mwiederkehr

Ich verwende dafür gerne Nextcloud. Eine eigene Instanz für den Kunden auf seiner Domain, mit seinem Logo. Die regelmässigen Benutzer haben das Outlook-Plugin von Sendent installiert. Das kann beim Versenden von E-Mails automatisch grosse Anhänge auf die Nextcloud laden und einen Link in die Nachricht einfügen. Auf Wunsch mit Ablaufdatum oder Passwort.

Nextcloud unter eigener Domain mit gültigem Zertifikat war bis jetzt noch nie gesperrt.

vor 5 Minuten schrieb sbrunner:

Ob die NDR Nachricht des Empfänger-Exchanges übermittelt wird und durch die Nachricht des Sender-Exchange ersetzt wird oder ob nur der Status-Code übermittelt wird und der Sender-Exchange die NDR Nachricht übermittelt kann ich nicht sagen.

Der Absender schickt eine E-Mail an seinen Mailserver. Dieser nimmt sie an. Beim Versuch, sie an den Server des Empfängers weiterzuleiten, wird diese abgelehnt. Um den Absender zu informieren, generiert der Server des Absenders einen NDR. Bei Exchange ist dieser mit für den Endbenutzer mehr oder weniger verständlichen Informationen angereichert. (Bei Exchange Online sind die Meldungen sogar noch ausführlicher.) Entwickler anderer Mailserver haben sich da weniger Mühe gegeben. Da kommen die Meldungen vom "MAILER-DAEMON", sind in Englisch gehalten und zitieren die Antwort des Zielservers.

vor 4 Minuten schrieb NorbertFe:

Nö, glaube ich nicht, dass wir da unterschiedliche Ansichten haben.

Nein, nicht wir beide, wir und der Fragesteller.  Mir ist jedenfalls erst heute aufgefallen, dass nach einem NDR gefragt wurde, aber dann kein NDR als Beispiel aufgeführt ist.

vor 6 Minuten schrieb NorbertFe:

Interessant wäre, warum auch intern der remote Server was returned. ;)

Das habe ich mich auch gefragt. Die externe Meldung enthält zwei verschachtelte Meldungen, evtl. ein SMTP-Gateway davor?

vor 1 Minute schrieb NorbertFe:

Nochmal, deine Konfiguration läßt eine Fehlkonfiguration vermuten, denn wenn die Adresse nicht existent ist, wird der NDR gar nicht vom Exchange sondern vom Senderserver erstellt.

Ich glaube, es bestehen unterschiedliche Ansichten darüber, was ein NDR ist. In der Frage steht:

Zitat

Remote Server returned '554 5.1.0 < #5.1.10 smtp;550 5.1.10 RESOLVER.ADR.RecipientNotFound; Recipient not found by SMTP address lookup>'

"Remote Server returned" heisst "der Exchange hat während des SMTP-Dialogs mit der Meldung geantwortet", nicht "er hat die Nachricht angenommen und danach einen NDR verschickt". Ein NDR ist eine E-Mail als Antwort auf eine angenommene E-Mail, nicht der Text, mit welchem der Server bei nicht vorhandenen Empfängern im SMTP-Dialog antwortet.

Benutzerdefinierte NDRs funktionieren wahrscheinlich schon, aber dafür müsste man die Adressprüfung deaktivieren und das will man, wie Norbert bereits geschrieben hat, ganz bestimmt nicht.

Ich erstelle bei Kunden, die das wünschen, jeweils ein Postfach "ehemalige Mitarbeiter" und konfiguriere dort eine Abwesenheitsnachricht. Zusätzlich gibt es eine Regel, die alle ankommenden E-Mails direkt löscht. Tritt ein Mitarbeiter aus, kommt seine E-Mail-Adresse als Alias an das Postfach. So kann der Kunde die E-Mail-Antwort wie gewünscht gestalten. Man will ja heutzutage überall seine Signatur mit fünf Bildern drin haben...

