seitek
Goto Top

Virus Antwortet auf E-Mails an Kunden (Kein Anti-Virus schlägt an!)

Hallo zusammen,
das Problem, um welches es hier geht, besteht schon einige Zeit. Ich habe damals einen Beitrag erstellt, da über den Firmen-Server auf E-Mails geantwortet wurde. Diese Mails tauchten nicht in den gesendet Ordner auf.

Der Link zum alten Thread: Exchange Server 2016 antwortet auf alte E-Mails mit Spam

Mittlerweile sind wir zu Exchange Online gewechselt, haben dieses Problem aber weiterhin. Der Virus antwortet weiterhin auf E-Mails und sendet diese an Kunden. Nun nicht mehr über unseren Server, sondern über andere Domains. E-Mails werden nur in sehr großen zeitlichen Abständen versendet. Daher kann nicht direkt geprüft werden, ob der Virus beseitigt wurde.

Ich denke, dass der Virus auf mehreren Rechnern in unserem Netzwerk liegt, nur leider hat bisher kein Antivirusprogramm einen Treffer auf den Computern gelandet. Ich habe bisher mit Kaspersky, Malwarebytes, und GData getestet.

Bevor ich jetzt mein Wochenende opfere um wirklich jeden Rechner im Netzwerk neu aufzusetzen, möchte ich noch einmal um Hilfe bitten.
Vielleicht kennt jemand den Namen des Virus oder eine Möglichkeit diesen zu finden.
Leider kann man das Problem nicht auf einen Nutzer beschränken, da von mehreren Konten gesendet wird.

Ich habe noch einen Screenshot angefügt, indem man eine E-Mail an den Kunden sehen kann. Vertrauliche Daten wurden geschwärzt.


Vielen Dank.

Mit freundlichen Grüßen,
Seitek
virus_e-mail

Content-ID: 2280181741

Url: https://administrator.de/forum/virus-antwortet-auf-e-mails-an-kunden-kein-anti-virus-schlaegt-an-2280181741.html

Ausgedruckt am: 27.12.2024 um 05:12 Uhr

niklasschaefer
niklasschaefer 25.03.2022 um 12:36:39 Uhr
Goto Top
Servus,

Hast du die Rechner offline oder online gescannt? Ich würde diese mal offline scannen. Ansonsten kannst du davon ausgehen das die Angreifer die Mailkommunikation mit dem Kunden haben oder mit eine Zeit lang mit geschnitten haben.

Ist eine normale Spammail wie sie häufig ankommt und versendet wird. Ist diese Mail bei dir oder bei dem Kunden aufgeschlagen?

Grüße
Niklas
Drohnald
Drohnald 25.03.2022 um 12:37:58 Uhr
Goto Top
Hi,

@Vision2015 hatte dir damals doch jede Menge Hilfestellung gegeben.
Auf die hast du leider nie geantwortet, dein Thema ist immer noch offen.
Seine Hinweise gelten fast alle auch für Exchange online, vor allem: Prüfe deine SMTP Logs wer diese Mails tatsächlich schickt.

Abgesehen davon: Du hast seit Anfang November(!) das Problem dass du deinen KUNDEN Phishingmails schickst und überlegst "dein Wochenende" wäre es nicht wert zu opfern? Das sollte dir doch die Kundenbeziehung wert sein.

Gruß
Drohnald
ArnoNymous
ArnoNymous 25.03.2022 um 12:38:52 Uhr
Goto Top
Moin,

sind das denn aktuelle Mails? Sowas kommt immer mal wieder vor. Meistens sind das dann aber uralte Mails (zuletzt 2015). Vermutlich von irgendeinem kompromittierten Endgerät eines (ehem. Users).

Gruß
Vision2015
Vision2015 25.03.2022 um 12:43:17 Uhr
Goto Top
Moin...

ah... du lebst noch?! klar ist Freitag!

als erstes mach deine alte frage mal zu....
dann wirst du das abarbeiten was ich dir geschrieben habe, und alle Rechner offline prüfen...

in den smtp logs (auch online steht drin, wer was versendet hat!)

Frank
117471
117471 25.03.2022 um 12:56:30 Uhr
Goto Top
Hallo,

lese ich das richtig? Ihr seid zu „Exchange Online“ gewechselt weil Ihr einen vermeintlichen Virus nicht deinstallieren wolltet und wundert euch, dass das nichts gebracht hat?

