Sn1pes 10 Geschrieben 19. Februar 2009 Melden Teilen Geschrieben 19. Februar 2009 Hallo zusammen, heute habe ich zu meinem Entsetzen eine große Sicherheitslücke unseres Exchange 2007 SP1 in Verbindung mit Outlook 2007 mitbekommen. Ich erklär es mal anhand eines Beispiels: Ich bekomme eine Email von Herrn A aus meiner Organisation, nun öffne ich diese Email, gehe in Outlook 2007 auf "Andere Aktion" - "Diese Nachricht erneut senden...". Nun kommt eine Meldung, dass ich nicht der ursprüngliche Absender bin und die Rückfrage, ob man trotzdem senden will, was man mit ja oder nein bestätigen kann, hier also mit "Ja" bestätigen. Nun habe ich die Email vor mir, als Abender wird Herr A genutzt, den Empfänger kann ich beliebig setzen, den Nachrichteninhalt ebenso beliebig verändern und anschließend die Nachricht rausschicken. Bei dem Empfänger scheint es so, als hätte Herr A die Email geschrieben, es ist absolut nicht nachvollziehbar, dass ich der Absender war. Wie kann soetwas sein oder wie stellt man so ein Loch ab? Versuche ich z.B. eine externe Emailadresse als Absender anzugeben, dann kommt immerhin eine Email direkt von Exchange, dass dies nicht erlaubt ist, aber intern kann ich mich austoben, wie es mir passt. So definitiv nicht tragbar, könnte als Absender auch den Geschäftsführer eintragen und unfug machen. An den Rechten liegt es nicht, normale Domänen -und Exchangebenutzer können das genauso. Evtl. kann das ja mal wer bei sich nachstellen, für Tipps zur Behebung des Sicherheitlochs wäre ich sehr dankbar. mfG Andy Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 19. Februar 2009 Melden Teilen Geschrieben 19. Februar 2009 Hallo. aber intern kann ich mich austoben, wie es mir passt Tja, da hat der Exchange Admin anscheinden an den SendAs Rechten herumgedreht. Das geht nämlich auch intern nicht. Das Sicherheitsloch ist also an anderer Stelle entstanden ;) LG Günther Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 19. Februar 2009 Melden Teilen Geschrieben 19. Februar 2009 Hallo. Tja, da hat der Exchange Admin anscheinden an den SendAs Rechten herumgedreht. Das geht nämlich auch intern nicht. Das Sicherheitsloch ist also an anderer Stelle entstanden ;) LG Günther Korrekt. Habs grad mal hier bei mir nachvollzogen. Die mail geht raus und ich bekomme umgehend einen NDR zurück: Delivery has failed to these recipients or distribution lists: You are not allowed to send this message because you are trying to send on behalf of another sender without permission to do so. Please verify that you are sending on behalf of the correct sender, or ask your system administrator to help you get the required permission. Ist also 100% ein Konfigurationsfehler. Und wenn es ein MS Bug wäre, dann wäre das nicht erst 3 Jahre nach Erscheinen aufgefallen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Sn1pes 10 Geschrieben 19. Februar 2009 Autor Melden Teilen Geschrieben 19. Februar 2009 Korrekt. Habs grad mal hier bei mir nachvollzogen. Die mail geht raus und ich bekomme umgehend einen NDR zurück: Delivery has failed to these recipients or distribution lists: You are not allowed to send this message because you are trying to send on behalf of another sender without permission to do so. Please verify that you are sending on behalf of the correct sender, or ask your system administrator to help you get the required permission. Ist also 100% ein Konfigurationsfehler. Und wenn es ein MS Bug wäre, dann wäre das nicht erst 3 Jahre nach Erscheinen aufgefallen. ;) Bye Norbert Hmm, schön und gut, aber an welcher Stelle soll hier den etwas gedreht worden sein? Ich habe eben einen Blick auf die Eigenschaften von "Senden als" eines Benutzers geworfen, mit welchem ich erfoglreich Emails mit einem anderen Absender verschickt habe, und es ist nichts hinterlegt, außer wie wohl üblich NT-Autorität\selbst. Wo gibt es denn sonst noch so eine Option? Irgendwo global etwas flasch konfiguriert? Danke für die Hilfe Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 19. Februar 2009 Melden Teilen Geschrieben 19. Februar 2009 Eigenschaften von "Senden als" eines Benutzers geworfen, mit welchem ich erfoglreich Emails mit einem anderen Absender verschickt habe, und es ist nichts hinterlegt, außer wie wohl üblich NT-Autorität\selbst. Du mußt ja auch auf die Eigenschaften des Benutzers schauen, als der du gesendet hast. Nicht als der mit dem du gesendet hast. :p Wo gibt es denn sonst noch so eine Option? Irgendwo global etwas flasch konfiguriert? Siehe oben. Mal ne andere Frage. Geht das nur mit dem einen Nutzer, oder kann Liesschen Müller das auch? Bye Norbert Zitieren Link zu diesem Kommentar
