adrian138
Goto Top

Exchange Mailbox für externe Dienste

Hallo zusammen,

Wir betreiben einen onprem Exchange Server 2016. Für einen externen Alarmdienst braucht der Hersteller ein Benutzer aus unserer Domäne um Mails zu versenden.

Wie macht ihr dies jeweils?

erstellt Ihr Usermailbox oder Shared Mailbox?

Vielen Dank und Grüsse,

Content-ID: 6343931982

Url: https://administrator.de/forum/exchange-mailbox-fuer-externe-dienste-6343931982.html

Ausgedruckt am: 25.12.2024 um 18:12 Uhr

erikro
erikro 13.03.2023 um 13:29:23 Uhr
Goto Top
Moin,

gar keine Mailbox. Die Senderadresse ist eine Adresse, die nicht wirklich existiert, z. B. servername@acme.com.

hth

Erik
adrian138
adrian138 13.03.2023 um 14:11:49 Uhr
Goto Top
Zitat von @erikro:

Moin,

gar keine Mailbox. Die Senderadresse ist eine Adresse, die nicht wirklich existiert, z. B. servername@acme.com.

hth

Erik

Hallo Erik, Danke für die schnelle Antwort. Der Dienst versendet Mails zu unserem Mailserver, ich denke der Spamfilter würde diese Mails filtern, da der SPF nicht korrekt wäre.

Grüsse,
erikro
erikro 13.03.2023 um 14:32:21 Uhr
Goto Top
Zitat von @adrian138:

Zitat von @erikro:

Moin,

gar keine Mailbox. Die Senderadresse ist eine Adresse, die nicht wirklich existiert, z. B. servername@acme.com.

hth

Erik

Hallo Erik, Danke für die schnelle Antwort. Der Dienst versendet Mails zu unserem Mailserver, ich denke der Spamfilter würde diese Mails filtern, da der SPF nicht korrekt wäre.

Grüsse,

Was soll denn wohin gesendet werden? Wird von Eurem DL eine Mail von einem seiner Geräte via Internet an Euch gesendet? Oder sendet ein Gerät aus Eurem Netz an Euren Mailserver? Oder sendet das Gerät aus Eurem Netz an den DL?

Das das als Spam erkannt wird, kann man ja verhindern. face-wink
ArnoNymous
ArnoNymous 13.03.2023 um 15:12:41 Uhr
Goto Top
Zitat von @adrian138:

Zitat von @erikro:

Moin,

gar keine Mailbox. Die Senderadresse ist eine Adresse, die nicht wirklich existiert, z. B. servername@acme.com.

hth

Erik

Hallo Erik, Danke für die schnelle Antwort. Der Dienst versendet Mails zu unserem Mailserver, ich denke der Spamfilter würde diese Mails filtern, da der SPF nicht korrekt wäre.

Grüsse,

Moin,

sendet der Dienst AN euren Mailserver oder ÜBER euren Mailserver?

Wenn er AN euren Mailserver eine Mail schickt, ist das ja nichts Ungewöhnliches. Die Frage mit SPF würde dann nur aufkommen, wenn die Absenderadresse mit eurer Domain gesendet wird - aber warum sollte man das machen? Das ist eher ein Thema für externe Newsletter o.ä., aber nicht für Statusmails von irgendwelchen Diensten.
Nun gut, hier müsstest du dann eben den SPF-Record anpassen oder die Whistlist eures Spamfilters anpassen.

Sollte der Dienst ÜBER euren Mailserver versenden, was ich persönlich eher glaube, dann ist die Frage, ob denn hier wirklich ein Postfach benötigt wird. Landen also in diesem Postfach "alarm@domain.tld" irgendwelche Mails oder will man nur Mails mit dieser Adresse an andere Postfächer versenden?
Wenn erstes, dann Postfach einrichten, wenn zweiteres, dann über das Anonyme Relay vom Exchange.

Wäre noch zu klären, was "externer Dienst" in diesem Falle denn bedeutet. Kommt der Dienst aus der DMZ oder von wo?

Gruß
adrian138
adrian138 13.03.2023 um 15:36:38 Uhr
Goto Top
von einem externen anbieter (cloud) sollen alarm mails in die Firma versendet werden.

