Archives For Microsoft Office 365

È il titolo comparso intorno alle 10:20 (ora italiana) di ieri nell’area amministrativa di Office 365 (a voler fare i pignoli si parla di 2019-01-24 09:17 (UTC)). Una manciata di minuti prima della comparsa dell’anomalia il team di primo livello ha cominciato a ricevere segnalazioni dagli utenti che non accedevano più al loro Outlook e in generale alla posta elettronica di Exchange in Cloud (quindi anche via OWA). Il tempo di aprire un ticket in Microsoft ed ecco spuntare fuori il primo aggiornamento sull’area amministrativa del servizio, sarebbe stato il primo di tanti: “We’re investigating a potential issue and checking for impact to your organization. We’ll provide an update within 60 minutes.“.

EX172491 - Can't access email

La chiamano “Riduzione del servizio“, si traduce con “Panico totale e corsa ai ripari” perché nonostante ciò che si continua a sbraitare in giro, la posta elettronica è e rimane al centro dell’universo per tutti coloro che svolgono un lavoro d’ufficio, intersecandosi anche in altri settori che tramite essa portano a termine compiti automatizzati e non (penso alla realtà di un grande gruppo come quello per cui lavoro, ma di nomi presi in pieno volto oggi se ne potrebbero fare parecchi altri, assai conosciuti) dove persino il mestiere più manuale è comunque preso “di striscio” dal colpo. L’incidente frontale ti fa capire quanto una struttura in Cloud, seppur curata e tenuta sempre d’occhio, possa rivelarsi un grandissimo Point of Failure davanti al quale tu sei completamente impotente, a prescindere dalla preparazione tecnica che puoi avere e che potresti mettere in campo.

Microsoft Office 365 è un servizio ormai utilizzatissimo, ne è dimostrazione la quantità di discussioni generatasi su svariati Social Network, forum di discussione e blog specializzati con relative aree commenti. Non sono stati esenti dall’ondata di segnalazioni anche quegli strumenti che negli ultimi tempi stanno predendo sempre più piede, come Outage.report (qui la pagina di Office 365: outage.report/office-365) o DownDetector (downdetector.it/problemi/office-365).

Day 1

Dopo una giornata di completo buio, le prime mail hanno cominciato a raggiungere Outlook e Mail (l’applicazione nativa di iOS) intorno alle 21:00 ora italiana. Poca roba, troppo poca davvero, il disservizio infatti persisteva nonostante un fix annunciato e implementato da Microsoft. Ti riporto i messaggi di aggiornamenti fino al primo passo verso la luce (il primo è quello più recente, nda):

1/24/2019 10:53:52 PM
  • Title: Can’t access email
  • User Impact: Users are unable to connect to the Exchange Online service via multiple protocols.
  • More info: As a result of this issue, users are receiving an error message indicating the number of concurrent connections has exceeded a limit when they attempt to send and receive email.
  • Current status: We’re continuing to monitor the environment to ensure that service is recovering and email is being delivered as expected.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Start time: Thursday, January 24, 2019, at 9:00 AM UTC
  • Preliminary root cause: A subset of our managed Domain Controllers are in a degraded state, affecting Exchange Online functionality.
  • Next update by: Thursday, January 24, 2019, at 11:00 PM UTC
1/24/2019 9:55:54 PM
  • Title: Can’t access email
  • User Impact: Users are unable to connect to the Exchange Online service via multiple protocols.
  • More info: As a result of this issue, users are receiving an error message indicating the number of concurrent connections has exceeded a limit when they attempt to send and receive email.
  • Current status: We’re continuing to experience connectivity improvements and observe that email is beginning to deliver as expected. In parallel, we’re making additional changes as needed and are monitoring our email queues to ensure they continue to process.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Start time: Thursday, January 24, 2019, at 9:00 AM UTC
  • Preliminary root cause: A subset of our managed Domain Controllers are in a degraded state, affecting Exchange Online functionality.
  • Next update by: Thursday, January 24, 2019, at 10:00 PM UTC
1/24/2019 8:53:18 PM
  • Title: Can’t access email
  • User Impact: Users are unable to connect to the Exchange Online service via multiple protocols.
  • More info: As a result of this issue, users are receiving an error message indicating the number of concurrent connections has exceeded a limit when they attempt to send and receive email.
  • Current status: We’ve observed an increase in connectivity after deploying our solution in the affected environment. We’re implementing additional changes in an effort to provide continued relief.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Start time: Thursday, January 24, 2019, at 9:00 AM UTC
  • Preliminary root cause: A subset of our managed Domain Controllers are in a degraded state, affecting Exchange Online functionality.
  • Next update by: Thursday, January 24, 2019, at 9:00 PM UTC
1/24/2019 7:55:12 PM
  • Title: Can’t access email
  • User Impact: Users are unable to connect to the Exchange Online service via multiple protocols.
  • More info: As a result of this issue, users are receiving an error message indicating the number of concurrent connections has exceeded a limit when they attempt to send and receive email.
  • Current status: We’ve identified a potential fix to address this issue and are testing the fix to confirm that it is a viable solution.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Start time: Thursday, January 24, 2019, at 9:00 AM UTC
  • Preliminary root cause: A subset of our managed Domain Controllers are in a degraded state, affecting Exchange Online functionality.
  • Next update by: Thursday, January 24, 2019, at 8:00 PM UTC
1/24/2019 6:00:42 PM
  • Title: Can’t access email
  • User Impact: Users are unable to connect to the Exchange Online service via multiple protocols.
  • More info: As a result of this issue, users are receiving an error message indicating the number of concurrent connections has exceeded a limit when they attempt to send and receive email.
  • Current status: Our efforts to restore connectivity to the affected domain controllers continues. In parallel, we’re analyzing data to identify alternative means to restore service and better understand the underlying source of this problem.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Start time: Thursday, January 24, 2019, at 9:00 AM UTC
  • Preliminary root cause: A subset of our managed Domain Controllers are in a degraded state, affecting Exchange Online functionality.
  • Next update by: Thursday, January 24, 2019, at 7:00 PM UTC
1/24/2019 4:08:31 PM
  • Title: Can’t access email
  • User Impact: Users may be unable to connect to the Exchange Online service.
  • More info: As a result of this issue, users will be experiencing issues when they attempt to send and receive email.
  • Current status: We’re continuing to fix the unhealthy Domain Controllers while actively monitoring the connections to the healthy infrastructure. Additionally, we’re reviewing system logs from the unhealthy Domain Controllers to understand the underlying cause of the issue.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Start time: Thursday, January 24, 2019, at 9:00 AM UTC
  • Next update by: Thursday, January 24, 2019, at 5:00 PM UTC
1/24/2019 1:57:40 PM
  • Title: Can’t access email
  • User Impact: Users may be unable to connect to the Exchange Online service.
  • Current status: We’ve determined that a subset of Domain Controller infrastructure is unresponsive, which is resulting in user connection time outs. We’re optimising connectivity to the healthy infrastructure while fixing the unhealthy Domain Controllers.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Start time: Thursday, January 24, 2019, at 9:00 AM UTC
  • Next update by: Thursday, January 24, 2019, at 3:00 PM UTC
1/24/2019 12:09:46 PM
  • Title: Can’t access email
  • User Impact: Users may be unable to connect to the Exchange Online service.
  • Current status: We’ve identified that a networking issue within the Exchange Online infrastructure may be causing impact. We’re looking into connectivity logs to determine the underlying cause and remediate impact.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Next update by: Thursday, January 24, 2019, at 1:00 PM UTC
1/24/2019 10:54:10 AM
  • Title: Can’t access email
  • User Impact: Users may be unable to connect to the Exchange Online service.
  • Current status: We’ve determined that a subset of mailbox database infrastructure became degraded, causing impact. We’re identifying the next troubleshooting steps to remediate impact.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Next update by: Thursday, January 24, 2019, at 11:00 AM UTC
1/24/2019 10:18:04 AM

We’re investigating a potential issue and checking for impact to your organization. We’ll provide an update within 60 minutes.

