magicpeter

Danke dir. ich werde das prüfen und bescheid geben. Ja

Moin, ich hatte gestern beim Kunden ein Problem. Einrichtung Outlook mit dem neuen Benutzer / E-Mail funktioniert nicht. Umgebung: Hauptstandort und Lager sind per IPSEC VPN-Tunnel verbunden. Folgende Ports sind geöffnet: 443/TCP, 80/TCP, 143/TCP, 993/TCP. 110/TCP, 587/TCP, 587/TCP, 25/TCP, 53/UDP/TCP, 3389/TCP, 9100/TCP Hauptstandort: Netzwerk: 192.168.30.x / 255.255.255.0 Server: HyperV 2019 mit 4 VM´s (DC, Exchange 2019, SQL, RDS) alle VM´s laufen auf Windows 2019. Firewall: Lancom UF260 mit VPN-Tunnel Update: Alles auf dem neueste Stand auch Exchange Server laufen zuverlässig, alle können in dem Hauptstandort und im Lager arbeiten. Standort Lager: Netzwerk: 192.168.130.x / 255.255.255.0 Firewall: Lancom UF260 mit VPN-Tunnel PC´s nutzen den DC des Hauptstandort als PDC und die Firewall als SDC und als Gateway. 2 PC´s Windows 10 Prof die bereits an den Hauptstandort angebunden sind. Outlook ist eingerichtet und funktioniert auch einwandfrei. Jetzt wurde ein neuer Benutzer auf dem DC und dem Exchange angelegt und sollte im Lager eingerichtet werden. Benutzer wurde korrekt in Windows 10 an dem PC eingerichtet und es hat auch funktioniert. Verbindung zu den 4 VM´s sind möglich. Auf dem RDS kann gearbeitet werden. Auf der RDS Sitzung ist das Outlook mit den neuen Benutzer eingerichtet und funktioniert auch. Nur eben die Lokale Outlook Einrichtung über die VPN-Tunnel funktioniert nicht auf dem PC. Einrichtung Outlook mit dem neuen Benutzer / E-Mail funktioniert nicht. Habe es über die E-Mail und auch mit Benutzer@Domain.local probiert. Update: Hier noch die Fehlermeldung: Anmelden beim eingehenden (IMAP)-Server nicht möglich. Überprüfen Sie Ihre E-Mail Adresse und das Kennwort. (E-Mail Adresse und Kennwort sind richtig ;) ) In der Hosts-Datei an den PC´s habe ich die Server noch mal zur Sicherheit mit IP und Hostnamen eingetragen. Alles noch mal kontrolliert stimmt auch alles. Hat jemand eine Idee woran das liegen könnte? Habe ich irgendwelche Ports vergessen die Outlook für die Einrichtung benötigt? Weil es läuft ja mit den Benutzern einwandfrei. Danke euch.

Ja, hier ist immer eine ganz lockere Atmosphäre (Aber man muss bei Thema bleiben)

So ist es und damit hat der Thread wieder für sehr viel Frohsinn und Informationen gesorgt. Mal schauen wer noch was dazu zu sagen hat.

So ist es...

So sehe ich das auch. Wenn ein Betrüger ein Logo brauche holt er sich das von der Homepage und baut es in die gefälschte E-Mail ein und gut ist. Warum da jetzt noch 1.500$ für ein Zertifikat anfallen kann ich nicht wirklich verstehen. Es wäre nice das Logo in der E-Mail zu haben aber für 1.500$ macht das glaube ich keine meiner Kunden. Ich werde es einmal ohne Zertifikat einbauen und schauen wie es läuft.