Die Absenderadresse soll die Firmendomäne @xy.de beiinhalten

Empfänger ist der helpdesk in der firma @xy.de

Vielen Dank
ArnoNymous
ArnoNymous 13.03.2023 um 16:02:52 Uhr
Goto Top
Und die senden aber über einen eigenen SMTP-Server?
Dann Spamfilter anpassen und gut ist.
Dani
Dani 13.03.2023 um 18:12:51 Uhr
Goto Top
Moin,
Die Absenderadresse soll die Firmendomäne @xy.de beiinhalten
Wieso nicht ein Postfach ala alarm@webservice.domain.de anlegen? Dann kann SPF/DKIM sauber gepflegt werden und der Mailserver bzw. hoffentlich der SMTP-Proxy motzt nicht rum. Denn einer Cloud, die ich nicht kontrollieren kann bzw. teilen muss, würde ich 0% vertrauen.


Gruß,
Dani
erikro
erikro 14.03.2023 um 09:02:36 Uhr
Goto Top
Moin,

Zitat von @Dani:
Wieso nicht ein Postfach ala alarm@webservice.domain.de anlegen?

Weil es Geld und Arbeit kostet. Warum sollte ich mir die unnötige Mühe machen, ein PF zu erstellen für eine Adresse, die nur sendet? Braucht kein Mensch.

Dann kann SPF/DKIM sauber gepflegt werden und der Mailserver bzw. hoffentlich der SMTP-Proxy motzt nicht rum.

Das eine hat mit dem anderen nichts zu tun. Hier werden keine Postfächer eingetragen, sondern Server, die berechtigt sind, im Namen der Domain zu senden. Falls hier Eingriffe zu machen sind, muss man das tun, ob die Adresse nun tatsächlich existiert oder auch nicht.

Denn einer Cloud, die ich nicht kontrollieren kann bzw. teilen muss, würde ich 0% vertrauen.

??? Was hat das jetzt mit dem Thema zu tun?

Liebe Grüße

Erik
Dani
Dani 15.03.2023 um 20:47:58 Uhr
Goto Top
@erikro
Weil es Geld und Arbeit kostet. Warum sollte ich mir die unnötige Mühe machen, ein PF zu erstellen für eine Adresse, die nur sendet? Braucht kein Mensch.
Geld und Arbeit als Ausrede lasse ich nicht gelten. Ich möchte eine Funktion X, dann muss ich mir auch über die Ressourcen Gedanken machen und damit planen. Zumal ein Postfach auch den Vorteil hat, dass dies ebenfalls überwacht werden kann. Gerade bei Alarmdiensten kann es durch aus sinnvoll sein, evtl. Rückläufer im Monitoring zu erfassen um dann den Hinweis geben zu können: Hier stimmt was nicht. Zum anderen hast du dann auch eine Sendeverfolgung. Wenn mal wieder das Thema ansteht: Wir haben die Mail verschickt, euer Mailsystem hat diese verschluckt.

??? Was hat das jetzt mit dem Thema zu tun?
Initial steht in der Frage "Für einen externen Alarmdienst". Das interpretiere ich so, dass es sich um eine SasS handelt und es eine Blackbox ist. Da ich nicht weiß was dort geschieht und damit auch keine Kontrollfunktion habe, sehe ich den Dienst als unsicher an. Da werde ich einen Teufel tun und dem Dienstleister an Hand eine IP Whitelist einen Freifahrtschein auszustellen.


Das eine hat mit dem anderen nichts zu tun. Hier werden keine Postfächer eingetragen, sondern Server, die berechtigt sind, im Namen der Domain zu senden.
Nein, es hat etwas mit der Absenderadresse zu tun. Wie gesagt kann ich solchen Diensten eigentlich nicht blind vertrauen. Daher sollte man versuchen, das Schema zu engmaschig wie möglich zu halten. D.h. auch eine SPF/DKIM Prüfung sollte man nicht außen vorlassen. Du stellst deshalb auch nicht den Malware Scanner auf Durchzug, oder?


