V11.5 - MAILRELAY - E-Mail-Adresse überprüfen: LDAP
Moderator: Securepoint
V11.5 - MAILRELAY - E-Mail-Adresse überprüfen: LDAP
Seit Update auf V11.5 funktioniert die Überprüfung der E-Mail-Adressen via LDAP nicht mehr wie gewünscht. Die E-Mails für Öffentliche Ordner und Verteilerlisten werden mit Fehlermeldung "unknown mailbox" abgewiesen. Bei den Benutzerpostfächern gibt es keine Probleme.
PS
Wenn ich als LDAP-Filter "(|(objectcategory=group)(sAMAccountType=805306368))" statt nur "(sAMAccountType=805306368)" verwende, scheint es auch mit den Verteilerlisten und Öffentlichen Ordnern zu funktioniren. Hab ich noch was vergessen oder übersehen? Oder sollte ich besser gleich "(proxyAddresses=SMTP:*)" als LDAP-Filter verwenden?
PS
Wenn ich als LDAP-Filter "(|(objectcategory=group)(sAMAccountType=805306368))" statt nur "(sAMAccountType=805306368)" verwende, scheint es auch mit den Verteilerlisten und Öffentlichen Ordnern zu funktioniren. Hab ich noch was vergessen oder übersehen? Oder sollte ich besser gleich "(proxyAddresses=SMTP:*)" als LDAP-Filter verwenden?
-
- Securepoint
- Beiträge: 170
- Registriert: Mo 17.11.2008, 21:38
- Kontaktdaten:
Hallo,
danke für die Rückmeldung.
Wir prüfen das Verhalten gerade.
danke für die Rückmeldung.
Wir prüfen das Verhalten gerade.
Guten Morgen,
gibt es neue Erkenntnisse in der Sache?
Momentan verwende ich "(|(proxyAddresses=SMTP:*)(sAMAccountType=805306368))" als Filter, wobei ich denke, dass der zweite Teil sicher überflüssig ist. Wird diese LDAP-Abfrage auch noch zu etwas anderem als der Suche nach E-Mail-Adressen verwendet?
Ich weiß nicht, ob es damit in Zusammenhang steht, aber es kommen keine Spam-Reports bei den Usern an.
Mit freundlichem
Franz Grimm
gibt es neue Erkenntnisse in der Sache?
Momentan verwende ich "(|(proxyAddresses=SMTP:*)(sAMAccountType=805306368))" als Filter, wobei ich denke, dass der zweite Teil sicher überflüssig ist. Wird diese LDAP-Abfrage auch noch zu etwas anderem als der Suche nach E-Mail-Adressen verwendet?
Ich weiß nicht, ob es damit in Zusammenhang steht, aber es kommen keine Spam-Reports bei den Usern an.
Mit freundlichem
Franz Grimm
-
- Securepoint
- Beiträge: 170
- Registriert: Mo 17.11.2008, 21:38
- Kontaktdaten:
Hallo,
ab der 11.5.1 werden wir folgenden LDAP-Filter standardmäßig setzen:
805306368 -> Benutzer
268435456 -> Gruppe
268435457 -> Gruppe (Keine Sicherheitsgruppe)
Das Feld Mail-Attribute muss bei einer Verbindung zu einem AD nicht beachtet werden.
Es wird automatisch das Attribut proxyAddresses ausgewertet.
Damit der Spamreport versendet wird benötigen die AD-User auch das Recht Spamreport.
Bitte prüfen Sie ob alle AD-User über das entsprechende Recht verfügen.
Beste Grüße
ab der 11.5.1 werden wir folgenden LDAP-Filter standardmäßig setzen:
Code: Alles auswählen
(|(sAMAccountType=805306368)(sAMAccountType=268435456)(saMAccounttype=268435457))
268435456 -> Gruppe
268435457 -> Gruppe (Keine Sicherheitsgruppe)
Das Feld Mail-Attribute muss bei einer Verbindung zu einem AD nicht beachtet werden.
