Sender Rewriting Scheme (SRS) in Microsoft 365
Hinweis
Im August 2023 wird eine Änderung für smtp- oder postfachweitergeleitete Nachrichten eingeführt. In Zukunft wird SRS verwendet, um diese Nachrichten anstelle des Weiterleitungspostfachs umzuschreiben. Dadurch werden Weiterleitungsmethoden konsolidiert, damit alle SRS in Exchange Online verwenden. Während SRS so konzipiert ist, dass Unterbrechungen bei weitergeleiteten Nachrichten vermieden werden, können in einigen Sonderfällen Probleme auftreten. Ein Fall dieser Änderung ist, dass Nachrichten, die über lokale Server an das Internet weitergeleitet werden, nicht mit SRS umgeschrieben werden. Um diese Verhaltensänderung zu vermeiden, lesen Sie die neue Einstellung, die hier behandelt wird: Sender Rewriting Scheme Upcoming Changes.
Das Relaypoolfeature wurde in Microsoft 365 eingeführt, das sich auf das SRS-Umschreibungsverhalten auswirkt. Nachrichten, die für diesen Relaypool qualifiziert sind, werden nicht von SRS neu geschrieben und von IP-Adressen gesendet, die nicht Teil des Microsoft 365 SPF-Eintrags sind. Dies wirkt sich hauptsächlich auf Nachrichten aus, bei denen SPF-Überprüfungen fehlschlagen, wenn sie exchange Online betreten, sodass SRS diese Fehler nicht behebt. Weitere Informationen finden Sie in der Dokumentation zum Relaypool hier: Ausgehende Übermittlungspools.
Microsoft 365 wurde die SrS-Funktion (Sender Rewriting Scheme) hinzugefügt, um ein Problem zu beheben, bei dem die automatische Weiterleitung nicht mit SPF kompatibel war. Das SRS-Feature schreibt die P1 From-Adresse (auch als Umschlagadresse bezeichnet) für alle anwendbaren Nachrichten um, die extern von Microsoft 365 gesendet werden.
Hinweis
Die von E-Mail-Clients angezeigte From-Kopfzeile, die auch als Adresse für die Anzeige von oder P2-Adresse bezeichnet wird, bleibt unverändert.
Die SRS-Funktionalität verbessert die Übermittlung anwendbarer Nachrichten, die die Überprüfungen des Sender Policy Framework (SPF) bestehen, wenn sie vom ursprünglichen Absender empfangen werden, aber nach der Weiterleitung SPF-Überprüfungen am endgültigen externen Ziel fehlschlagen.
SRS schreibt die P1 From-Adresse in den folgenden Szenarien um:
- Nachrichten in Microsoft 365, die mithilfe einer der folgenden Methoden automatisch an einen externen Empfänger weitergeleitet (oder umgeleitet werden):
- SMTP-Weiterleitung
- Postfachregelumleitung (oder Posteingangsregel)
- Umleitung von Nachrichtenflussregeln (Transport)
- Gruppen oder DLs mit externen Mitgliedern
- E-Mail-Kontaktweiterleitung
- E-Mail-Benutzerweiterleitung
- Nachrichten, die automatisch aus der lokalen Umgebung eines Kunden weitergeleitet (oder umgeleitet) und über Exchange Online weitergeleitet werden.
Es ist wichtig zu beachten, dass SRS-Umschreiben verwendet wird, um spoofing von nicht überprüften Domänen zu verhindern. Sie sollten Nachrichten nur von Domänen senden, die Sie besitzen und deren Besitz Sie über die Liste Akzeptierte Domänen überprüft haben. Weitere Informationen zu akzeptierten Domänen in Microsoft 365 finden Sie unter Verwalten akzeptierter Domänen in Exchange Online.
