Jump to content

MS365/EXCH online: NDR anpassen/eigener NDR möglich?


Direkt zur Lösung Gelöst von cj_berlin,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin zusammen,

wir setzen bei uns Microsoft 365 und Exchange Online ein.

 

Im Microsoft Defender-Portal haben wir in den Regeln für/gegen Schadsoftware bestimmte Dateianhänge als verboten definiert und konfiguriert, dass Nachrichten ,mit verbotenen Anhängen nicht in Quarantäne gestellt, sondern mit NDR abgelehnt werden sollen.

 

Leider nennt der von MS365 generierte NDR zwar den Grund, aber eben für Endanwender nicht wirklich verständlich.

Daher würden wir gerne den NDR anpassen und einen individuellen Text mit Link auf unsere Internetseite integrieren, der auf eine spezielle Infoseite zum Thema E-Mail-Sicherheit verweist.

 

  1. Ist das generell möglich?
  2. Wenn ja: wie?

 

Ich bedanke mich für alle konstruktiven Antworten und wünsche allen einen geschmeidigen Vize-Freitag

Link zu diesem Kommentar
vor 5 Stunden schrieb Friesenjunge:

Leider nennt der von MS365 generierte NDR zwar den Grund, aber eben für Endanwender nicht wirklich verständlich.

Das ist vollkommen egal, was du da reinschreibst (oder auch nicht). Kein "normaler" User wird das lesen. Und der Abschnitt der mit "Informationen für den Administrator" zeigt alles an.

Link zu diesem Kommentar
vor 14 Minuten schrieb NorbertFe:

Das ist vollkommen egal, was du da reinschreibst (oder auch nicht). Kein "normaler" User wird das lesen. Und der Abschnitt der mit "Informationen für den Administrator" zeigt alles an.

 

Sorry, Norbert, aber ich sehe das etwas anders:

  1. Wenn der Text verständlich ist, wird er auch gelesen
  2. Wenn die Information kurz gehalten wird, wird sie beachtet

Ich gebe Dir insofern Recht, das niemand Lust hat, Texte wie den Standard-Microsoft NDR durchzulesen, viel Fülltext zu überscrollen, um dann zur eigentlich relevanten Information in Englisch zu gelangen. Zumal diese im Abschnitt "Informationen für den Administrator" stehen. Die wenigsten fühlen sich davon wirklich angesprochen ;-)

 

Mir schwebt ein angepasster NDR in dieser Richtung vor:

 

Zitat

Sehr geehrter Absender,

vielen Dank für Ihre Nachricht.

Leider wurde diese nicht zugestellt, weil ein nicht erlaubter Dateianhang enthalten war.

 

Weitere Informationen erhalten Sie auf unserer Webseite https://meinefirma.de/e-mail-sicherheit/

 

Vielen Dank!

Ihr <Firmenname> IT-Sicherheitsteam

 

Sagt alles, wer mehr wissen will, nutzt den Link.

 

Dich zurück zu meinen Ausgangsfragen, denn auf die bist Du nicht eingegangen:

  1. Ist es möglich?
  2. Wenn ja, wie?

Besten Dank!

 

 

vor 25 Minuten schrieb Damian:

[...]In Deinem Fall also nicht anwendbar?

 

Haben wir noch nicht getestet.

Aber sollten wir ein Ergebnis haben, stelle ich das Resultat hier ein ;-)

bearbeitet von Friesenjunge
Link zu diesem Kommentar
vor 3 Minuten schrieb Friesenjunge:

Mir schwebt ein angepasster NDR in dieser Richtung vor:

 

Ich bezweifle, dass du das hinbekommen wirst. Aber ich lasse mich gern eines Besseren belehren. Denn im Zweifel generiert ja nicht Exchange Online den NDR, sondern der ursprüngliche Absenderserver und was der dann aus deinem Fehlercode generiert liegt nur begrenzt (oder gar nicht) in deiner Hand.

vor 5 Minuten schrieb Friesenjunge:
  • Wenn der Text verständlich ist, wird er auch gelesen
  •  

Meine Erfahrung sagt was anderes.

 

vor 5 Minuten schrieb Friesenjunge:
  1. Wenn die Information kurz gehalten wird, wird sie beachtet

 

Nein. :)

Link zu diesem Kommentar

 

vor einer Stunde schrieb NorbertFe:

Denn im Zweifel generiert ja nicht Exchange Online den NDR, sondern der ursprüngliche Absenderserver und was der dann aus deinem Fehlercode generiert liegt nur begrenzt (oder gar nicht) in deiner Hand.

Meine Erfahrung sagt was anderes.

 

Hier muss ich leider widersprechen:

Ich habe von meiner privaten E-Mailadresse, die definitiv nicht auf Exchange online, sondern auf einem Linux Mailserver gehostet wird, eine Testnachricht mit einem verbotenen Dateianhang verschickt.

Der NDR wurde von MS 354 EXCH online generiert, nicht von dem Mailserver meines Providers. Die Optik und der Text ist exakt derselbe, wie bei den internen über Exch online verschickten Nachrichten, die abgelehnt werden.

 

Warum sollte es denn sonst (wie in dem von @Damian verlinkten MS Learning-Artikel beschrieben) möglich sein, auf Onpremise Exchange die NDR anzupassen? Und warum sollten dann auch separate NDR für interne und externe Kommunikation möglich sein?

