Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Links in Emails gehen manchmal fremd

Mitglied: nippon-tussi

nippon-tussi (Level 1) - Jetzt verbinden

16.07.2018 um 14:23 Uhr, 1270 Aufrufe, 5 Kommentare, 1 Danke

Hallo!

Wir verschicken seit Jahren Links zu downloadbaren ZIP-Dateien an unsere Kunden per E-Mail. Die Links sind alle individuell für den einzelnen Kunden erstellt und werden in aller Regel nur exakt einmal abgerufen (Mal abgesehen von den DAUs, die nicht wissen wo ihre Downloads laden.)

Die Links starten ein Skript, das die Dateien ausliefert und uns per E-Mail über den Download informiert. Außerdem benachrichtigt uns das Skript, wenn ein Download fehl schlägt.

Seit einiger Zeit beobachten wir dabei Zugriffe von Dritten. Da die URLs dabei (immer!) verändert und somit ungültig werden, scheitert der Download und wir bekommen Nachrichten von unserem Skript, dass irgend jemand mit einer IP von der anderen Seite des Atlantiks (i.d.R. Microsoft) versucht hat auf eine Datei zuzugreifen. Interessant dabei ist, dass auch bei E-Mails mit mehreren Links, nur einzelne Links von Unberechtigten aufgerufen werden.

Hat jemand eine Idee wozu diese Abrufe dienen sollen? Ist das womöglich nur irgend eine Cloud-Funktion?


Danke fürs lesen, tussi
Mitglied: Lochkartenstanzer
LÖSUNG 16.07.2018, aktualisiert um 14:31 Uhr
Zitat von nippon-tussi:

Hat jemand eine Idee wozu diese Abrufe dienen sollen? Ist das womöglich nur irgend eine Cloud-Funktion?

Vermutlich wird das der Malwareschutz (smartscreen, Defender, & Co.) von MS sein, der prüfen will ob Eure Dateien koscher sind. Auch anderre Malwareschutz, der Cloudgestützt arbeitet, wird vermutlich so vorgehen. Ahbt Irh die Dateien wenigstens veschlüsselt, damit keine Geheimnisse leaken?

lks
Bitte warten ..
Mitglied: nippon-tussi
16.07.2018 um 15:02 Uhr
Das ist ja der Haken, die Daten sind nicht verschlüsselt, auch die ZIPs haben keine PW.

Wenn wir das täten, kämen 98% der Empfänger gewaltig ins rotieren und ich könnte mir den Mund fusselig reden bzw. die Finger platt tippen. Anfangs haben wir versucht, die Daten per FTP zur Verfügung zu stellen, samt Login und PW. Aber damit sind wir kläglich gescheitert. Sobald die Leute irgendwo irgendetwas eintippen müssen geht es schief! Einige scheitern schon an der E-Mail und verlangen unbedingt vertrautes, z.B. WeTransfer. Aber bei diesen Services habe ich überhaupt kein Kontrolle mehr wohin das Zeug geht.

Der Inhalt der Pakete ist zwar vertraulich, aber dass ein Schaden entstünde, wenn sie in fremde Hände kämmen, kann bei uns auch niemand erkennen.

Sobald die Dateien bei den Empfängern ausgepackt sind, haben wir ohnehin keine Korntrolle mehr über den Malwareschutz der Empfänger.

Aber wie schon geschrieben, hat (soweit ich sehen kann) noch keine der Dateien den falschen Weg genommen, weil die Crawler die URLs verändern.
Bitte warten ..
Mitglied: Solarius
16.07.2018, aktualisiert um 15:38 Uhr
Guude in die Runde,

Ich spekulier dann mal ein bisschen rum.

Ist vermutlich SPAM-Schutz integriert in Microsoft Office 365 (Office 2016). In allen über den offiziellen privaten MS-Account (MS-Exchange) zugestellten Mails sehen die Links in den zugestellten Mails nach folgendem Muster aus:

link - Klicke auf das Bild, um es zu vergrößern

Der Original-Link wird dabei wohl ersetzt. Gelegentlich kann ich über diese modifizierten Links nichts erreichen. Die Anfrage läuft dann in ein Time-Out und bringt die Meldung nicht erreichbar oder wird von MS-geblockt.

Kopiere ich den modifizierten Link aus der Adresszeile des Browsers in einen Neues Browser-Fenster tut es manchmal, aber auch mal nicht. Möglicherweise läuft da im Hintergrund auch noch eine "Sand-Box" die den Quellcode des Links checkt, und wenn der nicht zweifelsfrei sauber erscheint geht es nicht.

Teilweise erscheint im Browser sogar folgende Anzeige:

block - Klicke auf das Bild, um es zu vergrößern


Möglicherweise fummelt da MS in euren .zip-Dateien rum und die Kunden kommen gar nicht bis dahin.