Die Windows Sandbox kann praktisch sein, um mal kurz ein Tool zu testen, ohne sich das System zu vermüllen. Aber sie ist nicht persistent, eignet sich also nicht für dauerhafte Installationen.

Für das wäre, zumindest im nicht-professionellen Umfeld, Sandboxie einen Versuch wert. Ich habe es länger schon nicht mehr verwendet, aber vor ca. 15 Jahren hat es mir ermöglicht, mehrere Versionen von Access gleichzeitig auf dem Rechner zu haben. Es leitet Datei- und Registry-Zugriffe in eine Sandbox um und hält so die Anwendungen vom System fern.

Ergänzend zu Dukel, falls wirklich ein SQL-Dump verlangt ist: https://ourcodeworld.com/articles/read/846/how-to-export-a-ms-sql-server-database-to-a-sql-script-database-to-sql-file-with-microsoft-sql-server-management-studio-17.

Das macht man aber eigentlich, bis auf kleine MySQL-Datenbanken, nicht, denn es ist sehr ineffizient, sowohl was den Speicherplatzbedarf als auch die Restore-Performance (Indizes müssen neu generiert werden) betrifft.

Zum Sichern und Wiederherstellen geht man wie von Dukel beschrieben vor. SQL-Dumps braucht man nur für den Austausch mit anderen Datenbanksystemen.

Ich kann mich Evgenij anschliessen: Die alten Netzwerkkarten entfernen, bevor die neuen konfiguriert werden. Die VMware Tools musste man früher noch vor der Migration deinstallieren, da der Uninstaller auf einer anderen Plattform nicht mehr lief. Ich weiss nicht, ob dem heute noch so ist.

Ich würde nicht nur die Domain Controller nicht per V2V migrieren, sondern auch andere Server, deren OS nicht mehr aktuell ist. Anstatt langer Planung und Tests, um einen Fileserver mit Windows 2012 zu migrieren, würde ich einen neuen Server installieren und Freigabe um Freigabe übernehmen. Falls DFS noch nicht im Einsatz ist, könnte man es dabei gleich einführen. Bei der Buchhaltung steht evtl. sowieso ein Update an, wieso dann nicht gleich die neue Version auf einem neuen Server mit aktuellem SQL Server installieren lassen? Dann ist das System vom Hersteller abgenommen und es gibt später keine Diskussionen von wegen "ja, V2V ist halt heikel...".

Das ist ein IIS als Proxy? Schalte mal die detaillierten Fehlermeldungen ein. Evtl. ist es nur ein Timeout, obwohl ich mich wundere, denn EWS ist bei Exchange üblicherweise nicht die Komponente, die über Proxy Probleme bereitet.

Ansonsten, wenn es einfach funktionieren soll, könntest Du den Kemp LoadMaster anschauen, von dem gibt es auch eine kostenlose Version.

Es gibt neu eine Verwaltungsrolle, mit der man die PowerShell-Befehle zur Empfängerverwaltung auch ohne lokal laufenden Exchange zur Verfügung (und unterstützt) hat. Ohne Exchange hat man aber kein lokales Relay und kein ECP mehr. Die Umstellung ist hier erklärt: https://docs.microsoft.com/de-de/Exchange/manage-hybrid-exchange-recipients-with-management-tools.

Ich würde die Management-Tools zuerst eine Weile testen, bevor ich den Exchange herunterfahre oder gar aus der Domäne entferne.

vor einer Stunde schrieb NorbertFe:

Also entweder oder. ;) beides ist sicher irgendwie Zuviel.

Du hast recht. Windows ab Version 2008 R2 hat TLS 1.2 aktiviert und als Standard gesetzt. Die Keys reichen deshalb aus. IIS Crypto wäre nur notwendig, wenn TLS 1.2 manuell deaktiviert worden wäre. (Der häufigste Anwendungsfall von IIS Crypto ist ja "TLS 1.0 und 1.1 deaktivieren", nicht "TLS 1.2 aktivieren". Hatte ich falsch im Kopf.)

