Exchange-Online - Drucker/Scanner/ERP soll Emails senden

[wznutzer 32]

Guten Tag,

 

was ist "best practice" wenn lokale Anwendungen Emails versenden sollen? Gegeben ist Exchange mit Hybrid-Bereitstellung.

 

Microsoft sieht 3 Möglichkeiten vor:

https://docs.microsoft.com/de-de/exchange/mail-flow-best-practices/how-to-set-up-a-multifunction-device-or-application-to-send-email-using-microsoft-365-or-office-365

 

oder auch hier (etwas ergänzt)

https://www.msxfaq.de/cloud/exchangeonline/multifunktionsgeraet_mit_exo.htm

 

Am sympathischsten ist mir das mit dem Relay in Office 365. Alles funktioniert prima und die Limits von 30 Nachrichten pro Minute oder das Hantieren mit "send as" wie beim SMTP-Versand entfällt.

 

Allerdings finde ich keine Möglichkeit verschlüsselte Verbindungen (TLS) zu erzwingen. Wenn der Client es macht dann geht es, ansosten nicht. Geht es irgendwie TLS zu erzwingen?

 

Die Verbindung ist ja auf die feste IP beschränkt. Das bedeutet man muss im Netzwerk dafür sorgen, dass niemand Unsinn macht. Also z. B. die Verbindung über Port 25 nur von bestimmten Clients aus zulassen.

 

Am besten würde mir die Kombination von O365 SMTP Relay gefallen das aber eine Authentifizierung erfordert. Gibt es das?

 

Vielen Dank

[NorbertFe 1.804]

Wenn du Hybrid-Bereitstellung hast, hast du doch vermutlich noch den lokalen Exchange. Ich würde das darüber steuern. Da kannst du dann auch TLS erzwingen, wenn du magst.

Alle anderen Möglichkeiten haben in meinen Augen mehr Nachteile:

Als Client: Kostet Lizenz und man hat Kontodaten auf Druckern (wie sicher auch immer die sind, und wer sie dann irgendwann kauft ;))

Direct Send: Du musst die lokale öffentliche IP im SPF haben und dafür sorgen, dass NUR die erlaubten Geräte über diese IP per SMTP kommunizieren dürfen. Nachteil, nicht jeder Drucker spricht TLS 1.2 (oder überhaupt TLS).

Lokales Relay (Exchange Hybrid?): Es läuft lokal halt weiterhin ein Exchange mit allen Vor- und Nachteilen. ;)

 

HTH

Norbert

[cj_berlin 1.137]

Moin,

Steve Goodman arbeitet nach eigenen Angaben an einer Open Source-Lösung, die das ohne lokalen Exchange abbilden soll. Gesehen habe ich sie aber noch nicht.

[NorbertFe 1.804]

Nennt sich SendMail oder Postfix? ;)

[mwiederkehr 351]

Falls ein lokaler Exchange vorhanden ist, würde ich diesen verwenden, wie schon geschrieben wurde. Ansonsten kann ich hMail empfehlen: Dieses steht den lokalen Geräten als Relay zur Verfügung, eingeschränkt entweder per IP oder durch Zugangsdaten (die unabhängig von Exchange Online sind). hMail sendet dann ohne Authentifizierung auf den MX oder mit Authentifizierung auf smtp.office365.com (was ich bevorzuge). TLS lässt sich erzwingen.

 

Ich mache damit seit Jahren gute Erfahrungen. Man muss keine Office-365-Zugangsdaten auf den Geräten eintragen, hat keine Probleme, wenn Microsoft TLS 1.x deaktiviert, hat eine lokale Queue und ein ausführliches Log, falls doch mal was sein sollte.

[cj_berlin 1.137]

vor 8 Minuten schrieb NorbertFe:

Nennt sich SendMail oder Postfix? ;)

Unter der Haube bestimmt, soll aber Modern Auth unterstützten oder sowas.

[wznutzer 32]

vor einer Stunde schrieb NorbertFe:

Wenn du Hybrid-Bereitstellung hast, hast du doch vermutlich noch den lokalen Exchange. Ich würde das darüber steuern. Da kannst du dann auch TLS erzwingen, wenn du magst.

