我在我们的网络日志中看到了通过 http 泄露电子邮件地址。典型的 URL 模式是:
我也在其他几个 IP 上看到了这些 URL 模式。所有IP的反向查找说,它们属于amazon ec2。
我最初怀疑这与亚马逊 SES 服务有关,但找不到任何与 URL 相关的具体文档。有谁知道这是什么?
Amazon EC2 是一个虚拟主机环境。*.*compute*.amazonaws.com分配给 EC2 的 IP 地址,如反向 DNS 中的主机名所证明的那样,很可能不提供 Amazon Web Services (AWS) 提供的官方产品,但更有可能分配给虚拟机(或虚拟机集群) 是亚马逊客户租用的,用于部署他们的应用程序。一些 AWS 官方服务确实在 EC2 上运行并存在于相同的地址空间中,但我无法识别这种流量模式。
并非所有 AWS 服务都需要 HTTPS,但 SES 需要,因此可以最终排除。此外,这些请求看起来与网络上的 SES 请求完全不同。
您似乎正在与不道德/懒惰/不熟练的开发人员打交道,该开发人员正在开发某种应用程序或服务,这些应用程序或服务在您的用户中很受欢迎...... .
无论哪种情况,阻止这些特定目的地(特定 IP 地址)似乎是一种完全合适的短期安全响应,可帮助您识别流量的真实性质。
长期或子网级别的阻止是不合适的,因为任何 EC2 客户都可以随时更改其 IP 地址,这可能会使您在合法服务随后开始使用该地址时被阻止合法服务。
我也经历过这种流量,在深入研究了几天后,我发现了这个字符串:
/gf7lo8kd?d=<div class=eloquaemail>EmailAddress</div>&r=0
如果您使用 google eloquaemail,您会发现它是来自 Oracle Eloqua 的营销自动化活动。
这些 URL 与电子邮件跟踪有关。不同的电子邮件营销产品/活动有不同的模板来创建跟踪 URL。他们中的大多数都在 AWS EC2 云平台上托管他们的服务。
我已经看到上述 IP 的顶级 url 模式与 marketo webhook 相似,它允许您进行实时性能测量。他们的其中一个 URL 跟踪模板与我们观察到的最常见的 URL 模式一致。responsys.com、sharecomm.org 等还提供其他电子邮件活动管理系统。
litmus 提供的另一项电子邮件跟踪服务使用相同范围的 IP,我发现了 emltrk.com。
结论是提供托管在 EC2 上的电子邮件营销服务的公司没有安全地配置他们的电子邮件活动跟踪 URL (https),因此我们观察了 URL 上的电子邮件。此电子邮件跟踪 URL 不是恶意的,仅用于生成电子邮件活动的绩效测量 (KPI)。此外,这不是 Amazon SES 的一部分,因为 1. AWS 服务使用不同的 DNS 命名,2. SES 使用安全连接,3. 反向 DNS 具有外包 EC2 服务的格式。
证明假设的一些证据:
用户数量与具有唯一电子邮件的流量相比,表明大多数用户的流量非常有限。观察有大量流量的用户表明他们是代理用户。因此,这不是由 PUA 或机器生成的。
URL 的 UserAgent 是 MS-Outlook,这证实了这是从邮件客户端生成的。
修改邮箱接收代码的论坛讨论
http://developers.marketo.com/blog/integrating-slack-with-marketo/