{"id":311911,"date":"2025-05-29T00:01:10","date_gmt":"2025-05-28T22:01:10","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311911"},"modified":"2025-06-17T01:42:03","modified_gmt":"2025-06-16T23:42:03","slug":"microsoft-phishing-mit-ms-365-tenants","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/29\/microsoft-phishing-mit-ms-365-tenants\/","title":{"rendered":"Microsoft Phishing mit MS 365-Tenants?"},"content":{"rendered":"

\"Mail\"[English<\/a>]Ich stelle mal eine Mail zur Diskussion, die ich angeblich von Microsoft bez\u00fcglich eines \"auslaufenden Tenants\" bekommen habe. Es soll was bestellt werden, da der seit mehr als 200 Tage inaktive Tenant sonst ausl\u00e4uft. Ist es eine legitime Mail oder Phishing, das ist hier die Frage? Spoiler: Ich bin daran gescheitert, die Frage final zu 100 % sicher zu beantworten. Erg\u00e4nzung:<\/strong> Die Phishing-Mail kommt von Microsoft – WTF!<\/p>\n

<\/p>\n

Komische Mail \"von Microsoft\"<\/h2>\n

\"\"Es war eine Mail, die mich in einem f\u00fcr Tests verwendeten outlook.com-Konto erreichte und sofort alle Alarm-Glocken l\u00e4uten lie\u00df. Auf diesem Konto treffen eigentlich nur wenige Mails ein – und diese stammen in der Regel von Microsoft (siehe folgenden Screenshot, die erste Mail ist aus 2013).<\/p>\n

\"Microsoft<\/p>\n

Zum 26. Mai 2025 schlug dann eine Mail (unterster Eintrag in obiger Liste), angeblich von Microsoft, mit dem Titel \"Action required: Make a purchase by June 26, 2025 to continue using your tenant<\/em>\" ein, was ich an einer Thunderbird-Benachrichtigung mit bekam. Die Mail wurde im Thunderbird bereits als SPAM klassifiziert (siehe Markierung durch den roten Pfeil in obigem Screenshot). Hatte ich im ersten Augenblick \u00fcbersehen und wollte auf die Schnelle wissen, was los sei, und habe mir darauf hin die Mail angesehen.<\/p>\n

\"Microsoft<\/p>\n

Die Mail informiert, dass mein Microsoft Entra ID-Tenant mit der angegebenen ID auslaufe, weil er 200 Tage ohne Aktivit\u00e4t sei. Ich m\u00f6ge bis zum 26. Juni 2025 einen Einkauf t\u00e4tigen, da andernfalls ein neuer Tenant gekauft werden m\u00fcsse. Die Mail enth\u00e4lt auch Links, um solche Eink\u00e4ufe zu t\u00e4tigen. Hier noch ein Textausriss der relevanten Informationen:<\/p>\n

Complete a purchase by June 26, 2025 to keep your account active<\/b><\/p>\n

You are receiving this email because your associated Microsoft Entra ID tenant (tenant ID 8070a59f-f33f-4cc8-8c9a-8adcfe0285f4) has been inactive for more than 200 days.<\/p>\n

Required action: To continue using your tenant, make a purchase before June 26, 2025. If you don't make a purchase before this date, your next purchase with Microsoft will require a new Microsoft Entra ID tenant to continue using Microsoft services.<\/p>\n

Make a purchase\u00a0 *https:\/\/portal.azure.com\/<\/p><\/blockquote>\n

Pferdefu\u00df: Ich nutze wissentlich keinen Microsoft Entra ID-Tenant und kann mit dem Zeugs nichts anfangen. Andererseits pflegt das Microsoft Marketing ja seine\u00a0 Produktbenennungen wie andere Leute Unterw\u00e4sche zu wechseln. Konnte es sein, dass da irgend ein freies E-Mail-Konto pl\u00f6tzlich als Microsoft Entra ID-Tenant segelt? Oder betraf es ein – mir von Microsoft vor gef\u00fchlt 10 Jahren mal ungewollt aufgedengeltes – Office 365-Konto?<\/p>\n

Beim Schreiben des Beitrags fiel mir dann auf: Die E-Mail wurde im Thunderbird als SPAM aufgelistet (verd\u00e4chtig) – kam bei Microsoft im Postfach von outlook.com<\/em> aber durch – hat deren SPAM-Filter m\u00f6glicherweise gepatzt, oder ist die Mail legitim? Der Inhalt der Nachricht sah f\u00fcr mich nicht vertrauenserweckend aus – warum soll ich etwas kaufen, wenn der Tenant seit mehr als 200 Tagen inaktiv ist – eine Anmeldung sollte reichen? War aber bereits Mitternacht, als die Mail eintrudelte, so dass ich diese aufgehoben und die Analyse etwas zur\u00fcckgestellt habe. Die Analyse habe ich beim Schreiben dieses Blog-Beitrags versucht.<\/p>\n

