Outlook Sicherheitseinrichtungen

Exchange 2007 und Outlook 2007 benötigen nicht mehr zwingend die öffentlichen Ordner. Daher sind in Outlook 2007 diese Einstellungen in die Gruppenrichtlinien gewändert. Outlook 2007 nutzt nicht mehr die weiter unten beschriebenen Ordner und Formulare.
Siehe auch "Customize programmatic settings in Outlook 2007" http://technet.microsoft.com/en-us/library/cc179085.aspx

Bei Microsoft ist immer vieles auch sehr einfach zu nutzen. So ist es bei einem installierten Outlook per MAPI sehr einfach, automatisiert Nachrichten zu versenden. Dies ist eine wunderbare Einrichtung,  um z.B. von einer Backup Software täglich einen Bericht zu erhalten oder Arbeitsabläufe in einer Firma zu automatisieren. Doch wo Licht ist, ist auch Schatten.

Der einfache Weg über Outlook eine Mail zu versenden hat natürlich auch Tür und Tor für Viren und Würmer geöffnet, die über Outlook Zugriff auf Adressbücher und Daten erlangen und Nachrichten versenden konnten. Daher wurde mit jeder neuen Version von Outlook die Sicherheit verstärkt, so dass der automatische Versand oder Änderungen an Inhalten nicht mehr ohne Rückfrage möglich sind.

Warnungen für VBScript

Wer die Schnittstelle z.B. aus VBScript nutzt, wird seit Outlook XP mit SicherheitsUpdates und neue bemerken, dass sich diese Schnittstelle nicht mehr so einfach für automatische Verarbeitungen eignet. Wenn Sie daher heute automatisiert mit einer Software außerhalb von Outlook mit Hilfe von Outlook eine Mail versenden oder Daten ändern wollen, dann wird Outlook mit folgender oder ähnlicher Warnung reagieren:

Sie sehen sogar, dass es eine Zwangspause gibt, d.h. dass "Ja" erst nach einer Wartezeit verfügbar ist. Damit schütz Outlook diese Nutzung. Zu viele Viren und andre Schädlinge nutzen ebenfalls die gleiche Schnittstelle, um massenhaft Nachrichten zu versenden. Daher erwartet Outlook nun eine Bestätigung durch den Anwender.

Um diese Fehlermeldung zu provozieren, reicht es z.B. einfach das Script auf Olk VBScript zu starten. Nur wie können Sie nun doch eine Mail senden, ohne dass Outlook immer mit der Warnung startet ?.

Sie als Anwender können So erkennen, dass "irgend etwas" versucht per MAPI auf ihr Postfach zuzugreifen und dies zulassen. Leider zeigt auch bei Outlook 2003 das Fenster noch nicht den Namen des aufrufenden Programms an.

  • 263275 OL97: The Outlook E-mail Security Update Is Not Available für Outlook 97
  • 262617 OL98: Information About the Outlook E-mail Security Update
  • 262700 OL98: Developer Information About the Outlook E-mail Security Update
  • 263210 OFF2000: Known Issues with Office 2000 After You Apply the Outlook E-mail Security Update
  • 290500 OL2002: Developer Information About E-Mail Security Features
  • How to avoid security prompts in Visual Basic programs für Outlook
    http://www.mapilab.com/articles/vb_outlook_security.html

Beispiel VBScript mit SendKey

Ein kleines Codebeispiel zeigt, wie Sie die Outlook Warnung mit SENDKEY automatisch lösen können.