Wenn es nur ein Standalone-Host ist, nehme ich ihn (sowie den Backupserver) nicht in die Domäne auf. Dies als Absicherung für den Fall, dass sich der Kunde (der bei so kleinen Umgebungen meist einen Admin-Account will) Malware einfängt. Damit sollten zumindest der Host und die Backups sauber bleiben. Meist kommt er auch in ein anderes Netz, auf das ich per VPN zugreifen kann, die Clients beim Kunden jedoch nicht. Der Host existiert für den Kunden so gar nicht, was ihn vor dummen Ideen wie "ich will keinen USB-Netzwerk-Hub kaufen, ich habe da eine Software für 30$ gefunden, mit der man den Dongle direkt vom Host her freigeben kann" abhält.

Für Cluster braucht es eine Domäne, aber das sind überwiegend grössere Umgebungen mit Datacenter-Lizenzierung und da installiere ich nach Möglichkeit eine separate Domäne.

Falls es Einwände gibt, sage ich jeweils, dass man sich beim ESXi auch nicht per RDP verbinden kann, um Sachen zu installieren.

Vermutlich hängt das damit zusammen, dass TLS 1.2 erzwungen wird. Zumindest bei SMTP haben sie angefangen, Verbindungen, die nicht TLS 1.2 verwenden, abzulehnen, und zwar randomisiert einen immer höher werdenden Prozentsatz. Zuerst ging nur jede zehnte Verbindung mit TLS 1.1 nicht mehr, jetzt geht nur noch jede zehnte.

Versuch mal, oben im Script folgende Zeile einzufügen:

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Damit erzwingst Du die Verwendung von TLS 1.2. Ich vermute, die EWS-DLL wurde für eine .NET-Version vor 4.7 kompiliert und damit wird standardmässig nicht TLS 1.2 verwendet, obwohl es seit 4.5 unterstützt ist.

Um es für den ganzen Server umzustellen, IIS Crypto mit "Best Practices" ausführen und die auf https://docs.microsoft.com/en-us/mem/configmgr/core/plan-design/security/enable-tls-1-2-client beschriebenen Registry-Keys setzen. (Da aber vorher die Kompatibilität prüfen, es gibt leider immer noch Anwendungen, die kein TLS 1.2 unterstützen.)

Hyper-V-Hosts starten problemlos, wenn alle DCs virtuell sind. Bei virtuellen DCs muss man nur aufpassen mit Snapshots (Finger weg) und der Zeitsynchronisation (Synchronisation mit Host deaktivieren).

Veeam ist kostenlos für bis zu zehn VMs. Oder, falls Du ein Synology-NAS kaufst, könntest Du es mit dem dort enthaltenen Active Backup for Business versuchen. Ich habe keine Erfahrung damit, aber wie man so hört, scheint es für eine Umgebung Deiner Grösse eine gute Wahl zu sein.

Die Signatur muss in HTML vorliegen und im Outlook muss HTML als Nachrichtenformat eingestellt sein. Funktionieren Sachen wie "<b>Dieser Text ist fett!</b>"?

Für das Bild nicht einfach den Base64-Code nehmen, sondern ein img-Tag darum herum bauen: <img src="data:image/jpeg;base64, _hier_den_Base64_Code_einfügen_" />.

Du kannst Dir sonst auch eine E-Mail mit eingebettetem Bild schicken und dann den Sourcecode anschauen.

Mit dem Script hier könnte es gehen: https://stackoverflow.com/questions/27761097/change-the-background-color-of-a-word-file-via-powershell

Es steuert Word von der PowerShell aus. Da jedes Dokument geöffnet und wieder geschlossen wird, könnte es bei vielen Dateien einige Zeit dauern. Schneller wäre es mit einer Library, welche direkt Word-Dateien bearbeiten kann, wie zum Beispiel GemBox.Document. Das ist allerdings kostenpflichtig.

vor 17 Stunden schrieb duplo:

Wie soll man das denn genau pauschal in Zahlen beziffern?