Was steckt hinter der Zieladresse<\/h2>\n

In obigem Screenshot ist der Ziel-Link Make a purchase <\/em>in der Fu\u00dfzeile eingeblendet. Es ist ein \"Safe-Link\" f\u00fcr E-Mails von azure.net<\/em>, der aber einen Redirect auf eine URL des azure.com-<\/em>Portals aufweist.<\/p>\n

*ttps:\/\/nam.safelink.emails.azure.net\/redirect\/?destination=\r\nhttps%3A%2F%2Fportal.azure.com%2F&p=\r\nbT02ZmU5NGNkZS1jNjA1LTQ5MmQtOGUzZC1iOTUxNzVhYzhhOD\r\nUmdT1hZW8mbD1idXR0b25fbWFrZV9hX3B1cmNoYXNlX19fXzEw<\/pre>\n
Dem Redirect wird eine keinen Sinn ergebende Zeichenfolge (vermutlich encodiert oder obfuscated) als Parameter \u00fcbergeben. Das ist schon arg verd\u00e4chtig und vermutlich der Grund f\u00fcr die SPAM-Kennzeichnung durch den Thunderbird.<\/p>\n
Safe Links erm\u00f6glichen laut Microsoft das Scannen von URLs und das Umschreiben eingehender E-Mail-Nachrichten w\u00e4hrend des E-Mail-Verkehrs sowie die \u00dcberpr\u00fcfung von URLs und Links in E-Mail-Nachrichten, Teams und unterst\u00fctzten Office 365-Apps zum Zeitpunkt des Anklickens. Die \u00dcberpr\u00fcfung von Safe Links erfolgt, laut diesem Microsoft Support-Beitrag<\/a>, zus\u00e4tzlich zum regul\u00e4ren Spam- und Malware-Schutz.<\/p>\n
Und in diesem Microsoft-Dokument<\/a> hei\u00dft es irgendwo im Text, dass, wenn man sich \u00fcber die Quelle einer E-Mail nicht sicher sind, den Absender \u00fcberpr\u00fcfen solle. Wenn eine Mail vom Microsoft-Kontoteam unter [irgend eine Adresse von microsoft.com] stammt, wisse man, dass sie legitim sei.<\/p><\/blockquote>\n
Einfach die Zielseite angeschaut<\/h3>\n
Wer nicht so genau hinschaut, k\u00f6nnte durch den Safe Link und die URLs get\u00e4uscht werden. Ich habe daher im Inkognito-Mode eines Browsers die Ziel-URL aufgerufen (sollte man nicht wirklich als unbedarfter Anwender tun) und bekam folgendes angezeigt.<\/p>\n
\"Fake<\/p>\n
Ich wurde zu einer vorgeblichen Azure-Seite zur Anmeldung am Tenant-Konto umgeleitet (siehe obigen Screenshot). Was sofort st\u00f6rt, ist der blaue Hintergrund – verwendet Microsoft doch seit einigen Monaten einen speziellen Hintergrund f\u00fcr seine Anmeldeseiten (siehe Microsoft hat Online-Anmeldung im M\u00e4rz 2025 \u00fcberarbeitet<\/a>).\u00a0Die Anmeldeseite sollte nun wie nachfolgend gezeigt aussehen.<\/p>\n
\"Microsoft<\/p>\n
Was sagt Virustotal?<\/h3>\n
Als schnelle Pr\u00fcfung einer solchen URL f\u00fcr die Zielseite befrage ich dann meist virustotal.com – dort kann man die URL einkopieren und erh\u00e4lt eine Einsch\u00e4tzung von x Virenscannern. Klappt h\u00e4ufig und man bekommt eine Warnung.<\/p>\n
\"Virustotal<\/p>\n
Obiger Screenshot zeigt, dass die Seite als \"sauber\" von 97 Virenscannern eingestuft wird. Also alles im gr\u00fcnen Bereich? Da passt was nicht und ich musste davon ausgehen, dass virustotal.com patzt.<\/p>\n
Schau in der Entwicklerkonsole nach<\/h3>\n
