Algo golpea autodiscover / autodiscover.json en mi aplicación web

2

Ejecutamos una aplicación B2B multiusuario en Azure. Cada inquilino tiene un subdominio en tennant1.example.com , tenant2.example.com , etc. Solo la página de inicio de sesión está disponible para un mundo, todo lo demás de la aplicación está detrás de un inicio de sesión. Solo un número limitado de inquilinos con un contrato bastante grande para firmar antes de poder obtener un inicio de sesión.

Durante un tiempo, nuestros registros indicaron que de vez en cuando (30-40 aciertos al día) obtenemos 404 generados por https://autodiscover.example.com/autodiscover/autodiscover.json?Email=realemail%40example.com&Protocol=autodiscoverv1&RedirectCount=1

No tenemos un inquilino llamado autodiscover ni un archivo de este tipo para atender la consulta solicitada, por lo que obviamente va a 404. Sin embargo, como parte de la consulta, proporciona una dirección de correo electrónico que es nuestra verdadera dirección de correo electrónico de soporte.

La búsqueda de autodiscover.json no reveló cómo lidiar con esto y qué lo causa (no hay un encabezado de referencia en las solicitudes), aparte de esto, es algo que tiene que ver con Office365 y MS Outlook.

Ahora mi pregunta, ¿debería preocuparme por esto? ¿Alguien está tratando de configurar el cliente de Outlook y está intentando lentamente contraseñas diferentes? Si este es un servicio, ¿a quién debo contactar para detener esto? ¿Es esto algo que debería proporcionar como parte de la aplicación? ¿Es esta parte de la configuración de Office365 que alguien inició pero no ha terminado (el nombre de dominio es bastante antiguo). ¿Debo simplemente redirigirlos a Diez horas de diversión ?

    
pregunta trailmax 20.03.2018 - 12:04
fuente

1 respuesta

1

Clientes de Microsoft Exchange ActiveSync usar esa URL para encontrar el punto final de ActiveSync. El enlace dice que buscan autodiscover.xml , pero apuesto a que los clientes más nuevos buscan el archivo .json ( este comentario de GitHub dice que no está documentado). Probablemente provenga de un cliente configurado por uno de sus empleados que tiene acceso a ese correo electrónico. Es posible que hayan intentado configurar su cliente de correo electrónico y hayan fallado, pero de forma intermitente intenta descubrir la URL correcta. En cualquier caso, no es un ataque, solo un cliente mal configurado.

    
respondido por el Neil Smithline 21.03.2018 - 15:18
fuente

Lea otras preguntas en las etiquetas