Const olByValue = 1
Const olMailItem = 0

Dim oOApp
Dim oOMail

Set oOApp = CreateObject("Outlook.Application")
Set oOMail = oOApp.CreateItem(olMailItem)

oOMail.display ' Fenster anzeigen
oOMail.To = "mapitest@ihremaildomain.tld"
oOMail.Subject = "Dies ist der Betreff"
oOMail.Body = "Testnachricht "
oOMail.Attachments.Add "c:\boot.ini", olByValue, 1

'oOMail.Send '<< dieser Befehl würde die Warnung anzeigen

Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.AppActivate oOMail
WshShell.SendKeys("%s") ' Sende ein "Alt-S". Outlook denkt der user "sendet

Das ist zwar nicht die feine Art, aber eine Möglichkeit eine Mail mit Outlook zu senden. Allerdings "flackert" der Bildschirm entsprechend, wenn Sie damit sehr viele Mails versenden.

Outlook Security Settings

Für Anwender, die Outlook in Verbindung mit einem Exchange Server nutzen, kann der Administrator zentral die Sicherheitseinstellungen anpassen bzw. außer Kraft setzen.

Mir ist im Moment kein Weg bekannt, wie ein Outlook ohne Exchange diese Einstellungen erhalten kann.

Sie müssen auf einem Arbeitsplatz als Administrator einige Dinge durchführen. Melden Sie sich daher auf einer Workstation mit installiertem Outlook an.

Office Ressource Kit auspacken und DLLs registrieren

Im Office Ressource Kit ist das AdminPack enthalten. (CD:\ORK\FILES\PFILES\ORKTOOLS\ORK10\TOOLS\ADMPACK). Starten Sie hier das Programm ADMPACK.EXE, welches dann in einem Ordner einige Dateien installiert. für uns interessant sind die folgenden Dateien

  • COMDLG32.OCX
  • HASHCTL.DLL
  • OutlookSecurity.oft
  • README.DOC

Die Datei COMDLG32.OCX und HASHCTL.DLL müssen nun auf ihren PC (und später auch auf die PCs der Anwender) in das Windows Systemverzeichnis. Kontrollieren Sie vorab, ob diese Dateien vielleicht schon in einer neueren Version vorhanden sind. Diese beiden Dateien sind auch mit folgendem Aufruf zu registrieren

regsvr32 comdlg32.ocx
regsvr32 hashctl.dll

Das Kopieren und registrieren können Sie später im Netzwerk z.B.: mit einer Gruppenrichtlinie und einem selbst erstellten MSI-Paket durchführen lassen. Da die Mailfunktion aber oft nur auf wenigen Systemen erforderlich ist, kann dies auch von Hand passieren.

öffentlicher Ordner anlegen

Nun müssen Sie Outlook starten und einen öffentlichen Ordner anlegen. Dieser Order MUSS auf der Wurzel der Struktur liegen und der Namen muss unbedingt "Outlook Security Settings " lauten. Wenn Sie für Office XP abweichende Einstellungen vornehmen können, können Sie auch einen Ordner "Outlook 10 Security Settings" anlegen. Welcher Ordner letztlich genutzt wird, ist eine Frage der Einstellung auf dem Client (Registrierung)

Setzen Sie die Berechtigungen so, dass jeder Mitarbeiter den Inhalt "lesen" kann, und sie als Administrator natürlich schreiben dürfen.

Outlook Security Template installieren

Der nächste Schritt ist die Installation einer Vorlage. Durch die Installation von ADMSETUP wurde auch eine OFT-Datei entpackt, die nun in diesem Ordner zu veröffentlichen ist. Dies erfolgt in folgenden Schritten:

  • OutlookSecurity.oft öffnen
    öffnen Sie in Outlook diese OFT-Datei z.B: mit einem Doppelklick
  • Zielordner angeben
    Das Formular fragt Sie nach einem Zielordner. Legen Sie das Formular einfach in dem im vorherigen Schritt angelegten öffentlichen Ordner ab.

    Die Vorlage öffnet sich nun. Bearbeiten Sie hier noch nichts. Diese Eingaben würden nicht gespeichert.
  • Vorlage veröffentlichen
    Nun sollten Sie diese Vorlage in dem Ordner veröffentlichen. Nutzen Sie dazu das Menü "Extras - Formulare - Veröffentlichen".

