Exchange 2013 - Regel (Nachrichtenfluss) Anlagenblockade greift, Ausnahme der Regel clientseitig nicht
Hallo zusammen,
mein erster Beitrag nach der Anmeldung hier und gleich eine Frage
- ich hoffe, ich kann mich später revanchieren.
Wir setzen im Unternehmen einen Exchange 2013 Standard ein, dazu Office 2013 HaB und seit kurzem auch 2016 und 2019. Bisher habe ich für das Blockieren von pot. schädlichen Anhängen ADMX-Files für Office 2013 verwendet, was auch hervorragend funktioniert hat. Ich war mir aber unsicher, ob ich mehrere ADMX-Files für die verschiedenen Office-Versionen einsetzen kann/soll, daher habe ich mich für die Erstellung einer Regel im Exchange Admin Center entschieden (Nachrichtenfluss -> Regel). Ich weiß aufgrund eines Microsoft-Artikels, dass Office 2016 und 2019 intern beide als v16.0 registriert sind und daher die ADMX-Files für Office 2019 auch für die 2016er gelten sollen - aber ich konnte nicht herausfinden, ob es eine gute Idee ist (oder überhaupt funktioniert), mehrere ADMX-Vorlagen parallel einzusetzen.
Ich habe definiert, dass Mails, die Anhänge mit bestimmten Extensionen (z. B. Office-Dateien, exe, zip, etc.) enthalten, geblockt werden und der Absender eine Rückmeldung mit Hinweistext erhält. Ich werde per Mail über solche geblockten Nachrichten informiert und kann ggf. die Absender-Domäne als vertrauenswürdig hinzufügen. Es funktioniert an sich auch wie es soll - aber: Nachrichten von Absender-Domains, die als Ausnahme der Regel unter "vertrauenswürdige Domains" hinterlegt sind, können nun zwar die Nachricht erfolgreich dem Empfänger zustellen, Outlook blockiert den Anhang dennoch.
Als nächstes habe ich daher versucht, gem. Microsoft-Anleitung im Regeditor meines Clients (Win 10 Prof v1909) unter Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security den REG_SZ Eintrag "Level1Remove" zu hinterlegen und habe dort testweise zip eingetragen (jeweils einmal mit und ohne vorangestellten Punkt). Hilft aber nicht, Outlook blockiert weiterhin den Anhang, auch nach Neustart meines Clients.
Dann habe ich alternativ auf dem Domain Controller versucht, eine bestehende Gruppenrichtlinie hierfür zu erweitern: Benutzerkonfiguration\Einstellungen\Windows-Einstellungen\Registrierung - Neues Registrierungselement "Level1Remove" Erstellen für Current User mit den Wertdaten zip. Die Gruppenrichtlinie greift für bestimmte Benutzer und war für den Test ok. gpresult zeigt mir an, dass die Richtlinie bei mir auch angewendet wird. Auch nach einem lokalen gpupdate, reboot und auch nach Wartezeit blockiert Outlook bei mir weiterhin den zip-Anhang von Absendern einer vertrauenswürdigen Domain - allerdings kommt die Nachricht nun immerhin an (wird also nicht mehr direkt abgewiesen).
An der Stelle endet mein Wissen und mir fällt nichts mehr ein, woran es noch liegen kann. Ich tippe darauf, dass mein Outlook eben doch noch eine Einstellung hat, welche sich über die anderen Einstellungen hinwegsetzt. Im Trust Center steht bei Anlagenbehandlung, dass der Sicherheitsmodus durch eine Administratorrichtlinie gesteuert wird. Also bekommt Outlook das ja immerhin mit.
Meine Frage wäre daher, ob jemand noch einen Tip für mich hat.
In diesem Sinne, allen einen schönen Arbeitstag...
VG Jochen
mein erster Beitrag nach der Anmeldung hier und gleich eine Frage
- ich hoffe, ich kann mich später revanchieren.Wir setzen im Unternehmen einen Exchange 2013 Standard ein, dazu Office 2013 HaB und seit kurzem auch 2016 und 2019. Bisher habe ich für das Blockieren von pot. schädlichen Anhängen ADMX-Files für Office 2013 verwendet, was auch hervorragend funktioniert hat. Ich war mir aber unsicher, ob ich mehrere ADMX-Files für die verschiedenen Office-Versionen einsetzen kann/soll, daher habe ich mich für die Erstellung einer Regel im Exchange Admin Center entschieden (Nachrichtenfluss -> Regel). Ich weiß aufgrund eines Microsoft-Artikels, dass Office 2016 und 2019 intern beide als v16.0 registriert sind und daher die ADMX-Files für Office 2019 auch für die 2016er gelten sollen - aber ich konnte nicht herausfinden, ob es eine gute Idee ist (oder überhaupt funktioniert), mehrere ADMX-Vorlagen parallel einzusetzen.
