[German]A information to the administrators among the blog readership who use HornetSecurity to filter mails (e.g. in Microsoft Exchange). A reader informed me that the mails in question (for Exchange) have been quarantined. On the HornetSecurity status page there is currently only a Degraded Performance note. Addendum: In the meantime, the provider is said to be in contact with Microsoft.
A note from a reader
HornetSecurity is a service used by companies to filter emails for spam and viruses (see also this company page). The service then sorts detected threats or spam into quarantine. A blog reader got in touch yesterday (thanks for that) because HornetSecurity moves all mails in quarantine.
Here is another screenshot with the relevant delivery details.
This suddenly happens to all emails that are filtered by HornetSecurity – everything ends up in quarantine due to suspected phishing.
The reader reported this to HornetSecurity by telephone. Their status page only provided a "Degraded Performance" message at this time.
The reader only told me that HornetSecurity planned to get in touch with Microsoft. In the meantime, HornetSecurity has made an addition to the status page:
[HSE20240702-01-I] Incident: Degraded Performance: ATP Secure Links
Incident Status: Degraded Performance
Components: Advanced Threat Protection
Locations: Switzerland, Global
July 2, 2024 13:28 CEST
July 2, 2024 11:28 UTC[Identified] We are in direct contact with Microsoft to resolve this issue. As soon as we have more information we will update you again.
July 2, 2024 11:59 CEST
July 2, 2024 09:59 UTC[Investigating] We received reports that Hornetsecurity Secure Links are recognized as phishing by Microsoft Defender. You will see something similar to "The URL has malicious phishing traits based from high confidence intelligence source." The cause is currently being analysed in more detail. Other services and the email flow is not affected.
As far as I know, HornetSecurity has contacted Microsoft, and they plan to fix that issue. But feedback of blog readers from today (July 3, 2024) says, that there mails still quarantined.
Hallo zusammen,
es könnte sein, dass sich das Problem fortsetzt und problematisch finde ich hierbei, dass die Partner über das länger andauernde Problem nicht informiert wurden.
Im Standard werden scheinbar keine Quarantäne-Reports (Microsoft Defender) für die User erzeugt und je nach Lizenz-Modell sind die Vorgehensweisen, um das Problem zu beheben, auch unterschiedlich.
Wirklich fatal wird es aber dadurch, dass die E-Mails im Standard nur 15 Tage in der Quarantäne verbleiben und dann gelöscht werden. Aktuell können wir das Problem nur mit E-Mails nachstellen, die von Intern nach Intern gesendet werden. Die eigentliche Problemlösung wird aber weder im Benutzerhandbuch noch im Tooltip für Secure Links im Control Panel erwähnt.
Nö, dafür werden Blog-Einträge erstellt:
https://support.hornetsecurity.com/hc/en-us/articles/26562639965073-ATP-Secure-Links-exceptions-in-Office-365-Premium-or-E5-with-Microsoft-Defender
https://support.hornetsecurity.com/hc/en-us/articles/26383543784465-Are-you-having-trouble-with-emails-being-flagged-as-Phishing-inside-Mircosoft-Defender
Ich gewinne hier langsam den Eindruck, dass HornetSecurity die Probleme unter den Tisch kehren will. Gestern (23.07.24) gab es zum Beispiel auch einen Ausfall der 1-2h andauerte, der wurde auch auf der Systemstatus-Seite gelistet, aber auch da erfolgte keine Benachrichtigung. Ich habe auch schon mehrfach die Statusseite abonniert, aber die E-Mails kommen einfach nicht an. Hier habe ich die Vermutung, dass die Statusseite auch die Mailserver von Hornetsecurity verwendet und deshalb keine Nachrichten hinausschickt, was schon durchaus lustig, aber auch ziemlich dämlich wäre.