Zum 26. Aug. 2024 gab es am späteren Nachmittag ein Problem mit Microsofts Cloud-Diensten. Auf X meldete Microsoft, das ein Problem untersucht werde, bei dem die E-Mail-Nachrichten einiger Benutzer fälschlicherweise als Malware eingestuft und unter Quarantäne gestellt werden können. Weitere Informationen hat Redmond im Admin Center unter EX873252 eingestellt (ob der Eintrag noch zu sehen ist, kann ich nicht prüfen). Inzwischen heißt es aber, dass das Problem identifiziert und behoben worden sei. War jemand betroffen? (via)
Anzeige
Ja, wir waren betroffen. Soweit ich das sehen konnte, wurden Bilder als schadhaft klassifiziert.
Bei mir wurde bei einem Versand um 17:00 ein Bild (jpg) in der Signatur als Malware erkannt 😅
Kann ich bestätigen ca. 30 legitime E-Mails wurden in die MS365 Quarantäne gesteckt.
Gut zu wissen, dass MS hier ein Problem hatte :D
Same here – Emails mit CSV-Anhängen wurden als false positive blockiert zu dem genannten Zeitpunkt
Wir waren ebenfalls betroffen, bei ein paar eingehenden Mails wurden Bilder als schadhaft klassifiziert.
Hier auch, sogar bei Mails innerhalb der eigenen Domain. Z.B. wurde eine zuvor eingegangene Mail mit Bild intern weitergeleitet, diese landete als Schadsoftware in Quarantäne.
Im Admin Center security.microsoft.com sehe ich nun, dass einige Mails durch den Veröffentlicher "System release" nun den Freigabestatus "Freigegeben" haben, d.h. Microsoft hat hier was drüberlaufen lassen, ob das Problem bei schon eingegangenen Mails zu beheben.
Will ich mir Details zu einer dieser Mails anschauen, erhalte ich "Ein Fehler ist aufgetreten
Etwas ist schiefgelaufen. Primäre und sekundäre Daten fehlen."
Das einzig Gute an dem Problem: MS kann den Quarantänevorgang replayen und auf diese Weise die falsch quarantänisierten Emails wieder ohne Admin-Eingriffe "unblocken":
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-online-mistakenly-tags-emails-as-malware/
"We've confirmed this issue is resolved after implementing a mitigation within the service. Telemetry shows over 99% of impacted emails have been unblocked and automatically replayed," the company said.
Der Cloud-Admin muss also in diesem Fall nur abwarten und Tee trinken ;-)
Phuu, zum Glück. Sonst hätte ich mich in ca. 20 Tenants verbinden und die Mails auslösen dürfen.
Heißt das in Konsequenz, dass alle Mails aus dem Zeitraum, die valide als Spam oder sogar Malware erkannt wurden, ebenfalls zugestellt werden? Security by Microsoft? Würde mich nicht sonderlich überraschen…
Nein, es werden nicht alle Spam-/Malware-Emails freigegeben. Sondern MS lässt die nun korrekte=verbesserte Malware-Erkennung nochmals über die Quarantäne laufen und die nicht mehr als malicious eingestuften Emails werden freigegeben und damit zugestellt.
Ja, hier war schon Panik. Scheint ein weltweites Problem gewesen zu sein. Komisch, dass andere Medien nichts berichten.
Du meinst z.B. das Nachrichtenabdruckmagazin aus Hannover?
Wir waren auch betroffen. Interessanterweise wurde sogar die Weiterleitung der Quarantäne-Mail an uns als schadhaft markiert, weil ein Bild enthalten war (Grund: Schadsoftware).
Auch Mails, die schon im Postfach gelandet waren und gelesen worden sind, waren später in die Quarantäne verschwunden.
Same here. Das war mal was Neues.
Es scheint, als wären nach wie vor MS-IPs auf Blacklists… Unsere Mails aus MS365 werde teilweise abgelehnt.
Endlich müsste man dann sagen… soviel wie @hotmail und @outlook Scam und Spam bei mir am Mailserver aussortiert wird ein längst überfälliger Schritt.
Wobei Du prüfen solltest ob nicht noch ein Schlangenöl-Anbieter dazwischen funkt. Ich beobachte zunehmend, dass einzelne Anbieter nicht mit Mailclustern zurecht kommen. Die öffnen quasi Ihre Ports gegenüber der IP des ersten Mailservers im Cluster, der by Default pauschal erstmal abweist und einen anderen Mailserver aus dem Cluster die Mail überlässt. Die Helden beim Schlangenölanbieter haben demgegenüber Ihre Ports aber dicht und verweigern sämtliche Kommunikation. Die Mail wird dann (ordnungsgemäß) abgewiesen.
P.S. Du meinst wohl MS362 oder ;-)
Naja, zwischendurch versendet MS auch schon mal Mails von IPs, die nicht per SPF autorisiert sind. Hier scheint jedoch tatsächlich eine externe Blacklist zu greifen. Betrifft passenderweise Mails an unseren IT-Dienstleister.
Aber besser geht immer: Manche Provider blocken auch Abuse-Meldungen als Spam. Deren Mailserver oder Schlagenöl fand wohl die angehängten Mailheader dubios;)
PS: Wohl eher MS36 :D
Wo sind die Jungs von UCEprotect, wenn man diese mal braucht ;-)
Einfach alles blocken, was von irgendwelchen MS Virenschleudern kommt….
Das will ich sehen wie du das machst und va wielange.
Bei mir besteht das Problem noch immer!
Aktueller Status
https://answers.microsoft.com/en-us/msoffice/forum/all/some-users-email-messages-containing-images-may-be/59c71c74-a27b-4d8f-9423-a1ed49929ab8