Hallo,
ich lese seit Jahren die Anleitungen von Franky und muss mich erstmal bedanken für all das Wissen das hier zu Verfügung gestellt wird. Vielen Dank!
Ich habe jetzt einen, wie ich finde, interessanten Fall den ich mir nicht erklären kann und der MS Support keine große Hilfe ist.
Eine Userin kam auf mich zu und zeigt mir 3 Mails in ihrem Junk-Mail folder die alte Termineinladungen sind an einen Geschäftsführer. Die 3 Mails sind aus 2011 2013 und 2016 und somit Jahre bevor die Userin bei uns angefangen hat. Sie hat keine Verbindung zu diesem Geschäftsführer (keine Weiterleitung, nicht die selbe Hardware, kein Vollzugriff/Vertretung etc), da Sie in komplett anderen bereichen arbeiten. Die Mails haben keine Header, aber noch alle anderen Informationen, also andere Personen die eingeladen wurden etc. Wir haben einen Exchange 2019 in Full Classic Hybrid seit einigen Jahren. In MS Purview kann man einen Message create für die 3 Mails sehen. Es gibt keine alten Ost, eml, msg Datein dieser 3 Mails oder des Postfachs des Geschäftsführers.
Also die Frage ist wie kommen diese Mails des Geschäftsführer einfach so in das Postfach einer Userin.
Es ist nicht der erste Fall wo ein Kollege sagt das das passiert, aber diesmal konnte ich schnell an den Rechner und alles ansehen und sichern.
Der MS support sagte "Das Second Level-Support-Team hat den Fall untersucht und folgende Erkenntnisse gewonnen:
1-Es wurden keine Informationen von der Backend-Seite bereitgestellt.
2-Die betreffenden Elemente wurden vor der Migration in die Cloud im Jahr 2013 gesendet.
3-Der Tenant befindet sich seit 2016 in der Cloud, also seit mittlerweile neun Jahren.
Zudem scheint das Problem nicht mit dem erneuten Auftauchen von Elementen im Junk-E-Mail-Ordner zusammenzuhängen. Diese verbleiben dort, bis sie vom Benutzer manuell entfernt werden. Es werden auch keine neuen Elemente aus dem Postfach des anderen Benutzers in den Junk-Ordner zugestellt.
um das Problem zu lösen, bitte die Emails manuell entfernen."
Das ist ja aber keine Lösung des Problems. Ich möchte wissen wie ur-alte Mails von einem Geschäftsführer in dem Postfach einer Userin die wesentlich kürzer da ist und keine Admin zugriffe hat kommen können.
Es ist kein Archivpostfach aktiv.
Der Geschäftsführer ist mittlerweile 20 Jahre da und wurde entsprechend in die Cloud migriert.
Die Userin ist seit 2019 im Unternehmen und wurde ebenfalls in die Cloud migriert.
Ich habe heute nochmal Antwort von Microsoft erhalten:
Immerhin kein Zugriff von außen, aber absolut kein Fortschritt. Ein serverseitiger Fehler wäre ja das mindeste was Sie zugeben könnten.
As I told you before we do not offer or support any root cause analysis, we are going extra mile with you as exception and here is the info we got from the escalating team.
Cause:
The root cause appears linked to the mailbox being associated with an old account or data import. Possible causes include import of PST files or presence of OST files on local machines. Audit logs showed item creation events, but the user did not import or create these items themselves. No evidence of hacking or unauthorized access was found.
Und eine weitere Mail vom Support die jetzt von einer Anomalie spricht. Also eine Anomalie die Mails eines Geschäftsführers in das Postfach einer normalen Mitarbeiterin erstellt ist bedenklich:
As mentioned earlier, our investigation indicates that the unexpected junk mail items likely stem from legacy data linked to an old account or a local data import (e.g., PST/OST files). While audit logs show item creation events, they do not point to any direct action by the user, nor is there any evidence of unauthorized access or compromise.
Given the nature of the items and their timestamps, this appears to be a server-side anomaly — possibly triggered during mailbox provisioning or synchronization.
Thank you for your understanding and cooperation.
Du schreibst "in MS Purview kann man einen Message create für die 3 Mails sehen." Sieht man dort denn nicht, wer das Objekt erstellt hat und vor allem von welcher IP-Adresse oder andere Details?
Zumindest hat man den Zeitpunkt als Anhaltspunkt. War die Benutzerin, deren Postfach das ist, zu der Zeit an einem Gerät aktiv? Falls nein, scheidet sie als Ursache aus. Haben andere Benutzer Zugriffsrechte auf den Ordner? Hat ein Admin zu der Zeit eine Aktion ausgeführt, z.B. PST-Import, Recovery aus einem Backup, ...? Besteht zwischen der Benutzerin und dem Absender/Empfängern der drei Termineinladungen ein Zusammenhang, z.B. Stellvertreter?
