none
Exchange 2010 - Security Problem mit AppleMail

    Frage

  • Hallo Zusammen

    Habe ein Security Problem mit AppleMail und Exchange 2010.

    Der Benutzer der über Apple Mail auf Exchange 2010 zugegriffen hat konnte eingie Mails (nicht die ganze Inbox) von einem anderen Benutzer sehen,

    obwohl er auf dem Mailboxs der Benutzers keine Berechtigung hatte.Die Mails sind gar nicht auf ihn addressiert gewesen und

    auf dem betroffenen Mailbox sind keine forwarding Rules und keine Delegations konfiguriert.

    Das seltsame daran ist dass nach der AppleMail Profileerneuerung (neu Erstellung) die Mails vom anderen Benutzer verschwunden sind.

    Ist das ein Security Bug auf dem Exchange 2010? Wie kann es überhaupt passieren dass der User der nicht Berechtig ist die Mails von anderen sieht die nicht an ihn addressiert waren? Bitte um hilfe

    Es ist noch zu erwähnen dass dass nicht die einzige Exchange 2010 Umgebung ist wo das Problem in Verbindung mit iPhone bzw. AppleMail aufgetreten ist. 

    Danke im voraus für eine rasche Antwort.

    Umgebung:

    Exchange 2010 Version 14.1 (Build 218.15) Exchange Version: 0.1 (8.0.535.0)

    OS Name:                   Microsoft Windows Server 2008 R2 Standard
    OS Version:                6.1.7600 N/A Build 7600

    Apple Mail 4.5

     

    Mittwoch, 21. September 2011 08:43

Antworten

  • Solution gefunden.

    Das Problem lag am reverse proxy in Verbindung mit Exchange EWS 2010 (Exchange Web Service).

    Der Reverse Proxy musste umkonfiguriert werden um für jede Verbindung zu Exchange EWS eine einheitliche Session zu eröffne was leider nicht der Fall per default ist.

     

    Danke für eure Hilfe...

    Donnerstag, 13. Oktober 2011 12:30

Alle Antworten

  • Hallo,

     

    also bisher hab ich das weder beim Exchange 2010 noch bei 2007 gesehen. Und habe hier mehrere Nutzer die das hauseigene Mailprogramm von Apple nutzen.

    Frage: Woran machst du fest das es die Inbox eines anderen Users war?

    Woher weisst du das der entsprechende User keinerlei Berechtigung auf keinen Ordner des anderen Benutzers hat?

    Welche Clients nutzt du? Alle Nutzer Apple Mail?

     

     


    Marcel Brabetz
    Mittwoch, 21. September 2011 09:06
  • Frage: Woran machst du fest das es die Inbox eines anderen Users war? - Das war keine Inbox vom anderen User.Das sind insgesamt 5 oder 6 einzelen Mails gewesen die der User gesehen hat, die nicht an ihn adressiert ware sondern an einen anderen Bentuzer.

    Woher weisst du das der entsprechende User keinerlei Berechtigung auf keinen Ordner des anderen Benutzers hat? - Habe die Mialbox vom User eingebundeun und es bestehet keinerlei Berechtigung für den User der die Mails lesen konnte.

    Welche Clients nutzt du? Alle Nutzer Apple Mail? - Nein.Es wird überwigend Outlook benutzt und mit dem Outlook hat man das Problem nicht festgestellt.

    Nur auf AppleMail und iPhone ist das phenomen aufgetreten.

    Gruss

    Mittwoch, 21. September 2011 09:13
  • Hi todomati,

    ist Exchange uptodate - SP1 RU5?

    Frage: Woran machst du fest das es die Inbox eines anderen Users war? - Das war keine Inbox vom anderen User.Das sind insgesamt 5 oder 6 einzelen Mails gewesen die der User gesehen hat, die nicht an ihn adressiert ware sondern an einen anderen Bentuzer.

    Wo sind die Emails jetzt? Der Exchange gibt dir Zugang zu deiner Mailbox egal welcher Client und solche Phänomene würden gehäufter auftreten.

    Was sagt die Nachrichtenverfolgung zu der eMail?

    Woher weisst du das der entsprechende User keinerlei Berechtigung auf keinen Ordner des anderen Benutzers hat? - Habe die Mialbox vom User eingebundeun und es bestehet keinerlei Berechtigung für den User der die Mails lesen konnte.

    ...und von dem User von dem Sie stammen? Vielleicht rüberkopiert an irgendeiner Stelle?

    Welche Clients nutzt du? Alle Nutzer Apple Mail? - Nein.Es wird überwigend Outlook benutzt und mit dem Outlook hat man das Problem nicht festgestellt.

    Nur auf AppleMail und iPhone ist das phenomen aufgetreten.

    Ist es reproduzierbar?


    Viele Grüße
    Christian

    Mittwoch, 21. September 2011 16:32
    Moderator
  • HI,

    schau mal die SID der User an, ist die gleich? WEnn nein, dann beantworte bitte die Fragen der anderen Teilnehmer.

     


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/
    Donnerstag, 22. September 2011 08:15
    Moderator
  • Sorry für die verspetätete Antwort.

    die SIDs haben wir gechekct und die sind unterschiedlich.

    RU5 ist im Moment nicht installiert.

    Nachrichte Verfolgung weist keiene Abweichung von der standard mail zustellung.Der User der Mails gesehne hat ist nirgendwo als emfänger zu sehen.

    die Original Mail habe ich analyisiert weil die im Inbox des Users an den sie addressiert waren immer noch vorhanden sind.

     

    Danke für euere Bemühungen und Gruss

    Freitag, 23. September 2011 08:52
  • Das problem ist leider nicht reproduzierbar.

    Haben wir auch versucht.

