Четыре варианта автоматических ответов, которых лучше избегать
Администраторы большинства компаний позволяют сотрудникам пользоваться некоторыми вариантами автоматических ответов (например, «отсутствую на рабочем месте»), а также функциями, запрашивающими подтверждение доставки сообщения и уведомление о его прочтении. Следует ли допускать использование таких ответов и функций, обеспечивать их работу и восстанавливать функционирование в случае сбоев? Разумеется, эти средства весьма полезны, но, с другой стороны, надо признать, что далеко не все понимают, каковы последствия отправки подобных сообщений на сервер Internet-провайдера. Возьмем, к примеру, ответ «отсутствую на рабочем месте» (см. экран 1). Из этого ответа можно заключить, что в доме и в офисе никого нет. Кроме того, это сообщение дает понять, что я не вполне доверяю Кендалл в вопросах управления офисом. Наконец, я изложил в нем планы своей сотрудницы. Конечно, в этом примере краски несколько сгущены, но читатели наверняка согласятся, что описанная ситуация не так уж далека от реальности. Стоит ввести телефонный номер в поисковую систему Google, и вы тут же получите адрес абонента; еще один щелчок мышью, и на экране появляется информация о том, как проехать практически к любому дому или офису. Не знаю, как у вас, а у меня при мысли о таких ситуациях по спине пробегает холодок.
Начав исследовать данную проблему, я обнаружил, что эксперты в области защиты данных сотни раз предупреждали пользователей об опасности передачи по каналам Internet сообщений типа «отсутствую на рабочем месте» и других автоматических ответов. Вот краткий перечень статей, которые меня заинтересовали.
- Internet-бюллетень riskVue (http://www.riskvue.com/subscribe/wt0407.htm). Как утверждается в этой статье, сообщения типа "отсутствую на рабочем месте" могут использоваться для наводки воров-"домушников". В частности, там говорится: "В декабре 2002 года группа британских фирм, специализирующихся в области высоких технологий, выступила со следующим предупреждением. Преступники могут получать автоматические ответы типа "нахожусь в отпуске", организовав массовую рассылку электронных посланий на основе списков рассылки электронной почты. Далее они могут сопоставлять эти автоматические ответы с общедоступной информацией персонального характера и таким образом идентифицировать дома "отпускников". В то время когда было опубликовано это предупреждение, офицер по связям с общественностью Федерального бюро расследований США заявил корреспонденту телесети ABC News, что бюро располагает сведениями о возможной деятельности такого рода".
- Издание New Zealand Reseller News (http://www.reseller.co.nz/reseller/ reseller.nsf/0/fcb529c 1ed25bdd0cc256f6900026 fe4?opendocument). Здесь подчеркивается, что публикация сообщений типа "отсутствую на рабочем месте" может обернуться финансовыми потерями для корпораций. Автор статьи "Announcing your abcence sends invite to crims" Луис Ван Вик пишет: "Как утверждает управляющий директор фирмы Trend Micro Australia and New Zealand Крис Пулос, недавние исследования показали, что преступные организации пользуются массовой рассылкой электронной почты для получения автоответов со стороны ключевых должностных лиц, таких как руководители управленческих и финансовых подразделений... Исследования показали, что получение доступа к содержимому автоответов - один из наиболее простых методов, с помощью которых спамеры могут собирать конфиденциальную информацию, включая названия компаний, адреса, должности сотрудников и номера их телефонов. Получив такие данные, преступники могут с легкостью выдавать себя за ответственных сотрудников компаний, что потенциально представляет угрозу для корпораций: ведь злоумышленники могут, представившись служащими компании, связываться с клиентами и предлагать им помощь".
- На Web-сайте Penn Computing (http://www.upenn.edu/computing/security/ advisories/spam.html) сотрудники департамента информационных систем и вычислительной техники Университета Пенсильвании утверждают, что сообщения "отсутствую на рабочем месте" способствуют увеличению объема почтового мусора. В сообщении говорится: "Если, отправляясь в поездку, вы настраиваете почтовый клиент таким образом, чтобы на каждое полученное сообщение направлялся ответ "нахожусь в отпуске/отсутствую на рабочем месте", вы автоматически генерируете ответ на каждое сообщение спамеров, и этот ответ подтверждает, что ваш почтовый адрес действителен и что поступающие на него письма будут кем-то прочитаны. В результате повышается вероятность того, что ваш адрес станет объектом торговли или "натурального обмена" в среде спамеров". Ответы типа "отсутствую на рабочем месте" - не единственная брешь в защите, возникающая в результате использования автоматических функций. В системах Exchange Server и Outlook предусмотрена возможность шести видов автоматических ответов. К автоматическим ответам, формируемым на стороне сервера, относятся отчеты о невозможности доставки (nondelivery report, NDR) и отчеты о доставке (delivery report, или delivery receipt). На стороне клиентов формируются следующие автоматические ответы: "отсутствую на рабочем месте" (out-of-office reply); автоматические ответы, основанные на правилах; автоматическая переадресация сообщений, основанная на правилах автоматической переадресации, и оповещения отправителя о прочтении сообщения (read receipt).
