NorbertFe

vor 7 Minuten schrieb magicpeter:

Office wird nicht für den RDS Host (Terminal Server) lizenziert, sondern immer für den jeweiligen Client.

Nichts anderes hat dir oben Jan auch geschrieben. 

vor einer Stunde schrieb lukas2002:

führe danach mal ein "Gpupdate /force" aus.

Warum /forrce? Wirds dann wichtiger ausgeführt oder fühlt sich der Admin dann besser? ;)

vor 15 Minuten schrieb MGR:

Aktuell versuche ich mich mit dem Ansatz, sämtliche noch über den OnPrem funkenden SMTP Services an ExchangeOnline anzubinden. 

Wenn du das hinbekommst, hast du Glück. Viele Kunden haben Systeme die entweder nicht mit O365 authentifizieren können oder wollen in vielen Fällen auch nicht nen Haufen Lizenzen dafür ausgeben, bloß damit der Drucker den Scan zur Mail schickt.

vor 47 Minuten schrieb MGR:

Würdet ihr eurem OnPrem Exchange immer noch eine Aufgabe geben wollen? oder seht ihr diesen ggf. als Ballast zwecks Wartung/Patching & co an?

Naja technisch notwendig ist er eben nicht mehr seit einigen Monaten. Aber ein eigenes vernünftiges SMTP Relay zu haben ist immer noch besser als sich das dann mit anderen MItteln zu basteln. 

Ich würde heutzutage eh weitgehend auf DKIM (im Zusammenhang mit DMARC) setzen. Denn gerade bei Newslettern und ähnlichen Massenmails stimmt der SPF Record ja sowieso meist nicht mit der eigenen Domain überein. ;)

vor einer Stunde schrieb MGR:

Die bieten auch dedizierte IP-Relay Adressen an, welche exklusiv für dein Unternehmen geblockt sind. 

Das bieten eigentlich alle Anbieter an, vorausgesetzt man hat entsprechend Geld eingeworfen und erfüllt ggf. bestehende Anforderungen hinsichtlich der zu versendenden Menge.

vor einer Stunde schrieb MGR:

Schau mal auf deren Webseite. Ist ein Anbieter aus dem schönen Breisgau. 

OK, die hab ich schonmal gehört, aber da dort ständig irgendwelche Fusionen/Merger stattfinden in dem Umfeld.... ;) Am Ende gibts wie gesagt die Anbieter wie Sand am Meer (mir fallen spontan Mailgun und Postmark ein).

vor 2 Minuten schrieb MGR:

Sendgrid hat halt wirklich prestige und kann mit seiner Präsenz auf dem weltweiten Markt punkten. 

Hmm, bei mir eher das Prestige, dass das jede Menge Spam rumkommt. Aber am Ende YMMV.

vor 3 Minuten schrieb MGR:

Meine Tendenz wäre auch eher bei einem seriösen nationalen Ansprechpartner auf Augenhöhe gewesen, aber was solls  

Gibts denn da welche? Alles was ich da so namentlich kenne, liegt ja auch nicht in DE und nicht mal im EU-Raum.

vor 5 Minuten schrieb MGR:

wird es halt nur etwas spannender, wenn ich den DMARC tag von quarantaine auf reject stelle.

Eigentlich nicht. Die Fehler siehst du ja so oder so (sogar bei none). Nur das gewünschte Ergebnis wird vermutlich härter ausfallen. Aber wie gesagt, MS behandelt bei den Privatkunden quarantine=reject. Da hat also deine Policy sowieso keine weiteren Auswirkungen mehr.

vor 6 Minuten schrieb MGR:

trotzdem habe ich immer ein mulmiges Gefühl bei solchen globalen Einstellungen 

Ich nicht. Aber ich muss ja auch nicht den Kopf für deine Umgebung hinhalten. Aber siehs doch einfach mal als Möglichkeit endlich euren Mailflow sichtbar zu bekommen. :)

vor 33 Minuten schrieb MGR:

Wir haben uns jetzt für Sendgrid entschieden. 

Naja, die hätte ich vermutlich als letztes auf meiner Liste, aber ihr habt das ja vermutlich mit anderen verglichen.

vor 34 Minuten schrieb MGR:

-> hier wird auch eine Art Monitoring angeboten die NDR/Bounce Mails entsprechend auswertet.

Das bietet afaik aber jeder dieser Dienstleister. Welche habt ihr euch denn sonst noch angeschaut?

vor 34 Minuten schrieb MGR:

Wenn unser DMARC Monitoring dann soweit konform ist, dass wir keinerlei softfails mehr haben, wäre der nächste Schritt auf Hardfail umzustellen. 

Das "keinerlei" Softfails auftreten ist eher ein Wunschtraum. Du hast als Domain Inhaber keinerlei Handhabe gegen manche Mailsendungen die deine legitimen Mails dann an weitere Systeme um-/weiterleiten. Also sobald du DEINE legitimen Systeme im Griff hast, solltest du auf p=reject konfigurieren, denn p=quarantine wird von diversen Anbietern sowieso wie reject gehandhabt. Genau wie p=none von vielen als "suspect" eingestuft wird. ;)

vor 37 Minuten schrieb MGR:

Wobei ich hier gelesen habe, dass das best practice setup vorsieht SPF auf softfail zu belassen und Dmarc auf hardfail zu stellen.

SPF ist empfohlen auf ~all zu konfigurieren, eben weil ein -all ggf. dazu führt, dass eine evtl. vorhandene DKIM Signatur gar nicht mehr geprüft wird und somit eine eigentlich legitime Mail abgelehnt würde.

vor 38 Minuten schrieb MGR:

Ein falscher Schritt hier und die Kundenkommunikation leidet extrem... 