 

vor 44 Minuten schrieb mwiederkehr:

Falls ein lokaler Exchange vorhanden ist, würde ich diesen verwenden, wie schon geschrieben wurde.

 

Ja, ein lokaler Exchange ist vorhanden, derzeit noch 2016 aber wird wahrscheinlich künftig ein 2019 werden. Ich klicke manchmal lieber als alles per Powershell zu machen. ==> Verwaltung von ExO.

 

Beim jetzigen Exchange als lokales Relay habe ich noch einen Knoten im Kopf. Es gibt lokal keine Postfächer mehr und am liebsten würde ich auch die DB weghaben. Die liegt ja nur noch nutzlos rum. Das steht aber noch an.

 

Liege ich so richtig:

1)

Ich benötige zuerst bei den akzeptierten Domänen eine Domäne die ich dann als Absender verwende und auf "internes Relay" stelle.

2)

Beim Empfangsconnector hake ich TLS und anonyme Benutzer an und gebe die Bereiche und den Port an. Somit sollte die Verbindung Client zu Relay verschlüsselt sein.

3)

Der Sendeconnector sendet dann für den Adressraum "*" direkt an den MX oder über einen Smarthost an smtp.office365.com.

Beim Smarthost kann ich "Standardauthentifizierung erst nach dem Start von TLS" anhaken, aber beim Senden an den MX nicht. Wenn ich den Authentifizierten Versand über den Smarthost mache, benötige ich einen User mit aktiviertem SMTP und den dann gültigen Limits wie 30 Nachrichten pro Minute. Wenn ich an den MX sende, kann ich TLS nicht anhaken.

 

Irgendwas habe ich noch nicht verstanden .

 

[NorbertFe 1.804]

vor 29 Minuten schrieb wznutzer:

Ich benötige zuerst bei den akzeptierten Domänen eine Domäne die ich dann als Absender verwende und auf "internes Relay" stelle.

Hat dein Exchange keine akzeptierte Domain? Die hatte er doch mal, wenn du ne Datenbank hast. Die kannst du übrigens einfach entfernen, oder zumindest ohne Usermailboxen einfach neuerstellen lassen. Dann nimmt sie keinen Platz weg. ;)

 

vor 29 Minuten schrieb wznutzer:

Beim Empfangsconnector hake ich TLS und anonyme Benutzer an und gebe die Bereiche und den Port an. Somit sollte die Verbindung Client zu Relay verschlüsselt sein.

 

Korrekt.

vor 29 Minuten schrieb wznutzer:

Der Sendeconnector sendet dann für den Adressraum "*" direkt an den MX oder über einen Smarthost an smtp.office365.com.

Na direkt würde ich immer versuchen zu vermeiden, aber ja ginge, wenn die SPF Records usw. für deine Domain das entsprechend zulassen. Für den O365 Namensraum deiner eigenen Org/Tenant sollte das übrigens out-of-the box funktionieren. Einfach im Drucker mal als Absender deine interne Domain (die im Exchange logischerweise eine akzeptierte Domain ist) setzen und schauen was passiert.

 

Das ist keine Raketentechnik, sondern SMTP (SIMPLE Mail Transfer Protocol) ;)

bearbeitet 2. August 2022 von NorbertFe

[wznutzer 32]

vor 27 Minuten schrieb NorbertFe:

Das ist keine Raketentechnik, sondern SMTP (SIMPLE Mail Transfer Protocol) ;)

So werde ich das probieren. Um alle Knoten im Kopf wegzuhaben, brauche ich immer ein vollständiges Bild im Kopf warum und wie alles miteinander funktioniert.

 

Danke für die Tipps.

[NorbertFe 1.804]

Das mit dem Bild im Kopf ist doch aber gerade bei SMTP total einfach. 

1. Drucker versendet als jemand deiner lokalen Domain drucker1@deinedomain.tld (öffentliche Domain natürlich)

2. Dein Exchange erlaubt diesem Drucker die TLS Verbindung und das SMTP Relay

3. Dein Exchange weiß, wohin er den Kram senden soll (Sendeconnector Bspw. der für Hybrid). Damit gehen alle Mails deines Druckers schonmal an deine "lokalen" User.