Mein n\u00e4chster Versuch bestand darin, die Anmeldeseite in der Entwicklerkonsole des Browsers zu inspizieren. Dieses Ansinnen wurde bereits mit einer dicken Warnung quittiert.<\/p>\n
\"Warnung<\/p>\n
Das stinkt irgendwie gewaltig – die Chrome-Entwicklerkonsole verweigert die Aufl\u00f6sung zum Azure-Portal.<\/p>\n
Ist es SPAM, Versuch einer Analyse<\/h2>\n
An dieser Stelle h\u00e4tte ich die Mail als SPAM l\u00f6schen k\u00f6nnen. Der Thunderbird war eindeutig im Urteil, aber es k\u00f6nnte immer noch ein Fehlalarm sein. Daher wollte ich genauer schauen, was Sache ist und das Ganze etwas detaillierter f\u00fcr die Leserschaft aufbereiten.<\/p>\n
Was sagt der Header?<\/h3>\n
Ich habe dann den Header der Mail im Thunderbird anzeigen lassen und bekam dann folgende Angaben.<\/p>\n
X-Mozilla-Status: 0001\r\nX-Mozilla-Status2: 00000000\r\nReceived: from AS8PR08MB6087.eurprd08.prod.outlook.com (2603:10a6:20b:29c::12)\r\n by GVXPR08MB10500.eurprd08.prod.outlook.com with HTTPS; Mon, 26 May 2025\r\n 16:24:17 +0000\r\nReceived: from DU6P191CA0023.EURP191.PROD.OUTLOOK.COM (2603:10a6:10:540::17)\r\n by AS8PR08MB6087.eurprd08.prod.outlook.com (2603:10a6:20b:29c::12) with\r\n Microsoft SMTP Server (version=TLS1_2,\r\n cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.8769.24; Mon, 26 May\r\n 2025 16:24:16 +0000\r\nReceived: from DB1PEPF000509FD.eurprd03.prod.outlook.com\r\n (2603:10a6:10:540:cafe::ca) by DU6P191CA0023.outlook.office365.com\r\n (2603:10a6:10:540::17) with Microsoft SMTP Server (version=TLS1_3,\r\n cipher=TLS_AES_256_GCM_SHA384) id 15.20.8769.25 via Frontend Transport; Mon,\r\n 26 May 2025 16:24:16 +0000\r\nAuthentication-Results: spf=pass (sender IP is 20.98.194.70)\r\n smtp.mailfrom=microsoft.com; dkim=pass (signature was verified)\r\n header.d=microsoft.com;dmarc=pass action=none\r\n header.from=microsoft.com;compauth=pass reason=100\r\nReceived-SPF: Pass (protection.outlook.com: domain of microsoft.com designates\r\n 20.98.194.70 as permitted sender) receiver=protection.outlook.com;\r\n client-ip=20.98.194.70; helo=mail-nam-cu07-bn.eastus2.cloudapp.azure.com;\r\n pr=C\r\nReceived: from mail-nam-cu07-bn.eastus2.cloudapp.azure.com (20.98.194.70) by\r\n DB1PEPF000509FD.mail.protection.outlook.com (10.167.242.39) with Microsoft\r\n SMTP Server (version=TLS1_3, cipher=TLS_AES_256_GCM_SHA384) id 15.20.8769.18\r\n via Frontend Transport; Mon, 26 May 2025 16:24:16 +0000\r\nX-IncomingTopHeaderMarker: OriginalChecksum:50D66B43F75B5279726AC9419C9F53151E9D7FF13A469527B23E1F689F621B80;UpperCasedChecksum:47662D1C63A1B049D645E226224F4A4E7A7AEC9E871EE4DD3FAD000A6AFCF88A;SizeAsReceived:831;Count:9\r\nDKIM-Signature: v=1; a=rsa-sha256; d=microsoft.com; s=s1024-meo;\r\n\tc=relaxed\/relaxed; i=microsoft-noreply@microsoft.com; t=1748276655;\r\n\th=from:subject:date:message-id:to:mime-version:content-type;\r\n\tbh=UQhV0VORpQFBtrrT4sem5dhxcqk0olTGAQFIJf8GT6s=;\r\n\tb=tGrkbudiLBVnur49OvxW7Zqc\/XBLDDqDMtBGW7Szu0KrTG0dyMX6BLQihIy2A4O9riuT45lNQsO\r\n\tTMPIs27AmAhg6HOpTzD0abf1TjSKhXSj1bv8Y3z8JkjSCaqLVlWgY6280LriDPrdOoFOxXK9n7OTC\r\n\tEYNGOeGBl3nnWE\/2+FU=\r\nFrom: Microsoft <microsoft-noreply@microsoft.com>\r\nDate: Mon, 26 May 2025 16:24:15 +0000\r\nSubject: Action required: Make a purchase by June 26, 2025 to continue using\r\n your tenant\r\nMessage-Id: <6fe94cde-c605-492d-8e3d-b95175ac8a85@az.eastus2.microsoft.com>\r\nReturn-Path: azure-noreply@microsoft.com\r\nTo: *****@outlook.de<\/em>\r\nContent-Type: multipart\/alternative; boundary=\"=-bL7AEVxXhKA6qM\/rW3\/B9g==\"\r\nX-IncomingHeaderCount: 9\r\nX-MS-Exchange-Organization-ExpirationStartTime: 26 May 2025 16:24:16.4849\r\n (UTC)\r\nX-MS-Exchange-Organization-ExpirationStartTimeReason: OriginalSubmit\r\nX-MS-Exchange-Organization-ExpirationInterval: 1:00:00:00.0000000\r\nX-MS-Exchange-Organization-ExpirationIntervalReason: OriginalSubmit\r\nX-MS-Exchange-Organization-Network-Message-Id: e5cac02f-5500-49c5-7938-08dd9c71c27f\r\nX-EOPAttributedMessage: 0\r\nX-EOPTenantAttributedMessage: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa:0\r\nX-MS-Exchange-Organization-MessageDirectionality: Incoming\r\nX-MS-PublicTrafficType: Email\r\nX-MS-TrafficTypeDiagnostic: DB1PEPF000509FD:EE_|AS8PR08MB6087:EE_|GVXPR08MB10500:EE_\r\nX-MS-Exchange-Organization-AuthSource: DB1PEPF000509FD.eurprd03.prod.outlook.com\r\nX-MS-Exchange-Organization-AuthAs: Anonymous\r\nX-MS-UserLastLogonTime: 5\/26\/2025 11:06:05 AM\r\nX-MS-Office365-Filtering-Correlation-Id: e5cac02f-5500-49c5-7938-08dd9c71c27f\r\nX-MS-Exchange-EOPDirect: true\r\nX-Sender-IP: 20.98.194.70\r\nX-SID-PRA: MICROSOFT-NOREPLY@MICROSOFT.COM\r\nX-SID-Result: PASS\r\nX-MS-Exchange-Organization-SCL: 1\r\nX-Microsoft-Antispam: BCL:2;ARA:1444111002|9400799033|68400799013|22402599018|10300799035|461199028|21080799006|12005499003|1680799057|970799057|5101999024|9000799050|28045499009|1290799030|4302099013|440099028|3412199025|18021999003|33101999003|21101999018|16125499006|17072799003|1360799030|1370799030|1380799030|56899033|1602099012;\r\nX-MS-Exchange-CrossTenant-OriginalArrivalTime: 26 May 2025 16:24:16.2083\r\n (UTC)\r\nX-MS-Exchange-CrossTenant-Network-Message-Id: e5cac02f-5500-49c5-7938-08dd9c71c27f\r\nX-MS-Exchange-CrossTenant-Id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa\r\nX-MS-Exchange-CrossTenant-AuthSource: DB1PEPF000509FD.eurprd03.prod.outlook.com\r\nX-MS-Exchange-CrossTenant-AuthAs: Anonymous\r\nX-MS-Exchange-CrossTenant-FromEntityHeader: Internet\r\nX-MS-Exchange-CrossTenant-RMS-PersistedConsumerOrg: 00000000-0000-0000-0000-000000000000\r\nX-MS-Exchange-Transport-CrossTenantHeadersStamped: AS8PR08MB6087\r\nX-MS-Exchange-Transport-EndToEndLatency: 00:00:01.4284569\r\nX-MS-Exchange-Processed-By-BccFoldering: 15.20.8769.014\r\nX-Microsoft-Antispam-Mailbox-Delivery:\r\n\tucf:0;jmr:0;ex:0;auth:1;dest:I;ENG:(5062000308)(920221119095)(90000117)(920221120095)(90005022)(91005020)(91035115)(9050020)(9100341)(944500132)(4810010)(4910033)(9575002)(10195002)(9320005)(120001);\r\nX-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MTtHRD0xO1NDTD0z\r\nX-Microsoft-Antispam-Message-Info:\r\n\t=?utf-8?B?aDc5OVpXM2M0T2syRnZlVkJoZzhqYjV4VmFTK1dqNzB4R0ZHTEc0aVlhUytk?