Sn1pes 10 Geschrieben 19. Februar 2009 Autor Melden Teilen Geschrieben 19. Februar 2009 Du mußt ja auch auf die Eigenschaften des Benutzers schauen, als der du gesendet hast. Nicht als der mit dem du gesendet hast. :p Siehe oben. Mal ne andere Frage. Geht das nur mit dem einen Nutzer, oder kann Liesschen Müller das auch? Bye Norbert Natürlich habe ich auch bei den Eigenschaften des Benutzers nachgesehen, mit dessen Namen/Account ich gesendet habe. Es steht bei allen nur NT-Autorität\selbst, zumindest bei den 10-20 bei denen ich nachgesehen und teilweise gegengetestet habe. Und ja, wie oben bereits geschrieben, jeder Benutzer kann es tun. Es ist egal, ob der Benutzer auch Domain/Exchangeadmin ist oder nur normaler Domänenbenutzer, es spielt keine Rolle. Ich danke zwar für die Hilfe, aber Tipps wie siehe oben (der Admin wars) helfen mir dann letztlich auch nicht weiter. :cool: Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 19. Februar 2009 Melden Teilen Geschrieben 19. Februar 2009 Ich danke zwar für die Hilfe, aber Tipps wie siehe oben (der Admin wars) helfen mir dann letztlich auch nicht weiter. :cool: Off-Topic:Tja, du kannst auch einen MS Call eröffnen wenn du dich hier schon bei solchen Bemerkungen auf den Schlips getreten fühlst. :cool: Das System steht ja sicher nicht erst seit eben. Ist nachvollziehbar, wer welche Änderungen vorgenommen hat? Bzw. kannst du sagen, seit wann dieser Fehler existiert? Bye Norbert PS: Schau mal hier: http://exchangeshare.wordpress.com/2008/09/01/how-to-find-all-mailboxes-with-send-as-permission-assigned/ Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 19. Februar 2009 Melden Teilen Geschrieben 19. Februar 2009 Hallo. aber Tipps wie siehe oben (der Admin wars) helfen mir dann letztlich auch nicht weiter. Wenn jemand rumschreit, dass er was weiß ich für einen Fehler gefunden hat, ohne vorher seine Arbeit selbst zu überprüfen, dann muss er mit einer derartigen Antwort rechnen. Ich würde an deiner Stelle das Verhalten auch bei einer Standardnachricht überprüfen, ich bin mir fast sicher, dass auch da jeder User das SendAs Recht besitzt. LG Günther Zitieren Link zu diesem Kommentar
Sn1pes 10 Geschrieben 20. Februar 2009 Autor Melden Teilen Geschrieben 20. Februar 2009 Ich wollte mich ja nicht beschweren, sorry, falls das durch den Satz falsch rüberkam. Im Gegenteil, ich sagte ja danke für die bisherige Hilfe :wink2: Hmm, was meinst du denn mit Standardnachrichten? Hab mir die Tipps bei dem o.g. Link mal angesehen, bei jedem Benutzer ist bei SendAs wie erwähnt immer nur NT-Autorität\selbst gesetzt, sonst nichts. Wie sieht es denn da bei euch aus, etwa anders? Mir fällt momentan nichts weiter ein, sonst würde ich ja nicht um Unterstützung bitten :p PS: Es wurde in letzter Zeit kaum etwas geändet, evtl. mal ein neuer Verteiler, sonst aber nichts. Daher gehe ich mal davon aus, dass der Fehler von Beginn an Bestand. Das System wurde über Weihnachten in Betrieb genommen, es fand eine Migration von Cyrus IMAP mit Hilfe der MS Transportersuite statt. Wenn ich in der Exchange Powershell z.B. den Befehl hier eingebe, Get-Mailbox -Server “Ex07″ | Get-ADPermission | where { ($_.ExtendedRights -like “*Send-As*”) -and ($_.IsInherited -eq $false) -and -not ($_.User -like “NT AUTORITÄT\SELBST”) } | ft -wrap dann wird auch nichts ausgegeben -.- Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 20. Februar 2009 Melden Teilen Geschrieben 20. Februar 2009 Hallo. Hmm, was meinst du denn mit Standardnachrichten? Neue Nachricht -> und dann im VON: Feld einen beliebigen User eintragen. LG Günther Zitieren Link zu diesem Kommentar
Sn1pes 10 Geschrieben 20. Februar 2009 Autor Melden Teilen Geschrieben 20. Februar 2009 Hallo. Neue Nachricht -> und dann im VON: Feld einen beliebigen User eintragen. LG Günther Ja, das geht leider :mad: Zitieren Link zu diesem Kommentar
NorbertFe 2.032 Geschrieben 20. Februar 2009 Melden Teilen Geschrieben 20. Februar 2009 Ja, das geht leider :mad: Welche Rechte hast du denn auf den Nutzern? KAnnst du dir hier mal komplett listen? In welchen Gruppen sind deine User alle Mitglied? Bye Norbert Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 20. Februar 2009 Melden Teilen Geschrieben 20. Februar 2009 Ich denke ja fast, dass die Rechte auf den gesamten Postfachspeicher selbst verbogen wurden. Gibt es event. ein 3rd Party Produkt zum Exchange, das derartigen Aktionen durchführen könnte? Eventuell könnte man einen Test durchführen, indem man einen neuen Postfachspeicher anlegt, ein Postfach verschiebt, und dann die Berechtigungen auf dem neuen Speicher einmal überprüft. LG Günther Zitieren Link zu diesem Kommentar
Sn1pes 10 Geschrieben 20. Februar 2009 Autor Melden Teilen Geschrieben 20. Februar 2009 Also die Benutzer, mit welchen es u.a. möglich war, einer anderen Absender zu nutzen, sind lediglich in den Gruppen domain.local\users\Domänen-Benutzer (Die Gruppe selbst ist Mitglied von domain.local\Builtin\Benutzer, welche selbst in keiner weiteren Gruppe mehr ist) domain.local\Builtin\Remotedektopbenutzer Drittherstellersoftware ist keine installiert. Wenn ich im AD, nachdem ich unter Ansicht die erweiterten Funktionen anzeigen lasse, die erweiterten Sicherheitsrechte ein Benutzers ansehe, dann gibt es zwar dort auch den Punkt Senden als, aber dies gilt, wie auch schon am Exchange selbst zu sehen, nur für "Selbst". Ich bin alle Einträge bei ein paar Nutzern durchgegangen, immer gleich. :nene: Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.