E-Mails schön – oder sicher?

Kurz und bündig

Die Computerkriminalität zum Zweck der Schädigung fremder Computereinrichtungen oder der illegalen Bereicherung hat erschreckende Ausmaße angenommen. Über das Internet werden immer öfter Schadprogramme verbreitet. Diese können, oft unbemerkt, auf andere Computer übertragen werden und dort Schäden anrichten, aber zudem auf weitere Computer und Internetauftritte übertragen werden, wo sie wiederum Schäden anrichten und sich weiter verbreiten.

Ein Übertragungsweg sind E-Mails. Sie können sich und andere E-Mail-Empfänger relativ leicht vor Viren schützen, wenn Sie die kleine Mühe einiger Einstellungen Ihres E-Mail-Programms auf sich nehmen und auf etwas E-Mail-Komfort verzichten. Mit einem Satz: Senden und empfangen Sie E-Mails ausschließlich im reinen Textformat und nicht im HTML-Format!

Ausführlicher

Nur-Text-E-Mails kontra HTML-E-Mails

Bei allem technischen Fortschritt ist schön und sicher gleichzeitig leider noch nicht möglich. "Schöne" E-Mails sind meist angenehm anzusehen und bieten vielfältige Gestaltungsmöglichkeiten: verschiedene Schriftarten, -größen, -farben, unterschiedlichste Hintergrundmuster, -bilder, effekte, das Einfügen von Fotos und vieles mehr.

Voraussetzung für solch schöne E-Mails ist das HTML-Format. Und das hat beträchtliche Nachteile:

  • HTML-Code kann schädlichen Code (z. B. in VBScript, ActiveX, Java bzw. JavaScript) enthalten, der auf Ihrem Computer ausgeführt wird. Die Folgen sind alles andere als schön. Wenige, für Sie unsichtbare Codezeilen, z. B. so eingebettet
    <script type="text/javascript">
    ...
    </script>

    genügen, um Sie und andere zur Verzweiflung zu bringen.
     

  • Ein anderes klassisches Beispiel für schädliche E-Mails sind solche, die zum Anklicken eines Links auffordern (Originaltext, erdachte Beispiele, Links nicht anklickbar):

    HTML-Version:
    Betreff: eventuelle Sperrung des Kontos
    Ihre Kontobilanz ist negativ und beträgt - EUR 245. Wir empfehlen Ihnen das Konto aufzustocken. Sollten Sie in der letzten Zeit nichts gekauft haben, so folgen Sie bitte diesem Link
    http://www.anjora.de

    Nur-Text-Version:
    Betreff: eventuelle Sperrung des Kontos
    Ihre Kontobilanz ist negativ und beträgt - EUR 245. Wir empfehlen Ihnen das Konto aufzustocken. Sollten Sie in der letzten Zeit nichts gekauft haben, so folgen Sie bitte diesem Link http://www.anjora.de <http://www.klicksendetvirus.com>

    Während in der HTML-Darstellung ein vermeintlich harmloser Link angezeigt wird, offenbart die Nur-Text-Version, dass in Wirklichkeit zu einer ganz anderen Adresse verlinkt wird.
     
  • Vertrauen Sie nicht darauf, dass E-Mails von dem Absender stammen, den Ihr E-Mail-Programm anzeigt! Unter meinem Absender wurden schon viele Spam- und Viren-E-Mails versandt, sogar an mich selbst! Nur-Text-E-Mails von gefälschten Absendern verursachen wenigstens nur Ärger über unerwünschte Werbung, HTML-E-Mails unter Umständen beträchtliche Schäden an Ihrem PC.
     
  • HTML-Mails sind erheblich größer als Nur-Text-Mails. Das spielt zu Zeiten von DSL kaum noch eine Rolle, es sei denn, sie werden auf Handys, PDAs o. dgl. abgerufen.
     
