Passwortreset scheitert wg. SVG in automatisch versandter Email
Über die Funktion "Passwort vergessen" können Nutzer bei Bedarf den eigenen Account zurücksetzen. Danach schickt das System automatisch eine E-Mail (Betreff "Open CoDE: Passwort zurückgesetzt") mit weiteren Instruktionen zu, u.a. auch einen Resetlink. Dieser Link ist genau 20 Minuten nach Auslösen der Funktion gültig, danach verfällt er.
In der vom System versendeten HTML-Mail ist ein Bild im Format SVG (https://keycloak.opencode.de/auth/resources/k2qdi/login/opencode/img/logo_opencode_neg.svg) eingebunden. Das verursacht zwei Probleme, eins eher kosmetischer Natur (viele Emailclients können SVGs in HTML-Emails nicht bzw. nur als hässlicher Platzhalter angezeigen), das andere grundlegender Natur: Wie alle Providern oder Organisationen ab einer bestimmten Größe wird bei uns der Mailverkehr gescannt um so Schadsoftware etc. abzuhalten (Deep Discovery Email Inspector, DDEI). Unser Mailscanner vor der eigentlichen Exchange-Infrastruktur kann SVGs nicht parsen und verzögert die Weiterleitung der Mail:
03/04/2023 _17:34:16_
Received
03/04/2023 17:34:16
Sent for analysis
Not analyzed
Reason:
https://keycloak.opencode.de/auth/resources/k2qdi/login/opencode/img/logo_opencode_neg.svg
Timeout period expired.
File format unsupported by sandbox image currently in use. (Error code: -19)
03/04/2023 17:54:30
Action set to 'pass'
03/04/2023 _17:54:30_
Delivered
Diese Verzögerung ist es auch, die dazu führte, dass ich nie noch valide Resetlinks bekam. Unser Admins haben nun eine Exception eingebaut, die allerdings nur einzelfallbezogen und provisorisch ist.
Vorschlag zur generellen Vermeidung:
- Einsatz eines üblicheren, vielen Scannern ohne Zusatzmodule bekannten (oft rasterbasierten) Dateiformats für das Bild in der automatisch versendeten Mail, so dass auch Mailscanner, die das noch nicht so häufig verwendete Bildformat SVG nicht kennen, die Mails sofort scannen können
- in Mailclients, die das Bildformat SVG nicht kennen (z.B. Outlook bei vielen öffentlichen Stellen), würden die Mail korrekt darstellen