Hinweis
Das SRS-Umschreiben behebt das Problem der DMARC-Übergabe für weitergeleitete Nachrichten nicht. Obwohl eine SPF-Überprüfung aufgrund der umgeschriebenen P1 From-Adresse jetzt erfolgreich ist, erfordert DMARC auch eine Ausrichtungsprüfung, damit die Nachricht bestanden wird. Bei weitergeleiteten Nachrichten schlägt DKIM immer fehl, da die signierte DKIM-Domäne nicht mit der From-Headerdomäne übereinstimmt. Wenn ein ursprünglicher Absender seine DMARC-Richtlinie so festlegt, dass weitergeleitete Nachrichten abgelehnt werden, werden die weitergeleiteten Nachrichten von Message Transfer Agents (MTAs) abgelehnt, die DMARC-Richtlinien berücksichtigen. Der ARC-Standard wurde entwickelt, um DKIM-Probleme mit der Weiterleitung zu beheben, und wurde in unserem Dienst implementiert, um diese Probleme zu beheben.
Dieses Fehlerszenario führt zusammen mit anderen Übermittlungsfehlern dazu, dass Non-Delivery Reports (NDRs) an Exchange Online und nicht an den ursprünglichen Absender zurückgegeben werden, wenn SRS-Umschreibungen nicht verwendet werden. Daher besteht ein Teil der SRS-Implementierung darin, zurückgegebene NDRs an den ursprünglichen Absender umzuleiten, wenn eine Nachricht nicht zugestellt werden kann.
In den folgenden Abschnitten werden verschiedene Szenarien für die automatische Weiterleitung und Informationen dazu vorgestellt, wie SRS sie behandelt.
Automatische Weiterleitung von E-Mails für ein auf Microsoft 365 gehostetes Postfach
Für eine Nachricht, die an ein gehostetes Postfach gesendet wird und mithilfe von Mechanismen wie SMTP-Weiterleitung, Postfachregelumleitung oder Transportregelumleitung automatisch weitergeleitet wird, wird die P1 From-Adresse umgeschrieben, bevor die Nachricht Exchange Online verlässt. Die Adresse wird im folgenden Muster umgeschrieben:
<Forwarding Mailbox Username>+SRS=<Hash>=<Timestamp>=<Original Sender Domain>=<Original Sender Username>@<Forwarding Mailbox Domain>
Im folgenden Beispiel wird eine Nachricht von Bob (bob@fabrikam.com) an Johns Postfach in Exchange Online (john.work@contoso.com) gesendet. John hat die automatische Weiterleitung von diesem Postfach an seine private E-Mail-Adresse (john.home@example.com) eingerichtet. Beachten Sie, wie die P1 From-Adresse von SRS umgeschrieben wird.
Ursprüngliche Nachricht | Automatisch gesendete Nachricht | |
---|---|---|
Empfänger | john.work@contoso.com |
john.home@example.com |
P1 von | bob@fabrikam.com |
john.work+SRS=44ldt=IX=fabrikam.com=bob@contoso.com |
Aus Kopfzeile | bob@fabrikam.com |
bob@fabrikam.com |
Wenn SRS die P1 From-Adresse umschreibt, wird die Länge des Benutzernamenteils der E-Mail-Adresse erhöht. Die E-Mail-Adresse ist jedoch auf 64 Zeichen beschränkt. Wenn also die Länge der umgeschriebenen E-Mail-Adresse 64 Zeichen überschreitet, hat sie das folgende Format:
bounces+SRS=<Hash>=<Timestamp>@<Default Accepted Domain>
dabei <Default Accepted Domain>
ist der Name der Standarddomäne, die für den Mandanten eingerichtet wurde.
Relay vom lokalen Server eines Kunden
Wenn eine Nachricht, die aus einer nicht überprüften Domäne stammt, vom lokalen Server eines Kunden oder einer Anwendung über Exchange Online weitergeleitet wird, wird die P1 From-Adresse umgeschrieben, bevor sie Exchange Online verlässt. Die Adresse wird im folgenden Muster umgeschrieben:
bounces+SRS=<Hash>=<Timestamp>@<Default Accepted Domain>
Im folgenden Beispiel wird eine Nachricht von Bob (bob@fabrikam.com) an Johns Postfach (john.onprem@contoso.com) gesendet, das sich auf dem Server seines Unternehmens befindet, auf dem Exchange Server ausgeführt wird. John hat die automatische Weiterleitung von diesem Postfach an seine private E-Mail-Adresse (john.home@example.com) eingerichtet. Beachten Sie, wie die P1 From-Adresse in diesem Szenario von SRS umgeschrieben wird. Kunden werden empfohlen, die akzeptierte Standarddomäne auf eine ihrer eigenen Domänen festzulegen.
