wkorell
Goto Top

Mails aus einem Exchange Postfach verschwunden

Hallo,

wir betreiben einen Exchange 2010 SP2 auf einem Windows Server 2008 R2 mit neusten Updates und gestern Abend ist bei einem Benutzer der koplette Posteingang verschwunden.

Der Benutzer hatte ca. 10.000 Mails im Posteingang die gestern Abend innerhalb von ca. 20 Minuten verschwunden sind. Es ist nicht der Outlook Client, da die Mails weder auf den Mobilen Endgeräten noch auf den OWA zu sehen sind sind. Außerdem ist auch keine Autoarchivierung eingestellt oder aktiv. Per PowerShell-Befehl Mailboxstatistics wird aber die richtige Anzahl an Elementen angezeigt. Gibt es eine Möglichkeit die Mails zurückzuholen ohne die Backups wieder einzuspielen da dadurch die Mails vom 27ten verloren gehen würden?

Danke im vorraus.

WKorell

Content-ID: 195087

Url: https://administrator.de/contentid/195087

Ausgedruckt am: 17.11.2024 um 05:11 Uhr

goscho
goscho 28.11.2012 um 19:18:50 Uhr
Goto Top
Guten Abend,
Exchange hat eine Vorhaltezeit von 30 Tagen für gelöschte Elemente. Diese können sehr einfach in Outlook wiederhergestellt werden.
Auch die Wiederherstellung einzelner Elemente sollte ein vernünftiges Backupprogramm können.
Stelomat
Stelomat 29.11.2012, aktualisiert am 06.03.2013 um 11:36:17 Uhr
Goto Top
Spontan wuerde ich drauf tippen das die Mails vieleicht in einen Ordner verschoben wurden. Kann es sein das der User sie versehentlich in einen Unterordner oder auch Kontakteordner (hatte ich letztens) verschoben hat. Tipp Ordner synchronisationsprobleme wenn du im outlook unten auf das kleine Ordnersymbol klickst zeigt Outlook erst alle echten Ordner an hier könnte sich was versctecken.
filippg
filippg 29.11.2012 um 00:47:21 Uhr
Goto Top
Hallo,

etwas tatsächlich _sofort_ von Exchange zu löschen ist ziemlich schwer. Normalerweise greift die "Deleted Item Retention", die auch goscho schon erwähnte. Als Tipp dazu noch der Suchbegriff "Dumpster" und der Artikel http://www.roland-ehle.de/archives/234.
Die Anzeige von get-mailboxstatistics ist trügerisch, da diese (m.W.) nur periodisch durch die Maintenance aktualisiert wird, und in sofern veraltet sein kann.
Ein Restore sollte die Mails von gestern nicht überschreiben. Wird ein "klassisches" Streamingbackup gemacht, so ist ein Restore ohnehin nur in eine Recovery Storage Group (RSG) möglich, Daten aus den Produktivdatenbanken werden dabei nicht überschrieben. Aus der RSG kann man die Daten dann extrahieren und z.B. per PST zur Verfügung stellen. Wenn du ein SnapShot-Backup verwendest sollte die Backupsoftware ein Tool zum Extrahieren mitbringen. Wenn du gar kein Exchange-Aware Backup verwendest, sondern einfach die .edb-Dateien irgendwie sicherst, machst du sowieso etwas falsch und solltest dir dringend etwas neues überlegen face-wink

Grüße

Filipp
WKorell
WKorell 29.11.2012 um 10:18:55 Uhr
Goto Top
@ goscho, Stelomat, filippg
Das Problem dabei ist das die Mails ohne irgendein Befehl aus dem Posteingang verschwunden sind.
Der Rechner war in einem abgeschlossenen Raum und niemand war drin. Es kan niemand ein Soft- oder Hard-Delete ausgelöst, noch ein Befehl zum Verschieben der Mails gegeben haben.

WKorell
goscho
goscho 29.11.2012 um 11:14:05 Uhr
Goto Top
Morgen,
worum geht es denn jetzt?

Möchtest du herausbekommen, warum die Mails verschwunden sind oder sie wiederherstellen?

Bei ersterem würde ich so vorgehen:

Wer hat alles welchen Zugriff auf dieses Postfach (Outlook, Stellvertreter, OWA, mobile Geräte)?
Könnte es denn eine Regel sein, die alles gelöscht hat (die eventuell anschließend wieder gekillt wurde)?
Gibt es ein AV-System auf dem Exchange oder dem Client, das dafür verantwortlich sein könnte?
Hat der Admin mit dem Postfach "herumgespielt" (Einstellungen geändert, gelöscht und wieder erstellt)?

Der Rechner war in einem abgeschlossenen Raum und niemand war drin. Es kan niemand ein Soft- oder Hard-Delete ausgelöst, noch ein Befehl zum Verschieben der Mails gegeben haben.
Was ist denn das für eine Aussage?

Hatte der Rechner in dem abgeschlossenen Raum einen aktiven Netzwerkanschluss?
Könnte man sich nicht remote auf das Gerät eingewählt haben?
Könnte der Zugriff nicht von einem anderen PC oder mobilen Gerät erfolgt sein?
WKorell
WKorell 29.11.2012 um 12:28:20 Uhr
Goto Top
Möchtest du herausbekommen, warum die Mails verschwunden sind oder sie wiederherstellen?

