StRe 1 Geschrieben 8. Juli Melden Teilen Geschrieben 8. Juli Hallo zusammen, wir nutzen Exchange Online und in der Antispam-Eingangsrichtlinie (Standard) ist der SPF-Check bis dato deaktiviert. Wäre es grundlegend denn zu empfehlen, diesen zu aktivieren? Wenn ja, dann stoße ich aber auf folgendes Problem: Auf einem Server in unserer Infrastruktur hat unser früherer Dienstleister ein M365 SMTP Relay im IIS angelegt. Dieses Relay nutzen wir für unsere Multifunktionsgeräte im Netz (z. B. Scan2Mail). Wenn ich SPF aktiviere, dann bestehen diese Mails den SPF-Check nicht. Wie löse ich dieses Problem am besten? Zitieren Link zu diesem Kommentar
testperson 1.676 Geschrieben 8. Juli Melden Teilen Geschrieben 8. Juli Hi, du ergänzt den SPF Record um die öffentliche IP / A Record und inkludierst das Relay somit in den SPF. Zusätzlich solltest du dir dann die Firewall angucken und SMTP entsprechend einschränken, sofern das noch nicht der Fall ist. Gruß Jan Zitieren Link zu diesem Kommentar
StRe 1 Geschrieben 8. Juli Autor Melden Teilen Geschrieben 8. Juli Firewall angucken in Bezug auf? Mit "SMTP einschränken" meinst du unter den Eigenschaften von dem virt. SMTP im Zugriffsreiter unter Relayeinschränkungen die IP-Adressen pflegen, die relayen dürfen?! Zitieren Link zu diesem Kommentar
StRe 1 Geschrieben 1. August Autor Melden Teilen Geschrieben 1. August Sorry, ich muss hier nochmals das Thema SMTP-Relay & Exchange Online aufgreifen. Wie löst ihr das? Über einen SMTP-Server im IIS? Zitieren Link zu diesem Kommentar
testperson 1.676 Geschrieben 1. August Melden Teilen Geschrieben 1. August Es kommt drauf an. ;) lokaler Hybrid Exchange als Relay lokales Mailgateway als Relay Relay über Subdomain beim Provider Relay über einen Dienst wie bspw. Postmark App "HVE Account": Manage high volume emails for Microsoft 365 in Exchange Online Public preview | Microsoft Learn ("SMTP AUTH"; Damit würde ich allerdings jetzt nicht mehr anfangen (Exchange Online to retire Basic auth for Client Submission (SMTP AUTH) - Microsoft Community Hub)) Auf den SMTP-Server im IIS würde ich jetzt definitiv nicht mehr setzen, da er schon seit Jahren deprecated ist und in Windows Server 2025 endgültig rausfliegt: Features removed or no longer developed starting with Windows Server 2025 (preview) | Microsoft Learn 1 Zitieren Link zu diesem Kommentar
StRe 1 Geschrieben 1. August Autor Melden Teilen Geschrieben 1. August Lokaler Hybrid Exchange fällt schonmal raus, haben wir nicht... Danke für den Hinweis bzg. SMTP-Server via IIS, das war mir bis dato nicht bekannt - dann fang ich das natürlich auch nimmer an... Ich bin noch auf diese Lösung gestoßen (https://www.itatbusiness.de/produkt/itb-smtp-via-graphapi/) - die teste ich mal... Alternativ scheint es mir am pragmatischsten, wenn ich beim Provider Mailboxen für die Hand voll Adressen anlege und darüber versende - eingehend geht ja dann mittels MX-Record wieder zum Exchange... Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 1. August Melden Teilen Geschrieben 1. August vor 22 Minuten schrieb StRe: Lokaler Hybrid Exchange fällt schonmal raus, haben wir nicht... Na und? Könnte man ja einrichten. ;) Zitieren Link zu diesem Kommentar
Dirk-HH-83 14 Geschrieben 4. August Melden Teilen Geschrieben 4. August Hallo @StRe >und in der Antispam-Eingangsrichtlinie (Standard) ist der SPF-Check bis dato deaktiviert. Wäre es grundlegend denn zu empfehlen, diesen zu aktivieren? Mails die SPF nicht bestehen landen in der M365 Quarantine oder? Weißt du ob sich das aktivieren gelohnt hat? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 4. August Melden Teilen Geschrieben 4. August vor 10 Stunden schrieb Dirk-HH-83: Mails die SPF nicht bestehen landen in der M365 Quarantine oder? Nein, 1. gibts genau dazu die Unterscheidung beim „all mechanism“ (- ~ ? +) und 2. bei Einsatz von dmarc wäre spf ja nur eine von zwei Möglichkeiten zu entscheiden. Zitieren Link zu diesem Kommentar
