Autor Thema: Return Receipt / Empfangsbestätigung von nicht berechtigtem User  (Gelesen 9811 mal)

Offline Lugo

  • Frischling
  • *
  • Beiträge: 38
  • Geschlecht: Männlich
Hallo zusammen,

wir stehen hier vor einem Rätsel. Nachdem das User-Activity-Logging ja nun schon teilweise ein Buch mit 7 Siegeln ist, läßt uns auch ein Return Receipt mit fragenden Gesichtern zurück.

Umgebung wie gehabt (Server R7.04FP2, Client R7.04, R5 Schablone...jaja)

Folgender Fall:

User A sendet aus der eigenen MDB eine Mail mit Empfangsbestätigung an eine Mail-IN-DB
User B ohne Zugriff auf diese Mail-IN-DB löst eine Empfangsbestätigung an User A aus

- User B definitiv ohne Berechtigung auf diese Mail-IN-DB
- User B laut hat laut log.nsf auch nicht auf diese DB zugegriffen, seine Aktivitäten beschränkten sich auf DBs auf die er berechtigt ist
- Mail taucht nur 3 mal im Mailverlauf auf (User A Ausgangsmail, User B fragwürdige Empfangsbestätigung, User C korrekte Empfangsbestätigung)
- Mail-IN-DB liegt nur auf dem Cluster und nicht lokal

Welche Konstellationen sind denn denkbar damit User B diese Empfangsbestätigung auslöst???

Mir kommt nur noch die Möglichkeit des Kopierens der Mail von User A, von einem User XY, in eine Mail-IN-DB auf die User B Zugriff hat. Könnte man dies denn nachvollziehen anhand irgendwelcher Feldwerte wie Principal, From oder so?
Habt Ihr noch andere Ideen?

Danke schonmal,
Grüße Ingo


« Letzte Änderung: 14.09.11 - 14:54:52 von Lugo »
Domino 7.04 FP2
"Notes kann auch Mail"

Offline ata

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 5.092
  • Geschlecht: Männlich
  • drenaiondrufflos
    • Anton Tauscher Privat
... wie kam User B zu der Mail?
Grüßle Toni :)

Offline Lugo

  • Frischling
  • *
  • Beiträge: 38
  • Geschlecht: Männlich
Hallo Toni,

genau das ist ja meine Frage.  :-:
Domino 7.04 FP2
"Notes kann auch Mail"

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Hallo

Welche Konstellationen sind denn denkbar damit User B diese Empfangsbestätigung auslöst???

Hat/hatte User B zugriff auf die Mailbox von User A?

Gruß Werner
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Driri

  • Gast
...oder auf die mail.box des Servers ?  ;)

Offline Lugo

  • Frischling
  • *
  • Beiträge: 38
  • Geschlecht: Männlich
Ihr seid mir ja lustig  ;)

User B hat/hatte keinen Zugriff auf die MDB von User A.

Alle User sind Einlieferer auf den 2 Mailboxen.
Domino 7.04 FP2
"Notes kann auch Mail"

Offline ata

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 5.092
  • Geschlecht: Männlich
  • drenaiondrufflos
    • Anton Tauscher Privat
... aber irgendwann hat jemand mit der UserID von User B die Mail geöffnet - und nur so kommt der ReturnReceipt originär zustande. Bei Weiterleitung funktioniert das nach meinem Wissen nicht. Wie äußert sich denn User B dazu?
Grüßle Toni :)

Offline Lugo

  • Frischling
  • *
  • Beiträge: 38
  • Geschlecht: Männlich
Ja, wäre schon seltsam wenn der zuständige Event nach Lust und Laune agiert.

User B weiß eher rudimentär was eine Empfangsbestätigung ist.
Vor Ort zeigte/sagte er uns, daß er eine Empfangsbestätigung in einer Mail-IN-DB geöffnet habe um zu prüfen ob seine Mail ankam und daraufhin wurde er von User A angerufen, welcher sich über die durch User B ausgelöste Empfangsbestätigung wunderte. Zusammenhangslos.

Wir haben vor Ort alle Kacheln und ehemals geöffneten DBs überprüft und auf Shares nach Archiven oder Kopien der DB gesucht, man weiß ja nie was die User so anstellen. Nix. Nach persönlicher Einschätzung ist der User zu keinerlei Kniffen in der Lage.

