Vor Office 365 gab es bereits eine Cloud Productivity Lösung von Microsoft. Die Business Productivity Online Services (BPOS) haben Dienste auf Basis der Produkte Exchange 2007 and MOSS 2007 bereitgestellt.
SharePoint Sites wurden in BPOS unter der Domäne microsoftonline.com erstellt und sind bis heute in Nutzung.
Ab dem 1. Januar 2017 werden SharePoint Sites, die noch der *.microsoftonline.com Namenskonvention entsprechen, zu *.sharepoint.com überführt.
Administratoren können dies bereits vor dem 1. Januar 2017 durchführen. Microsoft hat hierzu einen Support-Artikel veröffentlicht.
Neben der reinen Änderung der Url für die SharePoint Sites ergibt sich ein zusätzlicher Vorteil. SharePoint Sites unter der Url *.sharepoint.com können das neue SharePoint App Modell nutzen. Dies ist unter *.microsoftonline.com nicht möglich.
Viel Spaß mit Office 365.
Different technologies are used to verify the validity of email senders. Each technology by itself represents only one component of a holistic solution. It is currently recommended to implement all three technologies.
The technologies are:
The following figure illustrates the protocol relations.
The use of SPF, DKIM, and DMARC are no substitute for email message encryption itself or transport encryption. These technologies are used to identify and asses valid senders and to protect against spam messages.
Keep in mind that SPF, DKIM, and DMARC are offerings for other emails servers. As a sending party, you do not control if and how SPF, DKIM, and DMARC are evaluated by the receiving server. But if evaluated, the configuration must be correct to avoid messages being rejected by receiving email servers.
The following sections focus on the DNS configuration for SPF, DKIM, and DMARC. This post is not intended to rate the technologies, but to describe the implementation.
Each domain is used for sending emails requires an SPF resource record (RR) in its DNS zone. An SPF record is always of the type TXT and does not use any hostname (or resource record name, if you will). An SPF RR is always valid for the entire DNS zone.
mcsmemail.de. 3600 IN TXT "v=spf1 mx a:mail.mcsmemail.de ?all"
The following screenshot illustrates adding a new SPF TXT record in a common DNS management interface (DE) of an internet provider. The hostname textbox remains empty.
Example explained:
v=spf1 SPF Version
mx MX server records defined within the DNS zone are valid senders
a:mail.mcsmemail.de The additional DNS hostname defined as A resource record is a valid sender as well
?all Neutral validation of non listed servers that send emails for this domain
SPF records can be created by using one of the various online resources.
DKIM resource records are configured as TXT resource records as well. In contrast to an SPF record, a hostname is mandatory. In this case its called selector.
A DKIM TXT record is always created as a record in the subdomain _domainkey.
nsp._domainkey.mcsmemail.eu. 3600 IN TXT "v=DKIM1\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQChZM8yjegaKfd0ssKyezTW/7xbDSNc0uPd50xa5/ecerv1v3mHKM+T7mClzRmIEx+Ji6AisVeo2uvjTYPemHFMBlQpuS/4zc2QxWHqp62FSQ7lASBOzDfUrIwayPVqwSPD6NrnfVSWoUNrFGGSVeU5uLASecBzTfxPukqTHgYKhQIDAQAB"
The following screenshot illustrates adding a new DKIM TXT record in a common DNS management interface (DE) of an internet provider. The hostname textbox contains the selector nsp followed by the subdomain _domainkey.
v=DKIM1 DKIM version
k=rsa Public key encryption method
p=MIGfMA.... The DKIM public key
DMARC is configured as a TXT resource record as well. The DMARC resource record uses the fixed hostname _dmarc.
_dmarc.mcsmemail.de. 3600 IN TXT "v=DMARC1\; p=none\; rua=mailto:DMARCRUA@mcsmemail.de\; ruf=mailto:DMARCRUF@mcsmemail.de\; fo=1\; adkim=s\; aspf=s\; rf=afrf\"
The following screenshot illustrates adding a new DMARC TXT record in a common DNS management interface (DE) of an internet provider. The hostname textbox contains always the value _dmarc.
v=DMARC1 DMARC version
p=none No DMARC policy defined (You should always start with None, before switching to Quarantine or Reject) rua=mailto:DMARCRUA@mcscmemail.de Email address for status reports
ruf=mailto:DMARCRUF@mcscmemail.de Email address for error reports
fo=1 Error report type
adkim=s DKIM alignment, s = strict
aspf=s SPF alignment, s = strict
rf=afrf Error report message format, afrf = Abuse Report Format following RFC 5965
The DMARC policy (p) should be raised step-by-step. The results for each policy type are:
Recommended reading on this topic: Google Support Post.
DMARC DNS zone entries can easily be checked by using the Net at Works PowerShell tool. The PowerShell script can only be used with NoSpamProxy11+. But there are some online tools available as well.
Do you need assistance with your Exchange Server setup? You have questions about your Exchange Server infrastructure and going hybrid with Office 365?
Contact us at office365@granikos.eu or visit our website http://www.granikos.eu.
Es gibt zahlreiche Gründe, warum externe Dienstanbieter E-Mails unter Verwendung einer E-Mail-Dömane eines Kunden senden. Beispielhafte Anwendungsfälle sind z.B.:
Die Nutzung einer E-Mail Domäne, die ein Unternehmen bereits in Verwendung hat, birgt Risiken. Bei der Nutzung durch einen Marketing-Dienstleister, der hauptsächlich E-Mail-Nachrichten an externe Empfänger sendet, treten die Probleme noch nicht so deutlich hervor. Werden jedoch Dienste in Anspruch genommen, die eine Zustellung von E-Mail-Nachrichten an interne Mitarbeiter notwendig machen, kommt es zu Problemen.