=\r\n =?utf-8?B?S1RocS9FQWZ4WGZlRlMwcE4wZEFKS0J5clY3Qm9lbWduclVaOVkwdGQzaTFP?=\r\n =?utf-8?B?UE41TytEZW1VSDRzay9DTnl2N2JQNDNFck9tODZnSGxYMWM2NjNjVjFEOXJV?=\r\n =?utf-8?B?L0JXWWdwWjd1RmtPdWlYbks2dURKMkNkaWZhTFA1SHFud0p1YlVzY2ZVMDZF?=\r\n =?utf-8?B?MTVyQ1ltejZrU1lwejY1SDh3RllPSjliSzBCSWhxQkxKTGVmY2NtaTBTZzFL?=\r\n =?utf-8?B?bkxWVFVlUVZQcCt5VnFhRTZkK1h3ZzRsM2tFOUtJUk8wNTFaVWZpYkNYSmQw?=\r\n =?utf-8?B?eTJhQXg3WitPZFVoc0lyR240UFp1eU93VVpXS29vUHgyNWEvUkxBUnNPL2M4?=\r\n =?utf-8?B?eFFLNURYS0JzMUhGNFlvY3RoZjNhN1R4enRQK05vcHB1dXBjaXJnVzVPNXJN?=\r\n =?utf-8?B?Vm5JaGJGMmhmQWJzUWxHZ1BXb1YzK3NIZTNRa3pBQXhaYXllUWpFRGEwWDR0?=\r\n =?utf-8?B?TU1UQWVEcUJHZ3M1bkJMODh0cGZVTEtyVTBrY1VrV1N1SEttRzBHNGhXV1Fx?=\r\n =?utf-8?B?WHJWZ2tGU2lEMlF6Q3BtbDNEdlovRHhJRVhHZmdaclZmZVBSZVdOdVJpZUZ1?=\r\n =?utf-8?B?Qjh4TmR0aVZCUE52dk1UR1dHN3hsQ3l6R2tGaFJ6Q1ZNVWlRZnpvcEc0dnZN?=\r\n =?utf-8?B?STZWb20wVU5pUzJCaVFmYithaDNUaysxS3I0R1ZDUi9vYnlBa3ByZGsyRk0r?=\r\n =?utf-8?B?a3J1TE9lR2hEc3ZFSVZYZitKNmV3Y3FJSDNvY3Ewc1dSVDcycmZqNUQ1TG1W?=\r\n =?utf-8?B?d3VKSGlzaExXa0xjRWl5SUdKYzRSMUtLOHRwSzArclFuMllIdEt0dkZlZUd1?=\r\n =?utf-8?B?UElKMkVMRjZpSUxhblBvWWJQcnhyMjF3VUxkMUQ5d3pUNHpWd09jWVYycW00?=\r\n =?utf-8?B?elFFR2hJUkUvV3VYTno4UEVoVlpXb25zRWgrZnhzUmJYSi9kb3BvSFFxTjJv?=\r\n =?utf-8?B?OWtjYk5JSGh3aFA3Nk5aV0Vva0Q5elptbFZvN2tjVnhYNnNrYmQ0TjRtcGVF?=\r\n =?utf-8?B?Y29qSTJrS3FjcXV5WFZqaGIxWk5vQmVXSkRVdnZXUk84Q3YzazhkZlUvL0s2?=\r\n =?utf-8?B?ZnVnSHVFMWFMeVIzYlpZTlkyS29HaGJYUEorcHFkZ0wwT3pNcGhocHhsdTBQ?=\r\n =?utf-8?B?R2pqZzUzUkFWVlNSemo4cGlGUUc4Zjd4QzFMUFlTUHp6QTNhYVVvb1FuL0Zx?=\r\n =?utf-8?B?cXhRNXV6WEdnclVVM2hkVGJuRHBabHhNNGtFdkwvdm5uUTRSU1hMQ2o2S2tZ?=\r\n =?utf-8?B?bjFyK0d0U3BZdnBuN1oyYWcrdXIvMFFWOXNKWHFEcnpROENQT3RaZDR1Nncx?=\r\n =?utf-8?B?YkRkU05IZVcyME9mZ3l5UmtzU05ERE5BYm5keSthVXUzMlp5bmRlc0Uvd1dP?=\r\n =?utf-8?B?ZXN6MkNqTGJZWXVXdGs3WW1zaFpJMmEvR2Rvb3FNbWxnWW9nOWtLNUV5K0NZ?=\r\n =?utf-8?B?Q0VwM2toeDhkY1dWU0Exb2wxQkEwVUw1Qy9aK29zSlQyYzBrZktzamlZY3p1?=\r\n =?utf-8?B?dlZON1pQSlZkVDZhQW5PN1RhZi9BS2orbDRnUWJoKzMyVG1uT3pzNExscDdR?=\r\n =?utf-8?B?N3Y2dDVkNlBzdVVZTkUrdUtjOEtDQVBUUElReFNianRUUVVkRnI4b3MwT0Y4?=\r\n =?utf-8?B?LzF1ZFhYNnRpbkt4T3hwWVNEMU5HWitZMm5UMW1QSDdwUlZwTzZ2eDlXR2Fy?=\r\n =?utf-8?B?czFrSHpTUEgrTFo5ZW5DQTRkdzJLbTY3ZXFYeEo4K0ZoVGpkRThzbld0R29u?=\r\n =?utf-8?B?RmtZVEMrUHp3c203bG9memhsM2N2QkpyelFRUHR6dFprRUQzTEswSDRDSm5k?=\r\n =?utf-8?B?UXBGVk8xbTJNa1VucWZTcndKc1ZNRkxIbHdmazVySmwydzU4ODJjcUJrdzVQ?=\r\n =?utf-8?B?V2RWOEUvRFpuYldJRE1MSkY2ZlIvcW5ubkRPTkVsU1VRLzhjLzl1bVNIWkhI?