User verschickt mit kryptischer Outlook.com Adresse aus on-prem Exchange 2016

launebaer
Goto Top
Servus in die Runde,

ich habe ein für mich nicht nachvollziehbares Problem bei einem User, das heute zum 2ten mal aufgetreten ist.
Und zwar verschickte er (unwissentlich) alle Mails mit einer "outlook_*@outlook.com" Adresse. (die *** sind zufällige Buchstaben und Zahlen)
Wir setzen einen reinen on-prem Exchange 2016 Server in Kombination mit Outlook 2019 ein. (Kein O365, kein Hybrid)
In seinem Outlook ist auch kein anderes Konto konfiguriert, er besitzt auch kein Outlook.com Konto. (lt. eigener Aussage)
Es fiel nur auf, da ihn ein externer Ansprechpartner darauf angesprochen hat. Auch in Outlook unter "Von" steht die korrekte Adresse. Auffallend ist nur, dass die Schreibeweise des Absenders sich mit dieser Mail ändert. Normal: Nachname, Vorname; Outlook.com: Vorname Nachname

Mittlerweile glaube ich aber nachzuvollziehen warum das passiert. Bei uns startet immer Sonntags die VM mit dem Exchange automatisch neu. (Das Systemhaus unseres Vertrauens hat das damals so eingerichtet, erspart wohl viele komische Dinge bei Exchange, whatever)
Der Rechner des Users war in dem Moment aber noch an, Outlook ist gestartet. Es erscheint der typische Anmeldedialog Popup. Das Verhalten kenne ich von einem Exchange Neustart während des Betriebs, was zum Glück fast nie vorkommt. Hier reicht es normal, Outlook schließen und wieder öffnen -> alles gut. Er hat aber seine Daten (Passwort) erneut eingegeben. Und dann wechselt er scheinbar auf diese Outlook.com Adresse. Ich habe dann Outlook geschlossen und wieder gestartet, Test E-Mail -> alles wieder gut.

Ergänzung: Die Mails, die er mit der Outlook.com Adresse schreibt gehen offensichtlich auch komplett am Exchange vorbei, da unser MailStore diese auch nicht archiviert. (Journaling)

Hatte das Phänomen schon mal jemand? Ich werde mir zum Test nochmal 2 VM's aufsetzen und das nochmal nach Feierabend provozieren, aber mich würde interessieren was da genau passiert.

Danke schon mal und viele Grüße

Content-Key: 1755739328

Url: https://administrator.de/contentid/1755739328

Ausgedruckt am: 18.05.2022 um 11:05 Uhr

Mitglied: em-pie
em-pie 24.01.2022 um 10:47:17 Uhr
Goto Top
Moin,

das Verhalten ist mir neu.
Passiert es auch aus dem OWA heraus?
Ist der Client frei von Schadsoftware?

Gruß
em-pie
Mitglied: LauneBaer
LauneBaer 24.01.2022 um 10:49:23 Uhr
Goto Top
Zitat von @em-pie:

Moin,

das Verhalten ist mir neu.
Passiert es auch aus dem OWA heraus?
Ist der Client frei von Schadsoftware?

Gruß
em-pie

Servus,

OWA haben wir nach der Hafnium Geschichte komplett deaktiviert. Aber kann ich auch mal testen bei Gelegnheit.
Ja, das hatte ich nach dem ersten Vorfall schon geprüft. Er hat einen neuen Client bekommen, Passwörter gerändert usw.

Grüße
Mitglied: em-pie
em-pie 24.01.2022 um 10:57:42 Uhr
Goto Top
Zitat von @LauneBaer:
Ja, das hatte ich nach dem ersten Vorfall schon geprüft. Er hat einen neuen Client bekommen, Passwörter gerändert usw.
Auch ein (zum Gegentest) neues Profil? nicht, dass sich dort etwas eingenistet hat...
Mitglied: LauneBaer
LauneBaer 24.01.2022 um 10:59:16 Uhr
Goto Top
Zitat von @em-pie:

Zitat von @LauneBaer:
Ja, das hatte ich nach dem ersten Vorfall schon geprüft. Er hat einen neuen Client bekommen, Passwörter gerändert usw.
Auch ein (zum Gegentest) neues Profil? nicht, dass sich dort etwas eingenistet hat...