Я провел неформальный опрос среди обладателей сертификатов Exchange Most Valuable Professional (MVP) и администраторов крупных сетей Exchange, чтобы выяснить, отключают ли они какие-либо из упомянутых шести типов автоматических ответов. Выяснилось, что почти все респонденты отключают автоматические ответы, подтверждающие успешную доставку. К этой категории относятся сообщения о доставке, сообщения «отсутствую на рабочем месте» и автоматические ответы.
В рамках еще одного исследования я направлял тестовые сообщения сотрудникам крупных фирм из списка Fortune 500. Меня интересовал вопрос, блокируют ли администраторы этих компаний какие-либо почтовые сообщения. Мои послания были типовыми: «Как поживаете?». Направлялись они в адрес обладателей таких распространенных учетных записей, как jsmith@ и postmaster@. Я обнаружил, что, как правило, компании не блокируют отправку отчетов о доставке, извещений о невозможности доставки, а также извещений о прочтении полученных сообщений. Кроме того, я получил несколько сообщений «отсутствую на рабочем месте». Результаты этого теста поразили меня. Ведь, по сообщениям многих аналитиков, включая компанию Gartner, почтовый мусор составляет свыше 60% общего числа сообщений, передаваемых по каналам Internet. Трудно представить себе, какую лавину непрошеных посланий могут обрушить на пользователей эти крупные компании каждым своим автоматическим ответом, сообщением о доставке, извещением о прочтении и сообщением «отсутствую на рабочем месте». Но самую большую опасность представляют, пожалуй, злоумышленники, специализирующиеся на фишинге: они составляют программы для извлечения персональных данных из сообщений, где в строке «тема» значится Out of Office или OOF. Моя подпись включает мое полное имя, название компании и телефонные номера. Мне не хотелось бы, чтобы все эти данные попали в руки охотников за персональными данными, поскольку таким образом они смогут получить дополнительную информацию обо мне.
Ответы «отсутствую на рабочем месте», автоматические ответы и автоматическая переадресация
Итак, мы в общих чертах обрисовали проблему. И что теперь следует делать? С точки зрения безопасности хорошим началом было бы отключение функций ответов «отсутствую на рабочем месте», автоматических ответов и автоматической переадресации в Internet. Начнем с установок на уровне серверов. Поведение в стандартных доменах можно модифицировать с помощью диспетчера Exchange System Manager (ESM). Необходимо открыть самый верхний узел организации Exchange и перейти в окно Global Settings, а затем — в окно Internet Message Formats. Дважды щелкните на Default *. На экране откроется диалоговое окно Default Properties, показанное на экране 2. В этом окне можно задавать все установки генерации ответов серверами организации Exchange как единого целого. В среде ESM не предусмотрена возможность применения подобных детализированных установок для отдельных пользователей или серверов.
Экран 2. Настройка функций, генерирующих ответы «отсутствую на рабочем месте», автоматические ответы и автоматическую переадресацию |
Ответами «отсутствую на рабочем месте», автоматическими ответами и функцией автоматической переадресации сообщений управляет клиент Outlook, но в системе Exchange Server 2003 (и Microsoft Office Outlook 2003) разрешается применение данных правил на уровне серверов; при этом необязательно, чтобы в это время был запущен клиент Outlook. Описываемые функциональные возможности были реализованы в более ранних версиях Exchange, но в Exchange 2003 в сочетании с Outlook 2003 имеются более мощные средства обработки серверных правил. Так, администратор может средствами ESM исключить из правил почтового ящика любого клиента Outlook функции ответов типа «отсутствую на рабочем месте», автоматических ответов или автоматической переадресации. Автоматическая переадресация представляет опасность для организации потому, что ее использование существенно облегчает пересылку конфиденциальных корпоративных данных неизвестным и неконтролируемым получателям. Подобным же образом ответы типа «отсутствую на рабочем месте» могут открывать для посторонних корпоративные данные, а также секретную информацию пользователей.
