Jump to content

john23

Member
  • Content Count

    189
  • Joined

  • Last visited

Community Reputation

5 Neutral

About john23

  • Rank
    Member

Recent Profile Visitors

776 profile views
  1. Hallo Zusammen, "ein programm versucht auf ihre e-mail-adressinformationen in outlook zuzugreifen" sagt mir mein Outlook ständig und es nervt. Bissel Googeln ergibt, dass das Office Trust Center unter "Programmgesteuerter Zugriff nicht erkennt, dass ich eine Antivirus Software habe. Ich habe auf diesem PC "nur" den Windows Defender als AntiVir Software und ich frage mich wieso Windows bzw Outlook das nicht als Antivirus Software in Outlook erkennt. Promt Malewarebytes installiert zum testen und endlich ruhe. Kann man das irgendwie mit dem Windows Defender zum laufen bringen? Soweit ich das mitbekommen hat hat der doch auch recht ordentliche Erkennungsraten oder? John
  2. Mit einem guten Datensicherungs und Restore Konzept kann ich mir nicht vorstellen, dass eine Umgebung einen ganzen Monat still steht und quasi nichts läuft. Ein Restore, selbst von großen Systemen sollte innerhalb von 1-2 Wochen locker machbar sein. Mit ist klar, dass das erst mal nur die Server betrifft. Ich habe auch schon mehrere Umgebungen Quasi Komplett neu gemacht, heißt auch PCs ALLE neu installiert. Das sowas in Umgbungen mit mehreren 100 PCs dauert ist klar. Leider sind infektionswege nicht immer klar und deutlich und man geht auf Nummer sicher. Aber ein Konzept - Notfallkonzept ist halt das A und O - was sind meine Kritischen Systeme und wie sichere ich diese gut ab? Wie kann ich diese möglichst schnell wieder in Betrieb nehmen? Menschliches Versagen wird es aber auch immer geben, ob nun ein LKW Fahrer schläft und in ein Stau ende ein Rasselt oder Software Fehler oder einen Port zu viel an der Firewall. Anhand der Berichte in den letzten Jahren sieht man aber, dass wir mitten drin in dem Thema sind. Wenn selbst Behörden, Langericht, Kammergerichte von solchen Problemen betroffen sind und dort Infrastukturen auch lange Offline sind.
  3. NoSpam Proxy läuft ganz gut bei kleineren Kunden - was ich da aber vermiss ist eine Art Quarantäne wo Mails mit geringen Spam wahrscheinlichkeit laden. NoSpam Proxy arbeitet halt mit dem Konzept Mail annehmen oder Ablehnen, was dazwischen gibt es nicht wirklich. Der eine oder andere Kunde ist mit der Lösung nicht zufrieden bzw. für diesen nicht ausreichend.
  4. Ich will mal kurz auch von meiner Ramsom-Ware Erfahrung berichten. Ich habe bestimmt schon zwischen 10 und 20 Fällte behandelt - die Meisten Fällte davon vor einigen Jahren wo die erste Welle begann "simple klick Mails" wo die Verschlüsselung direkt auf Netzlaufwerke los gingen. Wenn man es schnell genug bemerkt, dann reicht es sogar eine Volumenschattenkopie auf dem Fileserver zu haben um das meiste zu retten. Generell ist ein externes Backup bei den heuten Angriffen aber unverzichtbar und wenn es nur USB Festplatten sind die nicht an den IT Systemen angeschloßen sind. Die Ransom Welle momentan hat aber eine ganz andere Qualität und es ist meist nicht mehr ein simples Netzlaufwerke Verschlüsseln. Mit Emotet ist ein ganzes Paket an Schadsoftware dabei. welches Netzwerk nach Lücken durchsucht, Zugangsdaten versucht zu stehen etc. pp. Die Bösen Buben gehen momentan weitaus gezielter vor. Teilweise wird sich im Netzwerk umgeschaut und zuerst sichergestellt, dass das Backup zerstört / unbrauchbar gemacht wird bevor andere Daten verschlüsselt werden. Um den Jahreswechsel hatte wir zwei Fälle bei Kunden die nur ein NAS Backup