Senden als ...

Unified Communications Consultant m/w
Komm in unser Team bei Net at Work. Bewirb dich jetzt bei uns.
http://www.netatwork.de/jobs.htm#LyncCon

Diese beschreibt die beiden Standardoptionen, mit einen ein Benutzer eine Nachrichten sowohl "im Auftrag von" als auch als anderer Benutzer versenden kann. Dieses Thema ist wichtig, wenn Sekretariate den Postverkehr abwickeln.

Informationen über den vollen Zugriff auf ein Postfach oder alle Postfächer finden Sie auf Mailboxrechte. Lesen Sie auch die Seite Stellvertreter mit Outlook

Wenn Sie ausgehende Mails auf dem Windows SMTP-Server (oder Exchange 2000/2003 verändern möchten dann ist vielleicht auch MSXFAQ.DE - FromModify eine Lösung.

Für Exchange 2010/2007 kann der Absender nicht per Transportregel geändert werden. Sie können einen eigenen Transportagenten schreiben oder ein kommerzielles Programm (zB. IVAsoft ChooseFrom $$$) verwenden.

Achtung
Ein "Design Change" erfordert nun, das auch ein Postfachbesitzer zusätzlich explizit das Recht "SendAs" erhält. Betroffen sind folgende Versionen
Exchange Server 2003 SP1: 7233.51 und höher
Exchange Server 2003 SP2: 7650.23 und höher
Exchange 2000 Server SP3: STORE.EXE hotfixes im Feb/März 2006
Siehe auch 912918 Error message when an application tries to send a message as another user by using Exchange Server 2003: "Access denied"

Der gleiche Design Change kann dazu führen, dass EDK-Gateways nicht mehr funktionieren. Hier hilft es dem Dienstkonto explizit Vollzugriff auf das Mailgateway-Objekt zu gehen

Beachten Sie, dass Windows besondere Konten mit dem AdminSDHolder-Attribut schützt
817433 Delegated permissions are not available and inheritance is automatically disabled
232199 Description and update of the Active Directory AdminSDHolder object'
907434 The "Send As" right is removed from a user object after you configure the "Send As" right in the Active Directory Users and Computers snap-in in Exchange Server.

2h Exchange Cache
Änderungen im Active Directory wie SendAs oder FullMailboxAddress müssen erst im AD repliziert werden und dann von Exchange neu eingelesen werden. Per Default puffert Exchange frühere Antworten aber für bis zu 2 Stunden. Dies kann durch den Wert von "Mailbox Cache Age Limit" (siehe KB 326252 Exchange 2000 mailbox size limits are not enforced in a reasonable period of time; fix requires Exchange 2000 SP2" verändert werden.
Exchange 2003: http://support.microsoft.com/kb/326252
Exchange 2007: http://technet.microsoft.com/en-us/library/bb684892.aspx

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem]
"Mailbox Cache Age Limit":dword=120

Default ist 120 Minuten = 2h, Restart des IS erforderlich. kleine Werte erzeugen höhere Last

Wenn Sie mit einem versteckten Postfach versenden wollen, dann kann Outlook/Exchange den Sender nicht anhand der SMTP-Adresse oder Displayname auflösen. Es funktioniert daher nur, wenn Sie den LegacyExchangeDN als Absender eintragen.
How to Grant the Send As Permission for a Mailbox
http://technet.microsoft.com/en-us/library/aa998291.aspx
"Also, before you perform this procedure, be aware that you cannot send e-mail messages on behalf of a mailbox if the mailbox is hidden from address lists."

Zwar hat jeder Exchange Anwender ein Postfach und  wenn er eine Mail versendet, dann nutzt Exchange dazu dessen primäre SMTP-Adresse als Absenderadresse. Allerdings gibt es Situationen, in denen ein anderer Absender erwünscht ist.

Um solch ein Szenario abzudecken gibt es wieder einmal mehrere alternative Lösungswege, die alle ihre individuellen Vorteile und Nachteile haben.

Damit Outlook als anderes Konto senden kann, müssen entsprechende Berechtigungen gepflegt werden. Dies gilt immer für die Funktion, wenn über Outlook z.B. die Absenderadresse vorgegeben wird.