Es wird automatisch das Attribut proxyAddresses ausgewertet.
Damit der Spamreport versendet wird benötigen die AD-User auch das Recht Spamreport.
Bitte prüfen Sie ob alle AD-User über das entsprechende Recht verfügen.
Beste Grüße
Guten Morgen Herr Beyer,
dann fehlen noch die "E-Mail-aktivierten öffentlichen Ordner"!
Mit dem von Ihnen vorgeschlagenen Filter werden E-Mails an diese Ordner abgewiesen.
Im aktuellen AD gibt es die folgenden Empfängerobjekte, die eventuell bei der Filterung berücksichtigt werden müssten, wobei einige z.B. zu den Benutzerobjekten gehören:
DistributionGroup, DynamicDistributionGroup, Mailbox, MailUser, MailContact, MailPublicFolder, MicrosoftExchangeRecipient, SystemAttendantMailbox
Mit freundlichem Gruß
Franz Grimm
PS
Dank Ihrem Hinweis funktioniert die Zustellung der Reports. In der Wiki ist die Sache ja auch beschrieben. Asche auf mein Haupt!
dann fehlen noch die "E-Mail-aktivierten öffentlichen Ordner"!
Mit dem von Ihnen vorgeschlagenen Filter werden E-Mails an diese Ordner abgewiesen.
Im aktuellen AD gibt es die folgenden Empfängerobjekte, die eventuell bei der Filterung berücksichtigt werden müssten, wobei einige z.B. zu den Benutzerobjekten gehören:
DistributionGroup, DynamicDistributionGroup, Mailbox, MailUser, MailContact, MailPublicFolder, MicrosoftExchangeRecipient, SystemAttendantMailbox
Mit freundlichem Gruß
Franz Grimm
PS
Dank Ihrem Hinweis funktioniert die Zustellung der Reports. In der Wiki ist die Sache ja auch beschrieben. Asche auf mein Haupt!
Hallo Herr Beyer,
mit dem oben genannten Filter, der seit V11.5.1 standardmäßig voreingestellt ist, werden E-Mail für "E-Mail-aktivierten öffentlichen Ordner" abgewiesen!
Diese "E-Mail-aktivierten öffentlichen Ordner" setzen wir oft bei Kunden ein.
Gibt es dazu neue Erkenntnisse? Momentan verwende ich weiterhin "proxyAddresses=SMTP:*" im LDAP-Filter.
Mit freundlichem Gruß
Franz Grimm
mit dem oben genannten Filter, der seit V11.5.1 standardmäßig voreingestellt ist, werden E-Mail für "E-Mail-aktivierten öffentlichen Ordner" abgewiesen!
Diese "E-Mail-aktivierten öffentlichen Ordner" setzen wir oft bei Kunden ein.
Gibt es dazu neue Erkenntnisse? Momentan verwende ich weiterhin "proxyAddresses=SMTP:*" im LDAP-Filter.
Mit freundlichem Gruß
Franz Grimm
-
- Securepoint
- Beiträge: 170
- Registriert: Mo 17.11.2008, 21:38
- Kontaktdaten:
Hallo Herr Grimm,
welche Exchange Version setzen Sie ein?
Öffentliche Ordner sollte eigentlich deaktivierte Benutzer sein.
Und darauf passt der Filter (sAMAccountType=805306368).
Beste Grüße
welche Exchange Version setzen Sie ein?
Öffentliche Ordner sollte eigentlich deaktivierte Benutzer sein.
Und darauf passt der Filter (sAMAccountType=805306368).
Beste Grüße
Hallo Herr Beyer,
getestet hab ich das mit Exchange 2010, aber 2007 und 2013 verhalten sich sicher ähnlich!
Öffentliche Ordner ("MailPublicFolder") sind weder Gruppen noch Benutzer, sie sind eigenständige Objekte.
Mit freundlichem Gruß
Franz Grimm
getestet hab ich das mit Exchange 2010, aber 2007 und 2013 verhalten sich sicher ähnlich!
Öffentliche Ordner ("MailPublicFolder") sind weder Gruppen noch Benutzer, sie sind eigenständige Objekte.
Mit freundlichem Gruß
Franz Grimm
Gibt es schon Neuigkeiten in der Sache?
Mit freundlichem Gruß
Franz Grimm
Mit freundlichem Gruß
Franz Grimm
Hallo,
ich habe hierzu eine Grundsätzliche Frage.
Bei einem Kunde habe ich die LDAP Anbindung eingerichtet. Trotzdem werden alle E-Mails an den Exchange Server (2010) durchgeschoben. Auch für Empfänger die nicht existieren.
Der Exchange Server sendet dann immer einen NDR, ist so eingestellt.
Ich dachte mit der Überprüfung via LDAP werden E-Mails gar nicht erst zugestellt, wenn die Empfängeradresse nicht existiert.
Die Option E-Mail-Adresse überprüfen: SMTP führt zum selben Ergebnis.
Irgendwelche Tipps woran das liegen könnte?
ich habe hierzu eine Grundsätzliche Frage.
Bei einem Kunde habe ich die LDAP Anbindung eingerichtet. Trotzdem werden alle E-Mails an den Exchange Server (2010) durchgeschoben. Auch für Empfänger die nicht existieren.
Der Exchange Server sendet dann immer einen NDR, ist so eingestellt.
Ich dachte mit der Überprüfung via LDAP werden E-Mails gar nicht erst zugestellt, wenn die Empfängeradresse nicht existiert.
Die Option E-Mail-Adresse überprüfen: SMTP führt zum selben Ergebnis.
Irgendwelche Tipps woran das liegen könnte?
Hallo Erik,
da die E-Mails auf SPAM und Viren geprüft werden, gehe ich davon aus, dass die E-Mails auch über das Relay gehen.
Die Regeln auf der UTM lauten: (und auch hier erfolgt keine direkte Zustellung über Portweiterleitung)
IN: Internet-->External-Interface-->smtp (accept)
Out: Exchange --> Internal-Interface --> smtp (accept)
Eine ankommende E-Mail wird wie folgt verarbeitet:
Absender --> NichtExistierenderEmpfänger --> Check SPAM / Virus --> Markierung: Akzeptiert, Zugestellt --> Weiterleitung an Exchange
Eigentlich stelle ich mir das so vor:
Absender --> NichtExistierenderEmpfänger --> E-Mail verwerfen
Haben Sie noch eine Idee?
Mit freundlichem Gruß
Oliver
da die E-Mails auf SPAM und Viren geprüft werden, gehe ich davon aus, dass die E-Mails auch über das Relay gehen.
Die Regeln auf der UTM lauten: (und auch hier erfolgt keine direkte Zustellung über Portweiterleitung)
IN: Internet-->External-Interface-->smtp (accept)
Out: Exchange --> Internal-Interface --> smtp (accept)
Eine ankommende E-Mail wird wie folgt verarbeitet:
Absender --> NichtExistierenderEmpfänger --> Check SPAM / Virus --> Markierung: Akzeptiert, Zugestellt --> Weiterleitung an Exchange
Eigentlich stelle ich mir das so vor:
Absender --> NichtExistierenderEmpfänger --> E-Mail verwerfen
Haben Sie noch eine Idee?
Mit freundlichem Gruß
Oliver
Da das von Ihnen beschriebene Verhalten gänzlich dem widerspricht, was da eigentlich passieren sollte, habe ich hier keine weitere Idee. Bitte melden Sie sich einmal telefonisch im Support, sodass wir mal auf die Appliance schauen können.
Guten Morgen liebes Supportteam!
Ich muss nochmal die Eingangsfrage aufgreifen: Welcher LDAP-Filter muss verwendet werden, damit auch E-Mails an E-Mail-aktivierte öffentliche Ordner (MailPublicFolder) akzeptiert werden?
