telser
Goto Top

Exchange Online Shared Mailbox - E-Mail wird von selbst gelöscht

Servus!

Ein eigenartiges Phänomen tritt seit einiger Zeit in unserer Shared Mailbox auf:
Eine neue, eingehende E-Mail wird im Posteingang der der Shared Mailbox angezeigt, verschwindet aber nach einer kurzen Zeit (meisten zwischen 15 und 45 Sekunden) automatisch. Sie ist auch nicht in den gelöschten Elementen zu finden sondern kann nur über "Gelöschte Elemente wiederherstellen" gefunden und auch "wiederhergestellt" werden. Sobald die Datei wiederhergestellt ist beginnt das Spiel von vorne.
Dabei ist es egal in welchem Ordner (innerhalb der Shared Mailbox) man die Datei nach dem wiederherstellen kopiert/verschiebt. Kopiert man sie in ein anderes Postfach ist alles gut, die E-Mail bleibt erhalten.
Es gibt KEINE Regeln, weder direkt in Outlook (lokal und Web) oder im Nachrichtenfluss am Exchange Server selbst.

Die E-Mails die betroffen sind haben kein Alleinstellungsmerkmal, die gleiche E-Mail vom gleichen Absender nochmals geschickt hat das Problem nicht...

Ich habe den "Gelöschte Element" Ordner aller Outlook (Desktop) Clients gecheckt ob irgendwo die betroffene E-Mail in diesem Ordner auftaucht, aber bin nicht fündig geworden. Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.

Hat jemand für Euch eine Idee woran das leigen könnte?

Danke vorab für Eure Mühe, Tom

Content-Key: 63361996083

Url: https://administrator.de/contentid/63361996083

Printed on: May 30, 2024 at 12:05 o'clock

Member: phillson
phillson Apr 18, 2024 at 18:01:30 (UTC)
Goto Top
Hi,

ich denke, ich würde das AuditLog am Exchange für die Mailbox aktivieren und dann das Log auswerten. Evtl. findet man da Hinweise.

LG
Member: radiogugu
radiogugu Apr 18, 2024 updated at 20:18:40 (UTC)
Goto Top
Nabend.

Was für ein Mailgateway / Spamfilter kommt zum Einsatz?

Mit

Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.

meinst du Vollzugriff im Exchange Admin Center?

Gibt es in einem der Outlooks eine Regel, welche das verursachen könnte?

Das Verhalten ist auf eine Shared Mailbox beschränkt?

Gruß
Marc
Member: telser
telser Apr 19, 2024 at 07:09:33 (UTC)
Goto Top
Mit

Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.

meinst du Vollzugriff im Exchange Admin Center?

Ich meinte damit das Outlook automatisch erkannt hat das der/die User Mitglieder der Shared Mailbox sind und dementsprechend die Mailbox in Outlook anzeigt.

Gibt es in einem der Outlooks eine Regel, welche das verursachen könnte?

Nein, alles doppelt gecheckt, am Desktop Client und im Web.


Das Verhalten ist auf eine Shared Mailbox beschränkt?

Es ist die einzige Shared Mailbox die wir verwenden...

Danke und LG, Tom
Member: pebcak7123
pebcak7123 Apr 19, 2024 at 09:06:09 (UTC)
Goto Top
Du hast aber schon bei allen Desktop Clients geschaut, oder nur bei einem ?
Member: telser
telser Apr 19, 2024 at 09:18:04 (UTC)
Goto Top
ich denke, ich würde das AuditLog am Exchange für die Mailbox aktivieren und dann das Log auswerten. Evtl. findet man da Hinweise.

Es gib im Log öfters
"Operation : HardDelete
OperationResult : Succeeded"

Ich nehme an "HardDelete" bezieht sich hier auf löschen der E-Mail mit "Umschalt-Del"?
Die Benutzer haben mir alle versichert das sie nie E-Mails im Posteingangs-Ordner der Shared Mailbox "endgültig löschen", also mit Umschalt-Del, sondern nur in den Papierkorb verschieben....
Member: JasperBeardley
JasperBeardley Apr 19, 2024 at 09:53:47 (UTC)
Goto Top
Moin,

hast du die Hidden Rules des Postfachs geprüft?

Gruß
Jasper
Member: mininik
mininik Apr 19, 2024 at 12:05:05 (UTC)
Goto Top
Hi,

würde mal nach versteckten Regeln suchen mit https://github.com/microsoft/mfcmapi

Hat das Mailgateway ggf. Zugriff auf die Postfächer, erkennt die Mail hinterher als schädlich und entfernt diese dann doch noch aus dem Postfach?

