![\"Mail\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2016\/07\/Mail.jpg\" "\\"Gmail\\"")
Vor einiger Zeit hatte ich eine merkw\u00fcrdige Leserbeobachtung hier im Blog geteilt. Die Autoermittlung von E-Mail-Empf\u00e4ngern in Outlook \u00fcber den AutoErmittlungsdienst in Microsoft Exchange schl\u00e4gt eine Subdomain, die mit .de.de endet und f\u00fcr Autodiscover-Anfragen konfiguriert wurde, vor. Leser und meine Wenigkeit hatten bei der Denic und dem BSI nachgefragt. Die Antworten stelle ich nun hier im Blog ein.<\/p>\n
<\/p>\n
Blog-Leser Horst S. hatte mich im Juli 2024 kontaktiert, weil er bei einem Kunden auf ein sehr merkw\u00fcrdiges Problem gesto\u00dfen ist. Bei diesem Kunden wurde ein Exchange Server (lokal in eigener AD- Dom\u00e4ne) mit Verbindung zu einer bei einem Provider bestehenden Domain eingerichtet. Die bestehende Domain beherbergt den Internetauftritt des Kunden und dient auch zur Bereitstellung der E-Mail-Adressen (@domain.de). Horst schrieb mir, dass man in dieser Konstellation in der Regel dort eine Subdomain einrichtet, die f\u00fcr die Autodiscover Anfragen (mit Verweis zum eigenen lokalen Exchange Server) konfiguriert ist.<\/p>\n
In der vorliegenden Konstellation beim Kunden ist aufgefallen, dass ein Dritter eine Domain in Betrieb hat, die genau die Autodiscover-Subdomain aber mit einem zweiten .de dahinter abbildet (also autodiscover.domainname.de.de<\/em>). Ich habe die Details zu diesem Fall im Blog-Beitrag Outlook zu Exchange-Autoermittlung und die doppelte .de.de-Domain<\/a> dokumentiert. Ein Dritter hat eine Wildcard-DNS<\/a> de.de erstellt, die auf alle nicht existenten Domainnamen reagiert. Das Ganze kam uns merkw\u00fcrdig vor und ein Leser hat bei der Denic deswegen opponiert. Und ich habe beim BSI nachgefragt.<\/p>\n Blog-Leser Daniel K. hat die Denic als Registrar per Mail und Brief kontaktiert, um diese als Registrar zu veranlassen, zumindest bei der betreffenden Stelle nachzuhaken, was das soll.\u00a0 Hier eine Mail, die u.a. an den Denic-Vorstand ging:<\/p>\n Hiermit melde ich Ihnen die Domain \u201ede.de\". Der Registrar hat sich noch nicht bei mir gemeldet, da es hier aber um eine Phishing Domain handelt und diese auch von Seiten des Domain Inhaber abused wird, muss ich mich an Sie wenden. Der Support der Denic weigert sich, die Domain zu sperren, da sie sich nicht zust\u00e4ndig f\u00fchlt. Da es sich hier auch noch um eine vertipper Domain handelt, die abused werden kann, sollte egtl. Hier seitens der Denic sofort eingegriffen werden. Dies wurde aber bis jetzt ignoriert. Es werden teilweise bekannte Marken imitiert, was dann f\u00fcr Ver\u00e4rgerungen bei den Kunden kommen kann.<\/p>\n Ich bitte Sie, schnellstm\u00f6glich die Domain offline zu nehmen Auszug aus den DNS Eintr\u00e4gen ist angehangen<\/p><\/blockquote>\n Nach mehreren Nachfragen erhielt der Leser von der Namespace Group<\/a> folgende Antwort:<\/p>\n Please take a look at the comments on this article. You will see that some commenters with a better understanding of how the DNS functions than the person who wrote this article are explaining to them that it's an issue with the Autodiscover functionality of obsolete exchange servers.<\/p>\n The domain name de.de cannot be used to send or receive emails.<\/p><\/blockquote>\n Die Denic sieht sich nicht zust\u00e4ndig und meint auch \"kein Problem, kann nicht zum Senden oder Empfangen von E-Mails verwendet werden\". Dass da ggf. Anmeldedaten von AutoDiscover an die betreffende Stelle geschickt werden, wird \u00fcberhaupt nicht angesprochen.<\/p>\n Ich hatte des Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI)kontaktiert und gefragt, ob man dort ein Problem sieht. Hier die Antwort der Pressestellt:<\/p>\n Sehr geehrter Herr Born,<\/p>\n vielen Dank f\u00fcr Ihre Nachricht. Wenden Sie sich k\u00fcnftig gerne direkt an die Pressestelle … Auf Ebene Sprecher des BSI kann ich Ihnen folgendes mitteilen:<\/p>\n Tats\u00e4chlich ist die Endung .de.de aus Sicht des BSI aufgrund der offensichtlichen Verwechslungsanf\u00e4lligkeit besonders f\u00fcr Phishing-Versuche geeignet. Die Gef\u00e4hrdung ergibt sich aus m\u00f6glichen Fehleingaben durch Nutzerinnen und Nutzer. Die Domain ist seit dem 13.7.2021 registriert, bislang liegen dem BSI keine Hinweise auf einen aktiven Missbrauch vor.<\/p>\n Bez\u00fcglich Autodiscover: Die Domain autodiscover.de ist seit 2021 im Besitz des BSI.<\/p>\n Das BSI hat allgemeine Informationen zum Schutz vor Phishing in Mails und auf Webseiten ver\u00f6ffentlich:<\/p>\n Phishing – how much is the phish!?<\/a> Mit freundlichen Gr\u00fc\u00dfen<\/p><\/blockquote>\n Gefahr erkannt, Gefahr gebannt – in der Sache wird sich also nichts mehr tun.<\/p>\n","protected":false},"excerpt":{"rendered":" Vor einiger Zeit hatte ich eine merkw\u00fcrdige Leserbeobachtung hier im Blog geteilt. Die Autoermittlung von E-Mail-Empf\u00e4ngern in Outlook \u00fcber den AutoErmittlungsdienst in Microsoft Exchange schl\u00e4gt eine Subdomain, die mit .de.de endet und f\u00fcr Autodiscover-Anfragen konfiguriert wurde, vor. Leser und meine … Weiterlesen Die Registrare wie Denic nicht zust\u00e4ndig<\/h2>\n
Die Antwort des BSI<\/h2>\n
\nWie erkenne ich Phishing-E-Mails und -Webseiten?<\/a><\/p>\n