Virenschutz – Einsatz von E-Mails im HTML-Format


Um in einem Mailprogramm grafische Elemente (Logos etc) in den Mailtext zu bringen, müssen Mails im HTML-Format versendet werden. Zusätzlich wird in Outlook eine HTML-Seite mit Grafikanhängen als „Briefpapier“ hinterlegt. Einige Tipps, warum man keine HTML-Mails verwenden sollte: * „Böse Zeitgenossen“ können in HTML-Mails Skripte verstecken, die bei der automatischen Voransicht von Outlook ausgeführt werden und Schadcode auf die Zielmaschine laden. Wir alle wissen, dass täglich neue Sicherheitslücken im Internet-Explorer und Office ausgenutzt werden. Bei der Voransicht benutzt Outlook Technologie des IE. * SPAMMER freuen sich über jeden Empfänger, der HTML-Mails zuläßt, da sie so (mit sog. Webbots) schon in der Voransicht feststellen können, das dies eine aktive Mailadresse ist. Viele spammer probieren so alle möglichen Kombinationen durch. Bei Text-Mails gibt es kein Feedback für die SPAMMER. * Der Datentransfer und die Leitungsbelastung wird durch die zusätzlich übermittelten Grafiken etwa um das 10-20fache einer normalen Mail gesteigert * Viele Mailempfänger haben entweder dem Empfang von HTML-Mails abgestellt oder verwenden ein Mailprogramm, das HTML nicht unterstützt (z.B. Lotus Notes) * Viele Firmen haben eine Richtlinie, die den Empfang und Versand von HTML-Mails unterbindet. Fazit: Wegen der damit verbundenen Sicherheitsrisiken haben wir uns entschlossen, die im Deploy hinterlegten Outlook-Versionen mit der Policy: Mail = Nur-Text, kein HTML zu verbreiten Wir werden wegen der damit verbundenen Risiken auch nicht aktiv zum Einsatz von HMTL-Mails unterstützen (Haftungsausschluss) und auch keine Anleitungen zur Einrichtung erstellen (Post ID:734)

Verwandte Beiträge
Wie sieht ein Locky Downloader aus
Derzeit ist neben einer angehängten Word-Datei eine E-Mail vom scanner@meinefirma.de (meinefirma.de entspricht der Firmendomain), der Betreff lautet z.B. mailadressedesmitarbeiters-3409450345890@meinefirma.de. Im
Neue Opera 9.02 Version steht beim Hersteller zum Download bereit
Wer mit Zertifikaten arbeitet (also jeder, der Banking macht), sollte unbedingt updaten. (Post ID:636)
Java Update 13 bitte unbedingt einspielen
Wieder wurden kritische und bekannte Sicherheitslücken gestopft. Unabhängig davon gilt weiterhin die Empfehlung, das Java-Browser-Plugin/ActiveX abzuschalten und nur dort Java
Über den Autor:

Patrick Bärenfänger ist seit mehr als 30 Jahren in der IT-Branche tätig und TÜV-geprüfter IT-Security Manager und -Auditor. Er beschäftigt sich mit der Gestaltung von Internet-Auftritten, Entwicklung von Web-Anwendungen, Mobilität, Fahrzeug-Multimediatechnik, neuer Software und Hardware. Windows und android sind seine Welt.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.