Nicht wirklich…?!?

Ich vermute übrigens, dass das eher Backscatter o.Ä. sind.

Ansonsten: Wenn das Ding so lange aktiv ist, wie Du behauptest:
- überall auf der grünen Wiese anfangen. Sprich: Jeden Rechner neu installieren.
- Die (geprüften) Dokumente und Datenbanken migrieren.
- Gleiches gilt für Drucker, NAS usw.
- Alle Kennwörter, insbesondere die von den von euch genutzten Online-Diensten über eine sichere Konsole ändern.

Gruß,
Jörg
schicksal
schicksal 25.03.2022 um 12:57:54 Uhr
Goto Top
Ich kann das nicht ganz herauslesen ob dich Kunden informiert haben das euer Server solchen Spam versenden oder ob du nur auf eurem Server diesen Spam siehst.
Wenn euch der Kunde Informiert hat dann schaue dir mal ein solches Mail an (Quelltext) ob dieses von deinem Server kommt. (IP im Quelltext)

Der Quelltext ist auch ein Ansatz wo man Intern Suchen kann.
Da du die Clients schon abgesucht hast, schaue mal ob du einem deiner Server ein Relay erlaubt hast. Bzw.: Ob hier ein "Gast" Serverdienste, Raid Informations Mail oder auch USV Infos zum Senden missbraucht. (Auch JAVA Lücken)

Ein Webserver (Intern / Extern) kann auch befallen sein.

Ich hoffe diese Tipps bringen dich weiter.
NordicMike
NordicMike 25.03.2022 um 13:00:31 Uhr
Goto Top
Das lässt sich doch alles loggen wo es her kommt.
Seitek
Seitek 25.03.2022 um 13:00:46 Uhr
Goto Top
Zitat von @niklasschaefer:

Servus,

Hast du die Rechner offline oder online gescannt? Ich würde diese mal offline scannen. Ansonsten kannst du davon ausgehen das die Angreifer die Mailkommunikation mit dem Kunden haben oder mit eine Zeit lang mit geschnitten haben.

Ist eine normale Spammail wie sie häufig ankommt und versendet wird. Ist diese Mail bei dir oder bei dem Kunden aufgeschlagen?

Grüße
Niklas

Ich habe die Rechner offline gescannt, habe aber die selbe Vermutung. Der E-Mail Verkehr wurde mitgeschnitten und es wird über andere Accounts geantwortet.

Die E-Mail ist bei dem Kunden aufgeschlagen und sieht so aus als Hätte ich geantwortet.
Seitek
Seitek 25.03.2022 um 13:03:33 Uhr
Goto Top
Zitat von @Vision2015:

Moin...

ah... du lebst noch?! klar ist Freitag!

als erstes mach deine alte frage mal zu....
dann wirst du das abarbeiten was ich dir geschrieben habe, und alle Rechner offline prüfen...

in den smtp logs (auch online steht drin, wer was versendet hat!)

Frank

Sorry, ich muss mich dafür entschuldigen. Wir haben damals eh schon den Umzug des Exchange Servers geplant und dann mit diesem Problem in die Tat umgesetzt. Danach wurde es auch erstmal ruhig bis nun wieder alles von vorne losgeht. Ich habe damals leider nicht wieder ins Forum reingeschaut. Das war ein Schnellschuss. Ich beende den anderen Thread nun erstmal.
Seitek
Seitek 25.03.2022 um 13:09:59 Uhr
Goto Top
Zitat von @schicksal:

Ich kann das nicht ganz herauslesen ob dich Kunden informiert haben das euer Server solchen Spam versenden oder ob du nur auf eurem Server diesen Spam siehst.
Wenn euch der Kunde Informiert hat dann schaue dir mal ein solches Mail an (Quelltext) ob dieses von deinem Server kommt. (IP im Quelltext)

Der Quelltext ist auch ein Ansatz wo man Intern Suchen kann.
Da du die Clients schon abgesucht hast, schaue mal ob du einem deiner Server ein Relay erlaubt hast. Bzw.: Ob hier ein "Gast" Serverdienste, Raid Informations Mail oder auch USV Infos zum Senden missbraucht. (Auch JAVA Lücken)

Ein Webserver (Intern / Extern) kann auch befallen sein.

