NorbertFe

Dann hast du meine Antwort eindeutig fehlinterpretiert. Das habe ich nämlich nicht geschrieben. Naja wenn du das jetzt mit Zahlen hinterlegt hättest, könnte man evtl. nachvollziehen was dir nicht gefällt und ggf. Empfehlungen abgeben. Aber so?

Warum nicht? Eigentlich ist es best practice Mailadresse und upn gleichlautend zu konfigurieren.

Deaktivier mal o365 im autodiscover. https://melbits.com.au/kb/how-to-disable-office-365-autodiscover-exchange-self-hosted/ geht auch per Policy.

Auf einem hyper-v Host läuft nur hyper-v und kein Domain Controller, kein exchange und keine Freigaben des fileservers. Und wenn du das machst, dann darfst du nur noch eine vm mit dieser Lizenz betreiben. wenn man keinerlei Erfahrung mit exchange hat, würde ich eher überlegen, ob man das nicht einfach bspw. Mit o365 erschlägt. Weniger Verwaltung und weniger know how für den sicheren Betrieb.

Klar: https://techcommunity.microsoft.com/t5/exchange-team-blog/servicing-exchange-server/ba-p/3676996 Mainstream support Extended support · Customers receive Security Updates (SUs) and time zone updates. · Customers can file bugs and request features and receive bug fixes and enhancements. · To get support (and SUs), customers must run the current CU (N) or the one immediately previous (N-1) – today, that’s either Exchange Server 2019 CU11 or Exchange Server 2019 CU12.[1] · Customers receive only SUs and time zone updates. · To get support (and SUs), customers must run the current CU – either Exchange Server 2016 CU23 or Exchange Server 2013 CU23.

Nein. Cu-1. ergibt sich auch aus den Security Updates, die es nur für cu und cu-1 gibt. Und wie man bei 2016 grad sieht, darf cu-1 nicht zu alt sein, dann fällt es auch raus.

Hafnium Patch ist drin. Warten wir auf Hafnium 2 ;)

Kann ich nicht nachvollziehen. Aber sei's drum. Sind das Postfachkalender oder öffentliche Ordner? Wenn das nur "wenige" sind, gehts vermutlich händisch am schnellsten, aber ansonsten einfach per retention policy.

Gibts denn kluge Gründe dafür? Stören die Kalendereinträge der Vergangenheit?

Naja, je nach Größe sind 8000€ für bspw. nen Dell Server entweder teuer oder billig. ;) Aber das weißt du ja selbst. Ist ja auch eine Erkenntnis. :)

Abgesehen davon kann man anhand der genannten Zahlen ohne Produktnennung und SLAs auch genau keinen Rückschluß ziehen ob das nun teuer oder billig ist. ;)

Auf letzteres bezogen sich vermutlich fast alle Kommentare hier. Wenn du eben danach fragst und gleichzeitig aussagst, dass kein Know How dafür vorhanden ist, dann bleibt ja nur Dienstleister (auf Dauer aber zumindest für die Anfangsphase) oder outsourcen (Cloud). Sich jetzt ne Linux Mail Appliance hinzustellen anstatt eines Exchangeservers kann man machen, aber wenn da kein know how da ist, bestehen eben die selben Probleme. Bye Norbert Gibt eben auch bei "Linux" die Bastellösungen.

Erstens gabs das nur bis Ex2003 (keine Ahnung, ob sowas heute noch in Postfix oder SendMail enthalten ist) und zweitens vertauscht das nicht die Rollen, sondern es fordert die Zustellung an. :p Immer noch ein Unterschied zu ich hole was ab denn am Ende blieben die Informationen im SMTP erhalten. Anders als bei POP3. Man brauchte kein Catch-All, sondern man triggerte den Smarthost, der eben die Queue für die gesamte Domain hatte. Wenn der schon filtern konnte, dann ging es nur für die entsprechenden Postfächer. Am Ende aber inzwischen technisch irrelevant. Mit Weiterleitungen hat man dann halt ggf. andere Probleme. ;) Aber ja immer noch besser als POP3.

