User verschickt mit kryptischer Outlook.com Adresse aus on-prem Exchange 2016
Servus in die Runde,
ich habe ein für mich nicht nachvollziehbares Problem bei einem User, das heute zum 2ten mal aufgetreten ist.
Und zwar verschickte er (unwissentlich) alle Mails mit einer "outlook_*@outlook.com" Adresse. (die *** sind zufällige Buchstaben und Zahlen)
Wir setzen einen reinen on-prem Exchange 2016 Server in Kombination mit Outlook 2019 ein. (Kein O365, kein Hybrid)
In seinem Outlook ist auch kein anderes Konto konfiguriert, er besitzt auch kein Outlook.com Konto. (lt. eigener Aussage)
Es fiel nur auf, da ihn ein externer Ansprechpartner darauf angesprochen hat. Auch in Outlook unter "Von" steht die korrekte Adresse. Auffallend ist nur, dass die Schreibeweise des Absenders sich mit dieser Mail ändert. Normal: Nachname, Vorname; Outlook.com: Vorname Nachname
Mittlerweile glaube ich aber nachzuvollziehen warum das passiert. Bei uns startet immer Sonntags die VM mit dem Exchange automatisch neu. (Das Systemhaus unseres Vertrauens hat das damals so eingerichtet, erspart wohl viele komische Dinge bei Exchange, whatever)
Der Rechner des Users war in dem Moment aber noch an, Outlook ist gestartet. Es erscheint der typische Anmeldedialog Popup. Das Verhalten kenne ich von einem Exchange Neustart während des Betriebs, was zum Glück fast nie vorkommt. Hier reicht es normal, Outlook schließen und wieder öffnen -> alles gut. Er hat aber seine Daten (Passwort) erneut eingegeben. Und dann wechselt er scheinbar auf diese Outlook.com Adresse. Ich habe dann Outlook geschlossen und wieder gestartet, Test E-Mail -> alles wieder gut.
Ergänzung: Die Mails, die er mit der Outlook.com Adresse schreibt gehen offensichtlich auch komplett am Exchange vorbei, da unser MailStore diese auch nicht archiviert. (Journaling)
Hatte das Phänomen schon mal jemand? Ich werde mir zum Test nochmal 2 VM's aufsetzen und das nochmal nach Feierabend provozieren, aber mich würde interessieren was da genau passiert.
Danke schon mal und viele Grüße
ich habe ein für mich nicht nachvollziehbares Problem bei einem User, das heute zum 2ten mal aufgetreten ist.
Und zwar verschickte er (unwissentlich) alle Mails mit einer "outlook_*@outlook.com" Adresse. (die *** sind zufällige Buchstaben und Zahlen)
Wir setzen einen reinen on-prem Exchange 2016 Server in Kombination mit Outlook 2019 ein. (Kein O365, kein Hybrid)
In seinem Outlook ist auch kein anderes Konto konfiguriert, er besitzt auch kein Outlook.com Konto. (lt. eigener Aussage)
Es fiel nur auf, da ihn ein externer Ansprechpartner darauf angesprochen hat. Auch in Outlook unter "Von" steht die korrekte Adresse. Auffallend ist nur, dass die Schreibeweise des Absenders sich mit dieser Mail ändert. Normal: Nachname, Vorname; Outlook.com: Vorname Nachname
Mittlerweile glaube ich aber nachzuvollziehen warum das passiert. Bei uns startet immer Sonntags die VM mit dem Exchange automatisch neu. (Das Systemhaus unseres Vertrauens hat das damals so eingerichtet, erspart wohl viele komische Dinge bei Exchange, whatever)
Der Rechner des Users war in dem Moment aber noch an, Outlook ist gestartet. Es erscheint der typische Anmeldedialog Popup. Das Verhalten kenne ich von einem Exchange Neustart während des Betriebs, was zum Glück fast nie vorkommt. Hier reicht es normal, Outlook schließen und wieder öffnen -> alles gut. Er hat aber seine Daten (Passwort) erneut eingegeben. Und dann wechselt er scheinbar auf diese Outlook.com Adresse. Ich habe dann Outlook geschlossen und wieder gestartet, Test E-Mail -> alles wieder gut.
Ergänzung: Die Mails, die er mit der Outlook.com Adresse schreibt gehen offensichtlich auch komplett am Exchange vorbei, da unser MailStore diese auch nicht archiviert. (Journaling)
Hatte das Phänomen schon mal jemand? Ich werde mir zum Test nochmal 2 VM's aufsetzen und das nochmal nach Feierabend provozieren, aber mich würde interessieren was da genau passiert.
Danke schon mal und viele Grüße
Please also mark the comments that contributed to the solution of the article
Content-ID: 1755739328
Url: https://administrator.de/contentid/1755739328
Printed on: December 4, 2024 at 02:12 o'clock
10 Comments
Latest comment
Zitat von @LauneBaer:
Ja, das hatte ich nach dem ersten Vorfall schon geprüft. Er hat einen neuen Client bekommen, Passwörter gerändert usw.
Auch ein (zum Gegentest) neues Profil? nicht, dass sich dort etwas eingenistet hat...Ja, das hatte ich nach dem ersten Vorfall schon geprüft. Er hat einen neuen Client bekommen, Passwörter gerändert usw.
Hallo,
Gruß,
Peter
Zitat von @LauneBaer:
Ja ich hab mir den Header von einer Mail, die eigentlich intern an einen Kollegen gehen sollte angeschaut, die ging tatsächlich extern über die Outlook.com Server.
Und nein er hat da kein Konto. Ich habe dieser komischen outlook.com Adresse auch mal zum Test ne Mail geschickt, kommt natürlich nicht an.
Und wie soll dort eine Mail eingekippt und gesendet werden wenn der Benutzer dort kein Konto whatsoever hat? Zumindest muss er ja gültige Zugangsdaten für Outlook.com haben (Oder die Schadsoftware hat diese). Ist halt blöd wenn jeder erfolgreich Post (an eurer Firewall vorbei) Versenden darf und scheinbar auch tut. Zur Not mal Wireshark mitlaufen lassen.Ja ich hab mir den Header von einer Mail, die eigentlich intern an einen Kollegen gehen sollte angeschaut, die ging tatsächlich extern über die Outlook.com Server.
Und nein er hat da kein Konto. Ich habe dieser komischen outlook.com Adresse auch mal zum Test ne Mail geschickt, kommt natürlich nicht an.
Gruß,
Peter