lochkartenstanzer
Goto Top

Exchange und der Jahr 2022 Bug beim Antimalwarescanning

article-picture
Frohes neues Jahr euch allen.

Falls sich einer wundert, warum sein Exchange gerade "spinnt": Exchange nimmt es mit dem Verhindern von Malware sehr ernst und nimmt gar keine Mails mehr an wegen einem Jahr-2022-Bug im Antimalwarescanner an. face-smile

So kann man Malware natürlich auch verhindern.

Hier die FAQ und Lösung von Microsoft dazu:
Email Stuck in Exchange On-premises Transport Queues

Gruß,
lks

PS: Ich wollte es eigentlich unter Humor zu packen. Das kann eigentlich nur Satire sein face-smile
PPS: Den Beitrag hatte ich übersehen Exchange Y2K22 Bug: Kein Versand von Mails über Outlook mehr

Content-ID: 1679176989

Url: https://administrator.de/knowledge/exchange-und-der-jahr-2022-bug-beim-antimalwarescanning-1679176989.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

chgorges
chgorges 01.01.2022 um 18:12:37 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Frohes neues Jahr euch allen.
Dir auch danke.

PS: Konnte nicht anders als das unter Humor zu packen. Das kann eigentlich nur Satire sein

Satire oder viel mehr ein ganz ganz schlechter Scherz... Der Bug am 01.01.2022 fasst das gesamte Exchange-Seuchenjahr 2021 mit einer "Lappalie" zusammen und gibt einen grauenhaften Ausblick auf 2022.

In diesem Sinn, Prost!
Mystery-at-min
Mystery-at-min 01.01.2022 um 18:15:14 Uhr
Goto Top
War das "h" schneller als das "c"? face-smile

Aber ja, Humor passt. Aber vielleicht ist das eine Möglichkeit endlich die ungewarteten Exchange vom Netz zu bringen.
AmunRe
AmunRe 01.01.2022 um 18:16:21 Uhr
Goto Top
Unsere drei Server fanden das äußerst lustig und haben sich beim lachen dermaßen verschluckt das keine Mails mehr durchkamen

Frohes neues @ all
Lochkartenstanzer
Lochkartenstanzer 01.01.2022 um 18:19:40 Uhr
Goto Top
Zitat von @Mystery-at-min:

War das "h" schneller als das "c"? face-smile

Offensichtlich. Aber jetzt habe ich die korrekte Geschwindigkeit wiederhergestellt. face-smile

lks
maretz
maretz 01.01.2022 um 18:19:45 Uhr
Goto Top
Moin,

nu mal nich so böse mit Microsoft, ja? Wer von euch hat denn am 24ten erst die Geschenke gekauft? Und konnte doch nu wirklich keiner ahnen das nach dem 31.12.2021 der 1.1.2022 kommt. Das immer nach Sylvester nen neues Jahr beginnt is doch ähnlich unplanbar wie der heiligabend...

Lg,
Vision2015
Vision2015 01.01.2022 um 18:42:32 Uhr
Goto Top
Moin...
Zitat von @maretz:

Moin,

nu mal nich so böse mit Microsoft, ja? Wer von euch hat denn am 24ten erst die Geschenke gekauft?
na ich.... fast wie jedes Jahr face-smile
ich latsche in den Apple Store, und frage, was habt ihr noch da, ich kaufe es face-smile
Und konnte doch nu wirklich keiner ahnen das nach dem 31.12.2021 der 1.1.2022 kommt. Das immer nach Sylvester nen neues Jahr beginnt is doch ähnlich unplanbar wie der heiligabend...
da ist was dran....

Lg,

Frank
Vision2015
Vision2015 01.01.2022 um 18:45:17 Uhr
Goto Top
Moin...

ein..
Get-TransportAgent "Malware Agent" | Disable-TransportAgent  
und ein restart des Transport, und die welt ist grün...

