Configuratie Exchange als onderdeel van Office 365

• Toevoegen van domein.net. Hiervoor heb ik DNS-records toegevoegd: een TXT-record voor validatie eigenaarschap domeinnaam, een extra include in het SPF-record, het MX-record met de laagste prioriteit naar O365 verwezen (en ongedaan gemaakt vanwege verstoring) en een CNAME-record voor autodiscover.
• Gebruiker user@domein.net aangemaakt. Mailen naar binnen domein.net levert een bounce op. Mailen naar Gmail levert geen bounce, maar ook geen ontvangen mail.
• Toevoegen van office365.domein.net. Hiervoor heb ik DNS-records toegevoegd: een extra include in het SPF-record, het (enige) MX-record naar O365 verwezen en een CNAME-record voor autodiscover.
• Gebruiker user@office365.domein.net aangemaakt. Mailen naar binnen office365.domein.net lukt, mailen naar Gmail levert geen bounce, maar ook geen ontvangen mail.
• De configuratie van elke andere FQDN werkt vlekkeloos - zonder noodzaak subdomein.

• Als ik daar domein.net toevoeg, moet ik een MX-record naar O365 met de hoogste prio toevoegen. Dat zorgt ervoor dat de POP-boxen niet meer werken. Dit is juist waarom ik Exchange altijd via een subdomein liet lopen.
• Als ik office365.domein.net toevoeg, zie ik niet hoe ik mailaccounts als gebruiker@domein.net kan aanmaken.

maratropa schreef op zaterdag 18 mei 2019 @ 15:45:
Dus je wilt die pop accounts niet hosten in office365 zelf? Want dan kun je toch gewoon POP toegang voor bepaalde accounts aanzetten en al dat DNS gedoe skippen?

Piebas schreef op zaterdag 18 mei 2019 @ 15:52:
Waarom doe je het nu op deze manier?
Heb je nu 1 of meerdere domeinen voor de mail? (buiten het subdomein).
Het lijkt dat je het ingewikkelder maakt als nodig is.

[ Voor 10% gewijzigd door wheel op 18-05-2019 17:23 ]

Piebas schreef op zaterdag 18 mei 2019 @ 19:41:
Wat is nu precies de setup?
Wat doe je met een exchange account en wat met pop?

maratropa schreef op zaterdag 18 mei 2019 @ 21:20:
@wheel Maarrrr als je nu al betaald voor pop hosting? Dan kun je die accounts ook voor 4,xx per maand overzetten naar exchange met pop toegang? Of gaat het om erg veel accounts of te duah?

daupie schreef op zaterdag 18 mei 2019 @ 21:24:
Als je binnen de 2GB storage blijft kan je ook uit met Exchange Online Kiosk (biedt ook POP3) en kost 1,40.

Anders, waarom niet alles laten binnenkomen en dan d.m.v. een mailrule de nodige mails laten relayen naar de POP mailserver.

[ Voor 59% gewijzigd door wheel op 18-05-2019 22:15 ]

Piebas schreef op zaterdag 18 mei 2019 @ 22:25:
Je stuurt dus de mail vanuit de pop-box door naar exchange?
Om hoeveel mailboxen gaat het?
Wat is het doel van deze ingewikkelde setup?

maratropa schreef op zaterdag 18 mei 2019 @ 22:32:
@wheel als ik bij office 365 admin op "purchase services" klik staat er bij "other plans" oa Exchange Online Kiosk tussen voor 1,69 met de functionaliteit die @daupie beschrijft.

[ Voor 81% gewijzigd door wheel op 19-05-2019 09:12 . Reden: Multi quote ]

daupie schreef op zondag 19 mei 2019 @ 12:13:
[...]


Ik kijk meestal op deze site:
https://www.dsaict.nl/mic...nge/exchange-online-kiosk

Is hij makkelijk te vinden. Outlook Access is mogelijk via POP3, niet via MAPI (synchronisatie). En wat betreft die 1,40, ik kom er alleen zakelijk mee in aanraking dus ik denk in ex BTW prijzen .

Je kan in Office 365 ook "Externe Mail Users" aanmaken. Je kan dan zeggen (zonder licentie) mail voor wheel@domeinA.nl moet worden doorgestuurd naar wheel@domeinB.nl. Zou je dan niet dat als alias kunnen toevoegen op je POP mailserver?
Daarnaast kan je via een mailrule Office 365 laten weten dat gespecificeerde users hun mail afgeleverd moeten krijgen op een bepaald IP-adres, dat van je POP mailserver.

