¿El correo electrónico automático "fuera de la oficina" responde a una mala práctica de seguridad?

En muchos servidores de correo electrónico es posible confirmar si existe una dirección de correo electrónico o no, dependiendo de si recibe un mensaje de devolución de su servidor SMTP.

por ejemplo

Return-path: <>
Envelope-to: [email protected]
Delivery-date: Thu, 25 Oct 2012 16:42:54 -0400
Received: from mailnull by ecbiz103.example.org with local (Exim 4.77)
id 1TRUGT-0005Qd-RT
for [email protected]; Thu, 25 Oct 2012 16:42:54 -0400
X-Failed-Recipients: [email protected]
Auto-Submitted: auto-replied
From: Mail Delivery System <[email protected]>
To: [email protected]
Subject: Mail delivery failed: returning message to sender
Message-Id: <[email protected]>
Date: Thu, 25 Oct 2012 16:42:53 -0400

This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

[email protected]
No Such User Here

------ This is a copy of the message, including all the headers. ------
Return-path: <s...

Sin embargo, las cuentas existentes pero inactivas no generarían tal mensaje.

La respuesta automática fuera de la oficina sí confirma que el correo electrónico existe, y que está en uso activo. Como usted dice, dependiendo del contenido, podría filtrar información sobre el paradero del destinatario. Esto sería más preocupante para las cuentas de correo electrónico personales que para una corporación porque es más probable que el usuario no esté presente físicamente en su casa en caso de que se reciba dicho correo electrónico.

Algunos sistemas de correo pueden configurarse para responder solo a direcciones conocidas en la libreta de direcciones local con el mensaje de fuera de la oficina. Esto evita que cualquier remitente malintencionado se beneficie de su ejercicio de recopilación de información. Además, muchos sistemas que filtran el correo electrónico en carpetas de correo no deseado no envían respuestas automáticas para dichos mensajes.

Otro problema con las respuestas automáticas es que pueden hacer que su servidor de correo se convierta en una lista negra en las listas de bloqueo de correo no deseado. Muchos mensajes de spam se envían desde direcciones de remitentes falsificados / falsificados. Si se envía un mensaje de spam a su dirección y la dirección del remitente es una dirección de captura, y su contestador automático responde al mensaje de spam y envía un mensaje a la dirección de captura, esto puede hacer que su servidor de correo se convierta en una lista negra. Consulte enlace para obtener más información.

Esta pregunta es subjetiva para la empresa en la que está trabajando y la posición que ocupa en la empresa. Esta herramienta que está integrada en la oficina se puede usar en su contra y proporciona Intel rica en destinos para spammers y explotadores en masa.

Por ejemplo, su smtp primario se filtra (de alguna manera u otra). Esta dirección es golpeada con un cañón de spam automatizado y devuelve un golpe al atacante que dice que estás fuera de la oficina. El contenido de la respuesta automática es el verdadero problema de seguridad, aunque todas las respuestas automáticas deben cuestionarse. Si los contenidos contienen supervisor u otras redundancias de puestos, estos datos podrían utilizarse para diseñar una cadena de mando social dentro de la empresa. Esto también se puede usar para identificar fallas en la redundancia de los empleados. Si su título es "líder de analista de intrusión de malware", los atacantes podrían asumir que el personal de respuesta a incidentes de primer y segundo nivel todavía está atento a la intrusión. De cualquier manera, tener un título puede influir en el atacante en una dirección para que actúe sobre la devolución:

Si se cree que usted es el único analista, entonces los ataques parecen ser bienvenidos, si se cree que es uno de los muchos, pero el líder puede degradarse hasta que regrese.

Si incluye los detalles de sus supervisores, se puede usar para "filtrar" otros objetivos de mayor valor al atacante.

Soy un analista de detección de intrusos de malware y nunca he usado la funcionalidad de fuera de la oficina por esta misma razón. Si necesita tener comunicaciones externas del intercambio para IR de emergencia, sugeriría groupme o slack para proporcionar un canal IR específico para usar solo en situaciones de contacto de emergencia.

Groupme proporciona un servicio de API gratuito que puedes utilizar con sus "bots" y un mensaje llegará a tu teléfono.

Nuevamente, esto es subjetivo, pero los verdaderos profesionales de la seguridad y el personal de apoyo siempre están "en la oficina" porque el atacante puede estar "en la oficina" en cualquier momento, de día o de noche.

enlace

Puede especificar enviar mensajes de fuera de la oficina solo a personas internas de su organización si está utilizando Outlook

Según las otras respuestas, esta podría parecer la mejor opción.

No conozco ninguna opción que le permita agregar dominios a la lista de correos electrónicos "internos". Sería práctico agregar sus dominios de clientes o terceros a la lista.