BRIX 10 Geschrieben 25. September Melden Teilen Geschrieben 25. September Ein "Hallo" in die Runde! Beim Testen einer External Sender Identification Regel (angelegt über das M365 Exchange Admin Center) habe ich folgendes Problem, wobei ich nach langem suchen noch keine Lösung gefunden habe. Hier die Regelbeschreibung: Zitat Regeleinstellungen Regelname EXTERN-Subject Schweregrad DoNotAudit Absenderadresse Matching Header Bei Regelverarbeitungsfehlern Ignore Modus Enforce Zeitraum festlegen Ein bestimmter Datumsbereich ist nicht festgelegt Priorität 3 Regelbeschreibung Diese Regel anwenden, wenn Is sent to 'Inside the organization' Gehen Sie wie folgt vor: Prepend the subject with '[EXTERNAL] ' and Set audit severity level to 'Do not audit' Außer wenn sender's address domain portion belongs to any of these domains: 'domains.de' or Includes these words in the message subject or body: '[EXTERNAL]' Die ankommenden E-Mails, welche per Verschlüsselung ankommen, werden nicht direkt angezeigt sondern als nur Anhang. Irgendwie ja klar, da ja in die Mail der External Text hinzugefügt wird und die Verschlüsselung somit nicht mehr gültig ist. Auszug aus msxfaq Zitat Digitale Signatur Wenn die eingehende Mail digital signiert ist und kein Signaturgateway davor die Signatur prüft aber dann entfernt oder neu signiert, dann verändert eine Transport-Regel den Body. Die Signatur wird ungültig und der Anwender sieht eine Fehlermeldung. Nun zur Frage: Wie bekomme ich das hin, das dennoch Signierte Mails "normal" also nicht als Anhang angezeigt werden. Eine eigene Regel erstellen die z.B. SMIME signierte Mails ausschließt, habe ich schon erstellt, aber dennoch wird die verschlüsselte E-Mail nur als Anhang angezeigt. Anbei mal die Regelbeschreibung: Zitat Regeleinstellungen Regelname Signierte E-Mails in Klars***rift Schweregrad Nicht angegeben Absenderadresse Matching Header Bei Regelverarbeitungsfehlern Ignore Modus Enforce Zeitraum festlegen Ein bestimmter Datumsbereich ist nicht festgelegt Priorität 2 Regelbeschreibung Diese Regel anwenden, wenn 'Content-Type' header matches the following patterns: 'multipart/signed' Gehen Sie wie folgt vor: set message header 'X-Processed' with the value 'True' Außer wenn Is message type 'Signed' Hat da schon jemand eine Lösung welche umgesetzt wird? Freue mich auf Antworten. Grüße Michael Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 25. September Melden Teilen Geschrieben 25. September (bearbeitet) vor 5 Minuten schrieb BRIX: Wie bekomme ich das hin, das dennoch Signierte Mails "normal" also nicht als Anhang angezeigt werden. Indem du signierte Mails nicht auf dem Transportweg veränderst. Ist doch ganz einfach. :) Die Wahrscheinlichkeit, dass du externe signierte Mails bekommst _und_ diese Spam oder Phishing sind, ist derzeit relativ gering. Alternativ brauchst du irgendwas, was die digitale Signatur dann "abschneidet", dann kann der User aber nicht mehr erkennen, dass die Mail mal signiert war. Ich bin aber auch kein Freund von diesen "Betreffänderungen". Denn das liest spätestens nach 2 Wochen eh kein User mehr und klickt trotzdem drauf. Es wäre vermutlich besser lesbar für alle, wenn du statt dieser großen weißen Screenshots einfach mal die Transport Regeln per Powershell ausgeben würdest (und hier per Code Tag einfügst). Dann sieht man nämlich ggf. auch die Abarbeitungsreihenfolge. bearbeitet 25. September von NorbertFe 2 Zitieren Link zu diesem Kommentar
mikro 68 Geschrieben 25. September Melden Teilen Geschrieben 25. September Hallo, nimm doch die signierten oder verschlüsselten davon aus. Setz-transportrule "namederRule" -exceptifmessagetypematches signed etc. Mikro 1 Zitieren Link zu diesem Kommentar
BRIX 10 Geschrieben 25. September Autor Melden Teilen Geschrieben 25. September vor 2 Stunden schrieb NorbertFe: Es wäre vermutlich besser lesbar für alle, wenn du statt dieser großen weißen Screenshots einfach mal die Transport Regeln per Powershell ausgeben würdest (und hier per Code Tag einfügst). Dann sieht man nämlich ggf. auch die Abarbeitungsreihenfolge. Danke Norbert, das habe ich gesehen als es schon gepostet war. War so nicht vorgesehen. Damit diese Mails nicht verändert werden, hatte ich ja die zweite Regel erstellt. Nur leider hat die so nicht gegriffen! Hier nochmal die Regel welche ich über Powershell erstellt habe. New-TransportRule -Name "Signierte E-Mails in Klars***rift" -HeaderMatchesMessageHeader "Content-Type" -HeaderMatchesPatterns "multipart/signed" -SetHeaderName "X-Processed" -SetHeaderValue "True" Set-TransportRule -Identity "Signierte E-Mails in Klars***rift" -ExceptIfMessageTypeMatches "Signed" Set-TransportRule -Identity "Signierte E-Mails in Klars***rift" -Priority 2 Wie geschrieben, die greift nicht. :-( vor 2 Stunden schrieb mikro: Hallo, nimm doch die signierten oder verschlüsselten davon aus. Setz-transportrule "namederRule" -exceptifmessagetypematches signed etc. Mikro Hallo Mirco, folgende regel habe ich ja erstellt, diese greift aber nicht. :-( New-TransportRule -Name "Signierte E-Mails in Klars***rift" -HeaderMatchesMessageHeader "Content-Type" -HeaderMatchesPatterns "multipart/signed" -SetHeaderName "X-Processed" -SetHeaderValue "True" Set-TransportRule -Identity "Signierte E-Mails in Klars***rift" -ExceptIfMessageTypeMatches "Signed" Set-TransportRule -Identity "Signierte E-Mails in Klars***rift" -Priority 2 Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 25. September Melden Teilen Geschrieben 25. September Welche Regel ist denn mit Priority 1 da? Zitieren Link zu diesem Kommentar
BRIX 10 Geschrieben 25. September Autor Melden Teilen Geschrieben 25. September vor 3 Minuten schrieb NorbertFe: Welche Regel ist denn mit Priority 1 da? Regel 0 = Phishing Test IP Regel 1 = Phishing Test Domain Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 25. September Melden Teilen Geschrieben 25. September Nochmal zum Verständnis. Du willst alle eingehenden Nachrichten "außer digital signierte" mit einem Betreff versehen, richtig? New-TransportRule -Name "Signierte E-Mails in Klars***rift" -HeaderMatchesMessageHeader "Content-Type" -HeaderMatchesPatterns "multipart/signed" -SetHeaderName "X-Processed" -SetHeaderValue "True" Wenn ich das richtig lese, dann zielt das doch darauf ab, Mails mit dem Header multipart/signed zu identifizieren, richtig? Und im nächsten Schritt schließt du sie von der Verarbeitung wieder aus. Set-TransportRule -Identity "Signierte E-Mails in Klars***rift" -ExceptIfMessageTypeMatches "Signed" Wäre für mich jetzt nicht verwunderlich, dass eben signierte Nachrichten dann von der Regel (vermutlich mit Priority 3 oder später) verarbeitet werden. Evtl. hilft das: https://thoughtsofanidlemind.com/2011/05/12/excluding-disclaimers-for-encrypted-or-signed-messages/ Zitieren Link zu diesem Kommentar
BRIX 10 Geschrieben 25. September Autor Melden Teilen Geschrieben 25. September vor 3 Minuten schrieb NorbertFe: Nochmal zum Verständnis. Du willst alle eingehenden Nachrichten "außer digital signierte" mit einem Betreff versehen, richtig? New-TransportRule -Name "Signierte E-Mails in Klars***rift" -HeaderMatchesMessageHeader "Content-Type" -HeaderMatchesPatterns "multipart/signed" -SetHeaderName "X-Processed" -SetHeaderValue "True" Ja, das ist richtig. vor 5 Minuten schrieb NorbertFe: Wenn ich das richtig lese, dann zielt das doch darauf ab, Mails mit dem Header multipart/signed zu identifizieren, richtig? Und im nächsten Schritt schließt du sie von der Verarbeitung wieder aus. Set-TransportRule -Identity "Signierte E-Mails in Klars***rift" -ExceptIfMessageTypeMatches "Signed" Also habe ich doch etwas in der Regel falsch gemacht! Habe leider nichts dazu im Netz gefunden oder ich habe falsch gesucht! vor 5 Minuten schrieb NorbertFe: Evtl. hilft das: https://thoughtsofanidlemind.com/2011/05/12/excluding-disclaimers-for-encrypted-or-signed-messages/ Das schaue ich mir doch glatt mal an! Danke Dir! Zitieren Link zu diesem Kommentar