    Freitag, 23. September 2011 08:53
  • Any Updates? Wenn es nicht Reproduzierbar ist, ist es schwierig festzustellen, ob Änderungen den Fehler beseitigen...

    Viele Grüße
    Christian

    Mittwoch, 28. September 2011 16:34
    Moderator
  • Hi todomati,

     

    was mir gerade einfällt:

    Kann es vielleicht sein, das derjenige der die Mails vom anderen gesehen hat, absichtlich auf BCC gesetzt wurde?

    Das fällt mir nur gerade ein da ich einen ähnlichen "Vorfall" bei nem Kunden hatte. Das sieht man ja auch nicht.

    Klingt vielleicht ein wenig banal, aber alles andere kann ich mir bei meinen bisherigen Erfahrungen auch nicht vorstellen.


    Marcel Brabetz
    Donnerstag, 29. September 2011 09:03
  • Hi Marcel,

    Klingt vielleicht ein wenig banal, aber alles andere kann ich mir bei meinen bisherigen Erfahrungen auch nicht vorstellen.

    Manchmal sind es aber die Banalitäten, aber die Mail müsste dann ja noch da sein, damit man es nachvollziehen kann.

    Schick dir doch mal eine ganz geheime eMails, setzt den Kollegen in BCC und schau, ob er schreit. ;-)


    Viele Grüße
    Christian

    Donnerstag, 29. September 2011 15:39
    Moderator
  • Hi Marcel

    Danke für die antwort.

    Nein dass muss ich leider auschliessen weil ich das Problem bei anderen Kunden bzw. auch bei mir selbst festellen könnte...

     

    Grussss

    Mittwoch, 5. Oktober 2011 06:46
  • Dann würd ich sagen meld dich bei Microsoft, scheinbar kannst du es ja doch reproduzieren wenn du sagst du hast es bei dir und bei anderen Kunden.

    Da du ja anderen Kunden ein Microsoft Produkt verkauft hast wirst du ja Interesse daran haben ein eventuellen Bug an Microsoft weiterzugeben und ggf. beheben zu lassen (maybe mit dem nächsten RU). Und soweit ich mich erinnere ist ein Call bei nem Bug glaub ich kostenlos (gabs durch mehrere Exchange Spezialisten bereits den Hinweis hier im Forum).

    Aber ohne weitere Informationen als du uns zur Verfügung stellst (Nachrichtenverfolgung und Screenshots) kannst du hier denk ich kaum weitere Info's erwarten.


    Marcel Brabetz
    Mittwoch, 5. Oktober 2011 13:19
  • Solution gefunden.

    Das Problem lag am reverse proxy in Verbindung mit Exchange EWS 2010 (Exchange Web Service).

    Der Reverse Proxy musste umkonfiguriert werden um für jede Verbindung zu Exchange EWS eine einheitliche Session zu eröffne was leider nicht der Fall per default ist.

     

    Danke für eure Hilfe...

    Donnerstag, 13. Oktober 2011 12:30
  • HI,

    cool, das erklärt natürlich alles...


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/
    Donnerstag, 13. Oktober 2011 15:47
    Moderator
  • Hi Todomati,

    könntest du evtl. noch ein bisschen genauer posten, was genau am Reverseproxy gemacht wurde (Was setzt du ein, welche Version und welche Konfig-Änderung wurde vorgenommen) ?

    Ich habe hier exakt das gleiche Problem und wir haben am Freitag sofort auch RP6 eingespielt - bringt aber keine Besserung.

    Ich erhöffe mir, dass du uns noch einen Tipp geben kannst.

    Es würde zwar nicht das eigendliche Problem beheben, da es meiner Meinung nicht sein kann, dass ein User (warum acuh immer - z.B: durch einen Reverse-Proxy der sich nicht MS-konform verhält) eMails anderer lesen kann. Wir haben heute morgen auch schon einen Call eröffnet und werden sehen, was dabei heraus kommt.

     

    Danke und Gruß
    Sascha

    Montag, 31. Oktober 2011 13:56
  • Hallo Sasa

    Kenne leider kein Details was genau am reverse proxy angepasst wurde, weil das auf Linux Platform lauft für die ich nicht zuständig bin.

    Versuche mal ausfindig zu machen und gebe dir Bescheid.

    Die Lösung für das Problem stammt von Microsoft , aufgrund der Case den wir bei Microsoft disbezüglich eröffnet haben. 

    Dienstag, 1. November 2011 13:29
  • Hallo Sasa

    Wir setzten Appache ReverseProxy.

    Die setting die angepasst wurde ist - "Session Reuse" auf Disabled gesetzt.

     

    Grusss

    Mittwoch, 2. November 2011 14:18
  • Hallo Todomati,

     

    danke für deinen Hinweis - ich werde das den Linux-Kollegen einmal überprüfen lassen.

    Trotzdem sollte es eig. grundsätzlich nicht passieren, dass ein User (auch auf Grund einer Fehlkonfiguration!) die eMails eines anderen Benutzers zu sehen bekommt. Ich habe auch einen Call bei Microsoft geöffnet, da ich für meinen Kunden eine Aussage vom Hersteller brauche.

    Sehr seltsam ist, dass Microsoft mir sagte, es gebe noch keinen Call mit diesem Problem - könntest du mir evtl. auch noch die Case-ID mitteilen?

    Dann kann ich bei Microsoft gezielter nachfragen. Meine eMail-Adresse ist hinter dem Profil-Bild (Microsoft Tag) zu finden.

     

    danke und Gruß

    Sascha

    Mittwoch, 2. November 2011 14:27
  • Hallo Todomati,

    könntest du mir evtl. die Case-ID geben?

     

    Danke und Gruß

    Sascha 

    Montag, 14. November 2011 13:07