Outlook Sicherheitseinrichtungen
Exchange 2007 und Outlook 2007 benötigen nicht mehr
zwingend die öffentlichen Ordner. Daher sind in Outlook 2007 diese
Einstellungen in die
Gruppenrichtlinien gewändert. Outlook 2007 nutzt nicht mehr die
weiter unten beschriebenen Ordner und Formulare.
Siehe auch "Customize programmatic settings in Outlook 2007"
http://technet.microsoft.com/en-us/library/cc179085.aspx
Bei Microsoft ist immer vieles auch sehr einfach zu nutzen. So ist es bei einem installierten Outlook per MAPI sehr einfach, automatisiert Nachrichten zu versenden. Dies ist eine wunderbare Einrichtung, um z.B. von einer Backup Software täglich einen Bericht zu erhalten oder Arbeitsabläufe in einer Firma zu automatisieren. Doch wo Licht ist, ist auch Schatten.
Der einfache Weg über Outlook eine Mail zu versenden hat natürlich auch Tür und Tor für Viren und Würmer geöffnet, die über Outlook Zugriff auf Adressbücher und Daten erlangen und Nachrichten versenden konnten. Daher wurde mit jeder neuen Version von Outlook die Sicherheit verstärkt, so dass der automatische Versand oder Änderungen an Inhalten nicht mehr ohne Rückfrage möglich sind.
Warnungen für VBScript
Wer die Schnittstelle z.B. aus VBScript nutzt, wird seit Outlook XP mit SicherheitsUpdates und neue bemerken, dass sich diese Schnittstelle nicht mehr so einfach für automatische Verarbeitungen eignet. Wenn Sie daher heute automatisiert mit einer Software außerhalb von Outlook mit Hilfe von Outlook eine Mail versenden oder Daten ändern wollen, dann wird Outlook mit folgender oder ähnlicher Warnung reagieren:
Sie sehen sogar, dass es eine Zwangspause gibt, d.h. dass "Ja" erst nach einer Wartezeit verfügbar ist. Damit schütz Outlook diese Nutzung. Zu viele Viren und andre Schädlinge nutzen ebenfalls die gleiche Schnittstelle, um massenhaft Nachrichten zu versenden. Daher erwartet Outlook nun eine Bestätigung durch den Anwender.
Um diese Fehlermeldung zu provozieren, reicht es z.B. einfach das Script auf Olk VBScript zu starten. Nur wie können Sie nun doch eine Mail senden, ohne dass Outlook immer mit der Warnung startet ?.
- Extended MAPI
Leider nicht von VBScript oder VBA zu erreichen, sondern über C++ oder Delphi o.ä. Dieser Weg wird von Microsoft empfohlen. Seltsam hingegen, dass dieser Weg nicht durch die Warnung blockiert wird, da Viren und andre Schädlinge sicher ähnlich einfach diese Schnittstelle nutzen können - SendKey
Über das VBA-Makro können Sie natürlich auch "Tasten" an das Fenster senden.
Beispiel siehe weiter unten. - Outlook Security Settings
Anleitung siehe weiter unten. - Direkt SMTP oder SMTP-Server
Sie müssen natürlich nicht per MAPI eine Mail senden. Sie könnten diese auch mit ihrer Anwendung selbst direkt per SMTP an einem Mailserver senden oder mittels des Microsoft SMTP-Servers z.B. das lokale Pickup Verzeichnis nutzen oder CDO. - Makros digital signieren
http://msdn.Microsoft.com/library/default.asp?URL=/library/en-us/dnout2k/html/oldigitalsignature.asp - Redemption
http://www.dimastr.com/redemption
Eine COM-Library, die Extended MAPI für Outlook VBA zugänglich macht. - Express ClickYes
http://www.express-soft.com/mailmate/clickyes.html
Hilfsprogramm, was das "Ja"-Drücke für Sie übernimmt. - mossSOFT OLConnector
http://www.mosstools.de/index.php?option=com_content&view=article&id=64&Itemid=64
Sie als Anwender können So erkennen, dass "irgend etwas" versucht per MAPI auf ihr Postfach zuzugreifen und dies zulassen. Leider zeigt auch bei Outlook 2003 das Fenster noch nicht den Namen des aufrufenden Programms an.
