E-Mail-Client-Einstellungen
https://go.tugraz.at/esec
Auch der E-Mail-Client kann (neben dem Browser)
ein Einfallstor
für Malware sein,
vor allem dann, wenn er HTML automatisch anzeigt und/oder Bilder (und andere
Informationen) automatisch nachlädt.
Die wichtigsten Punkte zur E-Mail-Sicherheit:
- Den E-Mail-Client (und das Betriebssystem) immer
(automatisch) am neuesten Stand halten.
- Den E-Mail-Client so sicher wie möglich einstellen,
z. B. die automatische Darstellung von
HTML
und das automatische Ausführen dynamischer Inhalte deaktivieren.
Für praktisch alle guten E-Mail-Clients gibt es die Möglichkeit,
dass Sie bei Absendern, denen Sie vertrauen (Bitte achten Sie darauf, ob
die E-Mail signiert ist!), HTML
entweder automatisch oder durch 1 Klick aktivieren können, eine gut
verfasste E-Mail kann aber auch im „Plain-Text-Modus“ (Nur-Text)
gut gelesen werden, daher sollten Sie - wenn kein wirklicher Grund vorliegt -
auch keine HTML-E-Mails versenden.
Bei HTML-E-Mails mit externen Bildern können Sie auch trotz
elektronischer Signatur nicht sicher sein, dass Sie das sehen, was Ihnen
der Absender schicken wollte, der Inhalt z. B. eines eingebundenen
Bildes könnte sich inzwischen verändert haben.
Wenn Sie in HTML-E-Mails das Nachladen (oder das automatische Laden) externer
Bilder erlauben, dann kann auch nachverfolgt werden, wann und von wo aus
Sie die Nachricht geöffnet haben (Tracking).
- Weiters sollten Sie sich unbedingt auch die E-Mail-Adresse und nicht nur den Namen des Absenders
anzeigen lassen, wenn möglich nicht nur in der geöffneten
E-Mail, sondern auch schon in der E-Mail-Liste.
- Signieren Sie Ihre eigenen E-Mails
mit einem E-Mail-Zertifikat
und senden Sie E-Mails mit einer Adresse der TU Graz immer über den
SMTP-Server der TU Graz
(siehe auch SPF).
Outlook on the web
(früher OWA genannt) kann
nur mit Windows und Internet Explorer mit E-Mail-Zertifikaten richtig umgehen,
als Alternative können Sie RDS
starten und dort Ihren normalen E-Mail-Client verwenden.
- Öffnen Sie keinen Anhang
von unbekannten Personen oder wenn Sie eigentlich keinen Anhang erwarten!
Wenn es zu Ihrer Tätigkeit an der TU Graz gehört auch solche
Daten entgegen zu nehmen (Bewerbungen etc.), dann sollten Sie den Anhang
nicht aus dem E-Mail-Programm heraus öffnen. Speichern Sie den Anhang
am Rechner, berechnen Sie den Hashwert zum Anhang (Windows: PowerShell-Befehl
Get-FileHash ANHANG, Linux: sha256sum ANHANG und macOS:
shasum -a 256 ANHANG) und laden Sie diesen Hash dann bei
Virustotal hoch
um ihn analysieren zu lassen. Wenn der Hash dort als unbedenklich eingestuft
wird, dann ist auch der Anhang wahrscheinlich unbedenklich.
- Überprüfen Sie bei
verdächtigen E-Mails, die nicht als
SPAM? oder als SUSPICIOUS gekennzeichnet sind, ob wir
bereits davor warnen.
Überlegen Sie bereits markierte („getaggte“) E-Mails
automatisch zu löschen.
- Speichern Sie Kennwörter nur verschlüsselt ab!
Auch wenn Sie durch sichere Einstellungen besser geschützt sind:
Technik alleine wird Sie nie zu 100 Prozent schützen können,
es bleibt Ihnen überlassen, wie Sie
mit E-Mails umgehen!
Und wenn Sie nach Überprüfung dieser Punkte feststellen, dass Ihr
E-Mail-Client am Mobiltelefon nicht all diese
Punkte umsetzen kann, dann ist Ihr Mobiltelefon für dienstliche E-Mails
wahrscheinlich auch nicht geeignet!
Beispiele
Empfehlungen des BSI
E-Mail-Sicherheit
Nutzen Sie die E-Mail wirklich sicher?
Sicherheits-Irrtümer: E-Mail-Sicherheit
Video