$ defaults write com.apple.mail PreferPlainText -bool TRUE
Grundlagen
-
Kryptographische Signatur
Mit der kryptographischen Signatur stellt der Absender einer Mail Informationen zur Verfügung, die Empfängern die Verifikation seiner Identität ermöglichen.
In Mail-Programmen wird eine kryptographisch signierte Mail eindeutig gekennzeichnet (meist durch ein Briefsymbol oder ein Siegel-Symbol). Durch Anklicken des Symbols können weitere Informationen über die Signatur angezeigt werden. Beispiele:
Outlook
Thunderbird
AppleMail
SOGo
-
Verschlüsselung
Mit der Verschlüsselung stellt der Absender einer Mail sicher, dass diese nur vom Empfänger gelesen werden kann. Sender und Empfänger müssen ein Nutzerzertifikat haben.
Beachten Sie, dass Sie zum Entschlüsseln von verschlüsselten Mails, Dateien etc. immer auch den privaten Schlüssel brauchen. Das gilt auch für Mails, Dateien etc. die in der Vergangenheit von mittlerweile abgelaufenen Nutzerzertifikaten verschlüsselt wurden. Es empfiehlt sich daher, abgelaufene Nutzerzertifikate (oder generell private Schlüssel) aufzubewahren, falls Sie alte (mit dem abgelaufenen Nutzerzertifikat/Schlüssel) verschlüsselte Mails, Dateien etc. noch entschlüsseln wollen.
-
Nutzerzertifikat
Um Mails kryptographisch signieren und/oder verschlüsseln zu können, wird ein Nutzerzertifikat benötigt. Während für die Verschlüsselung für Absender und Empfänger ein Nutzerzertifikat benötigt wird, reicht es für das kryptographische Signieren einer Mail aus wenn der Absender ein Nutzerzertifikat hat.
Sie können hier ein Nutzerzertifikat beantragen (inkl. Schritt-Für-Schritt-Anleitungen):
-
Wie sicher ist die E-Mail?
Man muss sich im Klaren sein, dass prinzipiell alle Inhalte inkl. Absender und Betreff einer E-Mail gefälscht sein können (mit Ausnahme von Teilen der Header-Informationen). Insbesondere die Absenderadresse und der Anzeigename des Senders können vorgetäuscht werden. In Kombination mit großen Datenlecks durch andere Phishing-Kampagnen (wie z.B. Emotet) können mit den abgeflossenen Daten täuschend echte Phishing-Mails erstellt werden, welche z.B. auf alten Mail-Verläufen aufbauen.
Die einzige Möglichkeit einen Mail-Absender eindeutig zu verifizieren besteht darin, Mails kryptographisch zu signieren, sodass der Empfänger diese Signatur prüfen kann.
Zögern Sie nicht die Telefonnummer eines Mailkontakts -außerhalb der Mail- nachzuschlagen und den vermeintlichen Absender telefonisch zur Verifikation zu kontaktieren, falls Signaturen nicht zur Verfügung stehen.
-
Mail-Spam-Abwehr an der LUH
Die Mail-Filterung auf Malware (u.A. Viren) und Spam erfolgt an der Leibniz Universität Hannover zentral durch das Rechenzentrum.
Informationen dazu, insbesondere zu den X-DFN-Spam-Leveln, gibt es hier:
Empfehlungen für den sicheren Umgang mit E-Mails
-
Mails kryptographisch signieren
Wir empfehlen generell alle Mails kryptographisch zu signieren, die notwendigen Zertifikatsinformationen zum Austausch verschlüsselter Mails werden dadurch nebenbei verteilt.
Absender, Betreff und Inhalt einer Mail sind frei wählbar und können nicht zur Verifikation des Absenders verwendet werden. Zögern Sie nicht die Telefonnummer eines Mailkontakts -außerhalb der Mail- nachzuschlagen und den vermeintlichen Absender telefonisch zur Verifikation zu kontaktieren, falls Signaturen nicht zur Verfügung stehen.
Für das kryptographische Signieren von Mails wird ein Nutzerzertifikat benötigt, welches Sie hier beantragen können:
-
Mails nur im Text-Format anzeigen lassen
Mail-Programme zeigen Mails oft standardmäßig in HTML an. Dies hat den Nachteil, dass z.B. bei Links die Link-Adresse durch einen Linktext verschleiert werden kann. Im Falle einer Phishing-Mail kann so z.B. ein schädlicher Link versteckt sein.
Wir empfehlen daher, eingehende Mails nur im Text-Format anzeigen zu lassen, um mögliche versteckte Inhalte / schädliche Links in Phishing-Mails auf einem Blick erkennen zu können. Dies kann entweder standardmäßig eingestellt werden (empfohlen) oder für verdächtige Mails zum Überprüfen eingeschaltet werden. Nachfolgend die Konfigurationsbeispiele für die gängigsten Mail-Programme.
Outlook
Microsoft hat dazu einen Support-Artikel.