Neben den Berechtigungen und dem klassischen Weg mit Outlook (siehe Outlook mit mehreren Postfächern) gibt es natürlich unterschiedliche Wege, dieses "Von-Feld" zu setzen.

SMTP-Umfahrung mit zweitem Profilkonto

Die Mitarbeiter nutzen Outlook mit ihrem eigenen primären Postfach. Um nun Mail mit einer anderen Adresse zu versenden, können Sie unabhängig von dem primären Postfach z.B. über den Internet Dienst (SMTP) Mails versenden. Dazu bindet der Anwender mehrere SMTP-Dienste zusätzlich in seinem Outlook Profil mit ein.

Im Outlook Fenster können Sie dann den Absender auswählen und senden dann mit ihrem Hauptkonto raus und für die anderen Adressen per SMTP via Exchange als Relay. Wenn Sie im POP3/SMTP-Dienst den Exchange Server als Relay eingeben und den Benutzernamen zur Authentifizierung nutzen, dann wird ihr Exchange Server die Mails auch weiter leiten.

Allerdings ist diese Lösung nicht optimal, da damit der Client abweichend konfiguriert werden muss, die Mails nicht mehr im Nachrichtentracking auftauchen, serverseitige Skripte und Verarbeitungen nicht möglich sind und vor allem viele Firmen intern SMTP einfach nicht benutzen möchten.

Zudem müssen Sie damit ihre SMTP-Server auch für Client offen halten. Das ist zwar per Default auch der Fall, aber immer mehr Firmen gehe dazu über, die Exchange Server auch von intern abzuschotten.

Outlook mit mehreren Postfächern

Daher ist eine zweite Lösung, für jeden Absender ein eigenes Postfach anzulegen. Der Benutzer hat zwar weiterhin sein eigenes primäres Postfach, aber er kann sich die anderen funktionalen Postfächer nach der Vergabe entsprechender Berechtigungen zusätzlich in Outlook einbinden oder über Einstellung als alternativer Empfänger die Mails direkt erhalten.

Wenn er dann jedoch eine Mail versenden möchte, dann kann der Anwender in Outlook einfach das "Von:"-Feld entsprechend ausfüllen. Er muss dazu nur das Feld zusätzlich einblenden.

Aber ehe er nun diese Funktion auch nutzen kann, muss er natürlich entsprechende Berechtigungen erhalten.

Es gibt noch einen weitere Möglichkeit, eine Absenderadresse zu verändern. Der Administrator kann auf dem Exchange Server über EventSinks natürlich auch die Nachrichten verändern. Allerdings muss er dazu natürlich etwas programmieren, oder ein kommerzielles Programm einsetzen. (Links am Ende)

Die folgenden Beschreibungen zeigen exemplarisch, wie einem Benutzer das Recht gegeben wird. Besonders bei der Vergabe von Rechten auf öffentliche Ordner, Funktionspostfächer, Ressourcenpostfächer und Verteiler sollten Sie aber besser eine Sicherheitsgruppe einrichten und diese berechtigen.

"Senden im Auftrag" für ein Postfach

Der erste und einfach zu vergebene Recht ist die Möglichkeit, "Im Auftrag von" zu senden. Hierzu bietet die Management Konsole für Benutzer und Computer bei jedem Benutzer ein eigenes Feld an. Für das Recht "Senden im Auftrag" müssen Sie bei den Eigenschaften des Anwenders einfach den entsprechenden anderen Anwender unter "Exchange - Allgemein" in den Zustelloptionen hinzufügen.

Eine Mail die Sie in der Art dann absenden, kommt beim Empfänger wie folgt an.

Wenn Sie versuchen, im  Namen eines anderen Anwender zu senden, aber nicht das Recht haben, dann sehen Sie folgendes:

Bei Exchange 2007 werden die Rechte in der Exchange Management Shell vergeben oder per Powershell.

