Gedeelde mailbox, gewiste mail via activesync maar wie?

Ik zit nu de hele middag m'n kop kapot te slaan op een probleem bij shared mailbox
Er worden regelmatig berichten gewist die niet gewist mogen worden, maar de dader ligt natuurlijk op het kerkhof.

Auditing ingeschakeld en uiteindelijk de actie gevonden, maar nu komt de ellende...


Sjit

De gebruikers openen de mailbox op hun telefoon en maken daarbij de username/pass van de mailbox owner. oa. iPhone doet daar anders moeilijk over.

Heeft iemand een tip hoe ik nu achter eventuele IP adressen of überhaupt het devicename van het apparaat kan komen zodat ik verder kan graven naar de boosdoener?

Zou Get-MobileDeviceStatistics iets kunnen betekenen? Heb zojuist de ActiveSyncDebugLogging op True gezet met Set-CASMailbox

Idd wel even handig om te vermelden:
Exchange 2013 on-prem

Mark- schreef op donderdag 21 maart 2019 @ 18:26:
Hmmm voor zover ik weet is het niet mogelijk om een shared mailbox te benaderen via ActiveSync? Is daar iets in veranderd onlangs?

Of kun je gewoon de sharedmailbox AD user enablen en een wachtwoord instellen??

Als je weet hoelaat een bepaalde mail is verwijderd, kun je dan niks terugvinden in je IIS access logs?
Een IP adres wellicht? Geen idee of het om Exchange online of on-prem gaat btw..

Je kan gewoon account enablen en dan kan je m gewoon toevoegen aan je telefoon. Ook bij Office365 overigens

Hero of Time schreef op donderdag 21 maart 2019 @ 20:19:
Het zou ook zomaar om een compleet andere mailserveromgeving kunnen gaan dan MS Exchange (al dan niet online/on-prem). Het is dus wel even handig om iets meer informatie over je omgeving te geven.

En is ActiveSync niet iets van 20 jaar geleden? Ik moet altijd aan die Palmtop en HP iPaq dingen denken en het aparte programma ActiveSync om met Outlook je taken en agenda te kunnen synchroniseren.

Helaas wordt het nog steeds ActiveSync genoemd.

Rolfie schreef op vrijdag 22 maart 2019 @ 15:46:
[...]

Dan heeft dus iemand ook het wachtwoord om zich dan aan te melden op deze mailbox? Begrijp ik dit dan goed?


[...]

IP adressen uit de IIS log files traceren, en dan zoeken op dit IP adres in de logfiles naar een gebruikersnaam?

Jep. de users openen allemaal die mailbox op hun telefoon/tablet met de credentials van die box.
Dus de username is overal hetzelfde, niet die van de user maar de user van de mailbox. (zie ClientInfoString in mijn startpost) en dat is op zicht logisch.

Ik heb al wat debug logs van de CAS debugging, maar daar vind ik natuurlijk weer niet de berichtID's terug die ik uit de auditing heb kunnen halen.

Helaas sinds het inschakelen van de CAS logging zijn er geen items meer gewist. Hopelijk maandag weer wat nieuws.

Ik hoopte stiekem dat er een iets minder omslachtige manier was om iets te vinden of iig een standaard in de log opmaak.

Question Mark schreef op zaterdag 23 maart 2019 @ 17:20:
Kan natuurlijk best zo zijn dat deze mailberichten per ongeluk verwijderd worden....

Waarom richt je de permissies niet zo in, dat mensen alleen nog maar read rechten hebben?

Dat is een gevecht wat we nu al een flinke poos met ze aan het voeren zijn. Deze constructie is ooit door een voorganger opgezet en het is om te janken.

Ze willen dat álle communicatie vanuit die ene mailbox gedaan wordt.

Eigen mailboxen zijn secundair en niet belangrijk.
Maarrrr wel weer een uitzondering voor de 2 leidinggevenden, die moeten hun eigen mailbox hebben waar de mail uit die gedeelde mailbox naartoe geforward wordt (omdat deze 2 regelmatig mail wisten in het verleden) maarrrrrrr als ze uit gaan mailen moet het wél uit naam van de gedeelde mailbox en niet hun eigen.

Dat werkt prima op de pc, maar op een mobiel device moet je toch creatief gaan worden, en daar zit de crux.

Om te janken dus.

Ze hebben R/W nodig op die mailbox. En op een mobiel device kan je niet 2 keer inloggen met dezelfde username op verschillende mailboxen. iOS gaat iig klagen dat die username al in gebruik is.

Dit incident opent weer een deur voor een nieuwe discussie, eentje die ik nu ga winnen, maar het is nu de sport om de "dader" te kunnen vinden in de logs.

Question Mark schreef op maandag 25 maart 2019 @ 09:22:
[...]

Dat kan prima met send-as rechten...

[...]

Ik zou mij zelf niet zo heel druk maken om dat laatste. Wat nu gebeurt is een gevolg van de (verkeerde) keuzes van de organisatie. Daarnaast hoeft het nog steeds geen opzet te zijn, en wordt er weinig gewonnen als de "dader" wel gevonden wordt....

Helaas kunnen ze met send-as geen mailtjes organiseren in die mailbox Ze gebruiken het als een normale gebruikers mailbox.

De winst is meer voor mij straks (kennis). Ik hou er wel van om dit soort zaken uit te pluizen. Het is alleen jammer dat het soms wat lastig gemaakt wordt

IMAP is idd een goeie optie, maar dan hebben ze de agenda functies weer niet. (toch??)

Maar goed. Ze moeten gewoon hun werkmethodes aanpassen. Dit is sowieso niet beheersbaar.

En toch wil ik uitpluizen wie wat waar uit de logs. Ik ga vandaag weer lekker testen en rommelen.