Am besten beides

Bei ersterem würde ich so vorgehen:

Wer hat alles welchen Zugriff auf dieses Postfach (Outlook, Stellvertreter, OWA, mobile Geräte)?

Nur der User hat die Berechtigungen auf dieses Postfach kein Stellvertreter oder ähnliches. Der Benutzer nutzt in der Regel Outlook und iPad oder Smartphones über ActiveSync

Könnte es denn eine Regel sein, die alles gelöscht hat (die eventuell anschließend wieder gekillt wurde)?

Regeln sind keine definiert weder auf dem Client noch auf dem Exchange

Gibt es ein AV-System auf dem Exchange oder dem Client, das dafür verantwortlich sein könnte?

Eigentlich setzten wir nur Microsoft Produkte ein Forefront for Exchange und Endpoint Protection

Hat der Admin mit dem Postfach "herumgespielt" (Einstellungen geändert, gelöscht und wieder erstellt)?

Der Admin hat auf diesem Postfach keinerlei Befugnisse da dieses mit Unternehmenskritischen Mails gefüllt wird

Der Rechner war in einem abgeschlossenen Raum und niemand war drin. Es kan niemand ein Soft- oder Hard-Delete ausgelöst,
noch ein Befehl zum Verschieben der Mails gegeben haben.

Was ist denn das für eine Aussage?
Hatte der Rechner in dem abgeschlossenen Raum einen aktiven Netzwerkanschluss?
Könnte man sich nicht remote auf das Gerät eingewählt haben?
Könnte der Zugriff nicht von einem anderen PC oder mobilen Gerät erfolgt sein?

Der Vorfall ist gegen 22 Uhr eingetreten und da war nur der Benutzer anwesend bzw. kurzzeitig aus dem Büro raus gegangen.
Per Remote konnte sich keiner eingewählt haben ohne die Zugangsdaten des Users zu kennen. Fernwartungssoftware ist auf diesem Gerät auch nicht installiert. Die meisten mobilen geräte lagen auch in diesem Büro nur ein Smartphone hatte der Benutzer dabei. Und dieser hat sowieso nur eine 3 tägige Synchronisierung auf dem Gerät und es sind Mails von mehreren Jahren verschwunden.

Natürlich verstehe ich dass, das kein absoluter Schutz gegen Fremdeinwirkung ist aber diesen gibt es ja sowieso nicht.

WKorell
goscho
goscho 29.11.2012 um 13:03:41 Uhr
Goto Top
Zitat von @WKorell:
> Möchtest du herausbekommen, warum die Mails verschwunden sind oder sie wiederherstellen?

Am besten beides
Wie die Mails wiederherzustellen sind, haben wir dir ja bereits ausführlich beschrieben, oder?

> Wer hat alles welchen Zugriff auf dieses Postfach (Outlook, Stellvertreter, OWA, mobile Geräte)?

Nur der User hat die Berechtigungen auf dieses Postfach kein Stellvertreter oder ähnliches. Der Benutzer nutzt in der Regel
Outlook und iPad oder Smartphones über ActiveSync
Die Zugangsdaten dieses Users kennt auch ganz sicher niemand sonst?

> Gibt es ein AV-System auf dem Exchange oder dem Client, das dafür verantwortlich sein könnte?

Eigentlich setzten wir nur Microsoft Produkte ein Forefront for Exchange und Endpoint Protection

Bzgl. Forefront solltet ihr euch für die Zukunft eine ALternative suchen.
Sicher, dass es kein AV-Problem war? Alle Logs der AV-Programme gecheckt?

> Der Rechner war in einem abgeschlossenen Raum und niemand war drin. Es kan niemand ein Soft- oder Hard-Delete
ausgelöst,
> noch ein Befehl zum Verschieben der Mails gegeben haben.

> Was ist denn das für eine Aussage?
> Hatte der Rechner in dem abgeschlossenen Raum einen aktiven Netzwerkanschluss?
> Könnte man sich nicht remote auf das Gerät eingewählt haben?
> Könnte der Zugriff nicht von einem anderen PC oder mobilen Gerät erfolgt sein?

Der Vorfall ist gegen 22 Uhr eingetreten und da war nur der Benutzer anwesend bzw. kurzzeitig aus dem Büro raus gegangen.
Ich würde nochmal mit dem User reden.

Wenn es sich um einen Ordner handelt, der nicht zu den Default-Ordnern gehört, so ist es sehr einfach möglich, dass man versehentlich den ganzen Ordner an eine andere Stelle verschiebt, wo man doch nur eine Mail anfassen wollte.
Ebenso passiert es sehr häufig, dass ein User nur eine oder ein paar Mails löschen will, versehentlich aber alle killt.
Natürlich verstehe ich dass, das kein absoluter Schutz gegen Fremdeinwirkung ist aber diesen gibt es ja sowieso nicht.
Wer sagt denn, dass es Fremdeinwirkung war?

Am Wahrscheinlichsten war es der User oder aber ein Fehler im Zusammenspiel vom Mailserver mit etwas, das Zugriff darauf hat
(AV, Archivierung, Anwenderprogramme wie Outlook).