Grant SendonBehalf mit Exchange 2007

 

Per Powershell gibt es je Objekt eigene Befehle

Set-Mailbox <mailboxname> -GrantSendOnBehalfTo DN-des-Berechtigten
Set-MailPublicFolder <foldername> -GrantSendOnBehalfTo DN-des-Berechtigten
Set-Mailcontact <contact> -GrantSendOnBehalfTo DN-des-Berechtigten
Set-DistributionGroup <Verteiler>  -GrantSendOnBehalfTo DN-des-Berechtigten
Set-DynamicDistributionGroup  <Verteiler>  -GrantSendOnBehalfTo DN-des-Berechtigten

"Senden als" für ein Postfach

Wenn es nun nicht gewünscht ist, dass der Empfänger sehen kann, vom wem die Mail in wessen Auftrag gesendet wurde, sondern Sie wirklich eine Mail als der Postfachbenutzer selbst senden wollen, dann brauchen Sie ein anderes Recht. Der Administrator muss ihnen dann auf dem gewünschten Postfach das "Senden Als" Recht geben. In der MMC für Anwender und Computer muss dazu die "Erweiterte Ansicht" aktiviert werden, damit die Karteikarte "Sicherheit" sichtbar wird.

Fügen Sie hier den gewünschten Anwender hinzu und geben Sie ihm "NUR" das  Recht "Senden als". Entfernen Sie alle anderen Rechte, die die MMC dem Benutzer durch diesem Schritt noch gegeben hat.

Diese Einstellungen kann der eigentliche Besitzer des Postfachs nicht sehen oder ändern, sondern sind vom Administrator dann vorgegeben. Diese Einstellungen kann jeder Vornehmen, der Administrator über das Benutzerobjekt im Active Directory ist.

In Exchange 2007 werden die Berechtigungen ebenfalls im AD hinterlegt aber in der Exchange Management Console verwaltet

Auch dies geht natürlich per Powershell

Add-AdPermission "mailbox" `
   -user "domain\user" `
   -ExtendedRights "Send As"

get-mailbox | Add-AdPermission `
   -user "domain\user" `
   -ExtendedRights "Send As"

Der Empfänger kann dann anhand der Mail nicht mehr erkennen, ob der Absender wirklich der Absender war oder nicht doch jemand mit entsprechenden Rechten die Mail versendet hat. Allerdings gilt dies sowieso nur innerhalb der Exchange Organisation, da im Internet das Fälschen von Absendern sehr einfach ist. Siehe Gefälschter Absender.

Hier noch weitere Links zum Thema "Senden als Postfach":

Senden und gesendete Mail in Ordner verschieben

Achtung: Exchange 2010 SP2Rollup4 bringt eine neue Funktion mit, um dies serverseitig zu steuern.

Wenn ein Benutzer eine Mail als Funktionspostfach oder als anderer Anwender versendet, legt Outlook per Default alle gesendeten Objekte im Ordner "Sent Items" (Deutsch: Gesendete Objekte) ab. Das ist natürlich nicht geeignet, um einen zentralen Postausgang für ein Funktionspostfach zu haben. Seit Exchange 2010 SP2 Rollup4 kann dies Serverseitig vorgegeben werden:

Da der Exchange Server die Mails aus dem "Postausgang" nach erfolgreicher Übergabe an den Transport in "Gesendete Objekte" verschiebt, kann hier auch eingegriffen werden:

Set-MailboxSentItemsConfiguration `
   -identity $_.identity  `
   -SendAsItemsCopiedTo SenderAndFrom `
   -SendOnBehalfOfItemsCopiedTo SenderAndFrom

Damit die Änderungen aber aktiv werden, müssen sie folgendes beachten:

Weitere Details finden Sie auch auf folgenden Seiten

Wenn Sie aber nun kein Exchange 2010 haben, dann bleibt ihnen immer noch der Weg dieses "Verschieben" auf dem Client zu aktivieren. Outlook kann dies ab einer bestimmten Version selbst machen:

Durch diesen Hotfix wird erreicht, dass Outlook selbst ausgehende Mails in den "Gesendete Objekte" des Postfachs ablegt, mit welchem die Mail versendet wurde. Allerdings ist dazu noch ein Registrierungsschlüssel erforderlich

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Preferences]
"DelegateSentItemsStyle"=dword:1

