NorbertFe

Du musst die Konfiguration drum herum nicht anpassen. Bspw. Zertifikatsbindung im exchange sende-/empfangsconnector zertifikatsinfos im tlsa Record (bspw. Für DANE)

Für extern eingehende Mails werden die Mails auf dem jeweils letzten mta vor diesem ausgefallenen Server. Wenn’s ausgehende Mails sind, dann bleiben die halt im Client.

Schau nach, was sich ändert, wenn du den Haken setzt und dann versuchst du das einfach per GPO (GPP Registry o.ä.) nachzubilden.

Du erwartest bei der Beschreibung aber jetzt keine konkreten Lösungen, oder? was spuckt den gpresult aus? Da siehst du welche gpos wirken und warum.

Da erwartest du eindeutig Zuviel ;)

Da ist euer Problem. Es scheint euch zu kompliziert und stattdessen bastelt ihr viel kompliziertere Lösungen. ;) Proxy und Firewall werden das einzig sinnvolle sein. Alternativ: stell dem Nutzer ohne Kennung eben einen expliziten pc hin und verbiete ihm die Nutzung aller anderen PCs.

Steht da vielleicht Doch hast du mehr oder weniger. Denn wenn man adfs und best practises in eine Suchmaschine eingibt, bekommt man ziemlich genau das geliefert (bei MS). Viel Erfolg noch und ja, mit Büchern gewinnt man heutzutage kaum noch Punkte. Da ist das technische Wissen oft viel zu schnell veraltet. Bye Norbert

Ich muss präzisieren In dem Link, welchen ich oben gepostet hatte als Beispiel ADFS Erklärung von MS ist von Firewall Ports nichts erwähnt, obwohl diese Thematik auch ein Bestandteil bei der Implementierung von ADFS ist! Falsche Zitate sind nicht in Ordnung. Ich habe das da oben nicht geschrieben. Und ansonsten hat google im ersten Versuch bei ADFS best practises das hier ausgespuckt: https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/deployment/best-practices-securing-ad-fs Und wenn man weiter sucht, findet man bei MS und auch auf diversen anderen Webseiten den ein oder anderen Hinweis. bspw. hier: https://support.kemptechnologies.com/hc/en-us/articles/204250925-AD-FS-V3-V4 Ich möchte hinzufügen, dass ADFS definitiv weniger gut dokumentiert ist als bspw. Exchange oder SQL Server, aber dass man nix findet, ist auch falsch. Also du wirst IMHO um selbst recherchieren und ggf. eine eigene Artikel Sammlung nicht herumkommen, wenn du das betreiben willst. Kann ja niemand was dafür, dass du das mit einem Produkt machst, was nix anderes kann. Es gibt auch Lösungen mit Formular auf Formular oder KCD. ;) Warum? Weil du so viel Doku zum Absichern von ADFS gefunden hast? ;) Exchange kann auch mit diversen Anbietern um 2FA/MFA ergänzt werden. Viel Spaß beim Thema Norbert

Das kann ich mir nun wiederum nicht vorstellen. Also zumindest die Themen Ports und Verfügbarkeit sollten sich bei ms finden lassen.

Weils geht? ;) vielleicht soll ja noch mehr an adfs ran. Aber für den to: adfs wirst du keine Bücher finden, so wie für viele andere Themen. Da hilft nur die Microsoft Doku (und die ist schon nicht besonders) und Google. Bei konkreten Fragen fragen. Vielleicht bekommst Antwort. :)

!!!

Das ist natürlich ein Argument ;)

Die Aussage ist so pauschal jedenfalls falsch. Ein explizites Allow überstimmt ein vererbtes Deny. ;)

im deutschsprachigen System "Microsoft Exchange Notfallminderungsdienst". Englisch Microsoft Exchange Mitigation Service. ;) Ja, aber da wurde schon wieder was geändert. Also lieber nochmal prüfen. die manuell erzeugten Regeln kannst du dann ggf. löschen.

Deswegen fragte ich auch nach dem Server. ;) https://www.frankysweb.de/exchange-2016-2019-amsi-integration-sorgt-fuer-probleme-mit-outlook/

1. brauchst du dafür auch das Exchange Schema im AD 2. Gibts da auch keine Validierung ob die Mailadresse schon an einem anderen Objekt hängt. Also ja, man kann auch mit dem/einem Attributeditor von Hand ran. Aber dann is eben ohne Support und ohne Netz. :)

Und steht irgendwas im Eventlog? Welcher Virenscanner läuft auf dem Server?

Hallo, die derzeit bei ms angegebene mitigation kann wohl umgangen werden. hier gibts die aktuell wirksamere: https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html

Naja seit neuestem haben sie das ja jetzt in eine exe verpackt die die elevation immer anfordert. ;) hat ja nur ca 7 Jahre gedauert, zu dieser Erkenntnis zu kommen.

Kommunikation ist definitiv nicht deren Stärke. :/

Wäre es. Aber bei MS schlafen sie, oder sie trauen ihrem eigenen Prozess nicht. ;) Kemp hat inzwischen auch was dazu veröffentlicht: https://support.kemptechnologies.com/hc/en-us/articles/9548819650701

Dass der automatische Update Prozess bestimmte Teile gar nicht durchführen kann/darf. Bspw. darf er keine Schemaupdates durchführen. Kein /Preparealldomains. Genausowenig kann er das notwendige tun, um die Windows Extended Protection im IIS zu aktivieren. Und zusätzlich gabs oft genug Situationen in denen der Zustand danach noch mit deaktivierten Diensten und nicht funktionierenden OWA/ECP Sites zurückblieb.

Am besten gar nicht. Mach’s von Hand.

Korrekt es müssen regular Expressions sein. Und besonders fies, wenn man die Regel vorher falsch angelegt hat, muss das "Muster" auch auf .* geändert werden. Nur * verursacht Fehler.

Korrekt. :)