Icon Makefg

Anbindung von NoSpamProxy in Office 365

Seit der Version 10 ist die vollwertige Integration von NoSpamProxy in Office 365 möglich. Dieser Artikel beschreibt die nötigen Konfigurationsschritte die sowohl in der NoSpamProxy Konfiguration, als auch in Office 365 nötig sind.

Erwähnenswert ist in diesem Zusammenhang ein Artikel bei Microsoft, der darauf hinweist, dass zwischen einem On-Premises Exchange CAS oder einem Exchange Edge Transport Server und Exchange Online Protection (EOP), keine anderen SMTP Hosts zulässig sind. Da NoSpamProxy grundsätzlich vor der kompletten Exchange-Infrastruktur arbeitet, kann dieser Hinweis ignoriert werden.

Office 365 als Relayhost freigeben

Als erstes muss Office 365 in der NoSpamProxy Konfiguration als Relayhost zugelassen werden. Dieser Schritt ist nötig, damit E-Mails aus Office 365 heraus durch NoSpamProxy an externe Kommunikationspartner geschickt werden können. Anderenfalls würde NoSpamProxy die E-Mail als Relay-Missbrauchsversuch erkennen und abweisen.

Um Office 365 als Relayhost zuzulassen, wechseln Sie in der NoSpamProxy MMC in das Menü „Konfiguration / E-Mail-Routing“. Im oberen Abschnitt werden die E-Mail-Server des Unternehmens“ angegeben.

Mail_Routing-1-zensiert
Hier klicken Sie auf Hinzufügen. Es öffnet sich der Dialog „E-Mail-Server des Unternehmens verwalten“.

Mail_Routing-2
Wählen Sie hier den Punkt „Einen Office 365 Mandanten“ aus und klicken auf Weiter.

Mail_Routing-3
Nun gegen Sie ihre Mandanten-ID ein. Bitte achten Sie darauf den Namen Ihrer ID anzugeben, nicht die ID in hexadezimaler Schreibweise. Klicken Sie auf Weiter.

Mail_Routing-4
Nun wählen Sie die Domänen aus, die Sie in Office 365 hinterlegt haben und die in der Absenderadresse für ausgehende E-Mails vorkommen werden. Wenn Sie hier nicht alle Domänen vorfinden, müssen Sie die fehlenden Domänen im Menü „Menschen und Identitäten / Domänen und Benutzer“ und dort im Abschnitt „Eigene Domänen“ hinzufügen. Dies können Sie auch gerne zu einem späteren Zeitpunkt durchführen. Klicken Sie auf Weiter.

Mail_Routing-5
Abschließend können Sie noch einen Kommentar eingeben und klicken dann auf Fertigstellen. Der E-Mail-Server ist nun angelegt.

Weiterleitung an Office 365

Als nächstes wird NoSpamProxy so konfiguriert, dass alle eingehenden E-Mails an Office 365 weitergeleitet werden. Dazu müssen die eingehenden Sendekonnektoren im Menü „Konfiguration / E-Mail-Routing“ bearbeitet werden. Wenn eingehende E-Mails an Office 365 geschickt werden sollen, ist es zwingend erforderlich, NoSpamProxy in den sogenannten Warteschlangenmodus zu schalten. Klicken Sie dazu im Abschnitt „Eingehende Sendekonnektoren“ auf „Zur Zustellung über Warteschlange wechseln“. Es öffnet sich der Dialog „Zustellung ändern“.

Mail_Routing-6-Bearbeitet-zensiert

Eingehende_Sendekonnektoren
Klicken Sie hier auf Zustellung ersetzen.

Eingehende_Sendekonnektoren-2-Bearbeitet
Wählen Sie „Office 365“ aus und klicken auf Weiter.

Eingehende_Sendekonnektoren-3
Nun können Sie einen beliebigen Namen für den eingehenden Sendekonnektor vergeben und die Gateway Rolle(n) auswählen, die E-Mails an Office 365 verarbeiten sollen. Klicken Sie danach auf Weiter.

Eingehende_Sendekonnektoren-4-Bearbeitet
Als nächstes müssen Sie ein Zertifikat für die „Client-Identität“ angeben. Damit wird NoSpamProxy sich bei dem Office 365 Server authentifizieren. Klicken Sie dazu auf Zertifikat auswählen. Es öffnet sich der Dialog zur Auswahl des Zertifikats.

Eingehende_Sendekonnektoren-5-Bearbeitet
Wählen Sie nun das Zertifikat aus, das von NoSpamProxy während des Setup erstellt wurde. Sie können es daran erkennen, dass es den Hostnamen enthält und eine Laufzeit von ca. 50 Jahren hat. Alternativ können Sie hier auch ein TLS Zertifikat auswählen, welches Sie im Vorfeld von einer vertrauenswürdigen Zertifizierungsstelle wie D-Trust, SwissSign oder GlobalSign erworben haben. Der Vorteil ist, dass Sie dieses Zertifikat in der Office 365 Umgebung auswählen können, um so Man-In-The-Middle-Attacken zu verhindern.

Wählen Sie das Zertifikat aus und klicken auf Auswählen und schließen.

Eingehende_Sendekonnektoren-6
Zum Abschluss des Assistenten klicken Sie auf Fertigstellen.