Die Anforderungen zu definieren, ist nicht Aufgabe der IT, sondern der Geschäftsführung. Die IT macht dann Vorschläge, wie die Anforderungen erfüllt werden können und was es kostet (wobei dann meist die Anforderungen nochmals überdacht werden).

Die Anforderungen sind je nach Firma sehr unterschiedlich. Eine Mühle sagt mir: „Die Produktionssteuerung muss innert eines halben Tages wieder laufen bei Hardware-Ausfall oder Malware. Die Daten dürfen aber gerne ein halbes Jahr alt sein, da sich wenig ändert. Die Auftragsdaten müssen wir auch bei einem Brand innerhalb eines Tages haben, um die Kunden informieren zu können. Diese Daten dürfen höchstens zwei Tage alt sein.“

Ein Holzbauer sagt mir: „Die Pläne für die laufenden Projekte haben wir ausgedruckt auf den Baustellen. Wir können eine Woche Datenverlust verkraften und bei einem Brand kann die Wiederherstellung zwei Monate dauern, da die Projektleiter ihre Kunden kennen und informieren können.“

Zwei etwa gleich grosse Firmen, aber zwei komplett verschiedene Anforderungen.

Die Anforderungen, das daraus folgende Konzept sowie der Notfallplan gehören von der Geschäftsleitung genehmigt und dokumentiert. Sonst hat man im Ernstfall häufig etwas „anders verstanden“.

Du kannst die Binärdaten mit VBS aus dem AD auslesen: Help stuck with VBS AD query that save files from thumbnailphoto into bmp file. it doesn't go threw sub OUs (microsoft.com)

Dann die Binärdaten Base64-codieren: encoding - Base64 Encode String in VBScript - Stack Overflow

Und diesen String dann als Bild einbetten.

Du kannst die Bilder natürlich auch einmalig manuell Base64-codieren und den String dann im AD zum Beispiel unter "customAttribute1" speichern. Dann ist die Pflege etwas aufwendiger, dafür das Script wesentlich einfacher.

vor 3 Minuten schrieb NorbertFe:

Was da an Bannern und Logos inzwischen mitgeschickt wird, überschreitet den eigentlichen Informationsgehalt der meisten Mails um ein Vielfaches.

Ja, leider.  Ich bin kein Purist und verwende HTML, aber meine Signatur ist brav mit "-- " abgetrennt. Vor über 20 Jahren habe ich als Azubi in einer Newsgroup eine Frage gestellt. Mit Outlook Express. Was dann passiert ist, würde man heute "Shitstorm" nennen. Es hat bis heute Eindruck hinterlassen. 

Das Bild ist binär im AD gespeichert. Du kannst es nicht 1:1 ins HTML einfügen, sondern musst es auslesen, Base64-codieren und dann den Base64-String in die Signatur einfügen:

<img src="data:image/png;base64, _erzeugter_String_"/>

Wobei es schöner ist, die Bilder auf einem Webserver abzulegen und darauf zu verlinken. Sonst werden sie mit jeder E-Mail mitgeschickt. Einbetten funktioniert zwar, aber es ist suboptimal, wenn eine 1-KB-Nachricht wegen dem Foto auf 200 KB aufgeblasen wird.

vor 17 Minuten schrieb NorbertFe:

Hast du dazu auch nen Link, wo diese Empfehlung steht?

Hier habe ich es gelesen: https://docs.microsoft.com/en-us/microsoft-365/admin/get-help-with-domains/create-dns-records-at-any-dns-hosting-provider?view=o365-worldwide#add-an-mx-record-for-email-outlook-exchange-online

Ich finde im Internet einige Leute mit dem gleichen Problem, aber ein Bug in Exchange kann es kaum sein. Erstens sind die Zeiten zum Glück vorbei, in denen Microsoft grundlegende Standards über Jahre ignoriert. RFC 974 verlangt einen unsigned 16-bit Integer, was 0 ist und im Beispiel kommt die "0" mehrmals vor.

