Knowledgebase

Kunden FAQ

1MBEine Sammlung der wichtigsten Fragen die unsere Phishing Reporter Kunden bisher gestellt haben.

Können Sie bitte “X” anpassen?

Grunsätzlich können wir die meisten Anpassungen von unserer Seite her durchführen. Insbesondere sind dies:

• E-Mail-Adresse.
• GUI Elemente aktivieren/deaktivieren.
• Logo in der Taskpane deaktivieren/ändern (Bitte 300x300 PNG).
• Änderung der Texte
• Änderung der Elemente im Mailkörper des Reports (das E-Mail welches der Phishing Reporter versendet).

Gewisse Änderungen können aber nur durch die Installation eines neuen Manifests geändert werden. Das sind alle Elemente die sich auf dem “Button” des Phishing Reporters im Outlook befinden (Inklusive Icon!)

Auch der “Mouse-over” Text (wird nur unter Windows dargestellt) ist im Manifest hinterlegt (in EN, DE, FR, IT).

Auch der “graue” Titel in der Taskpane (Seitenpanel) ist im Manifest hinterlegt.

Wie wird ein Update des Manifests durchgeführt?

Da das neue Manifest die gleiche AppId enthält, wie das bereits installierte Manifest, aber mit einer höheren Versionsnummer, erkennt Exchange das Manifest als ein Update eines bereits installierten Add-Ins. Deshalb muss die Zuweisung der User zum Phishing Reporter Add-In nicht nochmals vorgenommen werden. Gehen Sie vor wie in der Installtionsanleitung (Teams → Phishing Reporter → Anleitung für Kunden → Installation und Konfiguration advact Phishing Reporter), aber ohne die User nochmals zuzuweisen.

Wie erkenne ich ob der Phishing Reporter REST oder EWS verwendet?

Melden Sie ein Testmail das grösser als 1MB ist mit dem Phishing Reporter. Wenn Sie im Report die folgende Warnung sehen verwenden Sie EWS, falls nicht verwenden Sie REST:
The message is to big to be processed by the add-in!

Unterstützt unser Server/Client REST?

Die Information ist in der folgenden Tabelle:

• Server: https://docs.microsoft.com/en-us/office/dev/add-ins/reference/requirement-sets/outlook-api-requirement-sets#exchange-server-support
• Client: https://learn.microsoft.com/en-us/javascript/api/requirement-sets/outlook/outlook-api-requirement-sets?view=common-js-preview&tabs=xmlmanifest#outlook-client-support

Auswertung der verwendeten Schnittstelle (EWS/REST) während der Evaluations-/Pilot-Phase des Phishing Reporters

Wir können ein spezielles “Debug Flag” setzen, dadurch werden zusätzliche Informationen in den Report geschrieben. Diese Informationen enthalten Angaben über die vewendete Schnittstelle (EWS/REST) und das vom Client unterstützte “requirement set” (zeigt an, ob nur EWS verwendet werden kann, oder ob der Client auch die REST API unterstützt).
Anhand der folgenden Muster können Sie die Reporte drei verschiedenen Kategorien zuweisen:

• Der Mailkörper des Reports enthält: DEBUG: The email was reported using the REST API
  • Der Report wurde über die REST API verschickt
• Der Mailkörper des Reports enthält: WARNING: Could not use REST, using EWS instead. The failover was triggered by:
  • Der Client unterstützt die REST API, aber es ist ein Fehler aufgerteten und deshalb verwedet der Phishing Reporter EWS.
  • Diese Warnung wird immer in den Report geschrieben, auch wenn das spezielle “Debug Flag” nicht gesetzt ist.
• Der Mailkörper des Reports enthält: DEBUG: Is the API requirement set 1.5 supported?: false
  • Der verwendete Client unterstützt nur EWS.

Was bedeutet die Warnung WARNING: Could not use REST, using EWS instead. The failover was triggered by: <Error>?

 Der Phishing Reporter verwendet ein “Best Effort” Verfahren. Falls REST zur Verfügung steht wird REST verwendet. Ist die Verwendung von REST aber aufgrund eines Fehlers nicht möglich, verschickt der Phishing Reporter den Report mit EWS.
Falls dies passiert, wird diese Warnung in den Mailkörper des Reports geschrieben. Wobei <Error> der genaue Grund ist, warum REST nicht verwendet werden kann.

Was bedeutet ErrorFromLib?

Diese Fehlermeldung wird ausgelöst, wenn die Office.js Bibliothek aufgrund eines fehlerhaften Autodiscover Prozesses in Ihrer Infrastruktur nicht korrekt initialisiert werden kann. Sehr warschweinlich kann der Client die folgende Anfrage nicht durchführen:
https://outlook.office365.com/autodiscover/autodiscover.json/v1.0/insert.your.email@example.com?Protocol=Rest

Was bedeutet ErrorDidNotRecieveAccessToken?

