NorbertFe

Und wo war er?

Na eine Lösung deines Problems wäre ja jetzt noch schön, oder wars einfach pebcak?

Bei Outbound TLS aktivieren. Mehr is nicht. Port dürfte vermutlich entweder 25 (wenn die da Authentifizierung annehmen) oder 587 sein. Dann trag da doch einfach den den Telekom Server ein.

Was auch vollkommen logisch ist, weil es eben nicht TLS ist, sondern SMTPS. Ich kenne eigentlich auch kein Microsoft Produkt (von MUA abgesehen), die SMTPs sprechen können. Ja, das musst du ausgehend aktivieren. Und dann hoffen, dass nicht irgendeine Firewall wieder StartTLS filtert.

Da du die Meldung auf Windows 11 auch erhältst...

Welcher Name steht denn im Zertifikat? IP Adressen müssen in brackets.

Die Fehlermeldung läßt eher darauf schließen, dass da ein Zertifikatsnamen mismatch besteht.

2019 hat per default NUR TLS 1.2 mit den dazugehörigen ciphers aktiv, da aber der SMTP seit Jahren abgekündigt ist, solltest du da ggf. nach einer anderen Lösung schauen, falls der eben kein TLS 1.2 sprechen sollte. Am Ende steht doch klar da, was ihn stört im SMTP Service ist kein TLS Zertifikat (oder kein valides) gebunden. Aber ansonsten musst du mal per nmap nachschauen, welche TLS Version und welche Ciphers angeboten werden.

Was hat jetzt WLAN damit zu tun? ;)

Wenn du nur 4 GPOs in der Umgebung hast, dann schau doch mal welche auf den TS wirken und deaktiviere sie der Reihe nach, bis der Fehler nicht mehr auftritt. Dann kann man weitersehen.

Tjo, ich meine mich zu erinnern, dass die Deployed Printer Connections nicht mehr angezeigt werden, bzw. Nur wenn auf dem Computer mit der gpmc auch die druckerverwaltung installiert ist. Lange her, dass jemand diesen Mist so konfiguriert hat.

Was dann aber aus Sicherheitssicht auch "Augen zuhalten und ich bin nicht da" entspricht. ;)

Ist jetzt nicht so, dass es nicht bekannt ist seit Jahren. ;) Und ja dann eben nächstes Mal den richtigen M365 Plan auswählen. https://learn.microsoft.com/en-us/office365/servicedescriptions/office-applications-service-description/office-applications-service-description?redirectedfrom=MSDN Zitat aus dem Link "Fußnote 11" 11 Limited to policies for web apps and privacy policies for client apps. 12 Limited to policies for web apps.

Korrekt. Bestes Beispiel dafür, dass ich meinen Kunden immer erkläre, dass das eine zwar billig ist, aber eben bestimmte Funktionen fehlen.

Welche O365 Apps setzt du denn ein? Also Apps for Business oder Apps for Enterprise?

Richtig.

Nichts anderes hat dir oben Jan auch geschrieben.

Warum /forrce? Wirds dann wichtiger ausgeführt oder fühlt sich der Admin dann besser? ;)

Wenn du das hinbekommst, hast du Glück. Viele Kunden haben Systeme die entweder nicht mit O365 authentifizieren können oder wollen in vielen Fällen auch nicht nen Haufen Lizenzen dafür ausgeben, bloß damit der Drucker den Scan zur Mail schickt. Naja technisch notwendig ist er eben nicht mehr seit einigen Monaten. Aber ein eigenes vernünftiges SMTP Relay zu haben ist immer noch besser als sich das dann mit anderen MItteln zu basteln.

Ich würde heutzutage eh weitgehend auf DKIM (im Zusammenhang mit DMARC) setzen. Denn gerade bei Newslettern und ähnlichen Massenmails stimmt der SPF Record ja sowieso meist nicht mit der eigenen Domain überein. ;)

Das bieten eigentlich alle Anbieter an, vorausgesetzt man hat entsprechend Geld eingeworfen und erfüllt ggf. bestehende Anforderungen hinsichtlich der zu versendenden Menge. OK, die hab ich schonmal gehört, aber da dort ständig irgendwelche Fusionen/Merger stattfinden in dem Umfeld.... ;) Am Ende gibts wie gesagt die Anbieter wie Sand am Meer (mir fallen spontan Mailgun und Postmark ein).