Frank
keine-ahnung
keine-ahnung 01.01.2022 um 19:07:04 Uhr
Goto Top
Gesundes neues Coronajährchen in die Runde,

für Diejenigen, die wie ich ich keinen Zwitscheraccount haben, hier zu finden:

https://www.heise.de/news/Y2K22-Bug-stoppt-Exchange-Mailzustellung-Antim ...

BTW - email wird völlig überschätzt! Brieftäubchen sind viel nachhaltiger und können nach Ankunft auch noch gebraten und verspeist werden, dass geht mit iMehl nicht so gut. Aber CAVE: nicht Fratze braten!!

LG, Thomas
Xaero1982
Xaero1982 01.01.2022 um 20:54:10 Uhr
Goto Top
Lochkartenstanzer
Lochkartenstanzer 01.01.2022 um 21:16:46 Uhr
Goto Top

Sorry hab ich übersehen. İch finde aber trotzdem, daß das unter (Galgen-)Humor besser paßt. face-smile

lks
spec1re
spec1re 02.01.2022 um 09:40:02 Uhr
Goto Top
Fix ist raus: https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in ...

UPDATE, 01/02 01:45 EST (06:45 GMT): Microsoft has released a fix for the “Y2K22 Exchange Bug” which requires
action to be taken on each Exchange server in your environment. Some system administrators report this fix can
take around 30 minutes to run, which could increase depending on how many people are trying to simultaneously
download the update from the Microsoft servers. Interestingly, this fix includes a change to the format of the
problematic update version number; the version number now starts with “21” again, to stay within the limits
of the ‘long’ data type, for example: “2112330001”. So, Happy December 33, 2021! 😉
https://www.reddit.com/r/sysadmin/comments/rt91z6/exchange_2019_antimalw ...
ManuManu2021
ManuManu2021 02.01.2022 um 10:07:59 Uhr
Goto Top
Hallo,

konnte die Exchange bordeigene "anti-Malware" Funktion bisher noch nie bei der erfolgreichen Jagd beobachten so dass man zweifeln könnte, ob sie überhaupt etwas bringt.
spec1re
spec1re 02.01.2022 aktualisiert um 10:27:26 Uhr
Goto Top
Update hat ca. 25 Minuten gedauert, augenscheinlich läuft jetzt alles wieder.

[PS] X:\Exchange Server\Scripts>Get-EngineUpdateInformation

Engine            : Microsoft
LastChecked       : 01.02.2022 10:11:08  +01:00
LastUpdated       : 01.02.2022 10:11:22  +01:00
EngineVersion     : 1.1.18800.4
SignatureVersion  : 1.355.1227.0
SignatureDateTime : 01.01.2022 12:29:06  +01:00
UpdateVersion     : 2112330001
UpdateStatus      : UpdateAttemptSuccessful

[PS] X:\Exchange Server\Scripts>Get-TransportAgent "Malware Agent"  

Identity                                           Enabled         Priority
--------                                           -------         --------
Malware Agent                                      True            10

[PS] X:\Exchange Server\Scripts>Get-Queue

Identity          DeliveryType          Status MessageCount Velocity RiskLevel OutboundIPPool NextHopDomain
--------          ------------          ------ ------------ -------- --------- -------------- -------------
EXSERVER\3          SmtpDeliveryToMailbox Ready  0            0        Normal    0              db01
EXSERVER\4          SmtpDeliveryToMailbox Ready  0            0        Normal    0              db02
EXSERVER\Submission Undefined    Ready  0            0        Normal    0              Übermittlung

@ManuManu2021 Die AMSI Integration gegen HAFNIUM & Co. macht da schon Sinn.
ManuManu2021
ManuManu2021 02.01.2022 um 10:34:04 Uhr
Goto Top
danke für den report - wie ist denn ab Werk das "MHD" für Mails in der Submission Queue?
Wäre schade wenn die alle mit "NDR" zurück zum Absender gehen.
spec1re
spec1re 02.01.2022 um 10:49:25 Uhr
Goto Top
Das sind 48h.
ManuManu2021
ManuManu2021 02.01.2022 um 19:54:33 Uhr
Goto Top
kann man bei Start/Ausführen "eventvwr" sehen welche viren-mails bisher geblockt wurden? (vom Malware Agent)
NetzwerkDude
NetzwerkDude 03.01.2022 um 09:24:07 Uhr
Goto Top
Lochkartenstanzer
Lochkartenstanzer 03.01.2022 um 09:48:32 Uhr
Goto Top
Hier noch ein Blogbeitrag, der den Punkt richtig trifft:

