Sicherheit bei HTML Mails [erl.]

    Hallo zusammen,

    ich hätte eine Frage zur HTML-Ansicht in Thunderbird.

    Sollte man diese grundsätzlich immer deaktivieren oder ist Thunderbird so sicher, dass keine externen Inhalte durch bloßes öffnen einer Email auf den Rechner gelangen können? (beispw um Schaden anzurichten)

    Dubiose Anhänge oder Links werden natürlich ohnehin nicht aufgerufen bzw geöffnet.

    Thunderbird-Version: 24.3.0
    Betriebssystem + Version: Windows 7 (64 bit)
    Kontenart (POP / IMAP): POP
    Postfachanbieter (z.B. GMX): T-Online

    Freundliche Grüße
    Julian

    Hallo,
    willkommen im Thunderbird-Forum!

    Zitat von "Cascal"

    ich hätte eine Frage zur HTML-Ansicht in Thunderbird.
    Sollte man diese grundsätzlich immer deaktivieren


    Aus Sicherheitsgründen - ja!

    Zitat


    Dubiose Anhänge oder Links werden natürlich ohnehin nicht aufgerufen bzw geöffnet.


    Anhänge - egal von wem - sollten grundsätzlich zunächst in einem eigenen Ordner abgespeichert und von einer Antivirensoftware gescannt werden.

    Hallo,

    danke für die schnelle Antwort und Hilfestellung.

    Nun hätte ich aber noch eine Frage zu besagter HTML-Ansicht: Inwieweit ist HTML im Mail-Programm denn gefährlicher als beispw. auf einer Webseite? HTML ist im Browser schließlich immer aktiv, oder verwechsel ich da was?

    Nun ist natürlich der Fall - das manche Leute ihre Email immer im HTML-Format schicken und diese Emails sind dann teilw. im Reintext-Format regelrecht unleserlich. Nun gibt es in Thunderbird ja die Auswahl "Vereinfachtes HTML" - Hat dies einen nennenswerten Vorteil?

    btw. falls dies relevant ist, auf meinem PC läuft eine Virenschutzlösung mit Echtzeitschutz und ehemals auch Mail-Scanner (welcher leider durch die Umstellung auf SSL unwirksam ist)

    Zitat von "graba"

    Hallo,
    willkommen im Thunderbird-Forum!


    Freut mich an Bo(a)rd sein zu dürfen. ;)

    Freundliche Grüße
    Julian

    Hallo Julian,

    Zitat

    Inwieweit ist HTML im Mail-Programm denn gefährlicher als beispw. auf einer Webseite?


    Eigentlich überhaupt nicht ... . Normalerweise ... .
    Wenn du einen Browser und einen Mailclient mit gleicher Aktualität benutzt, solltest du davon ausgehen können, dass in beiden Programmen bekannt gewordene Sicherheitslücken auch annähernd zeitgleich geschlossen werden. Und da der Thunderbird von Hause aus bewusst nicht scriptfähig (*) ist, würde ich ihn sogar in dieser Beziehung als "sicherer" betrachten als ein Browser, wo JavaScript ja heutzutage fast "Pflicht" ist, um bestimmte Seiten anzeigen zu können.
    (* Unverständlicherweise gibt es immer wieder User, diese diese Scriptfähigkeit nachrüsten wollen, um zum Bsp. in E-Mails eingebettete Sounddateien beim Empfänger abdudeln zu lassen ... .)

    Ich sehe die Verwendung von Klickibunti aus zwei anderen Gründen als sehr kritisch:
    1.) Es ist üblich, dass die Werbeindustrie und auch andere Neugierige in html-Mails sogenannte "Zählpixel" oder andere nachladbare Inhalte einbetten. Sinn dahinter - sie sehen auf ihren eigenen speziell dafür installierten Servern sofort, ob, wann und von wem ihre Mail geöffnet wurde. Ergebnis: Tracking des Users und höherer Gewinn beim Verkauf einer als aktiv bestätigten Adresse. Das kann auf diese Art mit einer Reintextmail nicht passieren => Datenschutz!

    2.) In vielen Firmen und Behörden wird mit organisatorischen und/oder technischen Mitteln verhindert, dass Klickibuntimails direkt angezeigt werden. Und eine schlecht gemachte html-Mail sieht in solchen Fällen beim Empfänger echt besch***** aus.


    Meine Empfehlung:
    E-Mails grundsätzlich im Reintextformat senden und auch so anzeigen lassen. ("Grundsätzlich" lässt ja Ausnahmen zu ...)
    Das sehr gute Add-on "Allow HTML Temp" installieren. Damit kannst du mit einem einzigen Klick jede gerade angezeigte E-Mail (bei vertrauenswürdigem Anbieter) im html-Format betrachten.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    Hallo Peter,

    vielen herzlichen Dank für diese aufschlussreiche Antwort.

    - HTML-Ansicht deaktivieren
    - Mails als Reintext senden
    - Plugins deaktivieren (Java, Flash etc pp)
    - IMAP verwenden
    - "Allow HTML Temp", falls man doch mal eine Email in HTML-Ansicht sehen möchte
    - Dubiose Anhänge sofort löschen, erwünschte Anhänge auf Viren prüfen

    => Mehr Sicherheit und besserer Datenschutz :)

    Summa summarum bin ich nun einen ganzen Schritt weiter.

    Freundliche Grüße,
    Julian

    In einer in HTML-Nachricht benötigt man noch nicht einmal Javasript, um Dir die übelsten Dinge unterzuschieben. Mir ist vor sehr vielen Jahren folgendes passiert:

    Ich öffne im Büro eine E-Mail, die mir vom Betreff her plausibel erschien. Ehe ich auch nur Piep sagen konnte, wurde ich irgendwohin umgeleitet und mir wurde Pornographie übelster Art angeboten. Ich habe seinerzeit unseren Administrator informiert und die Polizei.

    Des Rätsels Lösung war folgender Befehl in den Kopfdaten der HTML-Nachricht:
    <meta http-equiv="refresh" content="0; URL=http://.../">

    Damit wurde beim Öffnen der HTML-Mail sofort der Browser aufgerufen und die nach URL=http:// genannte Seite aufgerufen. Nach heutiger Rechtsprechung hätte ich mich möglicherweise allein durch das Öffnen der Nachricht strafbar gemacht, aufgrund der dargestellten Personen.

    Laß bloß die Finger von HTML in E-Mail-Nachrichten. Du weißt nie, was Dich beim Öffnen einer solchen Nachrichten erwartet.

    Klaas

    Win 8.1, TB 24.3.0, diverse Provider mit POP und mit IMAP-Konten

  • Community-Bot 3. September 2024 um 20:10

    Hat das Thema geschlossen.