Verstümmelte Links in eMails als Feature.

Veröffentlicht am von
Verstümmelte Links in eMails als Feature.
Verstümmelte Links in eMails als Feature.

Neulich bekomme ich eine eMail die mich etwas stutzig macht.

Sämtliche Links der Mails werden von meinem Mailserver als verdächtig klassifiziert und rot gefärbt. Darunter unter anderem auch mein eigener Footer den der Absender als Kopie meiner Mail an mich zurückgeschickt hat.

Eigentlich versende ich garkeine Links, im Footer meiner Mails steht nur meine Adresse und meine Webseite. Als Text, nicht als Link, d.h. nicht direkt anklickbar sondern einfach nur als Info.

In der Rückmail war der Text aber als Link ausgestaltet. Er zeigte allerdings nicht auf meine Webseite sondern auf eine Microsoft-Seite!

Und das hat meinem Mailserver natürlich nicht gefallen – Ein Link der eine Seite anzeigt, bei Anklicken aber auf eine andere führt! Das ist zu 99% Müll, in der Regel sind das sogenannte Phishing-Mails.

Darunter versteht man irgendwelchen Müll in dem z.B. Fake-Mails von Banken verschickt werden oder Rechnungen von Firmen und man soll irgendwas anklicken. Beispielsweise mit dem Text „Klicke hier bei TolleBank um Dein Konto zu überprüfen“, wenn man draufklickt kommt man aber auf „ganzüble Verbrecherseite.“ Sowas ist Schrott, normalerweise wird das nur von Betrügern benutzt und nun aber offensichtlich auch von Microsoft!

Richtig – es handelt sich um outlook.de / outlook.com

Im genannten Fall steht da einfach nur „www.druckeronkel.de“ in meinem Footer. Zurück kam aber folgendes (komplett mit Original-Link hinterlegt):

MailPlus Server has detected a possible fraud attempt from „eur02.safelinks.protection.outlook.com“ claiming to be www.druckeronkel.de

Mein Server (Mailplus auf der Synology Station) hat erkannt daß der Link hinter www.druckeronkel.de auf die Seite eur02.safelinks.protection.outlook.com verweist.

Hier stimmt also der Text nicht mit dem Link überein, das ist ein Versuch auf eine andere Seite umzuleiten.

Und das war nicht der einzige Link. Auch ein Link auf Youtube wird auf outlook.com umgebogen!

Natürlich führen die Links am Ende auf die gewünschte Seite, aber immer über den Umweg einer Microsoft-Seite.

Wer weiss was die da noch machen – Tracking-Counter? Wer klickt wie oft auf Links? Welche Links werden angeklickt? Es gibt auch keinen Hinweis daß die Links verändert wurden. Ohne meinen Mailserver wäre mir das auch garnicht aufgefallen. Da sind einfach nur anklickbare Adressen. Daß die Links dahinter verändert wurden fällt erst mal nicht auf.

Wer bitte macht denn sowas?

Nach kurzer Recherche steht fest:

das ist kein Bug sondern ein Feature! Microsoft macht das Absichtlich!

Und es ist auch nicht vorgesehen, daß der Benutzer diese Funktion abschaltet. Eine Babysitter-Funktion quasi.

Quellen:

(Achtung – die Links führen auf externe Seiten, ich übernehme keine Haftung!)

https://techcommunity.microsoft.com/t5/Outlook/Advanced-Threat-Protection-ATP-is-ruining-Outlook-com/td-p/117532

https://support.office.com/de-de/article/erweiterte-outlook-com-sicherheit-f%C3%BCr-office-365-abonnenten-882d2243-eab9-4545-a58a-b36fee4a46e2

„To provide the best protection for your account, these features are on by default and not designed to be turned off.“

Auf Deutsch: das ist immer an und kann nicht ausgeschalten werden.

„Alle Outlook.com-Benutzer profitieren von Spam- und Schadsoftwarefilterung.“

„Der Schutz ist automatisch. Diese Premium-Sicherheitsfeatures werden automatisch für Office 365 Home-und Office 365 Personal-Abonnenten aktiviert“

Der Sinn dahinter ist die Überprüfung von Links, der Schutz vor Viren und verseuchten Seiten.

Soweit ganz löblich. Nur die Art der Überprüfung geht garnicht. Das ist Datenmanipulation!

Die Links kann das System gerne beim Aufruf überprüfen wenn jemand unbedingt Microsoft-Software einsetzen und diese Babysitterfunktion nutzen will. Aber es ist ein Unding daß Links in Mails automatisch verändert werden!

Was kommt als nächstes?

Worte die der Zensur nicht gefallen werden gelöscht (oder gleich die ganze Mail?)

