Über die Webseite Gemeinsames Registerportal der Länder haben Unternehmen u.a. die Möglichkeit, eine Online-Abfrage des eigenen Handelsregisterauszuges anzufragen und zusenden zu lassen. Diese Dienstleistung ist gebührenpflichtig.

Nach der Abfrage des Handelsregisterauszuges im Juli 2020 fand Anfang August 2020 eine E-Mail mit der Absenderadresse gebuehrennachweis@handelsregsiter.de ihren Weg in den Posteingang meines Postfaches. Auf der Webseite des Registerportals wird auf die Warnhinweise der Landesjustizverwaltungen und des Bundesministeriums der Justiz hingewiesen. Dieser Hinweis war Grund genug, doch einmal einen ausführlichen Blick auf die E-Mail des Gebührennachweises zu werfen. Dieser Hinweis wird in der E-Mail sogar noch einmal wiederholt.

Die allgemeine und die technische Bewertung der E-Mail mit Dateianhang des Gebührennachweises als PDF-Datei war sehr ernüchternd. Ich wurde sofort an die problematischen E-Mail-Nachrichten im Zusammenhang mit der NRW Soforthilfe erinnert. Denn auch im Fall des Registerportals werden die E-Mail-Nachrichten von Systemen der IT.NRW versendet.

Die E-Mail - Aus Sicht des Anwenders

Bereits in der Übersicht des Posteingangs zeigte sich die E-Mail verhaltensauffällig. Die Absenderadresse der E-Mail-Nachricht verfügt über keinerlei Klartextnamen. Die Anzeige der E-Mail-Adresse alamierte mich sofort. Der Betrefftext der Nachricht förderte mein Misstrauen nur. Das Registerportal sendet anscheinend keine Einzelnachweise, sondern monatliche Zusammenfassungen. 

Ein weiterer Punkt ist, dass es sich um eine technische Nachricht handelt, auf die man als Empfänger nicht direkt anworten soll. Solch ein Vorgehen ist für Empfänger in der Regel nicht nachvollziehbar und, aus meiner Sicht, heutzutage ebenfalls ein Indikator für eine E-Mail-Nachricht zweifelhafter Herkunft.

Anwender, die solch eine Nachricht erhalten, haben keinerlei Möglichkeit, die Integrität der Nachricht oder die Gültigkeit des Absenders zu überprüfen.

Der Blick in die technischen Informationen der E-Mail-Nachricht und die Prüfung wichtiger Basis-Sicherheitsfunktionen für die E-Mail-Kommunikationen zeigen eklatante Lücken auf, die heutzutage mit einfachen Mitteln vermeidbar sind. 

Die E-Mail - Aus Sicht der IT

E-Mail Kopfinformationen

Der erste Blick richtet sich immer auf die Kopfinformationen einer E-Mail-Nachricht. Wie schon im Falle der E-Mail-Nachrichten zur NRW Soforthilfe werden die Namen und IP-Adressen interner Systeme nicht aus den Kopfinformationen entfernt. Das Verhalten bei der Zustellung der E-Mail ändert sich durch das Entfernen der internen Topologieinformationen nicht. Jedoch stellen diese Informationen ein Sicherheitsrisiko dar. Potentielle Angreifer erhalten ausreichend Informationen über die Namensschema und IP-Adressen interner Systeme. 

Das Entfernen interner Topologieinformationen ist bereits seit Jahren Stand der Technik, wird in diesem Fall jedoch nicht angewandt.

MX - Mail Exchanger DNS Eintrag

Nach der Auswertung der E-Mail-Kopfinformationen ist die Prüfung des DNS-Eintrages für den oder die E-Mail-Server der Domäne handesregister.de an der Reihe. Ich verwende hierzu immer die Werkzeuge der Webseite MX Toolbox. 

Aus den Kopfinformationen können wir ablesen, dass das versendende System auf den Namen sbmail.it.nrw.de konfiguriert ist. Der Name wird vom öffentlichen Name Server auf die IP-Adresse 93.184.132.24 aufgelöst. 

Die Prüfung des MX DNS-Eintrages ergibt leider andere Informationen.

Der Empfang von Nachrichten für die Domäne handelsregister.de erfolgt über den Namen postamt.it.nrw.de, der auf die IP-Adresse 93.184.132.233 aufgelöst wird. Dies stellt für E-Mail-Server die Nachrichten an Empfänger dieser Domäne senden, kein Problem dar. Für E-Mail-Server, die Nachrichten von handelsregister.de empfangen, ist dies jedoch problematisch.

Einer der Standardprüfungen, die E-Mail-Server beim Empfang einer Nachricht durchführen, ist die Prüfung, ob die einliefernde IP-Adresse mit der IP-Adressauflösung des MX-Eintrages übereinstimmt. Wenn dies, wie in diesem Fall, nicht zutrifft, erhöht dies automatisch der Wahrlichkeit, dass es sich um eine Spam-Nachricht handelt. Je mehr Absenderprüfungen fehlschlagen, desto höher ist die Wahrscheinlichkeit. 

Die Tatsache, dass unterschiedliche System für den Versand und für den Empfang von E-Mail-Nachrichten verwendet werden, ist nicht ungewöhnlich. Um solch eine Konfiguration anderen E-Mail-Servern bekanntzumachen, gibt es eine technische Lösung; das Sender Policy Framework.

SPF - Sender Policy Framework

Das Sender Policy Framework (SPF) unterstützt die Möglichkeit, gültige Systeme für den Versand von E-Mail-Nachrichten einer einzelnen Domäne zu definieren. HIerzu wird in der DNS-Zone ein sog. SPF-Eintrag hinterlegt, der sowohl Namen als auch IP-Adressen gültiger Systeme enthalten kann. Zusätzlich ist es möglich, Referenzen auf SPF-Einträge anderer Domänen einzutragen, wenn diese ebenfalls E-Mail-Nachrichten für die Domäne versenden.

Die Domäne handelsrgister.de existiert kein SPF-Eintrag in der externen DNS-Zone.

Dies bedeutet, dass keine gültigen Systeme für den Versand von E-Mail-Nachrichten definiert sind. Empfangende Systeme haben keine Möglichkeit zur Prüfung und nehmen somit E-Mail-Nachrichten von beliebigen Systemen aus dem Internet entgegen. Dies stellt ein enormes Sicherheitsrisiko dar und kann als fahrlässige Fehlkonfiguration eingestuft werden. 

Das Fehlen des SPF-Eintrages wird beim Empfang einer Nachricht von modernen Systemen als Verstoß gegen Industriestandards bewertet und führt automatisch zu einer Erhöhung der Spam-Wahrscheinlichkeit. 

DKIM - Integrität der E-Mail-Kopfinformationen

Selbst wenn keine SPF-Informationen vorliegen, können in einer E-Mail die Empfänger- und Absenderinformationen abgesichert werden. Hierzu steht die Funktion DomainKeys Identified Mail (DKIM) zu Verfügung. Hierbei erfolgt eine Signierung dieser und andere Informationen der E-Mail. Das empfangende System hat die Möglichkeit, eine DKIM-signierte E-Mail-Nachricht mit Hilfe des DKIM-Eintrages in der DNS-Zone der sendenden Domäne zu prüfen. 

Hierdurch wird sichergestellt, dass die Nachricht von einem System signiert wurde, dass über den privaten DKIM-Schlüssel verfügt. Absender ohne Zugriff auf den privaten Schlüssel haben keine Möglichkeit, solch eine Signierung durchzuführen. 

E-Mail-Nachrichten der Domäne handelsregister.de werden nicht durch eine DKIM-Signierung geschützt. Somit haben empfangende Systeme keinerlei Möglichkeit, die Gültigkeit einer E-Mail-Nachricht der Domäne handelsregister.de zu prüfen.

DMARC - Schutz vor E-Mail-Missbrauch

Um den MIßbrauch von E-Mail-Nachrichten einzuschränken, wurde die Funktion DMARC (Domain-based Message Authentication, Reporting and Conformance) entwickelt. DMARC kann ergänzend zu SPF und DKIM eingesetzt werden. Auch DMARC wird über einen DNS-Eintrag in der Absender-Domäne definiert. Ein DMARC-Eintrag gibt dem empfangenden System Informationen, wie mit einer E-Mail zu verfahren ist, wenn die Validierung von SPF und DKIM fehlschlägt. Zusätzlich kann in einem DMARC-Eintrag festgelegt werden, an welche E-Mail-Adresse Benachrichtigungen über fehlerhafte E-Mail-Nachrichten gesendet werden sollen. Als Betreiber einer Domäne erhalte ich so Informationen, welche System in Internet meine Domäne als Absenderdomäne verwenden. 

