell-Protokollierung (Transkript) Start-Transcript # Uneingeschränkte Anzeige von Array-Inhalten $FormatEnumerationLimit=-1 # Erstellung der neuen OWA-Postfachrichtlinie New-OwaMailboxPolicy -Name 'Contoso-Restricted-OWA-Policy' # Auflistung der Namen der vorhandenen OWA-Richtlinien Get-OwaMailboxPolicy | ft Name
Nach der Erstellung der neuen Richtlinie wurden alle Standard-Einstellungen der Richtlinie im PowerShell-Fenster ausgegeben. Dank der aktivierten Protokollierung haben Sie diese Einstellungen in der Transkript-Textdatei festgehalten.
In diesem Artikel interessieren wir uns für die relevanten Einstellungen zu Office Online (Server). Diese Einstellungen verbergen sich in den Parametern mit dem Kürzel Wac.
# Auflistung der Wac-relevanten Parameter der OWA-Richtlinie Get-OwaMailboxPolicy 'Contoso-Restricted-OWA-Policy' | FL *wac* WacEditingEnabled : True WacViewingOnPublicComputersEnabled : True WacViewingOnPrivateComputersEnabled : True ForceWacViewingFirstOnPublicComputers : False ForceWacViewingFirstOnPrivateComputers : False WacExternalServicesEnabled : True WacOMEXEnabled : False
Die gewünschte Deaktivierung von Office Online erfolgt über die Parameter WacViewingOnPublicComputersEnabled und WacViewingOnPrivateComputersEnabled. Mit diesen beiden Parametern wird festgelegt, ob für den Anwender, dem diese Richtlinie zugewiesen ist, eine Anzeige des Anhanges in Office Online möglich ist oder nicht. Die Möglichkeit zur Anzeige wird für öffentliche und private Computer getrennt konfiguriert. Seit Exchange Server 2013 werden Zugriffe per OWA immer als Zugriffe von einem privaten Computer gewertet.
Die Bedeutung der Wac-relevanten und aller anderen Parameter ist auf der Hilfe-Seite des Cmdlets Set-OwaMailboxPolicy bestens beschrieben.
Nach der Erstellung muss die neue Richtlinie noch einzelnen oder allen Anwenderkonten zugewiesen werden.
# Zuweisung der neuen OWA-Richtlinie an ein einzelnes Anwenderkonto Get-CASMailbox AllanD | Set-CASMailbox -OwaMailboxPolicy 'OwaMailboxPolicy-Default' # Zuweisung der neuen OWA-Richtlinie an alle vorhanden Anwenderkonten Get-CASMailbox | Set-CASMailbox -OwaMailboxPolicy 'OwaMailboxPolicy-Default' # Optionale Konfiguration der neuen OWA-Richtlinie als Standardrichtlinie Set-OwaMailboxPolicy 'Contoso-Restricted-OWA-Policy' -IsDefault:$true
Nach der Zuweisung der neuen OWA-Postfachrichtlinie wird die Möglichkeit zur Vorschau eines Dateianhanges nicht mehr angezeigt.
Wenn Sie die neu erstellte OWA-Postfachrichlinie Anwendern zuweisen, die zu diesem Zeitpunkt in OWA angemeldet sind, so haben die neuen Einstellungen noch keine Wirksamkeit. Die Einstellungen der neu zugewiesenen Richtlinie werden erst nach einer Ab- und Anmeldung an OWA wirksam.
Auf den ersten Blick erscheint die Deaktivierung der Office Online Lizenz im Rahmen eines Office 365-Lizenzplanes auch eine Möglichkeit zu sein, um die Nutzung von Office Online zu verhindern.
Sie deaktivieren die Office Online Lizenz direkt in der Lizenzzuweisung eines Anwenders im Microsoft 365 Admin Center oder über die gruppengesteuerte Lizenzzuweisung in Azure AD.
Aber führt diese Anpassung der Lizenzzuweisung zum gewünschten Ergebnis? Nein, leider nicht.
Die Deaktivierung der Lizenzzuweisung von Office Online hat keine Auswirkungen auf
Damit scheidet die Option zur Zugriffssteuerung von Office Online über die Lizenzzuweisung für einen Anwender aus.
Wie bei vielen anderen Richtlinien von Exchange Online und Exchange Server existiert nach der ersten Einrichtung des Office 365 Tenants bzw. der Exchange Organisation eine Standardrichtlinie zur Konfiguration der Outlook on the Web (OWA) Einstellungen für alle Anwender. Da der Zugriff auf OWA ebenfalls standardmäßig für alle Anwender aktiviert ist, müssen Sie sich mit der Konfiguration der Standardrichtlinie auseinandersetzen.
Verschaffen Sie sich einen schnellen Überblick über all die Zusatzfunktionen, die im Rahmen einer OWA-Richtlinie gesteuert (*enabled) werden.
# Beispielhafte Abfrage der Parameter einer OWA-Richtlinie, die eine Zusatzfunktion steuern Get-OwaMailboxPolicy 'OwaMailboxPolicy-Default' | FL *enabled*
Diese Abfrage liefert Ihnen eine Grobüberischt der vorhandenen Einstellungen und deren Standardkonfigurationen. Überprüfen Sie alle Einstellungen für OWA-Postfachrichtlinien, ob sie den Compliance-Anforderungen Ihres Unternehmens entsprechen. Sie finden dieser EInstellunge in der Dokumentation für das Cmdlet Set-OwaMailboxPolicy.
Denken Sie beim Thema Office Online auch daran, dass Office Online auch Dokumente öffnen kann, die bei externen Speicheranbietern liegen. Die Nutzung von externen Speicheranbietern, aus Sicht von Office 365, kann im Microsoft 365 Admin Center ausgeschaltet werden.
Wählen Sie im Menüpunkt Einstellungen > Dienste und Add-Ins den Punkt Office Online aus.
Setzen Sie den Schieberegler für die Konfiguration Personen die Verwendung von gehosteten Speicherdiensten von Drittanbietern gestatten aus Aus und speichern Sie die Einstellung.
Viel Spaß mit Microsoft 365 und Exchange Server!