StRe 1 Geschrieben 8. Juli 2024 Melden Geschrieben 8. Juli 2024 Hallo zusammen, wir nutzen Exchange Online und in der Antispam-Eingangsrichtlinie (Standard) ist der SPF-Check bis dato deaktiviert. Wäre es grundlegend denn zu empfehlen, diesen zu aktivieren? Wenn ja, dann stoße ich aber auf folgendes Problem: Auf einem Server in unserer Infrastruktur hat unser früherer Dienstleister ein M365 SMTP Relay im IIS angelegt. Dieses Relay nutzen wir für unsere Multifunktionsgeräte im Netz (z. B. Scan2Mail). Wenn ich SPF aktiviere, dann bestehen diese Mails den SPF-Check nicht. Wie löse ich dieses Problem am besten?
testperson 1.857 Geschrieben 8. Juli 2024 Melden Geschrieben 8. Juli 2024 Hi, du ergänzt den SPF Record um die öffentliche IP / A Record und inkludierst das Relay somit in den SPF. Zusätzlich solltest du dir dann die Firewall angucken und SMTP entsprechend einschränken, sofern das noch nicht der Fall ist. Gruß Jan
StRe 1 Geschrieben 8. Juli 2024 Autor Melden Geschrieben 8. Juli 2024 Firewall angucken in Bezug auf? Mit "SMTP einschränken" meinst du unter den Eigenschaften von dem virt. SMTP im Zugriffsreiter unter Relayeinschränkungen die IP-Adressen pflegen, die relayen dürfen?!
StRe 1 Geschrieben 1. August 2024 Autor Melden Geschrieben 1. August 2024 Sorry, ich muss hier nochmals das Thema SMTP-Relay & Exchange Online aufgreifen. Wie löst ihr das? Über einen SMTP-Server im IIS?
testperson 1.857 Geschrieben 1. August 2024 Melden Geschrieben 1. August 2024 Es kommt drauf an. ;) lokaler Hybrid Exchange als Relay lokales Mailgateway als Relay Relay über Subdomain beim Provider Relay über einen Dienst wie bspw. Postmark App "HVE Account": Manage high volume emails for Microsoft 365 in Exchange Online Public preview | Microsoft Learn ("SMTP AUTH"; Damit würde ich allerdings jetzt nicht mehr anfangen (Exchange Online to retire Basic auth for Client Submission (SMTP AUTH) - Microsoft Community Hub)) Auf den SMTP-Server im IIS würde ich jetzt definitiv nicht mehr setzen, da er schon seit Jahren deprecated ist und in Windows Server 2025 endgültig rausfliegt: Features removed or no longer developed starting with Windows Server 2025 (preview) | Microsoft Learn 1
StRe 1 Geschrieben 1. August 2024 Autor Melden Geschrieben 1. August 2024 Lokaler Hybrid Exchange fällt schonmal raus, haben wir nicht... Danke für den Hinweis bzg. SMTP-Server via IIS, das war mir bis dato nicht bekannt - dann fang ich das natürlich auch nimmer an... Ich bin noch auf diese Lösung gestoßen (https://www.itatbusiness.de/produkt/itb-smtp-via-graphapi/) - die teste ich mal... Alternativ scheint es mir am pragmatischsten, wenn ich beim Provider Mailboxen für die Hand voll Adressen anlege und darüber versende - eingehend geht ja dann mittels MX-Record wieder zum Exchange...
NorbertFe 2.277 Geschrieben 1. August 2024 Melden Geschrieben 1. August 2024 vor 22 Minuten schrieb StRe: Lokaler Hybrid Exchange fällt schonmal raus, haben wir nicht... Na und? Könnte man ja einrichten. ;)
Dirk-HH-83 14 Geschrieben 4. August 2024 Melden Geschrieben 4. August 2024 Hallo @StRe >und in der Antispam-Eingangsrichtlinie (Standard) ist der SPF-Check bis dato deaktiviert. Wäre es grundlegend denn zu empfehlen, diesen zu aktivieren? Mails die SPF nicht bestehen landen in der M365 Quarantine oder? Weißt du ob sich das aktivieren gelohnt hat?
NorbertFe 2.277 Geschrieben 4. August 2024 Melden Geschrieben 4. August 2024 vor 10 Stunden schrieb Dirk-HH-83: Mails die SPF nicht bestehen landen in der M365 Quarantine oder? Nein, 1. gibts genau dazu die Unterscheidung beim „all mechanism“ (- ~ ? +) und 2. bei Einsatz von dmarc wäre spf ja nur eine von zwei Möglichkeiten zu entscheiden.