  • Nicht jede E-Mail-Software kann HTML-Mails anzeigen. Diejenige auf PCs meist schon, zumindest hierzulande. Anders ist es wiederum mit Handys, PDAs o. dgl.
     
  • HTML-Mails sind meist entbehrlich. Die meisten HTML-Mails, die ich bekomme, enthalten nichts als völlig unformatierten Text. Und genügt es nicht auch, dass Sätze wie

      Wir treffen uns morgen um 18 Uhr in der Gaststätte Sollner Hof

    die reine Information enthalten, oder müssen sie "schön"

      Wir treffen uns morgen um 18 Uhr in der Gaststätte Sollner Hof

    aussehen? Über Geschmack lässt sich ohnehin streiten. (Blinkt der orangefarbene "Sollner Hof" bei Ihnen? Das hängt von Ihrem Browser ab bzw. bei E-Mails von Ihrem E-Mail-Programm.)
     
  • Vielfach wird bei Antworten auf E-Mails zitiert. Bei Nur-Text-E-Mails geschieht das normalerweise automatisch so:

    > > Wie geht es Dir?
    > Danke, gut. Und Dir?
    Ich kann nicht klagen.

    Es wird also jedem Zitat ein ">" vorangestellt. Was aber bei HTML-Mails?
    Ihre Ursprungs-Mail sieht so aus:
    Wie geht es Dir?
    Die Antwort ist so formatiert: Danke, gut. Und Dir?
    Wie formatieren Sie nun Ihre Antwort "Ich kann nicht klagen"? In welcher Schriftart? In welcher Farbe? Beim "Quoten" gibt die Anzahl der ">" vor dem Text Auskunft über die Reihenfolge mehrfacher Fragen und Antworten. Für HTML-Mails kenne ich keine Regel.
    Wer nicht ganz aufs Formatieren will, kann sich so behelfen:
    *fett*, _unterstrichen_ und /kursiv/. Manche Mailreader zeigen die Formatierung sogar an.
     
  • Ein weiteres Problem ist, dass nicht jede Schriftart, die einer der Mail-Partner verwendet, beim anderen verfügbar ist. HTML-Mails können also beim Empfänger ganz anders aussehen als beim Absender.
     
  • Haben Sie schon E-Mails mit dem mysteriösen Anhang Winmail.dat erhalten, der sich nicht öffnen lässt? Bei Nur-Text-Mails gibt es ihn nicht, und die Entstehung ist auch mir zu hoch.

Was tun als Empfänger von E-Mails?

Viele E-Mail-Programme können den Empfang aller E-Mails im Nur-Text-Format erzwingen. Das bedeutet, dass auch wunderschön (per HTML) gestaltete E-Mails als reiner Text angezeigt werden. Das hat den Nachteil, dass – siehe oben – alle künstlerische Kreativität unter den Tisch fällt, aber den unschätzbaren Vorteil, dass keine Virenübertragung stattfinden kann.

Beispiel Microsoft Outlook 2003:

 

Meine Maßnahmen:

  • Ich sende fast ausnahmslos Nur-Text-Mails. Damit ist die – vor allem bei weitergeleiteten Mails – erhebliche Gefahr der Virenverbreitung gebannt. Höchstens zu Geburtstagen und zu Weihnachten sende ich mal gestaltete HTML-Mails.
     
  • Ich habe mein E-Mail-Programm auf "Nachrichten im Nur-Text-Format lesen" eingestellt. Dadurch werden alle eingehende Nachrichten im ungefährlichen Nur-Text-Format angezeigt. Kenne ich den Absender, bin ich sicher, dass wirklich er die Mail geschrieben hat, und bin ich neugierig auf deren Layout, kann ich immer noch auf HTML-Anzeige umschalten.
     
  • Ich bitte, mir E-Mails möglichst im Nur-Text-Format zu senden. Sie sehen nicht ganz so schön aus, ersparen mir aber etlichen Aufwand.

