Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge

Sicherheits-Irrtümer: E-Mail-Sicherheit

hatterchen1 / 29 Antworten / Flachansicht Nickles

Aus gegebenem Anlass, bedingt durch eine aktuelle Diskussion, möchte ich allen die es wirklich interessiert, etwas zum lesen an`s Herz legen:

Irrtum 1: "Wenn ich eine E-Mail nur anschaue, aber keinen Anhang öffne, kann nichts passieren."

Das trifft leider nicht zu!

https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Sicherheitsirrtuemer/Irrtuemer_E-Mail-Sicherheit.html

Allerdings kann ich diese Aussage auch nicht guten Gewissens unterschreiben:
"Doch bei vertrauenswürdigen Absendern kann der Empfänger die HTML-Ansicht der E-Mail per Klick auf eine Schaltfläche aktivieren und die Inhalte vollständig betrachten."

Wer ist denn überhaupt vertrauenswürdig?

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Borlander hatterchen1 „Sicherheits-Irrtümer: E-Mail-Sicherheit“
Optionen

Irgendwie scheint mir der Text ein wenig älter zu sein und vor allem noch aus einer Zeit zu stammen in der Mail-Clients in der Standardkonfiguration Inhalte von externen Servern geladen, oder sogar noch JavaScript ausgeführt haben.

Denn dort kann schädlicher Code versteckt sein, der bereits beim Öffnen der HTML-E-Mail auf dem Computer des Empfängers ausgeführt wird, ohne dass dafür ein Anhang angeklickt werden muss.

Das würde grundsätzlich auf JS zutreffen. Was leider in der Beschreibung fehlt sind mögliche Sicherheitslücken im HTML-Parser.

Auch Spammer greifen gerne auf HTML-E-Mails zurück, um die Gültigkeit einer E-Mail-Adresse zu verifizieren. Dies erfolgt über sogenannte "Webbugs", kleine meist unsichtbare Bilder, welche beim Öffnen der E-Mail von einem Server der Spammer geladen werden und diesen damit den Empfang der E-Mail signalisieren.

Wenn lediglich intern in der Mail eingebettete Bilder (und andere Ressourcen) genutzt werden ist dieses Risiko ausgeschlossen.

Wer ist denn überhaupt vertrauenswürdig?

Absender die in der Mail externe Ressourcen referenzieren sind es im Zweifelsfall nicht.

bei Antwort benachrichtigen