Ich habe definiert, dass Mails, die Anhänge mit bestimmten Extensionen (z. B. Office-Dateien, exe, zip, etc.) enthalten, geblockt werden und der Absender eine Rückmeldung mit Hinweistext erhält. Ich werde per Mail über solche geblockten Nachrichten informiert und kann ggf. die Absender-Domäne als vertrauenswürdig hinzufügen. Es funktioniert an sich auch wie es soll - aber: Nachrichten von Absender-Domains, die als Ausnahme der Regel unter "vertrauenswürdige Domains" hinterlegt sind, können nun zwar die Nachricht erfolgreich dem Empfänger zustellen, Outlook blockiert den Anhang dennoch.
Als nächstes habe ich daher versucht, gem. Microsoft-Anleitung im Regeditor meines Clients (Win 10 Prof v1909) unter Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Security den REG_SZ Eintrag "Level1Remove" zu hinterlegen und habe dort testweise zip eingetragen (jeweils einmal mit und ohne vorangestellten Punkt). Hilft aber nicht, Outlook blockiert weiterhin den Anhang, auch nach Neustart meines Clients.
Dann habe ich alternativ auf dem Domain Controller versucht, eine bestehende Gruppenrichtlinie hierfür zu erweitern: Benutzerkonfiguration\Einstellungen\Windows-Einstellungen\Registrierung - Neues Registrierungselement "Level1Remove" Erstellen für Current User mit den Wertdaten zip. Die Gruppenrichtlinie greift für bestimmte Benutzer und war für den Test ok. gpresult zeigt mir an, dass die Richtlinie bei mir auch angewendet wird. Auch nach einem lokalen gpupdate, reboot und auch nach Wartezeit blockiert Outlook bei mir weiterhin den zip-Anhang von Absendern einer vertrauenswürdigen Domain - allerdings kommt die Nachricht nun immerhin an (wird also nicht mehr direkt abgewiesen).
An der Stelle endet mein Wissen und mir fällt nichts mehr ein, woran es noch liegen kann. Ich tippe darauf, dass mein Outlook eben doch noch eine Einstellung hat, welche sich über die anderen Einstellungen hinwegsetzt. Im Trust Center steht bei Anlagenbehandlung, dass der Sicherheitsmodus durch eine Administratorrichtlinie gesteuert wird. Also bekommt Outlook das ja immerhin mit.
Meine Frage wäre daher, ob jemand noch einen Tip für mich hat.
In diesem Sinne, allen einen schönen Arbeitstag...
VG Jochen
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 611143
Url: https://administrator.de/forum/exchange-2013-regel-nachrichtenfluss-anlagenblockade-greift-ausnahme-der-regel-clientseitig-nicht-611143.html
Ausgedruckt am: 26.04.2025 um 01:04 Uhr
7 Kommentare
Neuester Kommentar
Echt jetzt? Voyager? Wenn dann NCC-1701 kein verdamtes A,B,C,D oder E
NX-01 würde ich auch noch akzeptieren.
🖖
NX-01 würde ich auch noch akzeptieren.
🖖
Moin,
Admx Files kannst Du von der neusten Office Version ins passende sysvol\verzeichnis kopieren, die sind i.d.R. abwärtskompatibel.
Ausnahmen bestätigen die Regel, daher Backup machen.
Ich würde die GPOs, die das blocken entfernen und nur über eine Transportregel arbeiten, dann ggfs. eine Ausnahme definieren für die erwünschten Absender (und hier nur im Notfall die ganze fremde Domain whitelisten). Wenn Du keine Ausnahme als Transportregel aufbauen kannst, dann lieber unerwünschte Anhänge blocken als durchlassen, es hat ja einen Grund warum die unerwünscht sind.
Hinsichlich Office reicht es per GPO die Makros zu deaktiveren, Bilder und Links nicht anzuzeigen etc.
Noch besser kannst Du das mit einer richtigen Mail Appliance zwischen Internet und Exchange regeln.
Gruss
Admx Files kannst Du von der neusten Office Version ins passende sysvol\verzeichnis kopieren, die sind i.d.R. abwärtskompatibel.
Ausnahmen bestätigen die Regel, daher Backup machen.
