Neue Kontosperrungen bei Outlook.com – läuft Microsofts KI Amok, oder sind Konten kompromittiert?

[English]Kurze Information an Nutzer, die private Microsoft-Konten nutzen (also keine selbst verwalteten Firmenkonten), und gleich als Frage formuliert. Erhaltet ihr aktuell verstärkt Sicherheitswarnungen zu Outlook-Konten mit dem Hinweis, dass diese Konten nun gesperrt würden? Oft mit dem Hinweis, dass verdächtige Anmeldungen am Microsoft-Konto festgestellt wurden. Ein Blog-Leser hat mich gerade diesbezüglich kontaktiert und eine Theorie geäußert – und mir geht eine weitere Theorie im Kopf herum. Es gibt seit einigen Tagen zahlreiche Berichte, wo Leute feststellen, dass ihre outlook.com-Konten von fremden IPs (trotz 2FA) synchronisiert werden – gibt die Verwaltungsoberfläche des Kontos jedenfalls an. Ergänzung: Ist das behoben?


Anzeige

Outlook.com-Kontensperrungen

Blog-Leser Georg D. hat mich Sonntag per E-Mail kontaktiert (danke für den Hinweis) und berichtete, dass die Sicherheitsmechanismen bei Microsofts E-Mail-Dienst outlook.com (bzw. outlook.de) wohl ein wenig verrückt spielten. Dazu schrieb er:

Hallo Herr Born,

bei Microsofts freiem Maildienst "Outlook.com" scheinen die Sicherheitsmechanismen verrückt zu spielen (oder irgendjemand spielt da in Microsofts System herum?).

Am Freitag informierte mich meine Schwester, dass Sie eine Sicherheitswarnung per Mail auf die in Ihrem Outlook.com-Account  hinterlegte Sicherheitsemailadresse erhalten habe.

Der Sicherheitshinweis, der dann verschickt wird, sieht wie nachfolgend gezeigt aus (einfach auf das Bild klicken, um die vergrößerte Anzeige einzusehen.

Outlook.com-Sicherheitshinweis
Outlook.com-Sicherheitshinweis, Zum Vergrößern klicken

Georg schrieb, dass der Mailversand des Outlook-Kontos (per IMAP-Abfragen per Client) gesperrt worden war. Man konnte sich aber noch an der Web-Oberfläche anmelden. Nach einer Anmeldung bei der Weboberfläche konnte man laut Georg unter den verdächtigen Anmeldungen folgendes sehen:


Anzeige


Outlook.com-Anmeldeverlauf, Zum Vergrößern klicken

Im betreffenden Formular kann man dann angeben, dass man selbst auf das Outlook.com-Konto zugegriffen habe, so dass das Ganze wieder zurückgesetzt wird. In obigem Screenshot sieht man aber, dass aus den USA ein Zugriffsversuch per IMAP-Protokoll auf das Online-Konto versucht wurde – für einen deutschen Benutzer eher unwahrscheinlich.

Ich habe mal die IP-Adresse 13.101.111.171 in dieser Datenbank und weiteren Domain-Tools eingegeben. Der IP-Adressbereich 13.64.0.0 – 13.107.255.255 ist für Microsoft selbst registriert.

Ein zweiter Fall in Frankreich

Den obigen Fall hätte man jetzt als isoliertes Ereignis abtun können. Aber bei meiner ersten Suche nach der obigen IP-Adresse bin ich auf dieses französischsprachige Forum gestoßen, wo ein Nutzer sich über ständige Sicherheitsmeldungen beschwert:

Hallo, seit 4 Tagen benachrichtigt mich meine E-Mail über eine ungewöhnliche Verbindung in die USA, und ich muss das Passwort ändern (zum 4. Mal heute Morgen), aber nichts passiert.

Heute Morgen hatte ich wieder diese ungewöhnliche Benachrichtigung. Ich habe meinen Prozess geändert, wie mein iPhone und mein PC auf das Microsoft E-Mail-Konto zugreift. Ich bin also nicht infiziert. Ist das ein Bug von outlook USA?

… denn es zermürbt mich … Danke für eure Meinungen.

Auch dort werden diverse IP-Adressen genannt, die alle zu Microsoft gehören. Die Diskussion ist nicht so zielführend (jedenfalls nach meinem Geschmack), denn es wird gefragt, ob der Nutzer die betreffenden IPs nicht von der Überwachung ausnehmen könne. Der beste Hinweis war, dass ein Dritter versucht, auf das Konto zuzugreifen – und die vom Nutzer eingesetzte Zwei-Faktor-Authentifizierung (2FA) da wohl helfe. Das Problem werde sich von alleine regeln …

Der Blog-Leser ist plötzlich selbst betroffen

Georg erwähnte in seiner E-Mail, dass er kurz nach dem Hilferuf seiner Schwester in die gleichen Problematik rauscht. Er hatte auch herausgefunden, dass "die IP-Adresse wohl nach Redmond gehört", wie er sich ausdrückte. Er schrieb:

Zur gleichen Zeit bemerkte ich, dass ich ebenfalls für meinen Outlook.com-Account eine gleiche Sicherheitswarnung bekommen hatte. Mein Account war für den Mailversand ebenfalls gesperrt. Nach einer Webanmeldung hatte auch ich eine verdächtige Anmeldung im Webinterface.

Outlook.com Sicherheitswarnung

Hier wird zwar eine andere IP verwendet, diese gehört aber ebenfalls zum oben genannten IP-Adresskreis, der Microsoft zugeordnet ist. Dann wurde sein Konto ein zweites Mal gesperrt und dazu schrieb er:

Nun ist bei mir heute eine erneute Sicherheitswarnung von MS eingetroffen. Erneut war das Konto gesperrt. Nach dem Einloggen ins Webinterface sind diesmal keine verdächtigen Anmeldungen protokolliert. Inzwischen schreibt mir meine Schwester, dass sie auch wieder die Sicherheitsmeldung bekommen hat und der Account gesperrt ist.