Gruß
mininik
Member: telser
telser Apr 19, 2024 at 16:26:48 (UTC)
Goto Top
Wie kann ich die "Hidden Rules" überprüfen?
Mit "MFCMAPI" lässt er mich immer nur auf das Haupt-Postfach, die SharedMailbox generiert einen Fehler.
Was sollte ich Eurer Meinung nach bei den "Hidden Rules" finden?
Danke!
Member: phillson
phillson Apr 19, 2024 at 16:37:16 (UTC)
Goto Top
Quote from @telser:

ich denke, ich würde das AuditLog am Exchange für die Mailbox aktivieren und dann das Log auswerten. Evtl. findet man da Hinweise.

Es gib im Log öfters
"Operation : HardDelete
OperationResult : Succeeded"

Ich nehme an "HardDelete" bezieht sich hier auf löschen der E-Mail mit "Umschalt-Del"?
Die Benutzer haben mir alle versichert das sie nie E-Mails im Posteingangs-Ordner der Shared Mailbox "endgültig löschen", also mit Umschalt-Del, sondern nur in den Papierkorb verschieben....

„HardDelete“ ist die endgültige Löschung, ohne dass es nochmal wiederherstellbar wäre - ohne Backup.

Normalerweise zeigt das AuditLog aber auch an, wer die Aktion durchgeführt hat. Vllt könnte man hier nochmal genauer schauen.

LG
Member: telser
telser Apr 19, 2024 at 18:00:12 (UTC)
Goto Top
„HardDelete“ ist die endgültige Löschung, ohne dass es nochmal wiederherstellbar wäre - ohne Backup.

Normalerweise zeigt das AuditLog aber auch an, wer die Aktion durchgeführt hat. Vllt könnte man hier nochmal genauer schauen.

Hier ein kurzer Auszug:

Operation             : HardDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB3070F90B4BD56667X9C404CED13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB30X00034A82E042542DE5407D13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <GVXPR01MB10497001E106AAXF65CEEA090973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:32:19

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : 213.90.124.154
ItemInternetMessageId : <GVXPR01MB10497550822BB85D325A845B3973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:12:48

Operation             : SoftDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:05:33

Bei "HardDelete" und "Softdelete" scheint nie eine "ItemInternetMessageId" auf ... ist das so richtig bzw. was sagt mir das? Was wird hier "Hard/Soft" gelöscht?

Danke!
Member: phillson
phillson Apr 19, 2024 at 21:56:50 (UTC)
Goto Top
Quote from @telser:

„HardDelete“ ist die endgültige Löschung, ohne dass es nochmal wiederherstellbar wäre - ohne Backup.

Normalerweise zeigt das AuditLog aber auch an, wer die Aktion durchgeführt hat. Vllt könnte man hier nochmal genauer schauen.

Hier ein kurzer Auszug:

Operation             : HardDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB3070F90B4BD56667X9C404CED13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : Create
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : Fwd: Test 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB30X00034A82E042542DE5407D13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:45:05

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : <GVXPR01MB10497001E106AAXF65CEEA090973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:32:19

Operation             : SendAs
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : AW: Test NEU
ClientIP              : 213.90.124.154
ItemInternetMessageId : <GVXPR01MB10497550822BB85D325A845B3973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed          : 02.04.2024 07:12:48

Operation             : SoftDelete
OperationResult       : Succeeded
LogonType             : Delegate
LogonUserDisplayName  : xxxxxxxxxxxxx
ItemSubject           : 
ClientIP              : xxxxxxxxxxxxx
ItemInternetMessageId : 
LastAccessed          : 02.04.2024 07:05:33

Bei "HardDelete" und "Softdelete" scheint nie eine "ItemInternetMessageId" auf ... ist das so richtig bzw. was sagt mir das? Was wird hier "Hard/Soft" gelöscht?

Danke!

Hm, also ich denke es geht um die erste Message, die hier im Log angezeigt wird oder? Verdächtig ist aus meiner Sicht schon, dass in genau der gleichen Sekunde zwei andere Messages created werden. Wie auch immer - bei der ersten Message gibt es jedenfalls einen DisplayName eines Users, den du unkenntlich gemacht hast nehme ich an. Bei diesem User würde ich mal via „Win + R“ die Funktion „run“ ausführen und dann „outlook /cleanrules“ ausführen.
Member: telser
telser Apr 20, 2024 updated at 13:29:06 (UTC)
Goto Top
Hm, also ich denke es geht um die erste Message, die hier im Log angezeigt wird oder? Verdächtig ist aus meiner Sicht schon, dass in genau der gleichen Sekunde zwei andere Messages created werden.

Das kommt so eigentlich öfters im Log vor, mit verschiedenen Usern ...