Moin,
irgendwie ist mir das noch nie untergekommen. Gestern Sonntag haben wir eine Mail vom Netcraft Takedown Service bekommen das bei einem Kunden von uns der Exchange angeblich eine Phishing Site ist.
Bemängelt wurde das im Auftrag von Microsoft die Website den Service von outlook.com nachahmt und deshalb eine Phishing Site sein muss.
Widersprüche und ein melden auf False Positive wurden abgelehnt. Nun hat heute auch unsere SSL CA aufgrund der Meldung von netcarft unser SSL Kauf Cert widerrufen.
Auch die Kommunikation mit Netcraft zeichnet sich schwierig da ich das Gefühl habe nur mit einem Bot zu kommunizieren.
autodiscover.kundendomain.com und mail.kundendomain.com zeigen halt auf die gleiche Website den Exchange OWA Login.
Hatte das schon mal jemand?
Hatte das schon mal jemand?
In der Form hab ich das bisher noch nirgends gesehen. Ich hatte bisher nur zweimal das Problem, dass der Edge eine große rote SmartScreen Warnung bei Aufruf der OWA Seite bei Kunden anzeigte. Da wars dann aber zumindest nach einigen Stunden und Melden als False positive wieder in Ordnung und seitdem auch Ruhe.
Ich gehe ja mal davon aus, dass es sich tatsächlich um ein False Positive handelt.
Bemängelt wurde das im Auftrag von Microsoft die Website den Service von outlook.com nachahmt und deshalb eine Phishing Site sein muss.
Ich geh mal davon aus, dass die Kundendomain nicht so ähnlich heißt wie outlook.com. Ich vermute, da wirst du irgendwie durch diesen ganzen Prozess durch müssen. Ich frag mich nur, wie ein dritter ein Zertifikat revozieren kann. Hab ich auch noch nie gesehen.
Bye und viel Glück und Geduld.
Norbert
Moin Norbert,
nein die Domains des OWA lauten:
mail.kundenfirmenname.de
autodiscover.kundenfirmenname.de
attachments.kundenfirmenname.de
plus leider noch 7 weitere Dienste (Nextcloud etc. des Kunden mit ...kundenfirmenname.de
Um 18.51 hat nun endlich Netcraft nach 17 Mails hin- und her, obwohl die 16 Mails davor behauptet haben das alles richtig ist und die Site ein
Phishing Site, zugegeben das es sich um ein False Positiv handelt.
Bloss den Alarm den die Gemacht haben, ISP der die Glassfaser und einen /28 IP Bereich stellt, COLT Telecom in dem Fall hat sich das angeschaut und gesagt das ist Blödsinn und das geht in die Ablage P, OVH der die Domain stellt mussten wir auch hin- und her telefonieren/schreiben.
CA die das Zertifikat herausgegeben hat leider das Multidomain Cert Revoked.
Und noch bin ich auf der Sperrliste von Virustotal bei CyRadar, Fortinet, Webroot, Emisoft und Netcraft. Und so lange kann kein neues Cert bestellt werden.
Ist bloss schön lustig wie man einem Kunden (kein kleiner sondern Mittelständer mit 400 MA) nun erklären muss warum er obwohl wir alles richtig machen und immer pflegen so etwas passieren kann. Und man nun soviel mehrarbeit hat und dieser den ganzen Tag Probleme hatte bis wir erstmal ein Reserve Wildcard erstellt hatten und in die HAProxys und Front MTA Antispams gespielt haben damit Mails wieder gehen.
EDIT: Nein bemängelt wurde das die Site wie outlook.com aussieht und der Bot sich mit deren Test outlook.com Daten nicht einloggen konnte und somit das für Netcraft aussieht als ob man die Creds für Outlook.com User abgreifen will.
Ja das mit der Erklärung stelle ich mir auch interessant vor. Am Ende ist es ja ein eindeutiger Fehler von netcraft für den die sicherlich nicht haften werden. :/
falls sich noch was ergibt, gib gern hier Bescheid. Ist sicherlich auch für andere interessant so ein Fall.
bye
Norbert
