E-Mail-Client-Einstellungen

https://go.tugraz.at/esec

Auch der E-Mail-Client kann (neben dem Browser) ein Einfallstor für Malware sein, vor allem dann, wenn er HTML automatisch anzeigt und/oder Bilder (und andere Informationen) automatisch nachlädt.
Die wichtigsten Punkte zur E-Mail-Sicherheit:

  1. Den E-Mail-Client (und das Betriebssystem) immer (automatisch) am neuesten Stand halten.
  2. Den E-Mail-Client so sicher wie möglich einstellen, z. B. die automatische Darstellung von HTML und das automatische Ausführen dynamischer Inhalte deaktivieren.
    Für praktisch alle guten E-Mail-Clients gibt es die Möglichkeit, dass Sie bei Absendern, denen Sie vertrauen (Bitte achten Sie darauf, ob die E-Mail signiert ist!), HTML entweder automatisch oder durch 1 Klick aktivieren können, eine gut verfasste E-Mail kann aber auch im „Plain-Text-Modus“ (Nur-Text) gut gelesen werden, daher sollten Sie - wenn kein wirklicher Grund vorliegt - auch keine HTML-E-Mails versenden.
    Bei HTML-E-Mails mit externen Bildern können Sie auch trotz elektronischer Signatur nicht sicher sein, dass Sie das sehen, was Ihnen der Absender schicken wollte, der Inhalt z. B. eines eingebundenen Bildes könnte sich inzwischen verändert haben.
    Wenn Sie in HTML-E-Mails das Nachladen (oder das automatische Laden) externer Bilder erlauben, dann kann auch nachverfolgt werden, wann und von wo aus Sie die Nachricht geöffnet haben (Tracking).
  3. Weiters sollten Sie sich unbedingt auch die E-Mail-Adresse und nicht nur den Namen des Absenders anzeigen lassen, wenn möglich nicht nur in der geöffneten E-Mail, sondern auch schon in der E-Mail-Liste.
  4. Signieren Sie Ihre eigenen E-Mails mit einem E-Mail-Zertifikat und senden Sie E-Mails mit einer Adresse der TU Graz immer über den SMTP-Server der TU Graz (siehe auch SPF).
    Outlook on the web (früher OWA genannt) kann nur mit Windows und Internet Explorer mit E-Mail-Zertifikaten richtig umgehen, als Alternative können Sie RDS starten und dort Ihren normalen E-Mail-Client verwenden.
  5. Öffnen Sie keinen Anhang von unbekannten Personen oder wenn Sie eigentlich keinen Anhang erwarten!
    Wenn es zu Ihrer Tätigkeit an der TU Graz gehört auch solche Daten entgegen zu nehmen (Bewerbungen etc.), dann sollten Sie den Anhang nicht aus dem E-Mail-Programm heraus öffnen. Speichern Sie den Anhang am Rechner, berechnen Sie den Hashwert zum Anhang (Windows: PowerShell-Befehl Get-FileHash ANHANG, Linux: sha256sum ANHANG und macOS: shasum -a 256 ANHANG) und laden Sie diesen Hash dann bei Virustotal hoch um ihn analysieren zu lassen. Wenn der Hash dort als unbedenklich eingestuft wird, dann ist auch der Anhang wahrscheinlich unbedenklich.
  6. Überprüfen Sie bei verdächtigen E-Mails, die nicht als SPAM? oder als SUSPICIOUS gekennzeichnet sind, ob wir bereits davor warnen.
    Überlegen Sie bereits markierte („getaggte“) E-Mails automatisch zu löschen.
  7. Speichern Sie Kennwörter nur verschlüsselt ab!

Auch wenn Sie durch sichere Einstellungen besser geschützt sind: Technik alleine wird Sie nie zu 100 Prozent schützen können, es bleibt Ihnen überlassen, wie Sie mit E-Mails umgehen!

Und wenn Sie nach Überprüfung dieser Punkte feststellen, dass Ihr E-Mail-Client am Mobiltelefon nicht all diese Punkte umsetzen kann, dann ist Ihr Mobiltelefon für dienstliche E-Mails wahrscheinlich auch nicht geeignet!

Beispiele

  • Thunderbird
    HTML deaktivieren (etc.). Mit dem Add-On Allow HTML Temp kann dann HTML mit einem Klick für bestimmte E-Mails wieder aktiviert werden.
    Absender-Adresse anzeigen:
    Mit dem Add-On „Full Address column“ kann man das für die E-Mail-Liste aktivieren.
    Für geöffnete E-Mails muss man in den Einstellungen im Bereich Allgemein - Lesen & Ansicht den Punkt Bei bekannten Kontakten nur den Anzeigename zeigen deaktivieren:

    Lesen & Ansicht

    Setzen Sie unbedingt ein „Hauptpasswort“!

    Passwort

  • Outlook
    HTML deaktivieren
    Absender-Adresse anzeigen

Empfehlungen des BSI

E-Mail-Sicherheit
Nutzen Sie die E-Mail wirklich sicher?
Sicherheits-Irrtümer: E-Mail-Sicherheit
Video