- 263275 OL97: The Outlook E-mail Security Update Is Not Available für Outlook 97
- 262617 OL98: Information About the Outlook E-mail Security Update
- 262700 OL98: Developer Information About the Outlook E-mail Security Update
- 263210 OFF2000: Known Issues with Office 2000 After You Apply the Outlook E-mail Security Update
- 290500 OL2002: Developer Information About E-Mail Security Features
- How to avoid security prompts in Visual Basic programs für Outlook
http://www.mapilab.com/articles/vb_outlook_security.html
Beispiel VBScript mit SendKey
Ein kleines Codebeispiel zeigt, wie Sie die Outlook Warnung mit SENDKEY automatisch lösen können.
Const olByValue = 1 Const olMailItem = 0 Dim oOApp Dim oOMail Set oOApp = CreateObject("Outlook.Application") Set oOMail = oOApp.CreateItem(olMailItem) oOMail.display ' Fenster anzeigen oOMail.To = "mapitest@ihremaildomain.tld" oOMail.Subject = "Dies ist der Betreff" oOMail.Body = "Testnachricht " oOMail.Attachments.Add "c:\boot.ini", olByValue, 1 'oOMail.Send '<< dieser Befehl würde die Warnung anzeigen Set WshShell = WScript.CreateObject("WScript.Shell") WshShell.AppActivate oOMail WshShell.SendKeys("%s") ' Sende ein "Alt-S". Outlook denkt der User "sendet
Das ist zwar nicht die feine Art, aber eine Möglichkeit eine Mail mit Outlook zu senden. Allerdings "flackert" der Bildschirm entsprechend, wenn Sie damit sehr viele Mails versenden.
Outlook Security Settings
Für Anwender, die Outlook in Verbindung mit einem Exchange Server nutzen, kann der Administrator zentral die Sicherheitseinstellungen anpassen bzw. außer Kraft setzen.
Mir ist im Moment kein Weg bekannt, wie ein Outlook ohne Exchange diese Einstellungen erhalten kann.
Sie müssen auf einem Arbeitsplatz als Administrator einige Dinge durchführen. Melden Sie sich daher auf einer Workstation mit installiertem Outlook an.
Office Ressource Kit auspacken und DLLs registrieren
Im Office Ressource Kit ist das AdminPack enthalten. (CD:\ORK\FILES\PFILES\ORKTOOLS\ORK10\TOOLS\ADMPACK). Starten Sie hier das Programm ADMPACK.EXE, welches dann in einem Ordner einige Dateien installiert. für uns interessant sind die folgenden Dateien
- COMDLG32.OCX
- HASHCTL.DLL
- OutlookSecurity.oft
- README.DOC
Die Datei COMDLG32.OCX und HASHCTL.DLL müssen nun auf ihren PC (und später auch auf die PCs der Anwender) in das Windows Systemverzeichnis. Kontrollieren Sie vorab, ob diese Dateien vielleicht schon in einer neueren Version vorhanden sind. Diese beiden Dateien sind auch mit folgendem Aufruf zu registrieren
regsvr32 comdlg32.ocx regsvr32 hashctl.dll
Das Kopieren und registrieren können Sie später im Netzwerk z.B.: mit einer Gruppenrichtlinie und einem selbst erstellten MSI-Paket durchführen lassen. Da die Mailfunktion aber oft nur auf wenigen Systemen erforderlich ist, kann dies auch von Hand passieren.
öffentlicher Ordner anlegen
Nun müssen Sie Outlook starten und einen öffentlichen Ordner anlegen. Dieser Order MUSS auf der Wurzel der Struktur liegen und der Namen muss unbedingt "Outlook Security Settings " lauten. Wenn Sie für Office XP abweichende Einstellungen vornehmen können, können Sie auch einen Ordner "Outlook 10 Security Settings" anlegen. Welcher Ordner letztlich genutzt wird, ist eine Frage der Einstellung auf dem Client (Registrierung)
Setzen Sie die Berechtigungen so, dass jeder Mitarbeiter den Inhalt "lesen" kann, und sie als Administrator natürlich schreiben dürfen.
Outlook Security Template installieren
Der nächste Schritt ist die Installation einer Vorlage. Durch die Installation von ADMSETUP wurde auch eine OFT-Datei entpackt, die nun in diesem Ordner zu veröffentlichen ist. Dies erfolgt in folgenden Schritten:
- OutlookSecurity.oft öffnen
öffnen Sie in Outlook diese OFT-Datei z.B: mit einem Doppelklick - Zielordner angeben
Das Formular fragt Sie nach einem Zielordner. Legen Sie das Formular einfach in dem im vorherigen Schritt angelegten öffentlichen Ordner ab.