Day 2

Seppur a fatica, le email hanno continuato ad arrivare nella casella di posta elettronica e quindi nei vari client configurati e connessi. Il tutto scoppia nuovamente nel corso della mattinata italiana, con un evidente sovraccarico delle risorse messe a disposizione. Forse un’ora di buio totale, tutto il resto è connessione più o meno stabile ma grandi ritardi nella consegna delle email. A partire dalle 14 circa (ora italiana) la situazione sembra essersi nettamente più stabilizzata. Qui di seguito ti propongo gli aggiornamenti di stato di Microsoft:

1/25/2019 3:04:30 PM
  • Title: Can’t access email
  • User Impact: Users are unable to connect to the Exchange Online service via multiple protocols.
  • More info: As a result of this issue, users are receiving an error message indicating the number of concurrent connections has exceeded a limit when they attempt to send and receive email.
  • Current status: We’ve determined that excessive load is causing queues within the authentication infrastructure. We’re formulating a plan to remediate impact.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Start time: Thursday, January 24, 2019, at 9:00 AM UTC
  • Preliminary root cause: A subset of our managed Domain Controllers were in a degraded state, affecting Exchange Online functionality.
  • Next update by: Friday, January 25, 2019, at 6:00 PM UTC
1/25/2019 1:01:46 PM
  • Title: Can’t access email
  • User Impact: Users are unable to connect to the Exchange Online service via multiple protocols.
  • More info: As a result of this issue, users are receiving an error message indicating the number of concurrent connections has exceeded a limit when they attempt to send and receive email.
  • Current status: We’ve determined that there is higher than expected queuing within the authentication infrastructure, which may be the cause of impact. We’re working to identify the cause of these queues and determine steps to remediate impact.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Start time: Thursday, January 24, 2019, at 9:00 AM UTC
  • Preliminary root cause: Previously, a subset of our managed Domain Controllers were in a degraded state, affecting Exchange Online functionality. The current cause of impact is still under investigation.
  • Next update by: Friday, January 25, 2019, at 2:00 PM UTC
1/25/2019 12:00:40 PM
  • Title: Can’t access email
  • User Impact: Users are unable to connect to the Exchange Online service via multiple protocols.
  • More info: As a result of this issue, users are receiving an error message indicating the number of concurrent connections has exceeded a limit when they attempt to send and receive email.
  • Current status: We’re gathering detailed forensics within the affected infrastructure to isolate the cause of the connection time outs and identify steps to remediate impact.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Start time: Thursday, January 24, 2019, at 9:00 AM UTC
  • Preliminary root cause: A subset of our managed Domain Controllers are in a degraded state, affecting Exchange Online functionality.
  • Next update by: Friday, January 25, 2019, at 12:00 PM UTC
1/25/2019 10:46:32 AM
  • Title: Can’t access email
  • User Impact: Users are unable to connect to the Exchange Online service via multiple protocols.
  • More info: As a result of this issue, users are receiving an error message indicating the number of concurrent connections has exceeded a limit when they attempt to send and receive email.
  • Current status: Our telemetry data is indicating connection time outs within the Exchange authentication infrastructure, resulting in impact to the service. We’re looking into the Domain Controller logs to understand the cause and remediate impact.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Start time: Thursday, January 24, 2019, at 9:00 AM UTC
  • Preliminary root cause: A subset of our managed Domain Controllers were in a degraded state, affecting Exchange Online functionality.
  • Next update by: Friday, January 25, 2019, at 11:00 AM UTC
1/25/2019 9:48:24 AM
  • Title: Can’t access email
  • User Impact: Users are unable to connect to the Exchange Online service via multiple protocols.
  • More info: As a result of this issue, users were receiving an error message indicating the number of concurrent connections has exceeded a limit when they attempt to send and receive email.
  • Current status: We’ve confirmed that the Exchange Online service is healthy and is operating within normal tolerances. We’ll continue to monitor the infrastructure to ensure that the service remains healthy.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Start time: Thursday, January 24, 2019, at 9:00 AM UTC
  • Preliminary root cause: A subset of our managed Domain Controllers were in a degraded state, affecting Exchange Online functionality.
  • Next update by: Friday, January 25, 2019, at 5:00 PM UTC
1/25/2019 1:35:09 AM
  • Title: Can’t access email
  • User Impact: Users are unable to connect to the Exchange Online service via multiple protocols.
  • More info: As a result of this issue, users are receiving an error message indicating the number of concurrent connections has exceeded a limit when they attempt to send and receive email.
  • Current status: We’ve confirmed that the queued email has been successfully processed. We will continue monitoring the service throughout the business day to ensure the service continues to operate normally.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Start time: Thursday, January 24, 2019, at 9:00 AM UTC
  • Preliminary root cause: A subset of our managed Domain Controllers are in a degraded state, affecting Exchange Online functionality.
  • Next update by: Friday, January 25, 2019, at 9:00 AM UTC
1/25/2019 12:03:11 AM
  • Title: Can’t access email
  • User Impact: Users are unable to connect to the Exchange Online service via multiple protocols.
  • More info: As a result of this issue, users are receiving an error message indicating the number of concurrent connections has exceeded a limit when they attempt to send and receive email.
  • Current status: We’re observing continued successful delivery of queued email and are closely monitoring the service health. We will continue monitoring the service through the business day to ensure the service continues to operate normally.
  • Scope of impact: Impact is specific to users who are served through the affected infrastructure.
  • Start time: Thursday, January 24, 2019, at 9:00 AM UTC
  • Preliminary root cause: A subset of our managed Domain Controllers are in a degraded state, affecting Exchange Online functionality.
  • Next update by: Friday, January 25, 2019, at 12:30 AM UTC
28/1/19

Il passaggio a EX172564

Nel corso del fine settimana Microsoft ha pubblicato ulteriori sviluppi sulla questione, e nel corso della notte tra il 25 e 26 gennaio, ha “chiuso” il capitolo EX172491 per passare al nuovo EX172564, interruzione di servizio che riguarda un’Europa ancora ferita dall’anomalia che l’ha colpita qualche giorno prima. Intorno alle 2 del mattino del 26/1 è stata pubblicata la nota all’interno della Dashboard amministrativa:

This is a continuation of EX172491. We’re targeting this communication specifically to customers who have experienced more significant impact in an effort to provide more detail, this communication will replace EX172491 on your dashboard. We understand that our initial analysis of this incident did not accurately capture the full scope of impact you have experienced throughout the duration of the incident.