Weitere Fundstellen im Web

Georg hat dann selbst noch recherchiert und ist abseits des von mir oben verlinkten Falls in Frankreich auf weitere Fundstellen im Internet gestoßen. Er ist beispielsweise auf diesen Beitrag eines Betroffenen bei Microsoft Q&A gestoßen:

Unter dem Titel Unusual sign-in activity email from MS berichtet der Nutzer von zwei Benachrichtigungen seines E-Mail-Kontos. Die Aktivitäten gehen von Microsoft Azure-Server-IPs aus. Ein weiterer Betroffener bestätigt die Beobachtungen – wobei in der Q&A-Session nichts an Antwort kommt.

Georg hat mir auch noch den Link zu diesem Microsoft Answers-Forenbeitrag geschickt, wo das Verhalten (aufgetreten am 13. Juli 2022) zum 14. Juli 2022 gemeldet wurde. Der Benutzer des Outlook-Kontos erhielt ebenfalls eine Sicherheitsbenachrichtigung über ungewöhnliche Aktivitäten.

OUTLOOK MAIL ACCOUNT – UNUSUAL ACTIVITY

Hello,

I received an email Alert this morning from Microsoft Outlook Security that they found unusual activity on my account.

When I checked my account activity online, I saw a suspicious IP address:  IP: 13.101.148.41 (geolocated in Redmond, WA — A MSFT IP….hmmm…) that just Successfully auto synced to my Outlook Mail account within the past few hours at that time.

I immediately changed my password and also added 2-factor Authentication to my account and noticed that the suspicious IP address was then "unsuccessful" at auto-syncing a few times, but now I see this same suspicious IP back again "successfully Auto-syncing" with my Outlook account even after all my password and 2FA changes.

Is this a known issue at MS? Or has my account been irreparably compromised?

Is there any way that Microsoft can secure my existing Outlook mail account?

Thank you.

D. Horvitz

Aus obigem Text geht hervor, dass eine eine verdächtige IP-Adresse (die IP 13.101.148.41 gehört Microsoft) sich in den letzten Stunden erfolgreich automatisch mit dem betroffenen Outlook-Mail-Konto synchronisiert hat. Der Nutzer änderte sofort sein Passwort und wechselte zur 2-Faktor-Authentifizierung des Konto. Dann bemerkte er, dass die verdächtige IP-Adresse ein paar Mal bei der automatischen Synchronisierung "erfolglos" war. Aber im Anschluss sah er, dass die verdächtige IP wieder eine erfolgreiche automatischen Synchronisierung mit seinem Outlook-Konto durchführen konnte – und dies sogar nach den Änderungen des Passwort und Umstieg auf 2FA. Der Thread des Betroffenen explodiert aktuell, da er viele weitere Meldungen bei Microsoft Answers im Outlook-Forum verlinkt hat. Es sieht so aus, als ob Microsoft Outlook.com-Konten von Dritten eingesehen werden können.

Was ist das los?

Ein ehemaliger Outlook MVP hat sich gemeldet und schrieb, dass kein internes Problem bekannt sei, dass diese fehlerhaften Meldungen über die Synchronisation produziert. Wenn die Konten wirklich von Dritten abgefragt werden, ist das eine ernste Angelegenheit. Der MVP tippt aktuell aber darauf, dass es möglicherweise ein Bug (Serviceproblem) sei, weil es bei vielen Leuten auftritt.

Der Blog-Leser hat mir weitere Fundstellen wie hier berichtet – und eine Suche nach "unusual sign-in activity email from MS" wirft Treffer aus. Der Leser schreibt:

In den Microsoft Sicherheitshinweisen geht es immer entweder um das IMAP oder POP3 Protokoll. In meinem Fall kann ich ausschließen, das zu den fraglichen Zeiten ein Client von per IMAP/POP3 Zugriff erzeugt hätte, geschweige denn einen Client von mir in den USA oder in einer Azure-Ressource laufen würde.

und meint dazu: Für mich schaut es so aus, dass die Sicherheitsmechanismen einfach "durchdrehen" und diese willkürlichen Sperrungen verursachen. Das wäre aus meiner Sicht noch die am wenigsten kritische Ursache, denn dann sind wenigstens die Konten nicht kompromittiert, wenn auch die Nutzbarkeit stark erschwert wird.

Im deutschen Microsoft Answers-Forum zu outlook.com gibt es Posts, wo ich die Moderatoren gebeten habe, das Ganze an die Produktentwickler zu eskalieren. Das ist z.B. in diesem zweiten Thread passiert. Ob die dem Vorschlag nachkommen, weiß ich nicht (in diesem Forum fehlt mit die Berechtigung als Community-Moderator, selbst eskalieren zu können).

Ist übrigens interessant zu erfahren, wie es Windows-Nutzern mit einem solchen Account geht. Mir ist gerade ein solcher Fall in diesem MS Answer-Thread untergekommen. Mit Hilfe des MS-Supports wurde ein zweites MS-Konto gebastelt, um Office noch nutzen zu können.

Wird da von Azure gehackt?

Was mir durch den Kopf geht: Vor einer guten Woche hat sich ein anderer Blog-Leser telefonisch gemeldet (er hatte das Glück, dass ich da – trotz der momentan heftig vielen Werbeanrufe – dran ging). Der Leser ist Administrator in einer Firma und beobachtete plötzlich Zugriffe von IP-Adressen, die zu Microsoft gehören, auf seine Firewalls und wollte wissen, ob mir was bekannt sei. Wir waren eigentlich so verblieben, dass er mir einige Stichworte per E-Mail schickt und ich es im Blog einstelle – zumal er auch Backup-Probleme bei Hyper-V auf Windows Server 2012 R2 hat. Aber dieser Kontakt ist im Sande verlaufen.

Oder ist es ein Phishing-Versuch?

Es gibt noch eine andere Erklärung – ich kann es aktuell aber nicht verifizieren, da mein Outlook-Konto bisher nicht betroffen ist. Aber bei meiner Recherche bin ich auf diese Warnung des nationalen Cyber-Sicherheits-Gremiums NCSC aus der Schweiz gestoßen, die vor gleichartig gestalteten Benachrichtigungen in Form von Phishing-Mails warnen.