Gruß,
Dani
erikro
erikro 16.03.2023 um 09:53:16 Uhr
Goto Top
Moin,

Zitat von @Dani:

@erikro
Weil es Geld und Arbeit kostet. Warum sollte ich mir die unnötige Mühe machen, ein PF zu erstellen für eine Adresse, die nur sendet? Braucht kein Mensch.
Geld und Arbeit als Ausrede lasse ich nicht gelten.

Aha. Eure IT und Eure Firma hat also unbegrenzte finanzielle und personelle Mittel. Bei den meisten anderen ist das nicht so. face-wink

Ich möchte eine Funktion X, dann muss ich mir auch über die Ressourcen Gedanken machen und damit planen.

Genau darum geht es, um die Einschätzung, was technisch sinnvoll und notwendig ist. Für rein sendende Adressen habe ich in den letzten 30 Jahren noch kein vernünftiges Argument gehört, das die Einrichtung eines Postfaches sinnvoll wäre.

Zumal ein Postfach auch den Vorteil hat, dass dies ebenfalls überwacht werden kann.

Was willst Du denn da überwachen, wenn da niemals eine Email ankommt? Von der Adresse wird nur gesendet und das auch noch von einer anderen Stelle aus. Was soll denn da auf Deinem Mailserver passieren, was Du überwachen willst?

Gerade bei Alarmdiensten kann es durch aus sinnvoll sein, evtl. Rückläufer im Monitoring zu erfassen um dann den Hinweis geben zu können: Hier stimmt was nicht.

Hä? Was sollen Rückläufer im Monitoring sein?

Zum anderen hast du dann auch eine Sendeverfolgung. Wenn mal wieder das Thema ansteht: Wir haben die Mail verschickt, euer Mailsystem hat diese verschluckt.

Für die Sendungsverfolgung brauche ich kein Postfach. Den beteiligten Servern ist das so was von egal, ob die Sendeadresse existiert oder nicht. Es wird ins Log geschrieben, was angekommen ist und wie damit umgegangen wurde. Das ist vollkommen unabhängig von der tatsächlichen Existenz eines Postfaches für die sendende Adresse. Warum? Weil man für das Senden gar kein Postfach braucht.

??? Was hat das jetzt mit dem Thema zu tun?
Initial steht in der Frage "Für einen externen Alarmdienst". Das interpretiere ich so, dass es sich um eine SasS handelt und es eine Blackbox ist. Da ich nicht weiß was dort geschieht und damit auch keine Kontrollfunktion habe, sehe ich den Dienst als unsicher an. Da werde ich einen Teufel tun und dem Dienstleister an Hand eine IP Whitelist einen Freifahrtschein auszustellen.

Hä? Was hat das mit dem Empfangen einer Mail aus dem Monitoring zu tun? Abgesehen davon, dass da sehr viel "interpretiere ich so" drin ist, ist der Empfang einer reinen Textmail aus einem Monitoring-System eher unkritisch. Und selbst wenn. Wie sollte das Einrichten eines Postfaches für diese Sendeadresse daran etwas ändern?

Das eine hat mit dem anderen nichts zu tun. Hier werden keine Postfächer eingetragen, sondern Server, die berechtigt sind, im Namen der Domain zu senden.
Nein, es hat etwas mit der Absenderadresse zu tun.

Aha, Du trägst also Sendeadressen und keine sendenden Server in Dein SPF ein. Spannend.

Wie gesagt kann ich solchen Diensten eigentlich nicht blind vertrauen. Daher sollte man versuchen, das Schema zu engmaschig wie möglich zu halten. D.h. auch eine SPF/DKIM Prüfung sollte man nicht außen vorlassen.

Hat das irgend jemand gesagt? Nochmal die Frage: Wieso brauchst Du für SPF/DKIM ein für eine rein sendende Adresse ein Postfach?

Du stellst deshalb auch nicht den Malware Scanner auf Durchzug, oder?

Auch das hat mit dem Thema so gar nichts zu tun. Alle eingehenden Mails werden geprüft. Braucht man dafür ein existierendes Postfach? Nein.

Liebe Grüße

Erik
Serie: Exchange, externer Mailversand, Mailbox, externer Mailbenutzer
Exchange Mailbox für externe Dienste10