0

Web ログで、http 経由で電子メール アドレスが流出しているのを確認しました。典型的な URL パターンは次のとおりです。

  • hxxp://54.81.149.159/pshra9h2?d=name@email-domain.com&r=0
  • hxxp://54.81.149.159/usjo4qgq?r=0
  • hxxp://54.81.149.159/eeje4cbk?d=$fromEmail&r=0
  • hxxp://54.81.149.159/mfat4fqa?d=%7b%7blead.Email%20アドレス:デフォルト=noemail%7d%7d&r=0

他のいくつかの IP でもこれらの URL パターンを確認しました。すべての IP を逆引きすると、それらは amazon ec2 に属しています。

私は当初、これが Amazon SES サービスに関連しているのではないかと疑っていましたが、URL を関連付ける具体的な文書を見つけることができませんでした。誰かこれが何であるか知っていますか?

4

3 に答える 3

0

これらの URL は、電子メール追跡に関連しています。さまざまな電子メール マーケティング製品/キャンペーンには、追跡 URL を作成するためのさまざまなテンプレートがあります。それらのほとんどは、AWS EC2 クラウド プラットフォームでサービスをホストしています。

上記の IP からの上位の URL パターンは、リアルタイムのパフォーマンス測定を可能にする marketo Webhook と類似していることがわかりました。彼らの URL 追跡テンプレートの 1 つは、観測された上位の URL パターンと一致しています。responsys.com、sharecomm.org などによって提供される他の電子メール キャンペーン管理システムがあります。

litmus が提供する別の電子メール追跡サービスは、同じ範囲の IP を使用しており、emltrk.com を見つけました。

結論として、EC2 でホストされている電子メール マーケティング サービスを提供している会社は、電子メール キャンペーンの追跡 URL を安全に (https) 構成していないため、URL で電子メールを監視しています。この電子メール追跡 URL は悪意のあるものではなく、電子メール キャンペーンのパフォーマンス測定 (KPI) を生成するためにのみ使用されます。さらに、これは Amazon SES の一部ではありません。なぜなら、1. AWS サービスは異なる DNS 命名を使用している、2. SES は安全な接続を使用している、3. リバース DNS は外部委託された EC2 サービスの形式を持っているからです。

仮説を証明するいくつかの証拠:

  1. ユーザー数と固有の電子メールを含むフローは、大多数のユーザーのフロー数が非常に限られていることを示しています。多数のフローを持つユーザーを観察すると、それらがプロキシ ユーザーであることがわかりました。したがって、これは PUA またはマシンによって生成されたものではありません。

  2. URL の UserAgent は MS-Outlook です。これは、これがメール クライアントから生成されたことを示しています。

  3. 電子メール取得コードの変更に関するフォーラム ディスカッション

http://developers.marketo.com/blog/integrating-slack-with-marketo/

https://litmus.com/help/analytics/how-it-works/

Litmus はどのようにメール分析を追跡していますか?

大量の電子メール キャンペーンを追跡する

于 2015-10-14T12:19:56.437 に答える
0

Amazon EC2 は仮想ホスティング環境です。*.*compute*.amazonaws.comリバース DNS のホスト名によって証明されるように、EC2 に割り当てられた IP アドレスは、 Amazon Web Services (AWS) によって提供される公式製品を提供しない可能性が最も高く、仮想マシン (または仮想マシンのクラスター) に割り当てられる可能性が高くなります。 ) アプリケーションを展開するために Amazon の顧客がリースしたもの。一部の AWS 公式サービスは EC2 上で実行され、同じアドレス空間に存在しますが、このトラフィック パターンは私には認識されません。

すべての AWS サービスが HTTPS を必要とするわけではありませんが、SES は HTTPS を必要とするため、最終的に除外することができます。また、これらのリクエストは、ネットワーク上の SES リクエストとはまったく異なります。

ユーザーに人気のあるある種のアプリまたはサービスの悪徳/怠惰/スキルのない開発者...またはマルウェア...または適切に安全ではないEC2サーバーにインストールされたものを使用する内部開発者を扱っているようです.

いずれにせよ、これらの特定の宛先 (特定の IP アドレス) をブロックすることは、トラフィックの実際の性質を特定するのに役立つ、完全に適切な短期的なセキュリティ対応と思われます。

長期またはサブネット レベルのブロックは適切ではありません。EC2 の顧客はいつでも IP アドレスを変更できるため、正当なサービスが後でアドレスの使用を開始したときに、正当なサービスがブロックされたままになる可能性があるためです。

于 2015-10-06T18:05:34.690 に答える
0

私もこのトラフィックを経験しており、数日掘り下げた後、次の文字列を見つけました。 /gf7lo8kd?d=<div class=eloquaemail>EmailAddress</div>&r=0

eloquaemail をグーグルで検索すると、それが Oracle Eloqua のマーケティング オートメーション キャンペーンであることがわかります。

于 2015-12-14T13:45:29.493 に答える