Jan 01, 2022, updated at Jan 03, 2022 (UTC)

6290

Exchange und der Jahr 2022 Bug beim Antimalwarescanning

Frohes neues Jahr euch allen.

Falls sich einer wundert, warum sein Exchange gerade "spinnt": Exchange nimmt es mit dem Verhindern von Malware sehr ernst und nimmt gar keine Mails mehr an wegen einem Jahr-2022-Bug im Antimalwarescanner an.

So kann man Malware natürlich auch verhindern.

Hier die FAQ und Lösung von Microsoft dazu:
Email Stuck in Exchange On-premises Transport Queues

Gruß,
lks

PS: Ich wollte es eigentlich unter Humor zu packen. Das kann eigentlich nur Satire sein

PPS: Den Beitrag hatte ich übersehen Exchange Y2K22 Bug: Kein Versand von Mails über Outlook mehr

Please also mark the comments that contributed to the solution of the article

Content-Key: 1679176989

Url: https://administrator.de/contentid/1679176989

Printed on: April 19, 2024 at 02:04 o'clock

29 Comments

Latest comment

Zitat von @Lochkartenstanzer:

Frohes neues Jahr euch allen.

Dir auch danke.

PS: Konnte nicht anders als das unter Humor zu packen. Das kann eigentlich nur Satire sein

Satire oder viel mehr ein ganz ganz schlechter Scherz... Der Bug am 01.01.2022 fasst das gesamte Exchange-Seuchenjahr 2021 mit einer "Lappalie" zusammen und gibt einen grauenhaften Ausblick auf 2022.

In diesem Sinn, Prost!

War das "h" schneller als das "c"?

Aber ja, Humor passt. Aber vielleicht ist das eine Möglichkeit endlich die ungewarteten Exchange vom Netz zu bringen.

Unsere drei Server fanden das äußerst lustig und haben sich beim lachen dermaßen verschluckt das keine Mails mehr durchkamen

Frohes neues @ all

Zitat von @Mystery-at-min:

War das "h" schneller als das "c"?

Offensichtlich. Aber jetzt habe ich die korrekte Geschwindigkeit wiederhergestellt.

lks

Moin,

nu mal nich so böse mit Microsoft, ja? Wer von euch hat denn am 24ten erst die Geschenke gekauft? Und konnte doch nu wirklich keiner ahnen das nach dem 31.12.2021 der 1.1.2022 kommt. Das immer nach Sylvester nen neues Jahr beginnt is doch ähnlich unplanbar wie der heiligabend...

Lg,

Moin...

Zitat von @maretz:

Moin,

nu mal nich so böse mit Microsoft, ja? Wer von euch hat denn am 24ten erst die Geschenke gekauft?

na ich.... fast wie jedes Jahr

ich latsche in den Apple Store, und frage, was habt ihr noch da, ich kaufe es

Und konnte doch nu wirklich keiner ahnen das nach dem 31.12.2021 der 1.1.2022 kommt. Das immer nach Sylvester nen neues Jahr beginnt is doch ähnlich unplanbar wie der heiligabend...

da ist was dran....

Lg,

Frank

Moin...

ein..

Get-TransportAgent "Malware Agent" | Disable-TransportAgent

und ein restart des Transport, und die welt ist grün...

Frank

Gesundes neues Coronajährchen in die Runde,

für Diejenigen, die wie ich ich keinen Zwitscheraccount haben, hier zu finden:

https://www.heise.de/news/Y2K22-Bug-stoppt-Exchange-Mailzustellung-Antim ...

BTW - email wird völlig überschätzt! Brieftäubchen sind viel nachhaltiger und können nach Ankunft auch noch gebraten und verspeist werden, dass geht mit iMehl nicht so gut. Aber CAVE: nicht Fratze braten!!

LG, Thomas

Hatten wir doch schon...

Exchange Y2K22 Bug: Kein Versand von Mails über Outlook mehr

Zitat von @Xaero1982:

Hatten wir doch schon...

Exchange Y2K22 Bug: Kein Versand von Mails über Outlook mehr

Sorry hab ich übersehen. İch finde aber trotzdem, daß das unter (Galgen-)Humor besser paßt.

lks

Fix ist raus: https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in ...

UPDATE, 01/02 01:45 EST (06:45 GMT): Microsoft has released a fix for the “Y2K22 Exchange Bug” which requires
action to be taken on each Exchange server in your environment. Some system administrators report this fix can
take around 30 minutes to run, which could increase depending on how many people are trying to simultaneously
download the update from the Microsoft servers. Interestingly, this fix includes a change to the format of the
problematic update version number; the version number now starts with “21” again, to stay within the limits
of the ‘long’ data type, for example: “2112330001”. So, Happy December 33, 2021! 😉

https://www.reddit.com/r/sysadmin/comments/rt91z6/exchange_2019_antimalw ...

Hallo,

konnte die Exchange bordeigene "anti-Malware" Funktion bisher noch nie bei der erfolgreichen Jagd beobachten so dass man zweifeln könnte, ob sie überhaupt etwas bringt.

Update hat ca. 25 Minuten gedauert, augenscheinlich läuft jetzt alles wieder.

[PS] X:\Exchange Server\Scripts>Get-EngineUpdateInformation

Engine            : Microsoft
LastChecked       : 01.02.2022 10:11:08  +01:00
LastUpdated       : 01.02.2022 10:11:22  +01:00
EngineVersion     : 1.1.18800.4
SignatureVersion  : 1.355.1227.0
SignatureDateTime : 01.01.2022 12:29:06  +01:00
UpdateVersion     : 2112330001
UpdateStatus      : UpdateAttemptSuccessful

[PS] X:\Exchange Server\Scripts>Get-TransportAgent "Malware Agent"  

Identity                                           Enabled         Priority
--------                                           -------         --------
Malware Agent                                      True            10

[PS] X:\Exchange Server\Scripts>Get-Queue

Identity          DeliveryType          Status MessageCount Velocity RiskLevel OutboundIPPool NextHopDomain
--------          ------------          ------ ------------ -------- --------- -------------- -------------
EXSERVER\3          SmtpDeliveryToMailbox Ready  0            0        Normal    0              db01
EXSERVER\4          SmtpDeliveryToMailbox Ready  0            0        Normal    0              db02
EXSERVER\Submission Undefined    Ready  0            0        Normal    0              Übermittlung

@ManuManu2021 Die AMSI Integration gegen HAFNIUM & Co. macht da schon Sinn.

danke für den report - wie ist denn ab Werk das "MHD" für Mails in der Submission Queue?
Wäre schade wenn die alle mit "NDR" zurück zum Absender gehen.

Das sind 48h.

kann man bei Start/Ausführen "eventvwr" sehen welche viren-mails bisher geblockt wurden? (vom Malware Agent)

Hier der Workaround von MS:
https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in ...

Hier noch ein Blogbeitrag, der den Punkt richtig trifft:

Der Y2K22-32-Bit-Bug

lks

Ich habe einen Empfänger der mit
Remote Server returned '< #4.4.7 smtp;400 4.4.7 Message delayed>'
antwortet. Kann der betroffen sein?

Zitat von @ukulele-7:

Ich habe einen Empfänger der mit
Remote Server returned '< #4.4.7 smtp;400 4.4.7 Message delayed>'
antwortet. Kann der betroffen sein?

Tendenziell gut möglich

Zitat von @Lochkartenstanzer:

Frohes neues Jahr euch allen.

Danke ebenfalls.

PS: Ich wollte es eigentlich unter Humor zu packen. Das kann eigentlich nur Satire sein

Das hatte ich gestern bereits auf heise gelesen und dann den wichtigen Absatz zur Kenntnis genommen, das mal wieder nur on-premise betroffen ist - also für mich nicht relevant.

Das ist bereits das zweite Mal, dass man als Clouduser von solchen Nachlässigkeiten verschont bleibt.

Zumindest gab es auch zeitnah von Microsoft einen Fix, dann kann das Jahr auch beim E-Mailverkehr starten.

Mahlzeit und Happy new Year to all of you,

ich bekomme ja auch immer sofort solche Informationen und habe mich dann am 01.01. gleich mal umgeschaut, wie es bei meinem Exchange und denen meiner Kunden aussieht.
Keiner ist betroffen, alle nutzen eine Malwareengine, aber halt die von Symantec und die Engine von MS ist deaktiviert.

Wie verkaufe ich jetzt diesen Kunden, dass Microsoft Exchange-Updates bereitgestellt hat, die unbedingt eingespielt werden müssen?

Zitat von @dertowa:

Das ist bereits das zweite Mal, dass man als Clouduser von solchen Nachlässigkeiten verschont bleibt.

