Debugging Phishing-Reporter Add-In

Bei unklaren Fehlern müssen diese genauer untersucht werden, diese Seite hier soll als Sammlung für die wichtigsten Prozeduren dienen.
Grundsätzlich können diese in zwei Kategorien aufgeteilt werden. Solche die direkt im Outlook/OWA also im Client durchgeführt werden können und solche die im Exchange-Server selbst durchgeführt werden müssen.

Prozeduren für Clients (Outlook/OWA)

Debugging-Schritte können von allen Personen, die das Problem haben durchgeführt werden. Schritte werden jeweils anspruchsvoller und zeitintensiver.

Autokonfiguration überprüfen

Outlook kann die verwendete Konfiguration überprüfen und einen Bericht erstellen. Ein guter Anfangspunkt.

• Windows Tray öffnen (unten rechts) → CTRL gedrückt halten und Rechtsklick auf das Outlook Icon → Test Email AutoConfiguration

Im neuen Fenster die zu testende E-Mail Adresse eintragen und “Test” klicken. Danch wird im Reiter “Results” ein Report dargestellt (hier findet sich z.B. auch die OWA URL).

Zuständiger Exchange-Server finden

Damit die Verbindungen mit Fiddler protokolliert werden können, muss der zustänige Exchange-Server bekannt sein. Dieser lässt sich folgendermassen finden:

• Windows Tray öffnen (unten rechts) → CTRL gedrückt halten und Rechtsklick auf das Outlook Icon → Connection Status → General → Server name

Hier findet sich eine Auflistung der Exchange-Server, die für die eingebundenen Postfächer zuständig sind.

Verbindungen mit Fiddler protokollieren

Fiddler Classic (https://www.telerik.com/download/fiddler ) ist ein gratis Tool und äusserst praktisch. Dieses Programm kann über den obigen Link installiert werden.
Damit auch HTTPS Verbindungen entschlüsselt werden können, muss der Benutzer aber lokale Admin Rechte besitzen, da ein (nach der Installation erzeugtes) Root-Zertifikat in den Trust-Store aufgenommen werden muss.

• https://docs.telerik.com/fiddler/configure-fiddler/tasks/decrypthttps

Vorgehen für Outlook

Fiddler gemäss Anleitung installieren und HTTPS Zertifikat erzeugen/installieren. Danach folgendermassen vorgehen:

• Outlook schliessen.
• Fiddler öffnen.
• Fiddler beginnt Verbindungen zu protokollieren → <F12> drücken um dies zu pausieren.
• In die linke Fensterhälfte klicken und <CTRL+A>, dannach alle Verbindungen mit <Delete> löschen.
• Auf der rechten Seite auf den Reiter “Filters” wechseln, und die entsprechenden Hosts eintragen:
  • outlook.office.com, outlook.office365.com, <OWA URL>, <EXCHANGE URL>

• • Danach das Häkchen bei “Use Filters” entfernen und wieder setzen. Die gelbe Hintergrundfarbe im Hosts Feld sollte verschwinden.
  • Weitere wichtige Hosts, diese können auch in die “Filters” aufgenommen werden (insbesondere bei Problemen mit der Darstellung des Phishing-Reporters):
    • <ANTIPHISHING SERVER>
    • ajax.aspnetcdn.com
    • static2.sharepointonline.com
    • appsforoffice.microsoft.com
• Outlook öffnen.
• Nicht länger benötigte E-Mail auswählen (bevorzugt aus dem eigenen Posteingang).
• Wieder in das Fiddler Fenster wechseln und <F12> drücken. Nun sollte unten links das “Capture” Icon erscheinen:

• Nun wieder ins Outlook Fenster wechseln.
• Phishing-Reporter öffnen.
• E-Mail mit Phishing-Reporter melden (“Report” klicken).
  • Warten bis Fehlermeldung erscheint, falls der “Spinner” ewig dreht einfach 10 Sekunden warten
• Wieder in das Fiddler Fenster wechseln. Es sollten nun mehrere protokollierte Verbindungen erscheinen.
• Protokollierte Verbindungen abspeichern: File → Save → All Sessions…
• Die abgespeicherte Datei mit “.saz” Typ in unsre Cloud (https://cloud.advact.ch ) hochladen.

