SharePoint Sharing Spam

Vor einigen Wochen habe ich noch über Google Meet Spam und OneDrive-Link Spam berichtet, so haben es Mitte April 2021 mehrere "Benachrichtigungen" von SharePoint in mein Postfach geschafft.

Posteingang

Alle Mails sind relativ kurz aufeinander im Postfach gelandet und haben beide einen Bezug zu Pornografie und Dating-Plattformen gehabt:

Also nichts, worauf man reinfallen sollte, selbst wenn die Mails von Microsoft Online gekommen sind. Denn der Absender hat einfach eine Datei auf "seinem SharePoint" hinterlegt und dann diese mit ganz vielen Personen "geteilt".

Die 33 Empfänger waren größtenteils "GMail"-Adressen und nicht weiter personalisiert. Jeder der 33 Anwender hätte den Link öffnen können. Es waren jeweils PDF-Dateien mit eindeutigen Bildern und einem weiteren Link der eigentlichen Zielseite. Diese Spamwelle hat intensiv sich hinter dem Link-Verkürzer "cutt.ly" versteckt, bei dem man die URLs natürlich als "Abuse" melden kann. Aber das dürfte, wie so oft, nicht viel bringen.

Spam-Report

Kein Hoster mag es, wenn seine Dienste missbraucht werden. Im Grund ist es natürlich legitim, eine PDF-Datei in einem bezahlen OneDrive abzulegen und dann andere Personen zu einer Zusammenarbeit aufzufordern. Im seriösen Geschäftsverkehr ist dies aus meiner Sicht sogar viel besser, als immer wieder Anlagen per Mail durch die Welt zu senden und damit viele Versionen und Mehraufwand bei der Nachverfolgung zu erzeugen.

Allerdings kenne ich kein Land der Erde, in dem Massenmails an Personen ohne Geschäftsbeziehung legitim ist. Spam ist irgendwie überall Spam. Aber nur weil etwas "ungesetzlich" ist, wird es noch lange nicht strafrechtlich verfolgt und nur weil ein Provider diese Verwendung untersagt.

Dennoch würde ich Microsoft empfehlen, in diesen "Benachrichtigungen" einen Link für "Report as Spam" zu hinterlegen. Es würde den Prozess deutlich beschleunigen, mit dem ein Missbrauch gestoppt werden kann. Es gibt ja zwei Optionen:

  • Gekaperte Credentials
    D.h. ein legitimer Anwender eines Tenant hat seine Zugangsdaten "verloren" und die Malware/Spammer nutzen dessen Konto als Versandsystem. Hier könnten mehrere "Spam-Reports" z.B. dabei helfen, das Konto temporär zu blockieren und den weiteren Schaden nicht größer werden zu lassen
  • Spam-Tenant
    Cloud-Anbieter möchten die Einstiegshürde sehr gering halten. Daher ist es sehr einfach, einen Tenant anzulegen. Eine beliebige Mobilfunknummer reicht und die kann eine "Einmalnummer" sein oder ein geklautes Telefon oder SIM-Karte. Und schon hat ein Angreifer einen Tenant mit 30-Tage-Testversionen. Auch hier könnte viele "Spam-Reports" gerade bei neuen Tenants schneller den weiteren Missbrauch stoppen

Bislang habe ich aber keine "schnelle" Möglichkeit gefunden, so einen Missbrauch zu melden. Für Office 365 Administratoren und Benutzer gibt es einen Zugang

Das hilft natürlich den Empfängern nicht weiter, die gar kein Office 365 Konto haben.

Hier ist also schon noch Raum für Verbesserungen.

