7
Phänomen Email - Absender einer Email die Original von jemand anderem verfasst wurde - Versand an selbe Empfänger
Hallo Zusammen!
Bei uns in der Firma kam es zu einem sehr kuriosen Email-Phänomen. Die Ausgangslage ist ein Terminalserver auf dem ein Outlook2016 läuft und auf dem alle Mitarbeiter mit POP3/SMTP mit jeweils eigenen Emailadressen und entsprechenden Signaturen arbeiten.
Das Phänomen:
- Herr Maier (Name geändert) versendet Ende März 2 Emails an einen Empfänger und 5 Empfänger im CC
- Herr Müller (Name geändert) ist nicht Empfänger dieser Emails
- am Dienstag den 10.04.2018 werden diese Emails erneut angeblich ohne Zutun versendet allerdings über den Account von Herr Müller nicht von Herr Maier an die selben Adressaten.
- Die Emails sind Originalformatiert im Ordner gesendete Objekte von Herr Müller vorliegend.
Wie kann es sein, dass Herr Müller Emails in der Originalformatierung von Herr Maier an die selben Adressaten versendet ohne diese Mail selbst erhalten zu haben?
Vielen Dank im Voraus für die Unterstützung
Bei uns in der Firma kam es zu einem sehr kuriosen Email-Phänomen. Die Ausgangslage ist ein Terminalserver auf dem ein Outlook2016 läuft und auf dem alle Mitarbeiter mit POP3/SMTP mit jeweils eigenen Emailadressen und entsprechenden Signaturen arbeiten.
Das Phänomen:
- Herr Maier (Name geändert) versendet Ende März 2 Emails an einen Empfänger und 5 Empfänger im CC
- Herr Müller (Name geändert) ist nicht Empfänger dieser Emails
- am Dienstag den 10.04.2018 werden diese Emails erneut angeblich ohne Zutun versendet allerdings über den Account von Herr Müller nicht von Herr Maier an die selben Adressaten.
- Die Emails sind Originalformatiert im Ordner gesendete Objekte von Herr Müller vorliegend.
Wie kann es sein, dass Herr Müller Emails in der Originalformatierung von Herr Maier an die selben Adressaten versendet ohne diese Mail selbst erhalten zu haben?
Vielen Dank im Voraus für die Unterstützung
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 370884
Url: https://administrator.de/contentid/370884
Printed on: April 25, 2024 at 03:04 o'clock
7 Comments
Latest comment
Anrede,
Antwort
Gruß
Antwort
Gruß
Hi,
werden diese Mails von irgendeinem Programm generiert?
E.
werden diese Mails von irgendeinem Programm generiert?
E.
Hi Emeriks,
Danke für die Nachfrage. Nein diese wurden im Original von Hand von Herr Maier geschrieben und eine mit Anhängen versehen. Lediglich die Signatur wird von Outlook hinzugefügt.
Die Kopien sind von Outlook versendet wurden (haben auch Outlook Header)
Sonst laufen keine Mailrelevanten Anwendungen auf dem Terminalserver.
Danke für die Nachfrage. Nein diese wurden im Original von Hand von Herr Maier geschrieben und eine mit Anhängen versehen. Lediglich die Signatur wird von Outlook hinzugefügt.
Die Kopien sind von Outlook versendet wurden (haben auch Outlook Header)
Sonst laufen keine Mailrelevanten Anwendungen auf dem Terminalserver.
Moin,
was sagten die Logs und die SMTP-header (soweit noch vorhanden)?
Hat jemand vielleicht die falschen Credentials für den SMTP-verand benutzt?
lks
was sagten die Logs und die SMTP-header (soweit noch vorhanden)?
Hat jemand vielleicht die falschen Credentials für den SMTP-verand benutzt?
lks
Hallo,
normalerweise über ein SIcherheitsleck in der Datenspeicherung und oder eine Fehlkonfiguration in der Freigabe. Ggf. auch durch eine Fehleinrichtung des TS oder der Mailsoftware - welche finde ich nicht im Originalpost.
VG
normalerweise über ein SIcherheitsleck in der Datenspeicherung und oder eine Fehlkonfiguration in der Freigabe. Ggf. auch durch eine Fehleinrichtung des TS oder der Mailsoftware - welche finde ich nicht im Originalpost.
VG
Hallo, wir nutzen einen Terminalserver (Windows Server 2012 R2) mit einer Volumenlizenz von Outlook 2016 als Mailclient.
PST Files sind auf Fileserver ausgelagert in via Active Directory geschützten Benutzerordnern.
Die PST Files, werden via Bandsicherung täglich gesichert.
