Vor einiger Zeit hatte ich eine merkwürdige Leserbeobachtung hier im Blog geteilt. Die Autoermittlung von E-Mail-Empfängern in Outlook über den AutoErmittlungsdienst in Microsoft Exchange schlägt eine Subdomain, die mit .de.de endet und für Autodiscover-Anfragen konfiguriert wurde, vor. Leser und meine Wenigkeit hatten bei der Denic und dem BSI nachgefragt. Die Antworten stelle ich nun hier im Blog ein.
Worum geht es genau?
Blog-Leser Horst S. hatte mich im Juli 2024 kontaktiert, weil er bei einem Kunden auf ein sehr merkwürdiges Problem gestoßen ist. Bei diesem Kunden wurde ein Exchange Server (lokal in eigener AD- Domäne) mit Verbindung zu einer bei einem Provider bestehenden Domain eingerichtet. Die bestehende Domain beherbergt den Internetauftritt des Kunden und dient auch zur Bereitstellung der E-Mail-Adressen (@domain.de). Horst schrieb mir, dass man in dieser Konstellation in der Regel dort eine Subdomain einrichtet, die für die Autodiscover Anfragen (mit Verweis zum eigenen lokalen Exchange Server) konfiguriert ist.
In der vorliegenden Konstellation beim Kunden ist aufgefallen, dass ein Dritter eine Domain in Betrieb hat, die genau die Autodiscover-Subdomain aber mit einem zweiten .de dahinter abbildet (also autodiscover.domainname.de.de). Ich habe die Details zu diesem Fall im Blog-Beitrag Outlook zu Exchange-Autoermittlung und die doppelte .de.de-Domain dokumentiert. Ein Dritter hat eine Wildcard-DNS de.de erstellt, die auf alle nicht existenten Domainnamen reagiert. Das Ganze kam uns merkwürdig vor und ein Leser hat bei der Denic deswegen opponiert. Und ich habe beim BSI nachgefragt.
Die Registrare wie Denic nicht zuständig
Blog-Leser Daniel K. hat die Denic als Registrar per Mail und Brief kontaktiert, um diese als Registrar zu veranlassen, zumindest bei der betreffenden Stelle nachzuhaken, was das soll. Hier eine Mail, die u.a. an den Denic-Vorstand ging:
Hiermit melde ich Ihnen die Domain „de.de“. Der Registrar hat sich noch nicht bei mir gemeldet, da es hier aber um eine Phishing Domain handelt und diese auch von Seiten des Domain Inhaber abused wird, muss ich mich an Sie wenden. Der Support der Denic weigert sich, die Domain zu sperren, da sie sich nicht zuständig fühlt. Da es sich hier auch noch um eine vertipper Domain handelt, die abused werden kann, sollte egtl. Hier seitens der Denic sofort eingegriffen werden. Dies wurde aber bis jetzt ignoriert. Es werden teilweise bekannte Marken imitiert, was dann für Verärgerungen bei den Kunden kommen kann.
Ich bitte Sie, schnellstmöglich die Domain offline zu nehmen Auszug aus den DNS Einträgen ist angehangen
Nach mehreren Nachfragen erhielt der Leser von der Namespace Group folgende Antwort:
Please take a look at the comments on this article. You will see that some commenters with a better understanding of how the DNS functions than the person who wrote this article are explaining to them that it’s an issue with the Autodiscover functionality of obsolete exchange servers.
The domain name de.de cannot be used to send or receive emails.
Die Denic sieht sich nicht zuständig und meint auch „kein Problem, kann nicht zum Senden oder Empfangen von E-Mails verwendet werden“. Dass da ggf. Anmeldedaten von AutoDiscover an die betreffende Stelle geschickt werden, wird überhaupt nicht angesprochen.
Die Antwort des BSI
Ich hatte des Bundesamt für Sicherheit in der Informationstechnik (BSI)kontaktiert und gefragt, ob man dort ein Problem sieht. Hier die Antwort der Pressestellt:
Sehr geehrter Herr Born,
vielen Dank für Ihre Nachricht. Wenden Sie sich künftig gerne direkt an die Pressestelle … Auf Ebene Sprecher des BSI kann ich Ihnen folgendes mitteilen:
Tatsächlich ist die Endung .de.de aus Sicht des BSI aufgrund der offensichtlichen Verwechslungsanfälligkeit besonders für Phishing-Versuche geeignet. Die Gefährdung ergibt sich aus möglichen Fehleingaben durch Nutzerinnen und Nutzer. Die Domain ist seit dem 13.7.2021 registriert, bislang liegen dem BSI keine Hinweise auf einen aktiven Missbrauch vor.
Bezüglich Autodiscover: Die Domain autodiscover.de ist seit 2021 im Besitz des BSI.
