Urlaubsbenachrichtigungen und unerwünschte Nebeneffekte

Viele Nutzer aktivieren in der Urlaubszeit Urlaubsbenachrichtigungen (out of office notifications). Dies ist nicht immer sinnvoll und kann zu erheblichen Problemen führen.

Es gibt zwei unterschiedliche Aspekte bei Urlaubsbenachrichtigungen, die problematisch sind:

• Urlaubsbenachrichtigungen geben unter Umständen wertvolle Information heraus.
• Urlaubsbenachrichtigungen werden unter den bestimmten Voraussetzungen an die falschen Adressen geschickt.

Preisgabe wertvoller Information

Typische Urlaubsbenachrichtigungen enthalten folgende Information:

• die Tatsache, daß der betreffende Mitarbeiter in Urlaub ist,
• seine Telefonnummern (häufig die vollständige Durchwahl),
• seinen Arbeitstitel,
• den Termin seiner Rückkehr,
• den Namen der vertretenden Mitarbeiter,
• deren Telefonnummern.

Die Tatsache, daß häufig nur Durchwahlen von vertretenden Kollegen ohne die vollständige Rufnummer gennant werden, läßt darauf schließen, daß vielen Leuten, die diese Benachrichtigungen aktivieren, nicht klar ist, daß diese auch für Nachrichten verschickt werden, die aus dem Internet kommen und somit auch an Adressen gehen, die nicht Mitarbeitern derselben Firma gehören.

In manchen Bereichen (z.B. technischer Support) sind direkte Durchwahlnummern (und auch E-Mail-Adressen) schützenswert, da sonst Kunden das Dispatching umgehen.

Wenn jemand in Urlaub ist, kann mit einiger Wahrscheinlichkeit davon ausgegangen werden, daß seine Privatwohnung leersteht. Falls auch noch Namen und Telefonnummern von Kollegen bekannt sind, kann dies das social engineering zur Vorbereitung krimineller Aktivitäten (beispielsweise eines Einbruchs) erheblich erleichtern.

Dies wäre alles nicht so kritisch, wenn die Urlaubsbenachrichtigungen nur an den Listenbetreiber verschickt würden. Dies ist jedoch viel zu häufig nicht der Fall, wie der nächste Abschnitt zeigt.

Fehlerhafte Erzeugung der Antworten

Drei wesentliche Punkte werden von bestimmter Mail-Software im Bereich von Urlaubsbenachrichtigungen nicht so gehandhabt, wie es für einen reibungslosen Betrieb wünschenswert wäre:

1. Nachrichten nach RFC 2821 und RFC 2822 (bzw. nach den älteren Standards RFC 821 und RFC 822) enthalten i.d.R. mindestens zwei Absender: einen im SMTP-Umschlag (envelope sender), und weitere in den Kopfzeilen der Nachricht (typischerweise im From: header). Generell gilt: Zustellprobleme (und dazu gehört nun einmal auch die Tatsache, dass eine Mailbox für einige Zeit nicht gelesen wird) sind an den envelope sender zu melden, nicht an irgendwelche Adressen aus den Kopfzeilen.

   Autoren von Mailinglisten-Software machen sich dies folgendermaßen zunutze: Über die Mailingliste verbreitete Nachrichten erhalten einen speziellen envelope sender, der auf eine Adresse verweist, über die die Mailinglisten-Software Benachrichtigungen über Zustellfehler empfangen kann. Diese werden dann automatisch ausgewertet, so dass nicht länger gültige Adressen automatisch entfernt werden können. (Bei dem sogenannten VERP-Verfahren (Variable Envelope Return Path) wird der envelope sender sogar in Abhängigkeit vom Empfänger gesetzt, was eine sehr zuverlässige Zuordnung der Meldungen ermöglicht, selbst wenn die eigentliche Fehlermeldung die Adresse gar nicht enthält.)

   Software, die den Grundsatz "Zustellfehler an den envelope sender" mißachten, torpedieren nicht nur diese Automatismen, sondern führen auch dazu, daß Zustellfehler (oder auch Urlaubsbenachrichtigungen) bei Nachrichten, die über Mailinglisten verbreitet werden, an Leute verschickt werden, die Artikel über die Mailingliste mit ihrer Adresse (in den Kopfzeilen) verschicken. Natürlich sorgt das RUS-CERT bei seinen Mitteilungs-Mailinglisten dafür, daß auch diese Fehlermeldungen nur beim RUS-CERT landen, aber bei Diskussionslisten ist dies nicht möglich. Und sicherlich schreiben auf einigen der eher schillernden Security-Mailinglisten Autoren, denen man lieber nicht anvertrauen möchte, daß der Mensch, der sich gewöhnlich um Security kümmert (weshalb er auch die Mailingliste liest), gerade in Urlaub ist.

   Eine Steigerung dieses Software-Fehlverhaltens bieten seit einiger Zeit einige Antiviren-Programme: Sie verschicken Mail nicht nur an den Absender aus den Kopfzeilen, sondern auch an die dort angegebenen Empfänger. Bei Mailinglisten gehen solche Nachrichten an alle Teilnehmer der Mailingliste.

   Ferner kann es zu Mail-Schleifen kommen (also Nachrichten, die im Kreis laufen), falls zwei Programme aufeinandertreffen, die den Grundsatz "Zustellfehler an den envelope sender" mißachten, was zu immensem Netzverkehr und Plattenplatzverbrauch führen kann.

2. Der Mechanismus, der die Urlaubsbestätigungen verschickt, reagiert auch auf Nachrichten, die nur über den envelope sender an den im Urlaub befindlichen Empfänger verschickt wurden, d.h. die eigene E-Mail-Adresse taucht gar nicht unter den Kopfzeilen auf. Typischerweise ist dies ein Indiz für eine Mailinglisten-Nachricht, auf die gar nicht erst reagiert werden sollte.

3. ...

Die Probleme dieser Software rühren vermutlich daher, daß diese ursprünglich in einem Umfeld entwickelt wurden, in dem es die Unterscheidung zwischen Umschlag und Kopfzeile nicht gab, weswegen der envelope sender bei der notwendigen Konvertierung häufig einfach verworfen wird.

Gegenmaßnahmen

• Verzichten Sie auf Urlaubsbenachrichtigungen. Urlaubsvertretungen lassen sich sehr gut handhaben, falls für Routine-Aufgaben kleine Mailinglisten (role accounts) verwendet werden, die von mehreren Mitarbeitern empfangen werden können.
• Überlegen Sie sorgfältig, welche Daten Sie in Ihre Urlaubsbenachrichtigung aufnehmen.
• ...

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Für die Informationen gelten die unter http://cert.uni-stuttgart.de/ticker/nutzung.php veröffentlichten Nutzungsbedingungen.

Copyright © 2006 RUS-CERT, Universität Stuttgart, http://CERT.Uni-Stuttgart.DE/