MS365/EXCH online: NDR anpassen/eigener NDR möglich?

[Friesenjunge 17]

Moin zusammen,

wir setzen bei uns Microsoft 365 und Exchange Online ein.

 

Im Microsoft Defender-Portal haben wir in den Regeln für/gegen Schadsoftware bestimmte Dateianhänge als verboten definiert und konfiguriert, dass Nachrichten ,mit verbotenen Anhängen nicht in Quarantäne gestellt, sondern mit NDR abgelehnt werden sollen.

 

Leider nennt der von MS365 generierte NDR zwar den Grund, aber eben für Endanwender nicht wirklich verständlich.

Daher würden wir gerne den NDR anpassen und einen individuellen Text mit Link auf unsere Internetseite integrieren, der auf eine spezielle Infoseite zum Thema E-Mail-Sicherheit verweist.

 

1. Ist das generell möglich?
2. Wenn ja: wie?

 

Ich bedanke mich für alle konstruktiven Antworten und wünsche allen einen geschmeidigen Vize-Freitag

[Damian 1.401]

Moin

 

Schau mal, ob das hier für Dich passt: https://learn.microsoft.com/de-de/exchange/mail-flow/non-delivery-reports-and-bounce-messages/ndr-procedures?view=exchserver-2019#create-custom-ndrs

 

VG

Damian

[Friesenjunge 17]

Hi @Damian
danke für die Info, ich war bei meiner Recherche zwar auch schon darauf gestoßen, habe es aber gar nicht erst getestet, da der Artikel explizit für die Onpremise Versionen von MS Exchange geschrieben wurde.

Daher habe ich gezweifelt, ob das bei Exchange Online auch funktionieren würde...

[Damian 1.401]

Ok, so tief bin ich nicht in der Materie drin. In Deinem Fall also nicht anwendbar?

 

VG

Damian

[NorbertFe 1.804]

vor 5 Stunden schrieb Friesenjunge:

Leider nennt der von MS365 generierte NDR zwar den Grund, aber eben für Endanwender nicht wirklich verständlich.

Das ist vollkommen egal, was du da reinschreibst (oder auch nicht). Kein "normaler" User wird das lesen. Und der Abschnitt der mit "Informationen für den Administrator" zeigt alles an.

[Friesenjunge 17]

vor 14 Minuten schrieb NorbertFe:

Das ist vollkommen egal, was du da reinschreibst (oder auch nicht). Kein "normaler" User wird das lesen. Und der Abschnitt der mit "Informationen für den Administrator" zeigt alles an.

 

Sorry, Norbert, aber ich sehe das etwas anders:

1. Wenn der Text verständlich ist, wird er auch gelesen
2. Wenn die Information kurz gehalten wird, wird sie beachtet

Ich gebe Dir insofern Recht, das niemand Lust hat, Texte wie den Standard-Microsoft NDR durchzulesen, viel Fülltext zu überscrollen, um dann zur eigentlich relevanten Information in Englisch zu gelangen. Zumal diese im Abschnitt "Informationen für den Administrator" stehen. Die wenigsten fühlen sich davon wirklich angesprochen

 

Mir schwebt ein angepasster NDR in dieser Richtung vor:

 

Zitat

Sehr geehrter Absender,

vielen Dank für Ihre Nachricht.

Leider wurde diese nicht zugestellt, weil ein nicht erlaubter Dateianhang enthalten war.

 

Weitere Informationen erhalten Sie auf unserer Webseite https://meinefirma.de/e-mail-sicherheit/

 

Vielen Dank!

Ihr <Firmenname> IT-Sicherheitsteam

 

Sagt alles, wer mehr wissen will, nutzt den Link.

 

Dich zurück zu meinen Ausgangsfragen, denn auf die bist Du nicht eingegangen:

1. Ist es möglich?
2. Wenn ja, wie?

Besten Dank!

 

 

vor 25 Minuten schrieb Damian:

[...]In Deinem Fall also nicht anwendbar?

