Сеть Yammer не каждому по душе, и появление в группе Microsoft's Exchange IT Pro некой важной информации для кого-то могло стать сюрпризом. А появились там данные об ошибке в приложении Outlook Web App (OWA), позволяющей нечестным пользователям уничтожить компрометирующие улики и обойти требования по защите от изменений элементов электронной почты, предназначенных для судебного рассмотрения (в установленном законом порядке) или для долгосрочного хранения. Проблема затрагивает как систему Exchange Online, так и все поддерживаемые версии продукта Exchange 2013. Конечно, это не может обрадовать. Но, по крайней мере, приложение Outlook продолжает работать как положено, что приятно.

Мы живем в мире конкурирующих социальных форумов, в котором выбрать источник информации бывает нелегко. Facebook, форумы TechNet, Twitter, Google+ и другие источники борются за внимание пользователей. Дублирование данных сбивает с толку и вносит неясность, а информация всегда должна быть отфильтрована, проанализирована и оценена в рамках контекста. Это просто вихрь данных! А тут еще и Yammer. Меня самого сложно назвать приверженцем корпоративной социальной сетевой платформы от компании Microsoft, но эта сеть имеет своих преданных поклонников. Несмотря на громкие заявления от тех, кто может быть в курсе соответствующих планов, реальных доказательств интеграции между Yammer и Exchange пока не обнаружено. И, предвидя возмущение, хочу пояснить, что возможность отправки сообщений из одного продукта в другой не является интеграцией. Это даже не первый шаг к ней.

Но в ожидании светлого будущего я наблюдаю за группой Yammer с именем Exchange IT Pro и обратил внимание на достаточно тревожное открытие Василя Мичева, инженера по технической поддержке системы Office 365 в компании HP. Он сообщил, что получил возможность использовать приложение Outlook Web App (OWA) для обхода механизма хранения данных для судебного разбирательства в системе Exchange (проблема обсуждалась на форуме TechNet).

Как вы, вероятно, знаете, когда почтовый ящик задействован в судебном процессе или попадает под долгосрочное локальное хранение, система Exchange должна сохранять копии защищаемых элементов при попытках пользователя удалить их из почтового ящика. Оставшиеся копии хранятся в подпапке \Deletions папки Recoverable Items, скрытой от любопытных глаз пользователя, при этом они продолжают индексироваться, поэтому их можно обнаружить через механизм поиска Ediscovery.

Василь сообщил о том, что смог целиком переместить папку из почтового ящика, находящегося на судебном удержании, в общий почтовый ящик без сохранения данных о переносе. Как только сообщения перемещаются в общий почтовый ящик, пользователь может просто удалить их и очистить папку Recoverable Items, чтобы стереть все следы писем с сервера. В данном случае пользователь имеет разрешение полного доступа для общего почтового ящика, но описанный вариант также возможен, если у пользователя есть права на удаление целевой папки в общем почтовом ящике.

Перемещение без сохранения следов должно быть нереализуемым, потому что перемещение папки из одного почтового ящика в другой по существу представляет собой удаление элементов из исходного почтового ящика и их воссоздание в целевом почтовом ящике. Операции удаления должны были обнаружены, а почтовые сообщения сохранены, но этого не произошло. Это серьезная проблема для любой компании, втянутой в судебный процесс, если судья потребовал, чтобы электронная почта была защищена от удаления.

В рассматриваемом случае примечательно, что папка была перемещена целиком, так как приложение OWA корректно обрабатывает перемещение отдельных сообщений и сохраняет их копии в исходном почтовом ящике. Василь сообщил, что проблема была выявлена в системе Office 365. Я проверил сценарий в системе Exchange 2013 версии CU6 и обнаружил то же самое. На экране 1 вы видите папку с именем Contoso, в которой содержится 14 писем.

 

Информация о содержимом папок
Экран 1. Информация о содержимом папок

Затем я переместил папку в общий почтовый ящик и посмотрел снова. Вы можете заметить, что папки Contoso больше нет в почтовом ящике (см. экран 2), но количество элементов в подпапке \Deletions не изменилось (их по-прежнему 18). Данная проблема затрагивает систему Exchange Online (Office 365) и все поддерживаемые версии Exchange 2013, в том числе Exchange 2013 CU6.

