Jump to content
Sign in to follow this  
olc

[Exchange] MFCMAPI

Recommended Posts

Hallo Leute,

 

ich bin gerade ein wenig geschockt über einen - meiner Meinung nach - datenschutztechnischen Supergau:

 

Über den RSS-Feed von MSXFAQ bin ich gerade auf das Tool MFCMAPI gestolpert: MSXFAQ.DE - MFCMAPI

 

Vorab: Der Windows-Account, unter dem ich mit dem Tool getestet habe, hat Domänen-Admin Rechte.

 

Nun habe ich ein wenig mit dem Tool gearbeitet und mußte plötzlich feststellen, daß ich auf ALLE Mailboxen unserer Exchange Server Zugriff habe. Auf JEDEN Ordner, auf jedes Objekt (Mails, Kalender, Notizen etc.).

 

Das kann doch nicht wahr sein!?!

 

Normalerweise sollte doch die Standard-Rechtevergabe des Exchange Servers genau diesen Effekt verhindern. Wer einmal Backup-Lösungen für Exchange implementiert hat oder mit Exmerge gearbeitet hat wird wissen, daß das auch ganz gut funktioniert.

 

Ich habe gerade noch einmal alle Rechte überprüft - die Verweigerung für Domänen-Admins ist definitiv eingerichtet.

 

Kennt jemand von Euch diesen Effekt? Könnt Ihr das bei Euch nachvollziehen?

 

Gruß olc

Share this post


Link to post
Share on other sites

HI.

 

Ja und, der Domänen Admin hatt Vollzugriff auf alle Postfächer. Schau dir das einmal in den Sicherheitseinstellungen des Postfaches an und nicht in den Postfachberechtigungen. Und vor allem hat er das wichtige "SendAs" Recht.

 

Es werden wohl nicht alle User in eurer Domain Domänenadminrechte haben, oder ?

 

LG Günther

Share this post


Link to post
Share on other sites

Hallo Günther,

 

vielen Dank für Deine Antwort.

 

Es werden wohl nicht alle User in eurer Domain Domänenadminrechte haben, oder ?

 

Nein, sicherlich nicht. Aber es soll auch nicht jeder Domänen-Admin auch Exchange-Admin Rechte bzw. problemlosen Zugriff auf alle Mailboxen haben... Das Ganze führt also meines Erachtens große Teile des Sicherheitskonzepts hinter dem Postfachschutz mittels ACL vollkommen ad absurdum.

 

Es geht nicht darum, daß man sich als Domänen-Admin diese Rechte nicht selbst geben könnte. Das ist klar. Aber gerade weil die Berechtigungen auf die Postfachspeicher etc. nach außen hin bzw. auf den ersten Blick so restriktiv scheinen, finde ich diesen Zugriff noch viel problematischer.

 

Ich bin bisher davon ausgegangen, daß man die Sicherheitseinstellungen direkt bearbeiten muß, um einen solchen Effekt zu erreichen. Deshalb mein Beispiel oben mit dem Backup. Daß es jedoch dermaßen problemlos möglich ist an die Daten zu kommen, finde ich extrem heftig... Wenn ich in den Sicherheitseinstellungen "Verweigert" lese gehe ich im Normalfall auch davon aus, daß der Zugriff tatsächlich auch verweigert wird. ;)

 

Danke und Gruß

olc

Share this post


Link to post
Share on other sites

HI.

 

Ich verstehe deine Aufregung nicht. Befasse dich bitte einmal mit den Berechtigungen eines Exchange Server, und hier heißt es:

 

"Nur Domänen-Administratoren, keine Exchange Administratoren können Verwaltungsrechte zum Verwalten von Benutzer und Kontaktobjekten zuweisen".

Somit ist klar, das jemand der Rechte zuweisen kann, erst einmal dieses Recht überhaupt haben muss.

 

LG Günther

Share this post


Link to post
Share on other sites

Jetzt hast Du aber offensichtlich meinen Beitrag gar nicht richtig gelesen: Genau das, was Du schreibst, habe ich im letzten Beitrag ja bestätigt.

 

Darum geht es mir im Kern jedoch nicht: Es ist doch ein Unterschied, ob jemand sich selbst oder anderen ein bestimmtes Recht geben kann oder ob man trotz nicht explizit vergebenen Rechten auf alle Daten zugreifen kann, die eigentlich geschützt werden sollen.

 

Also noch einmal: Es geht mir nicht darum, daß es diese Möglichkeit der Rechtevergabe gibt. Das liegt in der Natur der Sache. Es geht mir darum, wie sich das mit diesem Tool meiner Meinung nach umgehen kann.

In der Standardkonfiguration ist es mir nicht möglich, auf ein Postfach zuzugreifen, wenn ich Domänen-, Org- oder Exchange-Administrator bin. Dieses Recht ist mir explizit verweigert.

Wenn also jemand auf ein Postfach zugreifen will oder Daten exportieren möchte, muß er

 

- entweder die ACL ändern

- oder einem nicht-administrativen Account die Rechte geben.

 

In beiden Fällen kann man das überwachen. Das Öffnen von E-Mails o.ä. mit dem genannten Tool macht das jedoch vollkommen unnötig. Und das bereitet mir Bauchschmerzen.

 

Danke und Gruß

olc

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...