Links zu Onlineshops werden auf andere Shops umgebogen die dafür bezahlen? Oder man bekommt nach Klick auf den Link personalisierte Werbung mit Bezug auf die genannte Webseite?

Ich kann mir auch gut vorstellen daß es Links gibt die nach dieser Manipulation nicht mehr funktionieren. z.B. wenn überprüft wird ob der Link direkt angeklickt wurde ober eben weitergeleitet wurde.

Mit dieser Umleitung kann man sog. „Man-in-the-Middle“-Angriffe starten.

Im Prinzip steht das ganze Arsenal böswilliger Manipulationen zur Verfügung. Und das angeblich nur für ein „besseres Benutzererlebnis“.

Da kann ich nur sagen: Nein Danke!

Update 5.12.2024: Alle machen das!?

Alle? Nein, anständige Provider machen das NICHT!
Aber manche finden anscheinend die Manipulation von Mails ganz in Ordnung.

Ich sollte sowieso überdenken, wie ich Druckdateien von Kunden, die per LINK zum Draufklicken in der Mail stehen, behandle, aber mittlerweile habe ich wieder so einen Fall einer manipulierten Mail!

Der Kunde schreibt mir einen Druckauftrag, die Druckdatei hat er unter http://xxx.xxx abgelegt (Für Dummies: das xxx ist nur ein Platzhalter!)
Ich klicke auf den Link und – FILE NOT FOUND!
Hm, wenn man den LINK anschaut, der bei xxx.xxx hinterlegt ist, dann steht da:

https://deref-gmx.net/mail/client/1675VhzxXXXcQs/dereferrer/?redirectUrl=http%3A%2F%2Fxxx.xxx%2Fdecal%2Fdateiname.cdr

gmx hat hier also „als Kundenservice“ einfach mal den Link verändert – einen Link, der als TEXT in der Mail stand!
Dabei hat GMX den Link „zerstört“ – gibt man direkt das xxx.xxx ein, dann funktioniert es nämlich!

(Und wieder für Dummies: sowohl die CLIENT-ID, als auch der Link sind natürlich zufällig und nicht Original)

Wieso verstümmelt GMX den Text, den mir ein Kunde per Mail schickt?
Durch den Klick werde ich ohne dass ich es will auf einen Server von GMX umgeleitet!
Ist das schon ein Verstoß gegen die DSGVO?
Was passiert auf dem GMX-Server?
Werten die meinen Zugriff aus, oder ist das tatsächlich nur eine Weiterleitung?
Aus meiner Sicht ist das Datenmanipulation, aber vermutlich steht irgendwo, tief in deren AGB, dass der Absender dem zugestimmt hat – Ich als Empfänger aber nicht!


Da fragt man sich doch, was passiert, wenn man Geschäftsberichte per Mail verschickt, die von der Providersoftware als Veränderungswürdig erachtet werden?
Ändern die Daten nur in Links? Oder alles, was gefällt?

Liebesbriefe per eMail? Aus Hi Liebling wird Hallo Schlampe?
Ist Trump gar nicht der Böse? Schreibt er auf X[ehemals:Twitter] „Ich habe Euch alle lieb“
und die KI macht daraus „ICH HASSE EUCH!!!“

Daher: Traue keiner eMail und eigentlich überhaupt nichts, was per Computer verarbeitet wird!
Für Manipulationen braucht man keine KI, da reicht schon Unfähigkeit und der gute Wille inkompetenter Entscheidungsträger!

Ach übrigens:

Üblicherweise klicke ich eigentlich nicht auf Links.

Ich bin allerdings von Thunderbird auf Evolution umgestiegen und hab dabei die Mail-Darstellung versehentlich noch auf HTML belassen.
Böser Fehler, ich sollte es besser wissen.
Und die Links – bei bekannten Stammkunden – anzuklicken, ist heutzutage auch keine gute Idee mehr.
Ich sollte es eigentlich besser wissen, aber Ihr seht – niemand ist davor gefeit, Fehler zu machen!

Einstellung geändert, bunt ist weg, HTML ist aus.
Jetzt stehen die Links jedenfalls wieder nur als Text da und ich muss wieder mit Copy&Paste arbeiten.
Das ist aufwändiger, aber auch sicherer. 100% sicher ist das aber eigentlich auch nicht.
Und ganz wichtig: Unter Linux ist das keine gute Idee, aber ganz sicher gilt:
Mache so etwas niemals unter Windows! (Das Link anklicken)

Deswegen: Mails VERSCHLÜSSELN! Dann kann auch kein Provider etwas daran ändern!

Und bei jedem Geheule in den Medien, dass irgendwo irgendwer gehackt oder manipuliert worden ist, kann ich nur auf folgendes verweisen: DATENSICHERUNG! – sonst:

Eine Tüte Mitleid!
Eine Tüte Mitleid!