Lukikum

Moin zusammen, ich habe gerade mal das Healthchecker Skript geupdatet und durchlaufen lassen. Dort ist mir dann der Teil mit Exchange Extended Protection aufgefallen. Ich wollte mal Erfahrungen fragen, ob sich diese Sicherheitseinstellung, bei Exchange on-prem 2019, wirklich so einfach machen lassen, wie hier beschrieben: https://microsoft.github.io/CSS-Exchange/Security/Extended-Protection/ Das Skript wird ja empfohlen: https://microsoft.github.io/CSS-Exchange/Security/ExchangeExtendedProtectionManagement/ Habt ihr abgesehen von NTMLv1 und SSL Offloading noch irgendwelche Probleme gehabt? LG Lukas

Hallo Nobby, bei uns ist auch ein Reverse-Proxy davor. Das einzig nützliche was ich mir dann wohl anschauen kann, ist die Urhzeit des Logins und der Client der benutzt wurde.. Danke für die Info, ich schau mal was ich hier im Forum noch dazu finde. LG

Hi Chrismue, ist Exchange 2019 on prem. LG Lukas

Hi zusammen, ich versuche gerade herauszufinden, wo und ob man überprüfen kann, wer sich von welcher IP über OWA anmeldet. Grund dafür sind ein paar geklaute Mails und ich würde gerne herausfinden, ob die bei uns oder unseren Dienstpartnern geklaut wurden. Für weitere Vorschläge als Logs durchstöbern wäre ich sehr dankbar. Vielen Dank und LG Lukas

Hi Norbert, danke für den Tipp. Das Problem konnte ich einfach lösen indem ich ein "^" vorangestellt habe. Für jeden der mit Regex nichts zu tun hat, kann ich noch das Cheat Sheet hier empfehlen: https://www.rexegg.com/regex-quickstart.html LG Lukas

Hallo zusammen, vor ein paar Jahren haben wir mal eine Regel eingerichtet, die den Spamscore von unserem Smarthost im Header erkennt. Daraufhin soll der Exchange eine SCL Bewertung durchführen. Allerdings hat der Exchange auch die Regel auf spamscores mit Minus Werten angewendet (z.B. -6,234). Was dann dazu geführt hat, dass im Junk normale Mails gelandet sind. Daraufhin habe ich eine Ausnahme für "-6.[2-9]" festgelegt. Die hat dann allerdings auf Mails angeschlagen, die als erste Nachkommastelle eine 6 beinhalten (z.B. 0.634). Das hat ebenfalls zu false positive geführt. Weiß jemand wie man den Befehl am besten aufbaut ? Am Ende sollten alle Mails mit einem Spamscore von 6,200-6,999 mit einem SCL Wert von 6 belegt werden. Nichts weiter. Vielen Dank und LG Lukas

Hallo Sunny, das hat leider nicht funktioniert. das funktioniert, ich verstehe jetzt wo der Fehler war. Evtl hätte dann auch ein "trap" funktioniert. Danke !! Edit: Es hat doch nicht funktioniert, weil er nach einem try auf dem catch command hängen geblieben ist. Ich habe es dann mit der $calendar_folder Variable von CJ probiert. Funktioniert ohne Error und sieht auch viel hübscher aus Ich habe gerade mal nachgeschaut, ich glaube du verwechselt mich mit jemandem :P LG Lukas

Moin zusammen, ich wollte ein kleines Skript basteln, um einmal im Monat die Standardberechtigung von jedem User anzupassen. Da wir aber Englische und Deutsche Clients haben, sind die Foldernames, wo man die Berechtigungen anpasst auch unterschiedlich. Ich wollte es mir einfach machen und einen Try Catch einbauen, um beide Varianten abzudecken: --------------------------------- $Mailboxes = (Get-Mailbox -RecipientTypeDetails "usermailbox" -ResultSize unlimited ).alias foreach ($Mailbox in $Mailboxes){ try {Set-MailboxFolderPermission ${Mailbox}:\Kalender -User Default -Accessrights AvailabilityOnly} catch {Set-MailboxFolderPermission ${Mailbox}:\Calendar -User Default -Accessrights AvailabilityOnly} } --------------------------------- Hat das schon mal jemand in die Richtung probiert ? Bei mir wird Try Catch komplett ignoriert, der Rest funktioniert. Bin leider auch noch etwas der Powershell Noob, so dass ich beim googeln den Fehler nicht nachvollziehen konnte.. LG Lukas

Hallo Dukel, hast du dazu mehr Infos? Das Thema interessiert mich, ich habe aber nach schnellem Googeln nichts gefunden. LG Lukas