[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\Preferences]
"DelegateSentItemsStyle"=dword:1

[HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Outlook\Preferences]
"DelegateSentItemsStyle"=dword:1

Zudem müssen Sie das Postfach des delegierenden Benutzers eingebunden haben und zumindest "Reviewer" auf dem Postfach und "Autor" auf dem Ordner "gesendete Objekte" sein. (Siehe auch Berechtigungen)

Für ältere Versionen von Outlook gibt es keine Lösung, bzw. nur Drittprodukte. Denkbar Ansätze sind:

Wenn Sie aber solche "Besonderheiten" brauchen, dann sind sie schon nahe an der Anforderung für ein Kundenmanagementsystem oder auch "Customer Relationship Management (CRM)" dran. Vielleicht sollten Sie sich nach solch einer Lösung umschauen und Outlook und Exchange nicht überstrapazieren.

Senden als ... Öffentlicher Ordner

Achtung:
Es ist nicht möglich einen Unzustellbarkeitsbericht (NDR) an einen öffentlichen Ordner zu senden. Insofern sollten Sie genau prüfen, ob ein Versand "als Ordner" sinnvoll ist. Siehe auch Unzustellbarkeiten und PF Mail und Routing

Hier gibt es keine „gelöschte Objekte“ und auch keine „Gesendeten Objekte“. Insofern kann Outlook die Quittung nicht an ein bestehende Mail anhängen. Es würde also eine „nichtssagende“ Quittung im Ordner landen, mit der niemand was anfangen kann.

Eine andere Funktion ist es, als "Öffentliche Ordner" zu senden. So kann z.B. ein öffentlicher Ordner zum Empfang von Nachrichten dienen. Das ist meist besser, als ein komplettes Postfach (mit deaktiviertem Benutzer) oder einen Verteiler für den Empfang zu verwenden. Aber wenn jemand etwas  z.B. an anfrage@firma.tld oder support@firma.tld sendet, dann sollte der Anwender bei einer Antwort natürlich auch wieder dafür sorgen, dass als Absender die gleiche Mailadresse auftaucht.

Dazu muss der Benutzer nicht nur das Recht haben, in dem Ordner die eingehenden Nachrichten zu lesen, sondern auch im Namen des Ordners zu senden. Die erforderlichen Einstellungen hierzu können Sie im Exchange System Manager vornehmen. Wenn ihre Exchange Version etwas älter ist und die Option nicht verfügbar ist, dann finden Sie weiter unten eine alternative Methode.

Die öffnen im Exchange System Manager einfach die öffentlichen Ordner und bearbeiten die Eigenschaften des gewünschten Ordners. Die Karteikarte "Exchange -Allgemein" ist natürlich nur verfügbar, wenn der Ordner auch für Mail aktiviert ist.

Unter den "Übermittlungsoptionen" können Sie dann die Einstellungen für "Im Auftrag senden" gewähren.

Wenn diese Option in ihrem Exchange System Manager noch nichts vorhanden ist, dann können Sie dennoch das Recht vergeben. Der alternative Weg nutzt die MMC für Benutzer und Computer. Dazu müssen Sie zuerst die "Erweiterte Funktionen" anschalten. Für jeden mailaktivierten Ordner gibt es in der gesonderten Organisationseinheit "Microsoft Exchange System Objects" ein Objekt.

Auch hier müssen Sie alle sonstigen Rechte, die die MMC per Default einträgt, wieder entfernen.

Alternativ können Sie auch über den Exchange System Manager die Berechtigungen einstellen. Hierzu müssen Sie die Eigenschaften des Ordners bearbeiten und unter "Berechtigungen" die "Verzeichnisrechte" anwählen. Sie sehen das gleiche Fenster, wie in der MMC für Benutzer und Computer.

Es kann etwas dauern, bis diese Änderungen repliziert sind. Aber dann kann der Anwender mit der Mailadresse des öffentlichen Ordners eine Mail versenden.

Ob es auch möglich ist, ein "Im Auftrag von" einzustellen, kann ich nicht sagen. Allerdings muss der Anwender selbst daran denken, bei einer Antwort auf eine Mail die "Von"-Adresse zu ändern.