Vorgehen für Outlook, wenn nur EWS Aufrufe protokolliert werden müssen

Fiddler gemäss Anleitung installieren und HTTPS Zertifikat erzeugen/installieren. Danach folgendermassen vorgehen:

• Outlook schliessen.
• Fiddler öffnen.
• Fiddler beginnt Verbindungen zu protokollieren → <F12> drücken um dies zu pausieren.
• In die linke Fensterhälfte klicken und <CTRL+A>, dannach alle Verbindungen mit <Delete> löschen.
• Auf der rechten Seite auf den Reiter “Filters” wechseln und wie im Screenshot dargestellt konfigurieren:

• Danach das Häkchen bei “Use Filters” entfernen und wieder setzen.
• Outlook öffnen.
• Nicht länger benötigte E-Mail auswählen (bevorzugt aus dem eigenen Posteingang).
• Wieder in das Fiddler Fenster wechseln und <F12> drücken. Nun sollte unten links das “Capture” Icon erscheinen:

• Nun wieder ins Outlook Fenster wechseln.
• Phishing-Reporter öffnen.
• E-Mail mit Phishing-Reporter melden (“Report” klicken).
• Wieder in das Fiddler Fenster wechseln. Es sollten nun mehrere protokollierte Verbindungen erscheinen.
• Protokollierte Verbindungen abspeichern: File → Save → All Sessions…
• Die abgespeicherte Datei mit “.saz” Typ in unsre Cloud (https://cloud.advact.ch ) hochladen.

Vorgehen für OWA

Fiddler gemäss Anleitung installieren und HTTPS Zertifikat erzeugen/installieren. Danach folgendermassen vorgehen:

• Alle offenen Browser Fenster schliessen. Alle Browser sollen geschlossen werden: IE, Chrome, Edge, Safari, Firefox.
• Fiddler öffnen.
• Fiddler beginnt Verbindungen zu protokollieren → <F12> drücken um dies zu pausieren.
• Eine Loopback Exemption (https://docs.microsoft.com/en-us/previous-versions/windows/apps/hh780593(v=win.10) ) für Edge in Fiddler konfigurieren: Tools → Win8 Loopback Exemptions → Dialog mit “Yes” bestätigen
  • Im neuen Fenster nach “Microsoft Edge” suchen und bei allen Treffern ein Häkchen setzen.
  • Danach “Save Changes” klicken und dieses kleine Fenster schliessen.
• Zurück im Hauptfenster von Fiddler in den linken Teils des Fensters klicken und dann: CTRL+A, dannach alle Verbindungen mit <Delete> löschen.
• Auf der rechten Seite auf den Reiter “Filters” wechseln, und die entsprechenden Hosts eintragen:
  • outlook.office.com, outlook.office365.com, <OWA URL>, <EXCHANGE URL>

• • Danach das Häkchen bei “Use Filters” entfernen und wieder setzen. Die gelbe Hintergrundfarbe im Hosts Feld sollte verschwinden.
• Edge öffnen und in das OWA der Organisation einloggen.

In diesem Moment werden von Fiddler keine Verbindungen protokolliert, daher werden auch die Zugangsdaten zum eigenen OWA-Account nicht protokolliert!

• Nicht länger benötigte E-Mail auswählen (bevorzugt aus dem eigenen Posteingang).
• Wieder in das Fiddler Fenster wechseln und <F12> drücken. Nun sollte unten links das “Capture” Icon erscheinen:

Erst ab jetzt, also nach dem Login werden die Verbindungen protokolliert!

• Nun wieder ins OWA Browser-Fenster wechseln (Edge).
• Phishing-Reporter öffnen.
• E-Mail mit Phishing-Reporter melden (“Report” klicken).
  • Warten bis Fehlermeldung erscheint, falls der “Spinner” ewig dreht einfach 10 Sekunden warten.
• Wieder in das Fiddler Fenster wechseln. Es sollten nun mehrere protokollierte Verbindungen erscheinen.
• Protokollierte Verbindungen abspeichern: File → Save → All Sessions…
• Die erstellte Loopback Excemption kann wieder entfernt werden: Tools → Win8 Loopback Exemptions → Dialog mit “Yes” bestätigen.
  • Im neuen Fenster nach “Microsoft Edge” suchen und bei allen Treffern das gesetzte Häkchen entfernen.
  • Danach “Save Changes” klicken und dieses kleine Fenster schliessen.
• Die abgespeicherte Datei mit “.saz” Typ in unsre Cloud (https://cloud.advact.ch ) hochladen.