=\r\n =?utf-8?B?bHRLYTBvV004cmZWNUdRZDlRNVdYVWx4ajBxZnlJODY0aWZ2QmFhcEhVcDZn?=\r\n =?utf-8?B?ak8wckVJSUVPaWVuNXRNNCtVbVA0UHJsMFFza0l1NnVqNThPc3dkY1U1MTgv?=\r\n =?utf-8?B?R3EzNnhFVGh2d3AzMFFaUmZhM0gvWHFBYW1MYW9rQUNwSEtNMWxyUWtyMEhI?=\r\n =?utf-8?B?U1Y4Sk1EWndlWlEvVHpOWmpQN1dkNWlROXJhZjZSVFJGRkVDTm9NUFVQcFdY?=\r\n =?utf-8?B?T0l1a3NBRFR3dnJkYUhFRmRIdDM3ZCtES2R2MlZoSndraHZMVXRLU0VONStM?=\r\n =?utf-8?B?Y3VsWENPZC82cDdvTFE1ZzBUV0ZUdEZtSytyRFV6T3dVOG0ra1NpQ1BOU0lD?=\r\n =?utf-8?B?SEc5cVR6QkVIM21ZUVEzWnNnajBsamNkUG84TG50MzNHRUxwQVFtUDQ2U05v?=\r\n =?utf-8?B?dkVRdGc1eFFjYUpWeFhOK0VFeHFQbWlDWmduZ3pjRDFVRnI0ZE4rME1DYWc0?=\r\n =?utf-8?B?TlNDZzJBczlMTFp5SDArYUtjakpHOFNrQ2ZJOVZjR1FNZmtyREJnVlRXdHhX?=\r\n =?utf-8?B?dTFMR1ZxZDJweEY1MTdzV25kbzRhYk8vWDdnMjc1NW1TSkN2U1dhL3BFeVNO?=\r\n =?utf-8?B?ODBqZThiK0RDTVJoVFp5U0hDaVlXMU94RWZhVWY4Nkh6SmF6RE1mSjZxcnBO?=\r\n =?utf-8?B?YXo2RjBJemxvN2FBekFjMDdmcm1XeUVQcnM0Nm5PR0h6TGhKNzR5Rm5HOWdo?=\r\n =?utf-8?B?ZVJNTmwzUjIwVmRQWWRmUlRqVGFaZENuT2dUTGR5cElvaitKSElUVHlrbGMy?=\r\n =?utf-8?B?Z1Q2ZXhUcVlHSjk2aTJYWlhQV29uU2dRZnpuSjVwWUdQM09qcHR0djFrQ1hL?=\r\n =?utf-8?B?T293Tzh2em53NjcxZjVCR3ViWDRHMlV1Qk1BQTRKZGE5dWJSY09UM0xKT2Ru?=\r\n =?utf-8?B?KytydExEeG11K2RVSXNnSDlCUCtCMlhpRk1TNDJ1ZEpCd3AvM1E9PQ==?=\r\nMIME-Version: 1.0\r\n<\/pre>\n
Sieht alles irgendwie auf den ersten Blick als \"von Microsoft verschickt\" aus, auch die IP-Adresse wird Microsoft in den USA zugeordnet. Sprich, der Ursprung liegt im Microsoft-Kosmos. Aber der Absender k\u00f6nnte ja ein Phishing-Konto aufgesetzt haben. Die potentiellen Phisher sind also recht trickreich vorgegangen, und eine Inspektion des Headers im Hinblick auf die Frage \"kommt die Mail von au\u00dferhalb der Microsoft Infrastruktur\" l\u00e4uft imho ins Leere.<\/p>\n
Ist wohl SPAM – gibt weitere Treffer<\/h3>\n
Wegen der vielen Ungereimtheiten, die ich oben angerissen habe, fiel die Mail f\u00fcr mich in die Kategorie SPAM. Ich habe dann noch etwas im Internet gesucht und bin auf den nachfolgend gezeigten reddit.com-Thread<\/a> mit gleichem Thema gesto\u00dfen.<\/p>\n
\"Purchase<\/p>\n
Dort werden vom Thread-Starter und weiteren Kommentatoren \u00e4hnliche Fragen wie oben aufgeworfen. Es ist ein SPAM- bzw. Betrugs- oder Phishing-Versuch, aber nicht schlecht gemacht. Im Thread kommt von den Nutzern dann auch Kritik an Microsoft, dass man nicht mehr erkennen k\u00f6nne, ob so etwas SPAM sei.<\/p>\n
Kein SPAM? Ich streue mal eine Prise Unsicherheit<\/h2>\n
Im obigen reddit-Thread verweist dann jemand auf den Microsoft Q&A-Post Complete a purchase by January 17, 2025 to keep your account active<\/a> (\u00fcberschrieben mit \"AI Skills Fest\"), wo das ebenfalls thematisiert wird. Hier der Screenshot der eingestellten Frage, die doch meiner initialen Mail ziemlich gleicht.<\/p>\n
\"Microsoft<\/p>\n