Outlook.com-Konto Phishing-Nachricht

Dort geht es aber um Warnungen vor angeblichen Zugriffsversuchen aus Moskau (Russland). Diese Mails fallen eindeutig unter die Rubrik Phishing. Der in obiger Mail geschilderte Fall ist aber leicht anders gelagert, als das, was der Leser beschrieb (er sieht in seinem Konto ja Zugriffsversuche).

Abschließende Frage: Ist jemand aus der Leserschaft ebenfalls betroffen? Gibt es ähnliche Beobachtungen – z.B. Firewall-Zugriffe von IPs aus dem Microsoft Azure-Bereich? Mir geht ja immer noch im Kopf herum, dass Azure-Instanzen von Angreifern angemietet oder übernommen wurden und aktuell für solche Angriffe eingesetzt werden.

Ergänzung zum 20.7.2022: In diversen Microsoft Answers-Foren gibt es entsprechende Nutzermeldungen – und ich hatte dort meinen englischsprachigen Artikel zum Thema verlinkt. Gleichzeitig habe ich die Microsoft Forenmoderatoren gebeten, das Problem an die Produktgruppe zu eskalieren. In diesem deutschsprachigen MS-Answers-Forenthread hat sich ReynaldoB (M365 Consumer Forum Moderator Microsoft-Community) gemeldet und schreibt:

Hallo Nooshinte,

Ich habe unser internes Team bezüglich Ihres Problems konsultiert und wir haben herausgefunden, dass es derzeit ein bekanntes Problem auf der Outlook.com Seite gibt. Wir entschuldigen uns für die Unannehmlichkeiten. Das Outlook.com Team ermittelt bereits in dieser Angelegenheit.

Vor diesem Hintergrund empfehlen wir Ihnen dringend, einen Bericht über diese Angelegenheit über diesen Link hier an Microsoft zu senden. Missbrauchsmeldung (microsoft.com)

Als Gegenmaßnahme empfehlen wir, eine zusätzliche Sicherheitsebene in Ihrem Konto zu schaffen, indem Sie Ihre zweistufige Überprüfung (2FA) aktivieren und ein sicheres Passwort für Ihr Konto erstellen. Sie können diesen Artikel hier lesen, um zu erfahren, wie Sie Ihr Konto sicher und geschützt halten können. Schutz und Sicherheit für Ihr Microsoft-Konto

PS: Es klemmt aktuell auch an anderen Stellen – Outlook.com hat Probleme (18. Juli 2022).

Es soll behoben sein

Ergänzung 2: In Microsofts Answers-Forum gibt es einen Post von D. Horvits mit folgendem Inhalt:

07-28-2022: (D. Horvitz)

UPDATE:

Received the following "updated reply" today 07-28-2022, from MS Outlook Support regarding my original Support Case ("Trouble Ticket") submitted on 07-14-2022:

"Let me inform you that the fix has been successfully deployed by our Engineering team for the outage which you were facing unusual activities in your account."

Although the MS Support response above is somewhat vague in regard to the wider "unusual sign-in activity" issue, it does appear that the original issue has mostly been corrected for many MS Outlook Users including myself.

But please advise if you are still seeing NEW instances of the Unexpected Microsoft IP (IP: 13.101.XXX.XX) appearing within your Outlook "Recent Activity Page."

So once again, hopefully this issue has finally been resolved systemically & globally.

D. Horvitz

I also added this same update to my original main MS Community posting.

Demnach sollte das Problem behoben sein. Kann das ein Betroffener bestätigen?

Ähnliche Artikel:
Outlook streikt beim Mail-Versand? Microsoft hat SMTP deaktiviert (Juli 2022)
Neue Kontosperrungen bei Outlook.com – läuft Microsofts KI Amok, oder sind Konten kompromittiert?
Outlook: Anmeldefehler seit dem letzten Juni 2022-Update
Exchange Online: Wechsel zu "Modern Authentication" bis Oktober 2022 erforderlich


Anzeige

Dieser Beitrag wurde unter Cloud, Internet abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

47 Antworten zu Neue Kontosperrungen bei Outlook.com – läuft Microsofts KI Amok, oder sind Konten kompromittiert?

  1. Frank Z sagt:

    same here .. ich bekomme täglich 1-2 E-Mails mit den 13er IP Adressbereich und einem "Sync" aus den Staaten.
    Eine Sperre meines Outlook.com Accounts ist mir aber noch nicht aufgefallen.

    Sehr schräg .. ich glaub, so langsam bau ich wirklich auf Posteo.de/Mailbox.org um.

    • Wil Ballerstedt sagt:

      "… so langsam?" Woher das Vertrauen in Microsoft? Konto weg, Mails weg … Verstehe ich nicht und das ist kein Hitzeproblem.

      • Frank Z sagt:

        Mein Outlook Konto ist eh nur ein privates "Kalenderkonto" und halt nur mit diesen E-Mails bestückt .. da kommt nix Anderes/Wichtiges von mir rein oder raus.
        Faulheit lässt grüßen, weil läuft nebenbei mit .. deswegen kann ich auch das Ganze mit " so langsam" betiteln .. Vertrauen in M$ hab ich eh schon lange nicht mehr ..

  2. Thimo sagt:

    Hatte letzte Woche auch nachts 2 Mails für meine alte Live-Adresse.
    Eine Abfrage von der Authenticator-App blieb aus, habe trotzdem das Kennwort geändert, seitdem kam nichts mehr.

    Sehr merkwürdig mal wieder alles…

  3. OwenBurnett sagt:

    Also ich denke das ist ganz klar, wenn 2FA an ist aber keine abfrage in der App kommt, und/oder die IP dennoch zugriff bekommt und es eine MSFT IP ist, dann würde ich mal ganz klar darauf tippen das MSFT da in den Kunden Konten herumspioniert und sie haben was verbockt das diese Zugriffe ihrem Sicherheitssystem aufgefallen sind.

