Exchange 2013 - Regel (Nachrichtenfluss) Anlagenblockade greift, Ausnahme der Regel clientseitig nicht

Mitglied: NCC-74656

NCC-74656 (Level 1) - Jetzt verbinden

08.10.2020 um 09:36 Uhr, 161 Aufrufe, 7 Kommentare

Hallo zusammen,

mein erster Beitrag nach der Anmeldung hier und gleich eine Frage - ich hoffe, ich kann mich später revanchieren.

Wir setzen im Unternehmen einen Exchange 2013 Standard ein, dazu Office 2013 HaB und seit kurzem auch 2016 und 2019. Bisher habe ich für das Blockieren von pot. schädlichen Anhängen ADMX-Files für Office 2013 verwendet, was auch hervorragend funktioniert hat. Ich war mir aber unsicher, ob ich mehrere ADMX-Files für die verschiedenen Office-Versionen einsetzen kann/soll, daher habe ich mich für die Erstellung einer Regel im Exchange Admin Center entschieden (Nachrichtenfluss -> Regel). Ich weiß aufgrund eines Microsoft-Artikels, dass Office 2016 und 2019 intern beide als v16.0 registriert sind und daher die ADMX-Files für Office 2019 auch für die 2016er gelten sollen - aber ich konnte nicht herausfinden, ob es eine gute Idee ist (oder überhaupt funktioniert), mehrere ADMX-Vorlagen parallel einzusetzen.

Ich habe definiert, dass Mails, die Anhänge mit bestimmten Extensionen (z. B. Office-Dateien, exe, zip, etc.) enthalten, geblockt werden und der Absender eine Rückmeldung mit Hinweistext erhält. Ich werde per Mail über solche geblockten Nachrichten informiert und kann ggf. die Absender-Domäne als vertrauenswürdig hinzufügen. Es funktioniert an sich auch wie es soll - aber: Nachrichten von Absender-Domains, die als Ausnahme der Regel unter "vertrauenswürdige Domains" hinterlegt sind, können nun zwar die Nachricht erfolgreich dem Empfänger zustellen, Outlook blockiert den Anhang dennoch.

Als nächstes habe ich daher versucht, gem. Microsoft-Anleitung im Regeditor meines Clients (Win 10 Prof v1909) unter Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security den REG_SZ Eintrag "Level1Remove" zu hinterlegen und habe dort testweise zip eingetragen (jeweils einmal mit und ohne vorangestellten Punkt). Hilft aber nicht, Outlook blockiert weiterhin den Anhang, auch nach Neustart meines Clients.

Dann habe ich alternativ auf dem Domain Controller versucht, eine bestehende Gruppenrichtlinie hierfür zu erweitern: Benutzerkonfiguration\Einstellungen\Windows-Einstellungen\Registrierung - Neues Registrierungselement "Level1Remove" Erstellen für Current User mit den Wertdaten zip. Die Gruppenrichtlinie greift für bestimmte Benutzer und war für den Test ok. gpresult zeigt mir an, dass die Richtlinie bei mir auch angewendet wird. Auch nach einem lokalen gpupdate, reboot und auch nach Wartezeit blockiert Outlook bei mir weiterhin den zip-Anhang von Absendern einer vertrauenswürdigen Domain - allerdings kommt die Nachricht nun immerhin an (wird also nicht mehr direkt abgewiesen).

An der Stelle endet mein Wissen und mir fällt nichts mehr ein, woran es noch liegen kann. Ich tippe darauf, dass mein Outlook eben doch noch eine Einstellung hat, welche sich über die anderen Einstellungen hinwegsetzt. Im Trust Center steht bei Anlagenbehandlung, dass der Sicherheitsmodus durch eine Administratorrichtlinie gesteuert wird. Also bekommt Outlook das ja immerhin mit.

Meine Frage wäre daher, ob jemand noch einen Tip für mich hat.

In diesem Sinne, allen einen schönen Arbeitstag...

VG Jochen
Mitglied: Dr.Bit
08.10.2020, aktualisiert um 10:07 Uhr
Echt jetzt? Voyager? Wenn dann NCC-1701 kein verdamtes A,B,C,D oder E
NX-01 würde ich auch noch akzeptieren.

🖖
Bitte warten ..
Mitglied: sabines
08.10.2020 um 11:39 Uhr
Moin,

Admx Files kannst Du von der neusten Office Version ins passende sysvol\verzeichnis kopieren, die sind i.d.R. abwärtskompatibel.
Ausnahmen bestätigen die Regel, daher Backup machen.

Ich würde die GPOs, die das blocken entfernen und nur über eine Transportregel arbeiten, dann ggfs. eine Ausnahme definieren für die erwünschten Absender (und hier nur im Notfall die ganze fremde Domain whitelisten). Wenn Du keine Ausnahme als Transportregel aufbauen kannst, dann lieber unerwünschte Anhänge blocken als durchlassen, es hat ja einen Grund warum die unerwünscht sind.

Hinsichlich Office reicht es per GPO die Makros zu deaktiveren, Bilder und Links nicht anzuzeigen etc.

Noch besser kannst Du das mit einer richtigen Mail Appliance zwischen Internet und Exchange regeln.

Gruss
Bitte warten ..
Mitglied: NCC-74656
08.10.2020 um 14:06 Uhr
Hallo sabines,

verstehe ich das richtig, dass ich also ADMX-Files für unterschiedliche Office-Versionen (in der Regel - ja ich weiß ;) ) parallel betreiben könnte?

Du hast schon Recht, es wäre viel besser, einzelne Personen statt ganzer Domains zu whitelisten. Ich kann allerdings in der Definierung der Ausnahme der Transportregel nur die im AD vorhandenen User auswählen/hinzufügen. Manche vertrauenswürdigen Absender sind jedoch ggf. auch extern und daher nicht im AD vorhanden.

