Quelqu'un / quelque chose a accédé à un lien dans un e-mail, mais ce n'est pas à qui l'e-mail a été envoyé

8

Quelqu'un pourrait-il résoudre ce mystère?

Nous avons une application Web qui n'est accessible qu'aux utilisateurs invités. Notre administrateur crée des comptes pour les utilisateurs, puis l'application envoie un e-mail d'activation à cette personne. L'e-mail contient un lien sur lequel cliquer pour activer son compte, puis définir un mot de passe. Le lien contient une référence unique et une fois que le lien a été consulté une fois, il n'est plus disponible.

Une personne a indiqué qu'elle avait reçu son e-mail, mais lorsqu'elle a cliqué sur son lien, elle a reçu une erreur 404, ce qui signifie que son lien avait déjà été consulté. Lors de la recherche dans les journaux du serveur, nous avons vu une demande correspondant à leur lien unique plusieurs heures avant de dire qu'ils avaient cliqué sur le lien. En fait, la demande s'est produite dès l'envoi de l'e-mail d'activation de cette personne, mais avant qu'elle n'atteigne la boîte de réception de notre utilisateur. Les enregistrements WHOIS de l'adresse IP de la demande - 70.39.157.192 - indiquent qu'il s'agit d'un serveur aux États-Unis appartenant à Packet Exchange, alors que notre utilisateur est au Royaume-Uni.

Quelqu'un at-il une idée de la façon dont cela pourrait se produire? Une sorte de programme de filtrage des e-mails pourrait-il accéder aux liens contenus dans les e-mails pendant leur routage sur le Web? Ou pourrait-il être quelque chose de plus sinistre?

Cela ne s'est produit qu'avec cet utilisateur, de nombreux autres ont activé leurs comptes sans problème.

Nos e-mails sont envoyés via MailGun, si cela fait une différence.

email security Andrew Battye
la source
Cela a-t-il fonctionné dans le passé? Je demande parce qu'il y a peut-être un bug dans le script.
Steve
Oui, cela fonctionne bien depuis quelques semaines maintenant, avec environ 100 utilisateurs configurés avec succès. Et nous avons essayé de configurer quelques utilisateurs supplémentaires depuis que nous avons remarqué le problème, et cela a fonctionné sans aucun problème.
Andrew Battye
Cet utilisateur utilise-t-il un fournisseur de messagerie différent de tous les autres utilisateurs (pour lesquels cela a fonctionné)?
unor
Non je ne pense pas. Nous avons installé une vingtaine d'utilisateurs qui travaillent tous pour l'entreprise, dans le même bâtiment, donc je suppose que tous leurs e-mails sont traités par le même système.
Andrew Battye
Je pense que vos hypothèses seraient correctes, ce qui pourrait être une sorte de scanner d'e-mails qui pourrait analyser les liens incorrects / malveillants, car l'analyse aurait lieu dès que la boîte aux lettres de réception reçoit l'e-mail et non pas lorsque l'utilisateur ouvre l'e-mail. Un scanner envoyant un GET au lien qui tue ensuite l'URL semble plausible.
Analog

Réponses:

1

Cela ressemble à un scanner de courrier professionnel, même s'il s'agit d'une entreprise britannique, ils pourraient utiliser un serveur de messagerie américain. Certains scanners de courrier de qualité professionnelle vérifient tous les liens contenus dans l'e-mail pour vérifier s'ils semblent dangereux avant que l'e-mail ne soit acheminé vers l'utilisateur final.

Chris Rutherfurd
la source