 

Haben wir noch nicht getestet.

Aber sollten wir ein Ergebnis haben, stelle ich das Resultat hier ein

bearbeitet 3. August 2023 von Friesenjunge

[NorbertFe 1.804]

vor 3 Minuten schrieb Friesenjunge:

Mir schwebt ein angepasster NDR in dieser Richtung vor:

 

Ich bezweifle, dass du das hinbekommen wirst. Aber ich lasse mich gern eines Besseren belehren. Denn im Zweifel generiert ja nicht Exchange Online den NDR, sondern der ursprüngliche Absenderserver und was der dann aus deinem Fehlercode generiert liegt nur begrenzt (oder gar nicht) in deiner Hand.

vor 5 Minuten schrieb Friesenjunge:

• Wenn der Text verständlich ist, wird er auch gelesen
•  

Meine Erfahrung sagt was anderes.

 

vor 5 Minuten schrieb Friesenjunge:

1. Wenn die Information kurz gehalten wird, wird sie beachtet

 

Nein. :)

[Friesenjunge 17]

 

vor einer Stunde schrieb NorbertFe:

Denn im Zweifel generiert ja nicht Exchange Online den NDR, sondern der ursprüngliche Absenderserver und was der dann aus deinem Fehlercode generiert liegt nur begrenzt (oder gar nicht) in deiner Hand.

Meine Erfahrung sagt was anderes.

 

Hier muss ich leider widersprechen:

Ich habe von meiner privaten E-Mailadresse, die definitiv nicht auf Exchange online, sondern auf einem Linux Mailserver gehostet wird, eine Testnachricht mit einem verbotenen Dateianhang verschickt.

Der NDR wurde von MS 354 EXCH online generiert, nicht von dem Mailserver meines Providers. Die Optik und der Text ist exakt derselbe, wie bei den internen über Exch online verschickten Nachrichten, die abgelehnt werden.

 

Warum sollte es denn sonst (wie in dem von @Damian verlinkten MS Learning-Artikel beschrieben) möglich sein, auf Onpremise Exchange die NDR anzupassen? Und warum sollten dann auch separate NDR für interne und externe Kommunikation möglich sein?

 

Wenn Deine Auffassung stimmen würde (durch Test wie oben beschrieben widerlegt), würde der gesamte Artikel keinen Sinn ergeben.

 

BTW, auf die ursprünglichen Fragen hast Du leider immer noch nicht geantwortet.

 

Eine weitere Sinndiskussion führt mich nicht zum Ziel, die Frage ist, ob es bei Exchange Online funktionieren würde und wenn ja, wie.

Nicht mehr und nicht weniger.

 

Danke.

 

 

bearbeitet 3. August 2023 von Friesenjunge

[cj_berlin 1.137]

Hier ist die Antwort auf Deine Frage und gleichzeitig ein dezenter Hinweis, dass es nicht "Onpremise" heißt  

vor 1 Stunde schrieb Friesenjunge:

Hier muss ich leider widersprechen:

Ich habe von meiner privaten E-Mailadresse, die definitiv nicht auf Exchange online, sondern auf einem Linux Mailserver gehostet wird, eine Testnachricht mit einem verbotenen Dateianhang verschickt.

Der NDR wurde von MS 354 EXCH online generiert, nicht von dem Mailserver meines Providers. Die Optik und der Text ist exakt derselbe, wie bei den internen über Exch online verschickten Nachrichten, die abgelehnt werden.

Es kommt hier, wie so oft, darauf an. Erteilt der empfangende Server den Fehlercode bereits vor dem DATA Befehl (kein Bock, SPF verletzt, IP auf RBL, Zertifikat passt nicht usw.), so wird der NDR tatsächlich von dem sendenden Server generiert. Hat der empfangende Server den SMTP-Dialog positiv geschlossen (wie in diesem Fall - vorher wäre es ja schwierig, den Anhang zu analysieren), so ist er auch für die NDR zuständig.

