URL-Shortener¶
Unter URL-Shortener wird die Liste der bekannten URL-Shortener-Dienste verwaltet. nmg löst Links dieser Dienste in Mail-Bodys automatisch auf und prüft die tatsächliche Ziel-URL gegen Phishing-Feeds und RBLs.
Warum URL-Shortener gefährlich sind¶
Angreifer verwenden Dienste wie bit.ly, t.co oder tinyurl.com, um die eigentliche Phishing-URL zu verschleiern. nmg verfolgt die Redirect-Kette und prüft die finale URL — nicht den Shortener-Link selbst.
Tabelle¶
| Spalte | Beschreibung |
|---|---|
| Hostname | Domain des Shortener-Dienstes (z. B. bit.ly, t.co, ow.ly) |
| Eingebaut | Vom System mitgelieferter Eintrag — kann deaktiviert, aber nicht gelöscht werden |
| Beschreibung | Optionaler Hinweis auf den Dienst |
| Aktiv | Auflösung für diesen Shortener ein-/ausschalten |
Shortener hinzufügen¶
| Feld | Beschreibung |
|---|---|
| Hostname | Domain des Shortener-Dienstes (ohne https://, nur die Domain) |
| Beschreibung | Optionaler Freitext |
| Aktiv | Sofort aktivieren |
Vorinstallierte Shortener (Auszug)¶
bit.ly · t.co · tinyurl.com · ow.ly · goo.gl · short.link · rb.gy · cutt.ly · rebrand.ly · tiny.cc · is.gd · buff.ly
Auflösungsverhalten¶
nmg folgt HTTP-Redirects bis zur finalen URL (oder bis zu einem konfigurierten Maximum an Hops). Die aufgelöste URL wird:
- Gegen aktive Phishing-Feeds geprüft
- In den Sandbox-Report aufgenommen (vollständige Redirect-Chain sichtbar)
- Für IOC-Extraktion genutzt (die Ziel-Domain wird als URL-IOC gespeichert, falls die Mail als Spam gemeldet wird)
Performance
URL-Auflösung geschieht synchron im Mail-Scan (Sandbox-Phase). Sehr langsame oder nicht erreichbare Shortener-Ziele können die Sandbox-Laufzeit erhöhen. Problematische Shortener können einzeln deaktiviert werden.