Archiv der Kategorie: Exchange

Exchange Online Compliance und Archive

22. Türchen

Mit dem heutigen O365 Adventskalender Türchen schauen wir uns noch ein zweites Exchange Thema an, das meiner Meinung nach nicht so selbst erklärend ist, wie die anderen Konfigurationen. Und zwar geht es dabei um das Compliance Management.

Exchange Online Compliance

In-Place eDiscovery:

Die eDiscovery ist in Europa und speziell Deutschland weniger bekannt und genutzt. Hauptsächlich geht es mit dieser Funktion um die Identifizierung und Bereitstellung von elektronischen Informationen, die in Rechtsfällen als Beweismaterial verwendet werden können. Ich denke, es erklärt sich von selbst, dass die Funktion ursprünglich eine Anforderung aus den USA war. 😉 Da Firmen aber immer größer werden und global agieren, kann diese Funktion auch für europäische und deutsche Unternehmen sehr interessant sein. Daher schauen wir uns schnell an, wie wir uns eine eDiscovery-Suche erstellen.

Exchange Online Compliance eDiscovery

Es läuft ähnlich, wie auch gestern bei den Malware und Spam Filtern. Also nachdem ich einem eDiscovery-Fall einen aussagekräftigen Namen gegeben habe, definiere ich auf der zweiten Dialogseite den Scope, also wo überall gesucht werden soll. Mit der Administratorrolle „Discovery Management“ kann ich auf der nächsten Seite bestimmte Schlüsselwörter konfigurieren, die beispielsweise im entsprechenden Rechtsstreit eine Relevanz haben könnten. Die weiteren Filteroptionen seht ihr im folgenden Screenshot.

Exchange Online Compliance eDiscovery Filter

Im letzten Schritt könnt ihr noch sagen, wie lange die gefundenen Informationen zu so einem Fall aufbewahrt werden sollen.

Exchange Online Compliance eDiscovery Aufbewahrung

Wichtig zu verstehen ist hier, dass die Suchergebnisse und damit die entsprechenden Emails und Dateianhänge exportiert werden können. Selbst wenn ein Mitarbeiter schnell versucht, belastendes Material zu löschen, dann habe ich mit der eDiscovery eine zusätzliche Sicherung.

Auditing:

Die Auditierung erinnert mich ein wenig an die alten SharePoint Protokolle, die als Excel zur Verfügung gestellt wurden. Dies hat meiner Meinung nach nie den Anforderungen einer Firma genügt. Ähnlich „übersichtlich“ ist auch hier die Exchange Auditierung. Es gibt die paar Reports, die ihr im Screenshot seht mit einem Beispiel für die Administrations-Auditierung. Spannend ist hier zu sehen, dass die Aktion anhand des PowerShell-Befehls aufgelistet wird. Dies zeigt schön, dass ich alles im User Interface auch über PowerShell konfigurieren kann. Und damit möchte ich noch einmal den krassen PowerShell Unterschied zu SharePoint Online betonen.

Exchange Online Compliance Auditierung

Da wir uns mit dem heutigen Beitrag in der Kategorie Datenschutz bewegen, ist diese Auditierung dennoch gut und sinnvoll, um Aktionen zu überwachen und nachvollziehen zu können und damit Schaden von der Firma abzuwenden. Ich kann dabei nur immer wieder auf die neue EU-Datenschutzgrundverordnung verweisen.

Data Lost Prevention:

Die Data Lost Prevention ist ein sehr komplexes Thema und würde allein schon ein paar weitere Blog Beiträge decken. Grundsätzlich geht es hierbei um die Identifikation von Inhalten – auch in Dateianhängen – wie z.B. Kreditkarteninformationen oder persönlichen Daten (Geburtsdatum etc.) oder anderen Datenschutzregeln. Sollte ein Dokument oder Email mit solchen Daten identifiziert werden, so werden entsprechende Aktionen gemäß Richtlinie angewendet. Einen ersten guten Überblick bekommt ihr dazu auf meinem Blogbeitrag über die DLP für SharePoint On-Premises. In Exchange Online sieht es ähnlich aus, nur dass uns mehr Vorlagen und ein paar weitere Optionen zur Verfügung stehen.

