{"id":291126,"date":"2024-01-28T00:10:00","date_gmt":"2024-01-27T23:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291126"},"modified":"2024-01-27T22:26:27","modified_gmt":"2024-01-27T21:26:27","slug":"microsoft-365-merkwrdigkeit-bei-empfangskonnektoren","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/28\/microsoft-365-merkwrdigkeit-bei-empfangskonnektoren\/","title":{"rendered":"Microsoft 365: Merkwürdigkeit bei Empfangskonnektoren"},"content":{"rendered":"

\"Mail\"[English]In Microsoft 365 k\u00f6nnen Administratoren sogenannte \"Empfangskonnektoren\" f\u00fcr Exchange Online einrichten. Diese sollen den Fluss eintreffender E-Mails steuern und ggf. Regeln zum Graylisting, oder andere Einschr\u00e4nkungen umsetzen. Ein Leser hat mich k\u00fcrzlich auf ein f\u00fcr ihn \u00fcberraschendes Verhalten hingewiesen. Bei Filterung von Mails nur nach \"TLS-\u00dcbertragung\" erfolgt pl\u00f6tzlich ein Whitelisting der Dom\u00e4ne, was nicht dokumentiert ist. Der Leser fragt sich, ob das breiter bekannt ist. Ich stelle das Thema mal zur Diskussion hier im Blog ein.<\/p>\n

<\/p>\n

Konnektoren in MS 365\/Exchange Online<\/h2>\n

\"\"Konnektoren dienen dazu, den E-Mail-Fluss bei Exchange Online zu steuern. Konnektoren sind eine Sammlung von Anweisungen, die den E-Mail-Verkehr in und aus einer Microsoft 365- oder Office 365-Organisation bei Exchange Online anpassen. Eigentlich brauchen die meisten Microsoft 365- und Office 365-Organisationen keine Konnektoren f\u00fcr den regul\u00e4ren E-Mail-Verkehr. Von Microsoft gibt es aber den Artikel Configure mail flow using connectors in Exchange Online<\/a> (deutsche Fassung hier<\/a>), der die E-Mail-Fluss-Szenarien, die Konnektoren erfordern, beschreibt. Dort werden auch Szenarien skizziert, wo Konnektoren zum Einsatz kommen.<\/p>\n

Beobachtung eines Lesers<\/h2>\n

Ein Blog-Leser hat mich bereits am 18. Januar 2024 per E-Mail kontaktiert, weil er bei der Verwendung von Konnektoren in Microsoft 365 etwas \u00fcberrascht war – ich komme erst jetzt dazu, das entsprechend aufzubereiten. Der Leser schrieb mir dazu:<\/p>\n

Hallo,<\/p>\n

vor Kurzem bin ich \u00fcber ein Verhalten von M365 gestolpert, dass mich doch sehr \u00fcberrascht hat.<\/p>\n

Ich frage mich, ob dieses Verhalten weitl\u00e4ufig bekannt ist oder f\u00fcr andere genauso \u00fcberraschend ist, wie es das f\u00fcr mich war.<\/p>\n

Und zwar kann man auch in M365 Empfangskonnektoren einrichten.<\/p><\/blockquote>\n

Zum Einrichten gibt es wohl folgende Optionen, die im Screenshot aufgef\u00fchrt sind:<\/p>\n

\"Exchange<\/p>\n

So weit so gut. Nun ist der Leser \u00fcber das Verhalten des Konnektors doch etwas stutzig geworden. Dazu schrieb er mir:<\/p>\n

Aktiviert man \"Reject email messages if they arent sent over TLS\" erh\u00f6ht man die Sicherheit des Mail-Flusses zu den angegebenen Dom\u00e4nen marginal, da ja TLS verlangt wird und Plaintext damit ausgeschlossen wird. Gro\u00dfartig!<\/p>\n

Was aber zus\u00e4tzlich noch passiert ist, dass faktisch ein Whitelisting f\u00fcr diese Dom\u00e4ne im Hintergrund nicht sichtbar erstellt wird und einfach alle Mails akzeptiert werden, solange sie nur TLS verschl\u00fcsselt sind. Habe ich so mit dem Emkei Fake Mailer erfolgreich getestet<\/p>\n

Ok, schr\u00e4nkt man das Cert noch auf die Dom\u00e4ne ein, ist es evtl. nicht so schlimm, aber das Verhalten ist so nicht dokumentiert bzw. konnte ich dazu nichts finden.<\/p>\n

Microsoft sagt dazu man m\u00f6ge doch bitte \"Enhanced Filtering\" f\u00fcr den Connector aktivieren. Das ist laut Dokumentation – so wie ich es verstehe – nur bei Mail-Weiterleitungen sinnvoll.<\/p><\/blockquote>\n

Der Leser fragt dazu: \"Ist das ein bekanntes Verhalten?\" bzw. ist das nur f\u00fcr ihn neu, oder hat er was \u00fcbersehen?<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In Microsoft 365 k\u00f6nnen Administratoren sogenannte \"Empfangskonnektoren\" f\u00fcr Exchange Online einrichten. Diese sollen den Fluss eintreffender E-Mails steuern und ggf. Regeln zum Graylisting, oder andere Einschr\u00e4nkungen umsetzen. Ein Leser hat mich k\u00fcrzlich auf ein f\u00fcr ihn \u00fcberraschendes Verhalten hingewiesen. Bei … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,2039,270],"tags":[1171,4353,7377],"class_list":["post-291126","post","type-post","status-publish","format-standard","hentry","category-cloud","category-mail","category-office","tag-cloud","tag-mail","tag-microsoft-365"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291126","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291126"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291126\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291126"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291126"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291126"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}