    Wählen Sie den öffentlichen Ordner als Ziel aus (Durchsuchen) und tragen Sie als Name für das Formular einfach "Outlook Security Form" ein

    und wählen Sie dann "Veröffentlichen" aus.

Nun ist das Formular in diesem Ordner zur Nutzen bereit gestellt. Schließen Sie das Formular. Eine eventuell gestellte Frage, ob Sie das Formular speichern wollen, können Sie mit NEIN beantworten.

Sicherheitseinstellungen festlegen

Nun können Sie basieren auf dem Template eine Sicherheitsvorschrift in diesem Ordner ablegen. Gehen Sie dazu in Outlook auf den öffentlichen Ordner "Outlook 10 Security Settings" und nutzen Sie folgendes Menü von Outlook:

Datei -> Neu -> Formular auswählen -> Suchen in "Outlook Security Settings" -> "Outlook Security Form" Erstellen

Stellen Sie die Einstellungen entsprechend ihren Anforderungen ein. Sie können Sie Einstellungen "global" machen und durch weitere Formulare für besondere Anwender abweichende Einstellungen vornehmen. Hier mal die Standardeinstellungen:

Nach Abschluss der Einstellungen speichern Sie das Formular ab über

Close -> Speichern "JA"

Eventuell wird eine Fehlermeldung angezeigt, die Sie aber ignorieren können. Sie sehen dann im öffentlichen Ordner diese Einstellung als Objekt:

Client konfigurieren

Zuletzt müssen die Clients noch angewiesen werden, eben diesen Ordner zu nutzen. Per Default

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Security]
"CheckAdministratorenettings"=dword:00000001


[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Outlook\Security]
"AdministratorenecurityMode"=dword:00000001

Beachten Sie bitte, dass sie als Wert für "CheckAdministratorenettings" eine 2 eintragen müssen, wenn der öffentliche Ordner "Outlook 10 Security Settings" benannt wurde.
Der zweite Eintrag ist für Outlook 2007

Natürlich ist es nicht schön, wenn Sie nun auf jedem PC eine REG-Datei importieren müssen. Aber seit Windows 2000 gibt es die Gruppenrichtlinien, die einiges vereinfachen. Sie benötigen einfach nur eine passende ADM-Vorlage:

OutlookSecurity.adm
Bitte als Datei mit der Erweiterung ADM speichern

Nach einem Neustart von Outlook sollten dann die vom Administrator festgelegten Einstellungen greifen. So können Sie bestimmte Funktionen wieder "entsperren".

Wenn Sie die Sicherheitseinstellungen von Outlook lockern, dann sollten Sie andere Optionen zum Schutz ihrer Infrastruktur (und der ihrer Kunden) installieren,. Ein Virenscanner mit häufigem Update ist ebenso erforderlich wie eine Überwachung des Systems. Es ist mehr als peinlich, wenn genau ihr System einen Virus verteilt, der schon 2 Jahre alt ist und "alte" Angriffsflächen eines Systems nutzt.

Warnungen vor Makros

Eine weitere Einstellung in Outlook betrifft die Sicherheit von Makros. Wenn Sie daher Makros in ihrem unternehmen einsetzen, sollten Sie diese vielleicht digital signieren, so dass ihre Makros ohne Rückfrage ausgeführt werden, ohne dass Sie die Sicherheit der Firma schwächen müssten. Es ist nicht sinnvoll, die Sicherheit in Outlook in folgendem Dialog herunter zu stellen.

In Firmen lohnt es sich dann eine Firmen-CA zu installieren und das Stammzertifikat per Gruppenrichtlinien zu verteilen. Dann können Sie firmenweit ihre eigenen Makros aber auch Treiber, Programme, MSI-Pakete, VBScripte etc. digital signieren und trotz hoher Schutzeinstellung effektiv arbeiten.