hatten und in beiden Fällen war der Schaden enorm. In einem Fall konnte noch einiges rekonstruiert werden und im anderen Fall wurden mehr als 30T€ Lösegeld bezahlt. Wenn die Verschlüsselung von einem PC ausgeht, dann lässt sich relativ einfach herausfinden wer der Schuldige ist wenn man sich den Besitzer der Datei anschaut. Verschlüsselte Daten haben meist den Besitzer des Verursachers. Problematisch ist das manchmal nur mit Gruppen wenn dieser Benutzer z.B. in der Domain-Admin Gruppe ist, dann ist der Besitzer der Datei "Domain-Admin". Daher ist das auch die Gruppe die ich immer zuerst bei Befall prüfe und alles raus schmeiße was da nicht rein gehört. Keine Schlechte idee ist es auch häufig den File Server und andere wichtige Systeme erst mal runterzufahren, bis man näher eingrenzen woher die Verschlüsselung kommt. Um einzuschätzen, ob noch verschlüsselt wird, verwende ich z.B. das Tool Disk Pulse und Filtere nach den Dateinamen / Dateiendungen der Verschlüsselung. Sicherheitshinweise aus meiner Erfahrung ( nichts neues dabei nur Grundlegendes): - BACKUP! ( Extern gelagert, von IT System getrennt, Mindestens 4 Wochen aufbewahren, besser sogar länger) - Firewall Konfig Regelmäßig prüfen! Kein RDP / Firewall Management etc nach extern (wenn dann nur mit Kennwort Richtline und Max Login Trys) - Sicherheitsgruppen / Admin Gruppen Regelmäßig prüfen ( Ich habe so viele Netzwerke gesehen wo ALLE oder zu viele Benutzer in der Domain-Admin Gruppe sind) - Getrennte Admin Konten von den normalen "Arbeitskonten" - Systeme Aktuell halten ( Firmware Firewall, Windows Updates etc) - Anständiger Spam Filter ( Meiste Angrifft kommen noch so) - Mitarbeiter Sensibilisierung ( Hoffnung Stirbt zuletzt) - keine lokalen Admin Rechte - Beliebig weitere Punkte und etwas Menschenverstand :P Zwei Dinge sind mir noch eingefallen: - Habe von einem Fall gehört wo Knoll Ontrack die Daten nach einer Analyse wiederherstellen / entschlüsseln konnten. - Man kann druchaus mit den Erpressern verhandeln. Eine Sicherheit, dass es nach hinten losgeht gibt es nicht aber habe von Rabatten zwischen 20%-50% mitbekommen.
  5. https://support.microsoft.com/en-us/help/2888788/mail-flow-to-exchange-online-stops-and-event-id-2004-is-logged-on-the Glaube das Problem ist, dass da zwei Zertifikat auf dem SMPT Dienst sind. Da inst noch ein Federation Zertifikat auf dem SMTP Dienst aktiviert. Via Powershell kann ich den Dienst nicht anpassen - bin auch nicht sicher, ob das Federation Zertifikat (für Offie365 Hybrid) zwingend den SMTP Dienst aktiv haben muss. Bin da auch noch auf der Suche nach Infos. Es wird auf jeden Fall ein richtiges Zertifikat mit gesendet aber hilft alles nix.. Muss auf das neue Zertifikat warten. Outbound TLS authentication failed for auth level DomainValidation with error UntrustedRoot Dropping connection because cert chain validation failed and ShouldTreatValidationResultAsSuccess returned false. https://docs.microsoft.com/en-us/security/trusted-root/participants-list Habe mir das Root Zertifikat nochmal angeschaut und den Thumbprint mit der Excel Liste von MS verglichen - taucht nicht unter den Trusted roots in der Liste auf.
  6. Das ist ein recht neues Zertifikat und ich weiß, dass es einige gab die Gesperrt erneuert wurden. Wir haben die bei mehreren Kunden erneuert. Hatte das Problem mitlerweile auch bei einer zweiten Office365 Hybrid Bereitstellung, bin nicht sicher ob mit den genau selben Meldungen, doch mit TLS habe ich keine Verbindung zwischen den Servern hinbekommen. Ich Prüfe das gleich nochmal.