Ich hoffe diese Tipps bringen dich weiter.

Der Kunde hat uns über das Problem informiert. Ich werde diese Mail einmal heraussuchen und mir den Quellcode ansehen.
NordicMike
NordicMike 25.03.2022 um 13:15:34 Uhr
Goto Top
Kontrolliere auch ob der Umschlag wirklich von Euch kommt oder nur eure Addresse drauf steht. Also SPF Einstellungen usw...
ChriBo
ChriBo 25.03.2022 um 14:02:49 Uhr
Goto Top
Hallo,
Das was du benötigst ist nicht der Quelltext, sondern der Header der Mail so wie sie beim Kunden angekommen ist.
Der Header enthält die IP Adressen, ggf. den Namen und die Uhrzeit von allen Stationen die beim Mailtransport involviert waren.
Hilfreich sind auch noch die Header der originalen Mail.

Mit den Informationen solltest du mit der Fehlerfindung weiter kommen.

Gruß
CH
Lochkartenstanzer
Lochkartenstanzer 25.03.2022 um 14:07:04 Uhr
Goto Top
Moin,

Abgesehen davon, daß Du die Header der Spam-Mails überprüfen soltest, von welchem Server die tatsächich versendet werden:

Wenn ich das Probem so lange schon hätte, hätt eich schon jeden Client und Server plattgemacht und frisch aufgesetzt. Das wird auch das sinnvollste sein, wenn Du sicherstellen willst, daß bei Euch im Haus alles sauber ist.

lks
goscho
goscho 25.03.2022 um 15:16:23 Uhr
Goto Top
Mahlzeit,

eure gut gemeinten Ratschläge sind sicherlich toll für einen Admin.

@Seitek wird alles sein, aber sicher kein Admin. Er hat auf keinen Vorschlag in dem anderen Beitrag irgendetwas sinnvolles geantwortet, noch diese umgesetzt.

Der Tipp, alles platt und neu zu machen, ist immer gut.
Ich würde aber bei den Verantwortlichen anfangen und diese austauschen.

PS: Den Header einer Mail zu lesen, um herauszubekommen, ob sie über eigene Mailserver versendet wurde, ist schon echt die hohe Kunst. Gibt es dazu keine Youtube-Tutorials?
Lochkartenstanzer
Lochkartenstanzer 25.03.2022 um 15:29:09 Uhr
Goto Top
Zitat von @goscho:


PS: Den Header einer Mail zu lesen, um herauszubekommen, ob sie über eigene Mailserver versendet wurde, ist schon echt die hohe Kunst. Gibt es dazu keine Youtube-Tutorials?

Hier bitte auf dem Silbertablett.

lks
Seitek
Seitek 25.03.2022 um 16:25:49 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @goscho:


PS: Den Header einer Mail zu lesen, um herauszubekommen, ob sie über eigene Mailserver versendet wurde, ist schon echt die hohe Kunst. Gibt es dazu keine Youtube-Tutorials?

Hier bitte auf dem Silbertablett.

lks

Danke für den Link. Ich habe die E-Mail gerade vom Kunden erhalten. Diese wurde nicht über den "Firmen-E-Mail Server" versendet. Das scheint eine geklaute Adresse zu sein, da der Absender auch eine Homepage im Ausland besitzt.
commodity
commodity 25.03.2022 um 18:45:32 Uhr
Goto Top
wer hätte das gedacht ...
117471
117471 25.03.2022 um 21:59:58 Uhr
Goto Top
Hallo,

Zitat von @commodity:

wer hätte das gedacht ...

Ich. Deshalb schrieb' ich ja „eine Art Backscatter“. Die Adressen und Inhalte stehen irgendwo in einer Datenbank und da stehen sie für immer… face-wink

Gruß,
Jörg
Lochkartenstanzer
Lochkartenstanzer 25.03.2022 um 22:15:28 Uhr
Goto Top
Zitat von @117471:

Hallo,

Zitat von @commodity:

wer hätte das gedacht ...

Ich. Deshalb schrieb' ich ja „eine Art Backscatter“. Die Adressen und Inhalte stehen irgendwo in einer Datenbank und da stehen sie für immer… face-wink


Du hast die İronietags überlesen.

lks
Vertax
Vertax 25.03.2022 um 22:18:21 Uhr
Goto Top
Mal ne Kurze Frage dazu, der TO hat ja geschrieben das er nach O365 - Exchange Online migriert ist.