Viel Erfolg bei der Analyse

Solarius

PS: bei nicht über die MS-Azure-Cloud eingebundenen Mail-Accounts per pop oder imap konnte ich das beschriebene Verhalten von Outlook 2016 nicht feststellen.
Bitte warten ..
Mitglied: nippon-tussi
16.07.2018 um 17:21 Uhr
Zitat von Solarius:
Möglicherweise fummelt da MS in euren .zip-Dateien rum und die Kunden kommen gar nicht bis dahin.

Nein, alle Empfänger haben ihre ZIPs problemlos bekommen. Ich habe heute nochmal die Logs durchgesehen: In den letzten 6 Monaten hat es exakt zwei Zugriffe durch Curl mit typisch fehlerhaften Links gegeben. In beiden Fällen haben die Empfängen die Pakete selbst vorher problemlos mit Ihren Web-Browsern abgeholt, aber Curl hat zwei Tage danach nur 404 bekommen.
Bitte warten ..
Mitglied: Solarius
16.07.2018 um 18:36 Uhr
Na dann ist ja alles gut und im grünen Bereich!
Bitte warten ..
Ähnliche Inhalte
VB for Applications

Shell Befehl funktioniert manchmal, manchmal nicht

Frage von donky2000VB for Applications4 Kommentare

Hallo zusammen, wenn ich neue PCs installiere rufe ich die zu instllierenden Programme per Makro aus Excel 2010 auf. ...

Microsoft Office

Excel 2016 (365) startet manchmal in neuer Instanz, manchmal nicht (??)

Frage von ordi303Microsoft Office2 Kommentare

Hallo zusammen, in der Firma haben wir diverse Windows 7 Pro Clients, alle haben entweder Office 2010 oder 2016 ...

Windows 10

Windows 10 startet manchmal nicht

Frage von achkleinWindows 104 Kommentare

Hallo, ein Acer E5-573-P77V hat gelgentlich Probleme beim Hochfahren von Windows 10. Nach dem Erscheinen des Acer-Logos bleibt der ...

Exchange Server

Zertifkat wird manchmal nicht vertraut

gelöst Frage von Ex0r2k16Exchange Server1 Kommentar

Hallo ! Ich habe hier eine hybride Exchange Konfiguration. Die normalen User Mailboxen sind aber bereits alle zu Exchange ...

Neue Wissensbeiträge
Microsoft
SMB Compression: Deflate your IO
Ticker von Dani vor 2 TagenMicrosoft

Hi folks, Ned Pyle guest-posting today about SMB Compression, a long-awaited option coming to Windows, Windows Server, and Azure. ...

Virtualisierung

Citrix end of availability (EOA) of perpetual licenses for the on-prem Workspace products

Ticker von Dani vor 2 TagenVirtualisierung

Moin, der nächste Marktführer steigt von Kaufen auf Mietzwang um :-( What did Citrix announce on July 1, 2020? ...

Festplatten, SSD, Raid
Stop Error 0x0000007B (INACCESSIBLE BOOT DEVICE)
Anleitung von evinben vor 2 TagenFestplatten, SSD, Raid

Systemstand Windows 7, 64-Bit, einschließlich allen Updates bis 10.09.2020 DELL Latitude E6330 PCI-Bus IRQ-Kanal 19: Standard AHCI 1.0 Serieller-ATA-Controller IRQ-Kanal ...

Sicherheit
NSA: UEFI und Secure Boot einsetzen
Ticker von sabines vor 3 TagenSicherheit3 Kommentare

Hilfreicher Heise Artikel zu UEFI und Secure Boot Tipps der NSA Näheres hier: NSA Bericht

Heiß diskutierte Inhalte
Windows 10
Einige Webseiten lassen sich nicht mehr aufrufen
Frage von JobbiWindows 108 Kommentare

Hallo Zusammen, kurze Info zum Aufbau: 4 Server 2019, 6 PC´s; Server: 1x DC;DNS; 1x File, 1x TS, 1x ...

Windows Server
AD Userkennwörter per Mail versenden
Frage von xoxoonexWindows Server8 Kommentare

Guten Tag Admins, ich suche eine Möglichkeit welche anhand einer CSV in welcher die Anmeldedaten + Mail und weitere ...

Sicherheit
Offener Port ohne Dienst IT-Sicherheit
gelöst Frage von decehakanSicherheit8 Kommentare

Hallo Zusammen, für die Zertifisierung von Webapplikation öffne ich in drei Monat Rythmus den Port 443/80 ,dabei läuft die ...

Netzwerkmanagement
WLAN Drucker überall erreichbar machen + UPgrade auf 10GBASE-T
gelöst Frage von daswinimramNetzwerkmanagement7 Kommentare

Hallo Admins und alle anderen mit Nerven aus Stahl! :) folgende IST Situation : FRAGEN : 1.) -> ich ...

Administrator Magazin
09 | 2020 Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September beleuchtet das IT-Administrator Magazin deshalb das Schwerpunktthema "Webdienste und -server". Darin lesen Sie unter anderem, wie Sie Webapplikationen sinnvoll überwachen und welche Open-Source-Managementtools ...
Best VPN