Zweitens empfiehlt Microsoft die Priorität 0 bei den MX-Records von Exchange Online. Ich meinte, dass das nicht immer so war. Macht ein "nslookup -q=MX euertenant.onmicrosoft.com", sehet und staunet!

vor 22 Minuten schrieb Scotx:

Kernaussage der Veranstaltung war allerdings, dass die "Hacker" eher unspezifisch über einen Scanner nach "offenen Türen" oder Schwachstellen wie z.B. offene Multifunktionsgeräte etc. suchen und darüber angreifen.

Ja, von aussen wird viel automatisiert gescannt und es werden Passwörter durchprobiert. Logfiles von Webservern sind voll von Aufrufen nach "/phpmyadmin", "/joomla" oder nach Pfaden von bekannten Webshells, die ein früherer Angreifer zurückgelassen haben könnte. Und wenn man in die Ereignisanzeige eines Servers mit offenem RDP-Port sieht, findet man pro Tag tausende Einträge zu Anmeldeversuchen mit allen möglichen Namen, ebenso bei Linux-Servern mit offenem SSH und aktivierter Keyboard-Authentication. Neuerdings kommen die Versuche nicht mehr von wenigen IP-Adressen, sondern von Botnets, bei denen von einer IP-Adresse aus kaum mehr als drei Versuche pro Tag stattfinden. So läuft eine "Bruteforce-Protection" ins Leere, wie sie von manchen Firewall-Herstellern beworben wird. Die Verwendung von erratenen Kennwörtern habe ich in der Praxis schon mehrfach gesehen: Die Benutzer müssen alle sichere Kennwörter haben, aber für die Multifunktionsgeräte erstellt man einen Benutzer namens "scan" und weil man nicht immer die Doku bemühen will, nimmt man als Passwort auch "scan". Ist ja nur für die Geräte. Der Benutzer ist in der Gruppe "Domänen-Benutzer", damit die Geräte die gescannten Dokumente in den Freigaben abspeichern können. Dann kommt das Bedürfnis, von zu Hause aus auf dem Terminalserver arbeiten zu können. Port 3389 ist schnell aufgemacht und ist ja kein Problem, schliesslich haben die Benutzer gute Passwörter und der Server ist aktuell. Nur: In der Gruppe "Remotedesktopbenutzer" sind die "Domänen-Benutzer" und daher auch der "scan"-User...

Die Schwachstellen in Multifunktionsgeräten sollten hingegen normalerweise nicht von aussen ausnutzbar sein. Dazu müsste sich ein Angreifer schon im internen Netz befinden. Entweder, weil er auf einem Rechner schon eine Malware zur Ausführung bringen konnte oder weil das Gäste-WLAN den Zugriff ins interne Netz erlaubt.

vor 39 Minuten schrieb Scotx:

Läuft der Defender auch auf dem Server 2012 oder muss hier was anderes her ?

Der Defender läuft erst ab Server 2016. Ich würde jetzt aber nicht überhastet eine Drittsoftware beschaffen. Erstens ist das Risiko eines Schadsoftware-Befalls für einen Dateiserver gering, weil darauf keine Leute im Internet surfen oder E-Mails lesen und selbst wenn eine virus.exe auf dem Server abgespeichert wird, passiert nichts, solange man sie nicht von dort aus startet. Zweitens ist Windows Server 2012 im Oktober 2023 End of Life, so dass Du bis dahin besser eine Migration auf ein aktuelles System in Angriff nimmst. (Wobei ich bei fünf Benutzern mal offen lassen möchte, ob es noch ein Server sein muss, oder ob auch ein NAS oder eine Lösung wie OneDrive reichen würde.)

vor 45 Minuten schrieb Scotx:

Ich glaube auch, dass die häufigste Fehlerquelle immer noch vor dem Rechner sitzt und die Mails sind ja auch derart gut gemacht mittlerweile, das man selber schon drauf rein fallen könnte... 