Dirk-HH-83 14 Geschrieben 14. September 2024 Melden Geschrieben 14. September 2024 (bearbeitet) Am 4.8.2024 um 19:56 schrieb NorbertFe: Nein, 1. gibts genau dazu die Unterscheidung beim „all mechanism“ (- ~ ? +) Hallo, auf die Gefahr hin abzuschweifen: Thema: M365 Basic/Standard Spamfilter Eingehend härten. (weil per Default z.B. u.g. SPF Check ja "aus" ist) Im Bereich von https://security.microsoft.com/antispam Richtlinien und Regeln Bedrohungsrichtlinien Antispamrichtlinien >wir nutzen Exchange Online und in der Antispam-Eingangsrichtlinie (Standard) ist der SPF-Check bis dato deaktiviert. Wäre es grundlegend denn zu empfehlen, diesen zu >aktivieren? a) Finde die Stelle gerade nicht wo man bzgl. dem SPF Check für Inbound „all mechanism“ (- ~ ? +) definieren kann. Es sieht dort nur wie folgt aus: (das sind An/Ausschalter) b) "SPF Eintrag schwerer Fehler" landet in der Quarantäne soweit ich weiß. Laut Default Quarantine Richtlinie bekommt der Enduser täglich Quarantine Report. c) Ob es DKIM Inbound Check gibt weiß ich nicht. d) Lizenzen für Spamschutz: Vermute man muss kein Defender for M365 Plan1 haben um o.g. "Antispamrichtlinien" zu dürfen. (?) Wenn man dagegen folgendes nutzen möchte habe ich neulich gehört das man vorgenannten Tarif wiederum haben sollte. https://security.microsoft.com/presetSecurityPolicies Richtlinien und Regeln Bedrohungsrichtlinien Vordefinierte Sicherheitsrichtlinien Die Schalter sind aktivierbar für strikten Schutz, obwohl man nur M365 Basic hat. Warum weiß ich nicht. e) Vermutung: Defender for M365 Plan1 muss immer in der gleichen Anzahl wie Exchange Online Nutzerpostfächer vorhanden sind beschafft werden. bearbeitet 14. September 2024 von Dirk-HH-83
NorbertFe 2.277 Geschrieben 14. September 2024 Melden Geschrieben 14. September 2024 vor 7 Stunden schrieb Dirk-HH-83: Finde die Stelle gerade nicht wo man bzgl. dem SPF Check für Inbound „all mechanism“ (- ~ ? +) Häh? Für eingehenden Check ist das ja auch total egal, denn da wird ja den sog. Record der Empfänger ausgewertet und nicht deiner. vor 7 Stunden schrieb Dirk-HH-83: Vermute man muss kein Defender for M365 Plan1 haben um o.g. "Antispamrichtlinien" zu dürfen. (?) Nö, das sollte immer möglich sein.
Hishon 0 Geschrieben 4. Oktober 2024 Melden Geschrieben 4. Oktober 2024 (bearbeitet) On 7/8/2024 at 11:42 AM, StRe said: Hallo zusammen, wir nutzen Exchange Online und in der Antispam-Eingangsrichtlinie (Standard) ist der SPF-Check bis dato deaktiviert. Wäre es grundlegend denn zu empfehlen, diesen zu aktivieren? Wenn ja, dann stoße ich aber auf folgendes Problem: Auf einem Server in unserer Infrastruktur hat unser früherer Dienstleister ein M365 SMTP Relay im IIS angelegt. Dieses Relay nutzen wir für unsere Multifunktionsgeräte im Netz (z. B. Scan2Mail). Wenn ich SPF aktiviere, dann bestehen diese Mails den SPF-Check nicht. Wie löse ich dieses Problem am besten? Die Verwendung von SPF mit SMTP-Relay in Exchange Online ist entscheidend für die Verbesserung der E-Mail-Sicherheit. Durch die Implementierung von SPF können Organisationen E-Mail-Spoofing verhindern und die Authentifizierung legitimer Absender sicherstellen. Für weitere Einblicke in Compliance- und Sicherheitsmaßnahmen wie ISAE 3402, schaut euch diesen informativen Artikel an https://bueckergmbh.de/Blog/Content/ISAE-3402-fur-Einsteiger Hallo, es ist grundsätzlich empfehlenswert, den SPF-Check zu aktivieren, um die E-Mail-Sicherheit zu erhöhen. Um das Problem mit den Multifunktionsgeräten zu lösen, könnten Sie entweder die IP-Adresse des Servers, auf dem das SMTP-Relay läuft, in Ihre SPF-Records eintragen oder eine dedizierte Sendeinfrastruktur für diese Geräte einrichten. Alternativ können Sie eine Regel in Exchange Online definieren, die den SPF-Check für diese internen Mails umgeht, um Fehlermeldungen zu vermeiden. Beste Grüße! bearbeitet 4. Oktober 2024 von Hishon
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden