• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Gelöst Exchange Connector weist Nachrichten von zweiter Domäne ab

C

chris937

Active member
Hallo,

wir testen NSP mit einer unserer Domänen. Diese Domäne ist in NSP konfiguriert und im DNS dieser Domäne zeigt der MX-Eintrag auf NSP.

E-Mails von und zu den anderen Domänen sollen direkt über Exchange Online laufen.

Nun weist der eingehende NSP Connector alle E-Mails ab, die direkt im Exchange Online ankommen (und nicht über NSP geroutet wurden):

There is a partner connector configured that matched the message's recipient domain. The connector had either the RestrictDomainsToIPAddresses or RestrictDomainsToCertificate set
Zum Vergrößern anklicken....

Ich denke, es liegt an den Security Restrictions:

1721036817809.png

im Zusammenhang damit, dass dieser Connector alle E-Mails entgegen nimmt:

1721036924259.png

Kann ich diesen Connector so konfigurieren, dass er sich nur um E-Mails für eine Domäne kümmert?

Vielen Dank,
Chris
 
Hallo,

wenn ich es richtig interpretiere - von der Fehlermeldung her - ist die Teststellung: test-abc.tld zeigt via MX auf den NSP und EoP nimmt dir nun die E-Mails vom NSP nicht ab, da du den einzigen? Konnektor mit * auf alles eingehende zeigen lässt jedoch verlangst das diese mit dem NSP Zert gezeichnet sind, was nur für die Testdomain zutreffen kann.

RIchtig?

Dann ist die Lösung ganz einfach: 2 Konnektoren bauen in EoP, einer mit der Testdomain und der Bedingung für auf das Zertifikat vom NSP. Dann noch einen weiteren auf * und hier die IP Restriktionen oder sonstige Restriktionen die bisher auch galten rein.

Wenn es keine Anforderungen gibt zur Einschränkung/ Härtung des Tenants gibt (z.B. weil die MX-Einträge der restlichen Domains auf EoP zeigen) dann einen 2. mit Sternchen und keine weiteren Einschränkungen anlegen

Die Logik in EoP ist relativ einfach: Der Konnektor der am genauesten passt, der wird verwendet. Gibts nur einen ... Naja, dann wird alles geblockt was da nicht zu passt :cool:

LG
Fabian
 
Hallo Fabian,

ja, das hast du richtig verstanden. Aber wie kann ich den Konnektor für NSP auf die Testdomäne beschränken? Einen eingehenden Konnektor von einer Partnerorganisation kann ich nur auf bestimmte Absenderdomänen einschränken, nicht aber auf Empfängerdomänen, oder?

Gruß, Chris
 
Hallo chris937,

mir wäre es nicht bekannt, das man einen eingehenden Konnektor bei EXO über die Empfängerdomäne beschränken kann.
I.d.R. via Senderdomain, IP-Adresse oder Zertifikat.

Warum wölltest du diesen EXO-Konnektor auf Empfängerbasis beschränken, wenn du via dem TLS-Zert schon den NSP sauber erfassen kannst und hier via Unternehmensdomänen vorfilterst?
Final soll er doch die E-Mails von NSP annehmen (und im Idealfall sonst nichts, dass keiner den NSP umgehen kann - Stichwort: Bypass 1st Hop mit der domain.mail.onmicrosoft.com Adresse, der MX bei EXO direkt welcher bekannt sein sollte).

LG
Fabian
 
Hallo Fabian,

du meinst, ich kann den Connector für NSP einfach so lassen, auch mit der Absenderdomäne * und eine zweiten auch mit der Absenderdomäne * aber ohne weitere Einschränkungen? Dann kann ich mir den NSP Connector doch auch sparen, oder?

Gruß, Chris
 
chris937 schrieb:
Dann kann ich mir den NSP Connector doch auch sparen, oder?
Zum Vergrößern anklicken....
In deinem Konstrukt ja...

Ein Vorteil des Konnektors ist, dass er den M365-Tenant von außen absichert und nur Server mit dem entsprechenden Zertifikat den Zugang ermöglicht. Es ist schließlich unerwünscht, dass ein Angreifer den MX umgehen und direkt in den Tenant gelangen könnte.
 
Hallo Sören,

vielen Dank! Ich wollte ja gerne die Nachrichten für die Domäne, mit der wir NSP ausprobieren, zwingend über NSP laufen lassen. Und nur die Nachrichten für die anderen Domänen wie bisher einfach reinlassen. Aber das ist nicht möglich, oder?

Wenn wir NSP dann hoffentlich bald produktiv einführen, würden ja sowieso alle Domänen über NSP laufen.

Gruß, Chris
 
Sören schrieb:
doch, einfach den inbound Konnektor im EXO deaktivieren
Zum Vergrößern anklicken....
Welchen Konnektor meinst du? Wenn ich den NSP Inbound Konnektor deaktiviere, werden doch auch E-Mails für die Testdomäne angenommen, die nicht über NSP gelaufen sind. Was natürlich nur passiert, wenn jemand den MX Eintrag für die Testdomäne umgeht. Wenn ich nur den NSP Inbound Konnektor habe, werden E-Mails an alle anderen Domänen abgewiesen.
 
Ich habe jetzt den MX Eintrag für unsere Testdomäne wieder auf NSP gesetzt. Die eingehenden E-Mails für die Testdomäne laufen wieder problemlos über NSP, auch ohne dass der Konnektor dafür aktiviert ist. Für die anderen Domänen kommen sie direkt im Exchange Online an.

Der M365-Tenant ist damit zwar nicht abgesichert, aber anders geht es wohl nicht.

Hat jemand noch einen guten Tipp, wo ich mich abseits der offiziellen MS Dokumentation in das Konzept und die Logik der Konnektoren einlesen kann?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

B
Die folgende Organisation hat Ihre Nachricht abgelehnt:DOMAIN2-de01e2b.mail.eo.outloo
2
Antworten
22
Aufrufe
21K
BrianND
B
Zurück
Oben