趨勢科技部落格在最近的兩篇文章(休假時,你的 Outlook 自動回覆(郵件答錄機)透漏太多訊息?!和退信和讀取回條自動回覆的風險)中討論了關於電子郵件自動回覆所可能引來的威脅,從外出通知(Out-of-Office Notification)到未送達報告(Non-Delivery Notification)。這些都可能會洩漏資訊而遭到利用。所以管理者和使用者可以做什麼來應對這種威脅,幫助保護他們的環境?
雖然我們一直強調教育用戶的重要性,但在這裡,加強伺服器設定也是必須的。沒有道理只依賴於使用者設定,因為那有可能會失誤(而且經常發生)。
❶只送外出通知給企業內部人員。
企業郵件伺服器需要對是否發送外出通知做好精細的控制。一個很好的作法就是只送外出通知給企業內部人員。如果外部人士需要收到這些通知,可以視需要來加入白名單。不過預設應該是不送外出通知到企業外部。
❷郵件伺服器應該設定為不送退信通知到企業外部。
同樣的,郵件伺服器應該設定為不送退信通知到企業外部。
❸退信通知不該包含大量原始信件的內容
另一點很重要的是,退信通知不該包含大量原始信件的內容,因為這麼做就可能會被利用在垃圾郵件(SPAM)攻擊上。(RFC 3834明確地建議了這點。) 繼續閱讀