Da weder DKIM-, noch SPF-Einträge für die Domäne handelsregister.de vorhanden sind, fehlt auch ein DMARC-Eintrag. 

Gerade im Hinblick auf die Sensibilität der Informationen, die über diese Domäne versendet werden, ist die Implementierung aller drei Schutzfunktionen drigend angeraten.

E-Mail-Verschlüsselung oder -Signierung

Ob eine Verschlüsselung der E-Mail-Nachricht an sich notwendig ist, kann man diskutieren. Sowohl Nachricht als auch der PDF-Dateianhang waren nicht verschlüsselt. Eine S/MIME Signierung der Nachricht, als Mindestmaß zur Sicherstellung der Integtrität des Absender, fehlte ebenfalls.

TLS-Prüfung 

Das sendende System sbmail.it.nrw.de ist nicht für eigehende Verbindungen aus dem Internet konfiguriert. Die Prüfung des MX-Endpunktes für handelsregister.de offenbahrte die bereits bekannten TLS-Schwächen.

Der Test des TLS-Endpunkte erfolgte mit dem TLS-Scanner von ImmuniWeb.

Die schlechte Beurteilung hat mehrere Gründe:

• Unterstützung von TLS 1.0
  
  
   
• Unterstützung unsicherer TLS-Verfahren und damit ein Verstoß gegen Best Practices Empfehlungen
  
  
  Die fehlende Unterstützung von TLS 1.3 ist noch nicht als kritisch zu bewerten. Das eine TLS-Neuaushandlung durch den TLS-Client unterstützt wird, ist jedoch als sehr kritisch einzustufen. Hierzu existieren zahlreiche dokumentierte Angriffsszenarien.
   
• Unterstützung von unsicheren Cipher Suiten

TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_IDEA_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_RC4_128_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DH_anon_WITH_RC4_128_MD5
TLS_DH_anon_WITH_3DES_EDE_CBC_SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA
TLS_DH_anon_WITH_AES_256_CBC_SHA
TLS_DH_anon_WITH_CAMELLIA_128_CBC_SHA
TLS_DH_anon_WITH_CAMELLIA_256_CBC_SHA
TLS_DH_anon_WITH_SEED_CBC_SHA
TLS_ECDH_anon_WITH_RC4_128_SHA
TLS_ECDH_anon_WITH_3DES_EDE_CBC_SHA
TLS_ECDH_anon_WITH_AES_128_CBC_SHA
TLS_ECDH_anon_WITH_AES_256_CBC_SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA256
TLS_DH_anon_WITH_AES_256_CBC_SHA256
TLS_DH_anon_WITH_AES_128_GCM_SHA256
TLS_DH_anon_WITH_AES_256_GCM_SHA384

Fazit

Auch in diesem Fall ist es nicht möglich, ein postives Fazit zu ziehen. Im Vergleich zur Problematik der E-Mail-Nachrichten zur NRW Soforthilfe handelt es sich hier um E-Mail-Nachrichten, die zu einer bundesweit bereitgestellen Diensleistung gehören. Die Bundesländer und der Bund, die diese Dienstleistung in Anspruch nehmen, tun gut daran, sich für eine Verbesserung der Sicherheit im Umgang mit E-Mail-Nachrichten einzusetzen. 

Die Möglichkeiten zur Verbesserung gliedern sich in zwei Bereiche.

• Implementierung von Industriestandards zur Sicherung der E-Mail-Kommunikation
  • Implementierung von SPF, DKIM, DMARC
• Umsetzung von Standards zur Sicherung von E-Mail-Nachrichten, die durch Applikationen versendet werden
  • Nutzung von Klartextnamen für Absenderadressen
  • S/MIME-Signierung von E-Mail-Nachrichten

SPF, DKIM und DMARC sind Industriestandards. Dass diese Funktionen nicht zum Schutz von E-Mail-Nachrichten verwendet werden, ist grob fahrlässig. 

Im Hinblick auf eine eGovernment-Infrastruktur und ein Vertrauen in eine sichere (E-Mail-)Kommunikation besteht bei IT.NRW noch Nachholbedarf. Die aktuelle Konfiguration öffnet Tür und Tor für Betrüger und ist geradezu eine Einladung zum Versand von Phishing- und Malware-Nachrichten. Unternehmen, die Nachrichten von solchen Domänen empfangen, können sich nur durch eine explizite Abweisung der E-Mail-Nachrichten schützen. Andere Lösungsansätze führen immer manuellen Anpassungen auf der Empfängerseite und zu einem erhöhten Aufwand beim Betrieb einer sicheren IT-Infrastruktur. 

Der Handlunsbedarf liegt eindeutig auf Seiten von IT.NRW.  

Links

• Gemeinsames Registerportal der Länder
• NRW Soforthilfe E-Mail - Betrug mit Ansage
• Message Header Analyzer
• SSL/TLS Server Test
• MX Toolbox
• DMARC
• DKIM

Die Themen E-Mail Verschlüsselung und E-Mail Sicherheit sind keine neue Themen. Die vergangenen Veröffentlichungen im Rahmen der Whistleblower-Affären haben dazu geführt, dass die breite Masse sich mit dem E-Mail Sicherheit beschäftigt. Verschlüsselung an sich ist ein komplexes Thema und dies scheint einer der Gründe dafür zu sein, warum es nach einem ersten Aufschrei wieder in der Versenkung verschwindunden ist.

E-Mail Sicherheit als Marketing Instrument

Große deutsche Anbieter haben die Aufregung der ersten Stunde dazu genutzt, eine geschickte Marketing Kampagne zu starten (Stichwort: "E-Mail Made in Germany"), um von ihren Sicherheitsverfehlungen in der Vergangenheit abzulenken. Man darf die Augen nicht davor verschließen, dass die "großen Provider" vor Edward Snowden die Verschlüsselung des E-Mail Übertragungskanals aus Kosten- und Effizienzgründen nicht konfiguriert haben.

Die Verwendung von sichereren Übertragungskanälen ist weder eine Erfindung der Neuzeit und schon gar nicht eine Erfindung der Telekommunikationsanbieter. Die entsprechende Softwareprogramme unterstützten diese Funktionen schon vorher, da das notwendige Protokoll bereits 1999 (RFC 2487) eingeführt wurde. Die von WEB.DE in diesem Artikel verwendete Grafik suggeriert im Kontext des Artikels, dass nur GMX, WEB.DE und T-ONLINE über eine sichere Kommunikation verfügen und andere Anbieter dies nicht gewährleisten. Das ist schlichtweg falsch.

Technologisch besteht keinerlei Notwendigkeit, sich auf große Provider zu verlassen, wenn es um das Thema E-Mail Sicherheit geht. Selbst bei Anwendung des deutschen Datenschutzgesetzes, sind Daten des Kunden auf Geräten des Providers und sind damit rechtlich dem Zugriff des Kunden entzogen.

E-Mail Sicherheit für Unternehmen

Aber was kann ich als Unternehmen machen, um E-Mails sicher zu übertragen und die Integrität der E-Mails sicherzustellen?

Der Schutzbedarf der E-Mail Kommunikation stellt sich für jedes Unternehmen anders dar.

