telser
Goto Top

Exchange Online Shared Mailbox - E-Mail wird von selbst gelöscht

Servus!

Ein eigenartiges Phänomen tritt seit einiger Zeit in unserer Shared Mailbox auf:
Eine neue, eingehende E-Mail wird im Posteingang der der Shared Mailbox angezeigt, verschwindet aber nach einer kurzen Zeit (meisten zwischen 15 und 45 Sekunden) automatisch. Sie ist auch nicht in den gelöschten Elementen zu finden sondern kann nur über "Gelöschte Elemente wiederherstellen" gefunden und auch "wiederhergestellt" werden. Sobald die Datei wiederhergestellt ist beginnt das Spiel von vorne.
Dabei ist es egal in welchem Ordner (innerhalb der Shared Mailbox) man die Datei nach dem wiederherstellen kopiert/verschiebt. Kopiert man sie in ein anderes Postfach ist alles gut, die E-Mail bleibt erhalten.
Es gibt KEINE Regeln, weder direkt in Outlook (lokal und Web) oder im Nachrichtenfluss am Exchange Server selbst.

Die E-Mails die betroffen sind haben kein Alleinstellungsmerkmal, die gleiche E-Mail vom gleichen Absender nochmals geschickt hat das Problem nicht...

Ich habe den "Gelöschte Element" Ordner aller Outlook (Desktop) Clients gecheckt ob irgendwo die betroffene E-Mail in diesem Ordner auftaucht, aber bin nicht fündig geworden. Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.

Hat jemand für Euch eine Idee woran das leigen könnte?

Danke vorab für Eure Mühe, Tom

Content-ID: 63361996083

Url: https://administrator.de/contentid/63361996083

Ausgedruckt am: 13.11.2024 um 06:11 Uhr

phillson
phillson 18.04.2024 um 20:01:30 Uhr
Goto Top
Hi,

ich denke, ich würde das AuditLog am Exchange für die Mailbox aktivieren und dann das Log auswerten. Evtl. findet man da Hinweise.

LG
radiogugu
radiogugu 18.04.2024 aktualisiert um 22:18:40 Uhr
Goto Top
Nabend.

Was für ein Mailgateway / Spamfilter kommt zum Einsatz?

Mit

Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.

meinst du Vollzugriff im Exchange Admin Center?

Gibt es in einem der Outlooks eine Regel, welche das verursachen könnte?

Das Verhalten ist auf eine Shared Mailbox beschränkt?

Gruß
Marc
telser
telser 19.04.2024 um 09:09:33 Uhr
Goto Top
Mit

Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.

meinst du Vollzugriff im Exchange Admin Center?

Ich meinte damit das Outlook automatisch erkannt hat das der/die User Mitglieder der Shared Mailbox sind und dementsprechend die Mailbox in Outlook anzeigt.

Gibt es in einem der Outlooks eine Regel, welche das verursachen könnte?

Nein, alles doppelt gecheckt, am Desktop Client und im Web.


Das Verhalten ist auf eine Shared Mailbox beschränkt?

Es ist die einzige Shared Mailbox die wir verwenden...

Danke und LG, Tom
pebcak7123
pebcak7123 19.04.2024 um 11:06:09 Uhr
Goto Top
Du hast aber schon bei allen Desktop Clients geschaut, oder nur bei einem ?
telser
telser 19.04.2024 um 11:18:04 Uhr
Goto Top
ich denke, ich würde das AuditLog am Exchange für die Mailbox aktivieren und dann das Log auswerten. Evtl. findet man da Hinweise.

Es gib im Log öfters
"Operation : HardDelete
OperationResult : Succeeded"

Ich nehme an "HardDelete" bezieht sich hier auf löschen der E-Mail mit "Umschalt-Del"?
Die Benutzer haben mir alle versichert das sie nie E-Mails im Posteingangs-Ordner der Shared Mailbox "endgültig löschen", also mit Umschalt-Del, sondern nur in den Papierkorb verschieben....
JasperBeardley
JasperBeardley 19.04.2024 um 11:53:47 Uhr
Goto Top
Moin,

hast du die Hidden Rules des Postfachs geprüft?

Gruß
Jasper
mininik
mininik 19.04.2024 um 14:05:05 Uhr
Goto Top
Hi,

würde mal nach versteckten Regeln suchen mit https://github.com/microsoft/mfcmapi

Hat das Mailgateway ggf. Zugriff auf die Postfächer, erkennt die Mail hinterher als schädlich und entfernt diese dann doch noch aus dem Postfach?