Thunderbird
AppleMail
Temporär: Darstellung - E-Mail - Alternative für reinen Text
Permanent: Über den folgenden Befehl (+Mail-Neustart) kann die permanente Anzeige von reinem Text erzwungen werden:
Die Einstellung kann zurückgenommen werden, indem der gleiche Befehl mit FALSE statt TRUE ausgeführt wird.
-
Mails nur im Text-Format versenden
Die Etablierung von E-Mail-Kommunikation im HTML-Format birgt einige Risiken. Z.B. können bei Links die Link-Adressen durch einen Linktext verschleiert werden. Im Falle einer Phishing-Mail kann so z.B. ein schädlicher Link versteckt sein. Bei etablierten HTML-Mails vertrauen EmpfängerInnen möglicherweise eher dem Inhalt und überprüfen Links etc. weniger sorgfältig, sodass sie anfälliger für Phishing-Mails sind welche sich für etablierte Mails ausgeben bzw. diese kopieren.
Wir empfehlen daher, ausgehende Mails nur im Text-Format zu verfassen und auf die Etablierung von HTML-Mails (wenn möglich) zu verzichten. Wenn HTML-Mails unbedingt verschickt werden müssen, dann sollten diese auf jeden Fall kryptographisch signiert sein.
Nachfolgend zeigen wir Konfigurationsbeispiele für die gängigsten Mail-Programme.
AppleMail
Apple hat dazu einen Support-Artikel. Wir empfehlen hier, die Konfiguration so zu wählen, dass alle Mails im Text-Format verfasst werden.
Outlook
Microsoft hat dazu einen Support-Artikel. Wir empfehlen auch hier, das Ändern des Formats für alle neuen Nachrichten zu aktivieren.
Sogo
-
Absendemailadresse komplett anzeigen lassen
Mail-Programme kürzen (bekannte) E-Mail-Adressen oft mit einem Anzeigenamen / Alias ab. Wir empfehlen, die Einstellungen so zu ändern, dass immer die vollständige E-Mail-Adresse des Senders angezeigt wird, um Phishing-Mails direkt erkennen zu können. (Oft werden in Phishing-Mails mindestens der Anzeigename gefälscht).
Thunderbird
Outlook
Registerkarte Ansicht - Ansichtseinstellungen - Spalten. Dort dann die Spalte Empfängername hinzufügen.
-
Header-Informationen anzeigen lassen
In den Header-Informationen von Mails sind viele Informationen enthalten. Eine detaillierte Erklärung der einzelnen Bestandteile würde an dieser Stelle zu weit führen. Es lohnt sich jedoch, die Header-Informationen von Mails detaillierter als standardmäßig üblich anzeigen zu lassen, um Phishing-Mails zu erkennen.
AppleMail
Apple hat dazu einen Support-Artikel.
Outlook
Microsoft beschreibt das Anzeigen von Kopfzeilen für Internetnachrichten in Outlook in einem Support-Artikel.
Sogo
Thunderbird
-
(Automatisches) Öffnen & Ausführen von Anhängen vermeiden
Das Öffnen & Ausführen von Anhängen stellt ein großes Sicherheitsproblem dar. Schadcode wird ausgeführt und verbreitet sich selbst über Dateianhänge. In vielen Fällen ist es durch die Verwendung von Cloud-Diensten oder dem Download-Ticket-Service des LUIS nicht notwendig sich Dateien zuzusenden.
Das automatisierte Öffnen & Ausführen von Anhängen sollte auf jeden Fall vermieden werden. Standardmäßig ist dies bei Mail-Programmen jedoch meist nicht aktiv.
-
Externe Inhalte in Nachrichten verbieten
Es sollte vermieden werden, dass externe Inhalte einer E-Mail aus dem Internet heruntergeladen werden, sobald die Nachricht geöffnet wird. Einige Mail-Programme unterbinden dies standardmäßig, andere wiederum nicht. Daher sollte die korrekte Einstellung überprüft werden.
AppleMail
Apple hat dazu einen Support-Artikel (dort die Option "Entfernte Inhalte in Nachrichten laden" deaktivieren).
Outlook
Support-Artikel von Microsoft.
SOGo
Thunderbird
Support-Artikel von Mozilla
-
Versenden von E-Mails über Verteilerlisten
Beim Versenden von E-Mails an viele Empfänger über eine Verteilerliste kann es sinnvoll sein zu verhindern, dass der einzelne Empfänger die gesamte Empfängerliste mit E-Mail Adressen erhält.
Für diesen Zweck wird, nachdem die Mail wie gewohnt verfasst ist, im Feld „An“ nicht die Verteilerliste angegeben, sondern z. B. die eigene Adresse. Als eigentliches Adressfeld wird das Feld „BCC“ genutzt. BCC steht dabei für „Blind Carbon Copy“ und hat den Vorteil, dass für den einzelnen Empfänger alle anderen der Liste verdeckt und unsichtbar bleiben.
Anders ist es in kleinen geschlossenen Kreisen wie z.B. Projektgruppen. Hier sollten die Adressen weiterhin in das "TO:/AN:"- oder "CC:"-Feld eingetragen werden, insbesondere dann, wenn jedem Empfänger kenntlich sein soll, welche Personen die Mail erhalten haben.
