Exchange
Messaging, Exchange, SMTP
Hallo zusammen,
Als Exchange Administrator in Office 365 macht man eine Menge Message Traces. Ich habe ein PowerShell Modul geschrieben um mir das Leben etwas einfacher zu machen.
Aber erstmal die Herleitung. Ich mache ein MessageTrace der letzten 10 Tage (das ist das Maximum) und zeige ein paar Attribute an.
$MT = Get-MessageTrace -StartDate (get-date).AddDays(-10) -EndDate (get-date) -SenderAddress salehnasiru10@gmail.com
$MT | Format-Table Received, SenderAddress, RecipientAddress, Subject, Status, MessageTraceID
Man benötigt die MessageTraceID um die Details anzuzeigen
$MTD = Get-MessageTraceDetail -MessageTraceId d42c2494-dcac-4a93-4d10-08d981c7b140 -RecipientAddress a.bohren@icewolf.ch -StartDate (get-date).AddDays(-10) -EndDate (get-date)
$MTD
In diesem Fall, hat das Mail ein "Spam" Event. Das kann man noch ein bisschen genauer anschauen. Wie man sieht,...
Hallo zusammen,
In diesem Blog Artikel zeige ich euch, wie man unter Exchange Online eine Emailadressrichtlinie für Office 365 Groups einrichtet, basierend auf Attributen vom Ersteller des O365 Group/Teams.
Auf meinem O365 Tenant habe ich zwei Accepted Custom Domains registriert:
icewolf.ch
irgendwoiminternet.ch
Schaut man sich die Befehle für EmailaddressPolicy an, so sieht man, dass es vier commands dazu gibt
Get-Command *EmailAddressPolicy*
Dasselbe auf einem OnPrem Exchange Server mache, sieht man, dass es noch ein Update command gibt
Get-Command *EmailAddressPolicy*
In Exchange Online gibt es eine Standardmässige Email Address Richtlinie welche "Default Policy" heisst.
Get-EmailAddressPolicy
Get-EmailAddressPolicy | fl
Mit den Recipient Filtern kann man nach bestimmten...
Hallo zusammen,
Wie man Office 365 Defender for Office 365 (Damals hiess das noch "Office 365 ATP") einrichtet, habe ich schon mal gebloggt.
Was jedoch passiert, wenn ein Dokument von Safe Attachment als Malware erkannt wird, habe ich damals nicht ausprobiert.
Um das zu testen habe ich ein Word Dokument mit Makro erstellt, welches beim öffnen das Eicar (Anti Malware Testfile) File herunterlädt. Ein klassischer Fall, bei dem das Attachment keine Malware selbst enthält, sondern diese zur Laufzeit nachlädt.
Das Word Macro habe ich dann mit PowerShell über Send-MailMessage versendet.
Der Anwender erhält dank "Dynamic Delivery" das Mail sofort, während das Attachment noch von Safe Attachment in...
Hallo zusammen,
Vor ein paar Monaten musste man den "First Contact Safety Top" in Exchange Online Protection (EOP) noch mit Transport Rules erstellen. Nun kann das auch bequem über die Anti Phishing Policy erledigt werden
Anti-phishing policies in Microsoft 365
https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/set-up-anti-phishing-policies?view=o365-worldwide
Grüsse
Andres Bohren
Hallo zusammen,
Mit den Exchange Server Cumulative Updates vom September 2021 wurde ein neues Feature eingeführt.
Released: September 2021 Quarterly Exchange Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-september-2021-quarterly-exchange-updates/ba-p/2779883
Exchange Server Emergency Mitigation
Das Feature "Exchange Server Emergency Mitigation" wird im folgenden Link beschrieben.
New security feature in September 2021 Cumulative Update for Exchange Server
https://techcommunity.microsoft.com/t5/exchange-team-blog/new-security-feature-in-september-2021-cumulative-update-for/ba-p/2783155
Bei mir war nach der Installation des CU das Feature in der OrganizationConfig deaktiviert und auf dem Server aktiviert.
Get-OrganizationConfig | fl MitigationsEnabled
Get-ExchangeServer -Identity ICESRV06 | fl MitigationsEnabled, DatacollectionEnabled
Um zu prüfen ob Mitigations vorhanden sind, gibt es ein Script im Exchange Script Ordner
cd $exscripts
.\Get-Mitigations.ps1
Die Mitigations werden wohl Regeln im URL Rewrite Modul anlegen
Aktuell sind da weder auf dem Frontend noch auf dem...
Hallo zusammen,
Die quartalsweisen Exchange Cumulative Updates für Exchange 2016 und 2019 wurden veröffentlicht.