Retention Tags:

Bevor wir zur Archivierung kommen, knöpfen wir uns zunächst die Aufbewahrungs-Schlüsselwörter vor. Diese Schlüsselwörter oder einfach Metadaten einer Email können in drei Kategorien erstellt und angewendet werden:

  1. Automatisch an der gesamten Mailbox
  2. Automatisch auf entsprechende Standardordner
  3. Manuell durch den Nutzer

Für unser Beispiel wollen wir nun ein weiteres manuelles Schlüsselwort hinzufügen.

Exchange Online Compliance Retention Tags

Hierbei definiere ich einfach einen Namen für eine der drei Archivierungsfunktionen (siehe nächster Screenshot) und dann einen Archivierungszeitraum, bzw. dass eine Email mit diesem Schlüsselwort nicht archiviert werden soll.

Exchange Online Compliance Retention Tag Aufbewahrung

Retention Policy:

In der Retention Policy können wir nun die Schlüsselwörter übernehmen und in einer Archivierungs-/Aufbewahrungsrichtlinie anwenden. Die Default MRM Policy ist dabei die, welche standardmäßig auf alle Nutzer zutrifft. Darin sind auch bereits die Standardregeln, dass eine Email nach zwei Jahren automatisch archiviert wird.

Exchange Online Compliance Retention Policy

Der Vorteil der Archivierung ist der, dass wir dadurch zusätzlichen Speicher nutzen können, nämlich den Archivspeicher. Außerdem kann ich so meine Emails kategorisieren und aufräumen. Weitere Informationen, welche Standardaufbewahrungsrichtlinien es in Exchange Online gibt, findet ihr hier:

https://technet.microsoft.com/de-de/library/dn775046(v=exchg.150).aspx

Im Screenshot oben, habe ich unser Adventskalender-Schlüsselwort der Standardrichtlinie hinzugefügt und nach einigen Stunden (bis der entsprechende Exchange Online Timer Service im Hintergrund gelaufen ist) steht es mir in Outlook zur Auswahl zur Verfügung.

Ihr seht im Screenshot neben der Standardrichtlinie aber auch eine weitere O365Adventskalender-Richtlinie. Diese kann ich nun einzelnen Nutzern über Empfänger (Recipients) zuweisen.

Exchange Online Compliance Retention Policy zuweisen

Ihr müsst darauf achten, dass ihr in der Richtlinie, die ihr euren Mitarbeitern zuweist, alle Metadaten zur Verfügung stellt, die ihr braucht, denn Richtlinien erben nicht voneinander. Der Mailbox eines Mitarbeiters sind also wirklich nur die automatischen und persönlichen Schlüsselwörter und Archivierungsfunktionen hinterlegt, die in der ihm zugewiesenen Richtlinie enthalten sind!

 

Journal Rules:

Die Journal Rules sind in Office 365 relativ neu und ermöglichen das Aufbewahren zum Teil der gesamten Unternehmenskommunikation. Für manche Industrien, wie z.B. Banken und Versicherungen, ist dies sogar regulatorisch vorgeschrieben. Daher ist es gut und wichtig, dass wir diese Möglichkeit in der Microsoft Cloud haben. Der Sinn ist ähnlich, wie bei der eDiscovery, nur zielen die Journals generell auf die Kommunikation und nicht nur auf spezielle Suchbegriffe ab.

Die Konfiguration einer Journal Regel ist einfach und erfordert nur vier Eingaben:

  1. Einen Empfänger für die Journal Protokollierung
  2. Einen Namen für diese Richtlinie
  3. Ob alle Nutzer oder nur für bestimmte die Protokollierung angewendet werden soll
  4. Ob alle oder nur interne bzw. externe Emails protokolliert werden sollen

Exchange Online Compliance Journal Rules

 

Zur Information möchte ich nur noch kurz die anderen Hauptpunkte erwähnen, unter denen ihr Exchange Online noch weitere im Detail für eure Anwendungsszenarien anpassen könnt.

Empfänger (Recipients):

Übersicht der Nutzer, Gruppen und Ressourcen (z.B. Konferenzräume, Beamer, etc.). Hier kann man z.B. auch einzelnen oder mehreren Nutzern eine Archivrichtlinie zuweisen oder andere weitergehende Email-Einstellung auf Nutzerbasis vornehmen.

Berechtigungen (Permissions):

Hier werden Rollen und Berechtigungen verwaltet sowie zugewiesen und man kann konfigurieren, welche Funktionen in der Outlook Web App zur Verfügung stehen sollen, z.B. eine LinkedIn Kontakt-Synchronisation.

Organization Sharing:

Hier wird konfiguriert, ob und was Mitarbeiter aus ihrem Exchange Kalender teilen dürfen.