    Ob MSFT da jetzt für ihre Werbekunden, für die NSA oder auf der suche nach Pr0n ist kann einem Wurst sein, Konto kündigen und auf irgendwas vertrauenswürdigeres ausweichen.

  4. Volko sagt:

    Hallo,
    ist bei meiner Outlook.de-E.Mail-Adresse seit 14.07.2022 um 02:52 Uhr immer von derselben IP-Adresse 13.101.127.135 und im Zusammenhang mit einer IMAP-Synchronisation auch der Fall. 2FA ist eingeschaltet, aber es kam nie eine Anfrage in diesem Zusammenhang.
    Allerdings habe ich die Outlook.de.E-Mail-Adresse auf meinem Android-Smartphone tatsächlich in K-9 MAil mit Zugriff über IMAP eingerichtet und nutze die Adresse ausschließlich mit dem Smartphone; das Google-Konto verwendet eine völlig andere Adresse.
    Von daher ergibt die regelmäßige Synchronisierung schon irgendwie Sinn, allerdings nicht von dieser IP.

    • Volko sagt:

      Ergänzung:
      Seit heute ist nun auch die Outlook.de E-Mail-Adresse meiner Frau betroffen, die aber ebenso nur auf ihrem Android-Smartphone in K-9 Mail mit Zugriff über IMAP eingerichtet ist und die Adresse wird ebenfalls ausschließlich mit dem Smartphone verwendet; das Google-Konto verwendet auch hier eine völlig andere Adresse.
      Die IP-Adresse ist eine andere, gehört aber ebenfalls MS und die Meldung steht genauso wie bei mir im Zusammenhang mit einer IMAP-Synchronisation. 2FA ist ebenso eingeschaltet, aber es kam auch bei meiner Frau nie eine Anfrage in diesem Zusammenhang.
      Sowohl bei mir als auch bei meiner Frau sind die Outlook.de.E-Mail-Adressen Relikte aus der Zeit, als wir noch Lumia Windows-Smartphones in Benutzung hatten.

    • Anna-Judith Dahse sagt:

      Hallo,
      habe eine ungewöhnliche E-Mail von Microsoft-Konto-Team bekommen auf meinen privaten Account (kenne niemanden in Russland), was sollte ich jetzt tun/nicht tun?
      Viele Grüße
      Anna

      Microsoft-Konto
      Ungewöhnliche Anmeldeaktivität
      Bei der Anmeldung beim Microsoft-Konto "an*****" haben wir vor Kurzem etwas Ungewöhnliches bemerkt.
      Anmeldeinformationen
      Land/Region: Russische Föderation
      IP-Adresse: 178.184.207.237
      Datum: 20.11.2023 16:36 (GMT)
      Plattform: Windows
      Browser: Chrome
      Wechseln Sie zur Seite mit den letzten Aktivitäten, und teilen Sie uns mit, ob Sie den betreffenden Vorgang durchgeführt haben. Falls dies nicht der Fall ist, helfen wir Ihnen, Ihr Konto zu schützen. Falls doch, werden ähnliche Aktivitäten in Zukunft nicht mehr gemeldet.
      Letzte Aktivität überprüfen
      Falls Sie keine Sicherheitsbenachrichtigungen mehr erhalten oder das Ziel für Sicherheitsbenachrichtigungen ändern möchten, klicken Sie hier.
      Mit freundlichen Grüßen
      Ihr Microsoft-Konto-Team

  5. MOM20xx sagt:

    outlook.com is halt auch nur ein exchange. und da gilt imap und pop3 nur basic authentication. also meines erachtens is da nichts mit mfa. da greift der nicht mal. vielleicht sollte man imap und pop3 gleich abdrehen.

  6. 1ST1 sagt:

    Ich halte auch das mit dem Phishing für stichhaltig, man kann ja in dem Text statt Moscow/Russia auch alles mögliche hinschreiben. Man müsste bei so einer Mail mal die wahre Absenderadresse herauslesen, sofern das nicht komplett verschleiert ist. Aber auch der Mailserver der Phisher könnte ja in der Azure-Cloud stehen…

    • Jay sagt:

      Ich habe auch heute und schon am 15.7.2022 an meine hotmail.com-Adresse dieses Warn-Hinweisschreiben von Microsoft über eine ungewönliche Aktivität über diese IP-Adresse aus den USA erhalten.

      Phishing ist es wohl nicht, da die Mitteilung direkt von "Microsoft-Konto-Team " kommt und der Link darin direkt auf führt.

      Könnte es ein Bug auf den MS-Servern sein, die von den europäischen IP-Adressen auf diese (13.101.111.171) in den USA umgestellt hat und genau das kommt dem Microsoft-Bot komisch vor?

      Oder kann sich wirklich wer in den MS-Server gehackt und über diese IP Daten von den Konten europäischer Kunden gesaugt haben, die selbst sonst über ihre europäischen IPs drauf zugreifen würden?

      Irgendwer bei MS müssten eigentlich wissen, ob da was umgestellt wurde…

  7. Anonymous sagt:

    Vermutlich nur ein kleiner Scanner von wem auch immer, der die Postfächer auf irgendwelche kritischen oder interessanten Inhalte prüft und dessen Zugriff sonst automatisch rausgefiltert wird.

    Weitergehen, es gibt nichts zu sehen. Das Hosten von E-Mail Accounts bei Firmen in Drittstaaten ist völlig unkritisch, Ausspähen unter Freunden wird nicht gemacht, der Vorwurf der vermeintlichen Totalausspähung ist schon seit 2013 vom Tisch.

  8. Lukas sagt:

    Ich checke meinen Anmeldeverlauf regelmäßig und kann das ebenfalls bestätigen.

    Neben nicht erfolgreichen Log-In-Versuchen (Aktivität: "Nicht erfolgreiche Anmeldung") habe ich auch ebensolche im Artikel beschriebenen Ereignisse. Die nicht erfolgreichen Anmeldeversuche rühren wahrscheinlich daher, dass irgendjemand Passwörter bzw. Daten aus Datenlecks ausprobiert.

