ChaS

moin, seit dem Update auf CU14 meldet der Defender einen Virus bei der w3wp.exe Microsoft Defender Antivirus has detected malware or other potentially unwanted software. For more information please see the following: https://go.microsoft.com/fwlink/?linkid=37020&name=Exploit:Script/ExchgProxyRequest.A!gen&threatid=2147834423&enterprise=0 Name: Exploit:Script/ExchgProxyRequest.A!gen ID: 2147834423 Severity: Severe Category: Exploit Path: amsi:_\Device\HarddiskVolume4\Windows\System32\inetsrv\w3wp.exe Detection Origin: Unknown Detection Type: Concrete Detection Source: AMSI User: NT AUTHORITY\SYSTEM Process Name: C:\Windows\System32\inetsrv\w3wp.exe Security intelligence Version: AV: 1.405.278.0, AS: 1.405.278.0, NIS: 1.405.278.0 Engine Version: AM: 1.1.24010.10, NIS: 1.1.24010.10

moin, ist es möglich herauszufinden wer bei einem Ressource Postfach im Zeitraum von 22.11 - heute die booking delegates verändert hat? wenn ja, bitte wie

Hallo Leute wie kann man eine automatische Antwort bei einen Regel erstellen? New-InboxRule -Name "test" -Mailbox demo2 -ExceptIfFromAddressContainsWords "@unsere.firma" -MyNameInToOrCcBox -StopProcessingRules $True

gibt es bei New-InboxRule tatsächlich keine Antwortmöglichkeit. Mir ist nicht aufgefallen das wäre ein guter Weg für unsere Anforderung New-InboxRule -Name "test" -Mailbox demo2 -ExceptIfFromAddressContainsWords "@unsere.firma" -MyNameInToOrCcBox -StopProcessingRules $True

moin, lässt sich diese Anforderung mittels Exchange Boardmitteln umsetzen? "...sollen daher alle Einbringer von E-Mails, die von unserem System NICHT als Werbe-, Spam- oder Junk-Mails eingestuft werden, automatische Eingangsbestätigungen erhalten" Ich habe leider kein "notify the sender" bei der Transportrules gefunden wo man einen vernüftigen Text hinterlegen kann.

moin, wir stellen gerade auf eine andere Backupsoftware um und uns ist aufgefallen, dass seit ein paar Tage noch LOGs ab dem 7.12.23 vorhanden sind obwohl ein FULL Backup durchgeführt wurde. Dismout - eseutil zeigt 0-0 Log required. kann ich davon ausgehen dass alles Logs eingerollt wurden und man diese löschen kann.

danken nochmals allen für die Tipps und Unterstützung. wir konnte heute das Problem klären. Es war hausgemacht. Aufgrund einer Migration war leider noch eine alter DNS Eintrag (Round Robin) auf einen Exchange den es nicht mehr gibt drinnen. Daher die zufälligen unterschiedlichen Client. DANKE allen für eure Geduld und trotzdem wichtigen Antworten. Manchmal sieht man einfach den Wald vor lauter Bäume nicht.

Hallo Nobert, gehört bei MAPI das Kernel mode authentication aktiviert? Das ist bei uns deaktivert. Bei Autodiscover ist Extended Protection auf OFF

Problem besteht leider immer noch. Gerade heute gab es viele Client mit Outlook versucht Daten vom exchange server abzurufen Problem besteht erst seit Nov. Patch irgendeine Idee?

Cache Mode ist an lokaler AV ist Defender (läuft super) die ganzen AddIn gibt es schon seit Jahren bisher ohne Probleme Abends entfernen wir die "virtual based Security" dann werde ich die nächsten Tage wieder berichten. Mir war nur wichtig das es eher nicht vom November Patch kommt.

