Wer kennt das nicht. Man legt einen neuen Exchangebenutzer an, setzt ein Startkennwort und übergibt es seinen Usern mit der Bitte es sofort zu ändern.
Leider weiß man als Administrator mittlerweile das diese Bitte nur zu gerne vergessen oder gar ignoriert wird.
Mit diesem Powershellscript haben wir die Möglichkeit die Benutzerkonten zu testen.
Dazu muss man nur das Startkennwort angeben. Es wird dann automatisch jeder Benutzer getestet. Bei dem Benutzer dessen Kennwort gleich dem Startkennwort ist erhaltenwir die Konsolenausgabe in ROT. Alle anderen in Grün
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
# Suche nach Benutzern die das Defaultkennwort haben $password = "Start12345" # Defaultkennwort definieren Get-Mailbox | Foreach-Object { $Domain = "LDAP://" + ([ADSI]"").distinguishedName $alias = $_.Alias $CurrentDomain = "LDAP://" + ([ADSI]"").distinguishedName $domain = New-Object System.DirectoryServices.DirectoryEntry($Domain,$alias,$Password) if ($domain.name -eq $null) { write-host "ALIAS $alias - OK!" -F Green } else { write-host "ALIAS $alias NICHT OK!" -F Red } } |
Um eine Emailvorlage im Outlook 2010 zu erstellen gehen Sie wie folgt vor :
- Neue Email verfassen.
- Datei -> Speichern unter -> „C:\Benutzer\AppData\Roaming\Microsoft\Templates\
- Dateityp (*oft) auswählen
- Vorlage speichern
Um eine Emailvorlage im Outlook 2010 zu nutzen gehen Sie wie folgt vor :
- Start
- „Neue Elemente“
- „Weitere Elemente“
- „Formular wählen“
- Suchen in „Vorlagen im Dateisystem“
That´s is
Wir haben mehrfach das Problem gehabt das wenn Benutzer Ihr Kennwort im OWA ändern wollten das Problem
„Das eingegebene Kennwort entspricht nicht den Mindestsicherheitsanforderungen.“ auftauchte.
Das passierte meistens wenn die Benutzer mehrfach hintereinander das Kennwort ändern wollten.
Abhilfe schafft es das „Minimale Kennwortalter“ in den Gruppenrichtlinien auf „0“ zu setzen. Somit kann der Benutzer beliebig oft am Tag sein Kennwort ändern.
In der Exchange Management Console ist es möglich, in den Eigenschaften eines Postfaches, eine Weiterleitung zu setzen.
Empfängerkonfiguration –> Postfach –> Doppelklick auf ein Postfach –> Nachrichtenübermittlungseinstellungen –> Zustellungsoptionen –> Eigenschaften –> Weiterleiten an:
Dies ist aber nur für Konten innerhalb der eigenen Organisation möglich. Es wäre nun möglich über einen neu angelegten Kontakt, mit der entsprechenden externen Mailadresse, hier eine Weiterleitung einzutragen oder Transportregeln zu benutzen. Wem das aber zu umständlich ist kann sich mit der Shell behelfen.
|
1 |
set-mailbox -Identity BENUTZERNAME -DeliverToMailboxAndForward $true -ForwardingSmtpAddress externeAdresse@extern.tld |
BENUTZERNAME – der Alias des Kontos
DeliverToMailboxAndForward – Weiterleitung an Postfach und Weiterleitungsadresse übermitteln
externeAdresse@extern.tld – dies mit der Mailadresse ersetzen, wohin weitergeleitet werden soll, z.B. foo.bar@abc.com
Damit die externe Weiterleitung funktioniert, sollte noch folgendes überprüft werden:
|
1 2 |
Exchange Management Console --> Organisationskonfiguration --> Hub-Transport --> Remotedomänen --> Doppelklick auf den Eintrag --> Nachrichtenformat --> Automatische Weiterleitung zulassen Haken setzen zum aktivieren |
Zum Entfernen der Weiterleitung wird wieder der set-mailbox Befehl genutzt mit: -ForwardingSmtpAddress $null
Auch ohne einen Edge-Server besitzt der Exchange eine Antispam-Funktion. Diese ist jedoch in der Grundinstallation deaktiviert.
Zum Aktivieren befindet sich in C:\Program Files\Microsoft\Exchange Server\V14\Scripts das entsprechende Script „install-AntispamAgents.ps1„.
Über die Exchange Management Shell wird das Script mit .\install-AntispamAgents.ps1 ausgeführt.
Danach den „Microsoft Exchange-Transport“ neustarten und in Exchange Management Console unter
Organisationskonfiguration –> Hub-Transport befindet sich der neue Tab „Antispam„.
Hier kann man nun die einzelnen Optionen aktivieren oder deaktivieren.
