Exchange: Mails von Extern besonders hervorheben

In diesem Artikel wird dir gezeigt, wie man Empfänger innerhalb der Organisation besonders darauf hinweist, dass eine Mail von einem externen Absender stammt. Somit hebt man externe Mails klar hervor und minimiert das Risiko, dass Mitarbeiter Phishing-Versuchen Glauben schenken. Wir verwenden dafür Mailflow Regeln, sowie die Möglichkeit, einen Disclaimer (Haftungsausschluss) anzuhängen. Diese Variante lässt sich sowohl in Office365, als auch auf einem On-Premises Exchange (ab Exchange 2013) nachbilden. Folgendermaßen sollen Mails geflaggt werden:

Sowohl der Betreff [EXTERNAL] als auch die orange Hinweisbox fügt der Exchange eigenständig für Mails von externen Absendern hinzu. Dazu erstellen wir zwei eigenständige Regeln, welche nachfolgend näher erläutert werden.

Mailflow Regel im ECP erstellen

Dazu wechselt man in das Exchange Admin Center und ruft das Menü „Nachrichtenfluss“ auf. Anschließend kann eine neue Regel erstellt werden.

Betreff „Extern“ Prefix hinzufügen

Mit der ersten Regel fügen wir bei jeder Mail, die noch nicht entsprechend geflaggt wurde, den Prefix [EXTERNAL] im Betreff hinzu. Dazu erstellen wir folgende Regel:

• Name: Ein beliebiger Name um die Regel zu identifizieren. Bestenfalls ohne Leerzeichen, damit die Handhabung mit der Powershell im Anschluss einfacher ist.
• Diese Regel anwenden, wenn:
  • Der Empfänger befindet sich innerhalb der Organisation
  • Der Absender befindet sich außerhalb der Organisation
• Folgendermaßen vorgehen:
  • Dem Betreff der Nachricht folgendes voranstellen: „[EXTERNAL] „
• Außer wenn:
  • Der Betreff entspricht „\[EXTERN(AL)?\]“
  • Domains (optional siehe Externe Mailserver innerhalb der Organisation)
• Diese Regel mit folgendem Schweregrad überwachen: Wird für diese Regel nicht unbedingt benötigt, da hier keine sensitiven Daten gefiltert werden. Kann aber natürlich trotzdem gesetzt werden. Weitere Informationen zum Thema „Mailfow Regeln überwachen“ findet man in folgendem Microsoft Artikel.

Hierbei ist es essentiell, dass man den „außer, wenn“ Parameter mit dem oben genannten RegEx setzt. Ansonsten wird der [EXTERNAL] Prefix bei jeder Antwort vor die Mail gestellt, was dann irgendwann so aussehen würde: [EXTERNAL] AW: [EXTERNAL] AW: [EXTERNAL] Wichtige Nachricht

Haftungsausschluss (Nachrichtenbox) hinzufügen

Mit der zweiten Regel definieren wir den Haftungsausschluss (die orange Nachrichtenbox) und fügen diese bei jeder externen Mail hinzu:

• Name: Ein beliebiger Name um die Regel zu identifizieren. Bestenfalls ohne Leerzeichen, damit die Handhabung mit der Powershell im Anschluss einfacher ist.
• Diese Regel anwenden, wenn:
  • Der Empfänger befindet sich innerhalb der Organisation
  • Der Absender befindet sich außerhalb der Organisation
• Folgendermaßen vorgehen:
  • Den Haftungsanschluss voranstellen:
    

    <p><div style="background-color:#FFEB9C; width:100%; border-style: solid; border-color:#9C6500; border-width:1pt; padding:2pt; font-size:10pt; line-height:12pt; font-family:Calibri; color:Black; text-align: left;"><span style="color:#9C6500"; font-weight:bold;>ACHTUNG:</span> Diese E-Mail stammt von einem externen Absender. Bitte vermeide es, Anhänge oder externe Links zu öffnen.</div><br></p>

• Außer wenn:
  • Domains (optional siehe Externe Mailserver innerhalb der Organisation)
• Diese Regel mit folgendem Schweregrad überwachen: Wird für diese Regel nicht unbedingt benötigt, da hier keine sensitiven Daten gefiltert werden. Kann aber natürlich trotzdem gesetzt werden. Weitere Informationen zum Thema „Mailfow Regeln überwachen“ findet man in folgendem Microsoft Artikel.

Somit sollte nach der Konfiguration der beiden Regeln das Exchange Interface wie folgt aussehen:

Externe Mailserver innerhalb der Organisation

Es kann durchaus vorkommen, dass der Exchange nicht den einzigen Mailserver innerhalb der Organisation darstellt. Mit der oben angeführten Konfiguration würden allerdings alle Mails, welche nicht vom Exchange stammen, als externe Mails geflaggt werden. Um dieses Problem zu entgehen, kann man beispielsweise die Ausnahme auf bestimmte Domains legen. So würde die Regel nur zutreffen wenn:

• Absender stammt von außerhalb der Organisation
• UND Empfänger befindet sich innerhalb der Organisation
• AUßER WENN die Absenderdomain „contoso.com“, „company.com“ lautet

Das würde auch mit bestimmten IPs funktionieren. Nur hierbei muss man beachten, falls ein Loadbalancer die Last auf mehrere Exchange Nodes verteilt, dass in diesem Fall immer die Loadbalancer IP aufscheint. Daher wäre das nicht zielführend. Es ist außerdem möglich, die Regel zu verfeinern. Beispielsweise könnte man externe Kalendertermine davon ausnehmen.