-
Versenden von signierten Mails an Mailverteiler (z.B. Listserv)
Um über eine Mailingliste (Listserv) signierte Mails an die abonnierten Personen zu verschicken müssen einige Punkte beachtet werden:
-
Umgang mit nicht kryptographisch signierten Mails
Bei dem Erhalt von nicht kryptographisch signierten Mails sollten Sie erhöhte Vorsicht walten lassen und Ihre "Security-Awareness" stärken. Machen Sie sich bewusst, dass fast alle Informationen in solchen Mails gefälscht sein können. Wir raten:
- die zuvor genannten Empfehlungen für den sicheren Umgang mit E-Mails umsetzen / berücksichtigen, um Phishing-Mails zu erkennen
- keine Links in E-Mails anklicken (insbesondere wenn die Mail als HTML angezeigt wird, da dann der "echte" Link nicht sofort sichtbar sein kann)
- im Zweifel mit dem Absender telefonisch oder persönlich Rücksprache halten (insbesondere bei Aufforderungen zu Handlungen über Mail, z.B. Zahlungen oder Aufforderungen zum Versenden von Zugangsdaten)
Anleitungen
FAQ
-
Was benötige ich, um meine Mails kryptographisch zu signieren?
Sie benötigen ein Nutzerzertifikat, welches Sie anschließend in Ihrem Mail-Programm importieren können.
-
Ist eine Text-Signatur das gleiche wie eine kryptographische Signatur?
Nein.
Die Text-Signatur bezeichnet einen Textabschnitt (häufig am Ende) einer E-Mail. Sie wird meist dazu verwendet, um Informationen über den Absender (Name, Adresse, Telefonnummer o.ä.) automatisch in neu erstellte Mails einzufügen. Sie ist nicht geeignet um einen Absender zu verifizieren, da sie beliebig gewählt werden kann.
Die kryptographische Signatur hingegen wird durch ein asymmetrisches Kryptosystem erstellt und ermöglicht Empfängern die Verifikation des Absenders.
-
Wie versende ich eine verschlüsselte Mail an eine (Universitäts-)externe Person?
Das kann mithilfe von PGP realisiert werden. Weitere Informationen dazu finden Sie in unserer Anleitung.
-
Ich habe verdächtige Mails erhalten, was soll ich tun?
Die meisten Spam-Phishing-Mails können gelöscht und ignoriert werden. Sind Sie sich jedoch unsicher oder haben mit dem Absender interagiert, kontaktieren sie im Zweifel bitte security@luis.uni-hannover.de
Bitte senden Sie uns die verdächtigen Mails als Original im Anhang zu. Einfaches Weiterleiten reicht in diesem Falle nicht aus, da so die relevanten Header-Informationen verloren gehen.
-
Kann ich Spam-Mails zur Verbesserung der Spam-Abwehr melden?
Ja.
E-Mails, die von der Spamabwehr nicht erkannt wurden, nach Ihrer Auffassung aber Spam sind, senden Sie bitte (als Original im Anhang) an:
-
Wie sende ich eine verdächtige Mail im Original als Anhang weiter?
Manchmal ist es nötig, dass Sie verdächtige Mails an das Sicherheitsteam senden (z.B. wenn Sie verdächtige Mails erhalten haben und weitere Informationen wünschen). Dies muss immer als Original im Anhang geschehen, da sonst (z.B. beim normalen Weiterleiten) die Header-Information der Mail verloren gehen. Im Folgenden wird gezeigt, wie das geht.
AppleMail
Öffnen Sie die E-Mail, dann in der Menüleiste über "E-Mail" - "Als Anhang weiterleiten" (oder über "Rechtsklick" auf die Mail die Sie weiterleiten wollen, dann "Als Anhang weiterleiten").
Outlook
Outlook verwirft bei der Weiterleitung leider wichtige Informationen, die X-DFN-Header. Diese werden von dem Mail-Team aber benötigt. Leiten Sie Spam-Mails daher bitte mit dem jeweiligen Webmail-Angebot weiter.
SOGo
Thunderbird
"Rechtsklick" auf die Mail --> "Weiterleiten als: Anhang".
Ein alternativer Weg ist per Drag-and-Drop:
Outlook Webmailer (Workaround)
-
Meine Mailbox wurde gesperrt, wie kann ich sie wieder entsperren?
Im Falle der Sperrung einer Mailbox erhalten Sie i.d.R. eine Nachricht vom LUIS oder Ihrem zuständigen Systemadministrator mit weiteren Instruktionen.
Nachdem die Mailbox wieder entsperrt wurde, müssen weitere Schritte zur Reaktivierung vorgenommen werden. Diese sind hier beschrieben.
-
Die Signatur von Listserv-Mails wird als ungültig angezeigt. Was tun?
Um über eine Mailingliste (Listserv) signierte Mails an die abonnierten Personen zu verschicken müssen einige Punkte beachtet werden:
-
Ich habe weitere Fragen, an wen kann ich mich wenden?
Weitere Fragen bzgl. E-Mail-Sicherheit können Sie gerne an security@luis.uni-hannover.de richten.