In der Inhaltsfilterung unter Aktion kann bestimmt werden, was mit Spam-E-Mails passieren soll.
Beachten sollte man, dass False Positive Mails unter Umständen nicht den Empfänger erreichen und wichtige Nachrichten verloren gehen könnten.
Um dies zu vermeiden deaktiviert man alle 3 Optionen.
Über IP-Sperrlistenabieter kann man z.B. die bekannte Blackliste von Spamhaus einbinden.
Vorher sollte man sich aber informieren, ob man Spamhaus auch kostenlos nutzen darf:
http://www.spamhaus.org/organization/dnsblusage.html
IP-Sperrlistenanbieter –> Eigenschaften –> Provider –> Hinzufügen
Anbietername: Spamhaus
Lookup-Domäne: zen.spamhaus.org
Rückgabestatuscodes: Bestimmte Maske und Antworten zuordnen: Mit folgender Maske abgleichen: 127.0.0.2
Optional kann mit dem Button Fehlermeldungen eine benutzerdefinierte Fehlermeldung zurückgegeben werden.
Unter Ausnahmen kann es sinnvoll sein, z.B. für Verteilerlisten o.ä. Adressen eine Ausnahme einzutragen.
Weitere Informationen zur Blacklist von Spamhaus und den Statuscodes:
http://www.spamhaus.org/zen/
Mit „Anbieter für zugelassene IP-Adressen“ kann man sogenannte Whitelisten einfügen.
Spamhaus.org führt auch eine Whitelist, welche man unter Providers in den Eigenschaften hinzufügen kann:
Anbietername: Spamhauswhitelist
Lookup-Domäne: swl.spamhaus.org
Rückgabestatuscodes: Jeden Rückgabecode zuordnen
Weitere Informationen zur Spamhaus Whitelist und den Statuscodes:
http://www.spamhauswhitelist.com/en/usage.html
Eine weitere Whitelist ist die von dnswl.org:
Lookup-Domäne: list.dnswl.org
Rückgabestatuscode entweder wieder „Jeden Rückgabecode zuordnen“ oder manuell eintragen.
Eine Liste der Codes und deren Bedeutung findet sich auf http://dnswl.org/tech
Mit Sender ID kann man sich gegen das Mail Spoofing (Vortäuschen anderer Identitäten) zur Wehr setzen. Hierbei wird eine DNS Abfrage durchgeführt, um zu ermitteln, ob die IP-Adresse zur angegebenen Domäne passt.
Der Sender ID-Status fließt dann in die Berechnet des SCL-Werts mit ein (Spam Confidence Level, Wert der Spamwahrscheinlichkeit).
Nur über die Exchange Shell ist es möglich bestimmte Empfänger- und Absenderdomänen anzugeben, die von der Sender-ID ausgeschlossen werden sollen.
z.B. den Empfänger verteiler@mydomain.com ausschließen:
Set-SenderIdConfig -BypassedRecipients verteiler@mydomain.com
Mit Komma getrennt können bis zu 100 Adressen angegeben werden.
Mit einer globalen Konfiguration in Exchange kann bestimmt werden, ab welchem SCL-Wert die Mail in den Junk-E-Mail-Ordner sortiert wird. Exchange behandelt diesen Wert mit „größer als“ und nicht mit „größer oder gleich“.
Set-OrganizationConfig -SCLJunkThreshold 5
Welcher Wert derzeit gesetzt ist lässt sich mit
Get-OrganizationConfig | fl SCLJunkThreshold
herausfinden.
In Exchange 2010 Sp1 gibt es einen Bug in der Verwaltung vom Vollzugriff eines Postfaches.
Nach entfernen zeigt Outlook trotzdem noch das Postfach an.
Lösung:
Im ADSI-Editor, beim Postfach auf dem der Vollzugriff eingerichtet wurde, den Wert in msExchDelegateListLink bearbeiten bzw. entfernen.
Beispiel:
Beim User B wurde ein Vollzugriff für User A eingerichtet.
A sieht in seinem Outlook das Postfach von B.
Nach der Entfernung in der Exchange-Verwaltungskonsole des Vollzugriffs bei User B erscheint weiterhin bei A seinem Outlook das Postfach von B.
Nun den Wert msExchDelegateListLink bei User B entfernen (bearbeiten) und Outlook bei User A neustarten.
Wenn OWA auf einem Exchangeserver nach dem Login beim Aufruf von
https://server/owa/auth.owa
nur noch eine leere Seite zeigt sollte man einmal den WWW-Publishingdienst neustarten und überprüfen ob der Dienst
Formularbasierter Microsoft Exchange-Authentifizierungsdienst
läuft. Die weiße Seite ist ein zeichen das dieser besagte Dienst nicht läuft.