Ja, in der Tat. Früher hat man sich gefragt, wie b***d die Leute denn sein müssten, auf Anhänge von E-Mails zu öffnen, die vor Grammatikfehlern nur so strotzten. Heute sind die E-Mails "besser". Einmal wurde angerufen, in einwandfreiem Deutsch eine Person aus der Buchhaltung verlangt und dieser dann eine E-Mail angekündigt, deren Anhang unbedingt sofort geöffnet werden müsse.

Als ich letztes Jahr einen Phishing-Test bei einer Firma mit ca. 100 Mitarbeitern gemacht habe, haben 50% den Link angeklickt und sagenhafte 30% haben ihre Zugangsdaten im Formular eingetragen. Weil man die Weitergabe von Zugangsdaten nicht zu 100% verhindern kann, ist es besser, wenn sie von aussen nicht missbraucht werden können: Indem es keinen Zugriff gibt oder indem man MFA einsetzt. Microsoft 365 ist in der Hinsicht so komfortabel geworden, dass es eigentlich keinen Grund mehr gibt, MFA nicht zu aktivieren respektive nicht aktiviert zu lassen.

Es gibt viele Präsentationen, die einen ins Staunen versetzen. Die dort gezeigten Sachen sind real, aber über dem, was 08/15-Massen-Malware macht. Mit fünf Arbeitsplätzen ist man meist kein attraktives Ziel für ausgefeilte Attacken. Solche Umgebungen bekommt man mit verhältnismässig wenig Aufwand ausreichend sicher:

• nur Betriebssysteme und Software einsetzen, die im Herstellersupport sind
• regelmässig Updates durchführen
• Defender überall aktiv
• nicht als Admin arbeiten
• mehrere Versionen der Datensicherung aufbewahren, mindestens eine davon offline (Online Backup geht, wenn die Sicherung vom Client aus nicht gelöscht werden kann)
• möglichst wenig Zugänge von aussen ("Port 3389 auf den Rechner weiterleiten" ist ganz schlecht, VPN ist besser, Deine remotewebaccess.com-Lösung sieht aus wie ein RD-Gateway, das wäre akzeptabel)
• Benutzer sensibilisieren
• gefährliche E-Mail-Anhänge blockieren
• evtl. filternden DNS wie OpenDNS verwenden

Ich habe schon einige erfolgreiche Angriffe auf KMU miterlebt und bis jetzt kam die Schadsoftware immer per E-Mail (entweder als Massen-Mail à la "ihr Paket ist da", aber auch sehr zielgerichtet als Bewerbung auf eine tatsächlich ausgeschriebene Stelle) oder per Ausnutzung von Schwachstellen öffentlich erreichbarer Software (Exchange, phpMyAdmin, HPE iLO...). Ausgefeilte Methoden wie "Netzwerkanschluss in unverschlossenem Gebäudeanbau verwendet, um auf verwundbarem Drucker eine Schadsoftware zu installieren, die bösartigen JavaScript-Code in gescannte PDFs einfügt" habe ich bis jetzt nur an Vorträgen gesehen. Schlussendlich geht es bei der Sicherheit ja nicht um 100%, sondern darum, die Kosten für einen Angriff höher zu machen als den potenziellen Gewinn.

Viele Probleme mit dem Ruhezustand waren durch Software bedingt, die nicht mit dessen Effekten wie Zeitsprüngen, Netzwerkunterbrüchen etc. klargekommen ist. Die Zeiten ändern sich, in den letzten Jahren hatte ich keine Probleme mehr damit. Outlook stürzt ja auch nicht mehr ab, wenn es die Verbindung zum Exchange verliert. 😀