Through our initial investigation, we identified that some Domain Controllers (DC) in the environment had become unresponsive. We took actions to restore service to the affected DC’s and implemented a secondary fix to restore service. After completing those actions, we received reports that users were able to access the Exchange Online service and that users were beginning to receive their messages that had been sent during the Exchange Online outage.

We want to ensure that you are receiving the most accurate updates related to your impact and we’re committed to keeping this as our highest priority until the root cause has been fully understood. We apologize that the user impact on our previous Service Health Dashboard post did not correctly convey the impact that your users are experiencing.

Scope of impact: Impact is specific to users located in Europe that are served through the affected infrastructure.

Seguiranno ulteriori aggiornamenti nella prima mattinata, per poi arrivare alle 10 circa (ora italiana) di sabato con la preparazione di nuovi DC in grado di servire l’Europa e poter sopportare ogni richiesta in arrivo dai client utenti, seguiti da successivi passaggi fino al completamento del rilascio di una soluzione più definitiva:

The deployment of the additional Domain Controllers (DC) is currently at approximately 12.5 percent. We’ve implemented the configuration change to a portion of the affected infrastructure and will monitor the environment to ensure that the connection time-outs have reduced. We’ve identified additional mitigation actions and enabled them to help prevent this issue in the future. We’re continuing in our efforts to enable additional logging.

2019-01-27 04:12 (UTC): The process in which we are adding additional domain controllers to the environment requires that the domain controllers are deployed in batches. Our third batch is still being deployed and is progressing as expected; however, this means that our deployment status remains at 50 percent.

2019-01-27 08:46 (UTC): The third batch of domain controllers is continuing to deploy as expected and we’re monitoring its progress. We’ll begin deployment of the fourth batch of domain controllers once the third batch has completed. As deployment progresses users will begin to see remediation.

2019-01-27 13:01 (UTC): We’ve completed 58 percent of the deployment of domain controllers and the third phase is progressing as anticipated. The fourth phase of deployment of domain controllers is expected to begin in approximately six hours.

2019-01-28 04:45 (UTC): We’ve completed our deployment of domain controllers and we’re performing our final validation tests to ensure all systems are functioning as expected. Additionally, the configuration change to reduce the time-outs has been applied throughout the affected infrastructure. Our current data and testing indicates that the service is maintaining optimal levels and we’ll closely monitor any changes in load or performance to prevent any additional impact.

Allo stato attuale ci si trova quindi in una situazione ormai stabile e sotto costante monitoraggio (2019-01-28 08:48 (UTC)):

We’re continuing to monitor the service now that the configuration changes have propagated throughout the environment. We’ll continue to monitor the service throughout the working day to ensure that the improvement work we’ve done has remediated impact.

Continuerò ad aggiornare l’articolo quando ci saranno ulteriori sviluppi in merito, per il momento passo, chiudo e spero che il fine settimana possa avere un risvolto più positivo rispetto a questo enorme disservizio mai così pesante per ciò che riguarda la storia del servizio.

Condividi l'articolo con i tuoi contatti:

Ne fai parte anche tu (in realtà il tuo indirizzo di posta elettronica aziendale e/o privato), inevitabilmente: “benvenuto a bordo” del più corposo gruppo di vittime di phishing che io ricordi da qualche anno a questa parte. Radio, TV, giornali, ormai puoi leggere articoli in proposito anche nei bagni degli Autogrill o delle stazioni ferroviarie, subito accanto ai numeri di cellulare associati a piccanti sconcerie. Hai visitato un sito web per adulti e qualcuno ha catturato video e audio passando rispettivamente da webcam e microfono del tuo PC, a prescindere che questo sia possibile o no (perché di vittime prive di entrambe le periferiche ne esistono eccome), si parla persino di indirizzi di posta elettronica non presidiati e magari utilizzati da software di terze parti, io ho scoperto che il software di HelpDesk aziendale visita siti web zozzi senza farsi scoprire, bravo!

Calmati, respira, nulla di quanto detto nella mail è vero, non esistono video compromettenti che ti riguardano a meno che non sia stato tu –coscientemente– a volerli mettere in rete, e in tal caso direi che la preoccupazione viaggia sotto lo zero.

Di video compromettenti, riscatti Bitcoin e ondate di phishing

Nella versione italiana, l’attuale ondata prevede un testo che si ripete (come ogni attacco classico) e che modifica solo il campo mittente / destinatario e il valore economico del riscatto richiesto, mantenendo inalterato tutto il resto.

Le e-mail

Ciao!

Come avrai notato, ti ho inviato un’email dal tuo account.
Ciò significa che ho pieno accesso al tuo account.

Ti sto guardando da alcuni mesi.
Il fatto è che sei stato infettato da malware attraverso un sito per adulti che hai visitato.
Se non hai familiarità con questo, ti spiegherò.
Virus Trojan mi dà pieno accesso e controllo su un computer o altro dispositivo.
Ciò significa che posso vedere tutto sullo schermo, accendere la videocamera e il microfono, ma non ne sai nulla.

Ho anche accesso a tutti i tuoi contatti e tutta la tua corrispondenza.

Perché il tuo antivirus non ha rilevato il malware?
Risposta: il mio malware utilizza il driver, aggiorno le sue firme ogni 4 ore in modo che Il tuo antivirus era silenzioso.

Ho fatto un video che mostra come ti accontenti nella metà sinistra dello schermo, e nella metà destra vedi il video che hai guardato.
Con un clic del mouse, posso inviare questo video a tutte le tue e-mail e contatti sui social network.
Posso anche postare l’accesso a tutta la corrispondenza e ai messaggi di posta elettronica che usi.

Se vuoi impedirlo, trasferisci l’importo di 238€ al mio indirizzo bitcoin (se non sai come fare, scrivi a Google: “Compra Bitcoin”).

Il mio indirizzo bitcoin (BTC Wallet) è: 17YKd1iJBxu616JEVo15PsXvk1mnQyEFVt

Dopo aver ricevuto il pagamento, eliminerò il video e non mi sentirai mai più.
Ti do 48 ore per pagare.
Non appena apri questa lettera, il timer funzionerà e riceverò una notifica.

Presentare un reclamo da qualche parte non ha senso perché questa email non può essere tracciata come e il mio indirizzo bitcoin.
Non commetto errori!

Se scopro di aver condiviso questo messaggio con qualcun altro, il video verrà immediatamente distribuito.

Auguri!

