Hallo zusammen,
weiß einer von euch, ob es irgendwo eine Liste der Ausgangsserver gibt, die Exchange Online für den Mailversand verwendet? Ich konnte zumindest über Google nichts passendes finden, vielleicht verwende ich auch die falschen Suchbegriffe.
Hintergrund ist, dass deren Server ja immer mal wieder auf irgendwelchen RBLs landen, was dann dazu führt, dass unser Mailgateway die Mails ablehnt. Die Abfrage von RBLs möchte ich nicht komplett abschalten und die RBL Prüfung für einzelne Absenderdomains im Mailgateway abzuschalten wird auf Dauer recht aufwendig. Daher würde ich eigentlich gerne einfach deren Server whitelisten, finde aber leider keine Liste der Adressen bzw. Namen.
Ich halte es eh für unsinnig von den RBLs, die EXO-Server überhaupt zu blacklisten, aber darauf haben ja weder wir noch der Absender Einfluss drauf.
Falls da einer von euch was hat wäre das super.
Du kannst dir ja die Mühe machen den SPF Record aufzudröseln.
ich hab nochmal drüber nachgedacht und vermutlich wird das bei ms nicht helfen. Aber ich meine mich zu erinnern, dass es mal so eine Tabelle gab, die die notwendigen ip Bereiche usw. gelistet hat.
Es kenne nur die Liste für IP-Adressen und Hostnamen, die in einer Firewall ausgehend freigegeben werden müssen, damit die M365 Clients funktionieren. Ich vermute mal, das ist die, die du meinst. Da sind aber leider die SMTP-Ausgangsserver nicht drauf erwähnt, da die Clients ja nie mit denen Kontakt haben. Die haben ja teilweise Namen mit .protection.outlook.com, wenn ich das von meinen Logs richtig im Kopf habe. Ich kann aber für das Whitelisting für RBL-Check bei Absender-Server keine Wildcards verwenden, da bräuchte ich schon die kompletten Namen.
Ich hätte echt gedacht, dass MS das irgendwo dokumentiert hat.
Das ist auch die Liste, um für Hybridstellung sowohl eingehend als auch ausgehend in der Firewall freizugeben.
10 | Zulassen Erforderlich |
Ja | *.mail.protection.outlook.com, *.mx.microsoft 40.92.0.0/15, 40.107.0.0/16, 52.100.0.0/14, 104.47.0.0/17, 2a01:111:f400::/48, 2a01:111:f403::/48 |
TCP: 25 |
Danke, den Teil hatte ich tatsächlich übersehen. Bringt mir aber leider nicht so viel, zumindest nicht für die FQDNs, da mein System wie gesagt da keine Wildcards supported. Also muss ich dann doch weiterhin einzelne Absender Domains von der RBL Prüfung ausnehmen. Es sei denn es gibt noch eine genauere Liste mit den exakten Namen.
Wäre ja die Frage, ob es Systeme gibt, die außerhalb der dort angegebenen IP4 und IP6 Bereiche kommen. Kannst du das anhand deiner Logs verifizieren? Manche Systeme kommen auch mit sowas hier klar: https://learn.microsoft.com/de-de/microsoft-365/enterprise/microsoft-365-ip-web-service?view=o365-worldwide
Ich habe jetzt mal zumindest die IP-Adressen in eine Whitelist gepackt, mal schauen ob der Sophos XGS das reicht. Leider kann die Sophos anscheinend keine automatische Aktualisierung von Adressen anhand dieser Webabfragen. Das würde es an anderer Stelle auch erleichtern.
Ich danke euch beiden für die Hilfe.
In der SG ging das mittels Rest-API soweit ich mich erinnere. Keine Ahnung, wie da inzwischen der Status mit der XGS ist.