Im Zweifelsfall finde ich blocken auch besser als durchlassen, aber ich möchte andererseits auch nicht gleich komplett restriktiv vorgehen. Wir könnten auch noch alternativ einen FTP-Server für den Austausch verwenden und solche Anhänge per Mail eben komplett blocken. Eine "weichere" Lösung wäre mir aber lieber.

Ich suche weiter, danke für deinen Beitrag.

VG Jochen
Bitte warten ..
Mitglied: sabines
11.10.2020 um 12:22 Uhr
Zitat von NCC-74656:

verstehe ich das richtig, dass ich also ADMX-Files für unterschiedliche Office-Versionen (in der Regel - ja ich weiß ;) ) parallel betreiben könnte?

Du überschreibst mit den neuen ADMX Vorlagen die vorhandenen, und kannst damit normalerweise verschiedene Office Versionen parallel per GPO administrieren, solange nicht eine "alte" Einstellung aus den neuen Vorlagen entfernt wurde. Deswegen die alten Vorlagen sichern, und testen.
Bitte warten ..
Mitglied: NCC-74656
13.10.2020 um 09:37 Uhr
Okay danke für den Hinweis.

Wenn ich das Outlook-Problem gelöst habe, bleibe ich aber bei der Transportregel. Das erscheint mir in Summe besser als die ADMXe.
Bitte warten ..
Mitglied: NCC-74656
13.10.2020 um 09:41 Uhr
Mein lieber Dr. Bit,
ich bin tatsächlich einer der beiden deutschsprachigen Zuschauer und der festen Überzeugung, wir können koexistieren.
In diesem Sinne - live long and prosper.
Bitte warten ..
Mitglied: Dr.Bit
13.10.2020 um 09:48 Uhr
Zitat von NCC-74656:

Mein lieber Dr. Bit,
ich bin tatsächlich einer der beiden deutschsprachigen Zuschauer und der festen Überzeugung, wir können koexistieren.
In diesem Sinne - live long and prosper.
Aber der Delta Quadrant ist doch so weit weg.
Langes Leben und Wohlstand

🖖
Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Unbefugtes Öffnen zählt nicht als Einbruch
certifiedit.netInformationSicherheit19 Kommentare

Moin, wenn wir das auf die IT übertragen dürfte kaum ein Einbruch etc unter Einbruch zu definieren sein, immerhin ...

Ausbildung
MCSA Kurs Server 2016 mit VM Jobchancen
gelöst IntershipFrageAusbildung17 Kommentare

Hallo Leute, dies ist eine dringende Frage für mich, da ich gerne einen MCSA Kurs belegen möchte. Ich brauche ...

DSL, VDSL
Glasfaser Neuvertrag möglich, bei bereits vorhandenem alten Telefonvertrag im Haus?
gelöst nioletFrageDSL, VDSL15 Kommentare

Hi Könnte eigentlich im gleichen Haus ein neuer Glasfaservertrag abgeschlossen werden, sagen wir mal auf Stockwerk 0, wenn bereits ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01FrageExchange Server15 Kommentare

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

Peripheriegeräte
Kaufberatung 32" Monitor mit WQHD Auflösung
gelöst GrueneSosseMitSpeckFragePeripheriegeräte11 Kommentare

Ich wollt mir einen 32" Monitor als 16:9 zulegen, 2560x1440 Pixel (WQHD). muß kein Ultrawide mit 21:9 und curved ...

Netzwerke
SonicWall VPN - Windows top - Mac flopp
MazenauerFrageNetzwerke11 Kommentare

Grüezi und hallo Vorgeschichte, das Übliche: Marketingfirma. Corona. Homeoffice. Soweit so normal, nur scheinen die iMacs irgendein Problem mit ...

Ähnliche Inhalte
Exchange Server

Nachrichtenfluss Regel bringt AnyOfToHeaderMemberof nicht kompatibel

merkelFrageExchange Server5 Kommentare

Hallo, ich möchte eine Regel einrichten. Ich trage ein "Diese Regel anwenden, wenn" Der Absender ist "hier trage ich ...

Exchange Server

Exchange 2016 Nachrichtenfluss Regel wird nach 2 Tagen nicht mehr angewandt

gelöst XartorFrageExchange Server2 Kommentare

Hallo zusammen, ich habe ein Problem mit Exchange 2016. Ich habe 2 Regeln konfiguriert welche alle E-Mails welche im ...

Outlook & Mail

Outlook 2013 Kalendereintrag per Regel akzeptieren und löschen

gelöst speedy132FrageOutlook & Mail27 Kommentare

Hallo, ich möchte das bestimmte Kalendereinträge automatisiert z. B. durch eine Regel akzeptiert werden. Zur Erklärung: Wir haben folgendes ...

Exchange Server

Wie oft synced die AutoReplyConfiguration Clientseitig?

gelöst ChrisDynamiteFrageExchange Server1 Kommentar

Hallo, wir stellen hier gerade fest, dass beim Einschalten der Out-Of-Office Funktionalität unter Outlook 2016 in Kombination mit Exchange ...

Exchange Server

Nachrichtenfluss - Zustellungsberichte von externen E-Mails

gelöst leon123FrageExchange Server4 Kommentare

Hallo zusammen, ich beschäftige mich gerade näher mit der Nachrichtenverfolgung. User sagen immer wieder, Sie hätten E-Mails angeblich nicht ...

Exchange Server

Export von Exchange-Mailboxen serverseitig vs. clientseitig

gelöst DerWoWussteFrageExchange Server10 Kommentare

Moin Kollegen. Mittels New-MailboxExportRequest kann ich auf Exchange 2016 (on premises, CU 15 + Updates ist installiert) ja Mailboxen ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT