Externe Mail mit internem Absender blocken, aber interne Geräte versenden lassen

1. offizieller Beitrag

    Hallo,


    eigentlich einfache Aufgabenstellung, aber ich steh auf dem Schlauch:


    Ich möchte keine Mails durchlassen, die von Externen Mailservern kommen, aber interne Absendeadressen haben.
    Dazu habe ich eine Transportregel erstellt:
    - Außerhalb der Organisation und Absender entspricht "Mail-Domänenname" -> löschen


    Nun hab ich aber das Problem, dass Devices innerhalb des LANs ebenso als 'Außerhalb der Organisation' angesehen werden, da sie sich nicht authentifizieren (geht bei vielen gar nicht).
    Mit einem weiteren Empfangsconnector kann ich das nicht ändern.


    Wie bekomme ich das richtig gefiltert?

    Gruß
    Kai
    _________________________________
    W2K8R2 + Ex2010SP3

    • Offizieller Beitrag

    Warum willst du das mit einer Transportregel lösen?


    Dann würdest du ja z.B. eine Mail von kopierer @ domain.tld erst einmal annehmen und dann löschen.


    Du musst für extern die Empfängerfilterung aktivieren und nicht existierende User Ablehnen.


    Zudem den SPF setzten.


    ;)

    Empfängerfilterung ist ja aktiviert, nicht existente bringt aber nichts, da eben auch existente als Absendeadresse verwendet werden.


    Mit SPF habe ich mich ehrlich gesagt noch nicht tiefer auseinandergesetzt.

    Gruß
    Kai
    _________________________________
    W2K8R2 + Ex2010SP3

    SPAM-Filter ist zusammen mit Virenscan auf dem Exchange aktiv, schafft das aber nicht.


    Ehrlich gesagt befürchte ich bei SPF aber noch weitere Folgen, da ich bezweifle, dass alle unsere Mailpartner das einhalten (globale Versender).

    Gruß
    Kai
    _________________________________
    W2K8R2 + Ex2010SP3

    • Offizieller Beitrag

    Moin,


    schau mal hier:
    https://technet.microsoft.com/…r=-2147217396#Permissions


    Es könnte ein Versuch wert sein, einen neuen Connector für den externen Eingang zu bauen und dann dem User "Anonym" die Berechtigung ms-Exch-SMTP-Accept-Authoritative-Domain-Sender zu entziehen.



    Habe ich zwar noch nie ausprobiert, aber wenn ich bei mir sehe, dass Anonym standardmäßig die Berechtigung hat, könnte das klappen.



    Geht aber natürlich nur, wenn von außen kein Anweder zum Beispiel mit Thunderbird via SMTP einliefert (bzw. müsste der dann einen anderen Connector bekommen).

    Die Clients melden sich doch eigentlich immer an, Anonym dürfte daher doch nie Authorative Domain einliefern?


    Für Devices kann man dann intern einen eigenen Connector nehmen und den auf die IP-Bereiche festlegen.

    Gruß
    Kai
    _________________________________
    W2K8R2 + Ex2010SP3

    • Offizieller Beitrag

    Ich würde SPF nutzen. Und ja das verhindert genau dein Problem. Mails die von Servern/IPs kommen, die nicht in deinem SPF Record stehen, können dir und auch anderen keine Mails in deinem Namen zustellen. Die "negativen" Begleiterscheinungen halten sich zumindest bei mir und vielen meiner Kunden so sehr in Grenzen, dass es keine Probleme gibt. Wird in meinen Augen immer deutlich übertrieben und für mich zählt dann doch der Schutz meiner Domain mehr, als die Bequemlichkeit von Um-/Weiterleitungen.


    Bye
    Norbert

    • Offizieller Beitrag
    Zitat von NorbertFe

    Wird in meinen Augen immer deutlich übertrieben und für mich zählt dann doch der Schutz meiner Domain mehr, als die Bequemlichkeit von Um-/Weiterleitungen.

    Das hängt massiv von den Benutzern ab und kann IMHO nicht so verallgemeinert werden. Ein Firmenkunde, der eventuell auch noch die private Nutzung untersagt hat, hat damit wenig bis keine Probleme.


    Für die User einer Universität wäre das tödlich. Folglich hat die TU Berlin keinen SPF, die FU nur einen extrem lockeren (faktisch auch fast keinen). Der DFN-Verein, der für sehr viele öffentliche und universitäre Einrichtungen filtert, bewerte SPF im Standard auch nur und filtert nicht danach. Den Filter muss man erst explizit einschalten lassen.


    Bei uns gab es die ersten Probleme zwei Stunden nach Aktivierung durch eine falsch konfigurierte Mail-Verteilerliste bei einem Projektpartner. Und dann wurde entschieden, dass hierauf keine Rücksicht genommen wird.