none
Пользователь видит чужие письма. RRS feed

  • Вопрос

  • Добрый день.

    Один из пользователей, при подключении с телефона к почте (использует aqua mail), иногда видит чужие письма (не из своего ящика). Происходит это на короткое время (от 1 до 5 мин.) При следующей синхронизации телефон уже показывает письма из "своего" ящика. Причем, когда пользователь видит письма из чужого ящика он своих писем не видит. Я попросил его переслать письмо в этот момент. Письмо приходит от его имени, но оно действительно адресовалось не ему. 

    Такая ситуация происходит периодически: началось всё в пятницу 2.10. - пару раз было, в воскресенье 4.10 - тоже 2 раза.

    Сегодня, 5.10 с утра тоже уже два раза видел почту двух разных пользователей (буквально на 2-5 мин., но видел).

    Как это может быть?

    Учетка настроена только одна. Прав на просмотр ящиков других пользователей нет. Переадресации нет (так письма в его ящик и не падают - ни в Outlook. ни через OWA он их не видит.)

    Подскажите, где можно посмотреть логи подключений к почтовым ящикам снаружи (через activesync ) Понять, как он видит чужие письма?

    Схема: 2 CAS-сервера, 2 сервера почтовых ящиков (всё exchange 2013 SP1 RU9). Внешний шлюз Forti Gate, перебрасывает запросы по 443 порту на проксю, а она уже на один из CAS.

    5 октября 2015 г. 8:06

Ответы

  • Очень похоже на прокси, по сути информацию о внешнем адресе Exchange'у отдаёт именно прокси-сервер.

    Мне кажется, прокси некорректно обрабатывает принадлежность сессий. Вообще, насколько я помню, CAS Ex2013 поддерживает  Layer 3 load-balancing, так что я бы попробовал все "умные" L7 функции отключить у прокси для начала.


    6 октября 2015 г. 10:28

Все ответы

  • Добрый день.

    А может на почтовом клиенте пользователя ранее настраивали этот второй ящик, который временно появляется? Может такое быть? И клиент сохранил данные в кэше и периодически подглючивает.

    Логи ActiveSync можете посмотреть на CAS:

    C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas

    • Предложено в качестве ответа Crazy Bird 5 октября 2015 г. 8:47
    5 октября 2015 г. 8:37
  • Нет, в том-то и дело, что не настраивал и не проверял. Один из пользователей, чьи письма он видел, вообще никогда не настраивал почту: ни с телефона, ни с планшета. Работает с почтой только с рабочего компьютера через Outlook.

    5 октября 2015 г. 9:04
  • Ну тогда проверяйте логи, только так. Еще попробуйте смерить пароль для пользователя, письма которого были видны. 

    Дополнительно проверьте, может папку "Входящие" или другую расшарили через Outlook?

    5 октября 2015 г. 9:11
  • Он видел письма трёх разных пользователей. (Причем один из них работает вообще не у нас в офисе, а на складе, в другом конце Москвы)

    Также в воскресенье он видел мои письма. А я точно ничего, никому не расшаривал. Пароли сменю, конечно. Но дело не в паролях (у меня он 17-значный, у других 12-значный). Да и коллега, который иногда видит чужие письма работает у нас в отделе ИТ программистом, и сам подошел и спросил с чего это вдруг он видит не свой ящик, а чужой.

    Причем это только через aqua mail-клиент. (Правда встроенный почтовый клиент у него и не работает). Но ни через Outlook, ни через OWA, как я говорил, он их не видит даже временно.

    Причем оказалось, aqua mail-клиент использует не activesync, а EWS. Соответственно в папке логов EAS нет сведений о подключении. Они в папке EWS.

    Сейчас смотрю логи, но там видно, что идут подключения, но к какому именно ящику подключился пользователь? Там такой инфы не нашел. Может можно, где посмотреть?

    5 октября 2015 г. 10:13
  • Мистика. Может прокси отдает данные не с той сессии пользователю? Без понятия, как такое возможно, но другого варианта пока не придумал. Exchange сам так сделать не сможет.

    Логи смотрите по ID сессии и GUID пользователя. Возможно так получится.

    5 октября 2015 г. 10:25
  • Мистика. Может прокси отдает данные не с той сессии пользователю?

    Ну, вообще у нас тоже и такая идея была. Но верится с трудом. Во-первых очень периодически, во-вторых путает и отдаёт одному и тому же пользователю, в-третьих ящики разных пользователей. И такое происходит и когда он подключен через Wi-Fi, и когда через LTE.

    Посмотрел логи на сервере CAS и Mailbox.

    Сравнивал по ID запроса (RequestID) с сервера CAS.

    На Mailbox видно, что да, был такой запрос, с таким ID, с такого-то IP, через такой-то сервер, от такого-то пользователя (FindItem, GetItem, SyncFolderItems). А с какого почтового ящика переданы обратные данные - не видно.