Neues Outlook Profil: Ja
Mitglied: em-pie
em-pie 24.01.2022 um 11:01:03 Uhr
Goto Top
Nein, ein neues Windows-Profil!
Zum Test den User abmelden und das Servergespeicherte Profil sowie jenes, welches noch auf dem Client unter c:\Users\ liegt einfach mal umbenennen (um .bak ergänzen)
Mitglied: LauneBaer
LauneBaer 24.01.2022 um 11:02:23 Uhr
Goto Top
Zitat von @em-pie:

Nein, ein neues Windows-Profil!
Zum Test den User abmelden und das Servergespeicherte Profil sowie jenes, welches noch auf dem Client unter c:\Users\ liegt einfach mal umbenennen (um .bak ergänzen)

Wir haben lokale Profile, d.h. beim Clientwechsel hat er dann eh ein neues bekommen.
Mitglied: em-pie
em-pie 24.01.2022 um 11:09:20 Uhr
Goto Top
OK.
dann hast du ja quasi alles frisch eingerichtet. Wäre also der Exchange zu validieren. Hier, wie gesagt, mal OWA prüfen.

Habt ihr irgendein Mailgateway im Einsatz (SpamAssasin, NoSpamProxy, ....)?
Mitglied: Spirit-of-Eli
Spirit-of-Eli 24.01.2022 um 11:24:12 Uhr
Goto Top
Moin,

alles sehr merkwürdig. Wie sieht denn der Mail-Header aus wenn der User mit einer **@outlook.com Adresse versendet?
Läuft das tatsächlich über Outlook Server? Hat der User dort ein weiteres Konto mit Vorname.Nachname@outlook.com?

Gruß
Spirit
Mitglied: LauneBaer
LauneBaer 24.01.2022 um 11:45:28 Uhr
Goto Top
Zitat von @em-pie:

Habt ihr irgendein Mailgateway im Einsatz (SpamAssasin, NoSpamProxy, ....)?

Ja wir nutzen MessageLabs (Symantec Email Security Cloud).

Zitat von @Spirit-of-Eli:
Wie sieht denn der Mail-Header aus wenn der User mit einer **@outlook.com Adresse versendet?
Läuft das tatsächlich über Outlook Server? Hat der User dort ein weiteres Konto mit Vorname.Nachname@outlook.com?

Ja ich hab mir den Header von einer Mail, die eigentlich intern an einen Kollegen gehen sollte angeschaut, die ging tatsächlich extern über die Outlook.com Server.
Und nein er hat da kein Konto. Ich habe dieser komischen outlook.com Adresse auch mal zum Test ne Mail geschickt, kommt natürlich nicht an.
Mitglied: Pjordorf
Pjordorf 24.01.2022 um 13:36:29 Uhr
Goto Top
Hallo,

Zitat von @LauneBaer:
Ja ich hab mir den Header von einer Mail, die eigentlich intern an einen Kollegen gehen sollte angeschaut, die ging tatsächlich extern über die Outlook.com Server.
Und nein er hat da kein Konto. Ich habe dieser komischen outlook.com Adresse auch mal zum Test ne Mail geschickt, kommt natürlich nicht an.
Und wie soll dort eine Mail eingekippt und gesendet werden wenn der Benutzer dort kein Konto whatsoever hat? Zumindest muss er ja gültige Zugangsdaten für Outlook.com haben (Oder die Schadsoftware hat diese). Ist halt blöd wenn jeder erfolgreich Post (an eurer Firewall vorbei) Versenden darf und scheinbar auch tut. Zur Not mal Wireshark mitlaufen lassen.

Gruß,
Peter