Jump to content

Exchange & Outlook 2007: Erneut senden als anderer Absender möglich!

Sn1pes

Von Sn1pes
in MS Exchange Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Sn1pes Explorer

Sn1pes   10

Geschrieben
Geschrieben

Hallo zusammen,

 

heute habe ich zu meinem Entsetzen eine große Sicherheitslücke unseres Exchange 2007 SP1 in Verbindung mit Outlook 2007 mitbekommen.

 

Ich erklär es mal anhand eines Beispiels:

 

Ich bekomme eine Email von Herrn A aus meiner Organisation, nun öffne ich diese Email, gehe in Outlook 2007 auf "Andere Aktion" - "Diese Nachricht erneut senden...". Nun kommt eine Meldung, dass ich nicht der ursprüngliche Absender bin und die Rückfrage, ob man trotzdem senden will, was man mit ja oder nein bestätigen kann, hier also mit "Ja" bestätigen.

 

Nun habe ich die Email vor mir, als Abender wird Herr A genutzt, den Empfänger kann ich beliebig setzen, den Nachrichteninhalt ebenso beliebig verändern und anschließend die Nachricht rausschicken.

 

Bei dem Empfänger scheint es so, als hätte Herr A die Email geschrieben, es ist absolut nicht nachvollziehbar, dass ich der Absender war.

 

Wie kann soetwas sein oder wie stellt man so ein Loch ab?

 

Versuche ich z.B. eine externe Emailadresse als Absender anzugeben, dann kommt immerhin eine Email direkt von Exchange, dass dies nicht erlaubt ist, aber intern kann ich mich austoben, wie es mir passt. So definitiv nicht tragbar, könnte als Absender auch den Geschäftsführer eintragen und unfug machen. An den Rechten liegt es nicht, normale Domänen -und Exchangebenutzer können das genauso.

 

Evtl. kann das ja mal wer bei sich nachstellen, für Tipps zur Behebung des Sicherheitlochs wäre ich sehr dankbar.

 

 

mfG Andy

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.826

Geschrieben
Geschrieben
Hallo.

 

 

 

Tja, da hat der Exchange Admin anscheinden an den SendAs Rechten herumgedreht. Das geht nämlich auch intern nicht.

 

Das Sicherheitsloch ist also an anderer Stelle entstanden ;)

 

LG Günther

 

Korrekt. Habs grad mal hier bei mir nachvollzogen. Die mail geht raus und ich bekomme umgehend einen NDR zurück:

 

Delivery has failed to these recipients or distribution lists:

You are not allowed to send this message because you are trying
to send on behalf of another sender without permission to do so.
Please verify that you are sending on behalf of the correct sender, or ask
your system administrator to help you get the required permission.

 

Ist also 100% ein Konfigurationsfehler. Und wenn es ein MS Bug wäre, dann wäre das nicht erst 3 Jahre nach Erscheinen aufgefallen. ;)

 

Bye

Norbert

Link zu diesem Kommentar
Sn1pes Explorer

Sn1pes   10

Geschrieben
  • Autor
Geschrieben
Korrekt. Habs grad mal hier bei mir nachvollzogen. Die mail geht raus und ich bekomme umgehend einen NDR zurück:

 

Delivery has failed to these recipients or distribution lists:

You are not allowed to send this message because you are trying
to send on behalf of another sender without permission to do so.
Please verify that you are sending on behalf of the correct sender, or ask
your system administrator to help you get the required permission.

 

Ist also 100% ein Konfigurationsfehler. Und wenn es ein MS Bug wäre, dann wäre das nicht erst 3 Jahre nach Erscheinen aufgefallen. ;)

 

Bye

Norbert

 

 

Hmm, schön und gut, aber an welcher Stelle soll hier den etwas gedreht worden sein? Ich habe eben einen Blick auf die Eigenschaften von "Senden als" eines Benutzers geworfen, mit welchem ich erfoglreich Emails mit einem anderen Absender verschickt habe, und es ist nichts hinterlegt, außer wie wohl üblich NT-Autorität\selbst.

 

Wo gibt es denn sonst noch so eine Option? Irgendwo global etwas flasch konfiguriert?

 

Danke für die Hilfe

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.826

Geschrieben
Geschrieben
Eigenschaften von "Senden als" eines Benutzers geworfen, mit welchem ich erfoglreich Emails mit einem anderen Absender verschickt habe, und es ist nichts hinterlegt, außer wie wohl üblich NT-Autorität\selbst.

 

Du mußt ja auch auf die Eigenschaften des Benutzers schauen, als der du gesendet hast. Nicht als der mit dem du gesendet hast. :p

 

Wo gibt es denn sonst noch so eine Option? Irgendwo global etwas flasch konfiguriert?

 

Siehe oben.

 

Mal ne andere Frage. Geht das nur mit dem einen Nutzer, oder kann Liesschen Müller das auch?

 

Bye

Norbert

Link zu diesem Kommentar
Sn1pes Explorer

Sn1pes   10

Geschrieben
  • Autor
Geschrieben
Du mußt ja auch auf die Eigenschaften des Benutzers schauen, als der du gesendet hast. Nicht als der mit dem du gesendet hast. :p

 

 

 

Siehe oben.

 

Mal ne andere Frage. Geht das nur mit dem einen Nutzer, oder kann Liesschen Müller das auch?

 

Bye

Norbert

 

 

Natürlich habe ich auch bei den Eigenschaften des Benutzers nachgesehen, mit dessen Namen/Account ich gesendet habe. Es steht bei allen nur NT-Autorität\selbst, zumindest bei den 10-20 bei denen ich nachgesehen und teilweise gegengetestet habe.

 

Und ja, wie oben bereits geschrieben, jeder Benutzer kann es tun. Es ist egal, ob der Benutzer auch Domain/Exchangeadmin ist oder nur normaler Domänenbenutzer, es spielt keine Rolle.

 

Ich danke zwar für die Hilfe, aber Tipps wie siehe oben (der Admin wars) helfen mir dann letztlich auch nicht weiter. :cool:

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.826

Geschrieben
Geschrieben
Ich danke zwar für die Hilfe, aber Tipps wie siehe oben (der Admin wars) helfen mir dann letztlich auch nicht weiter. :cool:

 

Off-Topic:

Tja, du kannst auch einen MS Call eröffnen wenn du dich hier schon bei solchen Bemerkungen auf den Schlips getreten fühlst. :cool:

 

Das System steht ja sicher nicht erst seit eben. Ist nachvollziehbar, wer welche Änderungen vorgenommen hat? Bzw. kannst du sagen, seit wann dieser Fehler existiert?

 

Bye

Norbert

 

PS: Schau mal hier: http://exchangeshare.wordpress.com/2008/09/01/how-to-find-all-mailboxes-with-send-as-permission-assigned/

Link zu diesem Kommentar
GuentherH

GuentherH   61

Geschrieben
Geschrieben

Hallo.

 

aber Tipps wie siehe oben (der Admin wars) helfen mir dann letztlich auch nicht weiter.

 

Wenn jemand rumschreit, dass er was weiß ich für einen Fehler gefunden hat, ohne vorher seine Arbeit selbst zu überprüfen, dann muss er mit einer derartigen Antwort rechnen.

 

Ich würde an deiner Stelle das Verhalten auch bei einer Standardnachricht überprüfen, ich bin mir fast sicher, dass auch da jeder User das SendAs Recht besitzt.

 

LG Günther

Link zu diesem Kommentar
Sn1pes Explorer

Sn1pes   10

Geschrieben
  • Autor
Geschrieben

Ich wollte mich ja nicht beschweren, sorry, falls das durch den Satz falsch rüberkam. Im Gegenteil, ich sagte ja danke für die bisherige Hilfe :wink2:

 

Hmm, was meinst du denn mit Standardnachrichten? Hab mir die Tipps bei dem o.g. Link mal angesehen, bei jedem Benutzer ist bei SendAs wie erwähnt immer nur NT-Autorität\selbst gesetzt, sonst nichts. Wie sieht es denn da bei euch aus, etwa anders? Mir fällt momentan nichts weiter ein, sonst würde ich ja nicht um Unterstützung bitten :p

 

PS: Es wurde in letzter Zeit kaum etwas geändet, evtl. mal ein neuer Verteiler, sonst aber nichts. Daher gehe ich mal davon aus, dass der Fehler von Beginn an Bestand. Das System wurde über Weihnachten in Betrieb genommen, es fand eine Migration von Cyrus IMAP mit Hilfe der MS Transportersuite statt.

 

Wenn ich in der Exchange Powershell z.B. den Befehl hier eingebe,

 

Get-Mailbox -Server “Ex07″ | Get-ADPermission | where { ($_.ExtendedRights -like “*Send-As*”) -and ($_.IsInherited -eq $false) -and -not ($_.User -like “NT AUTORITÄT\SELBST”) } | ft -wrap

 

dann wird auch nichts ausgegeben -.-

Link zu diesem Kommentar
GuentherH

GuentherH   61

Geschrieben
Geschrieben

Ich denke ja fast, dass die Rechte auf den gesamten Postfachspeicher selbst verbogen wurden.

Gibt es event. ein 3rd Party Produkt zum Exchange, das derartigen Aktionen durchführen könnte?

 

Eventuell könnte man einen Test durchführen, indem man einen neuen Postfachspeicher anlegt, ein Postfach verschiebt, und dann die Berechtigungen auf dem neuen Speicher einmal überprüft.

 

LG Günther

Link zu diesem Kommentar
Sn1pes Explorer

Sn1pes   10

Geschrieben
  • Autor
Geschrieben

Also die Benutzer, mit welchen es u.a. möglich war, einer anderen Absender zu nutzen, sind lediglich in den Gruppen

 

domain.local\users\Domänen-Benutzer (Die Gruppe selbst ist Mitglied von domain.local\Builtin\Benutzer, welche selbst in keiner weiteren Gruppe mehr ist)

domain.local\Builtin\Remotedektopbenutzer

 

 

Drittherstellersoftware ist keine installiert.

 

Wenn ich im AD, nachdem ich unter Ansicht die erweiterten Funktionen anzeigen lasse, die erweiterten Sicherheitsrechte ein Benutzers ansehe, dann gibt es zwar dort auch den Punkt Senden als, aber dies gilt, wie auch schon am Exchange selbst zu sehen, nur für "Selbst". Ich bin alle Einträge bei ein paar Nutzern durchgegangen, immer gleich. :nene:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...