telser
18.04.2024
view1800
view12
0
Goto Top

Exchange Online Shared Mailbox - E-Mail wird von selbst gelöscht

FrageMicrosoft OfficeExchange Server
Servus!

Ein eigenartiges Phänomen tritt seit einiger Zeit in unserer Shared Mailbox auf:
Eine neue, eingehende E-Mail wird im Posteingang der der Shared Mailbox angezeigt, verschwindet aber nach einer kurzen Zeit (meisten zwischen 15 und 45 Sekunden) automatisch. Sie ist auch nicht in den gelöschten Elementen zu finden sondern kann nur über "Gelöschte Elemente wiederherstellen" gefunden und auch "wiederhergestellt" werden. Sobald die Datei wiederhergestellt ist beginnt das Spiel von vorne.
Dabei ist es egal in welchem Ordner (innerhalb der Shared Mailbox) man die Datei nach dem wiederherstellen kopiert/verschiebt. Kopiert man sie in ein anderes Postfach ist alles gut, die E-Mail bleibt erhalten.
Es gibt KEINE Regeln, weder direkt in Outlook (lokal und Web) oder im Nachrichtenfluss am Exchange Server selbst.

Die E-Mails die betroffen sind haben kein Alleinstellungsmerkmal, die gleiche E-Mail vom gleichen Absender nochmals geschickt hat das Problem nicht...

Ich habe den "Gelöschte Element" Ordner aller Outlook (Desktop) Clients gecheckt ob irgendwo die betroffene E-Mail in diesem Ordner auftaucht, aber bin nicht fündig geworden. Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.

Hat jemand für Euch eine Idee woran das leigen könnte?

Danke vorab für Eure Mühe, Tom
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 63361996083

Url: https://administrator.de/contentid/63361996083

Ausgedruckt am: 13.11.2024 um 06:11 Uhr

12 Kommentare
Neuester Kommentar
Goto Top
phillson
phillson 18.04.2024 um 20:01:30 Uhr
Goto Top
Hi,

ich denke, ich würde das AuditLog am Exchange für die Mailbox aktivieren und dann das Log auswerten. Evtl. findet man da Hinweise.

LG
radiogugu
radiogugu 18.04.2024 aktualisiert um 22:18:40 Uhr
Goto Top
Nabend.

Was für ein Mailgateway / Spamfilter kommt zum Einsatz?

Mit

Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.

meinst du Vollzugriff im Exchange Admin Center?

Gibt es in einem der Outlooks eine Regel, welche das verursachen könnte?

Das Verhalten ist auf eine Shared Mailbox beschränkt?

Gruß
Marc
telser
telser 19.04.2024 um 09:09:33 Uhr
Goto Top
Mit

Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.

meinst du Vollzugriff im Exchange Admin Center?

Ich meinte damit das Outlook automatisch erkannt hat das der/die User Mitglieder der Shared Mailbox sind und dementsprechend die Mailbox in Outlook anzeigt.

Gibt es in einem der Outlooks eine Regel, welche das verursachen könnte?

Nein, alles doppelt gecheckt, am Desktop Client und im Web.


Das Verhalten ist auf eine Shared Mailbox beschränkt?

Es ist die einzige Shared Mailbox die wir verwenden...

Danke und LG, Tom
pebcak7123
pebcak7123 19.04.2024 um 11:06:09 Uhr
Goto Top
Du hast aber schon bei allen Desktop Clients geschaut, oder nur bei einem ?
telser
telser 19.04.2024 um 11:18:04 Uhr
Goto Top
ich denke, ich würde das AuditLog am Exchange für die Mailbox aktivieren und dann das Log auswerten. Evtl. findet man da Hinweise.

Es gib im Log öfters
"Operation : HardDelete
OperationResult : Succeeded"

Ich nehme an "HardDelete" bezieht sich hier auf löschen der E-Mail mit "Umschalt-Del"?
Die Benutzer haben mir alle versichert das sie nie E-Mails im Posteingangs-Ordner der Shared Mailbox "endgültig löschen", also mit Umschalt-Del, sondern nur in den Papierkorb verschieben....
JasperBeardley
JasperBeardley 19.04.2024 um 11:53:47 Uhr
Goto Top
Moin,

hast du die Hidden Rules des Postfachs geprüft?

Gruß
Jasper
mininik
mininik 19.04.2024 um 14:05:05 Uhr
Goto Top
Hi,

würde mal nach versteckten Regeln suchen mit https://github.com/microsoft/mfcmapi

Hat das Mailgateway ggf. Zugriff auf die Postfächer, erkennt die Mail hinterher als schädlich und entfernt diese dann doch noch aus dem Postfach?

Gruß
mininik
telser
telser 19.04.2024 um 18:26:48 Uhr
Goto Top
Wie kann ich die "Hidden Rules" überprüfen?
Mit "MFCMAPI" lässt er mich immer nur auf das Haupt-Postfach, die SharedMailbox generiert einen Fehler.
Was sollte ich Eurer Meinung nach bei den "Hidden Rules" finden?
Danke!
phillson
phillson 19.04.2024 um 18:37:16 Uhr
Goto Top
Quote from @telser:

ich denke, ich würde das AuditLog am Exchange für die Mailbox aktivieren und dann das Log auswerten. Evtl. findet man da Hinweise.