Schade, das man ein teueres Zertifikat braucht macht die ganze Sache dann doch wieder etwas uninteressanter... Grundpreis für ein VMC = $1,499.00 USD pro Jahr "Das Verified Mark Certificate (VMC) ist ein optionales digitales Zertifikat, das Ihre Domain als Eigentümer des Logos authentifiziert. Obwohl es optional ist, wird es von den meisten Posteingangsanbietern verlangt. Wenn VMC nicht verfügbar ist, muss das "a"-Attribut im BIMI-Eintrag entweder verworfen oder auf "a=self" gesetzt werden. VMC ist unerlässlich für Organisationen, die ihre digitale Präsenz und Online-Reputation verbessern und ihre Marke als zuverlässig und erstklassig etablieren wollen. Eine Kombination aus BIMI und VMC beruhigt die Gemüter Ihrer Kunden und gibt ihnen Vertrauen und Sicherheit bei der Beantwortung Ihrer E-Mails." Quelle: https://powerdmarc.com/de/ihr-kompletter-leitfaden-für-bimi/

Aha, jetzt wird es interessant.

Ja, gut aber dann ist es eben kein geschütztes Logo. Wen interessiert das? Ich denke auch das BIMI für Marketingzwecke wichtig sein kann. Die Einrichtung ist ja relativ einfach. Mal schauen ob ich das mal testweise umsetze. Warum bist du denn so fixiert auf ein registriertes Logo?

Wie geschützt sollte es denn sein? Alle Firmen die wir betreuen haben ein Logo. Es sind Personengesellschaften, GmbH´s und AG´s

Moin, was haltet Ihr von BIMI(Brand Indicators for Message Identification)? Microsoft macht ja noch nicht mit, aber viele Andere.

Ein bißchen Comedy ist doch immer dabei..... Ein bißchen Spaß muss sein... dann kommt die Antwort von ganz allein... Danke dir für deine ausführliche und informative Antwort. Ich werde mir deine Anbieter einmal anschauen. Hat mir sehr geholfen.

OK, dann weis ich jetzt bescheid. Dann suche ich mir halt selber einen Anbieter. Das sagt mir, ich habe es geprüft und für gut befunden. Danke dir.

OK, so langsam komme ich dahinter was du meinst.... Mit welchem System Überwachst du denn deine Reports? Bezüglich -all habe ich jetzt einmal etwas recherchiert und des wird ~all im Zusammenhang mit DMARC empfohlen. SPF-Authentifizierung: SPF-all vs ~all https://easydmarc.com/blog/de/spf-authentifizierung-spf-all-vs-all/

Was genau soll ich denn jetzt noch kontrollieren in den Reports? Wenn doch alle meine E-Mail Versendungen (gibt es das Wort überhaupt ) funktionieren, was soll ich da noch dürfen?

Was genau soll ich denn jetzt noch kontrollieren in den Reports? Wenn doch alle meine E-Mail Versendungen (gibt es das Wort überhaupt ) funktionieren, was soll ich da noch dürfen? Warum nicht -all Beziehst du dich hierauf? "Aktuell wird die DMARC Validierung vor allem bei großen Email Providern verwendet. Das ältere SPF Verfahren ist hingegen bei vielen Mailservern im Einsatz. Um hier die Forwarding-Problematik zu entschärfen, empfehlen wir die Definition einer SoftFail Policy." Also besser ~all Schließlich teilt -all dem Server mit, dass Adressen, die nicht im SPF-Eintrag aufgeführt sind, nicht berechtigt sind, E-Mails zu versenden und zurückgewiesen werden sollten. Zu den alternativen Optionen gehören ~all, was bedeutet, dass nicht aufgelistete E-Mails als unsicher oder Spam markiert, aber dennoch akzeptiert werden, und, seltener, +all, was bedeutet, dass jeder Server E-Mails im Namen Ihrer Domain senden kann.