Header

Natürlich habe ich mir den Header angeschaut, ob die Mail von Microsoft gekommen ist. Die Untersuchung im Message Header Analyzer (https://mha.azurewebsites.net/) ist das recht eindeutig:

Da steckt schon Microsoft dahinter. Der Header gibt aber leider nur ganz wenig Informationen über den echten Absender:

Sender: Melissa  Wright <no-reply@sharepointonline.com>
Reply-To: rydifezs_@my.ehsrr.com
Return-Path: no-reply@sharepointonline.com
Cc: Melissa  Wright <rydifezs_@my.ehsrr.com>
From: Melissa  Wright <no-reply@sharepointonline.com>

Die für DKIM/DMARC/SPF relevanten Felder lauten auf "sharepointonline.com". Ein Spamfilter könnte vielleicht versuchen, über das "Reply-To"-Feld oder die CC-Meldung den Absender zu erhalten und gegen vorhandene Domain-Listen bekannter Empfänger abgleichen. Aber welcher Spamfilter würde das Risiko eingehen, so eine Mail zur Zusammenarbeit zu blockieren, wenn auf der anderen Seite viele Firmen eine neue Art der Zusammenarbeit, weg von Mails hin zur gemeinsamen Bearbeitung, propagieren?

Allerdings sind die Spam-Beispiele hier mit Links auf andere Seiten und URL-Verkürzer gespickt. Solche Informationen würde ich bei einer durch Anwender ausgelösten Mail nicht erwarten. Vielleicht ist das aktuell noch ein Hebel, wenngleich niemand den Spammer hindert, die PDF-Datei mit Link auf OneDrive abzulegen und damit dem Spamfilter zu entziehen.

Tenant Info

Leider gibt es bei Microsoft keine öffentlich nutzbare Stelle, um Informationen über einen Tenant zu erhalten. Aber über verschiedene WebAPIs kann ich schon weitere Informationen sammeln. Sie dazu auch Wer nutzt Office 365 und wie? Dieser Tenant lautete auf den Namen "ichemacid.onmicrosoft.com" und hatte folgende Details:

testdomain             : ichemacid.onmicrosoft.com
tenantname             : ichemacid
Cloudinstance          : O365Public
MultiGeo               : False
TenantID               : ec976d7c-0325-4192-967e-b430bde0bd4c
NameSpaceType          : Managed
IsViral                :
FederationBrandName    : office
AzureADSSO             : Skip
DesktopSSO             : Skip
Region                 : AS
domains                : {ichemacid.onmicrosoft.com, ichem.ac.id, ehsrr.com, office.ehsrr.com…}
authinfo               : NoValidDomain
Authendpoint           : NoValidAuthEndpoint
PrefCredential         : Skip
Enterpriseregistration : NotFound
Autodiscover           : CNAME: autodiscover.outlook.com
MX                     : ExchangeOnlineProtection
SPF                    : NoO365SPF
DMARC                  : NotDNSRecord
DKIMDOMAIN             : ParseError
DKIMTENANT             : Skip
DKIMEXO                : O365Tenant:ichemacid
ExchangeHybrid         : Skip
Lyncdiscover           : Office365
sipfederationtls       : Office365
siptls                 : Office365
sip                    : Office365
SharePointOnline       : 140-ipv4e.clump.dprodmgd106.aa-rt.sharepoint.com
OneDrive               : ichemacid.sharepoint.com

Es ist zumindest kein viraler Tenant aber leider kann ich nicht ermitteln, ob der Tenant auch tatsächlich "lizenziert" ist oder nur ein Spiel/Test/Demo-Tenant ist. Allerdings hat sich der Absender schon Mühe gemacht, sehr viele Domains einzutragen.

ichemacid.onmicrosoft.com
ichem.ac.id
ehsrr.com
office.ehsrr.com
my.ehsrr.com
mail.ehsrr.com
free.ehsrr.com
email.ehsrr.com
one.ehsrr.com
mango.eu.org
my.mango.eu.org
mail.mango.eu.org
free.mango.eu.org
email.mango.eu.org
one.mango.eu.org
365.ehsrr.com
5t.ehsrr.com
onedrive.ehsrr.com
onedrive.mango.eu.org
5t.mango.eu.org
365.mango.eu.org
24ehs.com
my.24ehs.com
free.24ehs.com
mail.24ehs.com
one.24ehs.com
email.24ehs.com
5t.24ehs.com
365.24ehs.com
onedrive.24ehs.com
a.ehsrr.com
a.mango.eu.org
a.24ehs.com
1.ehsrr.com
1.24ehs.com
1.mango.eu.org

Für jede dieser Domain muss er auch eine Verifikation, z.B. per DNS-Eintrag gemacht habe.