Mögliche Fragen sind:

• Ist die Verschlüsselung des Übertragungskanals ausreichend?
  Stichwort: TLS Verschlüsselung
• Möchte ich sicherstellen, dass meine Nachrichten nur von geprüften Systemen empfangen werden?
  Stichwort: Domain Secure
• Sollen meine Nachrichten selber verschlüsselt werden?
  Stichworte: S/MIME, PGP
• Möchte ich die volle Kontrolle über den Nachrichtenverkehr behalten?
  Stichworte: Eigener Mail Server, Exchange Online, Clouddienste
• Ist die Verwaltung von Zertifikaten nicht kompliziert?
  Stichwort: Gateway Lösung
• Welchen Zugriff haben Dritte (Administratoren, Dienstleister) auf meine E-Mails?
  Stichwort: Zugriffsberechtigung
• Möchte ich, dass meine geschäftlichen Nachrichten zu Werbezwecken durchsucht werden?
  Stichwort: Google Mail, GMX, WEB.DE, T-Online, Hotmail
• Muss ich meine E-Mails revisionssicher aufbewahren?
  Stichwort: Archivierung
• Unterliegt meine E-Mail Umgebung einer Dokumentationspflicht?
  Stichworte: Audit, Zertifizierung
• Sind in meinem Unternehmen Geräte oder Softwarekomponenten im Einsatz, die eigenständig E-Mails versenden?
  Stichwort: Multi-Funktionsdrucker mit Scanner, CRM, ERP

Vertrauen

Das Thema E-Mail Verschlüsselung und E-Mail Sicherheit ist und bleibt komplex. Jedoch können Sie mit Hilfe kompetenter Berater die passende Lösung finden und die Sicherheit und Integrität Ihrer E-Mails sicherstellen.

Grundsätzlich und faktisch basiert E-Mail Sicherheit auf Vertrauen. Das Vertrauen ist begründet sich technisch in den Vertrauensstellungen der verwendeten und gültigen Zertifikate auf der einen Seite und den organisatorischen und vertraglichen Vertrauensstellungen zwischen Kunden und Software- bzw. Dienstanbietern auf der anderen Seite.

Fragen zur E-Mail Sicherheit

Die technischen Aspekte der E-Mail Sicherheit werden im Rahmen von drei weiteren Blog Artikel auf http://blog.granikos.eu behandelt.

Die Themen der Serie sind:

• E-Mail Verschlüsselung und E-Mail Sicherheit
• E-Mail Verschlüsselung - TLS, S/MIME & Co (Teil 1)
• E-Mail Verschlüsselung - TLS, S/MIME & Co (Teil 2)
• E-Mail Verschlüsselung und Cipher Suites

Haben Sie Fragen rund um das Thema E-Mail Verschlüsselung und E-Mail Sicherheit? Kontaktieren Sie uns unter: emailsecurity@granikos.eu.

Im ersten Blog-Artikel dieser Miniserie wurde allgemein das Thema E-Mail Verschlüsselung und E-Mail Sicherheit besprochen. In diesem Artikel wird die Verschlüsselung des Übertragungsweges mit TLS genauer betrachtet.

E-Mail Sicherheit

E-Mail Sicherheit besteht nicht nur aus der Sicherung des Übertragungsweges zwischen den beteiligten Systemen, sondern auch aus der optionalen Verschlüsselung bzw. Signierung der Nachricht selber. Die Verschlüsselung des Übertragungsweges ist aber die Grundvoraussetzung für eine sichere Kommunikation und seit 1999 Stand der Technik.

TLS - Verschlüsselung des Übertragungsweges

Bei der Sicherung des Übertragungsweges erfolgt zwischen zwei Servern mit Hilfe der Transport Layer Security (TLS). TLS ist das Nachfolgeprotokoll des Secure Socket Layer (SSL) Protokolls und wird gegenwärtig in der Version 1.2 eingesetzt. Hierbei handelt es sich um ein zertifikatsbasiertes Protokoll, das zur Sicherung von unterschiedlichen TCP Protokollen verwendet wird. Hierzu zählen u.a. POP3, IMAP, SIP, SMTP, HTTP oder LDAP.

Die grundsätzliche Implementierung des TLS Protokolls und aller Protokolleinstellungen ist Teil des Server-Betriebssystems (Windows Server) und nicht der verwendeten E-Mail Software. Ausgeführte Konfigurationen wirken sich somit auf alle Applikationen auf dem Server aus. Der vierte Blog-Artikel dieser Reihe beschreibt die Konfiguration und die Auswirkungen im detaillierter.

Bei der Verwendung von TLS ist nur die Kommunikation zwischen zwei Servern (Sender und Empfänger) verschlüsselt. In den jeweiligen Unternehmensnetzen ist es möglich, dass die Übertragung zwischen anderen beteiligten Systemen unverschlüsselt erfolgt. Von einer unverschlüsselten Kommunikation, also ohne Verwendung von TLS, ist auch innerhalb eines Unternehmensnetzwerkes dringend abzuraten.

Einfache Darstellung der TLS Kommunikation zwischen zwei E-Mail Systemen:

Diese einfache Darstellung lässt sich beliebig in seiner Komplexität erweitern. Im nachfolgenden Beispiel wird gezeigt, dass auf der Sender-Seite eine interne Lösung zur Anti-Malware Erkennung betrieben wird, während auf der Empfänger-Seite eine Cloud-basierte Lösung im Einsatz ist.

Im vorstehenden Beispiel können Sie als Sender nur die Verbindung zwischen der Anti-Malware Lösung und dem Cloud-Anbieter überwachen und prüfen. Den Status und die Konfiguration zwischen dem Services des Cloud-Anbieters und dem E-Mail Server des Empfänger können Sie nicht kontrollieren.

Auch wenn alle Verbindungen "TLS verwenden", so können die verwendeten Verschlüsselungsmechanismen (Cipher Suite, Hashes, Signature) für jede der TLS Verbindungen unterschiedlich sein. Somit ist auch jede der Verbindungen unterschiedlich "sicher".

In der Grundkonfiguration führt TLS nur Grundprüfungen der verwendeten Zertifikate durch. Hierzu gehört u.a., ob das Zertifikat zeitlich noch gültig ist. Eine Überprüfung, ob das Zertifikat vielleicht zwischenzeitlich zurückgezogen wurde und daher ungültig ist, gilt bereits als erweiterte Prüfung. Solch eine erweiterte Prüfung ist Aufgabe der eingesetzten E-Mail Software.

Das TLS Protokoll selber ist anfällig für Man-In-The-Middle Angriffe und wird daher als nicht 100% sicher eingestuft. Hintergrund ist, dass es zweifelhafte Zertifizierungsstellen gibt, die Zertifikate ohne genaue Prüfung herausgeben. Hierdurch können sich unberechtigte Dritte als jemand anderes ausgeben (siehe Linkliste). Das Risiko lässt sich nur dadurch minimieren, indem auf den eigenen Systemen die fragwürdige Zertifizierungsstellen deaktiviert werden.

Gerade die unterschiedlichen Konfigurationen der TLS Sicherheit führen im täglichen Betrieb immer wieder zu Problemen. Wenn ein Server mit einer "zu sicheren" Konfiguration betrieben wird, kann es zu "Verständigungsproblemen" mit einem Server auf der anderen Seite kommen. Ist der empfangende Verbindungsendpunkt nun so konfiguriert, dass TLS erforderlich ist, so kommt keine Verbindung Zustande und die Nachricht kann nicht zugestellt werden. Ist wiederum TLS als optional konfiguriert, so wird die Nachricht on TLS Verschlüsselung übertragen. Hieraus ergibt sich die Notwendigkeit, zwei unterschiedliche Endpunkte zu betreiben:

• TLS optional aus Kompatibilitätsgründen zu unbekannten Systemen
• TLS erzwungen zu bekannten und vertrauten Partnern

Interne Systeme - das unbekannte Risiko

Interne Applikationen und Systeme stellen ein großes Risiko dar, wenn sie nicht in der Lage sind, unternehmenskritische Kommunikation mit Hilfe von TLS Verschlüsselung zu einem internen E-Mail Server zu übertragen. Noch kritischer ist die Situation, wenn interne Applikationen oder Systeme direkt mit Systemen außerhalb des Unternehmensnetzwerkes kommunizieren und nicht über Verschlüsselungsfunktionen verfügen. Als beispielhafte interne Applikationen oder Systeme seien genannt:

• CRM
• ERP
• Auftragswesen
• Rechnungswesen
• Helpdesk Systeme
• Multi-Funktionsdrucker mit Scanner
• IT Monitoring Lösungen

Es wird deutlich, dass das Thema E-Mail Sicherheit nicht isoliert betrachtet werden kann, sondern vielmehr mit einer ganzheitlichen Betrachtung der gesamten IT-Landschaft einhergeht.

Fazit

Ein Serversystem mit einer aktuellen E-Mail Software und aktiviertem TLS zu betreiben reicht nicht aus, um die E-Mail Sicherheit für ein Unternehmen zu gewährleisten. Neben den rein technischen Aspekten zur sicheren Konfiguration der TLS Implementierung müssen auch organisatorische Aspekte zur Kommunikation mit Partnerunternehmen geklärt und festgeschrieben werden.