Hmm, bei mir eher das Prestige, dass das jede Menge Spam rumkommt. Aber am Ende YMMV. Gibts denn da welche? Alles was ich da so namentlich kenne, liegt ja auch nicht in DE und nicht mal im EU-Raum. Eigentlich nicht. Die Fehler siehst du ja so oder so (sogar bei none). Nur das gewünschte Ergebnis wird vermutlich härter ausfallen. Aber wie gesagt, MS behandelt bei den Privatkunden quarantine=reject. Da hat also deine Policy sowieso keine weiteren Auswirkungen mehr. Ich nicht. Aber ich muss ja auch nicht den Kopf für deine Umgebung hinhalten. Aber siehs doch einfach mal als Möglichkeit endlich euren Mailflow sichtbar zu bekommen. :)

Naja, die hätte ich vermutlich als letztes auf meiner Liste, aber ihr habt das ja vermutlich mit anderen verglichen. Das bietet afaik aber jeder dieser Dienstleister. Welche habt ihr euch denn sonst noch angeschaut? Das "keinerlei" Softfails auftreten ist eher ein Wunschtraum. Du hast als Domain Inhaber keinerlei Handhabe gegen manche Mailsendungen die deine legitimen Mails dann an weitere Systeme um-/weiterleiten. Also sobald du DEINE legitimen Systeme im Griff hast, solltest du auf p=reject konfigurieren, denn p=quarantine wird von diversen Anbietern sowieso wie reject gehandhabt. Genau wie p=none von vielen als "suspect" eingestuft wird. ;) SPF ist empfohlen auf ~all zu konfigurieren, eben weil ein -all ggf. dazu führt, dass eine evtl. vorhandene DKIM Signatur gar nicht mehr geprüft wird und somit eine eigentlich legitime Mail abgelehnt würde. Eigentlich nicht. Man muss nur seine Systeme kennen und VORHER mit allen verantwortlichen Personen sprechen. ;) Bye Norbert

Hi, wenn ich das richtig sehe sind beide oben erwähnten links zu Anbietern von whitelisting providerlösungen, sowie dmarc Monitoring usw. Zu whitelisting sollte man als „normaler Versender“ selten greifen lassen, weil das eher was für Marketing Mails usw. abstellt und dann muss man ja auch hoffen, dass der Empfänger diese Listen verwendet und akzeptiert. dmarc aggregationsservices gibts inzwischen wie Sand am mehr. Da sucht man sich am besten den aus, dessen kosten/nutzen am besten passt. grundsätzlich sollte man mit einer entsprechenden dmarc Lösung erstmal gut aufgestellt sein, wenn man dafür sorgt, dass die Mails aligned sind und nicht irgendwo irgendwelche Dienste vor sich hinlaufen und Mails versenden. die eigentliche Reputation wird dir sowieso keiner der Anbieter/Nutzer solcher Reputationservices verraten, eben damit man das nicht entsprechend aushebeln kann. Cisco hat da ja talos am Start und jeder der die cisco Lösung einsetzt kennt sicherlich auch die Frage, warum der sbrs jetzt so oder so ist. ;) deswegen erstmal die Frage über wieviele Mails reden wir denn bei deiner anfrage? Alles was weit unter 20.000 Mails pro Woche liegt ist sowieso meist problemlos ohne solche „Tools“ wie du sie nennst lösbar. bye norbert

AFAIR nur für den 2003er SBS. Aber SBS war sowieso nie wirklich mein Steckenpferd. Ich hab nur genügend wegmigriert, dass ich weiß, dass man ordnungsgemäß den Exchange und Sharepoint deinstallieren konnte.