NorbertFe

Microsoft hat ein neues SU für Exchange 2016/2019 veröffentlicht. https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/ba-p/3892811 Habs auch erst gelesen, deswegen kann ich noch nichts zur "Verträglichkeit" sagen. Bye Norbert

Dann hast du Windows Server 2019 oder 2022 ;) Da ist dein Problem. Du brauchst den privaten Schlüssel. Und wenn das Zertifikat mit einem neuen CSR erstellt wurde, ist die Frage, wo befindet sich der private key für das neue Zertifikat. ;)

Wenn keine Leerzeichen da sind, dann brauchst du auch nichts löschen. Da du hier nix kaputt machen kannst, sollst du den obigen Befehl ausführen und dort entweder die Seriennummer des NEUEN Zertifikat (oder den Thumbprint) dort einfügst. Dabei wird dann der private key wieder dem Zertifikat zugeordnet. Bye Norbert

Denen geb ich genau dieselbe Antwort. Ich werde die Fehler von MS Produkten nicht beheben (können)

Ja. Das geht. Ich glaub es liegt einfach daran, dass es ihnen mehr oder weniger egal ist. Es behindert sie bei Ihrer Arbeit. Sich mal ein .doc als .docx oder pdf (vor dem Versand) zu generieren hat ja nichts mit Aufwand an sich zu tun, sondern nur damit, dass man mal kurz drüber nachdenken müßte, was die IT Abteilung gesagt hat. Und daran scheitert es schon ganz am Anfang. Da hab ich noch nicht mal mit Systemen und automatisch erzeugten Dokumenten angefangen. In vielen Firmen wird ein Angebot oder ein Brief einfach kopiert umbenannt und dann geändert, weil die Leute nicht wissen wie Vorlagen funktionieren. Hauptsache in der Bewerbung steht drin Word und Excel Kenntnisse vorhanden. Gemeint ist da vermutlich in den meisten Fällen, dass sie word oder excel starten können, ohne sich die Finger zu brechen. Aber auch nur, wenn das Icon dazu auf dem Desktop liegt. Tja und da wär er nicht so schön "bunt" wie bei Exchange Online. ;) Bye Norbert

Vergiß Kategorien und arbeite einfach NICHT damit, wenn man auch noch postfachübergreifend damit hantieren will. Das hat noch NIE funktioniert und ich bezweifle, dass sich das jemals ändert.

LOL solange sogar MS selbst (bis vor kurzem) die Lizenzunterlagen als .xls rausschickt, wird das alles so gut wie nie mehr Sicherheit bringen, sondern - mehr Arbeit für die IT, die das den Usern und den Kunden erklären muss - mehr Frust und Umgehung auf beiden Seiten führen. Und ja ich hab das bereits durch. Am Ende ist die Lösung dann nicht, dass man modernere Formate erhält, sondern dass sich die Leute das per OneDrive, Dropbox oder per Privater Email austauschen. So funktionieren Nutzerhirne. ;) Das Ergebnis zählt und das ist leider ein anderes als der für die IT Sicherheit zuständige Mitarbeiter verfolgt. Du kannst uns aber gern auf dem Laufenden halten, denn natürlich freue ich mich über erfolgreiche Projekte dieser Sorte und gebe noch nicht ganz resigniert auf. :) Bye Norbert

Und wie sollte sie aktiv und bewußt offline durch ein anderes GPO ersetzt werden? Dazu müßte man ja online sein. Lokale Adminrechte (hebeln aber selbstverständlich im Zweifel alles aus, wenn man möchte).

Du hast die Antwort auch gelesen? Was willst du denn jetzt testen? Ja natürlich greift weiterhin die Domänen-GPO. Oder glaubst du ernsthaft, du wärst der erste, der auf die Idee kommt, ohne Netzwerk zu booten und dann wären alle Restriktionen weg?

Ja, nein. Was spricht dagegen einfach mal die Strippe ausm Netzwerk zu ziehen und zu schauen was dann nach einem Neustart wirkt?

Ich bezweifle, dass du das hinbekommen wirst. Aber ich lasse mich gern eines Besseren belehren. Denn im Zweifel generiert ja nicht Exchange Online den NDR, sondern der ursprüngliche Absenderserver und was der dann aus deinem Fehlercode generiert liegt nur begrenzt (oder gar nicht) in deiner Hand. Meine Erfahrung sagt was anderes. Nein. :)

Das ist vollkommen egal, was du da reinschreibst (oder auch nicht). Kein "normaler" User wird das lesen. Und der Abschnitt der mit "Informationen für den Administrator" zeigt alles an.

Habs dir mal per PM geschickt.