Mail Flow:

In dieser Kategorie geht es um Email-Regeln, also was z.B. beim Eintreffen einer Email passieren soll. Die anderen Themen beschäftigen sich mit dem Routing von Emails, also das Nachverfolgen einer Email-Spur sowie das konfigurieren entsprechender interner und externer Domains oder dedizierter Dienst-Server.

Mobile:

Unter diesem Punkt konfigurieren wir, welche mobilen Geräte und Gerätetypen auf unseren Exchange Online zugreifen dürfen bzw. in Quarantäne sind. Außerdem können Regeln für den Abruf von Emails durch mobile Endgeräten eingestellt werden.

Public Folders:

Ist lediglich die Verwaltung der bekannten Exchange „Public Folder“ Funktionalität.

Unified Messaging:

Hier kann ich grundlegende Funktionen wie Voicemail, Outlook Voice Access und Mailboxansageregeln konfigurieren.

Hybrid:

Dies ist aktuell nur der (doppelte) Link zum Download des Office 365 Hybrid Configuration Tool, welches wir bereits im 20. Kalendertürchen bei der Postfach-Migration angeschaut haben.

 —–

All diese Dinge kann ich auch per PowerShell konfigurieren. Dies ist der große Unterschied zu SharePoint Online. Manche Dinge kann ich in Exchange sogar nur über die Kommandozeile konfigurieren, wie z.B. eine Passwort-Ablaufregel. Wir wollten uns aber im O365Adventskalender nur auf die einfachsten und wichtigsten Anwendungsszenarien konzentrieren, um für den Start in die Microsoft Cloud gut aufgestellt zu sein. All die weiteren Funktionen, die ich hier nur kurz aufgezählt habe, haben natürlich auch einen gewissen Mehrwert, sind aber nur bei bestimmten Anwendungsszenarien sinnvoll.

Die Konfiguration all dieser Funktionen ist sehr übersichtlich über das UI und daher könnt ihr einfach mal drauf los konfigurieren. Andernfalls sind für fast alle Funktionen auch gute Technet Artikel verfügbar, um notfalls etwas nachlesen zu können.

Happy „SharePointing“ und „fröhlichen Austauschen“… 😉

Zur O365Adventskalender Übersicht

Exchange Online Sicherheitsfunktionen in O365

21. Türchen

Gestern habe ich das Exchangen Admin Center bereits angedeutet, als es um die Mailbox Migration ging. (Ab) heute schauen wir uns in diesem Admin Center genauer um. Es gibt eine Reihe Funktionen, mit denen wir unseren Exchange Online konfigurieren können. Wir können nicht alle in diesem Adventskalender-Rahmen besprechen, daher möchte ich mich auf die meiner Meinung nach wichtigsten konzentrieren – Heute: Exchange Sicherheitsfunktionen.

Exchange Online Übersicht

Mit diesen Funktionen kann ich mein Unternehmen und die Nutzer davor schützen, dass Spam, Phishing und Malware (Schadsoftware) von außen nach innen gelangt. In der umgekehrten Richtung kann ich aber auch dafür sorgen, dass nicht mein Exchange Server gehackt und missbraucht wird und nun solche Dinge von innen nach außen geraten. Besonderen Fokus legen wir also auf die Malware und Spam Filter.

Malware Filter:

Mit diesem Filter kann Exchange Online für Schadsoftware sensibilisiert werden, die meist in Email-Anhängen zu finden sind. Dafür stehen uns einige Option zur Verfügung, die wir uns nun anschauen.

O365 Exchange Online Malware Detection Response

Nachdem wir von der Übersichtsseite direkt in die Mailware Filterregeln gelangt sind, können wir dort über das „+“ Zeichen eine neue Regel hinzufügen, der wir als erstes einen eindeutigen Namen vergeben. Anschließend können wir entscheiden, was bei einem Fund getan werden soll. Also ob die komplette Email gelöscht wird oder nur die Anhänge und der Benutzer im letzteren Fall mit einer Standard- oder einer angepassten Notiz darüber informiert wird.

O365 Exchange Online Malware Attachment Types

Weiterhin können wir festlegten, bei welchen Dateitypen die Regel zutrifft. Standardmäßig sind dafür schon die wichtigsten Formate hinterlegt, wie Skripte oder EXE-Dateien. Ich kann diese Liste aber auch mit eigenen Definitionen erweitern.