Eine der einfachsten Funktionen im Rahmen des E-Mail-Grundschutzes ist die Abweisung von E-Mails, die eine eigene Domäne (Accepted oder Owned Domain) als Absender verwenden.
Das nachfolgende Schaubild verdeutlicht die Situation.
Das Unternehmen in diesem Beispiel nutzt die E-Mail Domäne varunagroup.de als primäre E-Mail-Domäne. Der Dienstanbieter nutzt die Adresse news@varunagroup.de als Absenderadresse. E-Mail-Nachrichten an externe Empfänger können meist problemlos zugestellt werden, insofern der SPF-Eintrag des Dienstanbieters in der externen DNS-Zone varunagroup.de eingetragen ist. Die E-Mail-Sicherheitslösung am Gateway verweigert jedoch die Annahme von E-Mail-Nachrichten an interne Empfänger, da nur interne Systeme unter der Domäne varunagroup.de senden dürfen.
Am E-Mail-Gateway können natürlich Ausnahmen konfiguriert werden. Diese sind aber von Natur aus aufwändig in der Wartung und und sehr fehleranfällig.
Das Problem kann durch Nutzung von Subdomänen einfach und elegant gelöst werden.
Externe Dienstleister nutzen für den Versand von E-Mail-Nachrichten anstatt der Domäne varunagroup.de die neu konfigurierte Subdomäne email.varunagroup.de. In der zur DNS-Zone der Subdomäne werden der zugehörige SPF-Eintrag des Dienstleisters und alle erforderlichen DKIM-Einträge verwaltet.
Das nachfolgende Schaubild verdeutlicht den Unterschied zum ersten Schaubild.
Das Unternehmen nutzt weiterhin die Domäne varunagroup.de als primäre E-Mail-Domäne. Für externe Dienstanbieter wurde aber die Subdomäne email.varunagroup.de eingerichtet. Somit versendet der externe Dienstanbieter in diesem Beispiel E-Mail-Nachrichten mit der Absenderadresse news@email.varunagroup.de. Für externe Empfänger ändert sich hierdurch nichts. Für das E-Mail-Sicherheitsgateway des Unternehmens ändert sich aber alles. Die Absenderdomäne email.varunagroup.de ist ist eine vollwertige externe Domäne, die durch SPF und DKIM abgesichert wurde und entspricht keiner internen Domäne. Alle E-Mail-Nachrichten des Dienstanbieters werden angenommen und an interne Empfänger zugestellt.
Bei Bedarf kann für jeden externen Dienstanbieter eine separate Subdomäne konfiguriert werden. Dieses Vorgehen ist ein wenig aufwendiger, bietet jedoch ein verbesserte Kontrolle der DNS-Konfiguration.
Die nachfolgenden Präsentationen verdeutlichen die Problemstellung und die Lösungsmöglichkeiten.
Richten Sie für externe Dienstanbieter, die unter Ihrer E-Mail-Domäne Nachrichten versenden sollen, immer Subdomänen ein. Für Unternehmen, die Office 365 und Exchange Online nutzen, ist die Empfehlung mit der beschriebenen Subdomänen-Konfiguration zu arbeiten. Ansonsten wird Exchange Online Protection (EOP) E-Mails von externen Dienstanbietern abweisen.
Gerne unterstützen wir Sie bei der Planung und Durchführung Ihrer Exchange Server Implementierung oder Migration.
Sie denken über einen vollständigen Wechsel zu Microsoft 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und neutral über die Möglichkeiten der Office 365 Plattform und Microsoft 365.
Sie möchten mehr über Exchange Server 2019 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem individuellen Workshop. Bis dahin, werfen Sie doch einen Blick in das Microsoft Exchange Server 2019: Das Handbuch für Administratoren.
Weitere Informationen zu unseren Dienstleistungen finden Sie auf unserer Website (https://www.granikos.eu) oder Sie kontaktieren direkt unser Vertriebsteam: info@granikos.eu
Foto von Miguel Á. Padriñán von Pexels.
Die Dokumentation von Microsoft Azure ist einem steten Wandel unterworfen und die Verlinkungen der Informationsquellen ändern sich ähnlich agil.
Mark Grimes von Microsoft hat eine ausführliche Liste (Stichwort: Work in Progress) zusammengestellt, über die man zu (fast) allen Themenbereichen von MIcrosoft Azure den passenden Absprung findet.
Dieser Link gehört ab sofort ins Standardrepertoire, wenn man mit Microsoft Azure arbeitet.
Und sollte es dich mal in eine Sackgasse führen, dann einfach eine E-Mail an: Azure Shortcuts
Viel Spaß mit Microsoft Azure.
Das Exchange Blog Cumulative Update für August 2016 (CU0816) fasst interessante Themen rund um Exchange Server und Office 365 (Exchange Online), Azure und Skype for Business (aka Lync) des Monats August 2016 zusammen.
Sie denken über einen vollständigen Wechsel zu Office 365 oder eine Hybrid-Konfiguration mit Office 365 nach? Wir beraten Sie umfassend und ausführlich über die Möglichkeiten der Office 365 Plattform.
Sie möchten mehr über Exchange Server 2016 erfahren? Gerne erläutern wir Ihnen die technischen Änderungen und Chancen für Ihr Unternehmen in einem persönlichen Workshop.