An der Konfiguration des Terminalservers (Als Hpyer-V VM) wurde nichts geändert seit Monaten. Der ist rudimentär eingerichtet. Lediglich Officepaket, Warenwirtschaft und Rechnungswesen sind dort installiert. Zugriffsrechte in der Domäne via Active Directory geregelt.
Datenbank und Fileserver sind separate VMs. Zusätzlich setzen wir noch eine VM als Domaincontroller ein.
Grundsätzlich ist zu sagen, dass es sich hier um einen Einzelfall handelt. Wir nutzen insgesamt um die 60 Emailadressen täglich.
Was das Sicherheitsleck sein könnte erschliesst sich hier gerade nicht, da ja definitiv wärend der Kernarbeitszeit, dies manuell hätte machen müssen. Das ist gerade nicht nachvollziehbar, da der Kollege zu dem Zeitpunkt, als sich das verselbstständigt zu haben scheint, ja auf dem Terminal eingeloggt gewesen ist und Outlook gestartet war. Das er selbst dies aktiv hätte machen können, setzt ja voraus, dass er die Originalmail zumindest mal erhalten hat. Da die Mail ja in einer nutzerbezogenen PST im gesendete Objekte liegt, wäre lediglich der Ansatz, dass die angesprochenen Emails in seinen Postausgang (in der PST) von externer Maleware geschrieben wurden. Was das Szenario unwahrscheinlich macht ist aber, dass dies eben nur 1x mit 2 Emails passierte und NICHT mehrfach trotz 50 Postfächern die auf dem Terminalserver im Outlook eingerichtet sind. Ausserdem sind die PST Files ja nicht beschreibbar solange Outlook auf diese Zugriff hat.
Verstehe aber grob den Ansatz, schlau werd ich aber immer noch nicht daraus.
Habe die Header überprüft. Versand definitiv über Outlook-client von unserem Terminalserver. Grundsätzlich sind die unauffällig.
Noch einige konkretere Ansätze um das Problem einzugrenzen? Dankeschön
PST Files sind auf Fileserver ausgelagert in via Active Directory geschützten Benutzerordnern.
Die PST Files, werden via Bandsicherung täglich gesichert.
An der Konfiguration des Terminalservers (Als Hpyer-V VM) wurde nichts geändert seit Monaten. Der ist rudimentär eingerichtet. Lediglich Officepaket, Warenwirtschaft und Rechnungswesen sind dort installiert. Zugriffsrechte in der Domäne via Active Directory geregelt.
Datenbank und Fileserver sind separate VMs. Zusätzlich setzen wir noch eine VM als Domaincontroller ein.
Grundsätzlich ist zu sagen, dass es sich hier um einen Einzelfall handelt. Wir nutzen insgesamt um die 60 Emailadressen täglich.
Was das Sicherheitsleck sein könnte erschliesst sich hier gerade nicht, da ja definitiv wärend der Kernarbeitszeit, dies manuell hätte machen müssen. Das ist gerade nicht nachvollziehbar, da der Kollege zu dem Zeitpunkt, als sich das verselbstständigt zu haben scheint, ja auf dem Terminal eingeloggt gewesen ist und Outlook gestartet war. Das er selbst dies aktiv hätte machen können, setzt ja voraus, dass er die Originalmail zumindest mal erhalten hat. Da die Mail ja in einer nutzerbezogenen PST im gesendete Objekte liegt, wäre lediglich der Ansatz, dass die angesprochenen Emails in seinen Postausgang (in der PST) von externer Maleware geschrieben wurden. Was das Szenario unwahrscheinlich macht ist aber, dass dies eben nur 1x mit 2 Emails passierte und NICHT mehrfach trotz 50 Postfächern die auf dem Terminalserver im Outlook eingerichtet sind. Ausserdem sind die PST Files ja nicht beschreibbar solange Outlook auf diese Zugriff hat.
Verstehe aber grob den Ansatz, schlau werd ich aber immer noch nicht daraus.
Habe die Header überprüft. Versand definitiv über Outlook-client von unserem Terminalserver. Grundsätzlich sind die unauffällig.
Noch einige konkretere Ansätze um das Problem einzugrenzen? Dankeschön
Hallo, danke für die Nachfrage. Die Logs auf dem Mailserver unauffällig. Auf dem Server auch nichts in der Qeue.