Würde ein reject nicht einen NDR auslösen ? Wenn also jemand unsere Domains fälscht, würde der NDR doch im Zweifel bei unseren Postfächern landen und die Nutzer verwirren. Was spricht denn gegen löschen ohne Benachrichtigung? Ich brauche leider gute Gründe, um die meinem Vorgesetzten zu erklären.. False positives wird es keine geben, sobald ich mein oben genanntes Problem gelöst habe. Geht leider nicht so easy. Außerdem meinten die, die sind dran das einzuführen. Abgesehen vom fehlenden DMARC haben wir sehr gut Erfahrung mit denen. LG

Hallo Norbert, du hast in der gleichen Minute wie ich geantwortet, meine Antwort hat sich noch auf CJ bezogen. Meine Idee war es, Mails ohne Benachrichtigung am Exchange zu droppen. Das wollte ich mit 2 Bedingungen machen, einmal wenn einer unserer Mail Domains in der Absender Adresse benutzt wird und einmal wenn im Header die Markierung zu finden ist, wenn ein SPF_FAIL beim Smarthost erkannt wird. Ich kann DMARC leider nicht einführen weil unser Smarthost das nich kann. Deshalb habe ich versuch etwas kreativ zu werden. LG

Also einem Fall/Netzwerk konnte ich nun zuordnen, dass dort wohl eine Weiterleitung gegriffen hat. Eine Mitarbeiterin aus unserem Netzwerk hat eine Mail an eine externe Adresse geschickt. Die externe Adresse hat es dann weitergeleitet(zufälligerweise sogar wieder in unser Netzwerk rein) und dadurch konnte ich dann den SPF_Fail sehen. Mir war nie bewusst, dass eine einfache Weiterleitung einen SPF_Fail auslöst, kann man das irgendwie verhindern? Sonst können wir das blocken von SPF Fails von unserer Domain vergessen..

Wir wollen nur die Adressen blockieren, die unsere Domain fälschen. Da wir aber noch ein paar externe Systeme haben, die Mails verschicken, müssen wir das über SPF machen. Unser Smarthost prüft die Mails und schreibt Logs. Ich weiß leider nicht genau wie unser Smarthost aufgebaut ist, war schon lange vor meiner Zeit. Jedenfalls stellt der fest, dass anscheinend ein anderer SMTP Server die Mails verschickt. Das Problem tritt auch nur auf zwei Netzwerken auf. Wenn ich z.B. OWA in meinem Heimnetzwerk benutze, gibt es garkeine Smarthost Log Einträge, weil ja alles über die Interne Transportqueue vom Exchange geregelt werden kann. So sollte es eigentlich auch bei den anderen Mails sein. Deshalb wundere ich mich so darüber.

Moin, sorry, meine natürlich OWA. LG

Moin zusammen, momentan wollen wir ein bisschen mit SPF Fails arbeiten und bestimmte Mails komplett sperren, die einen SPF_Fail vorweisen. Nun ist die Problematik, dass wenn Leute aus einem bestimmten Netzwerk unser OWA aufrufen und dort eine Mail schreiben und die dann auch wieder in das gleiche Netzwerk geht, diese Mail laut Bericht dann auch aus dem Netzwerk kommt. Eigentlich sollten die Mails aber doch aus unserem Netzwerk kommen. Jedenfalls wird dadurch ein SPF Fail ausgelöst, obwohl es unser offizielles OWA ist. Kennt jemand das Problem ? Ist es die Schuld von uns oder von dem anderen Netzwerk? LG und vielen Dank für die Hilfe Lukas

Den Eindruck bekomme ich langsam leider auch.. Wir trainieren den bis zum Umfallen und stecken viel Zeit in die Pflege und trotzdem kommen immer mehr Spammails. Wir haben bereits eine SEPPmail Appliance im Einsatz worüber der ganze Emailverkehr läuft. Die haben auch eine anti Spam Funktion. Hat mit der evtl schon jemand Erfahrung? LG

Wie werden denn die "gefakten Absender" erkannt? Die Angreifer hatten eigene SMTP Server, die mit SPF Records eingerichtet waren. Außerdem wurde aus Deutschland/Niederlande angegriffen. Stell ich mir für einen Algorithmus schwer vor zu erkennen. Die E-Mail Domains kann ich zwar sperren, allerdings ist der Schaden dann schon entstanden. Sehe ich ähnlich. Von was für einer Unternehmensgröße reden wir bei dir für Nr3 circa ? Wir haben bei unserem Smarthost bereits ein Spamfilter basierend auf Spamassasin. Der blockt natürlich schon viele Mails, aber ein paar kommen natürlich trotzdem durch. Vorallem wenn Angriffe gezielt aufs Unternehmen abgezielt sind. Würde da ein zusätzlicher Filter viel Unterschied machen?