Еще один довод в пользу отказа от использования ответов «отсутствую на рабочем месте», автоматических ответов и функции автоматической переадресации состоит в том, что все эти средства способствуют существенному увеличению количества почтовых сообщений. Когда пользователь получает сообщение, не являющееся ответом на его письмо, система автоматически направляет отправителю ответ. Как правило, указанные в таких сообщениях обратные адреса являются фиктивными, поэтому отправитель получает уведомление о невозможности доставки. Таким образом, при получении от спамера одного послания генерируется пять сообщений. Три из них должен обработать сервер и два — прочесть клиент. А это ведет к снижению производительности.
Извещения о прочтении
Извещения о прочтении — полезное средство: отправитель может запросить такое извещение и воспользоваться функцией автоматического ответа для установления факта получения и открытия данного сообщения получателем. Но должен сказать, что я не люблю пользоваться уведомлениями о прочтении и не позволяю своему клиенту Outlook отвечать на них. Я предпочитаю вести переписку по электронной почте в асинхронном режиме; часто я работаю дома и иногда, открыв сообщение, отвечаю на него лишь через несколько часов, а то и через день — когда соберусь с мыслями. Кроме того, тот, кто пользуется уведомлениями о прочтении, способствует увеличению объема корпоративной почты.
Рассматривая экран 2, можно заметить, что в окне диспетчера ESM нет флажка, активизирующего функцию отправки уведомлений о прочтении. Этот параметр устанавливается на клиенте, и его трудно блокировать с сервера Exchange без помощи инструментальных средств от независимых поставщиков либо специального сценария. Но заблокировать запросы на уведомления о прочтении непосредственно на клиенте Outlook 2003 или Outlook XP совсем несложно. В меню Tools, Options следует выбрать пункт E-Mail Options. Откроется диалоговое окно Tracking Options, показанное на экране 3. В этом окне можно настроить клиента таким образом, что он будет автоматически обрабатывать запросы для уведомления о прочтении или вообще игнорировать такие запросы. Но перед тем как приступить к настройке в окне Tracking Options, необходимо обратить внимание на два обстоятельства.
Экран 3. Задание реакции системы на запросы об уведомлении о прочтении электронных писем |
Во-первых, пользователя не должна вводить в заблуждение надпись Only applies to Internet Mail accounts (применяется только к учетным почтовым записям Internet), отображаемая в нижней части диалогового окна Tracking Options. Выбранная настройка будет применяться и к клиентам, подсоединенным к серверу Exchange.
Во-вторых, если клиент Outlook 2003 подключается к серверу POP, IMAP или SMTP, то при генерировании ответа IP-адрес клиента выводится в заголовке сообщения. В целом выставлять на всеобщее обозрение свой IP-адрес не стоит, особенно если принять во внимание легкость, с которой сегодня можно раздобыть хакерские инструменты. Для злоумышленника гораздо проще взломать систему, если ему известно, под управлением какой операционной системы функционирует интересующий его компьютер и каков его IP-адрес. Но иногда сетевые администраторы используют уведомления о прочтении, если им нужно определить, на каком компьютере открываются почтовые сообщения. В статье Microsoft «Determine a recipient?s IP address by using read receipts» (http://office.microsoft.com/en-us/assistance/ ha011195511033.aspx) разъясняется, как это сделать.
Как уже отмечалось выше, средствами диспетчера ESM невозможно заблокировать функцию уведомления о прочтении сообщений, поступивших по каналам Internet. Администраторы большинства компаний не видят особой проблемы в том, что нет возможности без лишних хлопот удалять такие уведомления на сервере Exchange. Но если с точки зрения руководства компании важно заблокировать такие уведомления, не стоит падать духом. На рынке имеются разработанные независимыми поставщиками фильтры спама и контента. Кроме того, можно воспользоваться несложными сценариями, которые заблокируют запросы еще до того, как те попадут в Outlook.
