Beveiligingslek? Microsoft Office 365 lekt BCC-domeinnaam naar BCC-ontvangers

2 reacties

Wanneer een e-mail via Microsoft Office 365 verzonden wordt zonder een 'Aan'-adres, maar wel meerdere 'Bcc'-adressen, wordt in elke e-mail naar alle Bcc-ontvangers het domein van de eerste Bcc-ontvanger meegenomen. Dat claimt een gebruiker op Reddit.

Voorbeeld:

De e-mail die door someoneelse@newyorktimes.comwordt ontvangen, bevat de volgende e-mailheader:

Bepaalde smtp-servers zullen deze header overschrijven bij het verwerken van inkomende berichten. Dat betekent nog steeds dat de Bcc wordt vrijgegeven (naar de smtp-server), maar mogelijk niet zichtbaar is voor de eindgebruiker. Tot dusver heeft de Reddit-gebruiker getest met Google Apps als ontvanger, en het overschrijft deze koptekst niet en geeft dus de domeinnaam van de Bcc vrij.

Volgens de ondersteuningsdienst van Microsoft Office 365 is dit correct gedrag en kan het niet worden gewijzigd, aangezien de koptekst standaard in alle berichten wordt toegevoegd. Het Microsoft Security Response Center wist het 'probleem' na meerdere pogingen niet te reproduceren en sloot de e-mailthread als zodanig.

Als beheerder kan er een regel worden toegevoegd om dergelijke kopteksten op uitgaande e-mail te verwijderen:

  1. Open Exchange beheercentrum
  2. Ga naar e-mailstroom, regels
  3. Nieuwe regel toevoegen:
    a. Toepassen op alle berichten
    b. Verwijder kop: Authentication-Results.

Bronnen: Ycombinator, Reddit

« Vorig bericht Volgend bericht »
0
*