Bei der Nutzung von eMail kann unüberlegtes Handeln oder unsichere Werkzeuge oder Provider zu unliebsamen, auch teuren Überraschungen führen.
Mit Hilfe eines Tests von Mike Cardwell zeige ich auf, wo die Probleme liegen. Der Test besteht aus einem sehr trickreichen eMail mit vielen “Angriffen”, die nur die Schwachstelle anzeigen, aber keinen Schaden auslösen.
Schachstellen können beim Provider, seinen Servern, seiner Web-Mail-Unterstützung, beim Nutzer durch die Verwendung von unsicheren oder unsicher eingestellten Mailprogrammen und durch das Verhalten des Nutzers ausgelöst werden.
Auf der Webseite des Tests gibt man die eigene Mailadresse ein, dann erhält man eine Nachricht, womit man bestätigen soll, dass die eigene Mailadresse getestet wird.
Darauf erscheint eine Seite mit vielen grauen Feldern, welche die einzelnen Tests darstellen und ggf. rot werden, wenn die Schwachstelle ausgelöst wird. Um den Auslöser möglichste genau identifizieren zu können, ist z.B. das Mailprogramm vor dem Test zu stoppen.
Mit “Send Test Email” startet man den Test. Es kommt “sending”, “sent”, “Send Another Email”. Letzteres sollte man erst aufrufen, wenn der aktuelle Test abgeschlossen ist. Wer mehrere Mailkonten bei verschiedenen Providern hat und verschiedene Geräte nutzt, sollte für jede Kombination einen Test durchführen. Am besten vorher sicherstellen, dass alle Systeme und die verwendeten Programme aktuell sind. Wer den aktuellen Stand kennen will, macht zuerst die Tests, dann die Aktualisierungen.
So nebenbei sei erwähnt, dass hier kein Tracking stattfindet.
Färben sich bereits jetzt Felder, dann macht der Provider Fehler. Wer ein Mailprogramm testet, startet jetzt das Mailprogramm, meist werden dann alle Konten bereits eingelesen. Wiederum sollten sich keine Felder färben, weil das den Absender über das Abrufen des Mails informieren würde, ohne das Mail gesehen zu haben. Auch wenn man den eMail-Inhalt liest, sollte sich kein Feld verfärben. Bedenkt, das Mail soll die Schwachstellen testen und nicht schön aussehen. Wenn ihr was anklickt, dann ist klar, dass sich Felder verfärben und der Absender mitbekommt, was ihr angeklickt habt.
Das Mail hat Anhänge, es muss möglich sein, die Anhänge zu speichern ohne dass der Sender das mitbekommt. Thunderbird mit der Standardeinstellung schafft das locker. Auch das Öffnen der 4 Anhänge mit einem Editor löst keine Aktion aus, aber das Anklicken der Anhänge im Dateimanager kann schon gefährlich sein und hängt von den installierten Programmen, die der Endung zugewiesen sind ab. Das Ansehen mit einem Programm, das den Inhalt nur darstellt, aber nicht als Code interpretiert ist an dieser Stelle entscheidend.
Wie erwartet, ist der Test bisher gut gelaufen und ich kann eine weitere Möglichkeit das Mail zu lesen ausprobieren ohne das Mail erneut senden zu müssen. Der nächste Client ist mein Thunderbird-Mailclient auf Android. Auch dort kann ich das Mail lesen ohne dass sich irgend ein Feld färbt. Das Herunterladen der Anhänge spare ich mir, weil ich auf dem kleinen Bildschirm diese Arbeit nicht sauber durchführen kann.
Bleibt für mich die 3. Möglichkeit, das Mail zu lesen: der Zugang über Webmail.
Das Aufrufen von Webmail im Browser Firefox hat keine Folgen, allerdings ist das Testmail nicht das letzte Mail. Wähle ich das Mail aus, um es anzusehen, dann erfährt der Absender dies inklusive anderer Daten, die nützlich für einem potentiellen Angreifer sind. Er kennt jetzt meine IP-Adresse, weiß, dass ich Firefox der Version 128 unter Linux einsetze.
Ohne weitere Bildschirmabzüge bestätige ich den Test mit meiner mailbox.org-Adresse. Mailbox.org ist auch beim Webmail sauber!
