Exchange Online Shared Mailbox - E-Mail wird von selbst gelöscht
Servus!
Ein eigenartiges Phänomen tritt seit einiger Zeit in unserer Shared Mailbox auf:
Eine neue, eingehende E-Mail wird im Posteingang der der Shared Mailbox angezeigt, verschwindet aber nach einer kurzen Zeit (meisten zwischen 15 und 45 Sekunden) automatisch. Sie ist auch nicht in den gelöschten Elementen zu finden sondern kann nur über "Gelöschte Elemente wiederherstellen" gefunden und auch "wiederhergestellt" werden. Sobald die Datei wiederhergestellt ist beginnt das Spiel von vorne.
Dabei ist es egal in welchem Ordner (innerhalb der Shared Mailbox) man die Datei nach dem wiederherstellen kopiert/verschiebt. Kopiert man sie in ein anderes Postfach ist alles gut, die E-Mail bleibt erhalten.
Es gibt KEINE Regeln, weder direkt in Outlook (lokal und Web) oder im Nachrichtenfluss am Exchange Server selbst.
Die E-Mails die betroffen sind haben kein Alleinstellungsmerkmal, die gleiche E-Mail vom gleichen Absender nochmals geschickt hat das Problem nicht...
Ich habe den "Gelöschte Element" Ordner aller Outlook (Desktop) Clients gecheckt ob irgendwo die betroffene E-Mail in diesem Ordner auftaucht, aber bin nicht fündig geworden. Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.
Hat jemand für Euch eine Idee woran das leigen könnte?
Danke vorab für Eure Mühe, Tom
Ein eigenartiges Phänomen tritt seit einiger Zeit in unserer Shared Mailbox auf:
Eine neue, eingehende E-Mail wird im Posteingang der der Shared Mailbox angezeigt, verschwindet aber nach einer kurzen Zeit (meisten zwischen 15 und 45 Sekunden) automatisch. Sie ist auch nicht in den gelöschten Elementen zu finden sondern kann nur über "Gelöschte Elemente wiederherstellen" gefunden und auch "wiederhergestellt" werden. Sobald die Datei wiederhergestellt ist beginnt das Spiel von vorne.
Dabei ist es egal in welchem Ordner (innerhalb der Shared Mailbox) man die Datei nach dem wiederherstellen kopiert/verschiebt. Kopiert man sie in ein anderes Postfach ist alles gut, die E-Mail bleibt erhalten.
Es gibt KEINE Regeln, weder direkt in Outlook (lokal und Web) oder im Nachrichtenfluss am Exchange Server selbst.
Die E-Mails die betroffen sind haben kein Alleinstellungsmerkmal, die gleiche E-Mail vom gleichen Absender nochmals geschickt hat das Problem nicht...
Ich habe den "Gelöschte Element" Ordner aller Outlook (Desktop) Clients gecheckt ob irgendwo die betroffene E-Mail in diesem Ordner auftaucht, aber bin nicht fündig geworden. Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.
Hat jemand für Euch eine Idee woran das leigen könnte?
Danke vorab für Eure Mühe, Tom
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 63361996083
Url: https://administrator.de/contentid/63361996083
Ausgedruckt am: 23.11.2024 um 16:11 Uhr
12 Kommentare
Neuester Kommentar
Nabend.
Was für ein Mailgateway / Spamfilter kommt zum Einsatz?
Mit
meinst du Vollzugriff im Exchange Admin Center?
Gibt es in einem der Outlooks eine Regel, welche das verursachen könnte?
Das Verhalten ist auf eine Shared Mailbox beschränkt?
Gruß
Marc
Was für ein Mailgateway / Spamfilter kommt zum Einsatz?
Mit
Die "Shared Mailbox" wurde auf allen Desktop Clients (Outlook/Office 2019) per Automapping eingebunden.
meinst du Vollzugriff im Exchange Admin Center?
Gibt es in einem der Outlooks eine Regel, welche das verursachen könnte?
Das Verhalten ist auf eine Shared Mailbox beschränkt?
Gruß
Marc
Hi,
würde mal nach versteckten Regeln suchen mit https://github.com/microsoft/mfcmapi
Hat das Mailgateway ggf. Zugriff auf die Postfächer, erkennt die Mail hinterher als schädlich und entfernt diese dann doch noch aus dem Postfach?
Gruß
mininik
würde mal nach versteckten Regeln suchen mit https://github.com/microsoft/mfcmapi
Hat das Mailgateway ggf. Zugriff auf die Postfächer, erkennt die Mail hinterher als schädlich und entfernt diese dann doch noch aus dem Postfach?
Gruß
mininik
Quote from @telser:
Es gib im Log öfters
"Operation : HardDelete
OperationResult : Succeeded"
Ich nehme an "HardDelete" bezieht sich hier auf löschen der E-Mail mit "Umschalt-Del"?