4. Wenn du extern erlauben willst, musst du entscheiden, ob der lokale Exchange die Mails direkt ins Internet schickt, oder über den Hybrid-Connector.

 

Einfacher gehts doch kaum. ;)

[Sunny61 773]

vor 2 Stunden schrieb NorbertFe:

SMTP (SIMPLE Mail Transfer Protocol)

 

Da fehlt das R.

[wznutzer 32]

vor einer Stunde schrieb NorbertFe:

1. Drucker versendet als jemand deiner lokalen Domain drucker1@deinedomain.tld (öffentliche Domain natürlich)

2. Dein Exchange erlaubt diesem Drucker die TLS Verbindung und das SMTP Relay

3. Dein Exchange weiß, wohin er den Kram senden soll (Sendeconnector Bspw. der für Hybrid). Damit gehen alle Mails deines Druckers schonmal an deine "lokalen" User.

4. Wenn du extern erlauben willst, musst du entscheiden, ob der lokale Exchange die Mails direkt ins Internet schickt, oder über den Hybrid-Connector.

Weil ich gerade im Sendeconnector nichts mit "TLS erzwingen" anklicken kann, war ich mir da nicht sicher ob das vom Empfangsconnector durchgereicht wird.

 

Ich habe gar keine Hybrid-Connektoren . Da wurde vom HCW nichts angelegt. => Minimal-Hybrid mit Modern Topology.

Evtl. liegt das aber daran, dass der lokale Exchange nicht direkt empfängt oder sendet. Der Exchange empfängt von einem Archivsystem und sendet dahin. Also ich hatte schon immer die akzeptierte Standarddomain auf "internes Relay" stehen und der einzige Sendeconnector  sendet alles vom Adressraum "*" an einen Smarthost (Archivsystem). An den Smarthost natürlich nur was nicht der "eigenen Domain" entspricht.

[NorbertFe 1.804]

vor 38 Minuten schrieb wznutzer:

Minimal-Hybrid mit Modern Topology.

Evtl. liegt das aber daran,

Ja genau daran liegt das. ;)

[wznutzer 32]

Man muss da noch was ergänzen:

Am 2.8.2022 um 12:40 schrieb wznutzer:

2)

Beim Empfangsconnector hake ich TLS und anonyme Benutzer an und gebe die Bereiche und den Port an. Somit sollte die Verbindung Client zu Relay verschlüsselt sein.

Der Haken TLS im Empfangsconnector erlaubt "nur" TLS, erzwingt es aber nicht. Man kann trotzdem unverschlüsselt intern Mails versenden.

 

Ohne separat angelegten Sendeconnector funktioniert auch der Versand von intern zu intern nicht bei Minimalhybid und Modern Topology. Man braucht einen Sendeconnector beim lokalen Exchange der z. B. als Smarthost nach firma.mail.protection.oulook.com routet. Dann braucht es in O365 auch einen Empfangsconnector.

 

An vielen Stellen im Internet ist zu lesen, dass O365 "nur" noch Verbindungen mit TLS 1.2 annimmt. Das ist falsch. Richtig ist, dass verschlüsselte Verbindungen "nur" noch mit TLS 1.2 angenommen werden. Unverschlüsselt geht noch immer, steht auch hier (erster Hinweis): https://docs.microsoft.com/de-de/microsoft-365/compliance/prepare-tls-1.2-in-office-365?view=o365-worldwide

 

Im Sendeconnector kann man nichts mit TLS einstellen. Wenn man aber das Logging aktiviert, kann man sehen, dass der Exchange STARTTLS verwendet.

>> TLS protocol SP_PROT_TLS1_2_CLIENT negotiation succeeded using bulk encryption.

 

Grüße

 

[NorbertFe 1.804]

vor 10 Minuten schrieb wznutzer:

Im Sendeconnector kann man nichts mit TLS einstellen.

Klar kann man das.

bspw: requiretls ;)