Released: September 2021 Quarterly Exchange Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-september-2021-quarterly-exchange-updates/ba-p/2779883
Kumulatives Update 22 für Exchange Server 2016 (KB5005333)
https://support.microsoft.com/de-de/topic/kumulatives-update-22-f%C3%BCr-exchange-server-2016-kb5005333-ceb154d8-7116-43a5-83c1-205af7c43764
Cumulative Update 22 for Exchange Server 2016 (KB5005333)
https://www.microsoft.com/en-us/download/details.aspx?id=103478
Es gibt dieses mal kein Schema Update
Active Directory schema changes in Exchange Server
https://docs.microsoft.com/en-us/Exchange/plan-and-deploy/active-directory/ad-schema-changes?view=exchserver-2016
Grüsse
Andres Bohren
Hallo zusammen,
Kürzlich wollte ich herausfinden wie oft ein bestimmte Dateiendung verwendet wird, bevor ich die Dateiendung in der Anti MalwareFilterPolicy sperre. Mit dem Threat Explorer konnte man dies jedoch nicht herausfinden.
Ich bin dann aber mit der erweiterten suche (advanced Hunting) erfolgreich gewesen. Hier reichen die "Exchange Administrator" Berechtigungen aus https://security.microsoft.com/advanced-hunting
Ein paar einfachere KQL Querys zum Anfangen
EmailAttachmentInfo | where FileName like '.docx' | summarize count()
oder
EmailAttachmentInfo | summarize count() by FileType
EmailAttachmentInfo | summarize count() by FileType | order by count_ | render barchart
Es gibt aber auch komplexere Abfragen
let OfficeMacroFiles = dynamic([".docm",".dotm",".ppsm",".pptm",".potm",".xlam",".xlsm",".xltm",".xlw"]);
EmailAttachmentInfo | where FileName has_any (OfficeMacroFiles) | summarize count() by FileType | order by count_
oder
EmailAttachmentInfo
| summarize count () by bin(Timestamp, 1d), FileType
| render linechart
Oder die Zustellung von Mails
EmailEvents
| where EmailDirection == "Inbound"
| summarize count () by bin(Timestamp, 1d), DeliveryAction
| render linechart
Weitere Beispiele für Querys gibt es hier https://github.com/microsoft/Microsoft-365-Defender-Hunting-Queries
Liebe Grüsse
Andres Bohren
Hallo zusammen,
Vor etwa 10 Tagen wurde die Meldung zur Plus Adressierung in Exchange Online aktualisiert.
Ich habe das Plus Addressing bereits im Frühling aktiviert als es angekündigt wurde. Damals hat das aber nur für Cloud Only Accounts funktioniert und nicht für Accounts, welche mit AAD Connect synchronisiert wurden. Das hat sich mittlerweile geändert.
Set-OrganizationConfig -AllowPlusAddressInRecipients $true
Get-OrganizationConfig | fl AllowPlusAddressInRecipients
Ich habe mal so eine Postfachregel für Plus Adressing angelegt
m.muster@icewolf.ch
Das Plus Adressing ist, wenn nach dem LocalPart (links vom @ Zeichen und in diesem Fall m.muster) ein "+" Zeichen eingefügt wird und ein weiterer Tag verwendet wird.
m.muster+Newsletter@icewolf.ch
Ich habe nun von meinem Google Account aus eine...
Hallo zusammen,
Heute hatte ich mal wieder einen Fall, bei dem der Junk-E-Mail Folder in einem Unterordner verschoben wurde. Keine Ahnung wie man das hinkriegt, aber ich weiss, wie man das wieder löst.
In den folgenden Schritten zeige ich euch, wie man das wieder hinkriegt.
Get-MailboxFolderStatistics <emailadress>| Where {$_.FolderType -eq "JunkEmail"} | ft identity, FolderType
Danach habe ich mir Full Access Permissions auf der Mailbox gegeben und MFCMAPI heruntergeladen und die Mailbox im Outlook Profil eingebunden.
In MFCMAPI habe ich noch eine Option gesetzt
Damit wird die Mailbox im Online Mode ohne OST geladen
Wie man schon mit dem PowerShell Befehl gesehen hat, lieg der Junk-E-Mail...
Hallo zusammen,
Die Ferienzeit ist voll im Gange und der eine oder andere hat sicher schon mal vergessen, die Automatischen Antworten in Outlook zu erfassen.
Kein Problem, das kann man ja auch vom Smartphone aus mit der Outlook Mobile App noch rasch erledigen.
In die Einstellungen gehen, dort das Konto auswählen
Automatische Antworten auswählen und diese aktivieren
Danach die Automatischen Antworten erfassen und oben mit dem "Häcklein" bestätigen. Wer eine Shared Mailbox in der Outlook Mobile App eingebunden hat, kann das sogar für diese die Automatischen Antworten erfassen.
Liebe Grüsse
Andres Bohren
Full Exchange Archive