Damit der Phishing Reporter eine Anfrage an die REST API schicken kann benötigt dieser ein Authentifizierungstoken. Dieses Token wird direkt vom zuständigen Exchange Server ausgestellt (https://docs.microsoft.com/en-us/javascript/api/outlook/office.mailbox?view=outlook-js-1.5#getcallbacktokenasync-options--callback-).
Bitte überprüfen Sie als erstes, den Status des entsprechenden Exchange Zertifikats (https://docs.microsoft.com/en-us/exchange/architecture/client-access/assign-certificates-to-services?view=exchserver-2019#use-the-eac-to-assign-a-certificate-to-exchange-services).
Falls der zuständige Exchange Server ein valides Zertifikat besitzt, und Sie dennoch diesen Fehler erhalten, empfehlen wir die Kommunikation des Phishing Reporters mit Fiddler (https://www.telerik.com/fiddler) zu analysieren.

Was bedeutet ajaxFailNoGoodResponse?

Die Anfrage des Phishing Reporters an die REST API wird vom zuständigen Exchange Server nicht bearbeitet. Diese Fehlermeldung wird beispielsweise zurückgeben wenn die Antwort des Exchange Servers, auf eine Anfrage an die REST API, einen HTTP Status Code 404 (Not Found) oder 403 (Forbidden) enthält. Wir empfehlen hier die Kommunikation des Phishing Reporters mit Fiddler (https://www.telerik.com/fiddler) zu analysieren.

Kann die 5 MB Limite in EWS aufgehoben/umgangen werden?

Die 5 MB Grössenbeschränkung ist Teil des EWS Protokolls. Es ist technisch nicht möglich diese Limite zu umgehen, deshalb haben wir den Phishing Reporter so erweitert, dass dieser die REST API verwenden kann. Dort ist diese Grössenbeschränkung nicht vorhanden.
Um EWS zu verwenden stellt die von Microsoft implementierte Office.js Bibliothek die Funktion makeEwsRequestAsync zur Verfügung. Diese Funktion ist beschränkt auf Request/Responses mit einer Grösse von 5 MB (https://docs.microsoft.com/en-us/office/dev/add-ins/outlook/limits-for-activation-and-javascript-api-for-outlook-add-ins#limits-for-javascript-api ) bzw. 1 MB in älteren Outlook Clients.

Warum werden bereits E-Mails die kleiner als 5 MB nicht korrekt gemeldet?

Die 5 MB Grössenbeschränkung bezieht sich nicht direkt auf die Grösse des E-Mails, sondern auf die Grösse des Mime Contents wenn dieser Base64 codiert über EWS übertragen wird. Die genaue Grösse der Limite anzugeben ist nicht möglich. Als Faustregel gilt: ca. 3 - 4 MB.

Können Sie das Icon des Phishing Reporters im Ribbon ändern?

Grunsätzlich ja, aber wir raten ausdrücklich davon ab. Die Erstellung dieser Icons müssen Sie selbst übernehmen. Alle hier aufgeführetn Grössen müssen exakt eingehalten werden, zudem muss das Design den entsprechenden Richtlinen entprechen, damit die Icons auch “schön” sind.

• https://docs.microsoft.com/en-us/office/dev/add-ins/design/add-in-icons-monoline

Diese Icons müssen dann durch die Installation eines neuen Manifests in Ihrer Exchange Umgebung aktualisiert werden. Für dieses Update muss zuerst die bisherige Version des Phishing Reporters vom Exchange Server entfernt werden. Danach muss das neue Manifest gemäss Anleitung installiert werden. Da dieses Manifest eine neue AppId enthält muss auch die Zuweisung der User erneut durchgeführt werden.

Der Phishing Reporter “hängt”. Der Spinner dreht ewig weiter und es kommt keine Fehler- oder Erfolgsmeldung.

Hier handelt es um einen Programmabbruch der nicht korrekt behandelt wurde. Der Phishing Reporter sollte sich immer entwender mit einer Erfolgs- oder mit einer Fehlermeldung beenden. Melden Sie sich per E-Mail bei unserem Support.
Um den Fehler zu finden sind wir auf den Debug-Output des Add-Ins angewiesen. Dieser kann für den M365 Outlook-Client wie hier beschriben exportiert werden: https://advact.atlassian.net/wiki/spaces/PR/pages/1859944449/Debugging+Phishing-Reporter+Add-In#Debugging-mittels-F12-Entwickler-Tools-mit-M365-Outlook Für Outlook 2016 gilt die folgende Anleitung: https://advact.atlassian.net/wiki/spaces/PR/pages/1859944449/Debugging+Phishing-Reporter+Add-In#Debugging-mittels-F12-Entwickler-Tools-im-IE11 .
Wenn möglich können Sie uns zusätzlich noch die E-Mail als Attachment übergeben die nicht gemeldet werden konnte.