In den neuen Tennants ist das setzen des SPF-Records doch vorgegeben, ansonsten wird die Domain-Validierung doch als Not-Healthy angezeigt. Ich geh jetzt einfach mal davon aus das der Record vermutlich vergessen wurde zu setzen.

Oder gibt es noch Angriffsvektoren wie ich Mail-Spoofing betreiben kann und den SPF-Record aushebeln kann?
Lochkartenstanzer
Lochkartenstanzer 25.03.2022 aktualisiert um 22:24:33 Uhr
Goto Top
Zitat von @Vertax:

Mal ne Kurze Frage dazu, der TO hat ja geschrieben das er nach O365 - Exchange Online migriert ist.

In den neuen Tennants ist das setzen des SPF-Records doch vorgegeben, ansonsten wird die Domain-Validierung doch als Not-Healthy angezeigt. Ich geh jetzt einfach mal davon aus das der Record vermutlich vergessen wurde zu setzen.

Oder gibt es noch Angriffsvektoren wie ich Mail-Spoofing betreiben kann und den SPF-Record aushebeln kann?

Man klaut einfach ganz viele Mails aus einem Client hängt Spam an diese und schickt sie mit einer falschen Absenderadresse (die Envelope-Adresse ist unabhängig von der Absenderadresse, die in der Mail steht).

Da muß am Echange-Online gar nichts gehackt werden.

lks
Vertax
Vertax 25.03.2022 um 22:38:40 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Vertax:

Mal ne Kurze Frage dazu, der TO hat ja geschrieben das er nach O365 - Exchange Online migriert ist.

In den neuen Tennants ist das setzen des SPF-Records doch vorgegeben, ansonsten wird die Domain-Validierung doch als Not-Healthy angezeigt. Ich geh jetzt einfach mal davon aus das der Record vermutlich vergessen wurde zu setzen.

Oder gibt es noch Angriffsvektoren wie ich Mail-Spoofing betreiben kann und den SPF-Record aushebeln kann?

Man klaut einfach ganz viele Mails aus einem Client hängt Spam an diese und schickt sie mit einer falschen Absenderadresse (die Envelope-Adresse ist unabhängig von der Absenderadresse, die in der Mail steht).

Da muß am Echange-Online gar nichts gehackt werden.

lks

Schon klar, aber wie kann ich erfolgreich eine Mail mit gefälschtem Absender raushauen wenn ich in meinem Exchange den SPF-Ordentlich gesetzt habe. Dieser gibt ja schließlich die Mail-Server meiner Domäne an von der meine Mails herkommen dürfen.
Lochkartenstanzer
Lochkartenstanzer 25.03.2022 um 23:03:52 Uhr
Goto Top
Zitat von @Vertax:

Zitat von @Lochkartenstanzer:

Zitat von @Vertax:

Mal ne Kurze Frage dazu, der TO hat ja geschrieben das er nach O365 - Exchange Online migriert ist.

In den neuen Tennants ist das setzen des SPF-Records doch vorgegeben, ansonsten wird die Domain-Validierung doch als Not-Healthy angezeigt. Ich geh jetzt einfach mal davon aus das der Record vermutlich vergessen wurde zu setzen.

Oder gibt es noch Angriffsvektoren wie ich Mail-Spoofing betreiben kann und den SPF-Record aushebeln kann?

Man klaut einfach ganz viele Mails aus einem Client hängt Spam an diese und schickt sie mit einer falschen Absenderadresse (die Envelope-Adresse ist unabhängig von der Absenderadresse, die in der Mail steht).

Da muß am Echange-Online gar nichts gehackt werden.

lks

Schon klar, aber wie kann ich erfolgreich eine Mail mit gefälschtem Absender raushauen wenn ich in meinem Exchange den SPF-Ordentlich gesetzt habe. Dieser gibt ja schließlich die Mail-Server meiner Domäne an von der meine Mails herkommen dürfen.

Er schickt das überhaupt nicht von Deiner Domain.

lks
117471
117471 25.03.2022 um 23:14:54 Uhr
Goto Top
Hallo,

letztendlich entscheidet der empfangende Server, ob und wie er SPF, DKIM usw. interpretiert.