In inglese la storia non cambia (c’è un diverso BTC Wallet, se ci fai bene caso), questo è ciò che ho intercettato tramite l’Exchange in Cloud che utilizziamo in ufficio e una Transport Rule creata ad-hoc, di cui ti parlerò tra breve:

Hi! As you may have noticed, I sent you an email from your account. This means that I have full access to your acc: On moment of crack USER@CONTOSO.COM password: 54428949 You say: this is my, but old password! Or: I will change my password at any time! Of course! You will be right, but the fact is that when you change the password, my malicious code every time saved a new one! I’ve been watching you for a few months now. But the fact is that you were infected with malware through an adult site that you visited. If you are not familiar with this, I will explain. Trojan Virus gives me full access and control over a computer or other device. This means that I can see everything on your screen, turn on the camera and microphone, but you do not know about it. I also have access to all your contacts and all your correspondence from e-mail and messangers. Why your antivirus did not detect my malware? Answer: My malware uses the driver, I update its signatures every 4 hours so that your antivirus is silent. I made a video showing how you satisfy yourself in the left half of the screen, and in the right half you see the video that you watched. With one click of the mouse, I can send this video to all your emails and contacts on social networks. I can also post access to all your e-mail correspondence and messengers that you use. If you want to prevent this, transfer the amount of $791 to my bitcoin address (if you do not know how to do this, write to Google: “Buy Bitcoin”). My bitcoin address (BTC Wallet) is: 1KeCBKUgQDyyMpaXhfpRi2qUvyrjcsT44o After receiving the payment, I will delete the video and you will never hear me again. I give you 48 hours to pay. I have a notice reading this letter, and the timer will work when you see this letter. Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address. I do not make any mistakes. If I find that you have shared this message with someone else, the video will be immediately distributed. Bye!

18/1/19

Una nuova variante è da poco comparsa, stavolta lo slang è molto “American-Yo”, la sostanza non cambia e si parla sempre di catture video, atti osceni in luogo evidentemente non pubblico e minacce di condivisione a contatti e amici su Facebook (la cosa simpatica è colpire gente che Facebook neanche lo ha, per dire):

ATTN: NomeUtente@contoso.com THIS IS NOT A JOKE – I AM DEAD SERIOUS! Hi perv, The last time you visited a p0rnographic website with teens, you downloaded and installed software I developed. My program has turned on your camera and recorded the process of your masturbation. My software has also downloaded all your email contact lists and a list of your friends on Facebook. I have both the ‘NomeUtente.mp4‘ with your masturbation as well as a file with all your contacts on my hard drive. You are very perverted! If you want me to delete both the files and keep the secret, you must send me Bitcoin payment. I give you 72 hours for payment. If you don’t know how to send Bitcoins, visit Google. Send 2.000 USD to this Bitcoin address immediately: 3E9Wbr5Wip7V5PFrrSxkur2tLfYeC5eiQm (copy and paste) 1 BTC = 3,580 USD right now, so send exactly 0.566837 BTC to the address provided above. Do not try to cheat me! As soon as you open this Email I will know you opened it. This Bitcoin address is linked to you only, so I will know if you sent the correct amount. When you pay in full, I will remove the files and deactivate my program. If you don’t send the payment, I will send your masturbation video to ALL YOUR FRIENDS AND ASSOCIATES from your contact list I hacked. Here are the payment details again: Send 0.566837 BTC to this Bitcoin address: —————————————- 3E9Wbr5Wip7V5PFrrSxkur2tLfYeC5eiQm —————————————- You саn visit police but nobody will help you. I know what I am doing. I don’t live in your country and I know how to stay anonymous. Don’t try to deceive me – I will know it immediately – my spy ware is recording all the websites you visit and all keys you press. If you do – I will send this ugly recording to everyone you know, including your family. Don’t cheat me! Don’t forget the shame and if you ignore this message your life will be ruined. I am waiting for your Bitcoin payment. If you need more time to buy and send 0.566837 BTC, open your notepad and write ’48h plz’. I will consider giving you another 48 hours before I release the vid. Anonymous Hacker

Nota di merito per il “open your notepad and write ’48h plz’“, onore al criminale che tutto sommato ha un cuore e permette di avere un po’ più di tempo per racimolare la cifra ?

21/1/19

Nuovo giro, nuova mail, in realtà ben poco differente dall’ultima che ho pubblicato in questa pagina, contiene infatti un “ultimo avvertimento” prima di diffondere il materiale rubato. In compenso c’è sempre l’ulteriore scappatoia del “ancora 5 minuti, mamma!” che si può mettere in atto lasciando un messaggio su blocco note ?

LAST WARNING NomeUtente@contoso.com! You have the last chance to save your social life – I am not kidding!! I give you the last 72 hours to make the payment before I send the video with your masturbation to all your friends and associates. The last time you visited a erotic website with young Teens, you downloaded and installed the software I developed. My program has turned on your camera and recorded your act of Masturbation and the video you were masturbating to. My software also downloaded all your email contact lists and a list of your Facebook friends. I have both the ‘NomeUtente.mp4‘ with your masturbation and a file with all your contacts on my hard drive. You are very perverted! If you want me to delete both files and keep your secret, you must send me Bitcoin payment. I give you the last 72 hours. If you don’t know how to send Bitcoins, visit Google. Send 2000 USD to this Bitcoin address immediately: 3LXeenwA2rTat1EeqNzhqXzZZmvYyCytUH (copy and paste) 1 BTC = 3470 USD right now, so send exactly 0.588204 BTC to the address above. Do not try to cheat me! As soon as you open this Email I will know you opened it. This Bitcoin address is linked to you only, so I will know if you sent the correct amount. When you pay in full, I will remove both files and deactivate my software. If you don’t send the payment, I will send your masturbation video to ALL YOUR FRIENDS AND ASSOCIATES from your contact list I hacked. Here are the payment details again: Send 0.588204 BTC to this Bitcoin address: —————————————- 3LXeenwA2rTat1EeqNzhqXzZZmvYyCytUH —————————————- You саn visit the police but nobody will help you. I know what I am doing. I don’t live in your country and I know how to stay anonymous. Don’t try to deceive me – I will know it immediately – my spy ware is recording all the websites you visit and all keys you press. If you do – I will send this ugly recording to everyone you know, including your family. Don’t cheat me! Don’t forget the shame and if you ignore this message your life will be ruined. I am waiting for your Bitcoin payment. Brandon Anonymous Hacker P.S. If you need more time to buy and send 0.588204 BTC, open your notepad and write ’48h plz’. I will consider giving you another 48 hours before I release the vid, but only when I really see you are struggling to buy bitcoin.

22/1/19

L’attacco è stato ormai sdoganato e chiunque può provarci cavalcando l’onda del panico ingiustificato. Rimane pressoché tutto invariato: come ti hanno spiato, come ti hanno registrato e come puoi pagare il riscatto per distruggere le fantomatiche prove. Cambiano i mittenti (indirizzi di posta elettronica sparsi per molti TLD, italiani compresi), l’oggetto della mail (con un ID progressivo) e il modo in cui si riportano i dollari richiesti (testuale / numero), anch’essi variabili in base a una scelta evidentemente casuale. Ti faccio dare un’occhiata ad alcune di queste mail intercettate per capire meglio di cosa sto parlando:

Di video compromettenti, riscatti Bitcoin e ondate di phishing (Aggiornato)

Passando poi al testo contenuto in una di queste; noterai che stavolta non si fa riferimento alcuno all’indirizzo della casella di posta “colpita“, il testo nasce generico.