Nichts deutet darauf hin, daß er diese Mail tatsächlich öffnete.
Domino 7.04 FP2
"Notes kann auch Mail"

Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Ist es ausgeschlossen, dass die ID von User B irgendwo rumliegt, und diese aus Versehen jemand verwendet?
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

Offline Lugo

  • Frischling
  • *
  • Beiträge: 38
  • Geschlecht: Männlich
Das ist nicht vollkommen auszuschließen, jedoch ist diese ID eben nicht auf die Mail-IN-DB berechtigt wo die Mail von User A eingelaufen ist.
Domino 7.04 FP2
"Notes kann auch Mail"

Offline ata

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 5.092
  • Geschlecht: Männlich
  • drenaiondrufflos
    • Anton Tauscher Privat
... ich kenne einige Fälle, wo man aus Gründen der Pragmatik den Zugriff auf die eigene Id auch weiteren Personen gegeben hat => Sekretärin, Stellvertreter oder wer auch immer. Eine dieser Personen kann als ebenfalls Empfänger der Mail mit Zugriffsberechtigung für User B das ebenfalls auslösen.

Bei lokalen Replikenn ohne konsitente ACL sieht das auch noch mal anders aus...

Toni
Grüßle Toni :)

Offline koehlerbv

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Vorbemerkung: Wenn hier hinsichtlich Rechten auf Datenbanken und Dokumente etwas schief laufen würde in Notes / Domino, wäre dies längst ein Eklat.

Was man also schon feststellen kann: Was Ihr beobachtet, ist eine völlig legale / normale Aktion. Jetzt gilt es "nur" noch festzustellen, wo Ihr einen Denkfehler habt oder etwas bzgl. der Rechte übersehen habt.

Der erste Punkt ist: Von User B (der ja eigentlich nicht darf) kommt ein RR, was nicht sein sollte. Das bedeutet: User B hat diese Mail *mit RR-Anforderung (!) bekommen. Da User C ebenfalls ein RR ausgelöst hat, war die Mail, die B geöffnet hat, nicht die gleiche, die User C bekommen hat. User B und User C haben also auch in unterschiedlichen *Mail*-DBs gearbeitet (die RR-Reaktion muss programmiert sein, ist also in "irgendwelchen" DBs gar nicht vorhanden).

Naheliegende Szenarien:
Es existiert eine Regel, die eingehende Mails unter bestimmten Bedingungen auch an B weiterleitet.
Es existiert ein Agent, der Mails aus der Mail-In an B weiterleitet.

Bernhard

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.885
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
wie immer excellent analysiert @Bernhard... Eventuell nur noch eine Sache hinzuzufügen:

Es ist vollkommen egal, WO User B die Mail geöffnet hat, es wird (wenn das Flag gesetzt ist) immer ein RR ausgelöst.

Also:
- Entweder in MailDB von User A (ja, auch wenn er die gesendete Mail öffnet, wird ein RR generiert (würde ich als "Bug" bezeichnen, ist aber so)
- Oder in der MailInDB
- Oder in irgendeiner anderen Datenbank, in der die Mail aufgeschlagen ist.
- Oder er hat eine ganz andere Mail geöffnet, deren RR AUSSIEHT, als wäre er ein RR auf die andere Mail (MessageID, $Ref, Subject, etc. prüfen, vielleicht war die Mail ja nur "ähnlich"...

Das müsst Ihr rausfinden. Das Ding hat eine Ursache... und die ist zu 100% NICHT darin zu suchen, dass der Benutzer was gesehen hat, was er (technisch, nicht organisatorisch) nicht hätte sehen dürfen...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Lugo

  • Frischling
  • *
  • Beiträge: 38
  • Geschlecht: Männlich
Danke für Eure Ideen.

@Bernhard:
Ich schließe ein fehlerhaftes Arbeiten von Notes/Domino auch aus.

Dein Einwand, daß User B und C unmöglich die selbe Mail geöffnet haben können (Feldwert RR wird nach dem öffnen ja auf 0 gesetzt) bestätigt die Theorie, daß die Mail kopiert wurde. Insbesondere da User C den RR nach User B auslöste, was nicht möglich wäre, wenn die Mail in der selben Mail-In-DB geöffnet worden wäre.
Ein Weiterleitungs-Agent oder ein ähnliche Regel sind auszuschließen, da dies im Mailtracking sichtbar wäre.

@Tode:
Richtig, die Mail könnte auch in eine andere DB gelangt sein. Aber eigentlich auch nur per Kopie.

Da bei einer Kopie der Mail der RR-Feldwert nicht verändert wird, könnte jeder User der auf die Mail-In-DB berechtigt ist und auf eine DB auf die User B berechtigt ist ebenfalls Zugriff hat, diese Kopie erstellt haben. Da wird eine Ermittlung des Users XY schwer.

Trotzdem danke, das Forum ist echt klasse.

Gruß Ingo
Domino 7.04 FP2
"Notes kann auch Mail"

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz