Split Domain Routing & Autodiscover

[dormi98 16]

Hallo zusammen!

 

Ich habe einen hier einen Postfix Mailserver mit ca 200 Mailboxen für die Domain xyz.com
Nun sollen einige dieser Mailboxen zu MS365 verschoben werden, der Postfix Server soll aber erhalten bleiben. da nicht für alle eine MS365 Lizenz gekauft werden soll.

 

Was den Mailflow betrifft sollte die Sache kein Problem sein. In MS356 habe ich einen Connector angelegt, sodass Mails an "nicht 365 Adressen" zum Postfix Server geroutet werden. Im Postfix erstelle ich einfach für die paar wenigen zu 365 migrierten Mailboxen eine Umleitung auf die onmicrosoft Adresse der jeweiligen Mailbox.

Einzig das Thema Autodiscover ist mir noch nicht ganz klar.

Aktuell gibt es keinen autodiscover Eintrag. Outlook findet den Postfix Server über guesssmart. (er heisst einfach imap.xyz.com)

Wie sieht die Sache aber aus wenn ich einen autodiscover Eintrag im DNS anlege?

Für die Benutzer bei MS356 natürlich kein Problem.

Aber Outlook führt ja immer wieder ein Autodiscover durch. Wird Outlook dann bei den Benutzern die am Postfix Server sind versuchen eine Mailbox bei MS365 zu finden?

 

Outlook Versionen im Einsatz: 2019, 2021 und 356

 

besten Dank schon mal.

[NorbertFe 2.193]

vor einer Stunde schrieb dormi98:

Für die Benutzer bei MS356 natürlich kein Problem.

Aber Outlook führt ja immer wieder ein Autodiscover durch. Wird Outlook dann bei den Benutzern die am Postfix Server sind versuchen eine Mailbox bei MS365 zu finden?

Mal davon abgesehen dass das natürlich perfekte Bastelei ist, musst du eben für O365 Nutzer andere Gruppenrichtlinien verteilen als für die Postfix User und jeweils die nicht zu verwendenden Autodiscover Mechanismen abschalten.

[dormi98 16]

Leider habe ich bei der überwiegenden Mehrheit der Benutzer des Postfix Servers keine Möglichkeiten etwas mit Gruppenrichtlinien zu machen.  Bei den meisten handelt es sich um Privatgeräte. Die Personen sind weit verstreut.

Die Frage ist ja eigentlich nur ob ein nun hinzukommender autodiscover Eintrag die Outlooks dieser Personen durcheinander bringt.

Eventuell neu hinzukommende Personen oder Geräte wären fürs erste mal nicht so tragisch. Ein Konto in so einem Fall manuell einrichten zu müssen wäre akzeptabel. 

 

Ich bin aber auch offen für andere, schlauere Lösunge 

 

[NorbertFe 2.193]

vor 5 Minuten schrieb dormi98:

Die Personen sind weit verstreut.

Tja, und die arbeiten dann alle mit Outlook? Im Zweifel musst du ihnen halt ne reg Datei geben. 😁 

vor 6 Minuten schrieb dormi98:

Die Frage ist ja eigentlich nur ob ein nun hinzukommender autodiscover Eintrag die Outlooks dieser Personen durcheinander bringt.

Wenn die per imap hantieren wird das Konto danach normalerweise nicht mehr geändert. Aber du hast halt evtl. bei neuen Outlook Profilen dann ein Problem.

vor 7 Minuten schrieb dormi98:

Ich bin aber auch offen für andere, schlauere Lösunge 

Mobile device Management Lösungen aus der Cloud. 😆

[testperson 1.785]

Hi,

 

in der Theorie könnte das bspw. mit einem Netscaler / Reverse Proxy machbar sein. Ein "wenig" vereinfacht: In die XML reinschauen, prüfen wohin der User muss, Antwort umschreiben oder ggfs. (http) redirect zum richtigen Server.

 

Gruß

Jan

[dormi98 16]

Zitat

Tja, und die arbeiten dann alle mit Outlook?

Nicht alle, aber ein großer Teil.
 

Am 19.2.2025 um 22:29 schrieb NorbertFe:

Wenn die per imap hantieren wird das Konto danach normalerweise nicht mehr geändert. Aber du hast halt evtl. bei neuen Outlook Profilen dann ein Problem.

Mobile device Management Lösungen aus der Cloud. 😆

Damit kann ich wohl leben. Neue Benutzer werden auf dem Postfix Server kaum dazu kommen und wenn jemand sein Gerät wechselt muss er halt die Serverdaten manuell eingeben.

 

vor 14 Stunden schrieb testperson:

in der Theorie könnte das bspw. mit einem Netscaler / Reverse Proxy machbar sein. Ein "wenig" vereinfacht: In die XML reinschauen, prüfen wohin der User muss, Antwort umschreiben oder ggfs. (http) redirect zum richtigen Server.

coole Idee, aber ich glaub das wird es wohl nicht werden. Nachdem alle die Mails auch von außer Haus abrufen, müsste ich wohl noch ein always on VPN implementieren.

 

 

Ich werde am Wochenende mal testweise einen autodiscover Eintrag anlegen und mir ansehen wie sich Outlook verhält. 

 

Vielen Dank schon mal für eure Inputs, ich melde mich dann mit den Testergebnissen. 

[testperson 1.785]

vor 9 Stunden schrieb dormi98:

coole Idee, aber ich glaub das wird es wohl nicht werden. Nachdem alle die Mails auch von außer Haus abrufen, müsste ich wohl noch ein always on VPN implementieren.

 

Nein, so ein Netscaler / Reverse Proxy / Application Delivery Controller kann durchaus direkt im WAN hängen. Würde in diesem Szenario halt Sinn machen. :)

[NorbertFe 2.193]

Dürfte wohl in vielen Szenarien auch so sein. Hat ja nen Grund warum die weit oben stehen wenn es um angriffvektoren geht. ;) 

[dormi98 16]

So wie versprochen habe ich etwas getestet. 

 

Die Sache ist einfacher als erwartet. 

 

Ich habe mal einen autodiscover CNAM Eintrag auf autodiscover.outlook.com gesetzt.

Damit lassen sich klarerweise Outlookprofile einrichten, wenn die Mailbox bei MS365 sind. 

Bestehende Outlook IMAP Konten interessiert das nicht. 

Überraschender Weise ist es sogar möglich neue IMAP Konten anzulegen. 

Offensichtlich fragt Outlook beim Autodiscover also immer sowohl guessmart als auch autodiscover Eintrag ab und verbindet das Konto dorthin wo die Authentifizierung möglich ist. 

Von da her also also alles bestens.