Set-MailPublicFolder <foldername> -GrantSendOnBehalfTo DN-des-Berechtigten

Senden als ... Verteiler bzw. Gruppe

Zuletzt können Sie auch einen Verteiler nutzen, um eingehende Mails an mehrere Personen zu verteilen. Und auch hier kann es erwünscht sein, bei einer Antwort oder einer neuen Mailadresse die Adresse des Verteilers als Absender zu nutzen. Und auch hier ist die MMC für Benutzer und Computer das Hilfsmittel, um den Benutzern die erforderlichen Rechte zu geben.

Wenn der Anwender dann in der VON-Adresse den Verteiler einträgt,  dann erhält der Empfänger folgende Mail:

Auch hier gibt es anscheinend kein "Im Auftrag von".

Achtung:
Wenn Sie eine Mails "als Verteiler" senden, dann erhalten die Mitglieder keine Quittungen über die Zustellung oder Unzustellbarkeit, sondern nur der Besitzer des Verteilers oder der eigentliche Sender. Das Verhalten ist auf Unzustellbarkeiten beschrieben

Hier dürfte einfach die Vervielfältigung das Problem sein. Ein Benutzer sendet eine Mail als Verteiler und wenn in dem Verteiler mehrere Personen enthalten sind, was der Natur eines Verteilers entspricht, dann würden alle eine Kopie der Quittung bekommen. Da die Quittung meist nur eine Teilinformation enthält, wäre das für die Empfänger nicht hilfreich.

Set-DistributionGroup <Verteiler>  -GrantSendOnBehalfTo DN-des-Berechtigten
Set-DynamicDistributionGroup  <Verteiler>  -GrantSendOnBehalfTo DN-des-Berechtigten

Senden als ... Kontakt

Es ist auch möglich, einen Kontakt anzulegen, in dessen Namen man senden kann. Legen Sie den Kontakt an und geben Sie einfach dem gewünschten Benutzern das entsprechenden Recht

SendAs Kontakt

Beachten Sie aber, dass ein Kontakt auch eine Zieladresse haben muss. Denn wenn Sie eine Mail als Kontakt versenden, dann müssen Sie auch mit den Rückantworten zurecht kommen. Die Target-Address des Kontakts sollte daher auch an ein Postfach verweisen, welches Rückantworten annehmen kann, Problematisch dabei ist aber, dass ein Kontakt nie auf ein Postfach im Forest verweisen kann, sondern immer außerhalb der Exchange Organisation existieren muss. Daher ist ein Postfach der bessere Ansatz.

Set-Mailcontact <contact> -GrantSendOnBehalfTo DN-des-Berechtigten

Wenn Sie aber nicht nur "Im Auftrag von" senden wollen, sondern wirklich "als Kontakt", dann geht das auch. Die Einträge sind leider nicht per GUI erreichbar, sondern nur per Powershell:

# Senden als Recht per Powershell an Kontakt vergebe
Add-ADPermission -identity "Anzeigename des Kontakt" -ExtendedRights Send-As -User domain\user

Senden als ... Gateway

Einen eher selten betrachteten Bereich finden sie bei den EDK-Connectoren.  Diese Schnittstelle, die es bis Exchange 2003 gibt, stellt dem Gateway ebenfalls ein spezielles Postfach zur Verfügung, über welches ebenfalls Mails ausgetauscht werden. Nur finden Sie natürlich keinen Benutzer dazu im Active Directory, sondern nur das Gatewayobjekt (objectclass=mailgateway) in der Exchange-Konfiguration, welches einen HomeMTA und HomeMDB hat. Mit dem Exchange 2000/2003 Hotfix "912918 Error message when an application tries to send a message as another user by using Exchange Server 2003: "Access denied" kann es bei einigen Gateways passieren, dass diese ebenfalls keine Mails mehr zustellen können.

Den genauen Grund, warum Gateway von Hersteller A noch funktioniert während z.B. Gateways von Fenestrae und SAP Probleme damit haben, ist mir nicht genau bekannt. Ich vermute, dass es einfach zwei Optionen gibt, eine eingehende Mail in den MTA-IN-Ordner zu legen. (Vielleicht "Post" und "Send" ?)

Sollte ihr Gateway keine eingehenden Mails mehr an Exchange übermitteln, dann kann es helfen, auf dem Gatewayobjekt dem Dienstkonto ebenfalls die entsprechenden Berechtigungen zu geben. Leider geht dies nicht über den Exchange System Manager. Mit ADSIEDIT können Sie zumindest dem Dienstkonto "Vollzugiff" erteilen. Das Recht" Send-As" gibt es nur für Benutzer und Computer aber leider nicht für Objekte vom Typ "Mailgateway".

SendAs und Formulare

Wem die permanente Änderung der "Von"-Adresse zu nervig ist, kann natürlich auch ein einfaches Outlook Makro schreiben, welches sich auch auf einen Button im Menü legen lässt. Hier ein Muster:

Sub SendAsForm()
  Set objfolder = Session.GetDefaultFolder(olFolderInbox)
  Dim objitem As MailItem
  Set objitem = objfolder.Items.Add("IPM.Note")
  objitem.SentOnBehalfOfName = "/o=MSXFAQ/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=user2"
  objitem.Display
End Sub

Alternativ können Sie natürlich auch ein eigenes Formular erstellen und entweder in der globalen Bibliothek, dem Ordner oder als OFT-Datei veröffentlichen. Auch hier können Sie dann im Formularcode die Absenderaddresse hinterlegen:

Function Item_Open()
   Item.SentOnBehalfOfName = "/o=MSXFAQ/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=user2"
End Function

Function Item_BeforeCheckNames()
   Item.SentOnBehalfOfName = "/o=MSXFAQ/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Recipients/cn=user2"
End Function

Da der Aufruf eines Formulars in Outlook über "Neu - Formular  -Formularauswählen" geht, können Sie wieder mit einem kleinen Makro dies beschleunigen und auf einen Button legen:

Sub SendAsForm()
    Set objfolder = Application.ActiveExplorer.CurrentFolder
    Set objitem = objfolder.Items.Add("IPM.Note.SendAs")
    objitem.Display
End Sub

Achtung: Beim Einsatz von Makros müssen sie sich Gedanken über die Verteilung und Sicherheit machen. Sie können natürlich stumpf die Datei VBAPROJECT.OTM in das Verzeichnis: 'C:\Documents and Settings\[USERNAME]\Application Data\Microsoft\Outlook verteilen und dabei alle bestehenden Makros überschreiben.

Absender per Software "drehen"

Ein Weg, der fast nie beschrieben und beachtet wird, ist die Veränderung der Mail auf dem Versandwege. Es ist durchaus denkbar, dass jemand eine Mail mit Outlook verfasst und besondere Codeworte verwendet, z.B.: in der ersten Zeile der Mails oder ein verstecktes Feld beim Einsatz von unterschiedlichen Formularen.

You cannot directly change an item's From field using any programming methods in Microsoft Exchange or Outlook. If you could, mail could be sent on someone else's behalf without their permission, therefore the From field is read-only.
You can use the SentOnBehalfOfName property to set the From field, provided that you were given delegate permissions to send mail on someone else's behalf.
232309 OL2000: How to Programmatically Set a Form's From Field

Jede Mail, die Exchange verlässt muss durch den Windows SMTP-Service (bzw. den HubTransport bei Exchange 2007) bei Exchange 2000/2003 kann man über ein VBScript hier jede ausgehende Mail nach eigenen Wünschen "verändern" und entsprechend auch die Absenderadresse "drehen". (Siehe auch FromModify) Auch bei Exchange 2007 ist es relativ einfach, mit einem selbst geschriebenen Transportagenten die Mail zu verändern. Als kommerzielle Lösung ist so eine Funktion in Exclaimer2007 enthalten.

So könnte also jede Mail auch ausgehend verändert werden. Allerdings muss man hier berücksichtigen, dass digitale Signaturen natürlich defekt werden.

Weitere Links

Keywords:Rechte, Postfachzugriff, Senden-Als SendAs