Technik ist ein Hilfsmittel zur Sicherstellung der Sicherheit. Sie befreit nicht von einer sorgsamen Planung und Dokumentation (auch zur Auditzwecken) der E-Mail Umgebung.

Um die Sicherheit der Kommunikation zu Erhöhen, können Nachrichten nicht nur sicher übertragen, sondern digital signiert und/oder verschlüsselt werden. Hierzu stehen die Technologien S/MIME oder PGP zur Verfügung. Im nächsten Blog-Artikel befassen wir uns mit diesen beiden Technologien.

Links

• Internetzugang im Flugzeug: Google-Expertin entdeckt gefälschtes SSL-Zertifikat
• Transport Layer Security

Mini-Serie E-Mail Sicherheit

• E-Mail Verschlüsselung und E-Mail Sicherheit
• E-Mail Verschlüsselung - TLS, S/MIME & Co (Teil 1)
• E-Mail Verschlüsselung - TLS, S/MIME & Co (Teil 2)
• E-Mail Verschlüsselung und Cipher Suites

Fragen zur E-Mail Sicherheit

Haben Sie Fragen rund um das Thema E-Mail Verschlüsselung und E-Mail Sicherheit? Kontaktieren Sie uns unter: emailsecurity@granikos.eu.

Warum gibt es die Preferred Architecture?

Exchange Server ist ein sehr tolerantes Produkt und lässt sich in unterschiedlichste IT-Infrastruktur-Varianten installieren. Einige der möglichen Infrastruktur-Varianten sind gut geeignet für den Betrieb von Exchange Server, andere leider weniger gut. Daher ist es immens wichtig, bei der Planung einer Exchange Server Umgebung die notwendige Sorgfalt walten zu lassen.

Basis für die Planung einer Exchange Server Implementierung ist der Hauptgrundsatz für moderne Exchange Server Versionen:

Dieser Hauptgrundsatz wird, wie die Erfahunrg zeigt, leider allzu häufig ignoriert. Dieser Ignoranz wird in vielen Fällen dadurch Vorschub geleistet, dass Hard- und Software-Hersteller ihre ganz eigenen Hochverfügbarkeitslösung (HA) verkaufen möchten. Zu diesen Lösungen gehören sowohl HA-Funktionen von Hypervisor-Plattformen, aber auch, und dies viel häufiger, HA-Lösungsansätze von Storageanbietern.

Die Standardisierung einer Plattform wird nicht dadurch erreicht, indem eine unnötig komplexe Infrastruktur zum Standard erklärt wird, sondern das eine möglichst einfache Implementierung der Exchange Server Plattform zum Standard gemacht wird.

Unzählige Supportanfragen bei der Exchange Produktgruppe (PG) haben die Preferred Architecture Empfehlung über die Jahre reifen lassen. Sie ist daher keine spontan entstandene Empfehlung. Sie ist entstanden aus den Anforderungen und Kenntnisgewinnen im täglichen Betrieb der hochverfügbaren Cloudinfrastruktur von Exchange Online.

Sicherlich werden Sie nun einwenden, dass Sie keine Cloud-Plattform betreiben möchten. Sie dürfen nicht vergessen, dass eine moderne Exchange Server Version hochverfügbar betrieben werden möchte. Vergessen Sie daher nicht den Hauptgrundsatz für moderne Exchange Server Versionen ab Version 2013.

Auf der Microsoft Ignite Konferenz 2017 wurde in zahlreichen Vorträgen auf die Preferred Architecture Bezug genommen. Man konnte dem Eindruck erliegen, dass hier missioniert werden sollte. Am letzten Tag der Konferenz haben Boris Lokhvitsky und Robert Gillies eine sehr interessante Session zur richtigen Implementierung von Exchange Server gehalten. Hierbei wurde auch betrachtet, welche technischen Mindestanforderungen für eine Exchange Server Implementierung gelten und wie eine optimale Betriebsumgebung aussieht. Ein optimaler Betrieb einer On-Premises Implementierung folgt der Preferred Architecture. Ist dies nicht möglich sollte man sich für einen Wechsel zu Exchange Online entscheiden.

Das nachfolgende Diagramm verdeutlicht die unterschiedlichen Design-Optionen für eine Messaging-Plattform auf Basis von Exchange Server 2016.

Was bedeutet das nun im Detail für eine erfolgreiche Exchange Server Implementierung?

• Standardisiert
  Exchange Online bietet eine standardisierte Nutzung von Exchange Server Funktionen im Rahmen des Software-as-a-Service Angebotes von Office 365. Hierbei nutzen Sie nur die Funktionen von Exchange und haben keinerlei direkten Zugriff auf die Server Systeme. Die gesamte Verwaltung des Betriebssystems und das Patchen von Exchange Server führt Microsoft für Sie durch. Sie können sich so ganz auf die Konfiguration Ihrer Exchange Online Organisation oder aber den Hybrid-Verbund mit Ihrer lokalen Exchange Organisation konzentrieren.
   
• Strukturiert
  Die strukturierte Implementierung einer Exchange Server Plattform folgt der Preferred Architecture der Exchange Produktgruppe oder der Product Line Architecture, basierend auf den Empfehlungen und Erkenntnissen von Microsoft Architekten. Eine solche Implementierung ist, ebenso wie die Nutzung von Exchange Online, als Lösung für einen optimalen Betrieb anzusehen. Wie sich die Preferred Architecture im Detail darstellt wird weiter unten beschrieben.
   
• Empfohlen
  Eine On-Premises Exchange Server Implementierung, die den Best Practices folgt, weicht in signifikanten Punkten von der Preferred Architecture ab und bietet trotzdem einen sicheren und stabilen Betrieb. Eine solche Abweichung ist z.B. der Betrieb auf einem Hypervisor, jedoch unter Anwendung der Betriebsparameter für den Betrieb von Exchange Server auf physikalischen Systemen (Stichwort: feste Ressourcenzuweisung). Der Exchange Server Best Practices Analyzer ist eine Click-To-Run Applikation, die direkt aus dem Exchange Admin Center einer On-Premises Implementierung heraus aufgerufen werden kann. Alternativ kann hierzu auch das Exchange Analyzer Script von Paul Cunningham aus der TechNet Gallery verwendet werden.
   
• Unterstützt
  Eine unterstützte Implementierung von Exchange Server weicht in zahlreichen Punkten von der Preferred Architecture ab, bewegt sich aber immer noch im durch Microsoft unterstützten Betrieb. Solch ein unterstützter Betrieb folgt den Exchange Server Systemanforderungen und den Exchange Server Speicherkonfigurationsoptionen. Diese Art der Implementierung ist als absolutes Mindestmaß anzusehen.
   
• Funktioniert (irgendwie)
  Natürlich kann man Exchange Server auch irgendwie zum Laufen bringen. Dies ist die letzte Kategorie. In diese Kategorie fallen Einzelserver Implementierungen unter Verwendung von redundanten Speichersystemen oder der grundsätzlich Betrieb von Exchange Server mit nicht unterstützten Speichersystemen (siehe Exchange Server Speicherkonfigurationsoptionen). In diesem Bereich fallen aber auch Exchange Server Implementierung auf AWS oder Microsoft Azure ohne Premium Storage. Ihre produktive Exchange Server Plattform sollte nicht zu dieser letzten Kategorie gehören, da Sie ansonsten ein unnötig hohes Betriebsrisiko eingehen.

Was ist die Preferred Architecture?

Was ist nun die viel zitierte Preferred Architecture und was bedeutet sie für eine erfolgreiche On-Premises Implementierung und den sicheren Betrieb von Exchange Server.

Die Preferred Architecture ist kein starres Gebilde. Vielmehr passt sie sich regelmäßig den technischen Gegebenheiten an. Zuletzt wurde z.B. die Empfehlung für den maximalen Arbeitsspeicher je Server von 96GB auf 192GB angehoben.

Nachfolgend werden die vier Bereiche der Preferred Architecture beschrieben. Ich empfehle aber dringend, immer auf den aktualisierten EHLO Blog Artikel Bezug zu nehmen und sich noch einmal mit der Exchange Server 2016 Architektur vertraut zu machen.