Eigentlich nicht. Man muss nur seine Systeme kennen und VORHER mit allen verantwortlichen Personen sprechen. ;)

Bye

Norbert

Hi,

wenn ich das richtig sehe sind beide oben erwähnten links zu Anbietern von whitelisting providerlösungen, sowie dmarc Monitoring usw. Zu whitelisting sollte man als „normaler Versender“ selten greifen lassen, weil das eher was für Marketing Mails usw. abstellt und dann muss man ja auch hoffen, dass der Empfänger diese Listen verwendet und akzeptiert.

dmarc aggregationsservices gibts inzwischen wie Sand am mehr. Da sucht man sich am besten den aus, dessen kosten/nutzen am besten passt.

grundsätzlich sollte man mit einer entsprechenden dmarc Lösung erstmal gut aufgestellt sein, wenn man dafür sorgt, dass die Mails aligned sind und nicht irgendwo irgendwelche Dienste vor sich hinlaufen und Mails versenden.

die eigentliche Reputation wird dir sowieso keiner der Anbieter/Nutzer solcher Reputationservices verraten, eben damit man das nicht entsprechend aushebeln kann. Cisco hat da ja talos am Start und jeder der die cisco Lösung einsetzt kennt sicherlich auch die Frage, warum der sbrs jetzt so oder so ist. ;)

deswegen erstmal die Frage über wieviele Mails reden wir denn bei deiner anfrage? Alles was weit unter 20.000 Mails pro Woche liegt ist sowieso meist problemlos ohne solche „Tools“ wie du sie nennst lösbar.

bye

norbert

AFAIR nur für den 2003er SBS. Aber SBS war sowieso nie wirklich mein Steckenpferd. Ich hab nur genügend wegmigriert, dass ich weiß, dass man ordnungsgemäß den Exchange und Sharepoint deinstallieren konnte.

vor 29 Minuten schrieb TR79:

Just for fun und weil alle behaupten, das ginge nicht. (geht übrigens wirklich nicht)

 

Klar geht das. Schon zigmal gemacht. Aber hilft dir jetzt auch nix mehr ;)

Tjo, eigentlich alles Kleinkram. Lästiger Kleinkram, aber Kleinkram. Und zum Rest hatte ich ja schon geschrieben, was man versuchen könnte. Da aber niemand außer dir selbst weiß, was du kaputt gemacht hast, wirds halt an dir hängenbleiben.

Tjo, dann weißt du ja, worauf du demnächst beim Backup achten solltest. ;) Wenn dein Server sich nicht aus dem Backup recovern läßt, dann hast du jetzt was gelernt. Ohne das wirds eben schwer. Man könnte versuchen, was du da kaputt gemacht hast zu reparieren, aber wie erfolgversprechend das ist, kann ich dir nicht sagen.

vor 24 Minuten schrieb TR79:

Wenn ich nun einen Server 2019 nagelneu installiere, dann entsteht dort eine neue Domäne. Ich müsste meinen PC aus der SBS-Domäne entfernen und in die 2019er-Domäne einbinden.

 

Dann installiere ihn nicht nagelneu, sondern migriere das AD und die Daten. Dann gibts auch keinen GAU.

Wirf sie in den Schicksalsberg. 

Hmm, so lange noch gewartet bei einem geschäftskritischem System? ;) spontan würde ich sogar davon ausgehen, dass Datev dafür nicht mal Support bietet, selbst wenn das inplace Upgrade funktioniert. Aber muss jeder selbst wissen, ob er sich sein Werkzeug mit dem er sein Geld verdient so hinwurstelt.

Der Rest ist die Schuld der Firewall 

vor 17 Minuten schrieb Flori2004neu:

Aber dann habe ich das gleiche Problem oder?

Sicher? ;) Aber wer sich halt jetzt noch 2016 kauft…

Gerade eben schrieb Woly:

die sollten ja nicht bis in alle Ewigkeit im Web stehen

Die privaten ip Adressen?  

vor 18 Minuten schrieb Woly:

"\\DC7.domain.local\freigabe" funktioniert dagegen immer sofort.

Dann nimm doch einfach das. ;)

Und die Suchmaschine der Wahl mit dem Stichwort zu füttern ist auch nicht so schwer. Gibt genügend how tos ;)

Was du suchst heißt abe (Access based enumeration).

vor 6 Stunden schrieb bluesilver:

inpkey:XXXX-XXXX-XXXX-XXXX-XXXX

Warum x-t man den kms setup key aus? Der lautet: NMMKJ-6RK4F-KMJVX-8D9MJ-6MWKP

 https://learn.microsoft.com/de-de/deployoffice/vlactivation/gvlks#gvlks-for-office-2019

Das wäre natürlich filterbar, aber da du im Displayname filterst, gibts kein automatisches Kriterium, es sei denn du definierst es. Und dann hast du automatisch das selbe Problem wie mit allen keywords. ;)

vor 19 Minuten schrieb Nobbyaushb:

NSP kann das - die Mail von dem Menschen / der Abteilung kann ja nicht von extern kommen...

Die Mail ist ja auch nicht von dem Menschen oder der Abteilung. ;) die Adresse lautet ja anders. Das wäre dann nämlich simpel per dmarc zu filtern.

Mit Boardmitteln schwierig. Ich kenne aber auch keinen spamfilter der dafür eine Funktion hat. ;) das filterkriterium wäre vermutlich etwas zu einfach, als dass es wirklich in der Praxis relevant wäre. Mit manuellen keywordfiltern würde ich es bei uns vermutlich zur Not hinbekommen.

vor 30 Minuten schrieb mwiederkehr:

Ja schon, aber dann ist die Chance geringer, dass jemand auf die Meldung stösst

Ja stimmt, einfach alle 2 Tage ein neues Zertifikat verwenden. ;)