Mit Hilfe des Tests kann man auch genau erkennen, was ein Anklicken eines Objekts im Mail für Folgen hat. Übrigens ganz vorsichtige Zeitgenossen haben die Ansicht des Mailprogramms auf reinen Text gesetzt, was ein Anklicken verhindert. Weil mittlerweile die meisten Mails html-Mails sind, ist das Lesen bei der reinen Textanzeige nicht so angenehm.
Was macht gmx beim Webmail falsch?
In der E-Mail sind die HTML-Aufrufe für ein Bild und einen Hintergrund enthalten. Da die Webmail-Unterstützung im Browser die Bilder darstellen möchte, wird der Abruf durch die Logeinträge auf dem angegebenen Server sichtbar. Thunderbird macht das nicht, sondern zeigt an, dass Bilder aus Sicherheitsgründen nicht geladen wurden.
Was ist das Problem, wenn der Absender mitbekommt, dass das Mail gelesen wurde?
- Normale private Absender bekommen das nicht mit. Auch weil da selten solche html-Konstrukte eingebaut sind. Am wahrscheinlichsten bekommt bei Windowssystemen das ein Hersteller von Antivirenprogramme mit, wenn der Werbetext einen html-Link enthält.
- Viele Firmen, die Mails versenden, möchten wissen welcher Anteil gelesen wird, wie die Nutzer auf Betreff-Zeilen reagieren. Sie können jeder Adresse/Mail-Versand einen eindeutigen Code zuordnen und ein Bild der Größe 1 Pixel mit dem Code als Dateinamen mit html anfordern. Nicht weiter tragisch, wenn die Firma das für sich macht, um das Angebot zu verbessern.
- Die meisten Firmen bauen weder das Bild selbst ein, noch machen sie die Auswertungen, sondern übertragen das einem Anbieter, der meist in USA sitzt. Er erhält von den Auftraggebern die Daten ihrer Kunden und sieht somit viel mehr als die einzelne Firma. Da wird doppelt verdient: von den Firmen für das ganze Paket (Tracking einbauen, Versenden, Auswertungen) und für die Daten, weil jetzt auch Auswertungen über die ganzen Firmen gemacht werden können und anderen Käuferschichten angeboten werden können.
- Dann gibt es noch die Spammer und die Adressensammler. Nicht verifizierte Mailadressen haben keinen oder nur einen ganz geringen Wert. Anders sieht es aus, wenn es sich um eine Mailadresse handelt, die auch gelesen wird, noch wertvoller sind sie, wenn es dazu weitere Informationen (von mobil, iOS oder Android, …) gibt.
- Spammer können lästig sein, es muss nicht kriminell sein. Kriminelle Vereinigungen starten ihre Angriffe oft mit Spam. Wenn sie mitbekommen, dass unter der IP-Adresse z. B. ein Win10 21H2-System werkelt, können sie gleich Angriffe auf das nicht mehr gewartete System starten. Angriffe bedeuten heutzutage nicht, dass Buchstaben vom Bildschirm fallen oder die Platte gelöscht wird, sondern es geht um Daten auf dem Gerät: Adressen, Bilder, Mails, Browser-und Shell-Historien, Zugangsdaten, Einstellungen, …
Was ist zu tun, wenn das Mailprogamm Schwachstellen auslöst?
- Updates prüfen
- Einstellungen überprüfen
- Anderes Mailprogramm verwenden. Z. B: Thunderbird
Was ist zu tun, wenn Webmail Schwachstellen auslöst
- Mit anderen Browsern versuchen, geringe aber mögliche Chance
- Wenn das Auslösen der Schwachstelle nur auf einer Plattform (Pc mit windows/linux, chromebook, Mac, mobil mit iOS, Android) geschieht, kein Webmail auf dieser Plattform nutzen.
- sicheres Mailprogramm nutzen
- Wer eine eigene Maildomäne bei einem Provider hat, kann mit der Maildomäne zu einem andern Provider umziehen.
- Provider und leider auch Mailadresse wechseln
Ich habe gmail-Konten, rufe sie konsequent nicht ab und weigere mich microsoft-Mail-Konten zum Testen anzulegen. Ich bin deshalb interessiert, wenn hier Testergebnisse gerade dieser Provider veröffentlicht werden. Bei Gelegenheit werde ich den Test mit win11 und dem edge-Browser wiederholen, dort interessiert mich, was dieser Browser vom aktuellen System preisgibt.
TL;DR:
Keine Probleme unter Linux mit Thunderbird. Meide gmx-Webmail. mailbox.org ist auch bei web-Mail sicher.