NorbertFe

Mit Boardmitteln schwierig. Ich kenne aber auch keinen spamfilter der dafür eine Funktion hat. ;) das filterkriterium wäre vermutlich etwas zu einfach, als dass es wirklich in der Praxis relevant wäre. Mit manuellen keywordfiltern würde ich es bei uns vermutlich zur Not hinbekommen.

Ja stimmt, einfach alle 2 Tage ein neues Zertifikat verwenden. ;)

Das ändert aber Nix. Die Mails werden ja nicht erneut signiert ;)

Nö, da bei s/mime kein (afaik) timestamping stattfindet wird jede Öffnung der Mail gegen das verwendete Zertifikat durchgeführt. Und das ist dann irgendwann abgelaufen. Das sollte dir die Fehlermeldung in Outlook auch anzeigen. Also nicht Signatur ungültig weil was verändert wurde, sondern wegen Zertifikat abgelaufen.

Danke und frohe Feiertage an alle 😃 hoffen wir mal, dass nicht wieder irgendwelche zero days gefunden und genutzt werden.

Leider. Und dann wundern sich immer alle, wenn soviel Spam und Phishing möglich ist. :/ (ja der Artikel neulich zeigt, es geht auch mit dem allem, aber manche machen es den Spammern echt leicht).

Wer ist denn heutzutage noch ohne spf, dkim und dmarc unterwegs?

Ist doch ganz einfach. Das Fuchsschwanzwort ist nummerieren. Alles andere ist was anderes. 🤪

Private Adressbereiche in diesem Zusammenhang "unkenntlich" zu machen, ist in meinen Augen erstens sinnlos (da es ja private Bereiche sind) und zweitens grade bei NDRs auch nicht unbedingt hilfreich, da man eben in solchen Fällen raten muss (in diesem konkreten Fall ist es egal, aber so generell) ;) Hast du noch andere NDR bei denen das auftritt? Dann könnte man ggf. Rückschlüsse ziehen. Google zieht ja insgesamt etwas die "Daumenschrauben" an, aber ich bezweifle, dass die dann so eine generische Fehlermeldung ausspucken.

Verstehe ich nicht. Wenn Urlaubsvertretungen und Krankheit der Anlaß für Weiterleitungen sind, könnte ich ja verstehen, wenn die dann an den Vertreter gehen und die sind doch aber im Allgemeinen Kollegen also _intern_. Also wohin leiten die Urlauber und Kranken denn die Mails um? Ans private Postfach? Das würde ich im Interesse der Firma/Behörde ja schon unterbinden. Ansonsten würde ich sagen, hast du Pech, das wird so nicht sinnvoll funktionieren. Meine Variante hast du ja oben gesehen. Entweder nur denen erlauben, die das tatsächlich und nachweislich im dienstlichen Umfeld benötigen oder generell unterbinden. Bye Norbert

Warum eigentlich? Ich brauchte sowas bisher eher für absolute Einzelfälle? Was ist denn das für eine Anforderung?

Dann erlaube doch nur denen die Weiterleitung die sie brauchen und dann ist sie für alle anderen verboten. Zwar evtl. mehr Arbeit, aber vermutlich die sicherere Variante.

Ohne Fehlermeldung wird’s schwierig. Google hat normalerweise recht ausführliche Infos, wenn sie eine Mail nicht annehmen. Wenn’s Kunden sind, könnte man mal direkt per Telefon anfragen wo das Problem liegt.

Ich glaube, es wäre einfacher, wenn du das mal versuchst mit 2 Screenshots zu verdeutlichen. ;)

Ich glaub ich geh nicht in den Ruhestand, wenn das die Konsequenz ist, dass ich meine Socken nicht mehr finde ;)

Ich dachte die heißt neuerdings Co-Pilot

So heißt seine Frau doch aber garantiert nicht. ;)

Dann hat mal jemand vergessen das Zertifikat zu erneuern bzw. zu warten bis es auf allen Exchange Servern angekommen ist. https://blog.icewolf.ch/archive/2018/03/20/exchange-2016-renew-microsoft-exchange-server-auth-certificate/ Hilft dir weiter Bye Norbert

Naja ich kenne das VMware MDM nicht, aber du öffnest dein EWS eben für die Basic Auth Methode. Ist natürlich nicht wirklich schön, aber wenns keine andere Lösung für dein Problem gibt, wird man vermutlich diese Option umsetzen bis Vmware bspw. modern auth beherrscht und du deine Umgebung auf modern Auth umgestellt hast. ;) OK, dafür brauchst du dann Exchange 2019, aber hey irgendeine Kröte wirst du schlucken müssen. ;) https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/enable-modern-auth-in-exchange-server-on-premises?view=exchserver-2019 Ist denn EWS in deinem Fall extern (vom internet aus) erreichbar, oder regelt den Zugriff dann das MDM System?

OK. Das ist sehr gut. Da ja keine Frage kam, gehe ich davon aus, dass du uns von deinen Bauschmerzen erzählen wolltest, oder? ;) Bye Norbert

Nein das eine ist quasi Vollzugriff (Shared Mailbox) auf die gesamte Mailbox und das andere ist eine Freigabe auf einzelne Ordner innerhalb eines Postfachs.

Nein, deswegen heißt es ja selfsigned. ;) New-ExchangeCertificate - Stand ja jetzt oben schon drin, oder? ;)

Nichts, dann ist das Zertifikat genauso ungültig, als wäre der Zertifikatsserver noch da ;)

Dafür braucht man keinen eigenen CA Server. Schneller und billiger dürfte es sein einfach ein Zertifikat zu kaufen. in adsiedit. Alternativ mit pkiview.msc Entfernen musst du das nicht, aber wenn du es willst, geht es mit adsiedit oder pkiview.msc. ;) Bye Norbert

Wie im anderen Thread schon angedeutet, am besten gar nicht. ;) Zur Not gibts natürlich 3rd Party Lösungen die sowas können und aber von denselben Problemen betroffen sind.