27.10.2023

Microsoft 365

Hybrid Modus lokaler Exchange mit Exchange Online
Migration des Datenbestandes zu Exchange Online
eMail Weiterleitung nach extern
Freigegebenes Postfach
Sicherheitseinstellungen
SPAM Filter, SPF, DKIM, DMARC
Powershell
Öffentliche Ordner Rechte über mehrere Unterordner setzen
sonstiges

Seitenanfang

Server

WebMail: https://outlook.office365.com/owa
IMAP outlook.office365.com Port: 993 TLS
POP3 outlook.office365.com Port: 995 TLS
SMTP smtp.office365.com Port: 587 STARTTLS

Microsoft 365 Meine Apps https://myapps.microsoft.com/

OneDrive Administration https://admin.onedrive.com/
OneDrive https://portal.office.com/onedrive

Microsoft Teams Admin Center https://admin.teams.microsoft.com/dashboard

Microsoft 365 Install Status https://portal.office.com/account/#installs
Microsoft 365 Service Status eigenes Abonement https://portal.office.com/adminportal/home#/servicehealth
Microsoft 365 Service Status https://portal.office.com/servicestatus

- Einrichtung prüfen

MX und TXT Einträge der Domain anzeigen

nslookup -q=mx domain.tld 8.8.8.8
nslookup -q=txt domain.tld 8.8.8.8

nslookup im Interaktiven Modus

nslookup
server 8.8.8.8
set type=mx
domain.tld
domain.tld MX preference = 0, mail exchanger = domain-tld.mail.protection.outlook.com
set type=txt
domain.tld
domain.tld text =

        "v=spf1 include:spf.protection.outlook.com -all"

Interaktiver Modus, alle DNS Einstellungen

nslookup
server 8.8.8.8
set type=any
domain.tld

Nicht autorisierende Antwort:
domain.tld MX preference = 0, mail exchanger = domain-tld.mail.protection.outlook.com
domain.tld text =

        "v=spf1 include:spf.protection.outlook.com -all"
domain.tld
        primary name server = ns1.domain.tld
        responsible mail addr = 
        serial  = 2019071814
        refresh = 10800 (3 hours)
        retry   = 3600 (1 hour)
        expire  = 604800 (7 days)
        default TTL = 28800 (8 hours)
domain.tld nameserver = ns1.domain.tld
domain.tld nameserver = ns2.domain.tld

 

Seitenanfang

Hybrid Modus lokaler Exchange mit Exchange Online

Exchange 2016: Hybrid Modus mit Office 365
https://mxtoolbox.com/ - SPF Test mit spf:domain.tld

- aktuelle Autodiscover Einstellungen des lokalen Exchange anzeigen

Get-ClientAccessService | fl autod*

- Autodiscover Einstellungen setzen

Set-ClientAccessService <EXSRV-Intern> -AutoDiscoverServiceInternalUri `
"https://autodiscover.domain.tld/Autodiscover/Autodiscover.xml"

SPF TXT DNS Record

v=spf1 mx a:mail.domain.tld include:spf.protection.outlook.com -all
Seitenanfang

Migration des Datenbestandes zu Exchange Online

- PST Datei Import

azcopy /Source:"C:\Temp\PST" /Dest:"SAS-URL" /V:"C:\Temp\PST-Import.log" /Y

 

Seitenanfang

eMail Weiterleitung nach extern

unter Exchange Admin Center | Empfänger | Kontakte einen neuen Kontakt erstellen, für das Weiterleitungsziel.

Weiterleitung von eMail aktivieren, Einloggen unter https://security.microsoft.com/antispam eine neue Richtlinie erstellen.
Outbound Richtline
Name: Weiterleitung aktivieren
Benutzer, Gruppen und Domänen: Benutzer, die interne eMail Adresse eintragen, für die die Weiterleitung eingerichtet werden soll.
Regeln für automatische Weiterleitung: Ein - Weiterleitung ist aktiviert.

