18.04.2024

1835

Exchange Online Shared Mailbox - E-Mail wird von selbst gelöscht

Servus!

Ein eigenartiges Phänomen tritt seit einiger Zeit in unserer Shared Mailbox auf:
Eine neue, eingehende E-Mail wird im Posteingang der der Shared Mailbox angezeigt, verschwindet aber nach einer kurzen Zeit (meisten zwischen 15 und 45 Sekunden) automatisch. Sie ist auch nicht in den gelöschten Elementen zu finden sondern kann nur über "Gelöschte Elemente wiederherstellen" gefunden und auch "wiederhergestellt" werden. Sobald die Datei wiederhergestellt ist beginnt das Spiel von vorne.
Dabei ist es egal in welchem Ordner (innerhalb der Shared Mailbox) man die Datei nach dem wiederherstellen kopiert/verschiebt. Kopiert man sie in ein anderes Postfach ist alles gut, die E-Mail bleibt erhalten.
Es gibt KEINE Regeln, weder direkt in Outlook (lokal und Web) oder im Nachrichtenfluss am Exchange Server selbst.

Die E-Mails die betroffen sind haben kein Alleinstellungsmerkmal, die gleiche E-Mail vom gleichen Absender nochmals geschickt hat das Problem nicht...

Ich habe den "Gelöschte Element" Ordner aller Outlook (Desktop) Clients gecheckt ob irgendwo die betroffene E-Mail in diesem Ordner auftaucht, aber bin nicht fündig geworden. Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.

Hat jemand für Euch eine Idee woran das leigen könnte?

Danke vorab für Eure Mühe, Tom

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 63361996083

Url: https://administrator.de/contentid/63361996083

Ausgedruckt am: 23.11.2024 um 16:11 Uhr

12 Kommentare

Neuester Kommentar

Hi,

ich denke, ich würde das AuditLog am Exchange für die Mailbox aktivieren und dann das Log auswerten. Evtl. findet man da Hinweise.

LG

Nabend.

Was für ein Mailgateway / Spamfilter kommt zum Einsatz?

Mit

Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.

meinst du Vollzugriff im Exchange Admin Center?

Gibt es in einem der Outlooks eine Regel, welche das verursachen könnte?

Das Verhalten ist auf eine Shared Mailbox beschränkt?

Gruß
Marc

Mit

Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.

meinst du Vollzugriff im Exchange Admin Center?

Ich meinte damit das Outlook automatisch erkannt hat das der/die User Mitglieder der Shared Mailbox sind und dementsprechend die Mailbox in Outlook anzeigt.

Gibt es in einem der Outlooks eine Regel, welche das verursachen könnte?

Nein, alles doppelt gecheckt, am Desktop Client und im Web.

Das Verhalten ist auf eine Shared Mailbox beschränkt?

Es ist die einzige Shared Mailbox die wir verwenden...

Danke und LG, Tom

Du hast aber schon bei allen Desktop Clients geschaut, oder nur bei einem ?

ich denke, ich würde das AuditLog am Exchange für die Mailbox aktivieren und dann das Log auswerten. Evtl. findet man da Hinweise.

Es gib im Log öfters
"Operation : HardDelete
OperationResult : Succeeded"

Ich nehme an "HardDelete" bezieht sich hier auf löschen der E-Mail mit "Umschalt-Del"?
Die Benutzer haben mir alle versichert das sie nie E-Mails im Posteingangs-Ordner der Shared Mailbox "endgültig löschen", also mit Umschalt-Del, sondern nur in den Papierkorb verschieben....

Moin,

hast du die Hidden Rules des Postfachs geprüft?

Gruß
Jasper

Hi,

würde mal nach versteckten Regeln suchen mit https://github.com/microsoft/mfcmapi

Hat das Mailgateway ggf. Zugriff auf die Postfächer, erkennt die Mail hinterher als schädlich und entfernt diese dann doch noch aus dem Postfach?

Gruß
mininik

Wie kann ich die "Hidden Rules" überprüfen?
Mit "MFCMAPI" lässt er mich immer nur auf das Haupt-Postfach, die SharedMailbox generiert einen Fehler.
Was sollte ich Eurer Meinung nach bei den "Hidden Rules" finden?
Danke!

Quote from @telser:

ich denke, ich würde das AuditLog am Exchange für die Mailbox aktivieren und dann das Log auswerten. Evtl. findet man da Hinweise.

„HardDelete“ ist die endgültige Löschung, ohne dass es nochmal wiederherstellbar wäre - ohne Backup.

Normalerweise zeigt das AuditLog aber auch an, wer die Aktion durchgeführt hat. Vllt könnte man hier nochmal genauer schauen.

LG

Hier ein kurzer Auszug:

Operation             : HardDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB3070F90B4BD56667X9C404CED13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB30X00034A82E042542DE5407D13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <GVXPR01MB10497001E106AAXF65CEEA090973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:32:19

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : 213.90.124.154
ItemInternetMessageId : <GVXPR01MB10497550822BB85D325A845B3973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:12:48

Operation             : SoftDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:05:33

Bei "HardDelete" und "Softdelete" scheint nie eine "ItemInternetMessageId" auf ... ist das so richtig bzw. was sagt mir das? Was wird hier "Hard/Soft" gelöscht?

Danke!

Quote from @telser:

Hier ein kurzer Auszug:

Operation             : HardDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB3070F90B4BD56667X9C404CED13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB30X00034A82E042542DE5407D13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <GVXPR01MB10497001E106AAXF65CEEA090973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:32:19

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : 213.90.124.154
ItemInternetMessageId : <GVXPR01MB10497550822BB85D325A845B3973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:12:48

Operation             : SoftDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:05:33

Bei "HardDelete" und "Softdelete" scheint nie eine "ItemInternetMessageId" auf ... ist das so richtig bzw. was sagt mir das? Was wird hier "Hard/Soft" gelöscht?

Danke!

Hm, also ich denke es geht um die erste Message, die hier im Log angezeigt wird oder? Verdächtig ist aus meiner Sicht schon, dass in genau der gleichen Sekunde zwei andere Messages created werden. Wie auch immer - bei der ersten Message gibt es jedenfalls einen DisplayName eines Users, den du unkenntlich gemacht hast nehme ich an. Bei diesem User würde ich mal via „Win + R“ die Funktion „run“ ausführen und dann „outlook /cleanrules“ ausführen.

Hm, also ich denke es geht um die erste Message, die hier im Log angezeigt wird oder? Verdächtig ist aus meiner Sicht schon, dass in genau der gleichen Sekunde zwei andere Messages created werden.

Das kommt so eigentlich öfters im Log vor, mit verschiedenen Usern ...

Frage Microsoft Office Exchange Server

Mehr von telser

"Das neue Outlook" - Kalender Druckformate änderntelser - 1 Kommentar

Zwischengespeicherte Credentials finden und entfernentelser - 3 Kommentare

Microsoft 365 Berechtigung für (de)aktivieren von Regeln vergebentelser - 6 Kommentare

Klonen einer mit Bitlocker verschlüsselten System SSD fragt nicht nach PIN?telser - 7 Kommentare

Heiß diskutiert