Ich habe den Text nachfolgend mal herausgezogen – damit er in Suchmaschinen auch gefunden und auf den Blog-Beitrag mit verlinkt wird. Wohlgemerkt, wir reden hier \u00fcber eine offizielle Microsoft Q&A-Seite.<\/p>\n
Complete a purchase by January 17, 2025 to keep your account active<\/strong><\/p>\n
Nepsys Reputation points Nov 22, 2024, 7:10 PM<\/p>\n
Why am I getting email from Microsoft<\/p>\n
\"Complete a purchase by January 17, 2025 to keep your account active<\/p>\n
You are receiving this email because your associated Microsoft Entra ID tenant (tenant ID\u00a0removed<\/strong>) has been inactive for more than 200 days.<\/em>\u00a0Required action: To continue using your tenant, make a purchasebefore January 17, 2025<\/strong>. If you don't make a purchase before this date, your next purchase with Microsoft will require a new Microsoft Entra ID tenant to continue using Micrsrvices<\/em>\"<\/p>\n
I am using only outlook email which has almost 6 months till license renewal?<\/p><\/blockquote>\n
Die Antwort hat mich dann doch ziemlich gepl\u00e4ttet – kam sie doch zweifach von einem Microsoft-Moderator und einem externen Moderator:<\/p>\n
Hello\u00a0Nepsys,<\/p>\n
Thanks for your question<\/p>\n
This indicates that your tenant has been inactive for 200 days.<\/p>\n
If you just use outlook, check if you require the Microsoft Entra ID tenant. If it's not essential for your current or future needs, you may choose to let it expire.<\/p>\n
If you want to keep the tenant active, consider making a purchase on the account for ur tenant<\/p>\n
Follow this link for more information on tenant inaccessibility due to inactivity.\u00a0https:\/\/learn.microsoft.com\/en-us\/entra\/fundamentals\/inaccessible-tenant<\/a><\/p>\n
You can mark it 'Accept Answer' and 'Upvote' if this helped you<\/strong><\/p>\n
Regards,<\/p>\n
Abiola<\/p><\/blockquote>\n
In d\u00fcrren Worten: Die Microsoft Moderatoren behaupten, die E-Mail-Benachrichtigung im Namen von Microsoft sei legitim und stamme von Microsoft. What the fuck! Gibt noch einen weiteren Post<\/a> im Microsoft Answers-Forum, wo ein Moderator die Echtheit der Mail best\u00e4tigt – glauben kann ich es immer noch nicht. Auch hier sind die Nutzer ziemlich perplex \u00fcber die Mail, da vielen der Inhalt nichts sagt.<\/p>\n
Ich habe mir denn nochmals die URL, die von der Safe Mail-Angabe aufgel\u00f6st wird, im URL-Feld des Browsers angesehen.<\/p>\n
https:\/\/login.microsoftonline.com\/organizations\/oauth2\/v2.0\/authorize?\r\nredirect_uri=\r\nhttps%3A%2F%2Fportal.azure.com%2Fsignin%2Findex%2F&response_type=\r\ncode%20id_token&scope=https%3A%2F%2Fmanagement.core.windows.net%2F%2F\r\nuser_impersonation%20openid%20email%20profile&state=\r\nOpenIdConnect.AuthenticationProperties%3D\r\nuxz6z5N_5Ixhg9N6BGUaMC3bGk2UKXtrL00guLosODZORYKXhxSQL3urwjUIOcZ\r\nqPYwWPOAJpk6na8kG23KXG0H50ONs2I0dkFR4Dpb3PgHVYLnAgf2a69keIc0QhHB\r\njYznmS8iD0kDD4oudMjSo0810C1CHxHqIAOoS__Iy