10
User verschickt mit kryptischer Outlook.com Adresse aus on-prem Exchange 2016
Servus in die Runde,
ich habe ein für mich nicht nachvollziehbares Problem bei einem User, das heute zum 2ten mal aufgetreten ist.
Und zwar verschickte er (unwissentlich) alle Mails mit einer "outlook_*@outlook.com" Adresse. (die *** sind zufällige Buchstaben und Zahlen)
Wir setzen einen reinen on-prem Exchange 2016 Server in Kombination mit Outlook 2019 ein. (Kein O365, kein Hybrid)
In seinem Outlook ist auch kein anderes Konto konfiguriert, er besitzt auch kein Outlook.com Konto. (lt. eigener Aussage)
Es fiel nur auf, da ihn ein externer Ansprechpartner darauf angesprochen hat. Auch in Outlook unter "Von" steht die korrekte Adresse. Auffallend ist nur, dass die Schreibeweise des Absenders sich mit dieser Mail ändert. Normal: Nachname, Vorname; Outlook.com: Vorname Nachname
Mittlerweile glaube ich aber nachzuvollziehen warum das passiert. Bei uns startet immer Sonntags die VM mit dem Exchange automatisch neu. (Das Systemhaus unseres Vertrauens hat das damals so eingerichtet, erspart wohl viele komische Dinge bei Exchange, whatever)
Der Rechner des Users war in dem Moment aber noch an, Outlook ist gestartet. Es erscheint der typische Anmeldedialog Popup. Das Verhalten kenne ich von einem Exchange Neustart während des Betriebs, was zum Glück fast nie vorkommt. Hier reicht es normal, Outlook schließen und wieder öffnen -> alles gut. Er hat aber seine Daten (Passwort) erneut eingegeben. Und dann wechselt er scheinbar auf diese Outlook.com Adresse. Ich habe dann Outlook geschlossen und wieder gestartet, Test E-Mail -> alles wieder gut.
Ergänzung: Die Mails, die er mit der Outlook.com Adresse schreibt gehen offensichtlich auch komplett am Exchange vorbei, da unser MailStore diese auch nicht archiviert. (Journaling)
Hatte das Phänomen schon mal jemand? Ich werde mir zum Test nochmal 2 VM's aufsetzen und das nochmal nach Feierabend provozieren, aber mich würde interessieren was da genau passiert.
Danke schon mal und viele Grüße
ich habe ein für mich nicht nachvollziehbares Problem bei einem User, das heute zum 2ten mal aufgetreten ist.
Und zwar verschickte er (unwissentlich) alle Mails mit einer "outlook_*@outlook.com" Adresse. (die *** sind zufällige Buchstaben und Zahlen)
Wir setzen einen reinen on-prem Exchange 2016 Server in Kombination mit Outlook 2019 ein. (Kein O365, kein Hybrid)
In seinem Outlook ist auch kein anderes Konto konfiguriert, er besitzt auch kein Outlook.com Konto. (lt. eigener Aussage)
Es fiel nur auf, da ihn ein externer Ansprechpartner darauf angesprochen hat. Auch in Outlook unter "Von" steht die korrekte Adresse. Auffallend ist nur, dass die Schreibeweise des Absenders sich mit dieser Mail ändert. Normal: Nachname, Vorname; Outlook.com: Vorname Nachname
Mittlerweile glaube ich aber nachzuvollziehen warum das passiert. Bei uns startet immer Sonntags die VM mit dem Exchange automatisch neu. (Das Systemhaus unseres Vertrauens hat das damals so eingerichtet, erspart wohl viele komische Dinge bei Exchange, whatever)
Der Rechner des Users war in dem Moment aber noch an, Outlook ist gestartet. Es erscheint der typische Anmeldedialog Popup. Das Verhalten kenne ich von einem Exchange Neustart während des Betriebs, was zum Glück fast nie vorkommt. Hier reicht es normal, Outlook schließen und wieder öffnen -> alles gut. Er hat aber seine Daten (Passwort) erneut eingegeben. Und dann wechselt er scheinbar auf diese Outlook.com Adresse. Ich habe dann Outlook geschlossen und wieder gestartet, Test E-Mail -> alles wieder gut.
Ergänzung: Die Mails, die er mit der Outlook.com Adresse schreibt gehen offensichtlich auch komplett am Exchange vorbei, da unser MailStore diese auch nicht archiviert. (Journaling)
Hatte das Phänomen schon mal jemand? Ich werde mir zum Test nochmal 2 VM's aufsetzen und das nochmal nach Feierabend provozieren, aber mich würde interessieren was da genau passiert.
Danke schon mal und viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1755739328
Url: https://administrator.de/contentid/1755739328
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
10 Kommentare
Neuester Kommentar
Moin,
das Verhalten ist mir neu.
Passiert es auch aus dem OWA heraus?
Ist der Client frei von Schadsoftware?
Gruß
em-pie
das Verhalten ist mir neu.
Passiert es auch aus dem OWA heraus?
Ist der Client frei von Schadsoftware?
Gruß
em-pie
Zitat von @em-pie:
Moin,
das Verhalten ist mir neu.
Passiert es auch aus dem OWA heraus?
Ist der Client frei von Schadsoftware?
Gruß
em-pie
Moin,
das Verhalten ist mir neu.
Passiert es auch aus dem OWA heraus?
Ist der Client frei von Schadsoftware?
Gruß
em-pie
Servus,
OWA haben wir nach der Hafnium Geschichte komplett deaktiviert. Aber kann ich auch mal testen bei Gelegnheit.