Es gib im Log öfters
"Operation : HardDelete
OperationResult : Succeeded"

Ich nehme an "HardDelete" bezieht sich hier auf löschen der E-Mail mit "Umschalt-Del"?
Die Benutzer haben mir alle versichert das sie nie E-Mails im Posteingangs-Ordner der Shared Mailbox "endgültig löschen", also mit Umschalt-Del, sondern nur in den Papierkorb verschieben....

„HardDelete“ ist die endgültige Löschung, ohne dass es nochmal wiederherstellbar wäre - ohne Backup.

Normalerweise zeigt das AuditLog aber auch an, wer die Aktion durchgeführt hat. Vllt könnte man hier nochmal genauer schauen.

LG
telser
telser 19.04.2024 um 20:00:12 Uhr
Goto Top
„HardDelete“ ist die endgültige Löschung, ohne dass es nochmal wiederherstellbar wäre - ohne Backup.

Normalerweise zeigt das AuditLog aber auch an, wer die Aktion durchgeführt hat. Vllt könnte man hier nochmal genauer schauen.

Hier ein kurzer Auszug:

Operation             : HardDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB3070F90B4BD56667X9C404CED13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB30X00034A82E042542DE5407D13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <GVXPR01MB10497001E106AAXF65CEEA090973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:32:19

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : 213.90.124.154
ItemInternetMessageId : <GVXPR01MB10497550822BB85D325A845B3973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:12:48

Operation             : SoftDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:05:33

Bei "HardDelete" und "Softdelete" scheint nie eine "ItemInternetMessageId" auf ... ist das so richtig bzw. was sagt mir das? Was wird hier "Hard/Soft" gelöscht?

Danke!
phillson
phillson 19.04.2024 um 23:56:50 Uhr
Goto Top
Quote from @telser:

„HardDelete“ ist die endgültige Löschung, ohne dass es nochmal wiederherstellbar wäre - ohne Backup.

Normalerweise zeigt das AuditLog aber auch an, wer die Aktion durchgeführt hat. Vllt könnte man hier nochmal genauer schauen.

Hier ein kurzer Auszug:

Operation             : HardDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB3070F90B4BD56667X9C404CED13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB30X00034A82E042542DE5407D13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <GVXPR01MB10497001E106AAXF65CEEA090973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:32:19

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : 213.90.124.154
ItemInternetMessageId : <GVXPR01MB10497550822BB85D325A845B3973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:12:48

Operation             : SoftDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:05:33

Bei "HardDelete" und "Softdelete" scheint nie eine "ItemInternetMessageId" auf ... ist das so richtig bzw. was sagt mir das? Was wird hier "Hard/Soft" gelöscht?

Danke!

Hm, also ich denke es geht um die erste Message, die hier im Log angezeigt wird oder? Verdächtig ist aus meiner Sicht schon, dass in genau der gleichen Sekunde zwei andere Messages created werden. Wie auch immer - bei der ersten Message gibt es jedenfalls einen DisplayName eines Users, den du unkenntlich gemacht hast nehme ich an. Bei diesem User würde ich mal via „Win + R“ die Funktion „run“ ausführen und dann „outlook /cleanrules“ ausführen.
telser
telser 20.04.2024 aktualisiert um 15:29:06 Uhr
Goto Top
Hm, also ich denke es geht um die erste Message, die hier im Log angezeigt wird oder? Verdächtig ist aus meiner Sicht schon, dass in genau der gleichen Sekunde zwei andere Messages created werden.

Das kommt so eigentlich öfters im Log vor, mit verschiedenen Usern ...
FrageMicrosoft OfficeExchange Server
Mehr von telsertelser"Das neue Outlook" - Kalender Druckformate änderntelser - 1 KommentartelserZwischengespeicherte Credentials finden und entfernentelser - 3 KommentaretelserMicrosoft 365 Berechtigung für (de)aktivieren von Regeln vergebentelser - 6 KommentaretelserKlonen einer mit Bitlocker verschlüsselten System SSD fragt nicht nach PIN?telser - 7 Kommentare
Heiß diskutiert
Roland567VMware - Broadcom und neue PreiseRoland567 - 29 KommentareMysticFoxDESERVER 2025 - NIC-Performance - Per Default sehr "durchwachsen"MysticFoxDE - 25 KommentareDarkened1645Welchen Hypervisor für Zuhause?Darkened1645 - 23 KommentareOliverXGäste IP-Bereich mit Internet aber kein Zugriff auf Büro IP-BereichOliverX - 20 KommentarekartoffelesserCable Diagnostics - Distance to fault 11,5 Meterkartoffelesser - 19 KommentareKarlHoGeklonte Windows Systeme in MDM aufnehmenKarlHo - 17 KommentareBlackmannZwang zur TelefonnummernbereitstellungBlackmann - 16 Kommentaremorpheus2010De Domain für Mailadressen wie sicher ist der WHOISmorpheus2010 - 15 Kommentarebulldozer90Win11 Master Image mit OEM Lizenzen möglich?bulldozer90 - 15 KommentarePaulina.RabeNetzwerk aufbauen für BürogemeinschaftPaulina.Rabe - 14 KommentarejsysdeWindows 11 - 24H2 - Rechte-Erweiterung via Taskmanagerjsysde - 14 KommentareAlex-AlexLangsamer erster Start der ERP-Software auf 2 WIN11 PCsAlex-Alex - 13 Kommentare