Hinweise zu Autodiscovery

Für die ExchangeInCloud.ch-Dienste müssen die Autodiscovery-Einträge im DNS gemacht werden, damit Clients wie Outlook oder Smartphones die Verbindung über ActiveSync herstellen können. Die Autodiscovery-Einträge im DNS müssen dabei für die Domain „example.com“ wie folgt aussehen:

_autodiscover._tcp.example.com. 86400 IN SRV 0 0 443 exchangeincloud.ch.

Es gibt einige Situationen, in denen Autodiscovery trotz korrekt gesetztem SRV-Eintrag nicht funktioniert. Diese können in der Regel über den Connectivity-Tester von Microsoft („Outlook Autodiscover“) geprüft werden. Voraussetzung dafür ist ein gültiges Konto – am besten richten Sie dafür ein Testkonto ein welches nach dem Test wieder entfernt werden kann, da das Passwort ebenfalls mit eingegeben werden muss. Testkonten, die nur über wenige Tage in Betrieb sind, werden von uns nicht verrechnet.

Eine kurze Auflistung der häufigsten Fehler und deren Behebung:

„Zufälliges Autodiscover“:

Bevor für das Autodiscovery der SRV-Eintrag abgefragt wird, versuchen Clients eine Reihe von URLs durch, unter denen Autodiscovery-Informationen auffindbar sein könnten. Je nach Antwort, die den Clients bei dieser Suche gegeben werden, können unerwünschte Effekte auftreten.

Autodiscover-Clients fragen u.a. https://example.com:443/Autodiscover/Autodiscover.xml ab. Je nach Rückgabe kann das zur Folge haben, dass…

  • bei einem SSL-Zertifikatsfehler der Autodiscover-Prozess abgebrochen wird
  • falls kein HTTP-404-Fehler zurückgegeben wird die Antwort als (meistens völlig ungültige) Autodiscover-Antwort interpretiert wird.

DNS Wildcard

Eine Variation des zufälligen Autodiscovers ist der DNS-Wildcard-Eintrag. Es ist möglich, im DNS einen Eintrag in der Form

*.example.com. 86400 IN A 192.0.2.1

zu definieren. Das hat zur Folge, dass jede Form der Autodiscover-Abfrage im DNS eine (aus Sicht des DNS gültige) Antwort zurückliefert. Die Effekte sind vielfältig und manchmal schwer identifizierbar. Man kann auf DNS-Wildcard-Einträge prüfen, indem Abfragen nach pseudo-zufälligen, nicht existierenden Namen durchgeführt werden, im Stil von „inexistent-45994934583923.example.com“.

Unzuverlässige DNS-Resolver

Verschiedene Heim-Router haben die Möglichkeit, dass DNS-Abfragen nicht direkt ausgeführt werden, sondern zuerst eine Umleitung erfolgt – für Kinderschutz oder als Vorbeugung gegen Viren und Malware. Im Effekt gleich sind DNS-Abfragen, die nicht vom Heim-Router, sondern vom Provider zu Werbezwecken „umgeschrieben“ werden.

Im ungünstigsten Fall kann das ähnlich wirken wie ein DNS-Wildcard.

Unzuverlässige Proxy-Server

Für Proxy-Server gilt ähnliches wie für DNS-Resolver. Wenn diese den Netzwerkverkehr in unerwarteter Weise verändern, kann dies zu Problemen mit dem Autodiscover-Prozess führen.

Quellen

Autodiscover und Outlook 2016 für Windows

Autodiscover und Outlook 2016 für Mac

 

 

Spearphishing

In unseren Protokollen und in Kundengesprächen sehen wir aktuell gehäuft Spearphishing-Versuche gegen Schweizerische KMUs. Eine Spearphishing-Attacke beginnt normalerweise mit auf die Empfängerfirma abgestimmten Mails. Diese Mails haben eine gefälschte Absenderadresse (für den ungeübten Benutzer manchmal schwer erkennbar). Darin gibt sich der Angreifer als CEO oder Geschäftsleiter aus und verlangt die Überweisung einer bestimmten Summe für ein dringendes Geschäft auf ein Empfängerkonto.

Es gibt Variationen dieses Musters: einmal geht es um vertrauliche Kundendaten statt einer Überweisung, ein anderes mal ist die Vorgehensweise subtil an das Ziel angepasst, oder es werden unterschiedliche Geschichten gesponnen, um das ganze glaubwürdiger zu machen. Die Angreifer verwenden öffentlich zugängliche Informationen (Handelsregister, Firmenwebseite, Social-Media-Profile) um sich ein Bild von der Unternehmung und den involvierten Personen zu machen, wodurch häufig eine hohe Glaubwürdigkeit erzielt wird.

Da solche Mails vom Absender von Hand verfasst werden und keine „gefährlichen“ Attachments enthalten, können sie mit technischen Mitteln nur teilweise erkannt werden. Wir empfehlen, die Mitarbeiter auf solche Attacken zu schulen, und bei verdächtigen Anfragen von Mitarbeitern/Vorgesetzten ggf. telefonisch Rücksprache zu nehmen.

Wenn Sie von Spearphishing-Angriffen betroffen sind, wenden Sie sich bitte an unseren Support, um sich zu weiteren Massnahmen (Spearphishing-Filterset und SPF) beraten zu lassen.