Ja, das hatte ich nach dem ersten Vorfall schon geprüft. Er hat einen neuen Client bekommen, Passwörter gerändert usw.
Grüße
Zitat von @LauneBaer:
Ja, das hatte ich nach dem ersten Vorfall schon geprüft. Er hat einen neuen Client bekommen, Passwörter gerändert usw.
Auch ein (zum Gegentest) neues Profil? nicht, dass sich dort etwas eingenistet hat...Ja, das hatte ich nach dem ersten Vorfall schon geprüft. Er hat einen neuen Client bekommen, Passwörter gerändert usw.
Zitat von @em-pie:
Zitat von @LauneBaer:
Ja, das hatte ich nach dem ersten Vorfall schon geprüft. Er hat einen neuen Client bekommen, Passwörter gerändert usw.
Auch ein (zum Gegentest) neues Profil? nicht, dass sich dort etwas eingenistet hat...Ja, das hatte ich nach dem ersten Vorfall schon geprüft. Er hat einen neuen Client bekommen, Passwörter gerändert usw.
Neues Outlook Profil: Ja
Nein, ein neues Windows-Profil!
Zum Test den User abmelden und das Servergespeicherte Profil sowie jenes, welches noch auf dem Client unter c:\Users\ liegt einfach mal umbenennen (um .bak ergänzen)
Zum Test den User abmelden und das Servergespeicherte Profil sowie jenes, welches noch auf dem Client unter c:\Users\ liegt einfach mal umbenennen (um .bak ergänzen)
Zitat von @em-pie:
Nein, ein neues Windows-Profil!
Zum Test den User abmelden und das Servergespeicherte Profil sowie jenes, welches noch auf dem Client unter c:\Users\ liegt einfach mal umbenennen (um .bak ergänzen)
Nein, ein neues Windows-Profil!
Zum Test den User abmelden und das Servergespeicherte Profil sowie jenes, welches noch auf dem Client unter c:\Users\ liegt einfach mal umbenennen (um .bak ergänzen)
Wir haben lokale Profile, d.h. beim Clientwechsel hat er dann eh ein neues bekommen.
OK.
dann hast du ja quasi alles frisch eingerichtet. Wäre also der Exchange zu validieren. Hier, wie gesagt, mal OWA prüfen.
Habt ihr irgendein Mailgateway im Einsatz (SpamAssasin, NoSpamProxy, ....)?
dann hast du ja quasi alles frisch eingerichtet. Wäre also der Exchange zu validieren. Hier, wie gesagt, mal OWA prüfen.
Habt ihr irgendein Mailgateway im Einsatz (SpamAssasin, NoSpamProxy, ....)?
Moin,
alles sehr merkwürdig. Wie sieht denn der Mail-Header aus wenn der User mit einer **@outlook.com Adresse versendet?
Läuft das tatsächlich über Outlook Server? Hat der User dort ein weiteres Konto mit Vorname.Nachname@outlook.com?
Gruß
Spirit
alles sehr merkwürdig. Wie sieht denn der Mail-Header aus wenn der User mit einer **@outlook.com Adresse versendet?
Läuft das tatsächlich über Outlook Server? Hat der User dort ein weiteres Konto mit Vorname.Nachname@outlook.com?
Gruß
Spirit
Ja wir nutzen MessageLabs (Symantec Email Security Cloud).
Zitat von @Spirit-of-Eli:
Wie sieht denn der Mail-Header aus wenn der User mit einer **@outlook.com Adresse versendet?
Läuft das tatsächlich über Outlook Server? Hat der User dort ein weiteres Konto mit Vorname.Nachname@outlook.com?
Wie sieht denn der Mail-Header aus wenn der User mit einer **@outlook.com Adresse versendet?
Läuft das tatsächlich über Outlook Server? Hat der User dort ein weiteres Konto mit Vorname.Nachname@outlook.com?
Ja ich hab mir den Header von einer Mail, die eigentlich intern an einen Kollegen gehen sollte angeschaut, die ging tatsächlich extern über die Outlook.com Server.
Und nein er hat da kein Konto. Ich habe dieser komischen outlook.com Adresse auch mal zum Test ne Mail geschickt, kommt natürlich nicht an.
Hallo,
Gruß,
Peter
Zitat von @LauneBaer:
Ja ich hab mir den Header von einer Mail, die eigentlich intern an einen Kollegen gehen sollte angeschaut, die ging tatsächlich extern über die Outlook.com Server.
Und nein er hat da kein Konto. Ich habe dieser komischen outlook.com Adresse auch mal zum Test ne Mail geschickt, kommt natürlich nicht an.
Und wie soll dort eine Mail eingekippt und gesendet werden wenn der Benutzer dort kein Konto whatsoever hat? Zumindest muss er ja gültige Zugangsdaten für Outlook.com haben (Oder die Schadsoftware hat diese). Ist halt blöd wenn jeder erfolgreich Post (an eurer Firewall vorbei) Versenden darf und scheinbar auch tut. Zur Not mal Wireshark mitlaufen lassen.Ja ich hab mir den Header von einer Mail, die eigentlich intern an einen Kollegen gehen sollte angeschaut, die ging tatsächlich extern über die Outlook.com Server.
Und nein er hat da kein Konto. Ich habe dieser komischen outlook.com Adresse auch mal zum Test ne Mail geschickt, kommt natürlich nicht an.
Gruß,
Peter
1
