5
Links in Emails gehen manchmal fremd
Hallo!
Wir verschicken seit Jahren Links zu downloadbaren ZIP-Dateien an unsere Kunden per E-Mail. Die Links sind alle individuell für den einzelnen Kunden erstellt und werden in aller Regel nur exakt einmal abgerufen (Mal abgesehen von den DAUs, die nicht wissen wo ihre Downloads laden.)
Die Links starten ein Skript, das die Dateien ausliefert und uns per E-Mail über den Download informiert. Außerdem benachrichtigt uns das Skript, wenn ein Download fehl schlägt.
Seit einiger Zeit beobachten wir dabei Zugriffe von Dritten. Da die URLs dabei (immer!) verändert und somit ungültig werden, scheitert der Download und wir bekommen Nachrichten von unserem Skript, dass irgend jemand mit einer IP von der anderen Seite des Atlantiks (i.d.R. Microsoft) versucht hat auf eine Datei zuzugreifen. Interessant dabei ist, dass auch bei E-Mails mit mehreren Links, nur einzelne Links von Unberechtigten aufgerufen werden.
Hat jemand eine Idee wozu diese Abrufe dienen sollen? Ist das womöglich nur irgend eine Cloud-Funktion?
Danke fürs lesen, tussi
Wir verschicken seit Jahren Links zu downloadbaren ZIP-Dateien an unsere Kunden per E-Mail. Die Links sind alle individuell für den einzelnen Kunden erstellt und werden in aller Regel nur exakt einmal abgerufen (Mal abgesehen von den DAUs, die nicht wissen wo ihre Downloads laden.)
Die Links starten ein Skript, das die Dateien ausliefert und uns per E-Mail über den Download informiert. Außerdem benachrichtigt uns das Skript, wenn ein Download fehl schlägt.
Seit einiger Zeit beobachten wir dabei Zugriffe von Dritten. Da die URLs dabei (immer!) verändert und somit ungültig werden, scheitert der Download und wir bekommen Nachrichten von unserem Skript, dass irgend jemand mit einer IP von der anderen Seite des Atlantiks (i.d.R. Microsoft) versucht hat auf eine Datei zuzugreifen. Interessant dabei ist, dass auch bei E-Mails mit mehreren Links, nur einzelne Links von Unberechtigten aufgerufen werden.
Hat jemand eine Idee wozu diese Abrufe dienen sollen? Ist das womöglich nur irgend eine Cloud-Funktion?
Danke fürs lesen, tussi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 380424
Url: https://administrator.de/contentid/380424
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
5 Kommentare
Neuester Kommentar
Zitat von @nippon-tussi:
Hat jemand eine Idee wozu diese Abrufe dienen sollen? Ist das womöglich nur irgend eine Cloud-Funktion?
Hat jemand eine Idee wozu diese Abrufe dienen sollen? Ist das womöglich nur irgend eine Cloud-Funktion?
Vermutlich wird das der Malwareschutz (smartscreen, Defender, & Co.) von MS sein, der prüfen will ob Eure Dateien koscher sind. Auch anderre Malwareschutz, der Cloudgestützt arbeitet, wird vermutlich so vorgehen. Ahbt Irh die Dateien wenigstens veschlüsselt, damit keine Geheimnisse leaken?
lks
Das ist ja der Haken, die Daten sind nicht verschlüsselt, auch die ZIPs haben keine PW.
Wenn wir das täten, kämen 98% der Empfänger gewaltig ins rotieren und ich könnte mir den Mund fusselig reden bzw. die Finger platt tippen. Anfangs haben wir versucht, die Daten per FTP zur Verfügung zu stellen, samt Login und PW. Aber damit sind wir kläglich gescheitert. Sobald die Leute irgendwo irgendetwas eintippen müssen geht es schief! Einige scheitern schon an der E-Mail und verlangen unbedingt vertrautes, z.B. WeTransfer. Aber bei diesen Services habe ich überhaupt kein Kontrolle mehr wohin das Zeug geht.
Der Inhalt der Pakete ist zwar vertraulich, aber dass ein Schaden entstünde, wenn sie in fremde Hände kämmen, kann bei uns auch niemand erkennen.
Sobald die Dateien bei den Empfängern ausgepackt sind, haben wir ohnehin keine Korntrolle mehr über den Malwareschutz der Empfänger.
Aber wie schon geschrieben, hat (soweit ich sehen kann) noch keine der Dateien den falschen Weg genommen, weil die Crawler die URLs verändern.