Du liest dir manuell die xml Dateien durch, oder wie stelle ich mir das grad vor? :) Korrekt. Nein, ich hab hier bei uns inzwischen 11 Selectors. Der Vorteil ist, dass du bei Kompromittierung nur das jeweilige System berücksichtigen musst. Stell dir vor, du müßtest dann bei allen den private Key "mal schnell" rotieren. ;) Bye Norbert

Jeder sendende Server (im Namen deiner Domain) kann einen eigenen DKIM Selector nutzen. Wo und wie das konfiguriert wird, hängt halt vom jeweiligen System ab. Als erstes müßtest du klären, ob der Webshop Server das kann (im Allgemeinen könnten das vermutlich alle, wenn sie es wollten). Wenn ja, dann müßt ihr euch nur noch auf einen Selector-Namen einigen bspw. webshop._domainkey.deinedomain.tld (webshop ist der Selector) und dir dann vom Betreiber den public Key geben lassen. Das packst du dann alles zusammen in den DNS Server. Und damit du auch was siehst von dem Kram, solltest du auch gleich noch DMARC inklusive entsprechender Reportinglösung einsetzen. Gabs hier neulich ein paar "längere" Threads zu, die evtl. hilfreich sein dürften. Bye Norbert

Und wenn du schon dabei bist, kläre gleich korrekte dkim Signierung deiner Mails (vom Shop). Gibt genug Leute die in Shops Mailadressen angeben, die nur dafür genutzt Mails dann weiterzuleiten. Da bricht dann der spf record zwangsweise. Ich hab das oft genug den Kunden erklärt, deswegen erledige es gleich mit. ;) Das wollen die immer. Lehne ich auch immer ab. Ich geb doch da keine credentials im Webshop zum hinterlegen her, damit dann bei der nächsten Web sicherheitslücke Zugriff auf den Mailserver besteht. Im Zweifel kannst du sowas aber mit kleinen Geld mit entsprechenden Anbietern lösen. Www.postmarkapp.com wäre bspw. einer. Und was ist mit dem Mailserver der Empfänger die was bestellen? Der is ja genauso wichtig. ;)

Na das liest sich ja total toll nicht. hätte gereicht, wenn du nur kurz das zur extended Protection geprüft hättest. Ansonsten werden aber davon unabhängig noch diverse issues gelistet, die du noch beheben solltest. Hast du das extended Protection Script mit Parametern aufgerufen, oder ohne?

So da is der passende Artikel ;) https://www.techstage.de/ratgeber/ratgeber-wetterstationen-uhrzeit-regenwarnung-und-smart-home-steuern/jrf55xk?wt_mc=intern.red.techstage.newsticker.7-tage-news.teaser.teaser

Naja, die meisten Wetterstationen die so auf den Tischen und Schränken stehen sind inzwischen digital. Oder wieviele kennst du noch, die wirkliche ein Barometer und Quecksilberthermometer an der Wand hängen haben? ;)

Was steht denn im Health Checker Report, den du ja oben ausgeführt hast.

Von 5-10 sind weniger. ;) wenn man mal davon ausgeht, dass wir vermutlich nur über Serverversionen reden, aber der Hinweis ist gut. https://learn.microsoft.com/en-us/windows-server/virtualization/hyper-v/deploy/upgrade-virtual-machine-version-in-hyper-v-on-windows-or-windows-server

So wie beim Verlust des Schlüssels? Wo immer noch niemand bei ms mal sagt, was und wie? ;)

Ich hab dich schon verstanden. Du hast eine defekte Datenbank mit einem Postfach was nicht mehr funktioniert. Also alle anderen Postfächer in eine Neue dB verschieben (dann hast du eine funktionierende db ohne dieses Postfach = fehlende Daten) und du hast ein Backup wo dieses Postfach drin ist. Aber klar, wenn man davon ausgeht, dass du klar kommst. Viel Erfolg. Also siehe mein Punkt 1 Also ja, du hast ein Backup der Datenbank mit dem Postfach. Warum nein? Punkt 1 besagt, du hast eine funktionale db ohne dieses eine Postfach. wenn du selbst schon nicht mehr verstehst, was man dir schreibt, solltest du vielleicht weniger persönlich gegenüber deinen Helfern sein. Gehts dir jetzt besser? viel Erfolg noch mal bye norbert Man liest oben verlinkten Artikel.

Tja, wenn man nicht weiß was man tut, muss man das lernen oder sich jemanden holen. da ich bei deiner Beschreibung langsam nicht mehr durchsehe: 1 Datenbank funktional und die Daten eines Postfachs fehlen 2. Backup einer Datenbank mit den fehlenden Daten des Postfachs existiert 3. restore dB erzeugen und das Backup dort reinpacken. 4. Mailbox aus restore dB in 1. kopieren. warum du nicht einfach den veeam Explorer nimmst, erschließt sich mir nicht. Denn Anleitungen lesen willst du ja auch nicht.