 

Wenn Deine Auffassung stimmen würde (durch Test wie oben beschrieben widerlegt), würde der gesamte Artikel keinen Sinn ergeben.

 

BTW, auf die ursprünglichen Fragen hast Du leider immer noch nicht geantwortet.

 

Eine weitere Sinndiskussion führt mich nicht zum Ziel, die Frage ist, ob es bei Exchange Online funktionieren würde und wenn ja, wie.

Nicht mehr und nicht weniger.

 

Danke.

 

 

bearbeitet von Friesenjunge
Link zu diesem Kommentar
  • Beste Lösung

image.png.8890e70cf5c2684a715e4848bad53cf0.png

Hier ist die Antwort auf Deine Frage und gleichzeitig ein dezenter Hinweis, dass es nicht "Onpremise" heißt ;-) 

vor 1 Stunde schrieb Friesenjunge:

Hier muss ich leider widersprechen:

Ich habe von meiner privaten E-Mailadresse, die definitiv nicht auf Exchange online, sondern auf einem Linux Mailserver gehostet wird, eine Testnachricht mit einem verbotenen Dateianhang verschickt.

Der NDR wurde von MS 354 EXCH online generiert, nicht von dem Mailserver meines Providers. Die Optik und der Text ist exakt derselbe, wie bei den internen über Exch online verschickten Nachrichten, die abgelehnt werden.

Es kommt hier, wie so oft, darauf an. Erteilt der empfangende Server den Fehlercode bereits vor dem DATA Befehl (kein Bock, SPF verletzt, IP auf RBL, Zertifikat passt nicht usw.), so wird der NDR tatsächlich von dem sendenden Server generiert. Hat der empfangende Server den SMTP-Dialog positiv geschlossen (wie in diesem Fall - vorher wäre es ja schwierig, den Anhang zu analysieren), so ist er auch für die NDR zuständig.

  • Like 1
  • Danke 1
Link zu diesem Kommentar

@testperson
Das wäre ja ähnlich wie die MS365 Quarantäne.


Nein, wir möchten erst gar keine potenziell gefährlichen Dateianhänge ins Haus bekommen.

Unsere Kunden und die Belegschaft wurden im Vorfeld schon informiert, dass wir E-Mails mit bestimmten Dateianhängen aus Sicherheitsgründen zukünftig ablehnen.

 

Auch intern werden allzu gerne noch die alten Officeformate vor 2007 verschickt. Auch leider zu Kunden raus.

bearbeitet von Friesenjunge
Link zu diesem Kommentar
vor 17 Minuten schrieb Friesenjunge:

Auch intern werden allzu gerne noch die alten Officeformate vor 2007 verschickt. Auch leider zu Kunden raus.

 

LOL solange sogar MS selbst (bis vor kurzem) die Lizenzunterlagen als .xls rausschickt, wird das alles so gut wie nie mehr Sicherheit bringen, sondern

- mehr Arbeit für die IT, die das den Usern und den Kunden erklären muss

- mehr Frust und Umgehung auf beiden Seiten

 

führen. Und ja ich hab das bereits durch. Am Ende ist die Lösung dann nicht, dass man modernere Formate erhält, sondern dass sich die Leute das per OneDrive, Dropbox oder per Privater Email austauschen. So funktionieren Nutzerhirne. ;) Das Ergebnis zählt und das ist leider ein anderes als der für die IT Sicherheit zuständige Mitarbeiter verfolgt.

 

Du kannst uns aber gern auf dem Laufenden halten, denn natürlich freue ich mich über erfolgreiche Projekte dieser Sorte und gebe noch nicht ganz resigniert auf. :)

 

Bye

Norbert

Link zu diesem Kommentar
vor 14 Minuten schrieb Nobbyaushb:

Moin 

[...] NoSpamProxy kann sowas und wandelt Anhänge in PDF um [...]

Grüße aus Tschechien

Moin @Nobbyaushb:
Ja, danke, klingt interessant.
Schauen wir uns gerne an und beraten...
Lässt sich das mit MS 365 Exchange Onlin koppeln?


Und Grüße nach Tschechien

@NorbertFe, ja, ist ein dickes Brett zu bohren.

 

Aber ehrlich, der tägliche Aufwand der IT, die Quarantäne-Freischaltungsanfragen zu prüfen und zu bearbeiten hat inzwischen echt Dimensionen angenommen, dass man gut noch eine Person in der IT zusätzlich brauchen könnte.

Und das nur, weil die Leute (salopp gesagt) zu faul sind. Oder nicht genug sensibilisiert. Und das, obwohl wir jährlich eine interne Schulungs-Pflichtveranstaltung "IT-Sicherheitssensibilisierung" durchführen.
Es kann also niemand behaupten, er/sie/es hätte es nicht gewusst...

 

Gerne werde ich hier über unsere Ergebnisse berichten.

Die Lösung könnte so einfach sein...
...wenn MS "mitspielen" würde, denn im Prinzip hat @Damian den entscheidenden Tipp gegeben, nur leider, dass das nur mit on-premises Exchange funktioniert.
( @cj_berlin : auch ich bin lernfähig ;-))

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...