    Die automatischen Synchronisationen hatte ich schon sehr oft. Die Protokolle können hier der Exchange Active Sync, IMAP oder Pop 3 sein. IP-Adressen sind immer unterschiedlich. Über ein Lookup-Tool suche ich die immer. Manche lassen sich leider nicht zu ordnen. Einmal war ein Server-Besitzer aus Deutschland hinter einer IP (mit Adresse und Namen) und mehrmals schon Microsoft. Die angegebenen Standorte sind mittlerweile über den gesamten Globus verteilt. Bisher waren die Synchronisierungen immer erfolglos.

    Bei mir gibt es unter dem Standort noch den Text "Kommt Ihnen das unbekannt vor?" mit dem Link: "Schützen Sie ihr Konto". Hier bekomme ich allerdings nur folgende Meldung:

    Vielen Dank für die Information!
    Keine Sorge. Dieser Anmeldeversuch war nicht erfolgreich, deshalb ist eine Änderung Ihres Kennworts nicht erforderlich. Informationen dazu, wie Sie Ihr Konto sicherer machen

    Ich hab auch mal ein paar Abuse-Mails an die Server-Hoster (steht ja meistens in der WhoIs-Abfrage mit drin). Die können allerdings auch einem nicht wirklich weiter helfen und sagen, dass man sein Konto absichern soll.

    Bisher konnte ich keinen Datenabfluss feststellen und es ist auch keine dritte Person im Konto, allerdings ist das Ganze dann schon ungewöhnlich. Ich habe bisher nur herausgefunden, dass es sich möglicherweise um automatisierte Angriffe handeln könnte, die von Microsoft abgeblockt werden.

    2FA ist aktiviert und geblockt worden seitens MS ist bisher noch nichts.

  9. Cayden Cailean sagt:

    Puh, da fühlt man sich gleich etwas besser wenn man liest dass man nicht ganz allein ist. Ich habe mich auch sehr gewundert, was da auf einmal auf meinem Konto abgeht – Synchronisierungsversuch über IMAP, immerhin abgeblockt. Seitdem ich mein Passwort geändert habe kam allerdings nichts mehr.

  10. DasOlli sagt:

    @MOM20xx : das stimm so nicht, outlook.com unterstützt nicht nur basic auth

    OAuth2 support for IMAP, POP, SMTP protocols as described below is supported for both Microsoft 365 (which includes Office on the web) and Outlook.com users.
    https://docs.microsoft.com/en-us/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth

    • MOM20xx sagt:

      das ist alles schön und gut wenns dann https://docs.microsoft.com/en-us/exchange/troubleshoot/administration/cannot-connect-mailbox-pop-imap-outlook gibt wo explizit wieder geschrieben wird basic auth an.

      auch recht nett für viele der security features lässt microsoft dann den kunden auch noch extra zahlen. weil da muss dann eine dementsprechende azure ad subscription her damit man es richtig sicher machen kann.

      hab exchange plan p1 bei mir und das gratis azure ad dabei. mit den mitteln, die mir diese beiden produkte, im bezug auf security bereitstellen, kann ich gemäss microsoft sec check auf knapp 50 von 100 möglichen punkten kommen. beim rest heisst es extra münzen einwerfen.

      man sollt ja meinen das jedes produkt hier schon per default schon ein dementsprechendes sicherheitslevel hat. dem scheint aber nicht so zu sein.

  11. Paul sagt:

    Ich habe dieses auch letzte Woche an MS gemeldet und bei mir ist Outlook nicht mehr wirklich gestartet. Es kam immer die Maske wo das Kennwort angegeben werden muss aber diese tauchte iimer wieder auf ohne Ende. Hab es sogar außerhalb vom Netzwerk probiert und das selbe Verhalten. Ich kann einfach nicht mehr auf mein hotmail.de oder outlook.com Postfach über Outlook 2016 zugreifen. Über das Webportal klappt es (dort wird auch die bekannte IP Addy von MS als auffällig angezeigt) und am Handy auch. Ich finde das auch sehr komisch und bin gespannt ob der MS Supporter sich noch bei mir meldet.

    https://techcommunity.microsoft.com/t5/outlook/unusual-activity-detected/m-p/3572181

  12. Clemens53 sagt:

    So ein ähnliches Problem hatte ich im Juni. Habe während des Urlaubs in Österreich von meinem Notebook auch mein Outlook-PF abgefragt und da wurde mir der Zugriff darauf wegen verdächtiger Aktivität verweigert. Die Freischaltung sollte wie üblich per SMS-Code erfolgen, nur kam dieser mit mindestens zwei Stunden Verspätung an und wurde somit als ungültig verworfen. Wieder daheim, lief die Freischaltung problemlos. Bisher gab es keine weiteren Probleme, war bei mir sicher kein Pishing oder sonstiger Angriff.

  13. Andy sagt:

    Microsoft Quo Vadis?

    bei privaten Unternehmen: top
    bei öffentlich-rechtlichen "Unternehmen": super top

    bei privaten Menschen: flop

  14. Maximilian sagt:

    Habe das selbe Problem. Bisher 2 Mails mit verdächtiger Aktivität und USA IP. Habe immer wieder das Passwort geändert und 2-Faktor-Auth. eingeschaltet. Habe testweise meinem Mail-Programm die Mail mit IMAP hinzugefügt und siehe da: in der Minute in der meine eigene IP IMAP synchronisiert, findet sich eine erfolgreiche IMAP Synchronisation mit US IP. Tippe auf nen miesen Bug. Bei meinen Synchronisationen geht das seit Tagen so – trotz mehrmaligem Passwort-Change etc.
    Fingers crossed, dass MS das Problem lösen wird.

  15. janil sagt:

    Nennt es Vorahnung oder Intuition oder wie auch immer, vor nun wohl schon 3 Jahren bin ich privat auf Thunderbird umgestiegen. Es ist auch nicht perfekt aber für mich als Privatperson reicht es, kombiniert mit Nextcloud für den Kalender.
    Was machen die da bei MS bloß, gefühlt geht dort fast alles den Bach runter. Miese nicht funktionierende und kaputt updatende Updates, teilweise willkürlich gesperrte Konten usw. und so fort. Werde mich weiter im Dualboot mit Manjaro beschäftigen.