9eRAncFBFmWYqDooGAq7ajd\r\ngV6FXIWzWL9NE0cTBBlVceJFBfQr0YgeqiIKnV2oX3K2RaQQCrT9tvNlyexWpy1\r\nGXTLFLFp_EkwDqHVqy7YJHNLGd_jnXLKBkp6DNkZJpBmfp05j4YDgaqWGUCYfDQ2\r\nE3AFB9O5A0OO_c5bBdE2vjFzyJQl1u2pGvKExReDGdIsYKl9Oa27RDV5sONadoTaK\r\nh6CvCnBIs_V3NdADIAAL3JOqkRqfqPVWwraSmamGim02mKosJyJN3XBKFnm7Lm7z_Ca\r\n09oIleggW48zbqwwROR82XQhXe9ZMGxPTM0YCEXAY&response_mode=\r\nform_post&nonce=638838932065190836.OWYyMjQzZWEtNGU1Yy00Nzc1LWI3Zm\r\nQtYjk2MTQwZmM3YWIzZjk5Yjg2N2QtMTkyZi00OTlkLThjMjUtMWMzMDhlYzJlZTNm&\r\nclient_id=c44b4083-3bb0-49c1-b47d-974e53cbdf3c&site_id=501430&\r\nclient-request-id=21b8db4f-7fca-4c1e-97a7-07a85651f29c&\r\nx-client-SKU=ID_NET472&x-client-ver=8.3.0.0&sso_reload=true<\/pre>\n
Die Domain microsoftonline.com<\/em> geh\u00f6rt Microsoft und das portal.azure.com<\/em> sowie windows.net<\/em> auch. Was in den Parametern getrieben wird, erschlie\u00dft sich mir (bis auf den Umstand, dass ein Form zur Anmeldung anzuzeigen ist) ad-hoc nicht. Wer denkt sich so etwas aus?<\/p>\n
Abschlie\u00dfende Gedanken<\/h2>\n
Ich habe die simple Mail mal in obigem Beitrag etwas aufgedr\u00f6selt, bin aber an dieser Stelle nicht sicher, ob es nicht doch was Legitimes von Microsoft ist. M\u00f6glicherweise habe ich was \u00fcbersehen, und die Blog-Leserschaft bringt Aufkl\u00e4rung.<\/p>\n
Der Fall bringt mich aber zur Frage: \"Wie kaputt ist das Eco-System rund um Microsoft?\", wenn ich als irgendwie fortgeschrittener Empf\u00e4nger einer solchen Mail nicht mehr erkennen kann, ob es vielleicht doch etwas Legitimes sein kann. Das Zeugs ist so komplex geworden, dass ein normaler Anwender da imho kaum eine Chance hat, zu beurteilen, ob eine Mail SPAM ist oder wirklich vom behaupteten Absender kommt.<\/p>\n
Der Umstand, dass das Microsoft Marketing Bezeichnungen alle Nase lang \u00e4ndert und die Entwickler die Webseiten nachziehen m\u00fcssen (oder auch nicht), schafft auch keine Transparenz. Ich wei\u00df z.B. nicht, ob der oben angemerkte blaue Hintergrund bei der Azure-Anmeldeseite ein Fake ist oder seit ewigen Zeiten so angezeigt wird.<\/p>\n
Und nun stehen wir an der Schwelle der KI-Nutzung – vor allem durch Cyber-Kriminelle. Wie soll der normale Anwender da bestehen? Wo bin ich jetzt falsch abgebogen? Oder muss ich dumm sterben? Helft mir vom Pferd.<\/p>\n
Kommt von Microsoft – WTF<\/h2>\n
Ich muss nicht dumm sterben, denn Leser Mom20xx hat mich in diesem Kommentar<\/a> (danke daf\u00fcr) darauf hingewiesen, die Tenant-ID auf der Seite\u00a0Tenant ID Lookup<\/a> pr\u00fcfen zu lassen. Und ab da \"stinkt die Sache gewaltig – hier ist das Ergebnis der Pr\u00fcfung:<\/p>\n
\"Tenant<\/p>\n
Es ist das Outlook.de-Testkonto, was da mit angegeben wird. Dieses ist jetzt aber irgendwie einem onmicrosoft.com-Tenant zugeordnet. Die Mail stammt also von Microsoft und der Absender kennt die Tenant ID. Bringt mich zu folgenden Aussagen:<\/p>\n