Presse >> Usability News
>> Urlaubsbenachrichtigungen und unerwünschte Nebeneffekte
Quelle: Copyright © 2002 RUS-CERT, Universität Stuttgart,
[9]http://CERT.Uni-Stuttgart.DE/
Viele Nutzer aktivieren in der Urlaubszeit Urlaubsbenachrichtigungen
(out of office notifications). Dies ist nicht immer sinnvoll und kann zu
erheblichen Problemen führen.
Es gibt zwei unterschiedliche Aspekte bei Urlaubsbenachrichtigungen,
die problematisch sind:
- Urlaubsbenachrichtigungen geben unter Umständen wertvolle
Information heraus.
- Urlaubsbenachrichtigungen werden unter den bestimmten
Voraussetzungen an die falschen Adressen geschickt.
Preisgabe wertvoller Information
Typische Urlaubsbenachrichtigungen enthalten folgende Information:
* die Tatsache, dass der betreffende Mitarbeiter in Urlaub ist,
* seine Telefonnummern (häufig die vollständige Durchwahl),
* sein Arbeitstitel,
* der Termin seiner Rückkehr,
* den Namen der vertretenden Mitarbeiter,
* deren Telefonnummern.
Die Tatsache, dass häufig nur Durchwahlen von vertretenden Kollegen ohne
die vollständige Rufnummer genannt werden, lässt darauf schließen, dass
vielen Leuten, die diese Benachrichtigungen aktivieren, nicht klar ist, dass
diese auch für Nachrichten verschickt werden, die aus dem Internet kommen
und somit auch an Adressen gehen, die nicht Mitarbeitern derselben Firma
gehören. In manchen Bereichen (z.B. technischer Support) sind direkte
Durchwahlnummern (und auch E-Mail-Adressen) schützenswert, da sonst
Kunden das Dispatching umgehen.
Wenn jemand in Urlaub ist, kann mit einiger Wahrscheinlichkeit davon
ausgegangen werden, dass seine Privatwohnung leersteht. Falls auch noch
Namen und Telefonnummern von Kollegen bekannt sind, kann dies das "social
engineering" zur Vorbereitung krimineller Aktivitäten
(beispielsweise eines Einbruchs) erheblich erleichtern. Dies wäre alles
nicht so kritisch, wenn die Urlaubsbenachrichtigungen nur an den
Listenbetreiber verschickt würden. Dies ist jedoch viel zu häufig nicht
der Fall, wie der nächste Abschnitt zeigt. Fehlerhafte Erzeugung der
Antworten
Drei wesentliche Punkte werden von bestimmter Mail-Software im Bereich
von Urlaubsbenachrichtigungen nicht so gehandhabt, wie es für einen
reibungslosen Betrieb wünschenswert wäre:
- Nachrichten nach [1] RFC 2821 und [2] RFC 2822 (bzw. nach den älteren
Standards [3] RFC 821 und [4] RFC 822) enthalten i.d.R. mindestens
zwei Absender: einen im SMTP-Umschlag (envelope sender), und weitere
in den Kopfzeilen der Nachricht (typischerweise im From: header).
Generell gilt: Zustellprobleme (und dazu gehört nun einmal auch die
Tatsache, dass eine Mailbox für einige Zeit nicht gelesen wird) sind
an den envelope sender zu melden, nicht an irgendwelche Adressen aus
den Kopfzeilen.
Autoren von Mailinglisten-Software machen sich dies folgendermaßen
zunutze: Über die Mailingliste verbreitete Nachrichten erhalten einen
speziellen envelope sender, der auf eine Adresse verweist, über die die
Mailinglisten-Software Benachrichtigungen über Zustellfehler empfangen
kann. Diese werden dann automatisch ausgewertet, so dass nicht länger gültige
Adressen automatisch entfernt werden können. (Bei dem sogenannten
VERP-Verfahren (Variable Envelope Return Path) wird der envelope sender
sogar in Abhängigkeit vom Empfänger gesetzt, was eine sehr zuverlässige
Zuordnung der Meldungen ermöglicht, selbst wenn die eigentliche
Fehlermeldung die Adresse gar nicht enthält.) Software, die den
Grundsatz "Zustellfehler an den envelope sender" mißachten,
torpedieren nicht nur diese Automatismen, sondern führen auch dazu, daß
Zustellfehler (oder auch Urlaubsbenachrichtigungen) bei
Nachrichten, die über Mailinglisten verbreitet werden, an Leute
verschickt werden, die Artikel über die Mailingliste mit ihrer Adresse
(in den Kopfzeilen) verschicken.