Gruß
mininik
telser
telser 19.04.2024 um 18:26:48 Uhr
Goto Top
Wie kann ich die "Hidden Rules" überprüfen?
Mit "MFCMAPI" lässt er mich immer nur auf das Haupt-Postfach, die SharedMailbox generiert einen Fehler.
Was sollte ich Eurer Meinung nach bei den "Hidden Rules" finden?
Danke!
phillson
phillson 19.04.2024 um 18:37:16 Uhr
Goto Top
Quote from @telser:

ich denke, ich würde das AuditLog am Exchange für die Mailbox aktivieren und dann das Log auswerten. Evtl. findet man da Hinweise.

Es gib im Log öfters
"Operation : HardDelete
OperationResult : Succeeded"

Ich nehme an "HardDelete" bezieht sich hier auf löschen der E-Mail mit "Umschalt-Del"?
Die Benutzer haben mir alle versichert das sie nie E-Mails im Posteingangs-Ordner der Shared Mailbox "endgültig löschen", also mit Umschalt-Del, sondern nur in den Papierkorb verschieben....

„HardDelete“ ist die endgültige Löschung, ohne dass es nochmal wiederherstellbar wäre - ohne Backup.

Normalerweise zeigt das AuditLog aber auch an, wer die Aktion durchgeführt hat. Vllt könnte man hier nochmal genauer schauen.

LG
telser
telser 19.04.2024 um 20:00:12 Uhr
Goto Top
„HardDelete“ ist die endgültige Löschung, ohne dass es nochmal wiederherstellbar wäre - ohne Backup.

Normalerweise zeigt das AuditLog aber auch an, wer die Aktion durchgeführt hat. Vllt könnte man hier nochmal genauer schauen.

Hier ein kurzer Auszug:

Operation             : HardDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB3070F90B4BD56667X9C404CED13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB30X00034A82E042542DE5407D13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <GVXPR01MB10497001E106AAXF65CEEA090973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:32:19

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : 213.90.124.154
ItemInternetMessageId : <GVXPR01MB10497550822BB85D325A845B3973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:12:48

Operation             : SoftDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:05:33

Bei "HardDelete" und "Softdelete" scheint nie eine "ItemInternetMessageId" auf ... ist das so richtig bzw. was sagt mir das? Was wird hier "Hard/Soft" gelöscht?

Danke!
phillson
phillson 19.04.2024 um 23:56:50 Uhr
Goto Top
Quote from @telser:

„HardDelete“ ist die endgültige Löschung, ohne dass es nochmal wiederherstellbar wäre - ohne Backup.

Normalerweise zeigt das AuditLog aber auch an, wer die Aktion durchgeführt hat. Vllt könnte man hier nochmal genauer schauen.

Hier ein kurzer Auszug:

Operation             : HardDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB3070F90B4BD56667X9C404CED13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB30X00034A82E042542DE5407D13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <GVXPR01MB10497001E106AAXF65CEEA090973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:32:19

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : 213.90.124.154
ItemInternetMessageId : <GVXPR01MB10497550822BB85D325A845B3973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:12:48

Operation             : SoftDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:05:33

Bei "HardDelete" und "Softdelete" scheint nie eine "ItemInternetMessageId" auf ... ist das so richtig bzw. was sagt mir das? Was wird hier "Hard/Soft" gelöscht?

Danke!

Hm, also ich denke es geht um die erste Message, die hier im Log angezeigt wird oder? Verdächtig ist aus meiner Sicht schon, dass in genau der gleichen Sekunde zwei andere Messages created werden. Wie auch immer - bei der ersten Message gibt es jedenfalls einen DisplayName eines Users, den du unkenntlich gemacht hast nehme ich an. Bei diesem User würde ich mal via „Win + R“ die Funktion „run“ ausführen und dann „outlook /cleanrules“ ausführen.
telser
telser 20.04.2024 aktualisiert um 15:29:06 Uhr
Goto Top
Hm, also ich denke es geht um die erste Message, die hier im Log angezeigt wird oder? Verdächtig ist aus meiner Sicht schon, dass in genau der gleichen Sekunde zwei andere Messages created werden.

Das kommt so eigentlich öfters im Log vor, mit verschiedenen Usern ...