Was man über E-Mail-aktivierte Gruppen wissen sollte

E-Mail-aktivierte Gruppen könnten unter Exchange sowohl von intern als auch von extern adressiert werden. Viele Administratoren passen die Gruppenmitgliedschaften per Skript an und stützen sich dabei auf Datenbestände, die durch die Personalabteilung gepflegt werden. Dabei besteht die Gefahr, dass ein solches Skript falsche Änderungen ausführt und die Gruppe ohne Mitglieder zurücklässt. Doch was ist, wenn eine Gruppe keine Mitglieder beinhaltet?

Da die Gruppe ein Active-Directory-Objekt ist, wird sie auch ohne Mitglieder in der Globalen Adressliese angezeigt und kann somit auch angeschrieben werden. Jetzt denken viele, dass bei dem Versand einer Mail an einer solchen Gruppe, der Absender einen NDR erhält. Doch dem ist nicht so! Die Mail wurde fehlerfrei an die Gruppe abgegeben und reiht sich nun in die Kategorisierung ein.

Da die Mail nicht in einem Postfach abgelegt werden kann, verschwindet sie im Nirwana, ohne dass der Absender darüber Informiert wird. Das ist kein fehlerhaftes Verhalten, sondern eine logische Folge des Designs. Stellt man sich nun vor, dass die hinterlegte E-Mail-Adresse für Auftragsbestätigungen verwendet werden würde, könnte es das Unternehmen teuer zu stehen kommen.

Sicherheit bei E-Mail-aktivierten Gruppen

In einem Unternehmen mit vielen Mitarbeitern wird in der Regel für jede Abteilung eine E-Mail-aktivierte Gruppe erstellt, so dass bei einer Mail an die Abteilung nicht je dazugehörige Person aus der Globalenadressliste einzeln ausgewählt werden muss. Nach dem gleichen Gedanken wird dann auch eine E-Mail-aktivierte Gruppe „Alle Mitarbeiter“ erstellt, in der alle Abteilungsgruppen Mitglieder sind.

Der Grundgedanke ist ja nicht verkehrt, allerdings sollte man insbesondere in großen Unternehmen  auf eines achten: Versendet jemand zur besten Arbeitszeit eine Mail an die E-Mail-aktivierte Gruppe „Alle Mitarbeiter“, so wird die Auflösung aller Gruppenmitgliedschaften vom Global Catalog vorgenommen. Wenn wir uns als Beispiel über tausend Mitarbeiter vorstellen, kann durch die erweiterte Verschachtelung ein einzelner GC so überlastet werden, dass andere Anfragen der Clients nicht mehr abgearbeitet werden können. Ob die Mail nun mit oder auch ohne Anhang versendet wird, macht da keinen Unterschied. Antworten nun noch mehrere Mitarbeiter an alle Empfänger der Mail, kann der Server ein ernsthaftes Problem bekommen. In einem Exchange-Cluster kann dies dazu führen, dass das System einen Failover indiziert und dann aus dem Schwenken nicht mehr raus kommt.
Daher empfiehlt es sich, eine solche Gruppe abzusichern und nur ausgewählten Personen das Recht zu vergeben, an diese Gruppe Mails zu verschicken. In den Eigenschaften des Active-Directory-Gruppenobjekts kann dies unter „Exchange Allgemein“ umgesetzt werden.

Eine solche Absicherung ist zudem auch bei Gruppen wie beispielsweise Geschäftsführung, Betriebsrat, Revision etc. sinnvoll, um diese vor Mails aus dem Internet oder auch von intern zu schützen.