Microsoft Exchange: Interne Verteillisten von extern ansprechen

von | Mrz 8, 2021 | Artikel | 0 Kommentare

Microsoft Exchange macht es leicht, Email-Verteillisten aufzustellen. Zum Beispiel um mit einer Emailadresse alle Mitarbeiterinnen und Mitarbeiter oder einzelne Teams und Gruppen erreichen zu können. Bei unseren Experten ist aktuell dazu eine spannende  Frage aufgeschlagen, deren Ergebnis wir gerne hier teilen wollen. 

Anforderung:

Eine befreundete Firma soll für einen bestimmten Zeitraum alle internen User über eine Verteilerliste ansprechen dürfen. Die interne Verteilerliste, in der sich alle Emailadressen der Mitarbeiter befinden, soll aber weiterhin von extern nicht ansprechbar sein. Wie kann diese Anforderung für die befreundete Firma umgesetzt werden, ohne die internen Sicherheitsrichtlinien zu verletzen und die interne Verteilerliste für jeden externen Sender zugreifbar zu machen?

Ausgangslage: Alle Mailboxen befinden sich in Exchange Online; eine Hybridanbindung verbindet den on-premise Exchange-Verwaltungsserver mit der Cloud.

Schritt 1:

Per on-premise Exchange-Server bzw. per Exchange Admin Center (EAC) oder PowerShell wird eine neue, emailaktivierte Verteilergruppe erstellt, als Basis dafür wird im Active Directory eine entsprechende Gruppe (Typ: Universal Distribution) automatisch angelegt (Hinweis: beim Erstellen gleich die korrekte Organizational Unit für das AD-Objekt auswählen, damit das neue Objekt an der richtigen Stelle platziert wird). Anschießend noch eine passende, offizielle Emailadresse setzen – fertig ist der erste Schritt.

Screenshots vom Anlegevorgang bzw. des erstellten AD-Objektes:

Schritt 2:

Die neue Verteilerliste per EAC öffnen, Delivery Management wählen: hier können Empfangsrestriktionen gesetzt oder konfiguriert werden. Für unser Vorhaben ist die Option „Senders inside and outside of my organization“ auszuwählen. Im unteren Listenfeld werden die (externen) Emailadressen aufgenommen, die berechtigt sind, diese Verteilerliste zu nutzen. In unserem Fall ist sind das drei Mitarbeiter bzw. Sender der befreundeten Firma, deren Emailadressen wir kennen.

Schritt 3:

Nach dem Klick auf das „+“-Symbol (zum Hinzufügen der externen Emailadressen) sehen wir, dass sich nur bereits bestehende Email-Objekte auswählen lassen, es können keine Emailadressen eingetippt werden.

Schritt 4:

Also müssen zuvor für die externen Sender „Emailobjekte“ angelegt werden, dies erfolgt am besten über Active Dirctory basierte Kontakte, die email-aktiviert werden. Diesen Kontakten wird als externe Emailadresse die bekannte zw. erfragte Emailadresse der zu berechtigenden Sender zugewiesen (auch diese neuen AD-Objekte am besten gleich beim Erstellen per Auswahlfeld „Organizational Unit“ in die korrekte OU ablegen).

Schritt 5:

Nach dem Erstellen der Kontakte können die externen Sendeberechtigten der neuen Verteilergruppe zugewiesen werden (siehe oben) – nun dürfen nur sie diese Verteilerliste verwenden.

Schritt 6:

Die Verteilerliste ist erstellt, die Sendeberechtigten definiert, aber die Mitglieder der Verteilerliste fehlen noch. Da unsere Liste nur für einen kurzen Zeitraum benötigt wird, haben wir die Firmenmitarbeiter manuell zugefügt. Bei sehr vielen Mitarbeitern ist dies zu umständlich, hier könnten die Mitglieder z.B. per PowerShell aufgenommen werden.

Schritt 7:

Azure AD Connect (AADConnect) ist das Microsoft-Tool, das bestimmte Objekte und Einstellungen von on-premise in den Office 365 Tenant synchronisiert – per default alle 30 Minuten (einen sofortiger manueller Delta-Sync kann per administrativer Windows-PowerShell gestartet werden: Start-ADSyncSyncCycle -PolicyType Delta). AADConnect synchronisiert diese neuangelegte Gruppe sowie die neuen Kontakte automatisch nach Exchange Online, damit diese Emailadressen sowie diese Objekte auch dort bekannt sind – dies unterstützt das korrekte Routing neu eintreffender Mails (unser MX-Eintrag, der den Mailempfang von extern steuert, zeigt nach Exchange Online).

Schritt 8:

Zuletzt im Office 365 Exchange Admin Center (EAC) verifizieren, dass die neuerstellte Verteilerliste sowie die emailaktivierten Kontakte angelegt wurden und dass die Restriktionseinstellungen der Verteilerliste korrekt sind (Delivery Management – Senders inside and outside … – freigeschaltete Sender). Falls im Exchange Online Verteilerlistenobjekt der oder die freigeschalteten Sender nicht angezeigt werden, dann wird möglicherweise die on-premise OU des AD-Kontaktes nicht per AADConnect nach Office 365 synchronisiert (dann den Kontakt in eine synchronisierte OU verschieben oder die Synchronisationseinstellungen in AADConnect anpassen), es könnte aber auch sein, dass die externe Emailadresse des Kontaktes bereits in Exchange Online vorhanden ist, z.B. als Gast-User, und dieser Eintrag ein Erstellen des neuen Kontaktobjektes in Exchange Online blockiert.

Schritt 9:

Prüfen der Funktion:

Beim Senden von einer externen Emailadresse, die in der neuen Verteilerliste sendeberechtigt ist, wird die Mail angenommen und and die Mitglieder der verteilerliste weitergeleitet.

Beim Senden von einer externen Emailadresse, die den neuen Verteiler nicht nutzen darf, erhält der Sender eine „Undeliverable“ Fehlermeldung zurück (Error 550 5.7.124). D.h. die Verteilerliste ist für sonstige externe Sender nicht nutzbar.