Gruß,
Jörg
Vertax
Vertax 26.03.2022 um 00:03:09 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Vertax:

Zitat von @Lochkartenstanzer:

Zitat von @Vertax:

Mal ne Kurze Frage dazu, der TO hat ja geschrieben das er nach O365 - Exchange Online migriert ist.

In den neuen Tennants ist das setzen des SPF-Records doch vorgegeben, ansonsten wird die Domain-Validierung doch als Not-Healthy angezeigt. Ich geh jetzt einfach mal davon aus das der Record vermutlich vergessen wurde zu setzen.

Oder gibt es noch Angriffsvektoren wie ich Mail-Spoofing betreiben kann und den SPF-Record aushebeln kann?

Man klaut einfach ganz viele Mails aus einem Client hängt Spam an diese und schickt sie mit einer falschen Absenderadresse (die Envelope-Adresse ist unabhängig von der Absenderadresse, die in der Mail steht).

Da muß am Echange-Online gar nichts gehackt werden.

lks

Schon klar, aber wie kann ich erfolgreich eine Mail mit gefälschtem Absender raushauen wenn ich in meinem Exchange den SPF-Ordentlich gesetzt habe. Dieser gibt ja schließlich die Mail-Server meiner Domäne an von der meine Mails herkommen dürfen.

Er schickt das überhaupt nicht von Deiner Domain.

lks

Nochmal: Schon klar face-smile Ansonsten wäre SPF und DKIM ja nicht entwickelt worden.


Zitat von @117471:

Hallo,

letztendlich entscheidet der empfangende Server, ob und wie er SPF, DKIM usw. interpretiert.

Gruß,
Jörg

Danke, das war der Punkt der in meinem Kopf unklar war. Ich bin davon ausgegangen das SPF und DKIM mittlerweile sauber standardisiert wurde, das scheint aber noch nicht der Fall zu sein:

Im Januar 2021 veröffentlichte die Zeitschrift c’t einen Test der Verbreitung und
Umsetzungsqualität von DKIM bei 37 deutschen Webhosting-Anbietern mit dem Resultat,
dass nur 16 davon DKIM anbieten und es nur bei 6 fehlerfrei konfiguriert war (keine falschen
Absenderdomains mit DKIM signiert).[5] Einige der Anbieter korrigierten ihre DKIM-
Umsetzung umgehend bereits vor Veröffentlichung der Ausgabe.[5]


Ändert aber nicht unbedingt meine Meinung das über das saubere setzen von SPF / DKIM im DNS genau solche Spoofing Attacke stark verringert werden und auf jeden fall gesetzt gehören. (Sofern keine Begründeter Sonderfall vorliegt, wovon ich hier mal nicht ausgehe)
maretz
maretz 26.03.2022 aktualisiert um 05:57:09 Uhr
Goto Top
SPF usw. sind sauber spezifiziert (mehr oder weniger) - nur was bringts wenn der SERVER es nicht unterstützt. Was meinst du denn wieviele uralt-sendmail installationen noch irgendwo rumstehen weil die vor 15 Jahren mal aufgesetzt wurden und seid dem einfach laufen...

Und wenn mein Server eben alles annimmt - dann bringt es dir gar nix ob du als SENDER zwar alles toll umgesetzt hast aber irgendwer in deinem Namen schickt. Meinen Server würde nur interessieren: Ich bekomme was via smtp, ein postfach dazu existiert (und sei es nen catch-all) - gib her, ich legs ab...

Das ist genauso wie bei https - wenn du zwar alle tollen zertifikate hast wird mein browser auch nich meckern wenn ich dem einfach sage "mir egal, öffne trotzdem" und irgendwo im DNS deine Web-URL mit ner anderem IP verkünpft wurde. Denn in beiden Fällen ist DEIN Server nie beteiligt...

ps.: du darfst zwar deine Meinung haben - aber das ändert nix an der Realität das eben oft genug nur der mitarbeiter das "irgendwann mal" nebenbei macht und der sowas weder kennt noch macht... oder schlicht und einfach die ZEIT dafür nie hat.
NordicMike
NordicMike 28.03.2022 um 08:55:13 Uhr
Goto Top
Ganz einfach:

Wenn dein SPF richtig konfiguriert ist kannst du nichts weiter tun.