Moin, wie bestimmt einige schon mitbekommen haben, beschäftige ich mich seit einer Woche mit der Einrichtung und dem Ablauf von DMARC, SPF und DKIM. Nachdem ich jetzt DMARC, SPF und DKIM sauber eingerichtet habe und die DMARC Policy noch auf None stehen habe würde mich jetzt einmal eure weitere Vorgehensweise interessieren. Ich habe verschiedene Tools zur Auswertung der Reporte mir angeschaut und nutze auch EasyDMARC – DMARC XML Report Analyzer - https://easydmarc.com Die Frage ist nur, wenn alles zuverlässig läuft. Also die E-Mails zuverlässig angekommen und alle E-Mail Versendung in der Firma, auch Newsletter, etc funktionieren, was soll ich dann noch mit den Reports anfangen? Laut DSGVO darf ich damit sowieso nix machen. Also, mein nächster Schritt wäre jetzt DMARC auf reject und SPF auf -ALL zu stellen. Damit wäre für mich die Einrichtung abgeschlossen. Was ist dann noch weiter zu machen?

Ich habe heute den DKIM Signer eingerichtet. Super Tool, hat sofort für alle 4 Domains funktioniert. DKIM auf dem Exchange Server einrichten DKIM Signing Agent for Microsoft Exchange Server https://github.com/Pro/dkim-exchange/wiki Download: https://github.com/Pro/dkim-exchange/releases Dokumentation: https://www.frankysweb.de/exchange-server-und-dkim/ https://www.der-windows-papst.de/wp-content/uploads/2020/08/DKIM-SIGNER-for-Exchange.pdf Check DKIM E-Mail senden an: check-auth@verifier.port25.com oder DKIM, SPF, SpamAssassin Email Validator https://dkimvalidator.com/ Damit kann dieser Thread geschlossen werden oder was Ihr auch immer damit macht. Besten Dank...

Alles klar. No Spam Proxy und Exchange Online kenne ich bereits. Das funktioniert gut damit.

Ja, das wäre auch eine Option. Kennst du da eine gute Lösung?

Alles klar. Ich hatte mich da vertan mit dem CU22 vom Exchange 2016. Der aktuelle CU vom Exchange 2019 ist ja CU13. Es wäre nur toll wenn es für so einen wichtigen Agenten auch immer eine aktuelle Version geben würde. Aber wie oben schon gesagt, hoffentlich findet sich jemand der das Tool weiter pflegt. Ich werde es jetzt einmal ausprobieren. Danke euch.

Super, das Tool werde ich einmal einrichten. Der Frank hat auch einmal genau beschrieben. https://www.frankysweb.de/exchange-server-und-dkim/ Danke euch das ist die Lösung. Ich hoffe es findet sich jemand der der Tool weiter pflegt. Release Date Version Change(s) 12.10.2021 3.3.4 New: Added support for Exchange 2016 CU22 (thanks MisterSausage) New: Added support for Exchange 2019 CU11 (thanks MisterSausage)

Interessant, laut Docu bis Ex 2019 CU11. Wir nutzen Ex2023 CU23 bis welcher CU hast du das im Einsatz? Ah, lese gerade das es bis CU22 läuft New: Added support for Exchange 2016 CU22

Moin Jan, danke für deinen Input. Das EXSBR hört sich wirklich gut an und scheint genau das zu sein was ich suche. Ich werde jetzt noch einmal unseren Firewall Anbieter Lancom fragen ob die nicht auch sowas können. Eine Anti-Spam-Lösung ist ja bereits dort aktiv und diese Firewall Lancom UF-260 kann soviel. Danke euch. Du signierst also seit mehreren Jahren E-Mails mit unterschiedlichen Domains mit einen DKIM Zertifikat auf einem Exchange Server? Das ist doch klasse. Und wie machst du das? Da bin ich jetzt echt mal gespannt.

Moin Norbert, jeder Sendeconnector hat einen eignen Smarthost von der jeweiligen Domain (aaa.com, bbb.com, ccc.com) sonst würde ja die DKIM Signatur nicht funktionieren. Das ist aber Schade das der Exchange da nicht kann. Wie realisiert man denn dann DMARC mit mehren Domains auf einen Exchange? Und warum gibt es dann mehrere Sendeconnectoren?