Wenn wir das täten, kämen 98% der Empfänger gewaltig ins rotieren und ich könnte mir den Mund fusselig reden bzw. die Finger platt tippen. Anfangs haben wir versucht, die Daten per FTP zur Verfügung zu stellen, samt Login und PW. Aber damit sind wir kläglich gescheitert. Sobald die Leute irgendwo irgendetwas eintippen müssen geht es schief! Einige scheitern schon an der E-Mail und verlangen unbedingt vertrautes, z.B. WeTransfer. Aber bei diesen Services habe ich überhaupt kein Kontrolle mehr wohin das Zeug geht.
Der Inhalt der Pakete ist zwar vertraulich, aber dass ein Schaden entstünde, wenn sie in fremde Hände kämmen, kann bei uns auch niemand erkennen.
Sobald die Dateien bei den Empfängern ausgepackt sind, haben wir ohnehin keine Korntrolle mehr über den Malwareschutz der Empfänger.
Aber wie schon geschrieben, hat (soweit ich sehen kann) noch keine der Dateien den falschen Weg genommen, weil die Crawler die URLs verändern.
Guude in die Runde,
Ich spekulier dann mal ein bisschen rum.
Ist vermutlich SPAM-Schutz integriert in Microsoft Office 365 (Office 2016). In allen über den offiziellen privaten MS-Account (MS-Exchange) zugestellten Mails sehen die Links in den zugestellten Mails nach folgendem Muster aus:
Der Original-Link wird dabei wohl ersetzt. Gelegentlich kann ich über diese modifizierten Links nichts erreichen. Die Anfrage läuft dann in ein Time-Out und bringt die Meldung nicht erreichbar oder wird von MS-geblockt.
Kopiere ich den modifizierten Link aus der Adresszeile des Browsers in einen Neues Browser-Fenster tut es manchmal, aber auch mal nicht. Möglicherweise läuft da im Hintergrund auch noch eine "Sand-Box" die den Quellcode des Links checkt, und wenn der nicht zweifelsfrei sauber erscheint geht es nicht.
Teilweise erscheint im Browser sogar folgende Anzeige:
Möglicherweise fummelt da MS in euren .zip-Dateien rum und die Kunden kommen gar nicht bis dahin.
Viel Erfolg bei der Analyse
Solarius
PS: bei nicht über die MS-Azure-Cloud eingebundenen Mail-Accounts per pop oder imap konnte ich das beschriebene Verhalten von Outlook 2016 nicht feststellen.
Ich spekulier dann mal ein bisschen rum.
Ist vermutlich SPAM-Schutz integriert in Microsoft Office 365 (Office 2016). In allen über den offiziellen privaten MS-Account (MS-Exchange) zugestellten Mails sehen die Links in den zugestellten Mails nach folgendem Muster aus:
Der Original-Link wird dabei wohl ersetzt. Gelegentlich kann ich über diese modifizierten Links nichts erreichen. Die Anfrage läuft dann in ein Time-Out und bringt die Meldung nicht erreichbar oder wird von MS-geblockt.
Kopiere ich den modifizierten Link aus der Adresszeile des Browsers in einen Neues Browser-Fenster tut es manchmal, aber auch mal nicht. Möglicherweise läuft da im Hintergrund auch noch eine "Sand-Box" die den Quellcode des Links checkt, und wenn der nicht zweifelsfrei sauber erscheint geht es nicht.
Teilweise erscheint im Browser sogar folgende Anzeige:
Möglicherweise fummelt da MS in euren .zip-Dateien rum und die Kunden kommen gar nicht bis dahin.
Viel Erfolg bei der Analyse
Solarius
PS: bei nicht über die MS-Azure-Cloud eingebundenen Mail-Accounts per pop oder imap konnte ich das beschriebene Verhalten von Outlook 2016 nicht feststellen.
Zitat von @Solarius:
Möglicherweise fummelt da MS in euren .zip-Dateien rum und die Kunden kommen gar nicht bis dahin.
Möglicherweise fummelt da MS in euren .zip-Dateien rum und die Kunden kommen gar nicht bis dahin.
Nein, alle Empfänger haben ihre ZIPs problemlos bekommen. Ich habe heute nochmal die Logs durchgesehen: In den letzten 6 Monaten hat es exakt zwei Zugriffe durch Curl mit typisch fehlerhaften Links gegeben. In beiden Fällen haben die Empfängen die Pakete selbst vorher problemlos mit Ihren Web-Browsern abgeholt, aber Curl hat zwei Tage danach nur 404 bekommen.
1
Na dann ist ja alles gut und im grünen Bereich!