Der Y2K22-32-Bit-Bug

lks
ukulele-7
ukulele-7 03.01.2022 um 13:16:27 Uhr
Goto Top
Ich habe einen Empfänger der mit
Remote Server returned '< #4.4.7 smtp;400 4.4.7 Message delayed>'
antwortet. Kann der betroffen sein?
Mystery-at-min
Mystery-at-min 03.01.2022 um 13:20:27 Uhr
Goto Top
Zitat von @ukulele-7:

Ich habe einen Empfänger der mit
Remote Server returned '< #4.4.7 smtp;400 4.4.7 Message delayed>'
antwortet. Kann der betroffen sein?

Tendenziell gut möglich
dertowa
dertowa 03.01.2022 um 14:38:08 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Frohes neues Jahr euch allen.
Danke ebenfalls.

PS: Ich wollte es eigentlich unter Humor zu packen. Das kann eigentlich nur Satire sein face-smile
Das hatte ich gestern bereits auf heise gelesen und dann den wichtigen Absatz zur Kenntnis genommen, das mal wieder nur on-premise betroffen ist - also für mich nicht relevant.

Das ist bereits das zweite Mal, dass man als Clouduser von solchen Nachlässigkeiten verschont bleibt. face-wink
Zumindest gab es auch zeitnah von Microsoft einen Fix, dann kann das Jahr auch beim E-Mailverkehr starten. face-big-smile
goscho
goscho 03.01.2022 um 14:50:32 Uhr
Goto Top
Mahlzeit und Happy new Year to all of you,

ich bekomme ja auch immer sofort solche Informationen und habe mich dann am 01.01. gleich mal umgeschaut, wie es bei meinem Exchange und denen meiner Kunden aussieht.
Keiner ist betroffen, alle nutzen eine Malwareengine, aber halt die von Symantec und die Engine von MS ist deaktiviert.

Wie verkaufe ich jetzt diesen Kunden, dass Microsoft Exchange-Updates bereitgestellt hat, die unbedingt eingespielt werden müssen?
ukulele-7
ukulele-7 03.01.2022 aktualisiert um 15:09:52 Uhr
Goto Top
Zitat von @dertowa:

Das ist bereits das zweite Mal, dass man als Clouduser von solchen Nachlässigkeiten verschont bleibt. face-wink
Das du es zumindest nicht merkst. Oder hast du eine Quelle die eine Begründung liefert warum Exchange in der Cloud nicht betroffen war? - Microsoft gibt ja immer gerne die Info raus das Exchange Online nicht betroffen ist aber nicht darüber ob sie betroffen waren. Und die haben ja Exchange nicht völlig neu erfunden.

Zitat von @goscho:

Wie verkaufe ich jetzt diesen Kunden, dass Microsoft Exchange-Updates bereitgestellt hat, die unbedingt eingespielt werden müssen?
Warum müssen die eingespielt werden?
Vision2015
Vision2015 03.01.2022 um 15:16:43 Uhr
Goto Top
Miun...
Zitat von @goscho:

Mahlzeit und Happy new Year to all of you,

ich bekomme ja auch immer sofort solche Informationen und habe mich dann am 01.01. gleich mal umgeschaut, wie es bei meinem Exchange und denen meiner Kunden aussieht.
Keiner ist betroffen, alle nutzen eine Malwareengine, aber halt die von Symantec und die Engine von MS ist deaktiviert.