Dirk-HH-83 14 Geschrieben 14. September Melden Teilen Geschrieben 14. September (bearbeitet) Am 4.8.2024 um 19:56 schrieb NorbertFe: Nein, 1. gibts genau dazu die Unterscheidung beim „all mechanism“ (- ~ ? +) Hallo, auf die Gefahr hin abzuschweifen: Thema: M365 Basic/Standard Spamfilter Eingehend härten. (weil per Default z.B. u.g. SPF Check ja "aus" ist) Im Bereich von https://security.microsoft.com/antispam Richtlinien und Regeln Bedrohungsrichtlinien Antispamrichtlinien >wir nutzen Exchange Online und in der Antispam-Eingangsrichtlinie (Standard) ist der SPF-Check bis dato deaktiviert. Wäre es grundlegend denn zu empfehlen, diesen zu >aktivieren? a) Finde die Stelle gerade nicht wo man bzgl. dem SPF Check für Inbound „all mechanism“ (- ~ ? +) definieren kann. Es sieht dort nur wie folgt aus: (das sind An/Ausschalter) b) "SPF Eintrag schwerer Fehler" landet in der Quarantäne soweit ich weiß. Laut Default Quarantine Richtlinie bekommt der Enduser täglich Quarantine Report. c) Ob es DKIM Inbound Check gibt weiß ich nicht. d) Lizenzen für Spamschutz: Vermute man muss kein Defender for M365 Plan1 haben um o.g. "Antispamrichtlinien" zu dürfen. (?) Wenn man dagegen folgendes nutzen möchte habe ich neulich gehört das man vorgenannten Tarif wiederum haben sollte. https://security.microsoft.com/presetSecurityPolicies Richtlinien und Regeln Bedrohungsrichtlinien Vordefinierte Sicherheitsrichtlinien Die Schalter sind aktivierbar für strikten Schutz, obwohl man nur M365 Basic hat. Warum weiß ich nicht. e) Vermutung: Defender for M365 Plan1 muss immer in der gleichen Anzahl wie Exchange Online Nutzerpostfächer vorhanden sind beschafft werden. bearbeitet 14. September von Dirk-HH-83 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 14. September Melden Teilen Geschrieben 14. September vor 7 Stunden schrieb Dirk-HH-83: Finde die Stelle gerade nicht wo man bzgl. dem SPF Check für Inbound „all mechanism“ (- ~ ? +) Häh? Für eingehenden Check ist das ja auch total egal, denn da wird ja den sog. Record der Empfänger ausgewertet und nicht deiner. vor 7 Stunden schrieb Dirk-HH-83: Vermute man muss kein Defender for M365 Plan1 haben um o.g. "Antispamrichtlinien" zu dürfen. (?) Nö, das sollte immer möglich sein. Zitieren Link zu diesem Kommentar
Hishon 0 Geschrieben 4. Oktober Melden Teilen Geschrieben 4. Oktober (bearbeitet) On 7/8/2024 at 11:42 AM, StRe said: Hallo zusammen, wir nutzen Exchange Online und in der Antispam-Eingangsrichtlinie (Standard) ist der SPF-Check bis dato deaktiviert. Wäre es grundlegend denn zu empfehlen, diesen zu aktivieren? Wenn ja, dann stoße ich aber auf folgendes Problem: Auf einem Server in unserer Infrastruktur hat unser früherer Dienstleister ein M365 SMTP Relay im IIS angelegt. Dieses Relay nutzen wir für unsere Multifunktionsgeräte im Netz (z. B. Scan2Mail). Wenn ich SPF aktiviere, dann bestehen diese Mails den SPF-Check nicht. Wie löse ich dieses Problem am besten? Die Verwendung von SPF mit SMTP-Relay in Exchange Online ist entscheidend für die Verbesserung der E-Mail-Sicherheit. Durch die Implementierung von SPF können Organisationen E-Mail-Spoofing verhindern und die Authentifizierung legitimer Absender sicherstellen. Für weitere Einblicke in Compliance- und Sicherheitsmaßnahmen wie ISAE 3402, schaut euch diesen informativen Artikel an https://bueckergmbh.de/Blog/Content/ISAE-3402-fur-Einsteiger Hallo, es ist grundsätzlich empfehlenswert, den SPF-Check zu aktivieren, um die E-Mail-Sicherheit zu erhöhen. Um das Problem mit den Multifunktionsgeräten zu lösen, könnten Sie entweder die IP-Adresse des Servers, auf dem das SMTP-Relay läuft, in Ihre SPF-Records eintragen oder eine dedizierte Sendeinfrastruktur für diese Geräte einrichten. Alternativ können Sie eine Regel in Exchange Online definieren, die den SPF-Check für diese internen Mails umgeht, um Fehlermeldungen zu vermeiden. Beste Grüße! bearbeitet 4. Oktober von Hishon Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.