    Есть у кого ещё какие идеи?

    А то, если честно, хочется уже вызывать спецов MS за деньги и просить их чтобы нашли как это можно?

    Только где их взять?

    P.S. Что-то такую дыру оставлять неохота.

    • Изменено Nikos2012 5 октября 2015 г. 14:21
    5 октября 2015 г. 14:20
  • Интересная ситуация, могу посоветовать в IIS на CAS включить трейсы запросов на директории EWS в разделе Правила трассировки невыполненных запросов. Несмотря на название, если выбрать все коды состояния, то в трейс попадут все запросы, а не только невыполненные. Только аккуратно, на большом продакшен-окружении будет много данных.

    Кроме того, в inetpub\Logs\LogFiles\W3SVC* можно посмотреть логи запросов, которые ведутся по умолчанию, но они довольно скудные.

    А вообще я бы в сторону прокси смотрел, действительно для Exchange это мистика, а на прокси кэширование много фокусов может показать...

    5 октября 2015 г. 20:32
  • По логам я смотрел. Они есть достаточно подробные. Единственно, не видно с какого ящика получает ответ пользователь. Т.е. видно, что он авторизуется под своим логином, делает запросы, получает ответы, но не видно как данные с другого ящика попадают.

    P.S. Кстати сегодня с утра, где-то в 7:25, я тоже увидел письма, адресованные не мне. И тоже только в aqua mail-клиент, т.е. через EWS. Сразу же открыл встроенный почтовик - там только мой ящик. Открываю опять aqua mail-клиент - там чужие письма. Удалось открыть 2 письма, при открытии 3-его клиент заново синхронизировался и открыл уже мой ящик. Т.е. я видел чужие письма в течении пары минут и только в aqua mail.

    Ну у нас тоже, кстати, подозрение на прокси падает.

    Скорее всего, или без прокси сделаю почту, или прокси на MS подниму. Только вот вопрос: почему только через aqua mail-клиент, т.е. через EWS?

    6 октября 2015 г. 7:29
  • Как я говорил. сегодня мне удалось повторить трюк с чтением чужих писем.

    Начал смотреть логи подробно. И вот что обнаружил:

    #Fields: DateTime AuthenticatedUser ClientIpAddress SoapAction Cookie
    2015-10-06T04:30:04.959Z user1@company.ru 95.27.207.9 192.168.3.244 GetFolder fc8687271291435baf0054b9c90708a4
    2015-10-06T04:30:05.021Z user1@company.ru 95.27.207.9 192.168.3.244 FindItem fc8687271291435baf0054b9c90708a4
    2015-10-06T04:30:27.832Z user2@company.ru 213.141.150.51 192.168.3.244 GetFolder 72cd9c0d281d47c1ba954679e69515a1
    2015-10-06T04:30:27.957Z user2@company.ru 213.141.150.51 192.168.3.244 FindItem 72cd9c0d281d47c1ba954679e69515a1

    User1 - это я, user2 - пользователь, чью почту я прочитал.

    192.168.3.244 - наш прокси. и ещё, соответственно, внешние IP, с которых мы коннектимся.

    Здесь всё нормально: я читаю свою почту, он свою. Куки тоже у каждого свои.

    А вот логи, когда я начал читать его письма:

    2015-10-06T04:31:40.095Z    
    user2@company.ru 95.27.207.9 192.168.3.244 GetItem fc8687271291435baf0054b9c90708a4
    2015-10-06T04:31:40.330Z user2@company.ru 95.27.207.9 192.168.3.244 GetAttachment fc8687271291435baf0054b9c90708a4
    2015-10-06T04:31:58.625Z user1@company.ru 95.27.207.9 192.168.3.244 UpdateItem fc8687271291435baf0054b9c90708a4
    2015-10-06T04:32:19.874Z user1@company.ru 95.27.207.9 192.168.3.244 UpdateItem fc8687271291435baf0054b9c90708a4





    Т.е. у пользователя user2 внешний IP-адрес стал моим!!!

    И. соответственно, все данные. ответы пересылаются мне! И как раз я их читал.

    Через, буквально, минуту-две всё стало снова нормально.

    Но как? Почему только через EWS (aqua mail-клиент)? И прокси ли здесь виноват?









































































    6 октября 2015 г. 10:03
  • Очень похоже на прокси, по сути информацию о внешнем адресе Exchange'у отдаёт именно прокси-сервер.

    Мне кажется, прокси некорректно обрабатывает принадлежность сессий. Вообще, насколько я помню, CAS Ex2013 поддерживает  Layer 3 load-balancing, так что я бы попробовал все "умные" L7 функции отключить у прокси для начала.


    6 октября 2015 г. 10:28