Ich würde die GPOs, die das blocken entfernen und nur über eine Transportregel arbeiten, dann ggfs. eine Ausnahme definieren für die erwünschten Absender (und hier nur im Notfall die ganze fremde Domain whitelisten). Wenn Du keine Ausnahme als Transportregel aufbauen kannst, dann lieber unerwünschte Anhänge blocken als durchlassen, es hat ja einen Grund warum die unerwünscht sind.
Hinsichlich Office reicht es per GPO die Makros zu deaktiveren, Bilder und Links nicht anzuzeigen etc.
Noch besser kannst Du das mit einer richtigen Mail Appliance zwischen Internet und Exchange regeln.
Gruss
Hallo sabines,
verstehe ich das richtig, dass ich also ADMX-Files für unterschiedliche Office-Versionen (in der Regel - ja ich weiß ;) ) parallel betreiben könnte?
Du hast schon Recht, es wäre viel besser, einzelne Personen statt ganzer Domains zu whitelisten. Ich kann allerdings in der Definierung der Ausnahme der Transportregel nur die im AD vorhandenen User auswählen/hinzufügen. Manche vertrauenswürdigen Absender sind jedoch ggf. auch extern und daher nicht im AD vorhanden.
Im Zweifelsfall finde ich blocken auch besser als durchlassen, aber ich möchte andererseits auch nicht gleich komplett restriktiv vorgehen. Wir könnten auch noch alternativ einen FTP-Server für den Austausch verwenden und solche Anhänge per Mail eben komplett blocken. Eine "weichere" Lösung wäre mir aber lieber.
Ich suche weiter, danke für deinen Beitrag.
VG Jochen
verstehe ich das richtig, dass ich also ADMX-Files für unterschiedliche Office-Versionen (in der Regel - ja ich weiß ;) ) parallel betreiben könnte?
Du hast schon Recht, es wäre viel besser, einzelne Personen statt ganzer Domains zu whitelisten. Ich kann allerdings in der Definierung der Ausnahme der Transportregel nur die im AD vorhandenen User auswählen/hinzufügen. Manche vertrauenswürdigen Absender sind jedoch ggf. auch extern und daher nicht im AD vorhanden.
Im Zweifelsfall finde ich blocken auch besser als durchlassen, aber ich möchte andererseits auch nicht gleich komplett restriktiv vorgehen. Wir könnten auch noch alternativ einen FTP-Server für den Austausch verwenden und solche Anhänge per Mail eben komplett blocken. Eine "weichere" Lösung wäre mir aber lieber.
Ich suche weiter, danke für deinen Beitrag.
VG Jochen
Zitat von @NCC-74656:
verstehe ich das richtig, dass ich also ADMX-Files für unterschiedliche Office-Versionen (in der Regel - ja ich weiß ;) ) parallel betreiben könnte?
verstehe ich das richtig, dass ich also ADMX-Files für unterschiedliche Office-Versionen (in der Regel - ja ich weiß ;) ) parallel betreiben könnte?
Du überschreibst mit den neuen ADMX Vorlagen die vorhandenen, und kannst damit normalerweise verschiedene Office Versionen parallel per GPO administrieren, solange nicht eine "alte" Einstellung aus den neuen Vorlagen entfernt wurde. Deswegen die alten Vorlagen sichern, und testen.
Okay danke für den Hinweis.
Wenn ich das Outlook-Problem gelöst habe, bleibe ich aber bei der Transportregel. Das erscheint mir in Summe besser als die ADMXe.
Wenn ich das Outlook-Problem gelöst habe, bleibe ich aber bei der Transportregel. Das erscheint mir in Summe besser als die ADMXe.
Mein lieber Dr. Bit,
ich bin tatsächlich einer der beiden deutschsprachigen Zuschauer und der festen Überzeugung, wir können koexistieren.
In diesem Sinne - live long and prosper.
ich bin tatsächlich einer der beiden deutschsprachigen Zuschauer und der festen Überzeugung, wir können koexistieren.
In diesem Sinne - live long and prosper.
Zitat von @NCC-74656:
Mein lieber Dr. Bit,
ich bin tatsächlich einer der beiden deutschsprachigen Zuschauer und der festen Überzeugung, wir können koexistieren.
In diesem Sinne - live long and prosper.
Aber der Delta Quadrant ist doch so weit weg. Mein lieber Dr. Bit,
ich bin tatsächlich einer der beiden deutschsprachigen Zuschauer und der festen Überzeugung, wir können koexistieren.
In diesem Sinne - live long and prosper.
Langes Leben und Wohlstand
🖖