 

Seitenanfang

Freigegebenes Postfach

WebMail Zugriff Freigegebenes Postfach https://owa.domain.com/owa/shared-mailbox@domain.com

Als Privat markierte Nachrichten in einer SharedMailBox anzeigen

Nachrichten die als "Privat" markiert wurden, werden in einer SharedMailBox in Outlook nicht angezeigt. In OWA ist die Nachricht im Ordner sichtbar.

Im RFC 2156 ist das Header Flag beschrieben. Zum Ändern der Markierung "Privat" im Exchange eine Transport-Regel erstellen.
https://admin.exchange.microsoft.com/#/transportrules

Exchange | E-Mail-Fluss | Regeln
Neue Regel hinzufügen | Eine neue Regel erstellen
Name Private Flag entfernen
Diese Regel anwenden, wenn
Die Nachrichtenköpfe... | Entspricht diesen Textmustern
'Sensitivity' -Nachrichtenkopf stimmt mit 'Private' überein
Gehen Sie wie folgt vor:
Nachrichteneigenschaften ändern | Nachrichtenkopf festlegen
Nachrichtenkopf 'Sensitivity' auf den Wert 'Normal' festlegen

Mögliche Werte für Sensitivity: Normal, Private, Personal, Confidential

 

Seitenanfang

Sicherheitseinstellungen

„Microsoft hat die Sicherheitsstandards aktiviert um ihr Konto zu schützen“

Azure Active Directory | Eigenschaften
"Zugriffsverwaltung für Azure-Ressourcen" | "Sicherheitsstandards verwalten" deaktivieren

https://portal.azure.com/#blade/Microsoft_AAD_ConditionalAccess/SecurityDefaults
Sicherheitsstandards verwalten
Sicherheitsstandards aktivieren

Änderung der Authentifizierung im Microsoft 365

Deaktivieren der Standardauthentifizierung in Exchange Online
Enable modern authentication for Office 2013 clients

- Anpassungen für Outlook 2013

folgende Registry Einträge setzen, das die moderne Authentifizierung unterstützt wird.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Exchange]
"AlwaysUseMSOAuthForAutoDiscover"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common]

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Identity]
"EnableADAL"=dword:00000001
"Version"=dword:00000001

ab Outlook 2016 sind keine Anpassungen nötig.

Seitenanfang

SPAM Filter, SPF, DKIM, DMARC

eMail Header Analyse

MX Toolbox Email Header Analyzer
Message Header Analyzer
Microsoft-Remoteverbindungsuntersuchung

SPF, DKIM, DMARC

SPF

SPF TXT DNS Record, wird schon beim Registrieren der Domain im Microsoft Portal abgefragt/muss eingerichtet werden.

v=spf1 mx a:mail.domain.tld include:spf.protection.outlook.com -all

DKIM

DKIM einrichten

1. Einrichtung unter Microsoft 365 Portal - DKIM
2. DNS CNAME Einstellung beim DomainProvider einrichten (markierte Stellen anpassen)

Hostname	selector1._domainkey
Wert		selector1-domain-tld01c._domainkey.domaintld.onmicrosoft.com
Hostname	selector2._domainkey
Wert		selector2-domain-tld01c._domainkey.domaintld.onmicrosoft.com

DKIM Test im Microsoft Portal

DMARC

DMARC einrichten

DNS TXT Einstellungen beim DomainProvider einrichten

Hostname	_dmarc
Wert		v=DMARC1; p=none; rua=mailto:dmark@domain.tld;ruf=mailto:dmark@domain.tld.

'none' - Diese Richtlinie weist den Empfangsserver an, die Nachrichten so zu behandeln, als ob kein DMARC vorhanden wäre. Es wird jedoch trotzdem ein Bericht erstellt.
'quarantine' - Diese Richtlinie weist den empfangenden Server an, die Nachricht trotzdem zu empfangen, sie aber in einen Spam-Ordner zu verschieben.
'reject' - Diese Richtlinie weist den Empfangsserver an, die Nachricht komplett abzulehnen. Sie landet weder im Posteingang noch in einem Ordner.
'rua' - Bericht eMail Adresse
'ruf' - geschwärzte Kopien von E-Mails an den Domaininhabern zur Verfügung stellen, die nicht DMARC-konform sind.

