Sollten Mails mit einer echten Kommunikation jedoch angereichert mit Links zu Virendownloads, so kann es möglich sein, das ein System befallen wurde und dort eine versteckte Regel erstellt wurde, welche echte Kommunikation nach extern weiterleitet.
Diese würden weder in Outlook, OWA noch im ECP direkt angezeigt.
So würde im ECP der folgende Befehl nur „normalen“ Regeln anzeigen:
get-inboxrule -mailbox <name>
Sollte jedoch eine Regel in der Art bearbeitet werden das der Wert PR_RULE_MSG_NAME und PR_RULE_MSG_PROVIDER entfernt werden, so ist diese nicht mehr direkt zu sehen – jedoch können diese mit dem folgenden Befehl angezeigt werden:
get-inboxrule -IncudeHidden -mailbox <name>
Hier bekommt man dann alle Regeln angezeigt, auch die vom System versteckt werden (Junk Email, Internal OOF, External OOF) und auch die unkenntlich gemachte – diese war in meinem Fällen eine mit dem Namen „-1234567890“ (Minuszeichen und eine Zahlenkolone).
Mit dem folgenden Befehl kann man alle Regeln der Mailboxen der Organisation ausgeben lassen und analysieren (z.B. nach einem Namen in dem obigen Format suchen oder nach unbekannten Weiterleitungsadressen suche):
Get-Mailbox -ResultSize Unlimited | Select-Object -ExpandProperty UserPrincipalName | Foreach-Object {Get-InboxRule -IncludeHidden -Mailbox $_ | Select-Object -Property MailboxOwnerID,Name,Enabled,From,Description,RedirectTo,ForwardTo}Weitere Informationen (z.B. erstellen einer unkenntlich gemachten Weiterleitungsregel) bekommt ihr hier: https://blog.compass-security.com/2018/09/hidden-inbox-rules-in-microsoft-exchange/