Was an den Antworten von Microsoft nicht zu deiner Fallbeschreibung paßt, erspare ich mir lieber zu schreiben. Meine Erfahrung mit dem MS Support ist ... grotten schlecht.
Also genau das gleiche hab ich den Microsoft Support auch gefragt. Man müsste doch eigtl sehen wer verantwortlich ist und daraufhin haben Sie mir gesagt das es eine Serveranomalie ist.
Die Nutzerin war aktiv, hat die Mails bemerkt als Sie 3 ungelesene Mails im JunkMail Postfach hatte. Die Nutzerin ist kein DAU und ich bin alle Szenarien und mit ihr durchgegangen. Es gibt keines in der Sie Schuld sein könnte.
Es haben keine anderen Personen Zugriff auf den Ordner.
Es gab keine Aktion auf dem Exchange zu der Zeit. Wir sind eine kleine IT und ich habe mir meinen Kollegen besprochen. Ich bin der, der am meisten am Exchange macht. Wir haben keine alten .pst rumliegen und vorallem nicht aus der Zeit aus der diese Mails kommen.
Die Nutzerin hat keine Verbindung mit dem Absender. Sie war 12 Jahre alt zum Zeitpunkt der Mails =D Sie hat auch keine Verbindung zum eigentlichen Empfänger der Mails. Er ist Geschäftsführer.
MS hat jetzt nochmal nach alten Migrationen etc. gefragt. Ich trage die Informationen grade zusammen und werde das auch hier posten.
Also folgende Mail vom Microsoft Support:
Kindly check if there is any pending migration batches still in the backend for the tenant.
why I am asking for this because the migration was done in the last year. can be the trigger for review action on the Supervision policy
The presence of X‑MS‑Exchange‑Organization‑RecordReviewCfmType indicates the item was tied to Supervisory Review at some point.
How to check it:
1.Open the Compliance admin center2.Solutions → Communication Compliance.
3.Select Policies to see all active policies.4.B. Remove the wrong user as Reviewer
/Open the policy ➜ Edit ➜ Users & groups ➜ Reviewers.
/Remove the user ➜ Save.__________
Also confirm the user isn’t in any reviewer groups that the policy references.
Inside the policy, switch to Pending (or Alerts → filter by the policy).
You can open each match and see Assigned to, Status, and take actions.
From Alerts you can also see escalations and notifications.For more info : Create and manage Communication Compliance policies | Microsoft Learn
if no pending actions there then remove the migration batch if still there.
and make sure that there is no signs in the account for compromising.
Es sind keine Migrationbatches vorhanden, nachdem diese Complete waren und es keine Fehler hab hab ich diese damals entfernt.
Die Policies im Communication Compliance stehen mir nicht zu Verfügung, da keine Lizenz vorhanden. Wir haben nur E3 und keine E5.
Reviewergruppen etc. nutzen wir auch nicht und der Account ist so Basic wie er nur sein kann.
Jetzt soll ich checken ob der Account kompromitiert wurde, wobei das ja am Anfang ausgeschlossen wurde.
vielen Dank für Ihre Rückmeldung.
Basierend auf Ihren Angaben empfehlen wir Ihnen, die im folgenden Microsoft Learn-Artikel beschriebenen Schritte zu befolgen:
„Reaktion auf ein kompromittiertes E-Mail-Konto – Microsoft Defender for Office 365“
Dies dient dazu sicherzustellen, dass keine Anzeichen für eine Kompromittierung vorliegen und hilft dabei, die von Microsoft empfohlenen hohen Sicherheitsstandards aufrechtzuerhalten.Darüber hinaus können wir bestätigen, dass keine weiteren Migrationsbatches oder ausstehenden Überprüfungen vorhanden sind.
Von Seiten Microsofts sind daher keine weiteren Maßnahmen erforderlich.
Für Rückfragen stehen wir Ihnen selbstverständlich gerne zur Verfügung.
Der Support wechselt leider ständig zwischen Deutsch und Englisch.
Ein Zugriff auf den Account werde ich jetzt prüfen, aber wir haben seit langer Zeit MFA aktiviert und die Userin ist sehr aufmerksam und vorsichtig. Zudem wüsste ich nicht wieso jemand der Zugriff auf den Account hat 13-14 Jahre alte Mails ausgraben sollte, und wieso MS das nicht selber erkennen kann.
