Startseite » Exchange » DKIM Soft-Fail in Hybrid-Exchange-Umgebungen

DKIM Soft-Fail in Hybrid-Exchange-Umgebungen

von

Das Verwalten einer Hybrid-Exchange-Umgebung kann manchmal zu unerwarteten Herausforderungen führen. Ein häufiges Problem tritt auf, wenn E-Mails, die durch eine Transportregel modifiziert wurden, aufgrund eines DKIM Soft-Fail abgelehnt oder in die Quarantäne verschoben werden. In diesem Blogbeitrag gehen wir auf dieses spezielle Problem ein und stellen verschiedene Lösungsansätze vor.

Problemstellung

Die Konfiguration von Exchange in einer hybriden Umgebung, bei der der Mail Exchanger (MX) auf eine On-Premise-Infrastruktur zeigt, bringt einige Herausforderungen mit sich. Insbesondere, wenn Transportregeln in Exchange On-Premise den Body von E-Mails modifizieren, um einen Disclaimer oder eine Benachrichtigung für E-Mails von externen Absendern hinzuzufügen. Dies führt oft dazu, dass die DKIM-Signatur der E-Mail ungültig wird, was zu DKIM Soft-Fails und damit zu Zustellungsproblemen führen kann.

Von Exchange 2019 (On-Premise) per Transport-Regel modifizierte Nachricht führt zu ungültiger Signatur

Lösungsansatz 1: Verzicht auf Body-Modifikation und stattdessen Betreff-Anpassung

Eine der einfachsten und effizientesten Methoden zur Behebung dieses Problems besteht darin, den Betreff der E-Mail anstelle des Body zu ändern. Ein Beispiel wäre die Ergänzung des Betreffs um den Zusatz [EXTERN].

Für Exchange Online bietet Microsoft zudem die Funktion des External Mail Tagging an, die optisch hervorhebt, wenn es sich um eine E-Mail von einem externen Absender handelt.

„External Mail Tagging“ in Exchange Online

Warum ist dieser Ansatz besonders sinnvoll?

  • Integration in DLP- und Retention-Strategien: Dieser Ansatz ist voll kompatibel mit vorhandenen Data Loss Prevention (DLP) und Retention-Strategien. Es fügt sich der etablierten Darstellung ein und folgt den von Microsoft gesetzten Standards.
  • Usability und Responsiveness: Durch die Verwendung der integrierten Funktionen von Exchange und Outlook wird eine höhere Benutzerfreundlichkeit und eine bessere Anpassung an verschiedene Geräte gewährleistet, im Gegensatz zu selbstgebastelten CSS-Lösungen im E-Mail-Body.
  • Plattformübergreifende Kompatibilität: Der Ansatz funktioniert unabhängig vom verwendeten Outlook-Client, sei es Desktop oder App.
# Aktivieren des External Mail Taggings in Exchange Online Set-ExternalInOutlook -Enabled $true

Dieser Ansatz ist besonders sinnvoll, da er sich problemlos in die bestehende DLP- und Retention-Strategie integrieren lässt und plattformübergreifend funktioniert.

Lösungsansatz 2: Separat generierte Transportregeln

Die zweite Option wäre, die Transportregeln in beiden Umgebungen (On-Premise und Exchange Online) separat zu konfigurieren. Hierbei könnte man unterschiedliche Gruppen oder extensionAttributes für die Filterung verwenden.

Folgender Screenshot zeigt eine Transport-Regel, zunächst ohne Ausnahme, welche für alle Mails eingehend von Absendern ausserhalb der Organisation, unabhängig der Location des Empfänger-Postfaches greift. Diese wird später um eine weitere Ausnahme ergänzt.

Es finden aktuell in meinem Test folgende drei Aktionen in dieser Regel statt:

  • Es wird dem Subject eine Erweiterung [External] hinzugefügt (Kein Einfluss auf die DIKIM-Signatur Gültigkeit)
  • Hinzufügen des X-External Header (Nicht sichtbar für den Benutzer, Kann weiterer künftiger Bearbeitung dienen, Keinen Einfluss auf DKIM-Signatur-Gültigkeit)
  • Hinzufügen eines Disclaimers im Body der Nachricht (DIKIM-Signatur verliert im weiteren Nachrichtenfluss aus Sicht von EOP / EXO Gültigkeit für Postfächer in Exchange Online)
Transport-Regel in Exchange 2019 (On-Premise)

Verzicht auf Nachrichten-Body Modifikation durch Disclaimer
Um die Signatur-Gültigkeit nicht zu verlieren für die Postfächer, dessen Location EOP (Exchange Online) ist, besteht nun die Möglichkeit des Verzichts auf die das Hinzufügen eines Disclaimers im Body der Nachricht.

Ausschließliche Modifikation des Subjects führt nicht zu einem Fail der DKIM-Signatur. Diese bleibt gültig.

Separierung der Modifikation durch seperates setzten des Disclaimers (pro Umgebung)
Alternativ auch die Separierung der Modifikation durch Ausschluss der jeweiligen anderen Umgebung. Hierfür wurde eine weitere Bedingung erstellt, die die Regel anwenden lässt, wenn der Empfänger Mitglied einer spezifischen Gruppe (Mail-enabled Sicherheitsgruppe, Distribution List oder Dynamische Distribution List ist). Wobei hier eine Logik zu finden ist, die die jeweiligen Mitgliedschaften basierend auf Ihrer Mailbox-Location festlegt.

Weitere Bedingung: Der Empfänger ist Mitglied einer „OnPremiseUser“ Gruppe.
# Beispiel für eine Transportregel in Exchange On-Premise '
New-TransportRule -Name 'Add Disclaimer OnPrem' -SentToMemberOf 'CloudMailboxesGroup' -ApplyHtmlDisclaimerText '<p>Diese Nachricht kommt von einem externen Absender.</p>'

Kombinierte Lösung

Es ist auch denkbar, beide Ansätze zu kombinieren. So können On-Premise-Postfächer den Betreff der E-Mail ändern, während Cloud-Postfächer von dem External Mail Tagging profitieren.

# Beispiel einer Transportregel zur Änderung des Betreffs in der On-Premise-Umgebung New-TransportRule -Name 'Modify Subject OnPrem' -SentToMemberOf 'CloudMailboxesGroup' -PrependSubject '[EXTERN]'

Erweiterte kombinierte Lösung: Betreff-Anpassung, Disclaimer und Tagging

Es gibt auch die Möglichkeit, alle vorgestellten Ansätze zu einer ganzheitlichen Lösung zu kombinieren. Hierbei kann man sowohl den Betreff der E-Mail anpassen als auch einen Disclaimer im Body der E-Mail unterbringen, während gleichzeitig die Tagging-Funktion in Exchange Online aktiviert ist.

Konfiguration

In der On-Premise-Umgebung könnte eine Transportregel erstellt werden, die sowohl den Betreff ändert als auch einen Disclaimer zum Body der Nachricht hinzufügt:

# Beispiel einer kombinierten Transportregel in Exchange 
On-Premise New-TransportRule -Name 'Modify Subject and Add Disclaimer OnPrem' -SentToMemberOf 'CloudMailboxesGroup' -PrependSubject '[EXTERN]' -ApplyHtmlDisclaimerText '<p>Diese Nachricht kommt von einem externen Absender.</p>'

In der Exchange Online-Umgebung wird die Tagging-Funktion aktiviert:

# Aktivierung des External Mail Taggings in Exchange Online Set-ExternalInOutlook -Enabled $true

Vorteile der kombinierten Lösung

  • Komplexität und Flexibilität: Diese Lösung bietet die höchste Flexibilität und kann am besten an spezifische Organisationsanforderungen angepasst werden.
  • Usability: Durch den Einsatz von Betreff-Anpassungen und Tagging verbessert diese Lösung die Benutzererfahrung, ohne die Integrität der E-Mail-Signatur zu beeinträchtigen.
  • Übergreifende Konsistenz: Da sowohl On-Premise- als auch Online-Postfächer entsprechende Hinweise erhalten, wird für alle Benutzer eine konsistente Erfahrung gewährleistet.
Foto des Autors
Autor

Nils Lappenbusch

Ich bin seit 2012 in der IT tätig. Seit 2020 bin ich Microsoft certified Trainer (MCT). Meine Schwerpunkte momentan liegen im Bereich Microsoft 365, Exchange 2016/2019. Die Begleitung der Einführung und Migration in die Cloud sind für mich spannende Aufgaben.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.