Der Phishing Reporter bleibt “weiss” es wird nichts dargestellt

Der Phishing Reporter benötigt verschiedene externe Ressourcen um korrekt zu funktionieren. Diese inkorrekte Darstellung ist häufig auf eine Blockierung einer oder mehrerer dieser Ressourcen zurückzuführen. Bitte überprüfen Sie ob alle folgenden Ressourcen erreichbar sind:

• https://ajax.aspnetcdn.com/ajax/jQuery/jquery-3.4.1.min.js
• https://static2.sharepointonline.com/files/fabric/office-ui-fabric-core/9.6.1/css/fabric.min.css
• https://appsforoffice.microsoft.com/lib/1/hosted/office.js
• https://ajax.aspnetcdn.com/ajax/3.5/MicrosoftAjax.js

Was bedeutet makeEwsRequestAsync failed, ewsResult.value is an empty string. Most likely the EWS Service certificate is expired.?

Diese Fehlermeldung wird in EWS ausgelöst, wenn der Server auf eine Anfrage eine “leere” Antwort zurückschickt. Dies kann verschiedene Ursachen haben, am wahrscheinlichsten ist jedoch ein abgelaufenes Zertifikat des Exchange Servers. Bitte überprüfen Sie das entsprechende Exchange Zertifikat (für den IIS Service):
https://docs.microsoft.com/en-us/exchange/architecture/client-access/assign-certificates-to-services?view=exchserver-2019

Was bedeutet die folgende Fehlermeldung: “This add-in has been disabled to help keep you safe. To continue using the add-in, validate that this item is hosted in a trusted domain or open it in the Office desktop app.”

Ein Update der Office.js Bibliothek durch Microsoft am 15.10.2020 beinhaltet einen “breaking change”. Betroffen sind alle Add-Ins die im OWA ausgeführt werden, somit auch der advact Phishing Reporter. Um die Add-Ins wieder verwenden zu können, muss das Security Update vom October 13, 2020 für die entsprechende Exchange Version installiert werden.
Wir arbeiten zur Zeit an einem Update des Phishing Reporters, welches die Verwendung einer lokal gehosteten Version von Office.js ermöglicht. Dafür werden wir eine ältere Version von Office.js verwenden, welche diese Änderung nicht enthält.
Dies ermöglicht uns ein Update auf die aktuelle Office.js Versionn nach einem mit unseren Kunden abgesprochenen Zeitplan. Dies verhindert zukünftig auch einen längerfristigen Ausfall des Reporters durch weitere Änderungen in Office.js.

Beschreibung des Fehlers:

Wird das Add-In im OWA geöffnet, erscheint die folgende Fehlermeldung:

Ein Klick auf “CONTINUE” ändert die Fehlermeldung zu:

Das zuvor verlinkte Security Update ermöglicht es allen Browsern nach dem Klick auf “CONTINUE” einen Dialog zu öffnen mit der Frage “Do you trust the domain owa.example.com where this Office session is hosted?”
Die Domain owa.example.com steht hier stellvertretend für Ihre Domain auf der das OWA gehostet wird.

Müssen alle User die Frage nach der Vertrauenswürdigkeit der Domain beantworten um den Phishing Reporter weiterhin benutzen zu können?

Ja, dies ist ein von Microsoft gewolltes Verhalten. Die Frage wird auch erneut gestellt, wenn der Verlauf des Browsers gelöscht wird.

Wieso erscheint bei mir weder diese Fehlermeldung noch die Frage nach der “Vertrauenswürdigkeit”?

Sie verwenden Internet Explorer. Dieser verhält sich wie üblich etwas anders.

Wieso erscheint der Dialog mit der Frage nach der “Vertrauenswürdigkeit” obwohl wir das entsprechende Security Update noch nicht installiert haben?

Sie verwenden eine “ältere” Edge Version als Browser. Edge Versionen die noch nicht auf Chromium basieren, können den Dialog direkt anzeigen.

Gibt es eine kurzfristige Mitigation für dieses Problem?

Ja, Sie können Internet Explorer verwenden, um die Add-Ins im OWA zu öffnen, hier erscheint weder eine Fehlermeldung, noch einen Dialog. Auch ältere Edge Versionen die noch nicht auf Chromium basieren, können verwendet werden.

Können verschlüsselte und/oder signierte Nachrichten mit dem Phishing-Reporter gemeldet werden?