Piebas schreef op zondag 19 mei 2019 @ 14:33:
Dan zul je domein.net ook als domein moeten opvoeren in O365.
Je kunt de melding dat het mx-record niet juist is skippen en verder gaan met de installatie.
En dan zet je het domein.net als default domein en dan verstuur je de mail vanaf het juiste domein.
De forwards vanuit de pop-boxen kun je naar het subdomein doen of naar het onmicrosoft.com adres van de exchange boxen.

• Domeinnaam domein.net geeft een waarschuwing over ontbrekende MX-records. Dat klopt. De andere record zijn correct. Dit domein als default ingesteld.
• Domeinnaam office365.domein.net volledig 'op groen'.
• Heb het mailadres van het test-account aangepast naar user@domein.net en een forwarder aangemaakt van user@domein.net naar user@office365.domein.net. Dat leidde tot een bounce. Kan het zijn dat er tijd overheen gaat voor de aanpassing van het mailadres volledig werkend/doorgevoerd is?
• Heb het mailadres van het test-account (terug) aangepast naar user@xxxxx.onmicrosoft.com. Forwarder aangepast naar dat adres en dat werkt wel!

[ Voor 23% gewijzigd door wheel op 19-05-2019 17:30 ]

Piebas schreef op maandag 20 mei 2019 @ 10:06:
[...]

Post de inhoud van de bounce eens.

En wat gebeurd er als je een mail stuurt naar het onmicrosoft.com adres van de test user stuurt?

daupie schreef op maandag 20 mei 2019 @ 21:12:
@wheel Je kan in Office 365 aangeven dat bepaalde ontvangers (bijvoorbeeld een bepaalde groep) hun mail moet worden afgeleverd op een andere mailserver (in dit geval je POP mailserver).

Zie deze pagina voor een uitleg:
https://www.quora.com/How...-with-a-local-mail-server

[ Voor 35% gewijzigd door wheel op 21-05-2019 10:20 ]

Resolve 'mail.domen.net' - Succeeded - OK - Resolved to 'xxx.xx.xxx.xx'
Connect to 'xxx.xx.xxx.xx' from Office 365 - Succeeded - OK - 220 Connection Successful
SMTP EHLO to 'mail.domein.net' - Succeeded - OK - 220
Smtp TLS - Succeeded - OK - Supports TLS and certificate is ok

user@domein.net - Failed - 550 5.1.10 RESOLVER.ADR.RecipientNotFound; Recipient user@domein.net not found by SMTP address lookup

Timestamp:22/05/2019 07:54:48
EventId:RECEIVE
Source:SMTP
MessageSubject:Test email for connector validation
MessageId:<74ebca39-b77e-48ee-b0ca-2d9903928022@AM6PR09MB3106.eurprd09.prod.outlook.com>
Recipients:user@domein.net
RecipientCount:1
RecipientStatus:
SourceContext:08D6DE6F5958ABC6;2019-05-22T07:54:48.452Z;0
Sender:O365ConnectorValidation@domein.net
EventData:InboundTlsDetails:TLS=SP_PROT_TLS1_2_SERVER TLSCipher=CALG_AES_256 TLSKeyLength=256 TLSKeyExAlg=CALG_ECDH_EPHEM, MimeParts:Att/Emb/MPt:0/0/1, MessageValue:MediumHigh, Replication:VE1PR09MB3117, FirstForestHop:AM6PR09MB3106.eurprd09.prod.outlook.com, DeliveryPriority:Normal, OriginalFromAddress:<>, AccountForest:EURPR09A003.PROD.OUTLOOK.COM


Timestamp:22/05/2019 07:54:48
EventId:RECIPIENTINFO
Source:RESOLVER
MessageSubject:Test email for connector validation
MessageId:<74ebca39-b77e-48ee-b0ca-2d9903928022@AM6PR09MB3106.eurprd09.prod.outlook.com>
Recipients:user@domein.net
RecipientCount:1
RecipientStatus:NotFound.OneOff.Resolver.CreateRecipientItems.10
SourceContext:
Sender:O365ConnectorValidation@domein.net
EventData:SenderVerdict:NotFound.OneOff.Sender.10, DeliveryPriority:Normal, OriginalFromAddress:<>, AccountForest:EURPR09A003.PROD.OUTLOOK.COM


Timestamp:22/05/2019 07:54:48
EventId:BADMAIL
Source:DSN
MessageSubject:Test email for connector validation
MessageId:<74ebca39-b77e-48ee-b0ca-2d9903928022@AM6PR09MB3106.eurprd09.prod.outlook.com>
Recipients:user@domein.net
RecipientCount:1
RecipientStatus:
SourceContext:
Sender:O365ConnectorValidation@domein.net
EventData:BadmailReason:Suppress NDR of a rejected or expired DSN, DeliveryPriority:Normal, OriginalFromAddress:<>, AccountForest:EURPR09A003.PROD.OUTLOOK.COM