Virenresistente Anlagen (Anhänge)

Sehr praktisch ist die Möglichkeit, Dateien an E-Mails anzuhängen. Das wissen auch Bösewichte, und sie nützen das weidlich aus. Die meisten Computerschädlinge werden über E-Mail-Anhänge verbreitet.

Gefährlich sind:

Programmdateien (.exe, .com, .bat und weitere), aber auch Dateien vom Typ Word (.doc), Excel (beginnend mit .xl), PowerPoint (beginnend mit .pp) und alle anderen Dateitypen, in denen Programmcode ausgeführt werden kann. Leider sind selbst PDF-Dateien (.pdf) keineswegs mehr absolut sicher.

Keinesfalls kann Programmcode in Nur-Text-Dateien (.txt) ausgeführt werden.

Meine Maßnahmen:

  • Ich sende gefährliche Formate nur dann, wenn es unumgänglich ist, z. B. wenn eine Datei vom Empfänger weiterverarbeitet werden soll. Sonst sende ich nur ungefährliche Formate, also vorzugsweise Nur-Text, ansonsten PDF. (Eine kostenlosen und einfach zu bedienenden PDF-Konverter finden Sie hier.)
     
  • Empfange ich Dateianhänge in gefährlichen Formaten, speichere ich sie in einem Quarantäne-Verzeichnis auf meinem Computer, prüfe sie dort mit meinem Antivirenprogramm auf Schädlinge und öffne sie, wenn keine Verseuchung gemeldet wird, erst dann von dort aus.
     
  • Ich bitte, mir E-Mail-Anhänge möglichst in ungefährlichen Formaten zu senden.

Kompliziert?

Wäre es nicht, wenn auf HTML-Mails verzichtet und vorzugsweise ungefährliche Anhänge versandt würden.

Hilfe?

Hier als Beispiel die Einstellung des weit verbreiteten Outlook Express auf Nur-Text (Extras -> Optionen -> Senden):

Nur-Text-Einstellungen:

Wer auf Nur-Text umstellen will und nicht damit zurecht kommt, kann mir Namen und möglichst Version seines E-Mail-Programms mailen. Wenn ich es kenne, versuche ich, bei der Umstellung zu helfen. Der Verzicht auf Formatierung macht aus einer HTML-Mail keine Nur-Text-Mail!

Bitte keinesfalls RTF-Mails!

Neben HTML- und Nur-Text-Mails gibt es – meines Wissens nur bei Microsoft-Mailprogrammen – noch RTF-Mails. "Das Rich Text Format (RTF) ist ein Dateiformat für Texte, das von Microsoft 1987 eingeführt wurde. Es kann als Datenaustausch zwischen Textverarbeitungsprogrammen verschiedener Hersteller auf verschiedenen Betriebssystemen dienen." (Wikipedia – siehe gesamten Artikel.) Das RTF-Format macht in der Textverarbeitung sicher Sinn als universelleres Format als das proprietäre Word-Format. Wer RTF-formatierte Texte austauschen will, muss das aber mit seinem Partner vereinbaren und die Dokumente als E-Mail-Anhang versenden.

Als Format für E-Mails selbst halte ich es für völlig ungeeignet. Längst nicht jedes Mailprogramm kann mit dem RTF-Format – noch dazu richtig – umgehen. Im RTF-Format kommen beim Empfänger oft schlecht und nicht selten gar nicht lesbar an. Schalten Sie Ihr E-Mail Programm auf ein anderes Format um – Nur-Text oder, wenn formatiert schon sein soll, auf HTML. Bei Outlook 2003 haben Sie die Wahl in diesem Fenster:

Anselm Rapp

Ohne Gewähr. Für den Inhalt dieser Seite ist verantwortlich:

Anselm Rapp, Geigenbergerstr. 13, 81477 München, Tel. 089/798849, Fax 089/792365, E-Mail Anselm.Rapp@anjora.de.