Verschlüsselte und/oder signierte Nachrichten werden beide von Microsoft durch das von Windows/Outlook bereitgestellte “Information Rights Management (IRM)” geschützt. Die Meldung von singnierten und/oder verschlüsselten Nachrichten ist gemäss Microsoft vom verwendeten Windows 10 (8711.1000)/Outlook (13229.10000) Build abhängig (Mail items protected by IRM)
Verschlüsselte und/oder signierte Nachrichten können aber nur mit einer M365 Subscription gemeldet werden, somit ist die Meldung von verschlüsselten und/oder signierten Nachrichten in Verbindung mit einem “on-premise” Exchange Server (2016/2019) leider nicht möglich.
Damit verschlüsselte und/oder signierte Nachrichten mit Outlook + M365 Subscription gemeldet werden können muss der Tenant dementsprechend konfigurierte werden (https://docs.microsoft.com/en-us/office/dev/add-ins/reference/objectmodel/preview-requirement-set/outlook-requirement-set-preview#add-in-activation-on-items-protected-by-information-rights-management-irm).

Kann der Phishing-Reporter in Gruppenpostfächern und Vertretungen verwendet werden?

Damit der Phishing-Reporter in Gruppenpostfächern oder in Vertretungen verwendet werden kann, müssen mehrere Voraussetzungen erfüllt sein:

Das SupportsSharedFolders Element ist im Manifest aktiviert

In der Ihnen bereitgestellten XML-Datei (Manifest) muss das Element SupportsSharedFolders auf den Wert true gesetzt sein. Im allgemeinen ist dies immer der Fall.

<SupportsSharedFolders>true</SupportsSharedFolders>

Die Client-Unterstützung ist gegeben

Der verwendete Client mus das Requrement Set 1.8 unterstützen, die Informationen können Sie der verlinkten Tabelle entnehmen https://docs.microsoft.com/en-us/javascript/api/requirement-sets/outlook/outlook-api-requirement-sets?view=common-js-preview#outlook-client-support . Im Moment unterstützen die folgenden Clients diese Voraussetzung:

• Windows: Microsoft 365 subscription
• Windows: 2021 one-time purchase
• Windows: 2019 one-time purchase (retail)
• Mac: current UI (connected to a Microsoft 365 subscription)
• Mac: new UI (preview) (connected to a Microsoft 365 subscription) (from Outlook 16.38.506)
• Mac: 2021 one-time purchase
• Web Browser: modern Outlook UI when connected to Exchange Online: Microsoft 365 subscription, Outlook.com

Die Server-Unterstützung ist gegeben

Der verwendete Exchange-Server muss das Requirement Set 1.8 unterstützen, die Information könenn Sie der verlinkten Tabelle entnehmen https://docs.microsoft.com/en-us/javascript/api/requirement-sets/outlook/outlook-api-requirement-sets?view=common-js-preview#exchange-server-support . Im Moment unterstützen die folgenden Exchange-Server Versionen diese Voraussetzung:

• Exchange Online

Manuelles Löschen des Add-In Outlook Cache

In gewissen Fällen dauert die Aktualisierung des Add-In auf dem Client ungwöhnlich lange. Soll eine Aktualisierung erzwungen werden, kann der Cache manuell wie folgt gelöscht werden:

• Alle nicht gespeicherten Dokumente in allen Office-Programmen sichern.
• Alle Office-Programme schliessen.
• Outlook schliessen.
• Im Datei-Explorer den Pfad %LOCALAPPDATA%\Microsoft\Office\16.0\Wef\ öffnen.
• Den gesamten Inhalt des «Wef» Ordners löschen, aber nicht den «Wef» Ordner selbst.
• Outlook erneut öffnen.

Verwendung des Phishing-Reporters auf Smartphones (Android / iOS)

Der Phishing-Reporter kann auch auf Smartphones über Outlook on Mobile genutzt werden, wenn das Postfach über eine M365 Subscription verfügt und in Exchange-Online gehostet ist. Um den Phishing-Reporter zu öffnen gehen Sie wie folgt vor:

• Öffnen Sie eine zu meldende E-Mail aus Ihrem Postfach (Gruppenpostfächer werden nicht untersützt).
• Klicken Sie auf die drei Punkte oben rechts.
• Erweitern Sie das neue Menü mit einer Wischgeste nach oben.
• Öffnen Sie das Add-In.

Verwendung des Phishing-Reporters im OWA

Das Add-In ist grundsätzlich auch im OWA verfügbar, die Positionierung des Add-Ins hängt vom verwendeten OWA ab: Classic, Modern oder über M365.
Das Add-In ist jeweils über more Actions (…) erreichbar, hier das Beispiel für M365:

Add-In lässt sich nur mit aktivierter Lesevorschau nutzen