 

Удаление папки с сохранением числа удаленных писем
Экран 2. Удаление папки с сохранением числа удаленных писем

Василь также рассказал, что вы можете предоставить доступ другому пользователю к папке в своем почтовом ящике, содержащем элементы, которые необходимо уничтожить, и воспользоваться помощью пользователя для удаления папки. И в этом сценарии механизм хранения не сохраняет удаленные элементы.

Ключевые признаки данной проблемы:

а) используется приложение OWA;

б) присутствует элемент делегирования прав, связанный либо с использованием общего почтового ящика, либо с предоставлением доступа к собственному почтовому ящику пользователя;

в) удаляется целая папка, а не отдельные элементы. Насколько я знаю, не существует известных сценариев, когда пользователь может удалить сообщение в своем почтовом ящике без сохранения копий, если почтовый ящик находится на долгосрочном хранении.

Василь сообщил о проблеме в службу поддержки Office 365. После воспроизведения проблемы в версии CU6 я поставил в известность группу разработки Exchange, что она актуальна как для «облачной», так и для локальной версии. Это случилось за четыре дня до того, как компания Microsoft выпустила обновление Exchange 2013 CU6.

Microsoft продолжает исследовать основную причину ошибки и выпустила статью KB2996477, признав наличие проблемы. Было принято решение не задерживать выпуск обновления CU6, потому что инженерам компании требуется больше времени, чтобы провести исследование и разработать соответствующее долговременное исправление.

Решение компании Microsoft неоднозначно. С одной стороны, задержка выпуска версии CU6 на неопределенный срок в ситуации, когда код был готов к использованию и содержал важные для клиентов исправления (например, повышение масштабируемости общих папок и пакет исправлений для HCW) — не самый лучший вариант. С другой стороны, можно поспорить о том, можно ли игнорировать известную проблему, связанную с вопросом соответствия требованиям, и признать, что компания Microsoft должна была приостановить выпуск обновления CU6.

Когда мы говорим о задержке выпуска обновлений, речь не идет о том, чтобы подсунуть клиентам недоработанное решение и затем выпустить код. Такое безответственное проектирование могло бы стать причиной серьезных сбоев. Поскольку рассматриваемая ошибка проявляется в различных ситуациях, специалистам Microsoft необходимо изучить, отладить, исправить и протестировать множество сценариев. Требуется провести регрессивное тестирование как системы Exchange Online, так и локальных версий, убедившись, что исправление не приводит к появлению других проблем в приложении OWA или любом другом компоненте. Разумно предположить, что разработка и тестирование исправления займет несколько недель, и эта задержка может негативно повлиять на клиентов, которые ждали исправлений, входящих в состав обновления CU6.

Также справедливо было бы отметить, что никто не замечал проблемы, пока инженер Василь Мичев не выяснил, что происходит, когда приложение OWA выполняет перемещение папок (почему этот сценарий не был протестирован компанией Microsoft?). Предполагаю, что каждый пользователь просто считал, что механизмы соответствия требованиям системы Exchange работают, так как удаление отдельных сообщений выполняется корректно. Однако при этом можно утверждать, что новости о данной проблеме сильно обеспокоят клиентов, которые сейчас находятся под действием требований процедуры юридической проверки, поскольку они поймут, что не могут гарантировать сохранность электронной почты. Конечно, в том случае, если они не используют программу Outlook, потому что проблема не затрагивает ее, а также любое мобильное клиентское приложение.

Компания Microsoft приложила значительные усилия, чтобы в последних двух версиях добавить в систему Exchange широкий диапазон возможностей в области соответствия требованиям. Досадно было обнаружить в приложении OWA такой изъян. Будем надеяться, что Microsoft решит проблему быстро, сначала в системе Exchange Online, а затем и для пользователей локальных систем (вероятно, в обновлении CU7).