moin, seit ein paar Tagen gibt es bei uns leider Performance Probleme bei den Outlooks. "Outlook regiert nicht...." es wurde auch der November Patch am WE eingespielt. Gibt es bei euch Performance Probleme? zusätzlich wurde noch in der VM-Ware VM-Optionen "Auf Virtualisierung basierende Sicherheit" aktiviert, damit der Defender besser suchen kann. Client: Outlook 2019 Server: Exchange 2019 CU13 alle Patches

damit konnte ich das Problem beheben Exchange 2013: Receive connector authentication error – Exchange, Office 365 and Azure (wordpress.com) "Exchange users" aktivieren. Eventlog Warning sind jetzt weg

frontend connector 2023-10-19T09:59:50.836Z,mx1\ConInternal,08DBCD8692F466F9,0,10.2.2.2:25,10.1.3.51:50823,+,, 2023-10-19T09:59:50.836Z,mx1\ConInternal,08DBCD8692F466F9,1,10.2.2.2:25,10.1.3.51:50823,*,SMTPSubmit SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPAcceptEXCH50 AcceptRoutingHeaders,Set Session Permissions 2023-10-19T09:59:50.837Z,mx1\ConInternal,08DBCD8692F466F9,2,10.2.2.2:25,10.1.3.51:50823,>,"220 mail.firma.de Microsoft ESMTP MAIL Service ready at Thu, 19 Oct 2023 11:59:50 +0200", 2023-10-19T09:59:50.837Z,mx1\ConInternal,08DBCD8692F466F9,3,10.2.2.2:25,10.1.3.51:50823,<,EHLO BOX1, 2023-10-19T09:59:50.837Z,mx1\ConInternal,08DBCD8692F466F9,4,10.2.2.2:25,10.1.3.51:50823,>,250 mail.Firma.de Hello [10.1.3.51] SIZE 94371840 PIPELINING DSN ENHANCEDSTATUSCODES 8BITMIME BINARYMIME CHUNKING SMTPUTF8, 2023-10-19T09:59:50.838Z,mx1\ConInternal,08DBCD8692F466F9,5,10.2.2.2:25,10.1.3.51:50823,<,MAIL FROM:<extern@hotmail.com> SIZE=12932, 2023-10-19T09:59:50.838Z,mx1\ConInternal,08DBCD8692F466F9,6,10.2.2.2:25,10.1.3.51:50823,*,08DBCD869266F9;2023-10-19T09:59:50.836Z;1,receiving message 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,7,10.2.2.2:25,10.1.3.51:50823,<,RCPT TO:<office@Firma.de> ORCPT=rfc822;office@Firma.de, 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,8,10.2.2.2:25,10.1.3.51:50823,<,DATA, 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,9,10.2.2.2:25,10.1.3.51:50823,>,250 2.1.0 Sender OK, 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,10,10.2.2.2:25,10.1.3.51:50823,>,250 2.1.5 Recipient OK, 2023-10-19T09:59:50.839Z,mx1\ConInternal,08DBCD8692F466F9,11,10.2.2.2:25,10.1.3.51:50823,>,354 Start mail input; end with <CRLF>.<CRLF>, 2023-10-19T09:59:50.845Z,mx1\ConInternal,08DBCD8692F466F9,12,10.2.2.2:25,10.1.3.51:50823,*,,Proxy destination(s) obtained from OnProxyInboundMessage event. Correlation Id:1e4ed298-1e3b-40b9-adb6-a636c7dd3cb8

hallo Norbert, hallo Community jetzt bin ich einen kleine Schritt weiter. Es gibt leider tatsächliche Dienste auf dem Fileserver wie zb. Quota die Mails verschicken können oder ein paar powershell die mails schicken. jetzt zur ersten Frage: wie kann man das künftig leichter herausfinden? Die IP Adresse des servers (sender) ist bekannt kommt aber nicht im SMTP LOG vor. 2. Frage: ich habe eine leicht zu findende Dummy Absender email verwendet diese finde ich nun im Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Hub\ProtocolLog\SmtpReceive also default server connector 2525 mit default settings warum? liegt das an integrated windows authentication übrigens kommen die Mails trotz eventlog warning an.

moin, wir haben einen internen Receive Connector Port 25 der für interne Server zuständig ist. Jetzt ist mir aufgefallen, dass auch Mails von extern über diesen Connector gehen. der vorgeschaltene mail Proxy (kein MS) ist (leider) auch in der Scope Liste aber Anyonoumus ist nicht aktiviert somit dürfte es eigentlich nicht sein, dass hier externe mails drüber gehen - oder?