Der Benachrichtigungsteil im Malware Filter ist sehr umfangreich. Hierbei geht es um die Versender solcher Email, deren Dateianhänge als Malware eingestuft werden. Dafür kann ich gezielt Absender-Name und Email-Adresse sowie Betreff und Inhalt definieren. Dies ist natürlich wichtig, damit ich bei solchen Antworten nicht zu viel preisgebe, sollte es sich wirklich um eine Viren- oder Phishing Attacke handeln.

O365 Exchange Online Malware Notifications

Neben angepassten Einstellungen sowohl für interne als auch für externe Versender fragwürdiger Emailanhänge, so kann ich mich ebenso als Administrator zusätzlich darüber informieren lassen, um das Auslösen dieser Richtlinie zu überwachen. Gegebenenfalls kann ich also einschreiten und interne Nutzer besser über das Versenden solcher Dateianhänge informieren oder bei Externen Angriffen eventuell meine Einstellungen noch weiter verfeinern und verstärken.

Und dies ist fast schon ein Stichwort für die letzte Konfiguration, denn ich kann Richtlinien auch ganz bestimmten Personen zuordnen. So wende ich beispielsweise auf externe Mitarbeiter strengere Richtlinien an, als auf die Internen. Oder aber ich habe einen Verdacht gegen einen bestimmten Kollegen und kann diesen so auch genauer unter die Lupe nehmen, um Schaden von der Firma abzuwenden.

O365 Exchange Online Malwar Spam Filter Applied to

Am Ende nicht vergessen abzuspeichern und gegebenenfalls die Rangordnung, der verschiedenen Regeln anpassen.

Testen können wir die Malware (Schadsoftware) Filter mit einer EICAR.TXT Datei. Dies ist eine normale Textdatei, die aber aufgrund ihrer Zeichenfolge als Schadsoftware identifiziert wird. Somit erstellen wir uns eine Text-Datei und nennen sie EICAR.TXT. In die Datei kopieren wir uns folgende Zeichenfolge:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Achtung, auch normale Antivirenprogramme auf eurem Rechner oder in Outlook erkennen so eine Datei als Virus, daher stellt sicher, dass ihr die Datei in einem sicheren bzw. vom Virenprogramm ausgeschlossenen Verzeichnis erstellen. Ich habe es ehrlich gesagt nicht hinbekommen, diese Textdatei zu versenden, weil mindestens Outlook diese Datei nicht zugelassen hat. Ihr müsst also im Unternehmen spezielle Nutzer komplett ausschließen, um solche Regeln testen zu können.

Spam Filter:

Neben dem Malware Filter, der auf Schadprogramme abzielt, kann ich mit dem Spam Filter den Inhalt von Emails auf Werbung, Phishing oder ähnliches überwachen. Dafür ist auch etwas mehr Fingerspitzengefühl gefragt, damit wichtige Emails eben auch ankommen und nicht fälschlicher Weise als Spam markiert werden.

Interessant ist dabei bereits – nachdem wir auch der Spam Filter Regel einen aussagekräftigen Namen gegeben haben – dass wir zwei verschiedene Stufen haben, mit welcher Wahrscheinlichkeit eine Email wahrscheinlich oder nur vermutlich Spam ist. Auf dem Screenshot sehen wir dazu, was möglich ist.

O365 Exchange Online Spam Filter Aktionen

Ich würde folgendes Fingerspitzengefühl empfehlen: Wenn es sich „vermutlich“ um eine Spam Mail handelt, dass diese zwar ausgeliefert, aber im Titel mit einem Prefix versehen wird, um den Empfänger entsprechend zu sensibilisieren. Nur wenn es sich sehr sicher um Spam handelt, dann verschiebe es in den – von Endbenutzern selten beachteten – Junk-Mail Ordner. So stelle ich sicher, dass es keine unnötigen Falschmeldungen gibt und meine Nutzer keine großen Einschränkungen erfahren. Weitere mögliche Aktionen sind folgende:

O365 Exchange Online Weitere Spam Filter Aktionen

Zusätzlich zum Algorithmus für die Identifikation von Spam kann man auch ganz dedizierte Absender und Domains in eine „Schwarzen Liste“, aber auch in eine „Weißen Liste“ hinzufügen. Ich denke, es ist klar, was eine Black – und White List ist, daher können wir uns hier weitere Details sparen.