Die Benutzer haben mir alle versichert das sie nie E-Mails im Posteingangs-Ordner der Shared Mailbox "endgültig löschen", also mit Umschalt-Del, sondern nur in den Papierkorb verschieben....
ich denke, ich würde das AuditLog am Exchange für die Mailbox aktivieren und dann das Log auswerten. Evtl. findet man da Hinweise.
Es gib im Log öfters
"Operation : HardDelete
OperationResult : Succeeded"
Ich nehme an "HardDelete" bezieht sich hier auf löschen der E-Mail mit "Umschalt-Del"?
Die Benutzer haben mir alle versichert das sie nie E-Mails im Posteingangs-Ordner der Shared Mailbox "endgültig löschen", also mit Umschalt-Del, sondern nur in den Papierkorb verschieben....
„HardDelete“ ist die endgültige Löschung, ohne dass es nochmal wiederherstellbar wäre - ohne Backup.
Normalerweise zeigt das AuditLog aber auch an, wer die Aktion durchgeführt hat. Vllt könnte man hier nochmal genauer schauen.
LG
Quote from @telser:
Hier ein kurzer Auszug:
Bei "HardDelete" und "Softdelete" scheint nie eine "ItemInternetMessageId" auf ... ist das so richtig bzw. was sagt mir das? Was wird hier "Hard/Soft" gelöscht?
Danke!
„HardDelete“ ist die endgültige Löschung, ohne dass es nochmal wiederherstellbar wäre - ohne Backup.
Normalerweise zeigt das AuditLog aber auch an, wer die Aktion durchgeführt hat. Vllt könnte man hier nochmal genauer schauen.
Normalerweise zeigt das AuditLog aber auch an, wer die Aktion durchgeführt hat. Vllt könnte man hier nochmal genauer schauen.
Hier ein kurzer Auszug:
Operation : HardDelete
OperationResult : Succeeded
LogonType : Delegate
LogonUserDisplayName : xxxxxxxxxxxxx
ItemSubject :
ClientIP : xxxxxxxxxxxxx
ItemInternetMessageId :
LastAccessed : 02.04.2024 07:45:05
Operation : Create
OperationResult : Succeeded
LogonType : Delegate
LogonUserDisplayName : xxxxxxxxxxxxx
ItemSubject : Fwd: Test
ClientIP : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB3070F90B4BD56667X9C404CED13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed : 02.04.2024 07:45:05
Operation : Create
OperationResult : Succeeded
LogonType : Delegate
LogonUserDisplayName : xxxxxxxxxxxxx
ItemSubject : Fwd: Test
ClientIP : xxxxxxxxxxxxx
ItemInternetMessageId : <VI1PR0102MB30X00034A82E042542DE5407D13E2@VI1PR0102MB3070.eurprd01.prod.exchangelabs.com>
LastAccessed : 02.04.2024 07:45:05
Operation : SendAs
OperationResult : Succeeded
LogonType : Delegate
LogonUserDisplayName : xxxxxxxxxxxxx
ItemSubject : AW: Test NEU
ClientIP : xxxxxxxxxxxxx
ItemInternetMessageId : <GVXPR01MB10497001E106AAXF65CEEA090973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed : 02.04.2024 07:32:19
Operation : SendAs
OperationResult : Succeeded
LogonType : Delegate
LogonUserDisplayName : xxxxxxxxxxxxx
ItemSubject : AW: Test NEU
ClientIP : 213.90.124.154
ItemInternetMessageId : <GVXPR01MB10497550822BB85D325A845B3973E2@GVXPR01MB10497.eurprd01.prod.exchangelabs.com>
LastAccessed : 02.04.2024 07:12:48
Operation : SoftDelete
OperationResult : Succeeded
LogonType : Delegate
LogonUserDisplayName : xxxxxxxxxxxxx
ItemSubject :
ClientIP : xxxxxxxxxxxxx
ItemInternetMessageId :
LastAccessed : 02.04.2024 07:05:33
Bei "HardDelete" und "Softdelete" scheint nie eine "ItemInternetMessageId" auf ... ist das so richtig bzw. was sagt mir das? Was wird hier "Hard/Soft" gelöscht?
Danke!
Hm, also ich denke es geht um die erste Message, die hier im Log angezeigt wird oder? Verdächtig ist aus meiner Sicht schon, dass in genau der gleichen Sekunde zwei andere Messages created werden. Wie auch immer - bei der ersten Message gibt es jedenfalls einen DisplayName eines Users, den du unkenntlich gemacht hast nehme ich an. Bei diesem User würde ich mal via „Win + R“ die Funktion „run“ ausführen und dann „outlook /cleanrules“ ausführen.