Hello You as well as everybody have been warned many times.But,obviously you didnt use internet carefuly.Whats the problem?- U are thinking right now.Lets start with the fact that I put the virus on a webpage with videos for adults (site with pоrn content) (u know whats up).Object clicked on a play button and device began working as dedicated desktop with keylogger function.So all cameras and screen instantly started recording.Then my software collected all your contacts from messengers,e-mails and social networks. So what do we have now? I created the split screen video (1st part-screen record(you have a great taste lmao),2nd part- cam rec.) and all your contacts.I think its not good news. Hence I suppose that five hundred fifty usd is adequately for this smallwee fail. My bitcoin wallet – 1DGMALtWHn3z1EvXv4mDWxvwx99MUSWbdE Ask internet how to use it.It is not very hard.Just write “how to buy bitcoins” I give u 1 day after reading this message(I placed a special pixel in it,Ill see when you open it). If I don’t recieve the necessary amount All your contacts will recieve video with you Since I receive bitcoin- the сompromising will be destroyed.If u charge me to show evidence,reply yeah and Ill send this video to three contacts Ive collected from you. Can go to cops,but searching me is more long-lasting than 1 day,im Romanian,so you will be a star among friends.

25/1/19

Titolo nuovo, sostanza del contenuto invariata e ancora una volta generica, questo è il nuovo tipo di mail che viene intercettata con oggetto che spesso resta fisso sul “Be sure to read this message! Your personal data is threatened!

Hello! As you may have noticed, I sent you an email from your account. This means that I have full access to your account. I’ve been watching you for a few months now. The fact is that you were infected with malware through an adult site that you visited. If you are not familiar with this, I will explain. Trojan Virus gives me full access and control over a computer or other device. This means that I can see everything on your screen, turn on the camera and microphone, but you do not know about it. I also have access to all your contacts and all your correspondence. Why your antivirus did not detect malware? Answer: My malware uses the driver, I update its signatures every 4 hours so that your antivirus is silent. I made a video showing how you satisfy yourself in the left half of the screen, and in the right half you see the video that you watched. With one click of the mouse, I can send this video to all your emails and contacts on social networks. I can also post access to all your e-mail correspondence and messengers that you use. If you want to prevent this, transfer the amount of $664 to my bitcoin address (if you do not know how to do this, write to Google: “Buy Bitcoin”). My bitcoin address (BTC Wallet) is: 1Jh1miFmhTmGQvn6Zejaqg85viD4k1vVjG After receiving the payment, I will delete the video and you will never hear me again. I give you 48 hours to pay. I have a notice reading this letter, and the timer will work when you see this letter. Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address. I do not make any mistakes. If I find that you have shared this message with someone else, the video will be immediately distributed. Best wishes!

1/2/19

Un solo aggiornamento per raccogliere altri tre tipi di mail che sto intercettando negli ultimi tempi. Nel terzo esempio si fa addirittura un salto indietro nel tempo per far capire alla potenziale vittima da quanto l’attaccante abbia possesso delle risorse della macchina colpita. In comune hanno il riferimento alle solite 48 ore per il pagamento e la costante del pagamento bitcoin (la cifra è sempre variabile). Solo l’ultima ripropone l’indirizzo di posta elettronica della vittima.

Your account has been hacked! You need to unlock.
Hello! I’m a programmer who cracked your email account and device about half year ago. You entered a password on one of the insecure site you visited, and I catched it. Of course you can will change your password, or already made it. But it doesn’t matter, my rat software update it every time. Please don’t try to contact me or find me, it is impossible, since I sent you an email from your email account. Through your e-mail, I uploaded malicious code to your Operation System. I saved all of your contacts with friends, colleagues, relatives and a complete history of visits to the Internet resources. Also I installed a rat software on your device and long tome spying for you. You are not my only victim, I usually lock devices and ask for a ransom. But I was struck by the sites of intimate content that you very often visit. I am in shock of your reach fantasies! Wow! I’ve never seen anything like this! I did not even know that SUCH content could be so exciting! So, when you had fun on intime sites (you know what I mean!) I made screenshot with using my program from your camera of yours device. After that, I jointed them to the content of the currently viewed site. Will be funny when I send these photos to your contacts! And if your relatives see it? BUT I’m sure you don’t want it. I definitely would not want to … I will not do this if you pay me a little amount. I think $700 is a nice price for it! I accept only Bitcoins. My BTC wallet: 18cFCmESfC6PKn8LL6HPbtK2EWLLdsryXp If you have difficulty with this – Ask Google “how to make a payment on a bitcoin wallet”. It’s easy. After receiving the above amount, all your data will be immediately removed automatically. My virus will also will be destroy itself from your operating system. My Trojan have auto alert, after this email is looked, I will be know it! You have 2 days (48 hours) for make a payment. If this does not happen – all your contacts will get crazy shots with your dirty life! And so that you do not obstruct me, your device will be locked (also after 48 hours) Do not take this frivolously! This is the last warning! Various security services or antiviruses won’t help you for sure (I have already collected all your data). Here are the recommendations of a professional: Antiviruses do not help against modern malicious code. Just do not enter your passwords on unsafe sites! I hope you will be prudent. Bye.

This account has been hacked! Change your password right now!
You may not know me and you are probably wondering why you are getting this e mail, right? I’m a hacker who cracked your email and devices a few months ago. Do not try to contact me or find me, it is impossible, since I sent you an email from YOUR hacked account. I setup a malware on the adult vids (porno) web-site and guess what, you visited this site to have fun (you know what I mean). While you were watching videos, your internet browser started out functioning as a RDP (Remote Control) having a keylogger which gave me accessibility to your screen and web cam. After that, my software program obtained all information. You entered a passwords on the websites you visited, and I intercepted it. Of course you can will change it, or already changed it. But it doesn’t matter, my malware updated it every time. What did I do? I backuped device. All files and contacts. I created a double-screen video. 1st part shows the video you were watching (you’ve got a good taste haha . . .), and 2nd part shows the recording of your web cam. exactly what should you do? Well, in my opinion, $1000 (USD) is a fair price for our little secret. You’ll make the payment by Bitcoin (if you do not know this, search “how to buy bitcoin” in Google). My Bitcoin wallet Address: 1CcYkUKB5ViUJyNdKynSmt7H4YHiru5Ecf (It is cAsE sensitive, so copy and paste it) Important: You have 48 hour in order to make the payment. (I’ve a unique pixel in this e mail, and at this moment I know that you have read through this email message). To track the reading of a message and the actions in it, I use the facebook pixel. Thanks to them. (Everything that is used for the authorities can help us.) If I do not get the BitCoins, I will certainly send out your video recording to all of your contacts including relatives, coworkers, and so on.

