Änderung im Verhalten von "Senden als" und Auswirkungen auf Blackberry, Goodlink und MOM 2005

Administratoren können auf Benutzerebene Konten Berechtigungen zum Zugriff auf andere Postfächer geben. Dabei werden zwischen verschiedenen Rechten unterschieden - sehr gebräuchlich sind dabei Senden als, Empfangen als und Vollständiger Postfachzugriff. Dabei muß insbesondere zwischen Senden als und Vollständiger Postfachzugriff unterschieden werden, da Vollständiger Postfachzugriff nur vollständig lesenden Zugriff auf ein Postfach bedeutet. Erst mit dem Recht Senden als kann man eine Email als der Postfachbesitzer versenden.

"Send as" and "Send on behalf" permissions in Exchange 2000 Server and in Exchange Server 2003

In früheren Exchange-Versionen wurde dieser Unterschied nicht immer beachtet. Wenn einem Benutzer als Vertreter Vollständiger Postfachzugriff für das Postfach eines anderen Benutzers gewährt wurde, konnte dieser sich in Outlook ein Profil einrichten, in dem er als primäres Postfach das Postfach des anderen Benutzers verwendete. In diesem Szenario konnte dann der Vertreter Emails im Namen des Postfach-Eigentümers aus dem Postfach des anderen Benutzers absenden, obwohl er keine Senden als-Berechtigungen für das Postfach des anderen Benutzers hatte.

A delegate user who has "Full mailbox access" permissions for another user's mailbox can send e-mail messages as the mailbox owner in Exchange Server 2003

Dieses Verhalten wurde mit einem Hotfix von Microsoft korrigiert. Das Senden als-Berechtigungsupdate ist für Exchange Server 2003 Service Pack 1 ab Build 7233.51 und höher sowie in Exchange Server 2003 Service Pack 2 ab Build 7650.23 und höher enthalten. Der Hotfix ist nicht Bestandteil von Exchange Server 2003 Service Pack 2, sondern muß nachträglich eingespielt werden.

Von dieser Änderung können eine ganze Reihe von Drittanbieter-Produkten betroffen sein. Alle Anwendungen, die mit einem speziellen Konto auf fremde Postfächer zugreifen und denen lediglich Vollständiger Postfachzugriff gewährt wurde, obwohl Senden als auch benötigt wird, werden nach dem Einspielen des Hotfix nicht mehr wie erwartet funktionieren und müssen in ihrer Konfiguration angepaßt werden.

Microsoft sind bisher folgende Anwendungen bekannt, bei denen sich die Auswirkungen zeigen:

• Research In Motion (RIM) Blackberry Enterprise Server (BES)
• Good Technology GoodLink Wireless Messaging
• Exchange Management Pack für Microsoft Operations Manager 2005

Folgende Anwendungen sind davon nicht betroffen:

• Cisco Unity Unified Messaging
• Quest Migration Suite for Exchange
• Microsoft ExMerge für Exchange

Um das Problem zu lösen, müssen die betroffenen Programme ihren speziellen Konten explizit das Recht Senden als vergeben.

Error message when an application tries to send a message as another user by using Exchange Server 2003: "Access denied"