Mail_Routing-7-zensiert
Die Konfiguration für NoSpamProxy ist nun abgeschlossen.

 

Office 365- Konfiguration

Als letztes wird der Office 365 Tenant so konfiguriert, dass ausgehende E-Mails nicht direkt an den Empfängerserver, sondern zunächst an NoSpamProxy zugestellt werden.
Melden Sie sich dazu in an Ihrem Office 365 Tenant unter Verwendung des folgenden Links an:

https://outlook.office365.com/ecp

Verwenden Sie einen Benutzer, der über Administrationsrechte verfügt. Nur so können Sie in der Exchange-Oberfläche den Menüpunkt „Nachrichtenfluss“ auswählen.

Exchange1-bearbeitet

Nachrichtenfluss_Connector1-bearbeitet
Klicken Sie im Menü „Nachrichtenfluss“ in der oberen Menüleiste zunächst auf Connectors und dort auf das kleine Pluszeichen (siehe Screenshot). Es öffnet sich der Assistent zum Anlegen eines neuen Connectors.

Nachrichtenfluss_Connector2-bearbeitet
Wählen Sie auf der ersten Seite im „Von“-Feld Office 365 und im „An“-Feld E-Mail-Server Ihrer Organisation aus. Mit dieser Einstellung werden ausgehende E-Mails vom Office 365 Tenant an NoSpamProxy gesendet. Klicken Sie auf Weiter.

Nachrichtenfluss_Connector3
Vergeben Sie als nächstes einen beliebigen Namen für den Connector und entfernen den Haken „Interne Exchange-Email-Header beibehalten (empfohlen)“. Es steht Ihnen frei, das Beschreibungsfeld noch mit einem erklärenden Text zu füllen. Klicken Sie auf Weiter.

Nachrichtenfluss_Connector4-bearbeitet
Wählen Sie hier den Punkt „Nur, wenn ich eine Transportregel eingerichtet habe, die Nachrichten an diesen Computer umleitet“ aus und klicken auf Weiter.

Nachrichtenfluss_Connector5
Im nächsten Schritt wird der Smarthost angegeben, an den Office 365 die E-Mails schicken soll. Geben Sie hier den Namen oder die IP-Adresse des Servers an, auf dem die Gateway Rolle installiert ist. Klicken Sie auf Speichern.

Nachrichtenfluss_Connector6-bearbeitet
In diesem Dialog konfigurieren Sie die Verbindungsverschlüsselung. Aktivieren Sie in jedem Fall die Option „Immer TLS zum Sichern der Verbindung verwenden“. Im darunterliegenden Auswahldialog wählen Sie den Punkt „Alle digitalen Zertifikate, einschließlich selbstsignierter Zertifikate“ aus und klicken auf Weiter.

Sie erhalten nun eine Zusammenfassung der bisher getätigten Angaben.

Nachrichtenfluss_Connector7
Kontrollieren Sie die Angaben auf ihre Richtigkeit und klicken anschließend auf Weiter.

Im nächsten Schritt möchte der Assistent die Connector-Einstellungen überprüfen.

Nachrichtenfluss_Connector8
Geben Sie hierzu mindestens eine E-Mail-Adresse an, damit eine Testnachricht gesendet werden kann. Klicken Sie auf Überprüfen um die Prüfung zu starten.

Nachrichtenfluss_Connector9 Nachrichtenfluss_Connector10
Nach Abschluss der Prüfung erhalten Sie ein Überprüfungsergebnis.

Nachrichtenfluss_Connector11
Die Test-Email schlägt in der Regel fehl. Dies können Sie zunächst ignorieren. Beenden Sie den Dialog mit einem Klick auf Speichern.

Als nächstes muss eine Transportregel erstellt werden. Klicken Sie dazu in der Office 365 Verwaltungsoberfläche im Menü „Nachrichtenfluss“ im oberen Menüband auf Regeln.

Regel_erstellen
Klicken Sie im oberen Bereich auf das Plus-Symbol und wählen Neue Regel erstellen aus. Es öffnet sich der Assistent für die Erstellung einer neuer Transportregel.

Regel_erstellen2
Vergeben Sie zunächst einen beliebigen Namen für den Connector. Im Feld „Diese Regel anwenden wenn“ stellen Sie ein: „Der Empfänger befindet sich“ und „Außerhalb der Organisation“. Diese Einstellung können Sie über den Knopf Bedingung hinzufügen vornehmen.

Im Feld „Folgendermaßen vorgehen“ stellen Sie „Folgenden Connector verwenden“ ein und geben dann den vorher erstellten Connector an. Diese Einstellung tätigen Sie über den Knopf Aktion hinzufügen. Falls Sie an dieser Stelle nur „Personen“ auswählen können, klicken Sie im unteren Abschnitt bitte auf Weitere Optionen. Nun können Sie unter „Die Nachricht umleiten an“ den „Folgenden Connector verwenden…“ auswählen und anschließend den zuvor erstellten Connector verwenden.

Bugg-1
Die restlichen Einstellungen übernehmen Sie bitte wie oben angegeben und klicken auf Speichern.

Damit sind alle nötigen Einstellungen vorgenommen und der Test kann beginnen.