Die Preferred Architecture gliedert sich in die folgenden vier Bereiche:

• Namensraum-Design
• Rechenzentrumsdesign
• Server-Design
• DAG-Design

Namensraum-Design

Der Exchange Namensraum (Namespace) beschreibt die DNS Hostnamen, die erforderlich sind, damit sich Clients (z.B. Outlook, Browser oder mobile Endgeräte) mit den Exchange Servern verbinden können. Im Rahmen des Data Center Designs (s.u.) wird davon ausgegangen, dass diese Verbindungen auf zwei Standorte verteilt werden. 

Bei der Planung der Exchange Server Namensräume (Namespaces) unterscheidet man zwischen gebundenen (bound) und ungebundenen (unbound) Namensräumen für Exchange Server in zwei Rechenzentren.

Bei einem gebundenen Namensraum besitzt jedes Rechenzentrum einen eindeutigen Namen für den Zugriff auf Exchange Server Client Access Services. Clientverbindungen erfolgen somit immer zu dem Rechenzentrum, in dem sich auch die aktive Datenbankkopie des angefragten Benutzerpostfaches befindet.

Bei einem ungebunden Namensraum verfügen die Rechenzentren über keine eigenen Namen für den Zugriff auf Exchange Server Client Access Services. Clientverbindungen werden bei jeder Anfrage durch den Load Balancer in eines der beiden Rechenzentren geleitet. Eine Ausnahme bilden hier die Office Online Server (OOS), die immer einen gebundenen Namensraum erfordern.

Das nachfolgende Beispiel für eine Preferred Architecture Namespace Design benötigt vier Namen:

1. AutoDiscover Endpunkt: autodiscover.varunagroup.de
2. Client Endpunkt für alle Exchange Dienste: mail.varunagroup.de
3. Office Online Server Endpunkt Rechenzentrum A: oos-a.varunagroup.de
4. Office Online Server Endpunkt Rechenzentrum B: oos-b.varunagroup.de

Rechenzentrumsdesign

Eine hochverfügbare und ausfallsichere Architektur erfordert den Betrieb von mindestens zwei Rechenzentren. Ob es sich nun um vollwertige und eigenständige Rechenzentren oder um lokale Serverräume in getrennten Brandabschnitte im gleichen Gebäude handelt, lasse ich hier bewusst offen. Die Anforderungen zur Verfügbarkeit von IT-Basisdiensten hängen schließlich nicht nur von einer Exchange Server Implementierung ab.

Eine wichtige Anforderung ergibt sich aber für den Betrieb des Active Directory in der Preferred Architecture.

Der über zwei Rechenzentren gestreckte Betrieb einer einzelnen Active Directory Site wird zwar technisch unterstützt, für die Preferred Architecture ist es aber empfohlen, dass jedes Rechenzentrum in einer eigenen Active Directory Site abgebildet wird. Die Gründe dafür sind:

• Die Funktionen für einen ausfallsicheren Betrieb des E-Mail Transports mit Shadow Redundancy und Saftety Net
• Der Active Directory Design Empfehlung folgend müssen Netzwerkesegmente mit einer Gesamtlaufzeit von mehr als 10ms in separaten Active Directory Site platziert werden

Server-Design

In der Preferred Architecture werden alle Exchange Server mit Postfachrolle als physikalische Systeme betrieben. Die Hauptgründe hierfür sind:

• Jeder Server ist für eine 80% Auslastung bei größtmöglichem Ausfallszenario berechnet
• Virtualisierung stellt eine zusätzliche Komplexität im Falle einer Wiederherstellung dar, die keinerlei Vorteil bringt (siehe auch Hauptgrundsatz von Exchange Server)

Die physikalischen Server, die für eine Preferred Architecture Implementierung verwendet werden, haben keine allzu besonderen Anforderungen. Solch ein Standard-Server besteht aus:

• 2HE Server, Dual-Sockel mit 20-24 Prozessorkernen
• Maximal 192GB Arbeitsspeicher
• Festplattencontroller mit Batterie-abgesichertem Schreib-Cache
• 12 oder mehr Festplatteneinschübe im Servergehäuse

Die weiteren Konfigurationen des Servers sind:

• Einzelner RAID1 Verbund aus zwei Festplatten für das Betriebssystem, Exchange Server Installation, Protokolldateien und Transportdatenbanken
• Alle weiteren SAS Festplatten sind als JBOD konfiguriert
• Dateisystem für Datenlaufwerke ist ReFS
• Schutz der Daten durch BitLocker Festplattenverschlüsselung
• Absicherung gegen Festplattenausfall durch DAG AutoReseed

DAG-Design

Um eine optimale Nutzung der Systemressourcen im ungebundenen Namensraummodell zu gewährleisten, werden die aktiven Kopien der Datenbanken gleichmäßig (symmetrisch) über alle Mitgliedsserver der Database Availability Group (DAG) verteilt. Die maximal 16 Mitgliedsserver einer DAG werden ebenfalls symmetrisch, mit einer geraden Anzahl an Servern je Rechenzentrum über alle Rechenzentren verteilt.

Durch mehr Mitgliedsservern in einer DAG wird eine bessere Redundanz und Nutzung der Ressourcen sichergestellt. Die Preferred Architecture sieht vor, dass eine DAG aus mindestens acht Mitgliedsservern besteht. Bei einem steigenden Ressourcenbedarf wird die DAG um weitere Mitgliedsserver erweitert. 

DAG Netzwerkdesign

In der Preferred Architecture benötigt Exchange Server für einen sicheren Betrieb nur eine einzelne Netzwerkschnittstelle. Diese Netzwerkschnittstelle wird ohne Teaming betrieben. Diese vereinfachte Netzwerkanforderung erleichtert den Betrieb und auch die Wiederherstellung im absoluten Fehlerfall. Eine separate Heartbeat-Netzwerkschnittstelle für die Cluster-Kommunikation ist nicht erforderlich.

Witness Server

Der Witness Server einer DAG gewährleistet das korrekte Verhalten der DAG bei einem automatischen Failover, sollte es zu einem Ausfall eines Rechenzentrums kommen. Im Idealfall wird der Witness Server an einem dritten Standort in einer anderen Active Directory Site platziert. Sollte kein dritter Standort zur Verfügung stehen, so kann der Witness Server auch in Microsoft Azure betrieben werden.

Zusammenfassung

Was ist nun die richtige Exchange Server Architektur?

Wenn Sie der Preferred Architecture (Blauer Kreis) oder aber der Best Practice Empfehlung (Lila Kreis) folgen, können Sie einen sicheren Betrieb der E-Mail Plattform in Ihrem Unternehmen gewährleisten, ohne unnötige technische Risiken einzugehen. Jenseits einer Nutzung von Exchange Online stellen diesen beiden Design-Optionen das Optimum für einen zuverlässigen Betrieb dar. Je weiter Sie sich von der Preferred Architecture für Exchange Server entfernen, um so mehr steigt das Betriebsrisiko.

Wenn Sie den vollmundigen Produktversprechen von Drittherstellern für Speicherlösungen oder anderen faszinierenden Lösungen zur Hochverfügbarkeit von Exchange Server folgen, so verabschieden SIe sich in eine individuelle "funktioniert irgendwie" Implementierung. Tritt bei solch einer Implementierung ein Fehlerfall auf, so liegt das Problem nicht beim Produkt Exchange Server. Die Erfahrung hat leider gezeigt, dass in solchen Fällen immer von Unzulänglichkeiten in der Implementierung abgelenkt wird.

Als absolute Mindestempfehlung gilt eine Exchange Server Implementierung, die den Exchange Server Systemanforderungen und den Exchange Server Speicherkonfigurationsoptionen folgt.

Abkürzungen

• PA | Preferred Architecture
• PLA | Product Line Architecture

Links

• The Exchange 2016 Preferred Architecture
• Introducing the Microsoft Product Line Architecture
• Exchange Server 2016 Architecture
• BRK3158 - Do Exchange Right Or Move to Office 365

Viel Spaß beim Betrieb von Exchange Server.

"Zu wissen, was man weiß, und zu wissen, was man tut, das ist Wissen."

Seit den Zeiten von Konfuzius ist dies eine der Maximen über Wissen an sich und hat auch seine ganz eigene Bedeutung in der heutigen IT und dem strategischen Betrieb von komplexen und sicheren IT-Umgebungen.

