EX873252: Exchange Online klassifiziert Mails als Malware (26. Aug. 2024)

Stop - PixabayZum 26. Aug. 2024 gab es am späteren Nachmittag ein Problem mit Microsofts Cloud-Diensten. Auf X meldete Microsoft,  das ein Problem untersucht werde, bei dem die E-Mail-Nachrichten einiger Benutzer fälschlicherweise als Malware eingestuft und unter Quarantäne gestellt werden können. Weitere Informationen hat Redmond im Admin Center unter EX873252 eingestellt (ob der Eintrag noch zu sehen ist, kann ich nicht prüfen). Inzwischen heißt es aber, dass das Problem identifiziert und behoben worden sei. War jemand betroffen? (via)


Anzeige

Dieser Beitrag wurde unter Cloud, Störung abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

23 Antworten zu EX873252: Exchange Online klassifiziert Mails als Malware (26. Aug. 2024)

  1. Martin sagt:

    Ja, wir waren betroffen. Soweit ich das sehen konnte, wurden Bilder als schadhaft klassifiziert.

  2. PB sagt:

    Bei mir wurde bei einem Versand um 17:00 ein Bild (jpg) in der Signatur als Malware erkannt 😅

  3. Speedfish sagt:

    Kann ich bestätigen ca. 30 legitime E-Mails wurden in die MS365 Quarantäne gesteckt.
    Gut zu wissen, dass MS hier ein Problem hatte :D

  4. Benjiman sagt:

    Same here – Emails mit CSV-Anhängen wurden als false positive blockiert zu dem genannten Zeitpunkt

  5. Betcher sagt:

    Wir waren ebenfalls betroffen, bei ein paar eingehenden Mails wurden Bilder als schadhaft klassifiziert.

  6. Hu Ju sagt:

    Hier auch, sogar bei Mails innerhalb der eigenen Domain. Z.B. wurde eine zuvor eingegangene Mail mit Bild intern weitergeleitet, diese landete als Schadsoftware in Quarantäne.
    Im Admin Center security.microsoft.com sehe ich nun, dass einige Mails durch den Veröffentlicher "System release" nun den Freigabestatus "Freigegeben" haben, d.h. Microsoft hat hier was drüberlaufen lassen, ob das Problem bei schon eingegangenen Mails zu beheben.
    Will ich mir Details zu einer dieser Mails anschauen, erhalte ich "Ein Fehler ist aufgetreten
    Etwas ist schiefgelaufen. Primäre und sekundäre Daten fehlen."

  7. MaxM sagt:

    Das einzig Gute an dem Problem: MS kann den Quarantänevorgang replayen und auf diese Weise die falsch quarantänisierten Emails wieder ohne Admin-Eingriffe "unblocken":

    https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-online-mistakenly-tags-emails-as-malware/

    "We've confirmed this issue is resolved after implementing a mitigation within the service. Telemetry shows over 99% of impacted emails have been unblocked and automatically replayed," the company said.

    Der Cloud-Admin muss also in diesem Fall nur abwarten und Tee trinken ;-)

    • Martin Wildi sagt:

      Phuu, zum Glück. Sonst hätte ich mich in ca. 20 Tenants verbinden und die Mails auslösen dürfen.

    • Tomas Jakobs sagt:

      Heißt das in Konsequenz, dass alle Mails aus dem Zeitraum, die valide als Spam oder sogar Malware erkannt wurden, ebenfalls zugestellt werden? Security by Microsoft? Würde mich nicht sonderlich überraschen…

      • MaxM sagt:

        Nein, es werden nicht alle Spam-/Malware-Emails freigegeben. Sondern MS lässt die nun korrekte=verbesserte Malware-Erkennung nochmals über die Quarantäne laufen und die nicht mehr als malicious eingestuften Emails werden freigegeben und damit zugestellt.

  8. Essi sagt:

    Ja, hier war schon Panik. Scheint ein weltweites Problem gewesen zu sein. Komisch, dass andere Medien nichts berichten.

  9. Clara sagt:

    Wir waren auch betroffen. Interessanterweise wurde sogar die Weiterleitung der Quarantäne-Mail an uns als schadhaft markiert, weil ein Bild enthalten war (Grund: Schadsoftware).

  10. Olaf E. sagt:

    Auch Mails, die schon im Postfach gelandet waren und gelesen worden sind, waren später in die Quarantäne verschwunden.

  11. J. sagt:

    Es scheint, als wären nach wie vor MS-IPs auf Blacklists… Unsere Mails aus MS365 werde teilweise abgelehnt.

    • Tomas Jakobs sagt:

      Endlich müsste man dann sagen… soviel wie @hotmail und @outlook Scam und Spam bei mir am Mailserver aussortiert wird ein längst überfälliger Schritt.

      Wobei Du prüfen solltest ob nicht noch ein Schlangenöl-Anbieter dazwischen funkt. Ich beobachte zunehmend, dass einzelne Anbieter nicht mit Mailclustern zurecht kommen. Die öffnen quasi Ihre Ports gegenüber der IP des ersten Mailservers im Cluster, der by Default pauschal erstmal abweist und einen anderen Mailserver aus dem Cluster die Mail überlässt. Die Helden beim Schlangenölanbieter haben demgegenüber Ihre Ports aber dicht und verweigern sämtliche Kommunikation. Die Mail wird dann (ordnungsgemäß) abgewiesen.

      P.S. Du meinst wohl MS362 oder ;-)

      • J. sagt:

        Naja, zwischendurch versendet MS auch schon mal Mails von IPs, die nicht per SPF autorisiert sind. Hier scheint jedoch tatsächlich eine externe Blacklist zu greifen. Betrifft passenderweise Mails an unseren IT-Dienstleister.

        Aber besser geht immer: Manche Provider blocken auch Abuse-Meldungen als Spam. Deren Mailserver oder Schlagenöl fand wohl die angehängten Mailheader dubios;)

        PS: Wohl eher MS36 :D

    • Johnny sagt:

      Einfach alles blocken, was von irgendwelchen MS Virenschleudern kommt….

  12. Daniel sagt:

    Bei mir besteht das Problem noch immer!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.