Wie verkaufe ich jetzt diesen Kunden, dass Microsoft Exchange-Updates bereitgestellt hat, die unbedingt eingespielt werden müssen?
genauso wie du den rest verkauft hast face-smile

Frank
goscho
goscho 03.01.2022 um 15:23:51 Uhr
Goto Top
Zitat von @ukulele-7:
Zitat von @goscho:

Wie verkaufe ich jetzt diesen Kunden, dass Microsoft Exchange-Updates bereitgestellt hat, die unbedingt eingespielt werden müssen?
Warum müssen die eingespielt werden?
Deine Antwort ist nicht hilfreich. Diese Frage kommt von meinen Kunden nämlich auch als erstes, wenn ich erkläre, dass MS einen Bug gefixt hat, der sie gar nicht betrifft. face-smile

Das war auch nicht zu ernst zu nehmen. Ich hätte wohl einen Zwinkersmiley anhängen sollen. face-wink
dertowa
dertowa 03.01.2022 um 17:16:59 Uhr
Goto Top
Zitat von @ukulele-7:

Das du es zumindest nicht merkst. Oder hast du eine Quelle die eine Begründung liefert warum Exchange in der Cloud nicht betroffen war?

Für mich nicht relevant, denn es wird überall nur von On-Premise gesprochen, vermutlich war Exchange Online betroffen, allerdings hat man es da wohl zu erst festgestellt und konnte seitens Microsoft unproblematisch und verdeckt im Hintergrund agieren und bereinigen.
Kommt für mich als Kunde aber auf selbe raus, denn es gab/gibt keine Serviceunterbrechung und ich muss nix machen. face-smile
Mystery-at-min
Mystery-at-min 03.01.2022 um 17:21:10 Uhr
Goto Top
Zitat von @dertowa:

Zitat von @ukulele-7:

Das du es zumindest nicht merkst. Oder hast du eine Quelle die eine Begründung liefert warum Exchange in der Cloud nicht betroffen war?

Für mich nicht relevant, denn es wird überall nur von On-Premise gesprochen, vermutlich war Exchange Online betroffen, allerdings hat man es da wohl zu erst festgestellt und konnte seitens Microsoft unproblematisch und verdeckt im Hintergrund agieren und bereinigen.
Kommt für mich als Kunde aber auf selbe raus, denn es gab/gibt keine Serviceunterbrechung und ich muss nix machen. face-smile

vielleicht ist es aber auch eine trügerische Sicherheit, denn am Ende: Du denkst du bist sicher, bei kleinen Problemen fällt es dir nicht auf (vorallem am 1.1.) und folgender Big Bang wirft dich richtig aus der Schüssel...es ist ein philosophisches Problem, was für die Risiko Awareness besser ist, solang es nicht zum großen Problem kommt, danach könnt es massiv schädigend sein.
ukulele-7
ukulele-7 04.01.2022 um 09:30:49 Uhr
Goto Top
Für mich als Nutzer von onpremise MS Software ebenso wie der Cloud (etwas unfreiwillig) ist der Interessenkonflikt eines der größten Mankos an der Microsoft Cloud. Selbst wenn man denen mal nicht gleich Absicht unterstellt so schwingt in jeder Aussage der Grundsatz mit: Kommt in die Cloud, die hat diese Probleme nicht (mehr?).

Wenn dann aber doch mal Lücken vorhanden waren und im Stillen geschlossen wurde ist es sehr schwer auszuschließen das es zu keiner Ausnutzung kam. Du fährst als Kunde so lange blind und unwissend bis es dann wirklich mal zu einem unbestereitbaren Vorfall kommt. Ich mag es nicht wenn der Anbieter null Transparenz zeigt wie er seine Systeme schützt.

Und Fälle gibt es allein schon statistisch, wie bei einem Kernkraftwerk, alle x Jahre. Es passiert seltener, weil die Sicherheit so hoch ist, aber es passiert (z.B. Cosmos DB) und wenn es Lücken gibt muss du davon erfahren um darauf reagieren zu können, auch als Kunde. Am Ende sind es immer noch deine Daten und deine Verantwortung.
em-pie
em-pie 04.01.2022 um 21:48:46 Uhr
Goto Top
Moin,

hier mal noch ein bisschen mehr "Futter": https://www.msxfaq.de/exchange/update/y2k22_bug.htm