Timestamp:22/05/2019 07:54:48
EventId:AGENTINFO
Source:AGENT
MessageSubject:Test email for connector validation
MessageId:<74ebca39-b77e-48ee-b0ca-2d9903928022@AM6PR09MB3106.eurprd09.prod.outlook.com>
Recipients:user@domein.net
RecipientCount:1
RecipientStatus:
SourceContext:CatHandleFail
Sender:O365ConnectorValidation@domein.net
EventData:AMA:EV|engine=A|v=0|sig=201905220629|name=|file=|hash=|phash=, AMA:EV|engine=S|v=0|sig=20190521.023|name=|file=|hash=|phash=, AMA:EV|engine=M|v=0|sig=1.293.2115.0|name=|file=|hash=|phash=, SDA:SDG|MID=6141803240859|MN=AM6PR09MB3106, DeliveryPriority:Normal, OriginalFromAddress:<>, AccountForest:EURPR09A003.PROD.OUTLOOK.COM


Timestamp:22/05/2019 07:54:48
EventId:FAIL
Source:ROUTING
MessageSubject:Test email for connector validation
MessageId:<74ebca39-b77e-48ee-b0ca-2d9903928022@AM6PR09MB3106.eurprd09.prod.outlook.com>
Recipients:user@domein.net
RecipientCount:1
RecipientStatus:[{LED=550 5.1.10 RESOLVER.ADR.RecipientNotFound; Recipient user@domein.net not found by SMTP address lookup};{MSG=};{FQDN=};{IP=};{LRT=}]
SourceContext:
Sender:O365ConnectorValidation@domein.net
EventData:ToEntity:Unknown, FromEntity:Unknown, DeliveryPriority:Normal, OriginalFromAddress:<>, AccountForest:EURPR09A003.PROD.OUTLOOK.COM

Check the email address for any simple typographical mistakes in either the user ID name or the domain name. That is, check both sides of the at sign (@).

If you are validating a connector from Office 365 to your partner, and you can be sure the address exists, use it.

If you are validating a connector from Office 365 to your own email server (on-premises server), check that the email address you used is for an active mailbox hosted in your own email server. Make sure you can successfully send mail to this mailbox from a different location.

Ensure that the email address is within the scope of the connector you're validating. The domain part of the test email address should match the recipient domain you entered in the connector.

Your message couldn't be delivered to otheruser@domein.net because the remote server is misconfigured. See technical details below for more information.

The response from the remote server was:
550 5.4.1 [otheruser@domein.net]: Recipient address rejected: Access denied [HE1EUR01FT064.eop-EUR01.prod.protection.outlook.com]

[ Voor 25% gewijzigd door wheel op 22-05-2019 16:10 . Reden: ontbrekend woord ]

• Connector A van externe server naar Office 365
• Connector B van Office 365 naar externe server
• Connector C van Office 365 naar externe server (alleen wanneer er een transportregel is ingesteld)
• Een transportregel per POP-gebruiker die o.b.v. 'aan' doorstuurt naar Connector C (eventueel te combineren)

daupie schreef op woensdag 22 mei 2019 @ 18:45:
@wheel
Validatie slaagt nu? Dan werkt de connector in ieder geval, en denk ik dat je naar je regel moet kijken. Krijg je een NDR terug of zie je iets anders waardoor het niet werkt?

1. O365 <--> O365: werkt
2. POP <--> POP: werkt
3. Exchange <--> Gmail: werkt
4. Exchange --> POP: faalt
5. POP --> Exchange: faalt

Het bericht aan popuser@domein.net kan niet worden afgeleverd.
popuser is niet gevonden in domein.net.
Onbekend Aan-adres

SMTP-fout (550): Ontvanger "user@domein.net" kan niet toegevoegd worden (No such recipient here).

[ Voor 101% gewijzigd door wheel op 25-05-2019 13:46 ]

daupie schreef op zondag 26 mei 2019 @ 00:20:
@wheel
Wat betreft 4 ziet het ernaar uit dat hij de regel niet oppakt. Je kan dit volgen door een message trace uit te voeren in ECP, Dan weet je in ieder geval of je regel toegepast wordt.

Dear customer, Your request for Message trace report - 2019-05-26T06:47:18.739Z submitted on 5/26/2019 6:47:33 AM has been processed. No data was found that matched the search criteria you specified. Please submit a new request with changed criteria if you expect to obtain valid results.

Mail aan X of Y
If the message...
Is sent to 'userx@domein.net' or 'usery@domein.net'

Do the following...
Route the message using the connector named 'Mail aan POP-users naar Provider B'.