Moin zusammen, ich weiß nicht ob ihr auch betroffen seid, allerdings trudeln bei uns momentan viele Spammails mit neuem Muster ein. Und zwar scheinen wohl Postfächer von engen Dienstpartnern geknackt worden zu sein. Die haben dann Original gesendete Mails von unserem Unternehmen geklaut und fügen darüber einen Phishinglink ein. Dann kommt dann sowas wie "Hast du das Dokument dazu schon gesehen?". Und das geht dann an die Personen zurück die ursprünglich die Mail verschickt hat, oder an Verteiler etc. Am Absender könnte man erkennen, dass es Phishing ist, allerdings achtet natürlich nicht jeder User direkt auf den Absender... Jedenfalls sehen die Mails vertraulich aus und das schlimmste ist, dass es für die Spamfilter unmöglich ist, diese Mails von Spammails zu unterscheiden. Nun bin ich dabei zu überlegen was man am besten gegen diese Spamwellen unternehmen sollte. Es würde mich freuen wenn ihr eure Ideen und Meinungen dazu äußern würdet, weil ich noch sehr unsicher bin. Nr 1, Betreff von externen Mails mit [EXTERN] markieren: Vorteile: Mails sind dadurch relativ einfach von internen Mails zu unterscheiden. Nachteile: Ich denke der Effekt ist eher gering und zeigt nach ein paar Monaten kaum noch Wirkung, da diese Markierung schon zu vertraut sein wird. Nr2, Betreff und Mailbody mit einer Warnung versehen: Vorteile: Offensichtliche Warnung, da bei vielen Clients auch farbliche Markierung im Body möglich sind. Nachteile: SMIME Signaturen und Verschlüsselungen würden damit nicht mehr funktionieren und die Mail kaputt machen. Eventuell Datenschutz Probleme ? Nr3, Social Engineering Präventionstraining Vorteile: Würde dem Nutzer selbstständiges denken beibringen könnte man mit Nr 1 verbinden Nachteile: Müsste regelmäßig stattfinden Ist sehr aufwändig für den Betrieb Wie seht ihr das ? Habt ihr mit Nr3 eventuell schon gute Erfolge erzielt? Danke für eure Zeit. LG Lukas

Hallo Norbert, danke für die schnelle Rückmeldung. Ich probiere mal aus ob das mit unseren Konfigurationsprofilen auch so einfach funktioniert. LG Lukas

Moin zusammen, momentan pushen wir shared mailboxen auf unser Diensthandys über Konfigurationsprofile in der JAMF. Da Active Sync nicht mit shared mailboxes funktioniert, müssen wir das über IMAPs machen. Das ganze läuft dann über Apple Mail und dem Apple Kalender, da wir keine Lizenzen für die Outlook APP haben. Allerdings wird bei den shared Mailboxes der Kalender nicht mitgepusht. Wie bekomme ich den über IMAPs mit auf das Diensthandy? Hat jmd eine ähnliche Situation? LG Lukas

Hi Norbert, mit "DMARC Befehle" meinte ich den Tag "P", was von Servern angewendet werden sollen, sobald ein Verstoß gegen SPF oder DKIM vorliegt.

Schade, ich dachte Server die kein DMARC verwenden würden trotzdem auf DMARC Befehle hören. Dann muss ich mir wohl tatsächlich noch was zusätzliches einfallen lassen.

Hallo Jan, danke für die schnelle Rückmeldung. Ich schaue mir deine Vorschläge mal an und versuche mich mal ausführlicher mit DKIM und DMARC zu beschäftigen LG Lukas

Hallo zusammen, das Thema Backscatter ist für mich noch sehr Abstrakt aber ich denke ich habe die Grundsätze verstanden. Nun habe ich bemerkt, dass ein Postfach am Montag davon betroffen war, mit circa 400 NDR und Abwesenheitsnotizen. Wie verhindere ich solche Angriffe in Zukunft ? Ich warte bereits auf eine Antwort von unserem Smarthost Anbieter ob die dort etwas machen können. Hilft evtl das konfigurieren von DKIM und DMARC ? LG Lukas

okay also daraus lerne ich, Stellarinfo nicht als seriöse Quelle wahrnehmen :P