Typ | Ursprüngliche Nachricht | Von Exchange Online empfangene Relaynachricht | Von Exchange Online gesendete Relaynachricht |
---|---|---|---|
Empfänger | john.onprem@contoso.com |
john.home@example.com |
john.home@example.com |
P1 von | bob@fabrikam.com |
bob@fabrikam.com |
bounces+SRS=44ldt=IX@contoso.com |
Aus Kopfzeile | bob@fabrikam.com |
bob@fabrikam.com |
bob@fabrikam.com |
In einigen Situationen werden die weitergeleiteten Nachrichten, die von SRS umgeschrieben werden, möglicherweise nicht übermittelt, und ein NDR wird möglicherweise generiert.
Um diese NDRs zu erhalten, muss der Mandantenadministrator ein Postfach mit dem Namen "bounces" erstellen, das entweder auf Exchange Online oder lokal gehostet wird. Die Domäne für dieses Postfach muss auf die standardmäßig akzeptierte Domäne für den Mandanten festgelegt werden.
Weitergeleitete Nachrichten, die an den lokalen Server eines Kunden gesendet werden
Standardmäßig betrachtet SRS lokale Server als innerhalb der Vertrauensgrenze und schreibt weitergeleitete Nachrichten, die an die lokale Umgebung gebunden sind, nicht neu. Bei komplexen Routingkonfigurationen, die lokale Server verwenden, um Nachrichten an das Internet weiterzuleiten, unterliegen die weitergeleiteten Nachrichten ohne SRS-Umschreibung jedoch aufgrund eines SPF-Fehlers Ablehnungen. Um dieses Problem zu beheben, können Administratoren SRS für Datenverkehr aktivieren, der über einen lokalen ausgehenden Connector fließt. Dazu kann die Einstellung SenderRewritingEnabled verwendet werden und kann mithilfe der Cmdlets New-OutboundConnector oder Set-OutboundConnector konfiguriert werden.
Diese Einstellung gilt nicht für Partnerconnectors, die Nachrichten an externe Empfänger verarbeiten, und es ist obligatorisch, dass für diese Nachrichten bei Bedarf SRS angewendet wird. Die SenderRewritingEnabled-Einstellung wird für Partnerconnectors als true angezeigt, und bei allen Versuchen, ihren Wert festzulegen, wird ein Fehler zurückgegeben.
E-Mail-Fluss (Transport) umgeleitete Nachrichten
Da eine Nachricht aus irgendeinem Grund von einer Regel umgeleitet werden kann, nicht nur aufgrund eines bestimmten Empfängers, gibt es kein Konzept eines Weiterleitungspostfachs. Vor diesem Hintergrund hat die neu geschriebene SRS-Adresse die folgende Form:
bouncesEtr+SRS=<Hash>=<Timestamp>=<OrigSenderDomain>=<OrigSenderUser>@<Default Accepted Domain>
Um NDRs zu empfangen, muss Ihr Mandant nachrichten empfangen können, die an einen Benutzer namens "bouncesETR" adressiert sind, damit wir die Nachricht an den ursprünglichen Absender umleiten können. Beispielsweise kann Directory-Based Edgeblockierung die Rückgabe von NDRs beeinträchtigen, wenn in Ihrem Mandanten kein solches Postfach vorhanden ist.
Relaypool und Überspringen von SRS
Das Relaypoolfeature wurde in Microsoft 365 eingeführt, das sich auf das SRS-Umschreibungsverhalten auswirkt. Nachrichten, die für diesen Relaypool qualifiziert sind, werden nicht von SRS neu geschrieben und von IP-Adressen gesendet, die nicht Teil des Microsoft 365 SPF-Eintrags sind. Dies wirkt sich hauptsächlich auf Nachrichten aus, bei denen SPF-Überprüfungen fehlschlagen, wenn sie zum ersten Mal an Exchange Online gesendet werden, da SRS diese Fehler nicht mit dem Umschreiben beheben sollte. Weitere Informationen finden Sie in der Dokumentation zum Relaypool hier: Ausgehende Übermittlungspools.