Exchange - senden im Auftrag von

Mitglied: scar71

scar71 (Level 1) - Jetzt verbinden

06.01.2021 um 10:38 Uhr, 445 Aufrufe, 8 Kommentare, 1 Danke

Hallo zusammen,

wünsche Euch allen ein frohes neues Jahr und einen erfolgreichen Start!

Ich habe eine Frage zur folgender Angelegenheit (Idee vorhanden, aber weiß nicht, ob es der beste Weg wäre)
Es handelt sich um einen Exchange Server 2016 mit aktuellster CU.

Ich habe eine Anwendung X. In dieser Anwendung trage ich die SMTP Einstellungen von einem AD-Benutzer ein (nennen wir den mal "user1", es existiert auch ein Benutzerpostfach dazu). Dieser "user1" soll im Auftrag von allen vorhandenen Benutzerpostfächer E-Mails senden dürfen.

Reicht es, wenn ich bei jedem Userpostfach diesen "user1" unter "senden im Auftrag von" hinzufüge? Oder gibt es einen besseren Weg? Das Problem sehe ich dabei (ja, ich könnte/müsste/würde Skripten), dass bei neuen Postfächern diese Regelung immer angewendet wird. Letztlich soll es für alle User-Postfächer gelten.

Für Ideen und Kritik bin ich offen.
Vielen Dank.
Gruß..scar
Mitglied: goscho
06.01.2021 um 10:46 Uhr
Moin @scar71

was soll es denn bringen, wenn dieser User im Auftrag der anderen senden darf?
Wenn du in der Software diesen Benutzer "User1" einträgst, wird sicherlich auch dieser Benutzer senden und nicht "User1 im Auftrag von Max Mustermann" oder wie macht das die Software?
Bitte warten ..
Mitglied: 147069
147069 (Level 1)
06.01.2021, aktualisiert um 12:19 Uhr
Zitat von scar71:
Das Problem sehe ich dabei (ja, ich könnte/müsste/würde Skripten), dass bei neuen Postfächern diese Regelung immer angewendet wird. Letztlich soll es für alle User-Postfächer gelten.
Och Problem ist das keins, dafür gäbe es z.B. die Powershell ...
Bitte warten ..
Mitglied: scar71
06.01.2021 um 12:50 Uhr
ja, wie erwähnt. Hätte/Könnte ich scripten, du hast es bereits serviert. Hätte ich mit meinen PS Skripten auch noch hingekriegt^^.
Jedoch, vielen lieben Dank für deine Mühe.
Bitte warten ..
Mitglied: 147069
147069 (Level 1)
06.01.2021, aktualisiert um 13:10 Uhr
Überlicherweise macht man das bei solchen Applikationen die im Auftrag für alle User arbeiten mit einem Service-Account über RBAC zugewiesene "ApplicationImpersonation Rechte" am Exchange, der hat dann automatisch alle entsprechenden Rechte in allen oder spezifiziertem Scope, auch in denen die neu hinzukommen.
Configure impersonation
Den Service-Account sollte man aber gut absichern und beschränken sonst baut mach sich damit ein potentielles Einfallstor.
Bitte warten ..
Mitglied: scar71
06.01.2021 um 13:17 Uhr
vielen Dank für das Feedback - das würde ich erstmal bei Seite tuen, mich interessiert es grundsätzlich, ob der beschriebene Weg für ein solches Vorhaben so OK ist?
Vielleicht gibt es noch eine andere Möglichkeit, welche ich noch nicht kenne.
Bitte warten ..
Mitglied: scar71
06.01.2021, aktualisiert um 13:21 Uhr
Danke für das Keyword RBAC! Da war ich aktuell am einlesen - i.d.R. funktionieren Archivierungssysteme ebenso per Impersonation (korrigiere mich,wenn ich falsch liege).
Kannst du für mich zum Verständnis den techn. Ablauf kurz beschreiben, wie es aussehen würde?

Ich habe bereits eins angelegt, hat die Rolle ApplicationImpersonation und ist dem User1 bereits zugewiesen.
Bitte warten ..
Mitglied: 147069
147069 (Level 1)
06.01.2021, aktualisiert um 13:23 Uhr
Zitat von scar71:

Danke für das Keyword RBAC! Da war ich aktuell am einlesen - i.d.R. funktionieren Archivierungssysteme ebenso per Impersonation (korrigiere mich,wenn ich falsch liege).
Richtig.
Kannst du für mich zum Verständnis den techn. Ablauf kurz beschreiben, wie es aussehen würde?

Erstelle neuen RBAC, mit der Rolle Impersonation und weise dort dem user1 (Dienstuser, mit einem vernünftigen Passwort). Wie sehe der weitere Verlauf aus?
Das übliche Prozedere für solche Service-Accounts wie unter anderem das Einschränken der Nutzung des Accounts auf die Maschine welche die Applikation betreibt usw.
Bitte warten ..
Mitglied: scar71
18.01.2021 um 11:43 Uhr
Hallo,
habe nun ApplicationImpersonation getestet, leider funktioniert es noch nicht.
Wenn ich die "send_As" Berechtigung manuell vergebe, klappt es.
Aktuelle Konstellation:

  • AD Security Group (universal) -> Mailsender (ist eine Mail-enabled AD Gruppe, das gleiche Spielchen auch schon mit einem Verteiler getestet)
  • Management Scope erstellt, welche sich auf die AD Gruppe bezieht
  • dann RoleAsignment durchgeführt
Leider erhalte ich die Meldung "550 5.7.60 SMTP; Client does not have permissions to send as this sender"

Wo ist der Fehler?
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Lizenzrecht Microsoft Hilfe
gelöst tAmtAm44Vor 1 TagFrageWindows Server29 Kommentare

Guten Abend liebe Community, ich bin vor kurzen bei uns in der Firma für den Vertrieb unsere MS Lizenzen auserwählt worden. Leider habe ich ...

Datenschutz
Ist Microsoft Office 365 grds. nicht DSGVO-konform?
imebroVor 1 TagFrageDatenschutz43 Kommentare

Hallo, in einem anderen Thread hatte man mir als Alternative zum Analysetool "Tableau" das Programm "PowerBI" empfohlen, welches ich dann auch gekauft habe. Da ...

SAN, NAS, DAS
FritzBox NAS - Hochladen von großen Dateien geht nicht
emeriksVor 1 TagFrageSAN, NAS, DAS15 Kommentare

Hi, (Habe die Kategorie "SAN, NAS, DAS" genommen, obwohl nicht 100% zutreffend.) Ich habe am Wochenende versucht bei einem Kumpel in der Ferne eine ...

Server-Hardware
RPI4 nicht zugreifbar
gelöst winlinVor 18 StundenFrageServer-Hardware27 Kommentare

Hallo Zusammen, hoffe jemand kann mir helfen. Ich habe eine RPI4 gekauft. Habe mir zwei SD Karten genommen und auf einer LibreELEC und auf ...

Windows Server
Wann wird Computer-Richtlinie übernommen via VPN?
CubeHDVor 1 TagFrageWindows Server11 Kommentare

Hallo, ich habe eine Gruppenrichtlinie geändert die Einstellungen am Computer ändert. Genaugenommen habe ich den Punkt "Windows-Updates" etwas geändert, dass die Computer nicht mehr ...

Microsoft
Domänencontroller, Jugendschutz, Active-Directory und Benutzerkonten
TronBetaVersionVor 1 TagFrageMicrosoft8 Kommentare

Grüße an die Community, zur Zeit setze ich mich mit dem Thema "Einrichten von Benutzerkonten" auseinander. Ich habe einen Ein-Benutzer-PC viele Jahre verwendet, aber ...

Soziale Netzwerke
Kein Zugriff auf Facebook-Seite
micsonVor 1 TagFrageSoziale Netzwerke8 Kommentare

Hallo, wir betreiben schon recht lange eine Facebook-Seite. So lange, dass damals für die Erstellung der Seite noch kein Facebook-Profil erforderlich war. Die Seite ...

Windows 10
PDF unterschreiben
ahussainVor 16 StundenFrageWindows 1010 Kommentare

Hallo allerseits, ich suche (für einen Kunden) nach einem Weg, PDFs zu unterschreiben und dann per Mail zu verschicken. Ich sehe zwei Möglichkeiten: PDF ...