Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Links in Emails gehen manchmal fremd

Mitglied: nippon-tussi

nippon-tussi (Level 1) - Jetzt verbinden

16.07.2018 um 14:23 Uhr, 1190 Aufrufe, 5 Kommentare, 1 Danke

Hallo!

Wir verschicken seit Jahren Links zu downloadbaren ZIP-Dateien an unsere Kunden per E-Mail. Die Links sind alle individuell für den einzelnen Kunden erstellt und werden in aller Regel nur exakt einmal abgerufen (Mal abgesehen von den DAUs, die nicht wissen wo ihre Downloads laden.)

Die Links starten ein Skript, das die Dateien ausliefert und uns per E-Mail über den Download informiert. Außerdem benachrichtigt uns das Skript, wenn ein Download fehl schlägt.

Seit einiger Zeit beobachten wir dabei Zugriffe von Dritten. Da die URLs dabei (immer!) verändert und somit ungültig werden, scheitert der Download und wir bekommen Nachrichten von unserem Skript, dass irgend jemand mit einer IP von der anderen Seite des Atlantiks (i.d.R. Microsoft) versucht hat auf eine Datei zuzugreifen. Interessant dabei ist, dass auch bei E-Mails mit mehreren Links, nur einzelne Links von Unberechtigten aufgerufen werden.

Hat jemand eine Idee wozu diese Abrufe dienen sollen? Ist das womöglich nur irgend eine Cloud-Funktion?


Danke fürs lesen, tussi
Mitglied: Lochkartenstanzer
LÖSUNG 16.07.2018, aktualisiert um 14:31 Uhr
Zitat von nippon-tussi:

Hat jemand eine Idee wozu diese Abrufe dienen sollen? Ist das womöglich nur irgend eine Cloud-Funktion?

Vermutlich wird das der Malwareschutz (smartscreen, Defender, & Co.) von MS sein, der prüfen will ob Eure Dateien koscher sind. Auch anderre Malwareschutz, der Cloudgestützt arbeitet, wird vermutlich so vorgehen. Ahbt Irh die Dateien wenigstens veschlüsselt, damit keine Geheimnisse leaken?

lks
Bitte warten ..
Mitglied: nippon-tussi
16.07.2018 um 15:02 Uhr
Das ist ja der Haken, die Daten sind nicht verschlüsselt, auch die ZIPs haben keine PW.

Wenn wir das täten, kämen 98% der Empfänger gewaltig ins rotieren und ich könnte mir den Mund fusselig reden bzw. die Finger platt tippen. Anfangs haben wir versucht, die Daten per FTP zur Verfügung zu stellen, samt Login und PW. Aber damit sind wir kläglich gescheitert. Sobald die Leute irgendwo irgendetwas eintippen müssen geht es schief! Einige scheitern schon an der E-Mail und verlangen unbedingt vertrautes, z.B. WeTransfer. Aber bei diesen Services habe ich überhaupt kein Kontrolle mehr wohin das Zeug geht.

Der Inhalt der Pakete ist zwar vertraulich, aber dass ein Schaden entstünde, wenn sie in fremde Hände kämmen, kann bei uns auch niemand erkennen.

Sobald die Dateien bei den Empfängern ausgepackt sind, haben wir ohnehin keine Korntrolle mehr über den Malwareschutz der Empfänger.

Aber wie schon geschrieben, hat (soweit ich sehen kann) noch keine der Dateien den falschen Weg genommen, weil die Crawler die URLs verändern.
Bitte warten ..
Mitglied: Solarius
16.07.2018, aktualisiert um 15:38 Uhr
Guude in die Runde,

Ich spekulier dann mal ein bisschen rum.

Ist vermutlich SPAM-Schutz integriert in Microsoft Office 365 (Office 2016). In allen über den offiziellen privaten MS-Account (MS-Exchange) zugestellten Mails sehen die Links in den zugestellten Mails nach folgendem Muster aus:

link - Klicke auf das Bild, um es zu vergrößern

Der Original-Link wird dabei wohl ersetzt. Gelegentlich kann ich über diese modifizierten Links nichts erreichen. Die Anfrage läuft dann in ein Time-Out und bringt die Meldung nicht erreichbar oder wird von MS-geblockt.

Kopiere ich den modifizierten Link aus der Adresszeile des Browsers in einen Neues Browser-Fenster tut es manchmal, aber auch mal nicht. Möglicherweise läuft da im Hintergrund auch noch eine "Sand-Box" die den Quellcode des Links checkt, und wenn der nicht zweifelsfrei sauber erscheint geht es nicht.

Teilweise erscheint im Browser sogar folgende Anzeige:

block - Klicke auf das Bild, um es zu vergrößern


Möglicherweise fummelt da MS in euren .zip-Dateien rum und die Kunden kommen gar nicht bis dahin.