Wenn Dein Kunde so eine Email erhält und der Absender ist nicht Dein Mail Server, musst du dem Kunden mitteilen, dass "sein" Mail Server nicht richtig konfiguriert und anfällig gegen Angriffe ist. Fertig.

Mit deiner DMARC Einstellung kannst du dem Mail Server (dem des Kunden) sagen was er machen soll, wenn er so eine Email bekommt. z.B. durchlassen, gleich ablehnen, oder jemanden zur weiteren Prüfung warnen z.B. eine Abuse Postfach Adresse.
Seitek
Seitek 28.03.2022 um 09:13:52 Uhr
Goto Top
Hallo zusammen,
ich habe mir am Freitag ein paar E-Mails von den Kunden geben lassen und auch das Firmen-Netz am Wochenende offline genommen um mit dem Cleaner von Heise zu testen ob ich etwas finde.

Leider konnte ich herausfinden, dass die E-Mails nicht über unseren E-Mail Server laufen und das Problem auch schon viel länger bestehen muss, da auf manche E-Mails geantwortet wurde, die sich schon gar nicht mehr im Postfach befinden.

Auch der Cleaner hat leider nicht angeschlagen. Jetzt stehe ich vor dem Problem, dass ich natürlich gerne alle Rechner neu aufsetzen möchte um sicher zu gehen, dass dieser Virus nirgends mehr zu finden ist, aber der Chef möchte natürlich gerne das dieses Problem mit dem Aufwand behoben ist.

Ich habe aber nun schon gesehen, das auch ein Mitarbeiter, dessen PC ich letzte Woche neu aufgesetzt habe diese E-Mails "versendet". Damit scheint @Lochkartenstanzer schon Recht zu haben und es werden einfach Mails geklaut. Dadurch kann ich leider nicht mehr viel machen, außer die Kunden zu informieren diese E-Mails natürlich nicht zu öffnen.

Damit werde ich den Fehler wohl nicht beheben können und in Zukunft mehr für die Sicherheit im Unternehmen tun müssen. Vielen Dank für eure Hilfe.
schicksal
schicksal 29.03.2022 um 14:14:17 Uhr
Goto Top
Das was ich dir auch nahelegen würde, Check mal die Sicherheit deines Mailservers.
z.B.: https://mxtoolbox.com/diagnostic.aspx

Weitere Info welchen Patchstand hat der Mailserver?
Alle Updates und SPs einspielen, denn momentan habe einige die Angewohnheit schlecht gepatchte Mailserver für Ihre Dinge zu missbrauchen.
goscho
goscho 30.03.2022 um 08:20:50 Uhr
Goto Top
Moin
Zitat von @schicksal:
Weitere Info welchen Patchstand hat der Mailserver?
Alle Updates und SPs einspielen, denn momentan habe einige die Angewohnheit schlecht gepatchte Mailserver für Ihre Dinge zu missbrauchen.
Wenn du diesen Thread richtig gelesen hättest, wüsstest du, dass der TO mittlerweile bei Exchange Online gelandet ist.
Lochkartenstanzer
Lochkartenstanzer 30.03.2022 um 08:27:04 Uhr
Goto Top
Zitat von @goscho:

Moin
Zitat von @schicksal:
Weitere Info welchen Patchstand hat der Mailserver?
Alle Updates und SPs einspielen, denn momentan habe einige die Angewohnheit schlecht gepatchte Mailserver für Ihre Dinge zu missbrauchen.
Wenn du diesen Thread richtig gelesen hättest, wüsstest du, dass der TO mittlerweile bei Exchange Online gelandet ist.

Aber der Thread ist doch "TLDR" face-smile

lks
Vision2015
Vision2015 30.03.2022 um 08:46:50 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @goscho:

Moin
Zitat von @schicksal:
Weitere Info welchen Patchstand hat der Mailserver?
Alle Updates und SPs einspielen, denn momentan habe einige die Angewohnheit schlecht gepatchte Mailserver für Ihre Dinge zu missbrauchen.
Wenn du diesen Thread richtig gelesen hättest, wüsstest du, dass der TO mittlerweile bei Exchange Online gelandet ist.

Aber der Thread ist doch "TLDR" face-smile

lks

neee.... das nennt man Forums Backscatter.... face-smile

Frank