{"id":296875,"date":"2024-07-03T00:03:00","date_gmt":"2024-07-02T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=296875"},"modified":"2024-09-02T00:02:51","modified_gmt":"2024-09-01T22:02:51","slug":"outlook-zu-exchange-autoermittlung-und-die-doppelte-de-de-domain","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/07\/03\/outlook-zu-exchange-autoermittlung-und-die-doppelte-de-de-domain\/","title":{"rendered":"Outlook zu Exchange-Autoermittlung und die doppelte .de.de-Domain"},"content":{"rendered":"

\"Mail\"[English<\/a>]Ich stelle mal eine merkw\u00fcrdige Leserbeobachtung hier im Blog ein. Es geht um die Autoermittlung von E-Mail-Empf\u00e4ngern in Outlook, \u00fcber den AutoErmittlungsdienst in Microsoft Exchange. Einem Leser ist in diesem Kontext ein krudes Problem aufgefallen. Jemand scheint eine Subdomain, die mit .de.de endet und f\u00fcr Autodiscover-Anfragen konfiguriert wurde, registriert zu haben. Es stellt sich die Frage, warum dieser Ansatz gew\u00e4hlt wurde – und ob ein Leser eine logische Erkl\u00e4rung hat. F\u00fcr mich riecht\u00a0 es jedenfalls nach Cyberbetrug.<\/p>\n

<\/p>\n

Autoermittlung von Outlook zu Exchange<\/h2>\n

\"\"Unter Microsoft Exchange gibt es einen AutoErmittlungsdienst f\u00fcr Clients wie Outlook, der den Zugriff auf Exchange-Funktionen bereitstellt und die zur Benutzerkonfiguration und Bereitstellung erforderlichen Schritte auf ein Minimum reduziert. Microsoft beschreibt die Funktionen im Dokument AutoErmittlungsdienst in Exchange Server<\/a> (bezogen auf Exchange Server 2019). \u00dcber die AutoErmittlung lassen sich unkompliziert alle Informationen abrufen, die erforderlich sind, um eine Verbindung zu Postf\u00e4chern auf Exchange-Servern herzustellen, schreibt Microsoft dazu. Auch f\u00fcr Outlook ist der AutoErmittlungsdienst verf\u00fcgbar. Daher ben\u00f6tigt Outlook nur Benutzeranmeldeinformationen, um sich bei Active Directory zu authentifizieren und die AutoErmittlungs-SCP-Objekte zu suchen. Die Details sind im verlinkten Microsoft-Beitrag beschrieben.<\/p>\n

Eine krude Leserbeobachtung<\/h2>\n

Blog-Leser Horst S. hat mich Anfang des Monats kontaktiert, weil er bei einem Kunden auf ein sehr merkw\u00fcrdiges Problem gesto\u00dfen ist. Bei diesem Kunden wurde ein Exchange Server (lokal in eigener AD- Dom\u00e4ne) mit Verbindung zu einer bei einem Provider bestehenden Domain eingerichtet. Die bestehende Domain beherbergt den Internetauftritt des Kunden und dient auch zur Bereitstellung der E-Mail-Adressen (@domain.de). Horst schrieb mir, dass man in dieser Konstellation in der Regel dort eine Subdomain einrichtet, die f\u00fcr die Autodiscover Anfragen (mit Verweis zum eigenen lokalen Exchange Server) konfiguriert ist.<\/p>\n

Es gibt pl\u00f6tzlich eine zweite (Fremd-)Domain<\/h3>\n

In der vorliegenden Konstellation beim Kunden ist er pl\u00f6tzlich auf den Sachverhalt gesto\u00dfen, dass ein Dritter eine Domain in Betrieb hat, die genau die Autodiscover-Subdomain eines Dritten (hier der betreffende Kunde bzw. dessen Domain) abbildet. Der einzige, aber feine Unterschied ist, dass am Ende dieser Fremd-Domain ein zweites .de steht (also das Muster autodiscover.domainname.de.de<\/em> verwendet wird).<\/p>\n

Aufgefallen durch Zertifikatswarnungen<\/h3>\n

Dem Leser ist diese Diskrepanz dadurch aufgefallen, dass in der betreffenden Umgebung auf einmal Zertifikatswarnungen beim Start von Outlook auftraten (siehe folgendes Bild). Die Autoermittlung (Autodiscover) ist wohl \u00fcber diese URL \"gefallen\" und probierte eine Verbindung zur Fremddomain herzustellen.<\/p>\n

\"Zertifikatswarnung<\/p>\n

Das Zertifikat selbst ist seit Jahren (2012) abgelaufen, wurde nicht f\u00fcr die Domain ausgestellt und es kommt von einer Firma, die als nicht vertrauensw\u00fcrdig eingestuft wird. An dieser Stelle klingeln wohl bei jedem Administrator die Alarmglocken, und es stellt sich die Frage, was hinter diesem Ansatz steckt. F\u00fcr mich zeichnet sich folgendes Bild: Falls jemand dort auf die Ja-Schaltfl\u00e4che klickt, w\u00fcrden die AutoDiscover-Eintr\u00e4ge der Fake-Domain von Outlook oder andere Mail-Clients abgerufen.<\/p>\n

Welche Gegenma\u00dfnahme wurden unternommen?<\/h3>\n

Das Problem mit der Fake-Domain wurde \u00a0momentan durch eine Blockade in der vorgelagerten Firewall f\u00fcr diese Adresse und Black-Listing des Zertifikates gel\u00f6st. Zum Black-Listing des Zertifikats wurde dieses in Windows importiert und im Zertifikatsspeicher in die Liste der gesperrten Zertifikate aufgenommen, sagte mir der Leser.<\/p>\n

IP-Adresse der Fake-Domain in Luxemburg<\/h3>\n

Er hat dann noch etwas geforscht und schrieb, dass die IP- Adresse, die man zur betreffenden Domain ermittelt, aus einem \"Datacenter\" in Luxemburg kommt. Wie oder wo die Domain (.de.de) registriert wurde, entzieht sich der Kenntnis des Lesers und er kannte diese M\u00f6glichkeit auch nicht. Der Leser hat bei der DENIC angerufen und erfuhr, dass diese .de.de-Domain dort nicht registriert ist.<\/p>\n

Was steckt dahinter?<\/h3>\n

An dieser Stelle stellt sich die Frage, warum jemand so etwas macht? Und was passiert, wenn dort beispielsweise ein akzeptiertes Zertifikat liegen w\u00fcrde oder Clients ohne Zertifikatspr\u00fcfung (Android etc.) auf diese Domain per AutoDiscover zugreifen? Kann sich jemand aus der Leserschaft da einen Reim drauf machen?<\/p>\n

Erg\u00e4nzung:<\/strong> Ich hatte das Ganze noch weiter verfolgt – das magere Ergebnis findet sich im Beitrag Nachlese: Exchange-Autoermittlung und die Doppeldomain .de.de<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich stelle mal eine merkw\u00fcrdige Leserbeobachtung hier im Blog ein. Es geht um die Autoermittlung von E-Mail-Empf\u00e4ngern in Outlook, \u00fcber den AutoErmittlungsdienst in Microsoft Exchange. Einem Leser ist in diesem Kontext ein krudes Problem aufgefallen. Jemand scheint eine Subdomain, die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426,7459],"tags":[5359,215,24],"class_list":["post-296875","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","category-software","tag-exchange","tag-outlook","tag-problem"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296875","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=296875"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296875\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=296875"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=296875"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=296875"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}