Jump to content

[Exchange] MFCMAPI


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

ich bin gerade ein wenig geschockt über einen - meiner Meinung nach - datenschutztechnischen Supergau:

 

Über den RSS-Feed von MSXFAQ bin ich gerade auf das Tool MFCMAPI gestolpert: MSXFAQ.DE - MFCMAPI

 

Vorab: Der Windows-Account, unter dem ich mit dem Tool getestet habe, hat Domänen-Admin Rechte.

 

Nun habe ich ein wenig mit dem Tool gearbeitet und mußte plötzlich feststellen, daß ich auf ALLE Mailboxen unserer Exchange Server Zugriff habe. Auf JEDEN Ordner, auf jedes Objekt (Mails, Kalender, Notizen etc.).

 

Das kann doch nicht wahr sein!?!

 

Normalerweise sollte doch die Standard-Rechtevergabe des Exchange Servers genau diesen Effekt verhindern. Wer einmal Backup-Lösungen für Exchange implementiert hat oder mit Exmerge gearbeitet hat wird wissen, daß das auch ganz gut funktioniert.

 

Ich habe gerade noch einmal alle Rechte überprüft - die Verweigerung für Domänen-Admins ist definitiv eingerichtet.

 

Kennt jemand von Euch diesen Effekt? Könnt Ihr das bei Euch nachvollziehen?

 

Gruß olc

Link zu diesem Kommentar

Hallo Günther,

 

vielen Dank für Deine Antwort.

 

Es werden wohl nicht alle User in eurer Domain Domänenadminrechte haben, oder ?

 

Nein, sicherlich nicht. Aber es soll auch nicht jeder Domänen-Admin auch Exchange-Admin Rechte bzw. problemlosen Zugriff auf alle Mailboxen haben... Das Ganze führt also meines Erachtens große Teile des Sicherheitskonzepts hinter dem Postfachschutz mittels ACL vollkommen ad absurdum.

 

Es geht nicht darum, daß man sich als Domänen-Admin diese Rechte nicht selbst geben könnte. Das ist klar. Aber gerade weil die Berechtigungen auf die Postfachspeicher etc. nach außen hin bzw. auf den ersten Blick so restriktiv scheinen, finde ich diesen Zugriff noch viel problematischer.

 

Ich bin bisher davon ausgegangen, daß man die Sicherheitseinstellungen direkt bearbeiten muß, um einen solchen Effekt zu erreichen. Deshalb mein Beispiel oben mit dem Backup. Daß es jedoch dermaßen problemlos möglich ist an die Daten zu kommen, finde ich extrem heftig... Wenn ich in den Sicherheitseinstellungen "Verweigert" lese gehe ich im Normalfall auch davon aus, daß der Zugriff tatsächlich auch verweigert wird. ;)

 

Danke und Gruß

olc

Link zu diesem Kommentar

HI.

 

Ich verstehe deine Aufregung nicht. Befasse dich bitte einmal mit den Berechtigungen eines Exchange Server, und hier heißt es:

 

"Nur Domänen-Administratoren, keine Exchange Administratoren können Verwaltungsrechte zum Verwalten von Benutzer und Kontaktobjekten zuweisen".

Somit ist klar, das jemand der Rechte zuweisen kann, erst einmal dieses Recht überhaupt haben muss.

 

LG Günther

Link zu diesem Kommentar

Jetzt hast Du aber offensichtlich meinen Beitrag gar nicht richtig gelesen: Genau das, was Du schreibst, habe ich im letzten Beitrag ja bestätigt.

 

Darum geht es mir im Kern jedoch nicht: Es ist doch ein Unterschied, ob jemand sich selbst oder anderen ein bestimmtes Recht geben kann oder ob man trotz nicht explizit vergebenen Rechten auf alle Daten zugreifen kann, die eigentlich geschützt werden sollen.

 

Also noch einmal: Es geht mir nicht darum, daß es diese Möglichkeit der Rechtevergabe gibt. Das liegt in der Natur der Sache. Es geht mir darum, wie sich das mit diesem Tool meiner Meinung nach umgehen kann.

In der Standardkonfiguration ist es mir nicht möglich, auf ein Postfach zuzugreifen, wenn ich Domänen-, Org- oder Exchange-Administrator bin. Dieses Recht ist mir explizit verweigert.

Wenn also jemand auf ein Postfach zugreifen will oder Daten exportieren möchte, muß er

 

- entweder die ACL ändern

- oder einem nicht-administrativen Account die Rechte geben.

 

In beiden Fällen kann man das überwachen. Das Öffnen von E-Mails o.ä. mit dem genannten Tool macht das jedoch vollkommen unnötig. Und das bereitet mir Bauchschmerzen.

 

Danke und Gruß

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...