The decision to suspend your account. Waiting for payment.
Hello! I have very bad news for you. 12/10/2018 – on this day I hacked your OS and got full access to your account UTENTE@CONTOSO.COM So, you can change the password, yes… But my malware intercepts it every time. How I made it: In the software of the router, through which you went online, was a vulnerability. I just hacked this router and placed my malicious code on it. When you went online, my trojan was installed on the OS of your device. After that, I made a full dump of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts). A month ago, I wanted to lock your device and ask for a not big amount of btc to unlock. But I looked at the sites that you regularly visit, and I was shocked by what I saw!!! I’m talk you about sites for adults. I want to say – you are a BIG pervert. Your fantasy is shifted far away from the normal course! And I got an idea…. I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?). After that, I made a screenshot of your joys (using the camera of your device) and glued them together. Turned out amazing! You are so spectacular! I’m know that you would not like to show these screenshots to your friends, relatives or colleagues. I think $641 is a very, very small amount for my silence. Besides, I have been spying on you for so long, having spent a lot of time! Pay ONLY in Bitcoins! My BTC wallet: 145SmyE7DBEQExsnXZobojbQqr5UdgbCHh You do not know how to use bitcoins? Enter a query in any search engine: “how to replenish btc wallet”. It’s extremely easy For this payment I give you two days (48 hours). As soon as this letter is opened, the timer will work. After payment, my virus and dirty screenshots with your enjoys will be self-destruct automatically. If I do not receive from you the specified amount, then your device will be locked, and all your contacts will receive a screenshots with your “enjoys”. I hope you understand your situation. – Do not try to find and destroy my virus! (All your data, files and screenshots is already uploaded to a remote server) – Do not try to contact me (this is not feasible, I sent you an email from your account) – Various security services will not help you; formatting a disk or destroying a device will not help, since your data is already on a remote server. P.S. You are not my single victim. so, I guarantee you that I will not disturb you again after payment! This is the word of honor hacker I also ask you to regularly update your antiviruses in the future. This way you will no longer fall into a similar situation. Do not hold evil! I just do my job. Have a nice day!

Complessità spicciole

Appurato che l’utilizzo non autorizzato di dispositivi come microfono e webcam è stato reso possibile in passato da backdoor scoperte e rese poi pubbliche, quindi ormai inutilizzabili (anche di questi argomenti puoi leggere ciò che vuoi sul web, non è difficile), e che è quindi consigliato prendere precauzioni (molti PC oggi propongono occhielli che è possibile chiudere quando non si utilizza la webcam, e ci sono delle applicazioni che avvisano nel caso in cui un qualsiasi software o servizio stia tentando l’accesso silente al microfono, per esempio), quanto affermato dall’autore dell’attacco è abbastanza improbabile:

  • la mail arriva sì dal tuo stesso nome, cognome e indirizzo di posta elettronica, ma non è realmente così. Analizzando l’header scoprirai che il mittente usa un indirizzo IP non autorizzato all’invio di mail con il tuo dominio (fallisce la verifica del record SPF, ma non solo), molto spesso africano (questo è ciò che rilevo dall’ondata che stiamo analizzando con Microsoft da un paio di giorni a questa parte): redirect.li/map/?ip=41.187.116.102. Se hai bisogno di uno strumento pratico per l’analisi degli header di posta elettronica, ti consiglio quello ufficiale Microsoft all’indirizzo mha.azurewebsites.net/pages/mha.html. Per questo stesso motivo la casella di posta elettronica reale è in salute, non violata, e chi attacca non può avere avuto accesso alla tua casella di posta elettronica, né tanto meno ai contatti della rubrica.
  • I malware possono pressoché tutto se hanno accesso indisturbato alla tua macchina, ma per poterti infettare dovrai aver installato qualcosa tu di tua sponte (all’incirca), non ci si prende delle malattie solo perché hai sfiorato o sei rimasto per più tempo su un sito web per adulti. Altra clamorosa stupidata è quella relativa al driver e all’aggiornamento delle firme ogni 4 ore.

pourparler

  • Qualcuno sa spiegarmi cosa vuol dire accontentarsi di metà video destra o sinistra? Non è una complessità, più che altro è curiosità, ma proseguiamo.
  • Hai notato che non c’è riferimento alcuno al fatto che il pagamento verrà verificato? Tu paga, io cancello, ma non hai modo di verificare che questo venga realmente fatto, non ti suona un pelo strano?
  • All’interno della mail si parla di conto alla rovescia, ma non c’è sistema alcuno integrato che lo permetta. È una cosa fattibile, si usano dei “pixel” come fossero immagini che –una volta visualizzate– possono effettivamente far partire un avviso al mittente, ma l’ondata di cui siamo un po’ tutti partecipi attualmente non contiene al suo interno nulla di tutto questo. Sulla base di tutto questo viene meno anche la scoperta della condivisione (quella per la quale verrà condiviso immediatamente il video, senza possibilità di appello).

Consigli

Immagino tu ne stia cercando, è ragionevole considerando che forse non sei ferrato in materia e probabilmente un piccolo attacco di panico lo hai anche avuto. Provo a buttare giù qualche linea guida che spero possa tornarti utile, ma se vuoi chiedere dell’altro non farti problemi, sei il benvenuto, puoi utilizzare l’area commenti qui di seguito o se preferisci (e sei iscritto a Reddit) il sub /r/Gioxx.

  • Vuoi cambiare password? Non è necessario, ma fallo se ciò ti fa sentire più sicuro. Ti ricordo che sarebbe opportuno utilizzare password diverse per ogni servizio, non facilmente riconducibili a te ma non per questo motivo troppo complesse, dai un’occhiata a questo mio vecchio articolo in merito. Se non sai come ricordarle tutte o come gestirle al meglio, ti consiglio di leggere L’ecosistema “KeePass based”: gestire password tra più sistemi.
  • L’antivirus è certamente fondamentale. A prescindere dalla tua scelta (vendor / prodotto), è sempre bene averne uno aggiornato, al quale permettere di effettuare scansioni complete programmate (quotidiane se possibile, settimanali come minimo). A questo puoi associare, nel caso già non lo facesse lui, un software antispam e uno antimalware (come MBAM), da utilizzare di tanto in tanto per capire se ci sono ospiti scomodi (anche se non troppo) a bordo della macchina.
  • Il browser è il centro della tua quotidianità. Non mi importa se sei pro o contro Firefox, se sei fanboy di Google o chissà quale altro prodotto, l’importante è utilizzare un browser costantemente aggiornato e sicuro, evita Internet Explorer e anche Edge (almeno fino a quando questo non sarà basato sul progetto Chromium), proteggiti ulteriormente utilizzando componenti aggiuntivi che non permettono di essere tracciati durante la navigazione.

Exchange in Cloud

Di video compromettenti, riscatti Bitcoin e ondate di phishing 1

Se sei amministratore di server Exchange in Cloud (la soluzione proposta da Office 365) crea una nuova Transport Rule per proteggere i tuoi utenti. Collegati all’ECP e spostati sotto mail flowrules, quindi crea la regola partendo dal template di Bypass spam filtering (anche se così non sarà) e:

If the message…

  • Includes these patterns in the message subject or body: ‘bitcoin’ or ‘pornografico’ or ‘masturbazione’ or ‘BTC Wallet’
  • and Is received from ‘Outside the organization’

Do the following…

  • Set audit severity level to ‘High’
  • and Deliver the message to the hosted quarantine.
  • and Stop processing more rules
  • and Send the incident report to ADMINS@CONTOSO.COM (sostituiscilo con un tuo indirizzo di posta elettronica), include these message properties in the report: sender, recipients,
  • subject, matching rules, matching content

Rule mode

  • Enforce

Additional properties

  • Sender address matches: Header

La regola potrebbe certamente fermare in Quarantena del materiale lecito che nulla c’entra con l’attacco, ma considerando la quantità di mail oggi in ingresso ti assicuro che i falsi positivi possono essere contati sulle dita di una sola mano. Ti toccherà quindi tenere d’occhio la coda di mail bloccate, ma è cosa assai semplice (per il momento), che potrai fare più volte nel corso di una giornata (protection.office.com/#/quarantine, da mostrare per “Criterio“).

