none
Странное удаление сообщений в Outlook 2013 RRS feed

  • Вопрос

  • День добрый! Столкнулся впервые со странной ситуацией - у нас развернут Exchange 2010, настроены клиенты на Outlook (MAPI), все являются членами домена. Один из сотрудников пожаловался, что прямо при нем стали по одному исчезать сообщения во "Входящих" в Outlook. Он быстро закрыл Outlook, когда открыл снова - увидел, что примерно за 2 недели сообщения перемещены в Удаленные, но не только из Входящих, а и из Отправленных тоже. И точно за тот же период. Пароль от ящика довольно сложный, сотрудник уверяет, что никто его не знает. Аудит сообщений был выключен по умолчанию, к сожалению. Сейчас включил, наблюдаю. Но что это могло быть? Мог ли Outlook сбойнуть и начать удалять сообщения? Если это делал злоумышленник, то как и почему он удалил синхронно из всех папок за один и тот же интервал?
    • Перемещено Vector BCO 23 июля 2020 г. 13:05 перенесено из ветки office 2016
    23 июля 2020 г. 7:39

Все ответы

  • Здравствуйте,

    У пользователя настроен ящик только через Outlook или и на мобильном устройстве?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    23 июля 2020 г. 7:48
    Модератор
  • На смартфоне есть, но смартфон рядом с ним лежал. Я посмотрел через OWA - действительно этот смартфон авторизован и недавно синхронизировался. Может быть такое, что случайно нажал не туда на смарфтоне? Но почему тогда и Отправленные удалились?
    23 июля 2020 г. 7:49
  • Если по POP3 подключен, то почему бы и нет?

    Проверьте может включена архивация или есть правила в ящике.

    23 июля 2020 г. 7:57
  • А есть возможность в EMC посмотреть аудит по этому ящику? Без применения консоли?
    23 июля 2020 г. 8:01
  • В Compliance MGMT-> Auditing

    Но через shell удобнее понять.

    23 июля 2020 г. 8:22
  • у нас развернут Exchange 2010
    А есть возможность в EMC посмотреть аудит по этому ящику? Без применения консоли?

    В Exchange 2010 это выглядит так:

    23 июля 2020 г. 10:47
  • Так это вообще другой тип отчёта.
    23 июля 2020 г. 10:59
  • это не моя картинка из интернета. а по описанию - тип отчёта такой же:

    23 июля 2020 г. 11:14
  • Сравните:

    23 июля 2020 г. 11:57
  • Правильно понимаю - вот здесь выбрать интересующий ящик и "Поиск"?
    23 июля 2020 г. 12:10
  • Сравните:

    да при чём тут это? смысл моего сообщения в том, что ваш скрин не с Exchange 2010. А как там называется протоколы, ТС уже разобрался.
    23 июля 2020 г. 12:34
  • Правильно понимаю - вот здесь выбрать интересующий ящик и "Поиск"?

    да, только по опыту скажу, что подобное поведение "удаления\перемещения" писем обычно связано с сами пользователем, а он просто этого не заметил. Ещё частным примером такого поведения бывает, когда пользователи находят свои "удалённые" письма в папке "ахрив". Это случается, когда пользователь нажимает backspace...

    у вас Exchange как-то опубликован наружу?

    23 июля 2020 г. 12:38
  • Да, есть OWA, но за очень много лет с таким сталкиваюсь впервые. Первая мысль была - кто-то знает пароль сотрудника и зачем-то удалил сообщения за прошлую неделю, причем во всех папках.
    23 июля 2020 г. 12:41

  • у вас Exchange как-то опубликован наружу?

          Он может как-то без публикации наружу работать?
    23 июля 2020 г. 12:42

  • у вас Exchange как-то опубликован наружу?

          Он может как-то без публикации наружу работать?

    обычно открывают\публикуют 25 порт, чтобы работало только на приём\отправку во внешний мир. Если OWA или MAPI\IMAP\POP3 наружу не опубликованы (о чём я спрашивал ведь ТС не сказал дома ли работает сотрудник или в офисе, а кто-то почту через VPN подключают, всякие конфигурации бывают), значит снаружи никакими клиентами никак не попасть. Или в чём ваш вопрос?

    Первая мысль была - кто-то знает пароль сотрудника и зачем-то удалил сообщения за прошлую неделю, причем во всех папках.

    Если кто-то знает пароль сотрудника - срочно меняйте. А вообще странно это: зачем удалять но "не удалять"?!


    23 июля 2020 г. 12:47
  • А ящик случайно не кому не подключен? Проверьте. Для всех пользователей можно так:

    Get-Mailbox -ResultSize Unlimited | Get-MailboxPermission | where {$_.user.tostring() -ne "NT AUTHORITY\SELF" -and $_.IsInherited -eq $false} | Select Identity,User,@{Name='Access Rights';Expression={[string]::join(', ', $_.AccessRights)}} | export-csv -Encoding UTF8 -Delimiter ";" -Path C:\temp\mailbox-accessrights.csv

    но можете переделать на одного пользователя.

    24 июля 2020 г. 6:33
  • Что-то не нравится синтаксис...

    27 июля 2020 г. 7:21
  • Я правильно понимаю, если вывод команды пустой -

    [PS] C:\Windows\system32>Search-MailboxAuditLog -Identity thisuser -LogonTypes Delegate -ShowDetails
    [PS] C:\Windows\system32>

    то за рассматриваемый период просто ничего с ящиком не происходило?

    27 июля 2020 г. 7:22
  • Проблема воспроиводилась снова после создания данного топика?

    На моей практике подобные сценарии были вызваны зачастую настройками мобильного клиента. Удаление клиента или во время траблшутинга отключение для ящика протокола по которуму клиент подключается к ящику решало проблему. 


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    27 июля 2020 г. 9:28
    Модератор