Rule comments
-

Rule mode
Enforce

Additional properties
Sender address matches: Header

Mail aan POP-users naar Provider B
Mail flow scenario
From: Office 365
To: Your organization‎'s email server

Description
None

Status
On

Validation
Validate this connector
Last validation result: Successful
Last validation time: 25/05/2019 11:27

When to use the connector
Use only when I have a transport rule set up that redirects messages to this connector.

Routing method
Route email messages through these smart hosts: mail.domein.net

Security restrictions
Always use Transport Layer Security ‎(TLS)‎ and connect only if the recipient�s email server certificate is issued by a trusted certificate authority ‎(CA)‎.

Wat betreft 5 is dat hij het intern probeert te herrouteren, terwijl dat adres op de POP-server niet bestaat. Dit kan je afvangen door dit adres aan te maken een een forwarder in te stellen naar de .onmicrosoft.com alias.

Heb je het volgende al getest?
Random extern emailadres --> Exchange --> POP-server

[ Voor 7% gewijzigd door wheel op 26-05-2019 09:14 ]

daupie schreef op zondag 26 mei 2019 @ 14:16:
[...]


Je zou daar alle mails moeten zien, ook diegene waar een NDR voor is verstuurd. Wat als je die in ECP gebruikt (hij geeft daar een melding dat het een oude versie is, maar hij werkt nog best) en daar filtert op de afgelopen zeven dagen? Daar zou hij zeker tussen moeten staan.

Connector name: Mail aan POP-users naar Provider B
External address: popuser@domein.net
Destination IP: 104.47.1.36
Destination smart host: 12play-nl.mail.protection.outlook.com
Mail flow rule: Mail aan user X of Y

MESSAGE EVENTS
DATE (UTC) EVENT DETAIL
26/05/2019 12:41:41 Receive Message received by: DB8PR09MB3804 using TLS1.2 with AES256
26/05/2019 12:41:41 Submit The message was submitted.
26/05/2019 12:41:43 Transport rule RouteMessageUsingConnector. Transport rule: ‎'Mail aan user X of Y', ID: ‎(‎'D003812C-C974-41E7-8B3A-BA789009AD33‎')‎, DLP policy: ‎'‎', ID: ‎(00000000-0000-0000-0000-000000000000)‎.
26/05/2019 12:41:44 Send external Message sent to domein-net.mail.protection.outlook.com at 104.47.1.36 using TLS1.2 with AES256
26/05/2019 12:41:43 Spam Diagnostics

Office 365 received the message that you specified, but couldn't deliver it to the recipient (popuser@domein.net) due to the following error:

Error: 554 5.4.14 Hop count exceeded - possible mail loop ATTR34 [VE1EUR01FT035.eop-EUR01.prod.protection.outlook.com]

A non-delivery report (NDR) message was sent to exchangeuser@domein.net. The NDR might provide more details about why the email message wasn't delivered and how to fix the issue.

Office 365 used one of your organization's connectors to send the message to an external address. An admin in your organization set up a mail flow rule to route messages through that connector. Here are the details:

Connector name: Mail aan POP-users naar Provider B
External address: popuser@domein.net
Destination IP: xxx.xxx.xxx.xxx
Destination smart host: xxx.xxx.xxx.xxx
Mail flow rule: Mail aan user X of Y

[ Voor 22% gewijzigd door wheel op 27-05-2019 09:28 ]

daupie schreef op maandag 27 mei 2019 @ 11:23:
@wheel
Het lijkt erop (aan je voorbeelden te zien) dat die domeinnaam gericht stond naar Office 365 (doorgestuurd naar mail.protection.outlook.com) en uiteindelijk een aantal hops error (wat logisch is omdat je hem constant rondstuurt).

Kreeg je bij de validatie een test mail binnen? Dan weet je genoeg. In principe stuurt die validatie een mail en kijkt hij niet of deze ontvangen wordt, hij zag dus geaccepteerd door Office 365 en zegt validatie voltooid.

De DNS zoals je aangeeft is een juiste configuratie. Ik neem aan dat je ook het juiste IP-adres terugkrijgt als je een nslookup op mail.domein.xyz doet? (Om DNS-errors uit te sluiten)

mail.domein.net is an alias for domein.net.
domein.net has address xxx.xxx.xxx.xxx
domein.net mail is handled by 0 domein-net.mail.protection.outlook.com.

[ Voor 7% gewijzigd door wheel op 27-05-2019 12:44 ]

daupie schreef op maandag 27 mei 2019 @ 14:21:
[...]


Die DNS-configuratie klopt wel. Wat als je een nieuw record maakt bijv mailserver.domein.xyz en deze met een A/AAA-record direct doorverwijst? Deze daarna in de smarthostvalidatie zetten en kijken of de mail binnenkomt.