Sono ancora in contatto con il supporto Microsoft per migliorare ulteriormente l’intercettazione di queste mail tramite RegEx, aggiornerò l’articolo non appena ci saranno sviluppi (testati e funzionanti) in merito.

Letture e conclusioni

Ottenere il tuo indirizzo di posta elettronica e bersargliarlo con attacchi di questo tipo è cosa ormai assai semplice. Se non sei tu a inserirlo in moduli (e quindi database) facilmente attaccabili e dai quali ottenere –come manna dal cielo– informazioni facilmente rivendibili, saranno altri a farlo per conto tuo (senza necessariamente la tua autorizzazione), esempi pratici di ciò sono quelli discussi da Troy Hunt (ripresi poi in italiano da Michele Nasi) nel suo articolo The 773 Million Record “Collection #1” Data Breach (in italiano qui: ilsoftware.it/articoli.asp?tag=Diffuso-in-rete-un-archivio-con-773-milioni-di-indirizzi-email-e-password-verificate-se-ci-sono-anche-i-vostri_18617).

19/1/19

Aggiungo: krebsonsecurity.com/2019/01/773m-password-megabreach-is-years-old (merita qualche minuto del tuo tempo, perché non sempre ciò che gli occhi vedono corrisponde al vero).

Ti ho parlato già di strumenti come HIBP o Firefox Monitor, trovi qualche informazione in più qui: Firefox Monitor ti avvisa in caso di furto credenziali.

Occhi sempre bene aperti! ;-)


immagine di copertina: unsplash.com / author: rawpixel

Condividi l'articolo con i tuoi contatti:

Un tempo c’era la modifica del registro di sistema e quella chiave DelegateSentItemsStyle da valorizzare su ogni client provvisto di suite Microsoft Office e uso delle caselle di posta elettronica condivise via Office 365, oggi invece la possibilità di salvare una copia delle mail inviate per conto di una Shared Mailbox si attiva direttamente da interfaccia grafica o –se sei solito utilizzarla– da PowerShell. Diamo un’occhiata rapida alla “novità” (che tanto novità ormai non è più).

Outlook: forzare i nomi delle cartelle in italiano 3

Vecchia scuola (GPO)

Le chiavi di registro sono ancora lì, nessuno le ha più toccate da quando le ho inserite in una Group Policy in grado di pilotare il comportamento di Office dal 2007 al 2016, in attesa che perdano di valore e vengano da me dismesse con il passaggio a Office 2019. Tutto molto semplice e ben spiegato: si scaricavano i file ADM/ADMX relativi a Microsoft Office, quindi si andavano a ritoccare alcune preferenze di Outlook, che gli chiedevano di tenere copia della mail inviata all’interno della casella di posta condivisa anziché quella personale dell’utilizzatore.

Office 365: salvare una copia della Posta Inviata di una Shared Mailbox

La formula utilizzata era sempre la stessa:

Hive HKEY_CURRENT_USER 
Key path Software\Microsoft\Office\12.0\Outlook\Preferences 
Value name DelegateSentItemsStyle 
Value type REG_DWORD 
Value data 0x1 (1)

A cambiare era esclusivamente quel numero di versione corrispondente “all’anno di Office e quindi di Outlook“: 12.0 si traduceva con Office 2007, 14.0 con 2010, 15.0 con 2013 e infine 16.0 con 2016. Una volta propagata, la GPO scriveva quella chiave di registro che gli Outlook installati sui client Windows di dominio trovavano e rispettavano, portando a termine quanto richiesto. Diciamo che il problema del salvare una copia della posta inviata da una casella condivisa è tornato in auge prepotentemente nel momento in cui le macchine con macOS a bordo hanno cominciato ad avere bisogno di utilizzare quelle caselle di posta.

Per tua informazione: la GPO continua a funzionare correttamente, ma è diventata inutile e onerosa rispetto alla modifica lato Exchange del comportamento delle caselle di posta condivisa.

Cosa cambia oggi

Che tu voglia utilizzare la GUI o un prompt di PowerShell, la possibilità di salvare una mail inviata da una casella di posta condivisa al suo stesso interno è ormai cosa semplice. Accedendo infatti all’interfaccia di amministrazione di Office 365 → Gruppi → Cassette postali condivise (almeno questo è il percorso all’interno della GUI in preview), potrai semplicemente aprire la scheda relativa alla casella postale che ti interessa, quindi scegliere il pulsante di modifica in corrispondenza della voce “Posta inviata“, per portarlo alla dicitura “Copiata nella cassetta postale“, come in immagine:

Salvando la modifica, questa sarà immediata e comincerà a tenere copia delle mail inviate nella cartella ad-hoc all’interno della casella di posta condivisa. Obiettivo raggiunto con pochissimi clic rispetto al passato, non legato assolutamente al client (una soluzione quindi perfetta anche per i Mac e per chiunque faccia uso di Shared Mailbox senza un PC in dominio e relativa modifica al registro di Windows), l’ideale sulla carta.

PowerShell

Ciò che chiaramente diventa molto poco ideale è invece la riproducibilità su larga scala, quella fatta di moltissime caselle di posta condivise nate in passato, da migrare a questa novità. Per sopperire la mancanza c’è sempre la via più “rude” ma estremamente più pratica, quella dell’azione via PowerShell. Si fa riferimento a questo argomento in un articolo ospitato su uno dei tanti blog di Technet, lo trovi all’indirizzo blogs.technet.microsoft.com/exchange/2015/03/03/want-more-control-over-sent-items-when-using-shared-mailboxes, io ti faccio giusto il sunto:

  • L’opzione di salvataggio “Copia la posta inviata come questa cassetta postale” corrisponde al parametro -MessageCopyForSentAsEnabled, l’altra (“Copia la posta inviata per conto di questa cassetta postale“, nda) invece al -MessageCopyForSendOnBehalfEnabled. Si tratta di due valori booleani.
  • Partendo da quanto sopra riportato, il valore di entrambi i parametri (che si applicano a un normale Set-Mailbox) potrà assumere valore $true per abilitare l’opzione, $false per disabilitarla.

Il risultato dei due punti si traduce con queste istruzioni d’esempio:

Set-Mailbox sharedmailbox@contoso.com -MessageCopyForSentAsEnabled $True
Set-Mailbox sharedmailbox@contoso.com -MessageCopyForSendOnBehalfEnabled $True

Rispettivamente corrispondenti all’abilitazione della copia mail inviate sia per permessi di SendAs (prima istruzione) che SendOnBehalfTo (la seconda).

Set-Mailbox sharedmailbox@contoso.com -MessageCopyForSentAsEnabled $False
Set-Mailbox sharedmailbox@contoso.com -MessageCopyForSendOnBehalfEnabled $False

Per ottenere l’effetto contrario e non permettere il salvataggio delle mail inviate all’interno della casella di posta condivisa. In questo caso le mail inviate rimarranno nella cartella “Posta inviata” della casella di posta personale dell’utilizzatore (che ha le autorizzazioni per inviare mail a nome della casella condivisa o “per conto di“).