  7. Hmm, keiner eine Idee? Weitere details nötig?
  8. Dein Link zeigt auf eine FAQ Seite. Ja, da ist auch eine Anleitung wie Office365 einzurichten ist. Ich weiß generell wie Office365 einzurichten ist, das hilft mir nicht deine Konfiguration zu verstehen und genau zu sehen was von der Anleitung alles eingestellt ist. Gut wenn kein MX auf Office365 zeigt dann sehe ich folgendes. Das heißt alle mails kommen zuerst bei deinen anderen Hostern an und werden dann nach Office365 an @onmicrosoft adressen weitergeleitet, verstanden. Also überlegen wir mal was passiert: 1. Wenn du von einem IMAP Benutzer versendest geht es: Weg wäre von hosterY zu hosterX --> Dort gibt es eine Weiterleitung zu Office365 zu einer @domain2.onmicrosoft.de adresse . 2. user2@domain1.de sendet an user4@domain2.de Die Meldung sagt mir, dass du den Benutzer an user2@domain1.de an Office365 angebunden hast. Das heißt wenn er eine Mail versendet an user4@domain2.de dann geht die Mail von Office365 an den MX Eintrag ( vorausgesetzt du hast nichts an den Connectoren online eingestellt). Da wo der MX von domain2.de ist muss dann entsprechend ein Benutzer oder eine Weiterleitung existieren mit user4@domain2.de Wenn du sagst, dass domain2.de nicht bei Kundenserver ist, dann stimmt was mit der DNS Auflösung nicht oder der DNS Eintrag generell? Du kannst mir auch gerne Infos via PN zukommen lassen z.B. gesamter NDR / genaue Konfiguration mit Screenshots etc.
  9. Ja und jetzt die Frage wo zeigen die MX adresen hin? Was du beschreibst MX Domain1.de --> Office365 richtig? MX Domain2.de --> Office365? hier gibt es eine art weiterleitung zu dem anderen Hoster? und das ganze betrifft nur ein Konto? Verstehe das Konstrukt immer noch irgendwie nicht so richtig. Wenn ich mir das nochmal durchlese dann könnte ich annehmen, dass User4 ein IMAP User bei 1und1 ist. User 1 hingegen ist Office365 Benutzer. Dann stelle ich mir folgende Fragen: 1. Ist die Domain2 bei Office365 registriert? 2. Liegt der MX von Domain2 bei Office365? Wie sehen die MX Einträge aus (darauf habe ich ja noch keine Antwort) 3. Gibt es eine Mailbox / Kontakt / Verteilerliste die user4@domain2.de als adresse hat?
  10. Kannst du vielleicht den genauen NDR Posten? Und ja finde das etwas verwirrend. Wie sehen die DNS Einträge für Domain1 und Domain2 aus? SPF, MX? Mit User3@domain1.de klappt das? Also mit user3@domain1.de kannst du an user4@domain2.de was senden? Wenn nur weitergeleitet wird wieso nicht dem MX direkt da hin wo er hin gehört statt einer Weiterleitung? Gruß John
  11. Verstehe ich das richtig, dass ein NAS als "Storage" ersatz hier verwendet wird? Habe sowas noch nie gehört / gesehen. Funktioniert sowas gut?
  12. Ich weiß nicht genau wo du gerade genau bist, also an welcher Stelle. Wenn du jedoch Hybrid machst und der Endpunkt erstellt ist, dann kannst du die Postfächer in der Online Konsole von Office365 über Empfänger und dann Migration alle sehen und auch migrieren (wenn du einen neuen Migrationstask machst kannst du halt alles auswählen was du so vor hast). Ich weiß gerade nicht was du da mit einer CSV versuchst. Genaue Fehlermeldung? In welcher Konsole? Screenshot?
  13. Ich habe das 5x gelesen und nicht gesehen. Ist zu spät, ab ins Bett... Danke.
  14. Du kannst, wenn du den erweiterten Support für Windows 7 kaufst, auch ein ein aktuelles Office auf Windows 7 verwenden. https://digital-brainzoom.de/windows-7-support-2023/ Active Sync? Willst du dir die Office Lizenzen sparen oder mit Mobilen Geräten auf Exchange Online zugreifen? Gruß John2302
×
×
  • Create New...