Das BSI hat allgemeine Informationen zum Schutz vor Phishing in Mails und auf Webseiten veröffentlich:
Phishing – how much is the phish!?
Wie erkenne ich Phishing-E-Mails und -Webseiten?Mit freundlichen Grüßen
Gefahr erkannt, Gefahr gebannt – in der Sache wird sich also nichts mehr tun.
Wie kommt man überhaupt auf die Idee, dass die Denic da überhaupt tätig werden wird? Die sind die Registrierungsstelle, da werden Domains registriert. Ob und welche Domains gesperrt werden, liegt ganz richtigerweise nicht im Auftrag der Denic.
Ach ja, die „Es riecht nach Rauch, aber ich bin für so was nicht zuständig“-Mentalität. Auch so ein aktuell grassierendes Phänomen.
Eine Registrierungsstelle, die nur protokolliert, aber nicht gegen Missbrauch vorgeht, ist doch eigentlich überflüssig. Das kann auch irgendein Selbstbedienungs-Rechner übernehmen.
Der Vergleich hinkt, es geht hier nicht darum jemanden oder etwas zu „retten“ sondern etwas ganz gezielt und bewusst einzuschränken bzw. wegzunehmen. Dafür haben wir in diesem Land ganz richtigerweise die Gewaltentrennung. Die Polizei entscheidet auch nicht wer in den Knast wandert, das tun Gerichte und Richter. Ich habe kein Problem damit dass eine Registrierungsstelle sperrt, aber bitte nur auf Anforderung einer übergeordneten Stelle und nicht weil es einem gerade passt, einer dahergelaufen kommt oder weil der Abstand Erde – Mond gerade schlecht geworden ist, das geht nicht.
Ja, das sind immer die Support-Antworten, die einen über die Verantwortlichen ins Grübeln bringen.
„Wenden Sie sich in Zukunft an die Pressestelle“ heißt: Wir sehen das als puren Auskunftsfall und nicht als etwas, wo wir handeln müssten.
Und dass ausgerechnet Leute ohne jede Vorstellungskraft, was aus der gemeldeten Sache entstehen könnte, einem mal eben so locker aus dem Handgelenk „mangelndes Verständnis, wie das Internet funktioniert“ attestieren – das ist leider typisch. Höchstwahrscheinlich ein Vertreter der Generation „Ich weiß schon alles und vor uns waren doch nur Neandertaler.“
In der eigenen Beschränktheit kann man es sich so gemütlich einrichten. Da soll bloß keiner kommen und die Tür zur weiten rauen Welt aufreißen.
Ich wollte euch mal sehen, wenn man euch eure Domain wegnimmt weil etwas passieren könnte bzw weil es jemand behauptet.
Sorry, aber so funktioniert kein Rechtsstaat.
Wieso sind die Autodiscover Antworten eigentlich nicht unterschrieben?
Es ist eine externe Quelle, und die Grundregel lautet:
Traue niemals Daten die von Außen kommen.
Oder würde das geändert?
„Bezüglich Autodiscover: Die Domain autodiscover.de ist seit 2021 im Besitz des BSI.“
Bitte was? Mein alter Lehrer würde sagen „Thema verfehlt“.
Es geht doch gar nicht um die autodiscover.de, es geht um die de.de domäne oder nicht?
a.b.c.d.e.f.g.de.de kommt das selbe wie jede autodiscover.“domain“.de.de
Bitte sag mir ich bin dumm born
Ich denke nicht, daß das Thema verfehlt wurde – nur erweitert 😉
Autodiscover definiert verschiedene Mechanismen.
Einerseits wird ausgehend von server.standort.firma.de über standort.firma.de, firma.de und zum Schluß de iteriert und – so ein Webserver erreichbar ist – die autodiscover.xml gesucht.
Ein anderer Mechanismus sieht aber vor, daß autodiscover.server.standort.firma.de, dann autodiscover.standort.firma.de, autodiscover.firma.de und dann eben autodiscover.de ebenfalls abgegrast wird.
Broken by design – ohne Frage – aber eben „legacy“ und noch in Benutzung.
https://learn.microsoft.com/de-de/exchange/architecture/client-access/autodiscover und hier besonders der Punkt „AutoDiscover in DNS“.
Wird hier nicht Symptom und Ursache verwechselt?
Ursache ist doch ganz klar die „interessante“ AutoDiscover Implementierung von Outlook. Die gehört überarbeitet und abgesichert. Die Domains sind nur ein Symptom aus der schlechten Implementierung, sowas wird es immer geben. Heute ist es AutoDiscover, morgen was anderes.
Aber völlig richtig wie die denic hier gehandelt hat, einfach sperren weil ein dahergelaufener Hansel ankommt, geht nicht.