Untersuchung mittels Pocess Monitor aus der Sysinternals Sute

In gewissen Fällen wird keine Netzwerkverbindung geöffnet, somit können mit Fiddler auch keine Requests protokolliert werden. Hier ist eine Untersuchung mit Process Monitor aus der Sysinternals Suite nötig, dies kann direkt über den Microsoft Store installiert werden. Gehen Sie dazu wie folgt vor:

• Schliessen Sie Outlook
• Öffnen Sie Process Monitor und konfigurieren Sie die folgenden Filter:
  • Process name is IEXPLORE.EXE then include → Add
  • Process name is Outlook.exe then include → Add
  • Sind die Filter wie oben im Screenshot konfiguriert kann die Auswahl mit “Apply” angewendet werden. Danach kann das Caputre über “OK” gestartet werden:

• • Nun Outlook öffnen und das Add-In öffnen. Warten Sie 10 Sekunden danach können Sie das Capture beenden.
  • Speichern Sie das erstellte Capture über File → save mit den Standardeinstellungen ab:

Prozeduren für Exchange-Server

Diese Debugging-Schritte müssen jeweils von Exchange-Administratoren durchgeführt werden. Zuerst die simplen Schritte, dann immer komplexer und zeitaufwändiger

Zertifikate überprüfen

Damit der Phishing-Reporter über EWS funktioniert, muss dem IIS ein gültiges Zertifikat zugewiesen sein, dazu können die folgenden Powershell Cmdlets verwendet werden:

Get-ExchangeCertificate

Enable-ExchangeCertificate

Das Zertifikat kann auch über das EAC überprüft werden (https://docs.microsoft.com/en-us/exchange/architecture/client-access/assign-certificates-to-services?view=exchserver-2016#use-the-eac-to-assign-a-certificate-to-exchange-services )

Health Reporte erstellen

Exchange-Server können die internen Services auf ihren Status/Gesundheit überprüfen. Eine Liste der Services die einen problematischen Status besitzen lässt folgendermassen erstellen:
Falls keine Exchange Management Shell vorhanden ist, muss eine Powershell Session importiert werden:

$UserCredential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://<server name>/PowerShell/ -Authentication Kerberos -Credential $UserCredential

Import-PSSession $Session -DisableNameChecking

Danach kann der Status der Services wie folgt überprüft werden:

Get-HealthReport -Identity <server name> | where {$_.altervalue -ne "Healthy"}

EWS Health Sets überprüfen

Die für den Phishing-Reporter (falls Exchange on-premise) Services, sind die EWS Services. Deren Status kann folgendermassen überprüft werden (https://docs.microsoft.com/en-us/exchange/management/health/troubleshooting-ews-protocol-health-set ):

Get-HealthReport -Identity <server name> -HealthSet EWS

Get-HealthReport -Identity <server name> -HealthSet EWS.Protocol

Get-HealthReport -Identity <server name> -HealthSet EWS.Proxy 

Status mit Monitoring Probe überprüfen

Für jedes Health Set existiert eine eigene “Monitoring Probe” diese kann auch direkt aufgerufen werden, wenn der aktuelle Status überprüft werden soll:

Invoke-MonitoringProbe <health set name>\<probe name> -Server <server name> | Format-List

Hier bespielhaft für die Überprüfung des EWS.Proxy Health Set

Invoke-MonitoringProbe EWS.Proxy\EWSProxyTestProbe -Server <server name> | Format-List

Übersicht der relevanten Exchange-Server Logs

Die wichtigsten Logs der Exchange-Server betreffen das OWA und EWS, bzw. den HTTP Proxy

C:\inetpub\logs\LogFiles\W3SVC1 # Default Web Page

C:\inetpub\logs\LogFiles\W3SVC2 # Exchange Backend

C:\Program Files\Microsoft\Exchange Server\V15\Loggin\EWS # EWS Logs

C:\Program Files\Microsoft\Exchange Server\V15\Logging\OWA # OWA Logs, möglicherweise leer

C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews # EWS Proxy

C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa # Owa Proxy

Innerhalb dieser Exchange Logs lassen sich Requests anhand der cafeReqId verfolgen. Dateien mit den Rquests lassen sich folgendermassen finden:

Select-String -Path .\* -Pattern ' <Pattern>' -SimpleMatch | Select-Object -Unique Filename

Die zu relevanten cafeReqId ergeben sich aus den mit Fiddler protokollierten request-id (in den Headern der Response).