Die größte Gefahr in jeder IT-Umgebung ist somit das Unwissen. Nach der Identifikation eines Problems und dem Finden der Ursache, verbleibt nur das Auffinden von technischen Ressourcen, um das Problem zu beseitigen. Um das zu erreichen und um die organisatorischen Geschäftsanforderungen voranzutreiben, benötigen Unternehmen eine intelligente Sicht auf das große Ganze. Oder ganz einfach: Enterprise IT ist auf solide Berichterstattung angewiesen.

Es gibt im IT-Portfolio eines Unternehmens keine Dienstleitung, die ähnlich wichtig ist, wie E-Mail (ergänzt durch Exchange und Active Directory Datenbanken). Für die meisten Unternehmen ist E-Mail die wichtigste Kommunikationsart und damit die Lebensader für einen erfolgreichen Betrieb. Leider übersehen viele IT-Verantwortliche wichtige E-Mail bezogene Themen, die sich auf die Produktivität, betriebliche Effizienz und letztlich auf die Rentabilität des Unternehmens auswirken. Zahlreiche Herausforderungen, wie Ausfälle und Service-Optimierungen, Sicherheitswarnungen und Speicherengpässe, wirken sich in ganzer Linie auf den Betrieb des Unternehmens aus. Ohne messbare KPIs für solch kritische Applikationen versuchen Unternehmen eine große Unbekannte zu verwalten. Sie fliegen sozusagen blind.

Im Fall von Exchange muss eine Berichterstattung drei Themenbereiche abdecken, um einen produktiven und effizienten Betrieb zu unterstützen:

• Sicherheit / Compliance
• Operative Konsistenz
• Sichere Finanzplanung

Eine Berichterstattung über Exchange ist kein monolithisches Gebilde, vielmehr erfordert eine produktive Berichterstattung unterschiedliche Detailierungsebenen, um alle notwendigen Informationen für schnellere und bessere Entscheidungen bereitzustellen. Zum Beispiel ist für einen CIO nicht von Vorteil, wenn er Kenntnis darüber hat, dass ein bestimmter Benutzer das Postfachlimit überschritten hat. Diese Information ist für Service-Desk Mitarbeiter viel sinnvoller. Die generelle Information aber, wie viele Nutzer das Limit überschritten haben, hilft bei der strategischen Planung und Budget-Entscheidungen für die IT-Infrastruktur.

Mit Hilfe einer Rollen-basierten Berichterstellung erhalten die Mitglieder einer Rolle genau die Informationen, die sie für Ihre speziellen Aufgaben benötigen. Dies vereinfacht zum einen die Arbeit der Mitarbeiter selber und stellt zum anderen sicher, dass keine unnötigen oder unerlaubten Daten im Zugriff sind.

Ein weiteres Problem heutiger Berichterstattung in der IT ist, dass zahlreiche Berichte automatisch erstellt und per E-Mail an unterschiedliche Empfänger zugestellt werden. Dort werden sie meist durch Postfachregeln automatisch in Unterordner sortiert und harren dort aus, um gelesen zu werden. Die Informationen sind zum Zeitpunkt des Lesens bereits wieder veraltet und stellen nur einen alten, bereits vergangenen, Betriebszustand dar, und nicht den aktuellen Betriebszustand.

Jenseits dieser eher abstrakten Darstellungen folgen nun zwei reelle Anwendungsbeispiele:

Was ist mit der Identifizierung fragwürdiger Aktivitäten?

Exchange Auswertungen helfen dem Service-Desk Mitarbeiter fragwürdige IP-Adressen zu identifizieren, die auf Nutzerpostfächer zugreifen, und dies auf eine Block-Liste zu setzen. Exchange Administratoren können abgelaufene und ungenutzte Benutzerkonten (eine Spielwiese für Malware und Sicherheitsbrüche) identifizieren und deaktivieren oder löschen. Die HR Abteilung kann nachverfolgen, ob bestimmte Benutzer gegen Unternehmensrichtlinien verstoßen. Und der CIO kann sicherstellen, dass alle Sicherheitsinitiativen den rechtlichen Vorschriften entsprechen.

Wie hilft das Wissen über die Speicherkapazitäten bei der Umsatzgenerierung des Unternehmes?

Stellen Sie sich vor, Ihr Verkaufsteam kann eine wichtige Verkaufspräsentation oder eine wichtiges und vertrauliches Angebot nicht zum Kunden senden, da das Postfachlimit des Teams erreicht ist. In dem Fall erfolgt sicher eine umgehende interne Eskalation, die durch ein pro-aktive Überwachung und Berichterstattung vermeidbar gewesen wäre. Solche Situationen sind für alle Beteiligten nervenaufreibend und unnötig. Mit dem Wissen über die aktuellen Speicherkapazitäten und -limits kann schon im Vorfeld solcher Situationen eingegriffen werden und das Verkaufsteam bleibt produktiv.

Nachfolgend wird anhand von Anwendungsbeispielen gezeigt, die personalisierte Berichterstattung helfen kann:

Die meiste Unternehmen haben nur eine begrenzte Anzahl an Mitarbeitern zur Verfügung, die sich um mit dem stetigen Wandel der IT-Anforderungen mitzuhalten. Die Menge an E-Mail Datenverkehr und die Postfachgrößen selber werden weiter wachsen. Berichtssysteme selber werden dieses Probleme nicht lösen, sie helfen aber, die notwendigen aktuellen Informationen den richtigen Personen zum richtigen Zeitpunkt zur Verfügung zu stellen.

Mit den richtigen Informationen können Sie neue Anschaffungen für den sicheren Betrieb Ihrer Exchange Infrastruktur auch detailliert begründen.

Möchten Sie mehr darüber erfahren, wie Mailscape Ihnen dabei helfen kann die Lücken über das Wissen in Ihrer Umgebung zu schließen?

http://www.granikos.eu/de/Mailscape
 

Exchange Server ist eine der erfolgreichsten Serverlösungen von Microsoft, obwohl das Produkt immer wieder funktionale Lücken hinsichtlich Sicherheit, Archivierung, Datensicherung/Wiederherstellung, Überwachung und Berichterstellung hatte. Einige dieser funktionalen Lücken existieren selbst in der aktuellen Version Exchange Server 2019. Infolgedessen entwickelte sich rund um Exchange Server über die Jahre ein Ökosystem von Softwarelösungen, um diese Lücken zu schließen und den gewünschten Mehrwert zu bieten.

Selbst mit einem Wechsel zu Exchange Online besteht weiterhin Bedarf für eine bessere Überwachung und Berichterstellung. Microsoft bietet für Exchange Online nur einige rudimentäre Ansätze, die Administratoren nicht die Informationen bieten, die wirklich benötigt werden. Diese Informationslücken schließt ENow mit Mailscape 365 und liefert einen umfassenden Einblick in den Betrieb von Exchange Online und Microsoft 365.

ENow

ENow Software ist kein Neuling am Markt der Monitoring-Lösungen für Microsoft Serverprodukte. Ich kenne das Unternehmen und die Lösungen bereits seit mehr als zehn Jahren. Mich beeindruckt die Entstehungsgeschichte von ENow. Jay Gundotra, Gründer und Exchange-Geek, startete mit seinem Unternehmen nicht mit dem Anspruch ein Softwareanbieter zu sein. Die erste Lösung entstand durch den Bedarf, den er während seiner Arbeit als Service-Anbieter für Exchange sah. Es fehlte eine Monitoring-Lösung, die alle notwendigen Informationen in einem Dashboard zusammenfasst und so einen schnellen Überblick über den aktuellen Betriebsstatus ermöglicht.

Hieraus entwickelte sich das bekannte OneView-Dashboard des ENow Management Systems, mit dem eine ganze Plattform übersichtlich dargestellt und überwacht werden kann. Rot blinkende Signale und die Möglichkeit des Drill-Downs ermöglichen eine schnelle Identifikation von Problemen. Die Lösung wurde unter der Maßgabe entwickelt, so zu funktionieren, wie ein Administrator denken würde, um ein Problem zu identifizieren und zu beheben. Man muss nur der Spur der roten Ampelsignale folgen, um die Ursache zu finden. Dies Einfacheit ist der Grund, warum Network Operating Center (NOC) zahlreicher Unternehmen auf diese Lösung setzen. Die ENow-Lösung wurde und wird auf der Basis von Feedback aus der Exchange-Community stetig entwickelt. Unternehmen in über 130 Länder auf der ganzen Welt, wie z.B. VMware, Wendy’s und Facebook, vertrauen der Lösung.

