Le e-mail automatiche "fuori sede" rispondono alle cattive pratiche di sicurezza?

Su molti server di posta elettronica è possibile verificare se esiste o meno un indirizzo di posta elettronica a seconda che si ottenga un messaggio di rimbalzo dal proprio server SMTP.

per es.

Return-path: <>
Envelope-to: [email protected]
Delivery-date: Thu, 25 Oct 2012 16:42:54 -0400
Received: from mailnull by ecbiz103.example.org with local (Exim 4.77)
id 1TRUGT-0005Qd-RT
for [email protected]; Thu, 25 Oct 2012 16:42:54 -0400
X-Failed-Recipients: [email protected]
Auto-Submitted: auto-replied
From: Mail Delivery System <[email protected]>
To: [email protected]
Subject: Mail delivery failed: returning message to sender
Message-Id: <[email protected]>
Date: Thu, 25 Oct 2012 16:42:53 -0400

This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

[email protected]
No Such User Here

------ This is a copy of the message, including all the headers. ------
Return-path: <s...

Tuttavia, gli account esistenti ma inattivi non genererebbero un messaggio del genere.

L'autoreply di fuori ufficio conferma che l'e-mail esiste, e che è in uso attivo. Come dici tu, a seconda dei contenuti potrebbe perdere informazioni riguardo al luogo in cui si trova il destinatario. Questo sarebbe più preoccupante per gli account e-mail personali rispetto a quelli di un'azienda perché è più probabile che l'utente non sia fisicamente presente a casa sua se dovesse ricevere una tale email.

Alcuni sistemi di posta possono essere impostati per rispondere solo a indirizzi noti nella rubrica locale con il messaggio fuori sede. Ciò impedisce a qualsiasi mittente malintenzionato di ottenere dall'esercizio di raccolta delle informazioni. Inoltre, molti sistemi che filtrano la posta elettronica nelle cartelle spam non inviano autoreplies per tali messaggi.

Un altro problema con i risponditori automatici è che possono causare l'inserimento nella lista nera degli elenchi di blocco spam del tuo server di posta. Molti messaggi spam vengono inviati da indirizzi mittente falsificati / falsificati. Se un messaggio spam viene inviato al tuo indirizzo e l'indirizzo del mittente è un indirizzo trap, e il tuo risponditore automatico risponde al messaggio spam e invia un messaggio all'indirizzo trap, questo potrebbe causare l'inserimento nella lista nera del tuo server di posta. Vedi link per maggiori informazioni.

Questa domanda è soggettiva all'azienda per cui lavori e alla posizione che ricopre con l'azienda. Questo strumento incorporato in ufficio può essere utilizzato contro di te e fornire un target ricco di Intel agli spammer e agli sfruttatori di massa.

Ad esempio il tuo smtp primario viene trapelato (in un modo o nell'altro). Questo indirizzo viene colpito con un cannone spam automatizzato e restituisce un colpo all'attaccante dicendo che sei fuori ufficio. Il contenuto della risposta automatica è il vero problema di sicurezza, anche se tutte le risposte automatiche dovrebbero essere messe in discussione. Se i contenuti contengono supervisori o altre ridondanze di posizione, questi dati potrebbero essere utilizzati per ingegnerizzare socialmente una catena di comando all'interno dell'azienda. Questo può anche essere usato per identificare i fallimenti nella ridondanza dei dipendenti. Se il titolo è "lead dell'analista dell'intrusione di malware", allora gli autori degli attacchi potrebbero ritenere che i risponditori degli incidenti di primo e secondo livello stiano ancora attivamente controllando l'intrusione. Ad ogni modo, avere un titolo può influenzare l'attaccante in una direzione per agire sul ritorno:

Se si ritiene di essere l'unico analista, gli attacchi sembrano benvenuti, se si crede di essere uno dei tanti, ma il vantaggio è che l'azione può essere degradata fino al suo ritorno.

Se si includono i dettagli del supervisore, questo può essere usato per "filtrare" altri bersagli di valore superiore per l'attaccante.

Sono un analista di rilevamento delle intrusioni di malware e non ho mai usato le funzionalità fuori ufficio proprio per questo motivo. Se è necessario disporre di comunicazioni esterne dallo scambio per IR di emergenza, suggerirei groupme o slack per fornire un canale IR specifico da utilizzare solo in scenari di contatto di emergenza.

Groupme fornisce un servizio API gratuito che puoi colpire usando i "robot" e un messaggio arriverà sul tuo telefono.

Ancora una volta questo è soggettivo, ma i veri professionisti della sicurezza e il personale di supporto sono sempre "in ufficio" perché l'aggressore può essere "in ufficio" in qualsiasi momento del giorno o della notte.

link

Puoi specificare di inviare messaggi fuori ufficio solo a persone interne alla tua organizzazione se stai utilizzando Outlook

In base alle altre risposte, questa potrebbe sembrare l'opzione migliore.

Non conosco alcuna opzione che ti permetta di aggiungere domini all'elenco delle e-mail "interne". Sarebbe utile aggiungere i domini dei clienti o di terze parti all'elenco.