  16. Bajueha sagt:

    Hallo zusammen,
    auch ich bin froh, dass ich nicht der einzige mit diesem Problem bin. Nur habe ich eine @hotmail.de – Adresse (schon seit einer gefühlten Ewigkeit), und bei mir tritt das bereits seit dem 13.07.2022 auf. Ich nutze diese Adresse standardmäßig in Thunderbird und auf dem Handy bzw. Tablet in „Aqua-Mail Pro". Diese hatte ich zwischenzeitlich auf den Androidgeräten entfernt. Versuche, Mails zu versenden, funktionieren weiterhin. (auch in Thunderbird) Bei mir ist es eben nur wegen der Mail von Microsoft aufgefallen. Eine Sperre des Kontos konnte ich nicht feststellen. Ich habe dann gleich am13.07. das Passwort gewechselt, ergebnislos. Auch ein zwischenzeitlicher Wechsel zum passwortlosen Konto brachte keine Änderung. Da bin ich erst mal wieder zum Passwort zurückgekehrt. Hier unten habe ich mal den Verlauf seit 13.07. dargestellt, teilweise sogar zur gleichen Zeit von zwei verschiedenen Mailadressen.

    Stand 18.07.2022 16:19 Uhr

    13.07.2022

    IP-Adresse: 13.101.106.21 19;30
    IP-Adresse: 13.101.107.118 21:30

    14.07.2022

    IP-Adresse: 13.101.107.118 08:34
    IP-Adresse: 13.101.106.21 08:38
    IP-Adresse: 13.101.106.115 13:22
    IP-Adresse: 13.101.107.87 14:31
    IP-Adresse: 13.101.107.87 15:30
    IP-Adresse: 13.101.106.21 15:30
    IP-Adresse: 13.101.120.145 16:30
    IP-Adresse: 13.101.121.202 17:28
    IP-Adresse: 13.101.106.115 18:00
    IP-Adresse: 13.101.107.118 18:31
    IP-Adresse: 13.101.104.139 19:00
    IP-Adresse: 13.101.107.87 19:00
    IP-Adresse: 13.101.107.87 19:45
    IP-Adresse: 13.101.106.21 20:45
    IP-Adresse: 13.101.121.202 21:00
    IP-Adresse: 13.101.120.45 21:15
    IP-Adresse: 13.101.106.21 21:30
    IP-Adresse: 13.101.107.87 22:01
    IP-Adresse: 13.101.120.45 22:49

    15.07.2022

    IP-Adresse: 13.101.120.45 22:15
    IP-Adresse: 13.101.106.183 23:20

    16.07.2022

    IP-Adresse: 13.101.107.244 16:33
    IP-Adresse: 13.101.121.200 16:33
    IP-Adresse: 13.101.120.143 18:47
    IP-Adresse: 13.101.107.17 22:26

    17.07.2022

    IP-Adresse: 13.101.240.40 14:05
    IP-Adresse: 13.101.234.51 14:05
    IP-Adresse: 13.101.234.143 16:06
    IP-Adresse: 13.101.234.51 16:24
    IP-Adresse: 13.101.234.51 18:46
    IP-Adresse: 13.101.234.51 20:51

    18.07.2022

    IP-Adresse: 13.101.106.115 vor 3 Stunden
    IP-Adresse: 13.101.107.142 vor 3 Stunden
    IP-Adresse: 13.101.107.17 vor 3 Stunden
    IP-Adresse: 13.101.107.17 vor 2 Stunden
    IP-Adresse: 13.101.120.45 vor 2 Stunden
    IP-Adresse: 13.101.107.168 vor 2 Stunden
    IP-Adresse: 13.101.107.118 vor 2 Stunden
    IP-Adresse: 13.101.107.17 vor 2 Stunden

    • MOM20xx sagt:

      cool. die haben den eigenen KI mist nicht mehr im griff:

      https://whois.domaintools.com/13.101.107.17

      sind ja quasi alles ips, die microsoft selbst gehören

      • Anonymous sagt:

        Die haben – wie schon oben angemerkt – nur das automatische Ausblenden solcher Zugriffe auf die Postfächer nicht mehr im Griff, wer/was/warum da auch immer darauf zugreift…

        Aber Ruhe bewahren, es besteht natürlich keine Gefahr für die Benutzer. Das Hosten von E-Mail Accounts bei Firmen in Drittstaaten ist völlig unkritisch, Ausspähen unter Freunden wird nicht gemacht, der Vorwurf der vermeintlichen Totalausspähung ist schon seit 2013 vom Tisch, sagte zumindest der damalige Kanzleramtsminister Ronald Pofalla beim Herauswinden aus der NSA-Affäre…

    • Sven Fischer sagt:

      Danke, hier bei mir ebenfalls der gleich IP Bereich.

  17. Anon sagt:

    M$ hat völlig die Kontrolle verloren.
    Das ist nur noch peinlich und verschwendete Lebenszeit.

  18. McAlex777 sagt:

    Stellt euch eine Welt vor in der Online-Konten pflicht werden, und Windows nur noch als Abbo vertrieben wird. Speicher-Button schlagen Primär OneDrive vor.

    Dann werden solche Sperren final an den Wahnsinn treiben.
    Ich sehe zunehmend schwarz für den freien Windows-Desktop.

    • Michael Uray sagt:

      Habe ich gerade heute bei einem User mit Autodesk Anmeldung so erlebt.

      Aus irgend einem Grund wurde die Anwendung abgemeldet (hatte ich schon bei mehreren Benutzern) und der User konnt sich nicht mehr anmelden "product licence is not longer awailable".

      Erst ein zurücksetzen des Passworts und ein Neustart des Laptops brachten dann Abhilfe.

      Da merkt man dann erst in welche Abhängigkeit man sich begibt.
      Aber es bleibt einem auch keine andere Wahl mehr, da Autodesk nur noch so ein Lizenzmodell anbietet.