Job-Rollen und Herausforderungen

Auf ENow und Mailscape bin ich im Jahr 2009, während eines Exchange Migrationsprojektes, gestoßen. Seinerzeit löste die Software das alltägliche Problem des Monitorings von lokalen Exchange Server Plattformen. Über die Jahre hat ENow den Umfang der Monitoring-Lösung weiterentwickelt, um immer komplexere Anforderungen und mögliche Probleme im Betrieb von Exchange Server zu überwachen, z.B. wurde die Lösung um das Monitoring von Active Directory Gesamtstrukturen ergänzt. Es darf nicht vergessen werden, dass Exchange Server eine sehr tolerante Serverlösung ist und in ganz unterschiedlichen Konstellationen betrieben werden kann. Dies birgt naturgemäß besondere Herausforderungen für das Monitoring.

Der Wert einer Plattformüberwachung mit der ENow Monitoring-Lösung wird deutlich, wenn wir uns drei beteiligte Job-Rollen, mit ganz unterschiedlichen Interessen, anschauen. So erkennen Sie vielleicht einen vertrauten Anwendungsfall aus Ihrer eigenen Betriebsumgebung wieder.

Der IT- / Exchange- / Office 365-Administrator

In einer lokalen IT-Infrastruktur haben IT- und Exchange-Administratoren meist eine gute Monitoring-Übersicht über Server und Dienste. Das Standard-Monitoring wird, aufgrund fehlender Integration, oft durch zusätzliche Tools ergänzt, um neben einem klassischen System-Monitoring auch ein Applikations-Monitoring zu ermöglichen.

Bei einem Wechsel zu Microsoft 365 und Exchange Online ist die Frustration auf Administrator-Seite groß. Es besteht keine Möglichkeit mehr, sich mal schnell per RDP auf einem Server anzumelden, um ein Problem zu identifizieren und zu beheben. Gleichzeitig ist der Druck unverändert hoch, bei einer Störung das Management und die Mitarbeiter informieren zu müssen. Das Microsoft 365 Admin Center stellt keine zeitnahen Informationen zum aktuellen Dienststatus bereit. Störungen, die früher schnell als Dienst- oder Hardwarestörungen identifiziert werden konnten, verstecken sich nun in einer großen (dunklen) Wolke. Office 365 Störungen können den ganzen Dienst betreffen oder nur Teilbereiche oder einzelne Dienste. In den letzten Jahren haben wir unterschiedliche Ausfälle erlebt, die das Resultat von Azure AD- oder Azure DNS-Problemen waren und die Identitätsverwaltung oder den Zugriff auf die gesamte Microsoft 365-Plattform beeinträchtigten. Andere Ausfälle betrafen nur einzelne Dienste, wie z.B. Microsoft Teams, oder einzelne Komponenten, wie die jüngsten MFA-Ausfälle.

Der obige Screenshot des ENow Dashboards zeigt, dass Microsoft Teams und SharePoint Online für Anwender in Salzburg gestört sind (3), jedoch nicht für Anwender in Wien. Die allgemeine Verfügbarkeit in Office 365 ist nicht gestört (1). Es scheint sich um ein lokales Netzwerkproblem zu handeln (2). Den Status der Dienstverfügbarkeit erkennen Sie auf einen Blick. Für ein international arbeitendes Unternehmen sind rollierende Störungen, bei denen Mitarbeiter einer Region nicht wie gewohnt arbeiten können, während andere Regionen keine Probleme haben, eine besondere Herausforderung. Denn dies stellt keinen direkter Ausfall von Office 365 dar.

In solch einem Fall fragt sich ein IT- oder Exchange-Administrator, „Haben WIR ein Problem, oder ist es ein Microsoft-Problem?“ Viele Überwachungslösungen betrachten nicht alle notwendigen Komponenten einer lokalen IT-Infrastruktur oder haben keine Kenntnis über die technischen Abhängigkeiten der eingesetzten Komponenten, wie z.B. beim Betrieb einer Hybrid-Konfiguration (AD FS, AAD Connect) und den erforderlichen Netzwerkverbindungen. Sie möchten sich nicht in der Situation wiederfinden, in der Sie denken, dass eine Störung durch ein Microsoft 365-Problem ausgelöst wurde, es sich aber in Wirklichkeit um eine Störung in Ihrer lokalen IT-Infrastruktur handelt.

Der IT- / Exchange- / Office 365-Administrator mit ENow Mailscape 365

Office 365 und Exchange Online verfügen über kein eigenständiges Monitoring je Mandanten. Bei einer offiziellen Störung gibt es für Administratoren keine Möglichkeit meistens keine schnelle und einfach Lösung, um den Grund der Störung zu ermitteln. Sie können keine Aussage darüber treffen, wer Schuld ist, welche Dienst gerade nicht verfügbar ist und für wen es Auswirkungen hat. Hier hilft ENow bei der Isolierung des Problems durch sog. Remote-Sonden und synthetische Transaktionen. Diese Funktionen imitieren Anwenderzugriffe auf Office 365-Dienste, wie z.B. Microsoft Teams. In einer cloudbasierten Welt benötigen Sie intelligentere Überwachungsfunktionen als eine „Dienst verfügbar/nicht verfügbar“-Lösung. Ebenso wichtig ist, sich nicht nur auf die Cloud-Endpunkte zu konzentrieren.

Die Verfügbarkeit der Office 365-Dienste ist zu einem großen Teil von der Funktionalität der lokalen Active Directory Gesamtstruktur und der Netzwerk-Infrastruktur abhängig. Da die ENow Lösung in Ihrer lokalen Infrastruktur betrieben wird, kann sie genau das leisten. Der Mehrwert liegt darin, dass Sie eine belastbare Aussage über den Grund der Störung abgeben können und sich nicht auf eine „Microsoft ist Schuld“-Begründung zurückziehen müssen, selbst wenn dies sehr bequem ist. Aber was ist, wenn der Fehler nicht bei Microsoft liegt, sondern bei Ihnen? Die Gründen hierfür sind vielfältig, wie z.B. abgelaufenen Zertifikate, ungewöhnlich hohe Netzwerklatenzen, AD FS Authentifizierungsfehler oder Azure AD Connect Synchronisationsprobleme, um nur einige zu nennen. Es ist kein eindimensionales Problem. Die von Ihnen gewählte Überwachungslösung für Office 365 muss mehrdimensional sein und auf die gleiche Weise testen, wie Anwender eine Verbindung zu den verschiedenen Office 365-Diensten herstellen.

Die oben dargestellte Störung signalisiert eine Störung von Microsoft Teams und SharePoint Online. Wenn Sie der Störungssignalisierung im Dashboard folgen, erhalten Sie die notwendige Sicherheit. 

DIe Detailinformatiom zeigt, dass eine Störung beim Zugriff auf Microsoft Teams vorliegt.

Verantwortlicher zur Einführung des modernen digitatlen Arbeitsplatzes

Sie kennen die Schlagworte „digitaler Arbeitsplatz“, „digitale Transformation“ und all die anderen zu Genüge. Das gemeinsame Ziel ist die Einführung eines modernen Arbeitsplatzes und die umfassend integrierte Nutzung von Office 365. Ihr Unternehmen investiert mit den Abonnementkosten nicht nur in die Cloud-Plattform an sich, sondern auch in die Weiterentwicklung der Mitarbeiter. Daher ist es so wichtig, dass Sie wissen, wie die einzelnen Komponenten der Office 365-Plattform verwendet werden. Und hier spreche ich nicht nur von den Standardauswertungen, die Ihnen z.B. eine Microsoft Teams Nutzung vorgaukeln, nur weil Anwender einmal in dreißig Tagen Microsoft Teams gestartet haben.

Wenn Sie für die Einführung von Office 365 verantwortlich sind, sind Sie davon überzeugt, dass die Kommunikations- und Kollaborationssuite die Zusammenarbeit in Ihrem Unternehmen revolutionieren wird. Der Schlüssel hierzu ist jedoch, dass die Produkte der Office 365-Suite von allen Mitarbeitern angenommen und genutzt werden. Um eine breite Akzeptanz und Nutzung zu erreichen, muss Office 365 planvoll eingeführt und mit angemessenen Lernangeboten begleitet werden. Ein „probiert es einfach aus“-Ansatz wird scheitern. Sie benötigen ausführliche Berichte, wie die Office 365-Plattform von Anwendern genutzt wird. Dies dient auch der Erfolgskontrolle von Schulungen und Lernmaterialien.

