NorbertFe

Das läßt sich anhand des SPF Records NICHT eindeutig als Phishingmails klassifizieren.

Das können die großen Provider im Webinterface zwar relativ easy umsetzen, bei eigenen Mailsystemen mit Fat-Clients ist das aber im Falle von Outlook mit Nachteilen behaftet: 1. Das Ding steht im Zweifel über jeder Externen Mail (so machen das leider inzwischen viele) "Achtung dies ist eine externe Mail klicken Sie bla bla nicht". 2. Beim Einfügen von Infos in die Mail zerstört man digital signierte Mails und damit das sicherste Kriterium anhand dessen man prüfen kann, ob die Mail wirklich von der angegebenen Quelle stammt. 3. Tritt im Allgemeinen ein Gewöhnungseffekt ein, wenn 1. umgesetzt wird. Mal vom optisch schlechten Ergebnis, wenn die Mailkonversation ein paarmal hin und her geht. Da du oben die Antwort mit dem Pipeline Tracing als Lösung markiert hast, sei die Frage gestattet, ob du die Lösung deines Problems auch gefunden hast. Würde mich interessieren, was rauskam. Bye Norbert

äußerst unwahrscheinlich. Keinen SPF Record zu haben ist zwar ein Kriterium anhand dessen man Rückschlüsse ziehen darf, aber es ist kein Grund eine Mail deswegen abzulehnen. Keinen SPF Record zu haben führt aber bei vielen inzwischen dazu eben als "verdächtig" klassifiziert zu werden. Ist aber meist nur ein (kleiner) Punkt von mehreren, denn wenn man keinen SPF hat, hat man meist auch kein DKIM und erst recht kein DMARC im Einsatz. Man sollte die genannten Dinge aber aus reinem Eigeninteresse durchaus nutzen, damit sicher(er)gestellt ist, dass die eigenen Mails eben auch im Posteingang landen und nicht im Junkfolder und vor allem, dass die eigene Domain weniger einfach für Phishing genutzt werden kann. Und selbst dann hat man noch genug zu tun. ;) Bye Norbert

Ich wollte darauf hinaus:

Habt ihr denn SPF, DKIM und DMARC für eure Umgebung? ;) Oder gehört ihr auch zu denen ? ;)

Mails anzunehmen um dann die Verarbeitung hinten zu erledigen ist bei Spam äußerst kontraproduktiv in meinen Augen. Dann nimmst du dem Spammer den Mist ja trotzdem ab um ihn dann zu löschen/quarantänieren/zuzustellen. Keine der drei Möglichkeiten ist wirklich sinnvoll IMHO. Aber da ich eure Anforderungen und Umgebung nicht kenne, mag das ja irgendeinen verborgenen Sinn haben. ;)

Je nach Einstellung ist das also beabsichtigt? Hmm. Also so pauschal würd ich das ohne Beleg erstmal in Frage stellen. DIe Mails werden euch per SMTP zugestellt nehme ich an? Wenn nicht jeder Geschäftspartner SPF Records veröffentlicht hat, haben die ohne SPF Records ja auch keine Probleme mit SPF Records. ;) (Dafür dann halt andere).

Und die Behauptung steht jetzt mal einfach so im Raum. ;) gibts da auch Beispiele oder Belege? Nennt sich pipeline tracing. Warum nimmst du die überhaupt an? Bei spf fail hat doch der Absender klar definiert was er erwartet, was mit gefälschten Mails passieren soll. (Zumindest wenn er weiß was er tut)

Tjo.... Dann weißt du ja jetzt, dass man da nicht "etwas rumgespielt", weils Mehrarbeit ist, das Ding wieder geradezuziehen. Alternativ setz dir einen Staging Server auf, den du bei solchen Fällen dann aktivieren kannst und dann in Ruhe deinen "zerspielten" Server neu aufsetzen kannst, weil du dann ja die Konfiguration importieren kannst. :)

Ja und wo is das Problem? :)

https://docs.microsoft.com/de-de/azure/active-directory/hybrid/how-to-connect-import-export-config

Ja is klar. ;)

Was passiert, wenn du ein Outlook neu einrichtest? Gibts dann die selbe Fehlermeldung? Nein kein forward, sondern ein Record (oder eine hostzone) Warum antwortet da nicht die interne ip?

Immer b***d wenn es so verfremdet ist. Zu kontrollieren wäre der autodiscover internal service URI. Der wird meist übersehen. was passiert denn, wenn du auf ja klickst? Nutzt du Outlook anywhere oder mapi/http? Ist der Outlook anywhere Name korrekt angepasst?

Nicht, wenn weitere User Zugriff auf das Postfach haben. Dazu braucht man kein Kennwort des Postfachs.

Naja.. Spaßbefreit? Wer hat denn alles Zugriff auf das Postfach?

Shift Del? ;)

Und warum will man die sehen? Selbst WENN du sie dort per Skript einträgst, wirken trotzdem die aus der Policy. Alles andere Gepfriemel solltest du einfach sein lassen. Kannst du als Azubi ruhig glauben, dass es so besser ist. ;)

Wozu willst du den denn ändern?

Das liegt daran, dass du das Prinzip "Policies" nicht verstanden hast. ;) Die stehen nämlich hier: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32Time\Parameters Wenn du per GPO konfigurieren willst, solltest du obigen Link berücksichtigen!

Ignorier doch einfach die Fragen die man dir stellt. Gibt es eine korrekte Subnet to AD Site Zuordnung? 640 K ought to be enough for anybody

Vermutlich. :) Oder gehts? ;)

Üblicherweise greift sich der Exchange aber nur DCs aus einer Site. Oder ist bei dir die Site/IP Zuordnung nicht gegeben bzw. Geografisch übergreifend? Das was du da jetzt konfiguriert hast, fällt dir im Allgemeinen spätestens beim Austausch dieses DCs auf die Füße. Ich rate davon ab, das statisch zu konfigurieren.

Das hast du doch durch den Zugriff zum Globalen Adressbuch verhindert. Wie sollten sie denn diese internen Mitarbeiter sonst finden?

Tjo, wenn man halt nur IMAP hat, dann muss man sich auch mit sowas zufrieden geben. Unabhängig davon, dass Outlook der schlechteste IMAP Client ist, den ich kenne. Vermutlich wärs besser, wenn du das entweder zu MS (O365 ob das allerdings für deinen Anwendungszweck funktioniert, wäre zu prüfen) umziehst, oder eben per Web hantierst. Da gibts dann ggf. mehr Anbieter.