Va da sé che quel parametro può tornare estremamente utile in caso di creazione nuova casella di posta condivisa da PowerShell, ma anche se si volesse lanciare un batch unico per modificare tutte quelle già esistenti in Office 365, pensa a un banale:

Get-Mailbox -RecipientTypeDetails SharedMailbox -ResultSize Unlimited | foreach { Set-Mailbox $_.PrimarySmtpAddress -MessageCopyForSentAsEnabled $True -MessageCopyForSendOnBehalfEnabled $True }

Ed è giusto un possibile esempio da poter applicare. Lascio a te ogni commento o diversa proposta che puoi riportare nell’area commenti qui di seguito, subito dopo l’articolo :-)

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Ho avuto la necessità di ricercare la data di ricezione della più vecchia mail all’interno di una casella di posta elettronica. Chiaramente questa cosa è fattibile via Outlook, mettendosi in condizione di vedere tutte le email ricevute (basta un banale filtro impostato nella casella di ricerca, nda) e scorrendo poi fino in fondo alla casella di posta, ammesso però che l’opzione di cache locale non sia impostata con un limite troppo basso (per esempio quello classico da 12 mesi) o che la connessione verso Exchange sia perfetta (nel caso in cui la si consulti direttamente online). Come spesso accade c’è un rapido trucco da adottare via PowerShell per aggirare l’ostacolo e arrivare immediatamente al risultato desiderato.

PowerShell: assegnazione in bulk delle licenze Office 365

Si fa riferimento a questo tipo di operazione nel documento Microsoft relativo al Get-MailboxFolderStatistics, maggiori informazioni si trovano all’indirizzo docs.microsoft.com/en-us/powershell/module/exchange/mailboxes/get-mailboxfolderstatistics?view=exchange-ps. Il set di istruzioni è abbastanza semplice, ho raccolto tutto sotto lo stesso tetto e te lo propongo qui di seguito:

Il file PS1 (che ho chiamato OldestMail.ps1) si aspetta che tu da prompt gli aggiunga in coda l’indirizzo di posta elettronica da analizzare ($SourceMailbox) nella modalità .\OldestMail.ps1 mario@contoso.com, essendo il parametro obbligatorio ti verrà comunque richiesto anche nel caso in cui dovessi dimenticare di specificarlo.

Otterrai un risultato molto simile a questo:

PS C:\PS1\PS1> .\tools\OldestMail.ps1 mario.rossi
OldestItemReceivedDate FolderPath
---------------------- ----------
11/12/2017 14:11:49 /Gestite/Assistenza tecnica

Buon lavoro.


fonte: social.technet.microsoft.com/Forums/projectserver/en-US/df23c7cc-faba-43bf-af82-0581925d2b8d/command-to-find-oldest-email-in-mailbox?forum=exchangesvradmin

immagine di copertina: unsplash.com / author: Marius Christensen

× Le pillole del Dr.Mario

Pillole

Le pillole sono articoli di veloce lettura dedicati a notizie, script o qualsiasi altra cosa possa essere "divorata e messa in pratica" con poco. Uno spazio del blog riservato ai post "a bruciapelo"!
Condividi l'articolo con i tuoi contatti:

Ho rimesso mano al ChannelSelector per Office di cui ti avevo parlato un anno fa circa, un po’ per mettere a posto i nuovi nomi dei canali di aggiornamento adottati da Microsoft, un po’ per cambiare il metodo di intervento sul registro, in accordo con ciò che oggi è ormai capace di fare il Click2Run ufficiale che teoricamente utilizzi per mandare in downgrade o upgrade forzato una suite Office dal prompt dei comandi. Andiamo con ordine però, nell’articolo ti spiegherò le novità dello script, i riferimenti da adottare per il Registro di Sistema e l’uso in alternativa del C2R disponibile nella cartella Common Files di Office, soluzione che continua a rimanere ufficiale, pensata e distribuita direttamente da Microsoft.

Office 365 ProPlus (2016): aggiornamento di ChannelSelector

Il nuovo ChannelSelector

Tolto il blocco informativo iniziale con i riferimenti e le fonti utilizzate, cambia il metodo di azione sul Registro di Sistema (regedit), andando a compilare / modificare il campo CDNBaseUrl che determina l’URL dal quale scaricare i file di installazione o aggiornamento di Office, si passa poi alla rimozione delle altre chiavi di registro precedentemente valorizzate, così da permettere al tuo Office di popolarsele autonomamente al successivo avvio e conseguente ricerca aggiornamenti (inevitabile, considerando che stai cambiando canale di distribuzione).

Rimangono invece disponibili e valide le altre opzioni, fatte per conoscere il branch utilizzato e bloccare o permettere gli aggiornamenti automatici della suite. Una verifica introdotta con questa versione dello script si occuperà di terminarlo nel caso in cui non rilevi un’installazione di Office 2016 a bordo macchina.

Avvia lo script come amministratore locale della macchina (o di dominio), quindi scegli ciò che ti serve. Se non vuoi utilizzare un prompt dei comandi (oltre quanto già fatto per utilizzare il mio batch), dovrai chiudere ogni applicazione Office (e riaprirne una qualsiasi dopo la modifica) se vuoi accertarti che l’obiettivo sia stato centrato.

Maggiori informazioni (sempre utili) sul rilascio degli aggiornamenti sono disponibili nella documentazione ufficiale di Microsoft, a questi indirizzi: docs.microsoft.com/it-it/DeployOffice/overview-of-update-channels-for-office-365-proplus & docs.microsoft.com/it-it/officeupdates/release-notes-office365-proplus.

In via ufficiale: OfficeC2RClient.exe

Volendo operare per vie ufficiali, Microsoft ha da tempo aggiornato il proprio OfficeC2RClient.exe per permetterti di cambiare canale di distribuzione per nuove versioni e aggiornamenti della suite Microsoft Office. Ti spiego molto rapidamente come procedere partendo dallo schema aggiornamenti:

CanaleParametro (da Prompt o Office Deployment Tool)
Canale mensile (Mirato)Channel=Insiders o Channel=FirstReleaseCurrent
Canale mensileChannel=Monthly o Channel=Current
Canale semestrale (Mirato)Channel=Targeted o Channel=FirstReleaseDeferred
Canale semestraleChannel=Broad o Channel=Deferred

Ciò detto, apri un prompt dei comandi con diritti amministrativi, quindi spostati sotto Program Files → Common Files → microsoft shared → ClickToRun (cd \Program Files\Common Files\microsoft shared\ClickToRun). A questo punto dovrai semplicemente lanciare l’eseguibile OfficeC2RClient.exe con il parametro /changesetting Channel=$Canale, dove al posto di $Canale dovrai specificare quello che ti interessa, un esempio pratico:

C:\Program Files\Common Files\microsoft shared\ClickToRun>OfficeC2RClient.exe /changesetting Channel=Monthly

Questa abiliterà il canale di aggiornamento mensile sulla suite Office installata. Per poter scatenare l’operazione di ricerca aggiornamenti nell’immediato ti basterà utilizzare lo stesso eseguibile ma con un parametro diverso:

C:\Program Files\Common Files\microsoft shared\ClickToRun>OfficeC2RClient.exe /update user

Il gioco è fatto, non ti servirà fare null’altro.

Buon lavoro :-)


crediti: erwinbierens.com/switch-office-2016-to-monthly-targeted-channel

Condividi l'articolo con i tuoi contatti: