Hallo,
bin irgendwie total verzweifelt. Habe ein Problem, welches alle (!) Exchangeversionen betrifft und keine Lösung dafür. Meiner Meinung ist es ein Sicherheitsproblem.
Was ist passiert?
Durch ein defektes MAPI Profil sind Löschungen in einem Postfach ausgelöst worden, welche vom Exchange an das Outlook irgendwie nicht bestätigt wurden, so dass Outlook die gleichen Mails immer wieder löschen wollte. Dies führte dazu, dass die Partition für die Transaktionlogs voll lief und trotz MOM Überwachung und Vorsichtsmassnahmen die Datenbank abgehängt wurde. Leider war kein Platz mehr vorhanden um die Datenbank wieder zu mounten. Hier wurde im SAN die Partition vergrössert, ein kompletter Restore der Datenbank plus roll forward der Transaktionlogs durchgeführt um die Datenbank wieder online zu bekommen. Ausfallzeit cirka 12 Stunden plus weiteren 6 Stunden für die Nacharbeiten, wie z.B. offline Defrag für die Datenbank.
Die Recherche hat ergeben, dass es immer passieren kann und es keine Lösung hierfür gibt. Der Fehler hat es geschafft die Datenbank innerhalb von 2 Stunden auf über 90GB(!; von ursprünglich 10GB) anwachsen zu lassen. Der Benutzer hat eine Postfachbegrenzung von 100MB, welche aber hier nicht greift, weil trotz ausgeschaltetem Dumpster die Löschungen über die Transaktionlogs in den Dumpster verschoben werden, welcher trotz dem Eintrag 0 Tagen immer erst nachts wirklich löscht und nichts mehr mit der Postfachbegrenzung zu tun hat. Der Dumpster selber ist auch nicht begrenzbar.
Es ist somit jeder Zeit möglich mit Benutzerrechten, je Konfiguration der Systeme eine oder alle Datenbanken eines Exchangesystems zu dismounten!!!
Ein Schadprogramm könnte dies ausnutzen indem es via MAPI, mit den vorhandenen Benutzerrechten, Mails erstellt und sofort wieder löscht.
Wir haben dies an Microsoft eskalliert und sind jetzt seit 4 Wochen daran eine Lösung zu finden. Es kam von Microsoft bis jetzt keine und so wie es aussieht wird es auch keine geben.
Angeblich wurde der Vorfall von unserem Microsoft TAM an die Securityabteilung eskalliert und folgender Massen beantwortet: "Für MS ist dies keine Sicherheitslücke, sondern nur die Möglichkeit für eine DOS Attake bei jeder Exchangeversion. Deswegen wird es hierfür nichts geben."
Deswegen jetzt hier die Frage eines wirklich Verzweifelten. Kennt jemand eine Möglichkeit so etwas abzufangen?
Gruss
Jens