E-Mail-Client-Einstellungen
go.tugraz.at/esec/
Auch der E-Mail-Client kann ein Einfallstor
für Malware sein,
vor allem dann, wenn er HTML automatisch anzeigt und/oder Bilder (und andere
Informationen) automatisch nachlädt.
Die wichtigsten Punkte zur E-Mail-Sicherheit:
- Den E-Mail-Client (und das Betriebssystem) immer
(automatisch) am neuesten Stand halten.
- Den E-Mail-Client so sicher wie möglich einstellen,
z. B. die automatische Darstellung von HTML
und das automatische Ausführen dynamischer Inhalte deaktivieren.
Für praktisch alle guten E-Mail-Clients gibt es die Möglichkeit,
dass Sie bei Absendern, denen Sie vertrauen (Bitte achten Sie darauf, ob
die E-Mail signiert ist!), HTML
entweder automatisch oder durch 1 Klick aktivieren können, eine gut
verfasste E-Mail kann aber auch im „Plain-Text-Modus“ (Nur-Text)
gut gelesen werden, daher sollten Sie - wenn kein wirklicher Grund vorliegt -
auch keine HTML-E-Mails versenden.
Bei HTML-E-Mails mit externen Bildern können Sie auch trotz
elektronischer Signatur nicht sicher sein, dass Sie das sehen, was Ihnen
der Absender schicken wollte, der Inhalt z. B. eines eingebundenen
Bildes könnte sich inzwischen verändert haben.
Wenn Sie in HTML-E-Mails das Nachladen (oder das automatische Laden) externer
Bilder erlauben, dann kann auch nachverfolgt werden, wann und von wo aus
Sie die Nachricht geöffnet haben (Tracking).
- Weiters sollten Sie sich unbedingt auch die E-Mail-Adresse und nicht nur den Namen des Absenders
anzeigen lassen, wenn möglich nicht nur in der geöffneten
E-Mail, sondern auch schon in der E-Mail-Liste.
- Signieren Sie Ihre eigenen E-Mails
mit einem E-Mail-Zertifikat
und senden Sie E-Mails mit einer Adresse der TU Graz immer über den
SMTP-Server der TU Graz
(siehe auch SPF).
Outlook on the web
(früher OWA genannt) kann
nur mit Windows und Internet Explorer mit E-Mail-Zertifikaten richtig umgehen,
als Alternative können Sie RDS
starten und dort Ihren normalen E-Mail-Client verwenden.
- Öffnen Sie keinen Anhang
von unbekannten Personen oder wenn Sie eigentlich keinen Anhang erwarten!
Wenn es zu Ihrer Tätigkeit an der TU Graz gehört auch solche
Daten entgegen zu nehmen (Bewerbungen etc.), dann sollten Sie den Anhang
nicht aus dem E-Mail-Programm heraus öffnen. Speichern Sie den Anhang
am Rechner und laden Sie ihn dann bei Virustotal hoch um ihn analysieren zu lassen. Wenn die
Datei dort als unbedenklich eingestuft wird, können Sie sie auch
öffnen.
- Überprüfen Sie bei
verdächtigen E-Mails, die nicht als
SPAM? oder als SUSPICIOUS gekennzeichnet sind, ob wir
bereits davor warnen.
Überlegen Sie bereits markierte („getaggte“) E-Mails
automatisch zu löschen.
Auch wenn Sie durch sichere Einstellungen besser geschützt sind:
Technik alleine wird Sie nie zu 100 Prozent schützen können,
es bleibt Ihnen überlassen, wie Sie
mit E-Mails umgehen!
Und wenn Sie nach Überprüfung dieser Punkte feststellen, dass Ihr
E-Mail-Client am Mobiltelefon nicht all diese
Punkte umsetzen kann, dann ist Ihr Mobiltelefon für dienstliche E-Mails
wahrscheinlich auch nicht geeignet!
Beispiele
- Thunderbird
HTML deaktivieren (etc.). Mit dem Add-On Allow HTML Temp kann dann HTML mit einem Klick für bestimmte E-Mails wieder aktiviert werden.
Absender-Adresse anzeigen:
Mit dem Add-On „Full Address column“
kann man das für die E-Mail-Liste aktivieren.
Für geöffnete E-Mails muss man in den Einstellungen im Bereich
Allgemein - Lesen & Ansicht den Punkt
Bei bekannten Kontakten nur den Anzeigename zeigen deaktivieren:
- Outlook
HTML deaktivieren
Absender-Adresse anzeigen
Empfehlungen des BSI
E-Mail-Sicherheit
Nutzen Sie die E-Mail wirklich sicher?
Sicherheits-Irrtümer: E-Mail-Sicherheit
Video