Viel Erfolg bei der Analyse

Solarius

PS: bei nicht über die MS-Azure-Cloud eingebundenen Mail-Accounts per pop oder imap konnte ich das beschriebene Verhalten von Outlook 2016 nicht feststellen.
Bitte warten ..
Mitglied: nippon-tussi
16.07.2018 um 17:21 Uhr
Zitat von Solarius:
Möglicherweise fummelt da MS in euren .zip-Dateien rum und die Kunden kommen gar nicht bis dahin.

Nein, alle Empfänger haben ihre ZIPs problemlos bekommen. Ich habe heute nochmal die Logs durchgesehen: In den letzten 6 Monaten hat es exakt zwei Zugriffe durch Curl mit typisch fehlerhaften Links gegeben. In beiden Fällen haben die Empfängen die Pakete selbst vorher problemlos mit Ihren Web-Browsern abgeholt, aber Curl hat zwei Tage danach nur 404 bekommen.
Bitte warten ..
Mitglied: Solarius
16.07.2018 um 18:36 Uhr
Na dann ist ja alles gut und im grünen Bereich!
Bitte warten ..
Ähnliche Inhalte
VB for Applications

Shell Befehl funktioniert manchmal, manchmal nicht

Frage von donky2000VB for Applications4 Kommentare

Hallo zusammen, wenn ich neue PCs installiere rufe ich die zu instllierenden Programme per Makro aus Excel 2010 auf. ...

Microsoft Office

Excel 2016 (365) startet manchmal in neuer Instanz, manchmal nicht (??)

Frage von ordi303Microsoft Office2 Kommentare

Hallo zusammen, in der Firma haben wir diverse Windows 7 Pro Clients, alle haben entweder Office 2010 oder 2016 ...

Windows 10

Windows 10 startet manchmal nicht

Frage von achkleinWindows 104 Kommentare

Hallo, ein Acer E5-573-P77V hat gelgentlich Probleme beim Hochfahren von Windows 10. Nach dem Erscheinen des Acer-Logos bleibt der ...

Exchange Server

Zertifkat wird manchmal nicht vertraut

gelöst Frage von Ex0r2k16Exchange Server1 Kommentar

Hallo ! Ich habe hier eine hybride Exchange Konfiguration. Die normalen User Mailboxen sind aber bereits alle zu Exchange ...

Neue Wissensbeiträge
E-Books

Ausgewählte Rheinwerk-Bücher jetzt online lesen! Kostenfrei

Information von Maxima2005 vor 23 StundenE-Books1 Kommentar

Vielleicht hat ja jemand Interesse sein Wissen zu erweitern. Ausgewählte Rheinwerk-Bücher jetzt online lesen! Grüße Max

Instant Messaging
Jitsi Meet - April Update verfügbar
Information von Frank vor 1 TagInstant Messaging4 Kommentare

Im Rahmen des April-Updates erhält Jitsi Meet mehrere interessante Features. Anwender können nun nicht mehr nur ihren Bildschirm, sondern ...

Rechtliche Fragen

Rechtliche Grundlagen: Datenschutz und Datensicherheit im Homeoffice

Information von AnkhMorpork vor 1 TagRechtliche Fragen

Sollte bekannt sein, aber

Router & Routing
"Upgrade" Fritte 7520 zu Fritte 7530 :-)
Information von Lochkartenstanzer vor 2 TagenRouter & Routing6 Kommentare

Moin, wie sich herausgestellt hat, ist die 7520 eine per Software kastrierte Version der 7530. Per "Chiptuning", um es ...

Heiß diskutierte Inhalte
Server-Hardware
Wie viel Speicher braucht eine Wissensdatenbank für bis zu 50 User?
Frage von Mrhallo19981Server-Hardware38 Kommentare

Hallo, könnt ihr mir sagen wieviel Speicherplatz eine Wissensdatenbank braucht (die physikalisch speichert, also nicht mit einer Datenbank zusammen) ...

Festplatten, SSD, Raid
Festplatten Datenvernichtung Server
Frage von survial555Festplatten, SSD, Raid29 Kommentare

Hallo, ich habe noch ein paar alte Server, wo ich die verbauten Festplatten gerne datentechnisch "sicher" löschen möchte. Leider ...

Linux
Internetprobleme mit Wine für Linux um .exe Dateien auszuführen
Frage von WinLiCLILinux22 Kommentare

Hallo zusammen, ich möchte auf meinem debian 10 einen client für cloud-telefonie (cloud pbx) installieren, den es nur für ...

Router & Routing
Kein Zugriff auf LAN von Notebook auf WLAN wegen Netzwerkadressen
gelöst Frage von hermannzieglerRouter & Routing18 Kommentare

Hallo. Wir möchten mit dem Firmen-Notebook über WLAN ins kabelgebundene LAN auf freigegebene Ordner zugreifen. Problem: Unterschiedliche IP-Adressen. Vodafone ...