Ganz spannend finde ich aber noch die „Internationalen Spam“ Einstellungen. Hier kann ich gezielte Sprachen und Länder auswählen, denen man hohen Spam Verkehr unterstellt und somit Emails aus diesen Gegenden oder mit dieser Sprache ähnlich mit hoher Wahrscheinlichkeit als Spam einstuft.

O365 Exchange Online Spam Filter International Spam

Aber es geht auch noch detaillierter! Um das Ranking und die Wahrscheinlichkeit von Spam-Identifikationen zu präzisieren, können wir sogar auf ganz bestimmte Eigenschaften filtern, wie verlinkte Bilder zu einer anderen Quelle, Redirect-URLs, JavaScripte, eingebettet iFrames und und und… Die Liste ist sehr umfangreich und schön finde ich auch, dass ich manche Filter auch nur zum Testen einstellen kann.

O365 Exchange Online Spam Filter Advanced Option

Werden also Eigenschaften gefunden, die ich nur testen möchte, dann soll die Mail erst mal noch kein Spam sein, sondern ich kann konfigurieren, ob nur ein Standard-Kopfzeilen-Text mit eingefügt wird oder ein Administrator eine Blindkopie-Email (Bcc) erhält.

O365 Exchange Online Spam Filter Test Mode

Genauso wie bei den Malware Filtern kann ich auch hier wieder gezielt Personen, Domains oder Gruppen definieren, auf die unsere Spam Filter Richtlinie angewendet werden soll. Abspeichern und fertig!

Das ist schon wirklich sehr umfangreich und einfach zu konfigurieren, damit wir schnell und sicher per Exchange Online kommunizieren können. Um das Ganze zu testen, ob die Richtlinien wirklich funktionieren, so können wir uns einfach eine Email mit folgendem Text ohne Leerzeichen und Zeilenumbrüche zusenden:

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

So eine GTUBE-Nachricht funktioniert wie eine EICAR.TXT Nachricht, die Schadsoftware simuliert.

Der Vollständigkeit halber noch kurz die anderen Sicherheitsfunktionen.

Connection Filter:
Hier kann man erlaubte und nicht erlaubte IP Adressen und IP-Adressräume angeben, von denen Emails akzeptiert oder geblockt werden.

Outbound Spam:
Hier kann nur die „Default“ Richtlinie angepasst werden. Es geht im Prinzip nur darum, dass auch die gesendeten Emails von O365 geprüft werden, ob sie spam-verdächtig sind. Eine Email kann dann an entsprechende Administratoren gesendet werden, um zu überprüfen, ob der Unternehmens-Exchange nicht für Spamming gehackt wurde – oder Mitarbeiter Spam in eigener Sache verschicken.

Quarantine:
Hier werden Email-Fälle aufgelistet, die im Spam Filter als Spam identifiziert wurden. Von hier kann man auch Emails wieder frei geben, wenn sie fälschlicher Weise als Spam identifiziert wurden.

Action Center:
Hier sehen wie alle Accounts, die aktuell von den Exchange Sicherheitsrichtlinien betroffen sind, also bei denen beispielsweise in den Emails Malware gefunden wurde. Dieser Bereich ist noch relativ neu und es gibt noch keine weiteren Information darüber, was genau hier möglich sein wird.

DKIM:
Das steht für Domain Keys Identified Mail und erhöht die Sicherheit beim Email-Verkehr gegen Spam und Phishing. Hiermit kann man nämlich spezielle DKIM Signaturen hinzufügen, die bestätigen, dass die Email wirklich vom entsprechenden Nutzer kommt und nicht im Versand abgefangen und geändert wurde.

Wir sehen also schnell, auch wenn wir fast den gesamten Exchange Online per PowerShell verwalten können – ganz im Gegensatz zu SharePoint Online – wir haben hier auch ein schönes User Interface, mit dem ich mir ohne tief technische Kenntnisse einen sicheren Mailversand in Office 365 konfigurieren kann. Dies ist vor allem für kleinere bis mittlere Firmen ein großer Vorteil, die sich keinen dedizierten Exchange Administrator leisten können oder wollen. Mit Office 365 kann ich also einfach Sicherheitsstandards erfüllen, die normalerweise nur Großunternehmen mit dedizierten Ressourcen erreichen konnten. Die Ausrede, dass die Cloud unsicher sei, lasse ich also nicht gelten. 😉

Happy „SharePointing“! (oder fröhliches Austauschen? 😉 )

Zur O365Adventskalender Übersicht