Habe die Headers vom Originalversand Herr Maier geprüft:
"From: "Herr Maier"
To: <xxx@abc.de>
Cc: "1 Empfänger",
"'2 Empfänger",
"3 Empfänger",
"4 Empfänger",
"5 empfänger"
Subject: =?iso-8859-1?Q?BV__72202___Baustell?=
=?iso-8859-1?Q?entermin__04.04.2018___15:00_Uhr?=
Date: Wed, 28 Mar 2018 13:58:26 +0200
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_000B_01D3D237.0C5B2350"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdPGibkDhxLgfmSlRNCc7ESlwu3Gvg==
Content-Language: de
"
Header 2ter Versand Herr Müller:
From: ="Herr Müller"
To: <xxx@abc.de>
Cc: "1 Empfänger",
"'2 Empfänger",
"3 Empfänger",
"4 Empfänger",
"5 empfänger"
Subject: =?iso-8859-1?Q?BV_?=?iso-8859-1?Q?entermin__04.04.2018___15:00_Uhr?=
Date: Tue, 10 Apr 2018 12:11:14 +0200
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0001_01D3D234.43411F30"
X-Mailer: Microsoft Outlook 16.0
Thread-Index: AdPGibkDhxLgfmSlRNCc7ESlwu3Gvg==
Content-Language: de
Empfangene Kopie Header beim 4ten Empfänger:
Received: from FGTS1 (pD9F77C5A.dip0.t-ipconnect.de [217.247.124.90])
by www.unsere-domain.de (Postfix) with ESMTPSA id BEDDAE09B4;
Tue, 10 Apr 2018 12:23:59 +0200 (CEST)
From: ="Herr Müller"
To: <xxx@abc.de>
Cc: "1 Empfänger",
"'2 Empfänger",
"3 Empfänger",
"4 Empfänger",
"5 empfänger"
Subject: =?iso-8859-1?Q?BV=?iso-8859-1?Q?entermin__04.04.2018___15:00_Uhr?=
Date: Tue, 10 Apr 2018 12:11:14 +0200
Message-ID: <001301d3d0b4$428f61e0$c7ae25a0$@unseredomain.de>
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_000E_01D3D237.4990D8A0"
X-Mailer: Microsoft Outlook 16.0
Thread-Index: AQJB0PdFogWWc/k1kZZUwApTSacpuw==
Content-Language: de
Alle Drei überprüfbaren Header sind unauffällig und lassen insgesamt maximal auf einen manuellen Eingriff schliessen, was aber wärend der Kernarbeitszeit so unmöglich umzusetzen wäre. Hoffe das hilft weiter. Dankeschön für die Mühe.
Habe die Headers vom Originalversand Herr Maier geprüft:
"From: "Herr Maier"
To: <xxx@abc.de>
Cc: "1 Empfänger",
"'2 Empfänger",
"3 Empfänger",
"4 Empfänger",
"5 empfänger"
Subject: =?iso-8859-1?Q?BV__72202___Baustell?=
=?iso-8859-1?Q?entermin__04.04.2018___15:00_Uhr?=
Date: Wed, 28 Mar 2018 13:58:26 +0200
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_000B_01D3D237.0C5B2350"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdPGibkDhxLgfmSlRNCc7ESlwu3Gvg==
Content-Language: de
"
Header 2ter Versand Herr Müller:
From: ="Herr Müller"
To: <xxx@abc.de>
Cc: "1 Empfänger",
"'2 Empfänger",
"3 Empfänger",
"4 Empfänger",
"5 empfänger"
Subject: =?iso-8859-1?Q?BV_?=?iso-8859-1?Q?entermin__04.04.2018___15:00_Uhr?=
Date: Tue, 10 Apr 2018 12:11:14 +0200
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0001_01D3D234.43411F30"
X-Mailer: Microsoft Outlook 16.0
Thread-Index: AdPGibkDhxLgfmSlRNCc7ESlwu3Gvg==
Content-Language: de
Empfangene Kopie Header beim 4ten Empfänger:
Received: from FGTS1 (pD9F77C5A.dip0.t-ipconnect.de [217.247.124.90])
by www.unsere-domain.de (Postfix) with ESMTPSA id BEDDAE09B4;
Tue, 10 Apr 2018 12:23:59 +0200 (CEST)
From: ="Herr Müller"
To: <xxx@abc.de>
Cc: "1 Empfänger",
"'2 Empfänger",
"3 Empfänger",
"4 Empfänger",
"5 empfänger"
Subject: =?iso-8859-1?Q?BV=?iso-8859-1?Q?entermin__04.04.2018___15:00_Uhr?=
Date: Tue, 10 Apr 2018 12:11:14 +0200
Message-ID: <001301d3d0b4$428f61e0$c7ae25a0$@unseredomain.de>
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_000E_01D3D237.4990D8A0"
X-Mailer: Microsoft Outlook 16.0
Thread-Index: AQJB0PdFogWWc/k1kZZUwApTSacpuw==
Content-Language: de
Alle Drei überprüfbaren Header sind unauffällig und lassen insgesamt maximal auf einen manuellen Eingriff schliessen, was aber wärend der Kernarbeitszeit so unmöglich umzusetzen wäre. Hoffe das hilft weiter. Dankeschön für die Mühe.