SPAM Filter Anpassungen Microsoft 365

https://security.microsoft.com/antispam
Antispam-Eingangsrichtlinie (Standard) - Domains und eMail Adressen in Whitelist oder Blacklist setzen
Verbindungsfilterrichtlinie (Standard) - IP-Adressen freigeben oder blocken

https://admin.exchange.microsoft.com/#/transportrules
Neue Regel hinzufügen | SPAM Filter umgehen

Microsoft 365 Defender

Anti-spam message headers in Microsoft 365

Antispam-Nachrichtenkopfzeilen in Microsoft 365

Erläuterung zum Feld X-MS-Exchange-Organization-SCL: und X-Microsoft-Antispam: des eMail Headers

X-MS-Exchange-Organization-SCL: -1
X-Microsoft-Antispam: BCL:0;

Header Feld X-Microsoft-Antispam-Mailbox-Delivery wird vom Client OWA oder Outlook generiert
- Beispiel SPAM

X-Microsoft-Antispam-Mailbox-Delivery:
	ucf:0;jmr:0;ex:1;auth:0;dest:J;OFR:SpamFilterAuthJ;ENG:....;RF:JunkEmail;

- eMail ist als SPAM klassifiziert OFR:SpamFilterAuthJ und RF:JunkEmail wird im Junk Ordner zugestellt dest:J
- Beispiel keine SPAM

X-Microsoft-Antispam-Mailbox-Delivery:
	ucf:0;jmr:0;auth:0;dest:I;ENG:(910001)(944506478)(944626604)(920097)(930097);

dest:I - Nachricht wird in der Inbox abgelegt
dest:J - Nachricht wird im Junk Ordner abgelegt

Bulk complaint level (BCL)

BCL Description
0 Die Nachricht stammt nicht von einem Massen-E-Mail-Absender.
1, 2, 3 Die Nachricht stammt von einem Massen-E-Mail-Absender, aber führt zu wenigen Beschwerden.
4, 5, 6, 7* Die Nachricht stammt von einem Massen-E-Mail-Absender und führt zu einer gemischten Anzahl von Beschwerden.
8, 9 Die Nachricht stammt von einem Massensender, der eine hohe Anzahl von Beschwerden generiert.

Spam confidence level (SCL)

SCL Definition Standardaktion
-1 Die Nachricht hat die Spamfilterung übersprungen. Beispielsweise stammt die Nachricht von einem sicheren Absender, wurde an einen sicheren Empfänger gesendet oder stammt von einem E-Mail-Quellserver in der LISTE zugelassener IP-Adressen. Weitere Informationen finden Sie unter Erstellen von Listen sicherer Absender in EOP. Die Nachricht wird in das Postfach des Empfängers zugestellt.
0, 1 Die Spamfilterung hat festgestellt, dass die Nachricht kein Spam war. Die Nachricht wird in das Postfach des Empfängers zugestellt.
5, 6 Spamfilterung markiert die Nachricht als Spam Die Nachricht wird in den Ordner "Junk-E-Mail" des Empfängers zugestellt.
8, 9 Spamfilterung markiert die Nachricht als Spam mit hoher Zuverlässigkeit Die Nachricht wird in den Ordner "Junk-E-Mail" des Empfängers zugestellt.

 

Seitenanfang

Powershell mit Microsoft 365

Verbinden mit Office 365 PowerShell

Azure Active Directory mit der PowerShell

- Installation des Powershell Modules (nur einmal ausführen) Powershell ale Administrator ausführen.

Install-Module -Name AzureAD
Connect-AzureAD						# Office 365 weltweit
Connect-AzureAD -AzureEnvironmentName AzureGermanyCloud	# Office 365 Deutschland

Microsoft Azure Active Directory-Modul für Windows PowerShell

- Installation des Powershell Modules (nur einmal ausführen) Powershell ale Administrator ausführen.