Широко распространено мнение, будто система Exchange не соответствует стандартам SMTP, описанным в соответствующих материалах Request for Comments (RFC) по вопросам доставки сообщений и форматов, но на самом деле это не так. Когда отправитель запрашивает уведомление о прочтении сообщения, к сообщению добавляются два поля: Read-Receipt-To и Disposition-Notification-To. Вместо того чтобы блокировать попытки системы передавать во внешнюю среду уведомления о прочтении, можно написать программу сбора событий, которая будет удалять эти два поля из заголовков поступающих сообщений. Написанный Питером Карсаи сценарий ReadReceiptRequest Removal.vbs может служить наглядным примером из этой категории, и, как видно из листинга 1, он решает задачу с помощью сравнительно небольшого числа строк кода.
Чтобы воспользоваться сценарием ReadReceiptRequestRemoval.vbs, нужно загрузить файл receiptremoval.zip по адресу http://www.vamsoft.com/orf/howto-readreceipt.asp. В файл .zip включена и JScript-версия сценария. Далее следует зарегистрировать файл ReadReceiptRequestRemoval.vbs на всех серверах, которые получают электронную почту непосредственно из Internet , т. е. на всех шлюзах Microsoft IIS 6.0 или IIS 5.0, функционирующих под Windows Server 2003 или Windows 2000 Server с установленной на них системой Windows Script Host (WSH) 5.6. Команды для регистрации и запуска сценария содержатся в файле readme в readreceiptremoval.zip. Перед тем как переносить сценарий на производственный сервер, следует принять меры предосторожности, которые обычно используют при работе со всеми сценариями и исполняемыми файлами, а именно протестировать код. Кстати, нужно иметь в виду, что при доставке сообщений по протоколу SMTP будет отмечаться незначительное снижение производительности, поскольку добавляется дополнительный процесс. К счастью, система Exchange отличается весьма высокой эффективностью обработки электронной почты, так что если сервер SMTP не подвергался серьезным нагрузкам уже в момент запуска сценария, возможно, разница в быстродействии не будет заметна.
Уведомления о невозможности доставки и сообщения о доставке
Некоторые люди, весьма серьезно относящиеся к вопросам защиты данных, полагают, что направлять через Internet уведомления о невозможности доставки не следует, ибо это помогает спамерам подтверждать правильность почтовых адресов. Хотя я считаю, что такие уведомления представляют собой элементарное средство диагностики, потребность в котором испытывают как системные администраторы, так и пользователи. Если кого-то одолевают сомнения в целесообразности использования уведомлений о невозможности доставки, рекомендую проконсультироваться у сотрудников отдела сбыта своей компании — они разъяснят ценность данной функции куда более наглядно, чем это мог бы сделать я. Для большинства фирм выгоды от использования уведомлений о невозможности доставки компенсируют связанные с этим риски. Поэтому я рекомендую не блокировать отправку уведомлений на серверы Internet.
Так же, как и уведомления о невозможности доставки, извещения о доставке содержат данные, с помощью которых спамеры могут подтверждать правильность адресов электронной почты. Но мне пока не доводилось сталкиваться со случаями взлома систем на базе таких извещений. В руках поставщиков и партнеров извещения о доставке могут послужить ценным средством подтверждения факта доставки сообщений. Почти все организации, с которыми я работаю (в том числе финансовые и государственные учреждения), не отключают эту функцию, и большинство экспертов считают, что возможность подтверждения доставки сообщений приносит только пользу.
Руководствуйтесь здравым смыслом
Уведомления о невозможности доставки электронных сообщений и извещения об их доставке — хорошие средства диагностики, позволяющие установить, дошло ли послание до адресата. Но другие типы автоматических ответов могут представлять угрозу для компаний, и их следует отключать. Ответы «отсутствую на рабочем месте» могут быть полезными при использовании во внутренней сети, однако, если направлять такие сообщения через Internet, они могут представлять серьезную угрозу для корпоративной и личной безопасности. Подобным же образом автоматические ответы могут использоваться злоумышленниками в Internet для посягательств на конфиденциальные корпоративные данные и получения персональной информации. Даже извещения о прочтении электронных посланий в определенных ситуациях могут применяться для извлечения IP-адресов клиентов, не говоря уже о том, что их использование приводит к увеличению объема почтового трафика. А практика автоматической переадресации на внешние ресурсы категорически неприемлема. Если при выработке политик, регулирующих допустимое использование тех или иных функций, и при настройке среды Exchange руководствоваться здравым смыслом, можно значительно снизить риски, которым подвергается компания.
Стив Брайант - Руководит группами специалистов ITFactory, исследующими проблемы Active Directory и Exchange Server. Он вел проекты по развертыванию систем Exchange для многих крупных организаций в Соединенных Штатах. sbryant@ecms.net