  19. Legolars sagt:

    Same here, erstes Mal glaub ich am 13.07. Eine Kontosperrung gab es bei mir bisher nicht, ein Passwortwechsel brachte aber auch keine Änderung. Ich nutze wie einige andere Kommentatoren auf mobilen Devices K9 Mail – wüsste aber nicht, wieso K9 vom deutschen Handy über eine US-IP IMAPen sollte. Ist das eigentlich belegt, dass die zugreifenden IP-Adressen Redmond gehören oder nur eine Vermutung? Phishing ist es nicht, die Zugriffe sind im Sicherheitsmenü des Microsoft-Kontos einsehbar, auch ohne dass man einen Link aus der E-Mail verwenden würde.

    • Günter Born sagt:

      Zum "ist das eigentlich belegt": Nutze einen Dienst deines Vertrauens, der dir die IP-Adressen auflöst. Alles, was ich gesehen habe, ist für Microsoft registriert …

    • Anonymous sagt:

      – Die Zugriffe sind nicht von K9 von Deinem deutschen Handy.
      – Die Zugriffe sind von irgendetwas bei Microsoft das (egal welches Passwort Du verwendest) auf Deine Mailbox zugreifen kann und auch zugreift.
      – Die Zugriffe sind vermutlich nur versehentlich in Deinem Sicherheitsmenü einsehbar und sollten eigentlich autom. ausgeblendet sein.

  20. MS sagt:

    In meiner Aktivitätenübersicht finde ich zeitgleich zur Meldung "Ungewöhnliche Aktivität erkannt" aus dem 13.101er Netz immer einen zeitgleichen IMAP-Zugriff von meiner aktuellen Internet-IP kommend, was eigentlich nur vom K9-Mail-Client stammen kann.
    Es passiert allerdings nicht immer, wenn K9-Mail einen Sync durchführt, sondern bisher genau drei mal, jeweils einmal am Tag in den Abendstunden.
    Gefühlt hat das seit dem Update von K9-Mail auf Version 6.200 begonnen…
    Ist aber nur ein Verdacht.
    Hat jemand Ähnliches beobachtet?

    • Legolars sagt:

      Das Muster "einmal am Tag in den Abendstunden" stimmt bei mir auch. Ich entferne das Outlook-Konto jetzt mal testweise aus meinen K9-Clients, mal sehen, was dann passiert. Zumal ich seit Kurzem in K9 auch ab und zu eine Fehlermeldung bzgl. Authentifizierung mit dem Outlook-Konto bekomme, es dann beim nächsten Sync aber wieder geht. Das erklärt zwar alles irgendwie nicht wirklich die US-IP-Adresse, aber es scheint hier ja doch recht viele K9-Nutzer mit dem gleichen Problem zu geben. Werde berichten, wenn sich was ändert.

  21. Frank sagt:

    Hallo, ich bekomme auch diese Meldungen. Habe Passwort geändert, doch die Zugriffe bleiben. Interessant ist, gebe ich die fremden IP,s bei db-ip.com ein, werden einem die Koordinaten angezeigt. Gibt man diese dann bei Google Maps ein, landet man bei diversen US-Bundesbehörden, wie z. B. das US Justice Department in Chicago oder das LAPD in Los Angeles. Was geht da ab??

  22. Anonymous sagt:

    Ebenfalls das selbe bei meinem privaten Account. Heute zum zweiten mal in zwei Wochen die Mail wegen "ungewöhnlicher Anmeldeaktivität" erhalten und zum zweiten mal auch das Passwort geändert.

  23. Burt sagt:

    Hallo,

    danke für diesen Beitrag.

    Auch ich bekam schon zwei dieser Mails.

    Die erste am 17.07. gegen 3:20 Uhr und die zweite gestern Abend 19.07. um 23:45 Uhr.

    Interessanterweise kann ich die ungewöhnliche Aktivität im Anzeigenverlauf nicht mehr anzeigen lassen. Es war aber ganz sicher aus den USA.

    Das Ereignis am 19.07. war ebenfalls wieder aus den USA und scheint ebenfalls zu MS zu gehören IP: 13.101.125.147.

    Es handelt sich um eine IMAP Synchronisierung.

    Auch ich verwende K9 auf meinem Android Gerät in Verbindung mit meiner Hotmail-Adresse.

  24. Rolo sagt:

    Hallo,
    Bei mir am 15.7. und 16.7. mehrnals die "ungewöhnliche Aktivität" von IPs 13.101.xxx.xxx. Hab dann am 16.7. das Passwort für das Konto im MS-Portal geändert.
    Das Mailkonto habe ich davor mit einem Android-FairEmail-Client und mit einem K9-Client gesynct. Die Passwörter in den beiden Apps habe ich danach nicht aktualisiert. Seither gab's keine "ungewöhnliche Aktivität" mehr. Meiner Meinung nach hat K9 in diesem Zeitraum allerdings eh keine Syncs gemacht. FairEmail schon, es sind aber erfolgreiche Syncs mit der Heimat-IP bei den Aktivitäten im MS-Konto okumentiert.
    Bedeutet "Typ:Ungewöhnliche Aktivität erkannt" eigentlich das der Vorgang geblockt wurde?
    Bei den Aktivitäten, die ich als ordnungsgemäß zuordnen kann steht ja: "Typ:Erfolgreiche Synchronisierung".

