Qualcuno / qualcosa ha avuto accesso a un collegamento in un'e-mail, ma non era il destinatario dell'email

8

Qualcuno potrebbe risolvere questo mistero?

Abbiamo un'applicazione Web disponibile solo per gli utenti invitati. Il nostro amministratore crea account per gli utenti, quindi l'applicazione invia un'email di attivazione a quella persona. L'e-mail contiene un collegamento su cui possono fare clic per attivare il proprio account e quindi impostare una password. Il collegamento contiene un riferimento univoco e, una volta che il collegamento è stato effettuato l'accesso una volta, non è più disponibile.

Una persona ha riferito di aver ricevuto la propria e-mail, ma quando ha fatto clic sul collegamento, ha ricevuto un errore 404, il che significa che il collegamento era già stato effettuato. Durante la ricerca nei registri del server, abbiamo visto una richiesta corrispondente al loro collegamento univoco molte ore prima che dicessero di aver fatto clic sul collegamento. In effetti, la richiesta si è verificata non appena è stata inviata l'e-mail di attivazione di questa persona, ma prima che raggiungesse la posta in arrivo dell'utente. I record WHOIS per l'indirizzo IP della richiesta - 70.39.157.192 - indicano che si tratta di un server negli Stati Uniti appartenente a Packet Exchange, mentre il nostro utente è nel Regno Unito.

Qualcuno ha qualche idea di come ciò possa accadere? È possibile che una sorta di programma di filtro e-mail acceda ai collegamenti nei messaggi e-mail mentre vengono instradati sul Web? O potrebbe essere qualcosa di più sinistro?

Questo è successo solo con questo utente, molti altri hanno attivato i loro account senza problemi.

Le nostre e-mail vengono inviate tramite MailGun, se questo fa la differenza.

email  security 
Andrew Battye
fonte
Ha funzionato in passato? Lo chiedo perché forse c'è un bug nello script.
Steve,
Sì, funziona bene da alcune settimane, con circa 100 utenti impostati correttamente. E abbiamo provato a configurare alcuni utenti in più da quando abbiamo notato il problema e tutto ha funzionato senza problemi.
Andrew Battye,
Questo utente utilizza un provider di posta elettronica diverso rispetto a tutti gli altri utenti (per i quali ha funzionato)?
unor
No, non la penso così. Abbiamo creato circa 20 utenti che lavorano tutti per l'azienda, nello stesso edificio, quindi suppongo che tutte le loro e-mail siano gestite dallo stesso sistema.
Andrew Battye,
Penso che i tuoi presupposti sarebbero corretti dal fatto che probabilmente una sorta di scanner di posta elettronica che potrebbe essere alla ricerca di collegamenti malevoli / malware poiché la scansione avverrebbe non appena la casella di posta ricevente riceve l'e-mail e non quando l'utente apre l'e-mail. Uno scanner che invia un GET al link che quindi uccide l'URL sembra plausibile.
Analogico

Risposte:

1

Sembra uno scanner di posta aziendale, anche se si tratta di un'azienda britannica che potrebbe utilizzare un server di posta con sede negli Stati Uniti. Alcuni scanner di posta di livello aziendale eseguono un controllo di tutti i collegamenti nell'e-mail per verificare se sembrano pericolosi prima che l'e-mail venga indirizzata all'utente finale.

Chris Rutherfurd
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.