BRIX 10 Geschrieben 25. September Autor Melden Teilen Geschrieben 25. September So, nun habe ich mir verschiedene Seiten angesehen und dieses ist nun die Regel, welches für mich schlüssig aussieht. Aber auch hier ist das Problem das diese nicht greift. Das Ganze erstelle ich mittels Powershell. Die Regel wird auch angezeigt und die Priorität steht vor den Extern Regeln. Davor sind lediglich 2 Regeln wegen dem Phishing Test (Awareness Training). 1. Erstellen der neuen Transportregel New-TransportRule -Name "Signierte E-Mails in Klars***rift" ` -HeaderMatchesMessageHeader "Content-Type" ` -HeaderMatchesPatterns "multipart/signed*" ` -SetHeaderName "X-Processed" ` -SetHeaderValue "True" 2. Hinzufügen der Ausnahme für signierte und verschlüsselte Nachrichten Set-TransportRule -Identity "Signierte E-Mails in Klars***rift" ` -ExceptIfMessageTypeMatches "Signed, Encrypted" 3. Festlegen der Priorität Set-TransportRule -Identity "Signierte E-Mails in Klars***rift" -Priority 2 Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 25. September Melden Teilen Geschrieben 25. September Ich versteh dein Konstrukt immer noch nicht. Vielleicht weil ich schwer von Kapee bin, aber wenn deine Regel aus 1. als Match "multipart/signed" nimmt und du gleichzeitig in 2. du dieser Rule sagst, dass ExceptIfMessage Signed ist, dann matcht die nie diese Regel. Mal davon abgesehen, dass "signed, encrypted" zumindest lt. dem Exchange 2010 Artikel so nicht funktioniert, aber das mag in ExO natürlich inzwischen funktionieren. Was kommt denn dann als Prio3 und prio 4 bei dir? Zitieren Link zu diesem Kommentar
BRIX 10 Geschrieben 25. September Autor Melden Teilen Geschrieben 25. September vor 46 Minuten schrieb NorbertFe: Ich versteh dein Konstrukt immer noch nicht. Vielleicht weil ich schwer von Kapee bin, aber wenn deine Regel aus 1. als Match "multipart/signed" nimmt und du gleichzeitig in 2. du dieser Rule sagst, dass ExceptIfMessage Signed ist, dann matcht die nie diese Regel. Mal davon abgesehen, dass "signed, encrypted" zumindest lt. dem Exchange 2010 Artikel so nicht funktioniert, aber das mag in ExO natürlich inzwischen funktionieren. Was kommt denn dann als Prio3 und prio 4 bei dir? Vielleicht kann ich es auch nur schlecht beschreiben. Ich hatte zwischenzeitlich Kontakt mit MS Support welcher mir die Regel so bestätigte. (Ich soll 24 Stunden warten war die Aussage) Entweder bin ich jetzt zu b...d das zu begreifen oder irgendwas läuft da gewaltig unrund. Ich kann es Dir leider noch nicht sagen. Jedenfalls ist es so wie von Dir beschrieben, die Mails kommen immer noch nicht "durch". Prio 3 und 4 sind die Regeln die dann die EXTERNAL anfügen sowie den text in die mail schreiben sollen. Hier mal eine Auflistung der Regeln: Zitat Name Priority ---- -------- Phishing-Test-IP 0 Phishing-Test-Domain 1 Signierte E-Mails in Klars***rift 2 EXTERN-Subject 3 EXTERN-HAFTUNG 4 SAS SafeAttachments 5 SAS SafeLinks 6 Ich gehe jetzt erstmal nach Hause. Bis morgen, vielleicht kommen über Nacht ja die MS Männchen. :-D Melde mich. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 25. September Melden Teilen Geschrieben 25. September vor 4 Stunden schrieb BRIX: Vielleicht kann ich es auch nur schlecht beschreiben. Möglich. Antworte doch mal auf die Frage: Was genau soll diese Regel tun? Zitieren Link zu diesem Kommentar