Die Vorlage öffnet sich nun. Bearbeiten Sie hier noch nichts. Diese Eingaben würden nicht gespeichert. - Vorlage veröffentlichen
Nun sollten Sie diese Vorlage in dem Ordner veröffentlichen. Nutzen Sie dazu das Menü "Extras - Formulare - Veröffentlichen".
Wählen Sie den öffentlichen Ordner als Ziel aus (Durchsuchen) und tragen Sie als Name für das Formular einfach "Outlook Security Form" ein
und wählen Sie dann "Veröffentlichen" aus.
Nun ist das Formular in diesem Ordner zur Nutzen bereit gestellt. Schließen Sie das Formular. Eine eventuell gestellte Frage, ob Sie das Formular speichern wollen, können Sie mit NEIN beantworten.
Sicherheitseinstellungen festlegen
Nun können Sie basieren auf dem Template eine Sicherheitsvorschrift in diesem Ordner ablegen. Gehen Sie dazu in Outlook auf den öffentlichen Ordner "Outlook 10 Security Settings" und nutzen Sie folgendes Menü von Outlook:
Datei -> Neu -> Formular auswählen -> Suchen in "Outlook Security Settings" -> "Outlook Security Form" Erstellen
Stellen Sie die Einstellungen entsprechend ihren Anforderungen ein. Sie können Sie Einstellungen "global" machen und durch weitere Formulare für besondere Anwender abweichende Einstellungen vornehmen. Hier mal die Standardeinstellungen:
Nach Abschluss der Einstellungen speichern Sie das Formular ab über
Close -> Speichern "JA"
Eventuell wird eine Fehlermeldung angezeigt, die Sie aber ignorieren können. Sie sehen dann im öffentlichen Ordner diese Einstellung als Objekt:
Client konfigurieren
Zuletzt müssen die Clients noch angewiesen werden, eben diesen Ordner zu nutzen. Per Default
Windows Registry Editor Version 5.00 [HKEY_CURRENT_User\Software\Policies\Microsoft\Security] "CheckAdministratorenettings"=dword:00000001 [HKEY_CURRENT_User\Software\Policies\Microsoft\Office\12.0\Outlook\Security] "AdministratorenecurityMode"=dword:00000001
Beachten Sie bitte, dass sie als Wert für "CheckAdministratorenettings"
eine 2 eintragen müssen, wenn der öffentliche Ordner "Outlook 10 Security
Settings" benannt wurde.
Der zweite Eintrag ist für Outlook 2007
Natürlich ist es nicht schön, wenn Sie nun auf jedem PC eine REG-Datei importieren müssen. Aber seit Windows 2000 gibt es die Gruppenrichtlinien, die einiges vereinfachen. Sie benötigen einfach nur eine passende ADM-Vorlage:
outlooksecurity.adm
Bitte als Datei mit der Erweiterung ADM speichern
Nach einem Neustart von Outlook sollten dann die vom Administrator festgelegten Einstellungen greifen. So können Sie bestimmte Funktionen wieder "entsperren".
Wenn Sie die Sicherheitseinstellungen von Outlook lockern, dann sollten Sie andere Optionen zum Schutz ihrer Infrastruktur (und der ihrer Kunden) installieren,. Ein Virenscanner mit häufigem Update ist ebenso erforderlich wie eine Überwachung des Systems. Es ist mehr als peinlich, wenn genau ihr System einen Virus verteilt, der schon 2 Jahre alt ist und "alte" Angriffsflächen eines Systems nutzt.
- Customizing the Outlook Security Features Administrative Package
http://office.Microsoft.com/en-us/assistance/HA011364471033.aspx - http://www.eulanda.de/inside/bedienerhandbuch/zubehoer/outlook/sicherheit.htm
-
Customize programmatic settings in Outlook 2007
http://technet.microsoft.com/en-us/library/cc179085.aspx
Warnungen vor Makros
Eine weitere Einstellung in Outlook betrifft die Sicherheit von Makros. Wenn Sie daher Makros in ihrem unternehmen einsetzen, sollten Sie diese vielleicht digital signieren, so dass ihre Makros ohne Rückfrage ausgeführt werden, ohne dass Sie die Sicherheit der Firma schwächen müssten. Es ist nicht sinnvoll, die Sicherheit in Outlook in folgendem Dialog herunter zu stellen.
In Firmen lohnt es sich dann eine Firmen-CA zu installieren und das Stammzertifikat per Gruppenrichtlinien zu verteilen. Dann können Sie firmenweit ihre eigenen Makros aber auch Treiber, Programme, MSI-Pakete, VBScripte etc. digital signieren und trotz hoher Schutzeinstellung effektiv arbeiten.