ZUSTELLUNG. Nennt sich sowas. ;) Und ansonsten wäre die Frage, was denn die Aggregation von diversen Mailquellen als Ziel hat. Zu einer Mailadresse gehört halt ein Konto. Und nur weil man alles in einem Postfach hat ist das auch E-Mailtechnischer Sicht ja noch lange nicht korrekt, sondern oft nur eine Krücke.

Weil es NICHT Aufgabe eines Mailservers ist, Mails einzusammeln. Der erwartet, dass ihm die Mails zugestellt werden. Und ja, da ist ein riesengroßer Unterschied. Schon allein im Protokoll. ;)

Diese Schnittstelle (avapi) gibts seit exchange 2013 nicht mehr. Es gibt/gab on-prem Lösungen die auf die postfachinhalte per ews drauf sind. Das ist ressourcenfressend. Ansonsten greifen alle nur per transportagent rein und das tut ausreichend der malware Agent.

Und hier kann dir dann niemand sagen warum das so ist, und welche Auswirkungen eine Änderung hat. Im Zweifel hol dir jemanden, der weiß wie das funktioniert und die richtigen Fragen zur Infrastruktur stellt bzw. Selbst einen Einblick nehmen kann. Wat? Holt euch jemanden, anstatt da jetzt selbst zu experimentieren!

Welche denn?

Ich wäre auch für etwas vorgelagertes und dann mit dem Malware Agent von Exchange zu arbeiten. Wenn man mag und der Spamfilter sowas kann, dann kann man ja ggf. weitere cmd-line basierte Agents in den Mailstream hängen. Mache ich bei vielen Kunden mit Vamsoft ORF und ClamAV, oder Eset, oder McAfee oder oder oder: https://vamsoft.com/support/docs/external-agents Solange also der Filescanner auf dem Exchange per cmd-line entsprechende Parameter anbietet, kann man das nutzen. Hat natürlich dann nicht so tolle Quarantäne Features wie Scanmail aber dafür hat man vernünftigen Spamfilter. ;) Bye Norbert

Das ist eine Empfehlung, die man inzwischen aus Erfahrung im Normalfall einfach ignorieren kann. Das wäre der aller-allerletzte Grund, warum ich ihn nicht einsetzen würde. Wäre ja eher die Frage, warum der Server von extern erreichbar sein müßte (mal von SMTP inklusive Spamfilterung) abgesehen, wobei man das sogar outsourcen könnte). Also ich persönlich würde empfehlen, dass sich da jemand mal überwindet und einen kompetenten Dienstleister einlädt, der mit sowas sein Geld verdient. Dann kann man immer noch schauen. Aber nach obigen Infos würde ich auch sagen, mit Eigenbetrieb seid ihr da komplett überfordert oder die nächsten deren Daten irgendwo außerhalb auftauchen. ;) Bye Norbert

Stell dir vor, warum es internal/external gibt. ;) Da würde schon helfen, wenn du die oben erwähnten Punkte eben mal hinterfragst und ggf. hier beantworten kannst. Das kann man dir ohne Infos zu deiner Umgebung nicht sinnvoll beantworten. Bye Norbert

Das kann aber nicht am Update an sich liegen. Sonst könntest du ja zukünftig keine Clients neu aufnehmen, denn die hätten dann ja immer einen älteren stand. Also wäre interessant, was genau der auslöser des problems ist. kann ja durchaus irgendeine policy in eurer umgebung sein.

Im Zweifel „Mitarbeiterschulung“? Man sollte seine Werkzeuge schon beherrschen.

Aha, das dürfte in nahe 100% der Umgebungen zutreffen. Insofern wäre interessant, was genau du damit meinst?

Oder du keine gefunden hast? https://community.spiceworks.com/topic/2175059-removing-deleted-accounts-from-file-calendar-permissions