Install-Module MSOnline
Connect-MsolService					# Office 365 weltweit
Connect-MsolService -AzureEnvironment AzureGermanyCloud	# Office 365 Deutschland

O365 Exchange Online mit der Powershell

Verwenden der Exchange Online PowerShell mit moderner Authentifizierung

- Modul installieren / Modul aktualisieren

Install-Module -Name ExchangeOnlineManagement

- Version des Modules anzeigen

Import-Module ExchangeOnlineManagement; Get-Module ExchangeOnlineManagement

- Modul deinstallieren

Uninstall-Module -Name ExchangeOnlineManagement

- Verbindung starten

$UserCredential = Get-Credential
Connect-ExchangeOnline -Credential $UserCredential -ShowProgress $true

 

- Fehlermeldung auf einem Server 2012R2 beim Installieren des Modules ExchangeOnlineManagement

Powershell als Admin starten

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

 

Seitenanfang

Öffentliche Ordner Rechte über mehrere Unterordner setzen

Microsoft Exchange 2013/Online Public Folders Update Client Permissions Script

Wenn Rechte geändert werden sollen z.B. für die Gruppe "Standard" von der Berechtigung Author auf PublishingAuthor müssen diese erst entfernt und dann wieder gesetzt werden.

- Rechte für die Standard Gruppe entfernen

Get-PublicFolder "\Kontakte" -Recurse | %{Remove-PublicFolderClientPermission -Identity $_.Identity `
 -User Standard -Confirm:$false}

- Rechte für die Standard Gruppe auf PublishingAuthor setzen

.\Update-PublicFolderPermissions.ps1 -IncludeFolders "\Kontakte" `
 -AccessRights "PublishingAuthor" -Users "Standard" -Recurse -Confirm:$false

-AccessRights
Author: CreateItems, DeleteOwnedItems, EditOwnedItems, FolderVisible, ReadItems
Contributor: CreateItems, FolderVisible
Editor: CreateItems, DeleteAllItems, DeleteOwnedItems, EditAllItems, EditOwnedItems, FolderVisible, ReadItems
None: FolderVisible
NonEditingAuthor: CreateItems, DeleteOwnedItems, FolderVisible, ReadItems
Owner: CreateItems, CreateSubfolders, DeleteAllItems, DeleteOwnedItems, EditAllItems, EditOwnedItems, FolderContact, FolderOwner, FolderVisible, ReadItems
PublishingAuthor: CreateItems, CreateSubfolders, DeleteOwnedItems, EditOwnedItems, FolderVisible, ReadItems
PublishingEditor: CreateItems, CreateSubfolders, DeleteAllItems, DeleteOwnedItems, EditAllItems, EditOwnedItems, FolderVisible, ReadItems
Reviewer: FolderVisible, ReadItems

-User
Standard: Gruppe für alle User
"UserName"

 

 

 

 

 

Seitenanfang

sonstiges

Office 365 Autodiscover übergehen

Ab ab Outlook 2016 hat Microsoft "Direct Connect to Office 365" eingeführt, damit werden Exchange Online Konten automatisch gefunden und die Anmeldung von Microsoft für O365 wird angezeigt. Das kann sehr hinderlich sein, wenn man gerade bei der Migration von einem lokalen Exchange zu Exchange Online ist, da alle 2 min die MS Online Anmeldung im Outlook aufploppt. Mit dem Registry Eintrag kann man Direct Connect to Office 365 deaktivieren.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover]
"ExcludeExplicitO365Endpoint"=dword:00000001

Outlook Roaming Signatur deaktivieren

nach dem deaktivieren der Roaming Signatur, kann dann wieder auf unterschiedlichen Rechnern eine andere Signatur bei der Nutzung der gleichen eMail Adresse benutzt werden.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\Setup]
"DisableRoamingSignaturesTemporaryToggle"=dword:00000001