[Friesenjunge 17]

@cj_berlin, vielen Dank für die ausführliche Erklärung, wieder etwas gelernt.

Schade, aber nicht zu ändern.

 

[testperson 1.534]

Hi,

 

wäre es ggfs. eine Alternative, die unerwünschten Anhänge (mit 3rd Party) abzuschneiden und die Mail dann mit Hinweis an den Empfänger zuzustellen?

 

Gruß

Jan

[Friesenjunge 17]

@testperson
Das wäre ja ähnlich wie die MS365 Quarantäne.

Nein, wir möchten erst gar keine potenziell gefährlichen Dateianhänge ins Haus bekommen.

Unsere Kunden und die Belegschaft wurden im Vorfeld schon informiert, dass wir E-Mails mit bestimmten Dateianhängen aus Sicherheitsgründen zukünftig ablehnen.

 

Auch intern werden allzu gerne noch die alten Officeformate vor 2007 verschickt. Auch leider zu Kunden raus.

bearbeitet 4. August 2023 von Friesenjunge

[NorbertFe 1.804]

vor 17 Minuten schrieb Friesenjunge:

Auch intern werden allzu gerne noch die alten Officeformate vor 2007 verschickt. Auch leider zu Kunden raus.

 

LOL solange sogar MS selbst (bis vor kurzem) die Lizenzunterlagen als .xls rausschickt, wird das alles so gut wie nie mehr Sicherheit bringen, sondern

- mehr Arbeit für die IT, die das den Usern und den Kunden erklären muss

- mehr Frust und Umgehung auf beiden Seiten

 

führen. Und ja ich hab das bereits durch. Am Ende ist die Lösung dann nicht, dass man modernere Formate erhält, sondern dass sich die Leute das per OneDrive, Dropbox oder per Privater Email austauschen. So funktionieren Nutzerhirne. ;) Das Ergebnis zählt und das ist leider ein anderes als der für die IT Sicherheit zuständige Mitarbeiter verfolgt.

 

Du kannst uns aber gern auf dem Laufenden halten, denn natürlich freue ich mich über erfolgreiche Projekte dieser Sorte und gebe noch nicht ganz resigniert auf. :)

 

Bye

Norbert

[Nobbyaushb 1.359]

Moin 

eventuell OT, aber NoSpamProxy kann sowas und wandelt Anhänge in PDF um

Hat mein ehemaliger Arbeitgeber seit längerer Zeit erfolgreich im Einsatz 

Grüße aus Tschechien

[Friesenjunge 17]

vor 14 Minuten schrieb Nobbyaushb:

Moin 

[...] NoSpamProxy kann sowas und wandelt Anhänge in PDF um [...]

Grüße aus Tschechien

Moin @Nobbyaushb:
Ja, danke, klingt interessant.
Schauen wir uns gerne an und beraten...
Lässt sich das mit MS 365 Exchange Onlin koppeln?

Und Grüße nach Tschechien

@NorbertFe, ja, ist ein dickes Brett zu bohren.

 

Aber ehrlich, der tägliche Aufwand der IT, die Quarantäne-Freischaltungsanfragen zu prüfen und zu bearbeiten hat inzwischen echt Dimensionen angenommen, dass man gut noch eine Person in der IT zusätzlich brauchen könnte.

Und das nur, weil die Leute (salopp gesagt) zu faul sind. Oder nicht genug sensibilisiert. Und das, obwohl wir jährlich eine interne Schulungs-Pflichtveranstaltung "IT-Sicherheitssensibilisierung" durchführen.
Es kann also niemand behaupten, er/sie/es hätte es nicht gewusst...

 

Gerne werde ich hier über unsere Ergebnisse berichten.

Die Lösung könnte so einfach sein...
...wenn MS "mitspielen" würde, denn im Prinzip hat @Damian den entscheidenden Tipp gegeben, nur leider, dass das nur mit on-premises Exchange funktioniert.
( @cj_berlin : auch ich bin lernfähig )