Die Standardberichte der Office 365-Plattform geben Ihnen nur rudimentär Auskunft, meist stehen detaillierte Informationen nur per PowerShell zur Verfügung. Administratoren verfügen oftmals über das notwendige Knowhow, um diese Informationen abzurufen. Als Verantwortlicher für die Einführung von Office 365 benötigen Sie meist Hilfe, um die notwendigen Informationen zu erhalten und die Statusberichte für das Management zu erstellen.

Verantwortlicher zur Einführung des modernen digitalten Arbeitsplatzes mit ENow Mailscape 365

Die ENow Mailscape 365 Suite verfügt über Hunderte von integrierten Berichten, die Sie für Ihre individuelle Bedürfnisse anpassen können. Ergänzt wird diese Lösung durch ein zentrales Repository für PowerShell-Skripte und einem Dashboard zur Verwaltung. Sie sehen z.B. nicht nur, ob Microsoft Teams selbst verwendet wurde, sondern auch wie viele Chat-Nachrichten gesendet wurden, wie viel Anrufzeit bereits aus dem Anrufguthaben genutzt wurde oder wie oft das Teilen von Bildschirminhalten eingesetzt wird. Mithilfe dieser Auswertungen stellen Sie schnell fest, ob es ein Problem mit den Schulungen und Schulungsinhalten gibt.

Bei einer einfach zu nutzenden Lösung wie OneDrive erkennen Sie, ob Personen überhaupt Dateien in ihrem persönlichen OneDrive-Speicher ablegen. Wenn dies nicht der Fall ist, ist dies ein Indikator, dass Anwender höchstwahrscheinlich eine Schatten-IT-Lösung wie Dropbox verwenden. Liegt das Problem nun darin, dass sich Anwender mit der neuen OneDrive-Lösung nicht wohlfühlen?

Mit dem Wissen über die Nutzung der Office 365-Suite können Sie proaktiv auf Ihre Schulungen einwirken und so sicherstellen, dass Ihre Mitarbeiter alle bereitgestellten Lösungen nutzen, für die das Unternehmen bezahlt.

Weitere Berichte geben Ihnen Auskunft darüber, welche Apps oder Geräte für den Zugriff auf die Office 365-Dienste verwendet werden. Erfolgt der Postfachzugriff mit Outlook für Desktop, Outlook on the Web oder die Outlook Mobile App? Welches Betriebssystem oder welches Endgerät kommt zum Einsatz? Ähnliche Auswertungen stehen für Microsoft Teams und andere Dienste zur Verfügung. Auf Basis dieser Informationen können Sie entscheiden, ob bestimmte Apps und Geräte in Schulungen stärker berücksichtigt werden müssen. Wenn Sie feststellen, dass mehr Personen iOS- oder Android-Apps für den Zugriff auf Office 365 Dienste verwenden, können Sie Ihren IT-Support für diese Nutzungsszenarien optimieren.

Der Software-Asset-Manager

Die Lizenzierung von Office 365 ist ein bisschen wie ein schwarzes Loch und es ist nicht ungewöhnlich, dass ein Unternehmen mehr zahlt, als notwendig ist. Dies können im Einzelfall Tausende von Euros sein.

Genauso wie Nutzungsinformationen, werden Lizenzinformationen in Office 365 nicht sinnvoll dargestellt.  Oberflächlich betrachtet, denken Sie möglicherweise, dass Ihre Lizenzierung richtig dimensioniert ist. Stellen Sie sich vor, dass von zugewiesenen 1.000 Microsoft 365 E5-Lizenzen nicht alle inkludierten E5-Funktionen durch die Anwender genutzt werden. Stattdessen wäre eine Microsoft 365 E3-Lizensierung für z.B. 300 Anwender vollkommen ausreichend. Bei einer Preisdifferenz EUR 22,00 je Anwender und Monat, könnten Sie EUR 79.920,00 pro Jahr einsparen, ohne dass sich dies auf die zur Verfügung stehenden Funktionen auswirkt.

Die richtige Lizensierung bietet ein großes Potential zur Kostenoptimierung und ist daher von großem Interesse für Software-Asset-Management Teams. Wenn Sie jedoch für die Einführung von Office 365 verantwortlich sind, möchten Sie die Lizensierung gar nicht erst reduzieren. Sie möchten viel lieber sicherstellen, dass die Anwender die lizensierten Funktionen ausgiebig nutzen.

Ein weiteres Problem sind überlappende Lizenzen. Kennen Sie alle Produkte und Dienste, die in einer E3- oder E5-Lizenz enthalten sind?  Wahrscheinlich nicht. Es ist also möglich, dass Sie eine Lizenz für eine Add-On-Funktion kaufen und verwenden, die bereits in der E3- oder E5-Lizenz eines Anwenders enthalten ist? Sie erhalten bei der Zuweisung einer Add-On-Lizenz keinen Warnhinweis, dass diese Funktion dem Anwender bereits zur Verfügung steht. Möglicherweise gibt es bei Ihnen auch Anwender, die Visio Online oder Project Online benötigen, so dass Sie Lizenzen für diese Anwender erwerben. Aber vielleicht gibt es gleichzeitig andere Anwender, denen eine Visio Online- oder Project Online-Lizenz zugewiesen ist, diese aber gar nicht verwenden. Das Auffinden dieser Art von inaktiven Lizenzen ist mit den von Office 365 bereitstellten Tools nicht immer nativ möglich.

Der Software-Asset-Manager mit ENow Mailscape 365

Die Berichte der ENow Management Suite bieten eine einfache und auf einen Blick verständliche Möglichkeit, Möglichkeiten zur Kostenoptimierungen zu messen und umzusetzen. Alle Probleme mit der richtigen Dimensionierung von Lizenzen, überlappenden Lizenzen oder der erneuten Bereitstellung nicht verwendeter Lizenzen können mit diesen Berichten gelöst werden. Sie erhalten einen exakten Einblick, wie Ihre Lizenzen in Ihrem Unternehmen verwendet werden. Diese Informationen helfen Ihnen bei Lizenzverhandlungen, ROI- oder TCO-Modelle zu formulieren und bieten reale Einblicke in Ihre digitalen Investitionen.

Installation und Konfiguration von Mailscape 365

Der Einrichtungsprozess der ENow Management Suite und Mailscape 365 war sehr einfach. Der Installationsassistent führt Sie durch jeden einzelnen Schritt des Prozesses. Nach der Einrichtung der erforderlichen Dienstkonten für den Zugriff auf Ihren Office 365-Mandanten ist die Lösung betriebsbereit.  Die Installationsroutine bietet sogar die Möglichkeit, eine Express-Installation durchzuführen, die weniger Rückfragen zur Installation notwendig macht. Die proaktive Office 365-Überwachung Ihres Mandanten wird innerhalb weniger Minuten aktiviert und die Berichte zur  Lizenzverwaltung sind schon kurz nach Abschluss der Installation verfügbar.

Zusammenfassung

Die ENow Management Suite macht mit Mailscape 365 genau das, was es soll. Es bietet eine Überwachung auf einen Blick, die Administratoren dabei hilft, ein Problem schnell zu erkennen und zum eigentlichen Kern des Problems zu gelangen. Hierzu müssen Administratoren nur dem Pfad der „roten Warnmeldungen“ folgen.

Ergänzt wird die Überwachung Ihres Office 365.Mandaten durch die Bereitstellung von aussagekräftigen Berichten, die Ihnen bei der Einführung und Nutzung von Office 365 helfen und sogar Geld sparen können. Sie erhalten eine Lösung, die Ihnen dabei hilft, Ihre tägliche Arbeit ohne unnötige Komplexität zu erledigen, ganz unabhängig davon, ob Sie ein IT-/Exchange- /Office 365-Administrator, für die Einführung moderner Arbeitsplätze verantwortlich oder ein Software-Asset-Manager sind.

Besuchen Sie die Produkt-Website für weitere Informationen: https://www.enowsoftware.com/products/office365-monitoring-and-reporting

Beginnen Sie mit einem 14-Tage Test: https://www.enowsoftware.com/get-started

Foto von Christina Morillo von Pexels