Das du es zumindest nicht merkst. Oder hast du eine Quelle die eine Begründung liefert warum Exchange in der Cloud nicht betroffen war? - Microsoft gibt ja immer gerne die Info raus das Exchange Online nicht betroffen ist aber nicht darüber ob sie betroffen waren. Und die haben ja Exchange nicht völlig neu erfunden.

Zitat von @goscho:

Wie verkaufe ich jetzt diesen Kunden, dass Microsoft Exchange-Updates bereitgestellt hat, die unbedingt eingespielt werden müssen?

Warum müssen die eingespielt werden?

Miun...

Zitat von @goscho:

Mahlzeit und Happy new Year to all of you,

ich bekomme ja auch immer sofort solche Informationen und habe mich dann am 01.01. gleich mal umgeschaut, wie es bei meinem Exchange und denen meiner Kunden aussieht.
Keiner ist betroffen, alle nutzen eine Malwareengine, aber halt die von Symantec und die Engine von MS ist deaktiviert.

Wie verkaufe ich jetzt diesen Kunden, dass Microsoft Exchange-Updates bereitgestellt hat, die unbedingt eingespielt werden müssen?

genauso wie du den rest verkauft hast

Frank

Zitat von @ukulele-7:

Zitat von @goscho:

Wie verkaufe ich jetzt diesen Kunden, dass Microsoft Exchange-Updates bereitgestellt hat, die unbedingt eingespielt werden müssen?

Warum müssen die eingespielt werden?

Deine Antwort ist nicht hilfreich. Diese Frage kommt von meinen Kunden nämlich auch als erstes, wenn ich erkläre, dass MS einen Bug gefixt hat, der sie gar nicht betrifft.

Das war auch nicht zu ernst zu nehmen. Ich hätte wohl einen Zwinkersmiley anhängen sollen.

Zitat von @ukulele-7:

Das du es zumindest nicht merkst. Oder hast du eine Quelle die eine Begründung liefert warum Exchange in der Cloud nicht betroffen war?

Für mich nicht relevant, denn es wird überall nur von On-Premise gesprochen, vermutlich war Exchange Online betroffen, allerdings hat man es da wohl zu erst festgestellt und konnte seitens Microsoft unproblematisch und verdeckt im Hintergrund agieren und bereinigen.
Kommt für mich als Kunde aber auf selbe raus, denn es gab/gibt keine Serviceunterbrechung und ich muss nix machen.

Zitat von @dertowa:

Zitat von @ukulele-7:

Das du es zumindest nicht merkst. Oder hast du eine Quelle die eine Begründung liefert warum Exchange in der Cloud nicht betroffen war?

vielleicht ist es aber auch eine trügerische Sicherheit, denn am Ende: Du denkst du bist sicher, bei kleinen Problemen fällt es dir nicht auf (vorallem am 1.1.) und folgender Big Bang wirft dich richtig aus der Schüssel...es ist ein philosophisches Problem, was für die Risiko Awareness besser ist, solang es nicht zum großen Problem kommt, danach könnt es massiv schädigend sein.

Für mich als Nutzer von onpremise MS Software ebenso wie der Cloud (etwas unfreiwillig) ist der Interessenkonflikt eines der größten Mankos an der Microsoft Cloud. Selbst wenn man denen mal nicht gleich Absicht unterstellt so schwingt in jeder Aussage der Grundsatz mit: Kommt in die Cloud, die hat diese Probleme nicht (mehr?).

Wenn dann aber doch mal Lücken vorhanden waren und im Stillen geschlossen wurde ist es sehr schwer auszuschließen das es zu keiner Ausnutzung kam. Du fährst als Kunde so lange blind und unwissend bis es dann wirklich mal zu einem unbestereitbaren Vorfall kommt. Ich mag es nicht wenn der Anbieter null Transparenz zeigt wie er seine Systeme schützt.

Und Fälle gibt es allein schon statistisch, wie bei einem Kernkraftwerk, alle x Jahre. Es passiert seltener, weil die Sicherheit so hoch ist, aber es passiert (z.B. Cosmos DB) und wenn es Lücken gibt muss du davon erfahren um darauf reagieren zu können, auch als Kunde. Am Ende sind es immer noch deine Daten und deine Verantwortung.

Moin,

hier mal noch ein bisschen mehr "Futter": https://www.msxfaq.de/exchange/update/y2k22_bug.htm

German Information Exchange Server Microsoft

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 Comment

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment