![\"Exchange](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2022\/06\/Exchange.jpg\" "\\"Exchange")
Kurzer Beitrag zum netten Thema Mailversand mit Exchange Online und der Problematik, dass Mails blockiert werden. Ein Nutzer bzw. Administrator hat mich kontaktiert, weil er in das Problem gerauscht ist, dass sein Mails blockiert werden und hofft auf die Schwarmintelligenz der Blog-Leserschaft. Ich stelle den Sachverhalt mal hier im Blog ein, vielleicht gibt es ja zielf\u00fchrende Hinweise.<\/p>\n
<\/p>\n
Der Blog-Leser schreibt, dass er seit Anfang Mai 2024 mit einem massiven Problem seiner O365 Instanz k\u00e4mpft und frage sich, ob er da wirklich alleine betroffen ist. Seine Hoffnung, dass ich vielleicht von anderer Seite, auch von Problemen mit dem Defender, geh\u00f6rt habe, muss ich verneinen. Es gibt zwar Beitr\u00e4ge im Blog, die sich mit Mail-Problemen unter Exchange besch\u00e4ftigen. Aber das Problem des Lesers scheint anders gelagert zu sein, weil es immer mal wieder funktioniert.<\/p>\n
Der Leser schrieb: \"Es hat am 02.05. begonnen\". Ausgehende Mails mit Anhang bleiben seitdem massenhaft in der eigenen Quarant\u00e4ne des Tenants h\u00e4ngen und werden als \"Malicious\" klassifiziert. Auf den ersten Blick findet der Nutzer keine Hinweise, was genau an diesen Mails \"malicious\" sein sollte. Er hat die Anh\u00e4nge mit Bitdefender und VirusTotal \u00fcberpr\u00fcft – keine Funde. Dann hat er die Mails als Administrator \"einfach released\" und sich vorgenommen, dass zu beobachten.<\/p>\n
Am \u00fcbern\u00e4chsten Tag schriebt ihm ein befreundeter Admin, dass die Mails des Blog-Lesers bei ihm blockiert wurde, \"weil der Link https:\/\/www.purple-tec.at<\/a> malicious sei\". An dieser Stelle hat der Administrator nat\u00fcrlich sofort diese (eigene) Site \u00fcberpr\u00fcft. Aber die genannte Seite wird als sauber klassifiziert. Dann hat der Leser einige Tests durchgef\u00fchrt. Ergebnis: Immer wenn https:\/\/www.purple-tec.at<\/a> im Mail-Body enthalten war, wurde die Mail geblockt, die Seite https:\/\/purple-tec.at<\/a> war jedoch sauber, wie der Leser schreibt. Die beiden URLs zeigen nat\u00fcrlich auf den selben Content, es wurde nur ein www in der URL erg\u00e4nzt. Das sieht auch Sicht des Lesers nach einem Fehler von Microsoft aus.<\/p>\n Der Leser hat dann gleich zwei Tickets f\u00fcr dieses Problem er\u00f6ffnet. Ein Ticket wurde \u00fcber den Distributor, wo die Lizenzen gekauft wurden, eingereicht. Und ein Ticket wurde \u00fcber den eigenen Tenant eingereicht.<\/p>\n Lange Rede, kurzer Sinn, meint der Leser: Der Support des Distributors meldet sich, macht eine Fernwartung, lie\u00df sich alles m\u00f6glich zeigen, kopiert sich diverse IDs und wollte sich \"wieder melden\". Leider scheint der Distributor durch den Fehler \"in den digitalen Orkus\" gerauscht zu sein, seitdem herrscht \"Schweigen im Walde\", keine R\u00fcckmeldung, nichts. Vielleicht ist deren Exchange Online auch kaputt gegangen, man r\u00e4tselt.<\/p>\n Nach mehreren Nachfragen und Eskalation \u00fcber die Betreuerin des Leser bekommt er die R\u00fcckmeldung \"Bitte andere IDs schicken, die passen nicht zu dem Tenant, f\u00fcr den ich das Ticket er\u00f6ffnet habe\". Wie schrieb der Leser: \"Meine Antwort, dass ich keine Idee habe, was sie von mir wollen und ich bitte einfach nur das false positive repariert haben m\u00f6chte, blieb bis heute unbeantwortet.\"<\/p>\n Der Microsoft Support hat mit mit dem Leser mehrmals telefoniert, und Testmails verlangt (die alle wunderbar angekommen sein sollen). Am Ende des Tages kam vom Microsoft Support der Ratschlag, der Leser soll alle seine Email-Empf\u00e4nger bitten, die oben genannte Domain in ein White-Listing zu stellen. Ist wohl \"gelebte Hilflosigkeit\" und mir geht \"wenn man nicht mehr weiter wei\u00df, gr\u00fcndet einen Arbeitskreis\" aus meiner Angestellten-T\u00e4tigkeit vor 30 Jahren durch den Kopf.<\/p>\n Fazit des Lesers, wie er mir schrieb: \"Ich bin sehr stolz auf mich, die Contenance behalten zu haben und hab ihm [dem Supporter] mitgeteilt, dass das eine nicht gangbare L\u00f6sung sei und er doch bitte sich drum k\u00fcmmern soll, dass diese false postives behoben werden.\" Dort f\u00e4llt mir der Spruch aus einer TV-Sendung ein: \"Gelesen, gelacht,\u00a0 gelocht und abgeheftet\", als es um Beschwerden an Beh\u00f6rden ging. Der Supporter dr\u00fcckt es eleganter aus: \"Er wird sich mit Experten beraten und sich wieder melden.\"<\/p>\n Der Leser schrieb noch: \"Nat\u00fcrlich haben wir sofort versucht, bei allen Links das b\u00f6se www wegzunehmen\". Spannende Frage: Hat sich da was\u00a0 gebessert? Leider nein, denn inzwischen nehmen die Ph\u00e4nomene, so der Leser, zu. Die Administratoren sehen auch ankommende Mails, die als malicious eingestuft, in der Quarant\u00e4ne des Tenants landen. Die Mails sind aber zu 100% nicht\u00a0 sch\u00e4dlich, es handelt sich z.B. um Log-Mails der Fortigate-Firewall. \"Davon bekommen wir hunderte, ein paar landen in der Quarant\u00e4ne. Auch die ge\u00e4nderten AGBs eines Gesch\u00e4ftspartners sind b\u00f6se und wurden mehrfach weggefressen.\" merkt der Leser an.<\/p>\n Ohne jedem einzelnen Verdacht nachgegangen zu sein, haben die Leute offenbar auch Zustellprobleme mit Mails ohne Anhang. Verschiedenste Empf\u00e4nger melden, dass sie keine Nachricht von dem Unternehmen bekommen h\u00e4tten. Der Leser schrieb: \"Selbst wenn wir jetzt sofort offboarden, w\u00fcrde das ja gar nichts \u00e4ndern. Ich bin mir nicht mal sicher, ob es besser w\u00fcrde, wenn wir unsere Maildomain von der purple-tec.at auf purple-tec.com \u00e4ndern. So wie im M\u00e4rz 2023 d\u00fcrfte es wohl nicht sein, ich finde online sonst keine Hinweise auf eine globale St\u00f6rung.\"<\/p>\n Das ist ein ziemlich krudes Fehlerbild – daher stelle ich es hier im Blog ein. Hat jemand da etwas \u00e4hnliches beobachtet oder noch einen Tipp, was der Leser probieren kann?<\/p>\n Der Blog-Leser hat mich im Nachgang nochmals kontaktiert und schrieb zum Status: \"ich bedanke mich nochmal f\u00fcr das ver\u00f6ffentlichen meines Problems. Es sind ja sehr viele Kommentare geschrieben worden. Mit Sicherheit kann ich es nicht sagen, aber m\u00f6glicherweise war ein Hinweis von Sandra n\u00fctzlich und hat schlussendlich zur L\u00f6sung gef\u00fchrt. Diese war eine Eskalation zu einem Produkt-Support, welcher dann 'das Problem gel\u00f6st hat'. Wie genau, hat man mir nicht gesagt. Es ist aber auch nach ~2 Wochen noch stabil.\" Wie besagt ein altes chinesisches Sprichwort \"Ente gut, alles gut\".<\/p>\n","protected":false},"excerpt":{"rendered":" Kurzer Beitrag zum netten Thema Mailversand mit Exchange Online und der Problematik, dass Mails blockiert werden. Ein Nutzer bzw. Administrator hat mich kontaktiert, weil er in das Problem gerauscht ist, dass sein Mails blockiert werden und hofft auf die Schwarmintelligenz … Weiterlesen Zwei Support-Tickets bei Microsoft<\/h2>\n
Es wird immer schlimmer<\/h2>\n
Problem gel\u00f6st?<\/h2>\n