Mit dem von Christian Beyer vorgeschlagenen LDAP-Filter "(|(sAMAccountType=805306368)(sAMAccountType=268435456)(saMAccounttype=268435457))" funktioniert das leider nicht. Die E-Mails an "MailPublicFolder" werden abgewiesen.
Momentan behelfe ich mich damit, "(proxyAddresses=SMTP:*)" als LDAP-Filter zu verwenden.
Gibt es dazu neue Erkenntnisse? Oder sind unsere Kunden wirklich die einzigen MS Exchange-Nutzer, die auf die Idee gekommen sind, "MailPublicFolder" zu verwenden?
Mit freundlichem Gruß
Franz Grimm
Ich muss nochmal die Eingangsfrage aufgreifen: Welcher LDAP-Filter muss verwendet werden, damit auch E-Mails an E-Mail-aktivierte öffentliche Ordner (MailPublicFolder) akzeptiert werden?
Mit dem von Christian Beyer vorgeschlagenen LDAP-Filter "(|(sAMAccountType=805306368)(sAMAccountType=268435456)(saMAccounttype=268435457))" funktioniert das leider nicht. Die E-Mails an "MailPublicFolder" werden abgewiesen.
Momentan behelfe ich mich damit, "(proxyAddresses=SMTP:*)" als LDAP-Filter zu verwenden.
Gibt es dazu neue Erkenntnisse? Oder sind unsere Kunden wirklich die einzigen MS Exchange-Nutzer, die auf die Idee gekommen sind, "MailPublicFolder" zu verwenden?
Mit freundlichem Gruß
Franz Grimm
Hallo Support,
vielen Dank zunächst für die prompte Unterstützung.
Wie sich herausstellte, lag das Problem nicht an der Konfiguration der UTM sondern daran, dass auf dem Exchange Server der AntiSPAM Agent auf dem internen Hub-Transport Server nicht aktiviert / installiert war.
Hier die Lösung in Kurzfassung:
1. Die Securepoint UTM für AD Zugriff konfigurieren
2. Auf dem Exchange Server das Script "install-AntispamAgents.ps1" ausführen. Zu finden unter [ExchangeInstallationsVerzeichnis]\V14\Scripts. Muss mit der Powershell von Exchange ausgeführt werden und zwar durch den Aufruf .\install-AntispamAgents.ps1. Nur damit kann eine Empfängerüberprüfung auf dem Exchange Server stattfinden.
Wenn der AntiSPAM Agent nicht aktiviert / installiert ist, nimmt Exchange zunächst alle E-Mails an, unabhängig ob das Postfach existiert oder nicht. Somit sind dann auch die Einstellungen auf der UTM hinsichtlich E-Mail-Adresse überprüfen auch wirkungslos.
vielen Dank zunächst für die prompte Unterstützung.
Wie sich herausstellte, lag das Problem nicht an der Konfiguration der UTM sondern daran, dass auf dem Exchange Server der AntiSPAM Agent auf dem internen Hub-Transport Server nicht aktiviert / installiert war.
Hier die Lösung in Kurzfassung:
1. Die Securepoint UTM für AD Zugriff konfigurieren
2. Auf dem Exchange Server das Script "install-AntispamAgents.ps1" ausführen. Zu finden unter [ExchangeInstallationsVerzeichnis]\V14\Scripts. Muss mit der Powershell von Exchange ausgeführt werden und zwar durch den Aufruf .\install-AntispamAgents.ps1. Nur damit kann eine Empfängerüberprüfung auf dem Exchange Server stattfinden.
Wenn der AntiSPAM Agent nicht aktiviert / installiert ist, nimmt Exchange zunächst alle E-Mails an, unabhängig ob das Postfach existiert oder nicht. Somit sind dann auch die Einstellungen auf der UTM hinsichtlich E-Mail-Adresse überprüfen auch wirkungslos.