Natürlich sorgt das RUS-CERT bei seinen Mitteilungs-Mailinglisten
dafür, dass auch diese Fehlermeldungen nur beim RUS-CERT landen, aber
bei Diskussionslisten ist dies nicht möglich. Und sicherlich schreiben
auf einigen der eher schillernden Security-Mailinglisten Autoren, denen
man lieber nicht anvertrauen möchte, dass der Mensch, der sich
gewöhnlich um Security kümmert (weshalb er auch die Mailingliste
liest), gerade in Urlaub ist. Eine Steigerung dieses
Software-Fehlverhaltens bieten seit einiger Zeit einige
Antiviren-Programme: Sie verschicken Mail nicht nur an den Absender aus
den Kopfzeilen, sondern auch an die dort angegebenen Empfänger. Bei
Mailinglisten gehen solche Nachrichten an alle Teilnehmer der
Mailingliste. Ferner kann es zu Mail-Schleifen kommen (also Nachrichten,
die im Kreis laufen), falls zwei Programme aufeinandertreffen, die den
Grundsatz "Zustellfehler an den envelope sender" missachten,
was zu immensem Netzverkehr und Plattenplatzverbrauch führen kann.
- Der Mechanismus, der die Urlaubsbestätigungen verschickt, reagiert
auch auf Nachrichten, die nur über den envelope sender an den im
Urlaub befindlichen Empfänger verschickt wurden, d.h. die eigene
E-Mail-Adresse taucht gar nicht unter den Kopfzeilen auf.
Typischerweise ist dies ein Indiz für eine Mailinglisten-Nachricht,
auf die gar nicht erst reagiert werden sollte. Falls dies beachtet
wird, wird auch das Risiko von Mail-Schleifen verringert.
- Viele Mailinglisten-Software setzt Kopfzeilen wie "Precedence:
list" oder "Precedence: bulk". Zwar rät [5] RFC 2076
vom Einsatz dieser Kopfzeile ab, dennoch kann beim Vorhandensein
dieser Information die automatische Benachrichtigung
unterdrückt werden, wodurch die oben angesprochenen Probleme
gemindert werden.
In der Vergangenheit konnte das RUS-CERT diese Fehler bei folgenden Mail-Programmen
beobachten:
* HP OpenMail
* Lotus Notes
* Microsoft Exchange
* Novell GroupWise
Hinweis für Mitglieder der Universität Stuttgart: Das RUS-CERT rät
vom Einsatz dieser Programme ab, zumindest was die Bearbeitung von
Internet-Mail angeht. Bei Problemen kann das RUS i.d.R. derzeit auch keine
Hilfestellung für diese Produkte geben.Die Probleme dieser Software rühren
vermutlich daher, daß diese ursprünglich in einem Umfeld entwickelt
wurden, in dem es die Unterscheidung zwischen Umschlag und Kopfzeile nicht
gab, weswegen der envelope sender bei der notwendigen Konvertierung häufig
einfach verworfen wird.
Gegenmaßnahmen
- Verzichten Sie auf Urlaubsbenachrichtigungen. Urlaubsvertretungen
lassen sich sehr gut handhaben, falls für Routine-Aufgaben kleine
Mailinglisten (role accounts) verwendet werden, die von mehreren
Mitarbeitern empfangen werden können.
Überlegen Sie sorgfältig, welche Daten Sie in Ihre
Urlaubsbenachrichtigung aufnehmen.
Falls Sie Mitglied der Universität Stuttgart sind und Ihre
Urlaubsbenachrichtigungsfunktion testen lassen wollen, schreiben Sie eine
formlose Nachricht an [6] CERT@Uni-Stuttgart.DE,
wobei Sie bitte die zu testende(n) Adresse(n) angeben.
Ein [7] Internet-Draft, der sich noch in der Entwicklungsphase
befindet, beleuchtet detaillierter wesentliche technische Aspekte beim
Versand von Urlaubsbenachrichtungen (und anderer automatisch generierter
Antworten).
Das vacation-Programm, welches mit zahlreichen UNIX-ähnlichen Systemen
ausgeliefert wird, setzt diese Empfehlungen weitestgehend um. Derivate
davon können allerdings noch Relikte von Sicherheitsproblemen
enthalten, die in vacation über die Jahre ausgemerzt wurden.
Aktuelle Version dieses Artikels
[8]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=882
References
1. http://archive.cert.uni-stuttgart.de/rfc/rfc2821.txt
2. http://archive.cert.uni-stuttgart.de/rfc/rfc2822.txt
3. http://archive.cert.uni-stuttgart.de/rfc/rfc821.txt
4. http://archive.cert.uni-stuttgart.de/rfc/rfc822.txt
5. http://archive.cert.uni-stuttgart.de/rfc/rfc2076.txt
6. mailto:CERT@Uni-Stuttgart.DE
7. http://archive.cert.uni-stuttgart.de/in-drafts/draft-moore-auto-email-response-00.txt
8. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=882
9. http://CERT.Uni-Stuttgart.DE/
Zurück
zur Seite Usability News
|