Domain-Hoster

Webserver mit irgendwelchen sinnvollen Inhalten gibt es hier natürlich nicht. Eher von der Art eines "Hello World"

Aber ein Blick auf den DNS-Registrar, bei dem dieser Versender "Kunde" ist und wo der Webserver steht, habe ich mir dann doch erlaubt.  Für "mango.eu.org" wurde die IP-Adresse "167.88.112.56" geliefert. Sie gehört zu "AS3842 InMotion Hosting, Inc" in den USA

Der DNS-Provider ist ebenfalls in den USA bei "Hurricane Electric".

C:\>nslookup -q=NS mango.eu.org

mango.eu.org    nameserver = ns1.he.net
mango.eu.org    nameserver = ns3.he.net
mango.eu.org    nameserver = ns2.he.net
mango.eu.org    nameserver = ns4.he.net
mango.eu.org    nameserver = ns5.he.net

Ich habe mir nun nicht die Mühe gemacht, die DNS-Provider oder Webhoster anzusprechen, denn deren Plattform wurde ja aus meiner Sicht nicht missbraucht und wie sollte ich belegen, dass die Firma mit der Spam-Mail was zu tun hat?

Etwas ungewöhnlich ist vieleicht die Unterzone unter "eu.org". Vielleicht kennen Sie das aber auch von co.uk. Der Provider für eu.org ist die Firma www.gandi.net und sie haben besitzen "eu" unter der ".org"-Root und verkaufen Subdomains weiter. Theoretisch könnte ich das unter msxfaq.de auch machen. Dies ist also kein echter "Root Zonen Verwalter". Aber auch eine Beschwerde nach Frankreich habe ich mir mal erspart.

Zwischenstand

E war ja nur eine Frage der Zeit, wann es nach Google Drive mit Freigaben auch Microsoft erwischt. Spammer und Malware-Verteiler können sich auf unterschiedlichste Weise einen Office 365 Tenant mit OneDrive und Mail beschaffen. Eine temporäre Rufnummer ist schon ausreichend und es kostet nicht mal was, wenn man z.B. Teams für Alle, Teams for Home oder Teams ist kostenlos nutzt. Sie können sich auch als "Entwickler" ausgeben und einen Dev-Tenant mit 25xE5 kostenfrei bekommen.

Die Zukunft wird zeigen, wie gut Microsoft solchen Missbrauch unterbindet. 100% Schutz wird es hier nie geben, es sei denn der Anbieter führt eine strengere Identifizierung durch. Solche Hürden möchte aber wohl kein Cloud-Anbieter erzwingen. Also bleibt ein Restrisiko.

Für andere Office 365 Kunden sollten Sie aber ihre Firewall prüfen. Wie haben Sie im Detail den Zugriff auf SharePoint online geregelt?. Lassen Sie "*.sharepoint.com" oder die IP-Adress-Bereiche direkt erreichen oder schaut ihre Firewall doch etwas genauer hin, indem es beim TLS-Handshake den Zielnamen bewerten und zwischen "meintenant.sharepoint.com" und "*.sharepoint.com" unterscheiden?

Für die Spamfilter wird es aber nicht einfacher, diese "unerwünschten" Mails von identisch aussehenden "erwünschten Mails" zu unterscheiden. Sogar der Absender ist nicht

Weitere Links