  25. Anonymous sagt:

    Hab auch seit heute seltsame Anmeldungen von solchen (13er) IP-Adressen. Ich glaube, es liegt an Thunderbird, warum aber genau, weiß ich nicht. Auf jeden Fall, habe ich nach der ersten auffälligen E-Mail das Passwort geändert und nachdem ich es in Thunderbird (nach fehlerhaften Anmeldung, weil ja das PW geändert wurde) wieder aktualisiert habe, kam erneut eine Anmeldung von derselben 13er-IP-Adresse wie beim ersten Mal.
    Ist jetzt echt die Frage ob ich mich noch bei Thunderbird anmelden soll, oder es lieber sein lasse? Oder vielleicht will M$ uns einfach Angst machen, um uns zu ihren eigenen Outlook/E-Mail-Programm zu locken? Spaß bei Seite, ich hoffe, es findet sich eine Lösung. ^^

  26. Legolars sagt:

    Also meine Meinung, nach allem was hier steht und nachdem ich bei meinen IMAP-Clients das Outlook-Konto testweise rausgenommen habe: Es sieht danach aus, als erfolgt der IMAP-Zugriff per Drittanbieter-E-Mail-Client auf das MS-Konto nicht direkt, sondern über bestimmte Proxy-Server von Microsoft. Die aber von Redmond bzw. der MS-KI selbst als unsicher eingestuft werden. Vermutlich, weil sie fälschlicherweise einfach nicht auf einer Whitelist stehen. Das wäre m.E. die einfachste IT-Erklärung – das Thema Exchange und (Reverse) Proxy ist ja durchaus komplex.

  27. Yvonne B. sagt:

    Hallo,
    ich habe wenig Ahnung von Technik.
    Ich bekomme aber seit etwa zwei Monaten Regelmäßig Mails über eine ungewöhnliche Kontoaktivität von Microsoft zu meiner web.de Emailadresse.
    Ich habe das nicht weiter beachtet. Bis neulich dann mal eine Mail kam mit : ihr Passwort wurde geändert. Dazu muss man sagen, das ich meine web.de Mailadresse garnicht nutze und dort nur eine Weiterleitung zu meiner jetzigen GMX.de Adresse drin habe.
    Jedenfalls beängstigte mich das und ich wollte mich da mal einloggen. Ich wusste das Passwort auch sicher- aber es ging nicht.
    Ich konnte es zurück setzen, ich änderte die Sicherheitsfragen und nutze jetzt die zwei FA für wen und GMX, ich lud mir mobile Security runter. Da gibts jetzt VPN und weiß der Geier- keine Ahnung was das eigentlich ist. Ich kann jedenfalls die Web.de Adresse überprüfen lassen und zu der email Adresse seien wohl datenleaks gefunden wurden. Irgendwas mit Darlehen. Jedenfalls soll ich mein Passwort bei diesen Accounts ändern und dann auf behoben klicken. Das ist zum Beispiel
    MySpace im Jahre 2013
    Antipublic data im Jahre 2016
    Breach Compilation(2021)
    Colection1 (2019 und 2017)

    myfitness pal (2018) und Xxs Compilation 2021

    Ich bin da nirgendwo angemeldet bzw. hab ich mich da registriert- jetzt soll ich da aber mein Passwort ändern und auf behoben klicken. Was ist hier überhaupt los?

    Achja und in meinem Web.de Account hatte ich zwei Nachrichten von mir, also meiner Email Adresse. Einmal eine vom Juni 2022, dass ich angeblich im April gehackt worden wäre und tatsächlich stand auch mein altes Passwort in der Mail (aber nicht das zur Web Adresse welches geändert wurde!) und wenn ich nicht innerhalb 48 h 600 bitcoins überweise würden meine Kontakte Bilder von mir bekommen usw ich habe recherchiert und gesehen das sich das Spoofing nennt. Die zweite Mail war dasselbe auf Englisch- Datum steht da! Von JULI 2028 ( nein das ist kein Tippfehler 2028) wie soll das als Eingangsdatum möglich sein. Naja. Nachdem ich die 2fa eingestellt hatte wo geändert usw war es ruhiger, jetzt bekomme ich wieder täglich 1-3 Nachrichten über ungewöhnliche Kontoaktivität von Microsoft und drinnen wieder meine Web.de Adresse . Kann mir bitte jemand helfen?????
    Kann ich meine Web Adresse nicht einfach eliminieren? Nur O2 schickt mir eigentlich drauf noch die Rechnung.. Danke!
    Danke! Danke!

  28. Anonymous sagt:

    Scheint am Wochenende aufgehört zu haben. Letzte ungewöhnliche Anmeldeaktivität, die täglich regelmässig kam, war am Donnerstag. Bei anderen auch?

  29. MS sagt:

    Hat bei mir leider nicht aufgehört. Es gab nur eine Pause von Mittwoch bis Freitag. Gestern und heute gab es wieder jeweils eine E-Mail beim Abruf mit K9 -Mail.

  30. Rolo sagt:

    Hallo,
    zu "Es soll behoben sein" Ergänzung 2:
    Hab vor drei Tagen wieder meinen Mailclient mit dem geänderten Passwort "versorgt". Seither hab ich das Aktivitätsprotokoll mehrmals kontrolliert und keine "ungewöhnlichen Aktivitäten" mehr gemeldet bekommen.

  31. Anna-Judith Dahse sagt:

    Hallo,
    habe eine ungewöhnliche E-Mail von Microsoft-Konto-Team bekommen auf meinen privaten Account (kenne niemanden in Russland), was sollte ich jetzt tun/nicht tun?
    Viele Grüße
    Anna

    Microsoft-Konto
    Ungewöhnliche Anmeldeaktivität
    Bei der Anmeldung beim Microsoft-Konto "an*****" haben wir vor Kurzem etwas Ungewöhnliches bemerkt.
    Anmeldeinformationen
    Land/Region: Russische Föderation
    IP-Adresse: 178.184.207.237
    Datum: 20.11.2023 16:36 (GMT)
    Plattform: Windows
    Browser: Chrome
    Wechseln Sie zur Seite mit den letzten Aktivitäten, und teilen Sie uns mit, ob Sie den betreffenden Vorgang durchgeführt haben. Falls dies nicht der Fall ist, helfen wir Ihnen, Ihr Konto zu schützen. Falls doch, werden ähnliche Aktivitäten in Zukunft nicht mehr gemeldet.
    Letzte Aktivität überprüfen
    Falls Sie keine Sicherheitsbenachrichtigungen mehr erhalten oder das Ziel für Sicherheitsbenachrichtigungen ändern möchten, klicken Sie hier.
    Mit freundlichen Grüßen
    Ihr Microsoft-Konto-Team

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.