Viele Nutzer aktivieren in der Urlaubszeit Urlaubsbenachrichtigungen (out of office notifications). Dies ist nicht immer sinnvoll und kann zu erheblichen Problemen führen.

Es gibt zwei unterschiedliche Aspekte bei Urlaubsbenachrichtigungen, die problematisch sind:

• Urlaubsbenachrichtigungen geben unter Umständen wertvolle Information heraus.
• Urlaubsbenachrichtigungen werden unter den bestimmten Voraussetzungen an die falschen Adressen geschickt.

Preisgabe wertvoller Information

• die Tatsache, daß der betreffende Mitarbeiter in Urlaub ist,
• seine Telefonnummern (häufig die vollständige Durchwahl),
• sein Arbeitstitel,
• der Termin seiner Rückkehr,
• den Namen der vertretenden Mitarbeiter,
• deren Telefonnummern.

In manchen Bereichen (z.B. technischer Support) sind direkte Durchwahlnummern (und auch E-Mail-Adressen) schützenswert, da sonst Kunden das Dispatching umgehen.

Wenn jemand in Urlaub ist, kann mit einiger Wahrscheinlichkeit davon ausgegangen werden, daß seine Privatwohnung leersteht. Falls auch noch Namen und Telefonnummern von Kollegen bekannt sind, kann dies das social engineering zur Vorberteitung krimineller Aktivitäten (beispielsweise eines Einbruchs) erheblich erleichtern.

Dies wäre alles nicht so kritisch, wenn die Urlaubsbenachrichtigungen nur an den Listenbetreiber verschickt würden. Dies ist jedoch viel zu häufig nicht der Fall, wie der nächste Abschnitt zeigt.

Fehlerhafte Erzeugung der Antworten

1. Nachrichten nach RFC 2821 und RFC 2822 (bzw. nach den älteren Standards RFC 821 und RFC 822) enthalten i.d.R. mindestens zwei Absender: einen im SMTP-Umschlag (envelope sender), und weitere in den Kopfzeilen der Nachricht (typischerweise im From: header). Generell gilt: Zustellprobleme (und dazu gehört nun einmal auch die Tatsache, dass eine Mailbox für einige Zeit nicht gelesen wird) sind an den envelope sender zu melden, nicht an irgendwelche Adressen aus den Kopfzeilen.

   Autoren von Mailinglisten-Software machen sich dies folgendermaßen zunutze: Über die Mailingliste verbreitete Nachrichten erhalten einen speziellen envelope sender, der auf eine Adresse verweist, über die die Mailinglisten-Software Benachrichtigungen über Zustellfehler empfangen kann. Diese werden dann automatisch ausgewertet, so dass nicht länger gültige Adressen automatisch entfernt werden können. (Bei dem sogenannten VERP-Verfahren (Variable Envelope Return Path) wird der envelope sender sogar in Abhängigkeit vom Empfänger gesetzt, was eine sehr zuverlässige Zuordnung der Meldungen ermöglicht, selbst wenn die eigentliche Fehlermeldung die Adresse gar nicht enthält.)

   Software, die den Grundsatz "Zustellfehler an den envelope sender" mißachten, torpedieren nicht nur diese Automatismen, sondern führen auch dazu, daß Zustellfehler (oder auch Urlaubsbenachrichtigungen) bei Nachrichten, die über Mailinglisten verbreitet werden, an Leute verschickt werden, die Artikel über die Mailingliste mit ihrer Adresse (in den Kopfzeilen) verschicken. Natürlich sorgt das RUS-CERT bei seinen Mitteilungs-Mailinglisten dafür, daß auch diese Fehlermeldungen nur beim RUS-CERT landen, aber bei Diskussionslisten ist dies nicht möglich. Und sicherlich schreiben auf einigen der eher schillernden Security-Mailinglisten Autoren, denen man lieber nicht anvertrauen möchte, daß der Mensch, der sich gewöhnlich um Security kümmert (weshalb er auch die Mailingliste liest), gerade in Urlaub ist.

   Eine Steigerung dieses Software-Fehlverhaltens bieten seit einiger Zeit einige Antiviren-Programme: Sie verschicken Mail nicht nur an den Absender aus den Kopfzeilen, sondern auch an die dort angegebenen Empfänger. Bei Mailinglisten gehen solche Nachrichten an alle Teilnehmer der Mailingliste.

   Ferner kann es zu Mail-Schleifen kommen (also Nachrichten, die im Kreis laufen), falls zwei Programme aufeinandertreffen, die den Grundsatz "Zustellfehler an den envelope sender" mißachten, was zu immensem Netzverkehr und Plattenplatzverbrauch führen kann.

2. Der Mechanismus, der die Urlaubsbestätigungen verschickt, reagiert auch auf Nachrichten, die nur über den envelope sender an den im Urlaub befindlichen Empfänger verschickt wurden, d.h. die eigene E-Mail-Adresse taucht gar nicht unter den Kopfzeilen auf. Typischerweise ist dies ein Indiz für eine Mailinglisten-Nachricht, auf die gar nicht erst reagiert werden sollte. Falls dies beachtet wird, wird auch das Risiko von Mail-Schleifen verringert.

3. Viele Mailinglisten-Software setzt Kopfzeilen wie "Precedence: list" oder "Precedence: bulk". Zwar rät RFC 2076 vom Einsatz dieser Kopfzeile ab, dennoch kann beim Vorhandensein dieser Information die automatische Benachrichtigung unterdrückt werden, wodurch die oben angesprochenen Probleme gemindert werden.

In der Vergangenheit konnte das RUS-CERT diese Fehler bei folgenden Mail-Programmen beobachten:

• HP OpenMail
• Lotus Notes
• Microsoft Exchange
• Novell GroupWise

Hinweis für Mitglieder der Universität Stuttgart: Das RUS-CERT rät vom Einsatz dieser Programme ab, zumindest was die Bearbeitung von Internet-Mail angeht. Bei Problemen kann das RUS i.d.R. derzeit auch keine Hilfestellung für diese Produkte geben.

Die Probleme dieser Software rühren vermutlich daher, daß diese ursprünglich in einem Umfeld entwickelt wurden, in dem es die Unterscheidung zwischen Umschlag und Kopfzeile nicht gab, weswegen der envelope sender bei der notwendigen Konvertierung häufig einfach verworfen wird.

Gegenmaßnahmen

• Verzichten Sie auf Urlaubsbenachrichtigungen. Urlaubsvertretungen lassen sich sehr gut handhaben, falls für Routine-Aufgaben kleine Mailinglisten (role accounts) verwendet werden, die von mehreren Mitarbeitern empfangen werden können.
• Überlegen Sie sorgfältig, welche Daten Sie in Ihre Urlaubsbenachrichtigung aufnehmen.
• Falls Sie Mitglied der Universität Stuttgart sind und Ihre Urlaubsbenachrichtigungsfunktion testen lassen wollen, schreiben Sie eine formlose Nachricht an CERT@Uni-Stuttgart.DE, wobei Sie bitte die zu testende(n) Adresse(n) angeben.
• Ein Internet-Draft, der sich noch in der Entwicklungsphase befindet, beleuchtet detaillierter wesentliche technische Aspekte beim Versand von Urlaubsbenachrichtungen (und anderer automatisch generierter Antworten).
• Das vacation-Programm, welches mit zahlreichen UNIX-ähnlichen Systemen ausgeliefert wird, setzt diese Empfehlungen weitestgehend um. Derivate davon können allerdings noch Relikte von Sicherheitsproblemen enthalten, die in vacation über die Jahre ausgemerzt wurden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/