BRIX 10 Geschrieben 26. September Autor Melden Teilen Geschrieben 26. September vor 10 Stunden schrieb NorbertFe: Möglich. Antworte doch mal auf die Frage: Was genau soll diese Regel tun? Hatte ich das nicht? Also, ich möchte gerne das sämtliche E-Mails die verschlüsselt sind, einfach zugestellt werden. Alle anderen E-Mails bekommen den Zusatz EXTERNAL mit entsprechenden Text. Anbei mal mit dem PS erstellten Übersicht der Regel EXTERN-Subjekt. Befehl aufrufen: Get-TransportRule -Identity "EXTERN-Subjekt" | Format-List * Folgende Ausgabe wir erzeugt: Priority : 3 DlpPolicy : DlpPolicyId : 00000000-0000-0000-0000-000000000000 Comments : CreatedBy : Name LastModifiedBy : Name ManuallyModified : False ActivationDate : ExpiryDate : Description : Wenn die Nachricht folgende Bedingungen erfüllt: Wurde an „Innerhalb der Organisation“ gesendet Folgende Aktionen ausführen: Dem Betreff '[EXTERNAL] ' voranstellen und Schweregrad der Überwachung auf 'Nicht überwachen' festlegen Außer wenn die Nachricht folgende Bedingungen erfüllt: Domänenteil der Absenderadresse gehört zu einer dieser Domänen: 'Domänennamen' oder Diese Wörter im Nachrichtenbetreff oder -text enthält: '[EXTERNAL]' RuleVersion : 15.0.5.2 Size : 891 Conditions : {Microsoft.Exchange.MessagingPolicies.Rules.Tasks.SentToScopePredicate} Exceptions : {Microsoft.Exchange.MessagingPolicies.Rules.Tasks.SenderDomainIsPredicate, Microsoft.Exchange.MessagingPolicies.Rules.Tasks.SubjectOrBodyContainsPredicate} Actions : {Microsoft.Exchange.MessagingPolicies.Rules.Tasks.PrependSubjectAction, Microsoft.Exchange.MessagingPolicies.Rules.Tasks.SetAuditSeverityAction} State : Enabled Mode : Enforce IsRuleConfigurationSupported : True RuleConfigurationUnsupportedReason : RuleErrorAction : Ignore SenderAddressLocation : Header RecipientAddressType : Resolved RuleSubType : None RegexSize : 20 UseLegacyRegex : False From : FromMemberOf : FromScope : SentTo : SentToMemberOf : SentToScope : InOrganization BetweenMemberOf1 : BetweenMemberOf2 : ManagerAddresses : ManagerForEvaluatedUser : SenderManagementRelationship : ADComparisonAttribute : ADComparisonOperator : SenderADAttributeContainsWords : SenderADAttributeMatchesPatterns : RecipientADAttributeContainsWords : RecipientADAttributeMatchesPatterns : AnyOfToHeader : AnyOfToHeaderMemberOf : AnyOfCcHeader : AnyOfCcHeaderMemberOf : AnyOfToCcHeader : AnyOfToCcHeaderMemberOf : HasClassification : HasNoClassification : False SubjectContainsWords : SubjectOrBodyContainsWords : HeaderContainsMessageHeader : HeaderContainsWords : FromAddressContainsWords : SenderDomainIs : RecipientDomainIs : SubjectMatchesPatterns : SubjectOrBodyMatchesPatterns : HeaderMatchesMessageHeader : HeaderMatchesPatterns : FromAddressMatchesPatterns : AttachmentNameMatchesPatterns : AttachmentExtensionMatchesWords : AttachmentPropertyContainsWords : ContentCharacterSetContainsWords : HasSenderOverride : False MessageContainsDataClassifications : MessageContainsAllDataClassifications : SenderIpRanges : SCLOver : AttachmentSizeOver : MessageSizeOver : WithImportance : MessageTypeMatches : RecipientAddressContainsWords : RecipientAddressMatchesPatterns : SenderInRecipientList : RecipientInSenderList : AttachmentContainsWords : AttachmentMatchesPatterns : AttachmentIsUnsupported : False AttachmentProcessingLimitExceeded : False AttachmentHasExecutableContent : False AttachmentIsPasswordProtected : False AnyOfRecipientAddressContainsWords : AnyOfRecipientAddressMatchesPatterns : ExceptIfFrom : ExceptIfFromMemberOf : ExceptIfFromScope : ExceptIfSentTo : ExceptIfSentToMemberOf : ExceptIfSentToScope : ExceptIfBetweenMemberOf1 : ExceptIfBetweenMemberOf2 : ExceptIfManagerAddresses : ExceptIfManagerForEvaluatedUser : ExceptIfSenderManagementRelationship : ExceptIfADComparisonAttribute : ExceptIfADComparisonOperator : ExceptIfSenderADAttributeContainsWords : ExceptIfSenderADAttributeMatchesPatterns : ExceptIfRecipientADAttributeContainsWords : ExceptIfRecipientADAttributeMatchesPatterns : ExceptIfAnyOfToHeader : ExceptIfAnyOfToHeaderMemberOf : ExceptIfAnyOfCcHeader : ExceptIfAnyOfCcHeaderMemberOf : ExceptIfAnyOfToCcHeader : ExceptIfAnyOfToCcHeaderMemberOf : ExceptIfHasClassification : ExceptIfHasNoClassification : False ExceptIfSubjectContainsWords : ExceptIfSubjectOrBodyContainsWords : {[EXTERNAL]} ExceptIfHeaderContainsMessageHeader : ExceptIfHeaderContainsWords : ExceptIfFromAddressContainsWords : ExceptIfSenderDomainIs : {Domänennamen} ExceptIfRecipientDomainIs : ExceptIfSubjectMatchesPatterns : ExceptIfSubjectOrBodyMatchesPatterns : ExceptIfHeaderMatchesMessageHeader : ExceptIfHeaderMatchesPatterns : ExceptIfFromAddressMatchesPatterns : ExceptIfAttachmentNameMatchesPatterns : ExceptIfAttachmentExtensionMatchesWords : ExceptIfAttachmentPropertyContainsWords : ExceptIfContentCharacterSetContainsWords : ExceptIfSCLOver : ExceptIfAttachmentSizeOver : ExceptIfMessageSizeOver : ExceptIfWithImportance : ExceptIfMessageTypeMatches : ExceptIfRecipientAddressContainsWords : ExceptIfRecipientAddressMatchesPatterns : ExceptIfSenderInRecipientList : ExceptIfRecipientInSenderList : ExceptIfAttachmentContainsWords : ExceptIfAttachmentMatchesPatterns : ExceptIfAttachmentIsUnsupported : False ExceptIfAttachmentProcessingLimitExceeded : False ExceptIfAttachmentHasExecutableContent : False ExceptIfAttachmentIsPasswordProtected : False ExceptIfAnyOfRecipientAddressContainsWords : ExceptIfAnyOfRecipientAddressMatchesPatterns : ExceptIfHasSenderOverride : False ExceptIfMessageContainsDataClassifications : ExceptIfMessageContainsAllDataClassifications : ExceptIfSenderIpRanges : PrependSubject : [EXTERNAL] SetAuditSeverity : DoNotAudit ApplyClassification : ApplyHtmlDisclaimerLocation : ApplyHtmlDisclaimerText : ApplyHtmlDisclaimerFallbackAction : ApplyRightsProtectionTemplate : ApplyRightsProtectionCustomizationTemplate : SetSCL : SetHeaderName : SetHeaderValue : RemoveHeader : AddToRecipients : CopyTo : BlindCopyTo : AddManagerAsRecipientType : ModerateMessageByUser : ModerateMessageByManager : False RedirectMessageTo : RejectMessageEnhancedStatusCode : RejectMessageReasonText : DeleteMessage : False Disconnect : False Quarantine : False SmtpRejectMessageRejectText : SmtpRejectMessageRejectStatusCode : LogEventText : StopRuleProcessing : False SenderNotificationType : GenerateIncidentReport : IncidentReportContent : RouteMessageOutboundConnector : RouteMessageOutboundRequireTls : False ApplyOME : False RemoveOME : False RemoveOMEv2 : False RemoveRMSAttachmentEncryption : False GenerateNotification : Identity : EXTERN-Subject Die Abarbeitung erfolgt ja nach Prios. Da Prio 2 ja die Regel mit dem Ausschluss der Verschlüsselung hat sollte bei den Verschlüsselten ja nicht mehr die Prio 3 greifen, oder? Ich hoffe ich konnte jetzt etwas mehr Licht ins Dunkel bringen. Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 26. September Melden Teilen Geschrieben 26. September (bearbeitet) Du definierst eine Regel (Prio 2) , welche auf Multipart/Signed abzielt und exludierst dann in der selben Regel, signed Nachrichten . Und dann wunderst du dich, dass auf diese (ausgeschlossenen Nachrichten) die Prio 3 Regeln angewandt werden. Und zusätzlich müsstest du dann in Prio 3 natürlich die in Prio 2 bearbeiteten Mails ausschließen, damit sie eben nicht dort verarbeitet werden. Evtl. bin ich ja zu blond, um das zu verstehen. bearbeitet 26. September von NorbertFe Zitieren Link zu diesem Kommentar
BRIX 10 Geschrieben 26. September Autor Melden Teilen Geschrieben 26. September vor 8 Stunden schrieb NorbertFe: Du definierst eine Regel (Prio 2) , welche auf Multipart/Signed abzielt und exludierst dann in der selben Regel, signed Nachrichten . Gut, soweit verstanden. Dann wäre die richtige Regel ja eigentlich diese hier? Die weitere Überpürfung wird ja dann nicht mehr durchgeführt und die Mails werden normal zugestellt! New-TransportRule -Name "Ausschließen signierter E-Mails" ` -MessageTypeMatches "Signed, Encrypted" ` -StopRuleProcessing $true Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.