Debugging mittels F12 Entwickler-Tools im IE11

Unter gewissen Umständen müssen zusätzliche Informationen des Add-Ins ausgelesen werden, die nicht über die Benutzeroberfläche verfügbar sind. Die dokumentierte Prozedur basiert auf der von Microsoft vogeschlagenen Prozedur https://docs.microsoft.com/en-us/office/dev/add-ins/testing/debug-add-ins-using-f12-tools-ie .
Um den benötigten Output zu erhalten können Sie wie folgt vorgehen:

Outlook-Client auf 32-Bit oder 64-Bit prüfen

Die benötigen F12 Entwickler-Tools existieren separat für 32-Bit und für 64-Bit Applikationen. Die Information finden Sie über:

• Outlook → File → Office Account → About Outlook

Neben der Build Version sehen Sie, ob es sich um eine 32-Bit oder um eine 64-Bit Applikation handelt.

F12 Entwickler-Tools starten

Starten Sie die korrekte Version des IEChooser.exe, diese kann über Start → Run ausgeführt werden:

• 32-Bit: C:\Windows\System32\F12\IEChooser.exe
• 64-Bit: C:\Windows\SysWOW64\F12\IEChooser.exe

Debugging-Ziel auswählen

Öffnen Sie nun Ihren Outlook-Client, wählen Sie eine nicht länger gebrauchte E-Mail in Ihrem Posteingang aus (oder in einem Gruppenpostfach). Aktivieren Sie nun den Phishing-Reporter. Danach im bereits geöffneten Fenster des IEChooser.exe auf Reload klicken.

Sie sollten nun einen Phishing-Reporter (advact Phishing-Reporter, Suspicious e-mail, Verdächtige E-Mail, E-mail suspect, E-mail sospetta) sehen. Sollen zu vielen Ziele sichtbar sein, schliessen Sie noch geöffnete Instanzen des IE11 und betätigen Sie erneut den Reload Knopf.
Nachdem Sie das Ziel ausgewählt haben, öffnen sich die F12 Entwickler-Tools des IE11. Wechseln Sie nun auf den Reiter Console.

Add-In ausführen und Output abspeichern

Führen Sie nun das Add-In aus, es sollten nun mehrere Einträge in der Console sichtbar sein. Wählen Sie nun den gesamten Verlauf über das Kontexmenu aus F12 → Console → (Rechtsklick) → Copy all

und fügen Sie den zwischengespeicherten Verlauf in einer passend benannten Notepad Text-Datei ab.

Netzwerkanalyse als HAR abspeichern

Wechseln Sie in den geöffneten F12 Entwickler-Tools auf dein Reiter Network

Drücken Sie CRTL+R damit das Add-In neu geladen wird. Führen Sie nun das Add-In aus, sie sollten nun zusätzliche Einträge in den F12 Entwickler-Tools sehen. Speichern Sie die protokollierten Verbindungen über den Save Knopf als HAR ab.

Debugging mittels F12 Entwickler-Tools mit M365 Outlook

Unter gewissen Umständen müssen zusätzliche Informationen des Add-In ausgelesen werden, die nicht über die Benutzeroberfläche verfügbar sind. Die F12 Entwickler-Tools sind im M365 Outlook Client einfach zu erreichen. Dazu muss das Add-In geöffnet werden, über einen Rechtsklick ins Panel des Add-Ins lässt sich ein Kontext-Menu öffnen:

Nun können über Inspect die Entwickler-Tools geöffnet werden. Danach auf den Reiter Console

wechseln. Sie können jetzt den Phishing-Reporter ausführen um den Fehler zu reproduzieren. Danach können Sie die die Debugging-Einträge mittels Rechtsklick und Save all abspeichern.

Untersuchung bei Latenzproblemen

Wie oben beschrieben die Entwickler-Tools öffnen und danach auf den Reiter Sources wechseln, hier muss ein Breakpoint gesetzt werden, damit sich die Entwickler-Tools nach erfolgreicher Meldung nicht selbständig schliessen wenn sich das Add-In schliesst: Sources → Event Listender Breakpoints → Timer→ setTimeout fired (Häkchen setzen)

Nun können die Requests/Responses über den Network Reiter in Ruhe analysiert werden. Nachdem der Reiter geöffnet wurde, muss eine nicht länger benötigte E-Mail gemeldet werden. Der Breakpoint triggert, wenn die grüne Erfolgsmeldung geöffnet wird und unterbricht nun die Programmausführung.
Im Network Reiter können die mitgeschnittenen Requests/Responses nun als HAR Archiv exportiert werden. Dazu muss der entsprechende “Pfeil nach unten” geklickt werden

Das gespeicherte Archiv können Sie nur zur Analyse an support@advact.ch schicken.