Sicherheitseinstellungen für eMails überprüfen

<BLOCKQUOTE><font size="1" face="Tahoma, Verdana, Arial">Zitat:</font><HR>
Seit dem Erscheinen eines Artikels ( ) zur E-Mail-Sicherheit in c't-Ausgabe 12/2000 stellen wir eine kostenlose
Prüfmöglichkeit für E-Mail-Programme zur Verfügung. Es handelt sich letztlich um eine Test-E-Mail, die die
Sicherheitseinstellungen überprüft. Diese Test-E-Mail können Sie sich über eine spezielle Web-Seite ( ) zuschicken
lassen. Insbesondere Benutzern von Outlook und Outlook Express empfehlen wir, die Sicherheitseinstellungen
Ihrer Software mit dieser Test-E-Mail zu überprüfen.
[/quote]

(Zitat von )

Die Zeitschrift c't vom Verlag heise ist eine der besten Computerzeitschriften. Sie macht sehr seriöse Tests und man kann diesen Tests vertrauen.

Es wird nur simuliert, nur aufgezeigt, was möglich wäre, z.B. Dateien von deiner Festplatte zu lesen (löschen wäre auch möglich, wenn die Sicherheitseinstellungen zu gering sind, aber das wird natürlich nicht gemacht).

Sehr interessant.

Um einen Mißbrauch auszuschließen, läuft der Test so ab:
Zunächst auf der o.g. URL deine eMail-Adresse eintippen und abschicken.
Es erscheint die Meldung "Die Nachricht mit der URL, über die Sie sich letztlich die Test-E-Mail zusenden lassen können, ist unterwegs."

Sofort erhälst du eine eMail. Diese kommt von "c't-E-Mail-Check" &lt;[email protected]&gt;

Diese eMail enthält eine neue URL, auf die du gehen sollst (drauf klicken).

Nun kommt die eigentliche Test- eMail.

Sie fängt mit diesem Text an:
<BLOCKQUOTE><font size="1" face="Tahoma, Verdana, Arial">Zitat:</font><HR>
diese HTML-Nachricht enthält sowohl eingebettete Skripte als auch Attachments. Sie dient
lediglich dazu, die Sicherheitseinstellungen Ihres E-Mail-Programmes und die Ihres
Betriebssystem daraufhin zu überprüfen, wie anfällig Ihr System für etwaige Würmer und Viren in
der E-Mail ist. Die Funktionen sind nur dazu da, eventuelle Lücken in den
Sicherheitseinstellungen zu dokumentieren. Schäden verursachen sie nicht.
[/quote]

Also, bei mir passierte gar nichts, außer daß die mail ankam, als Text, wie sich das gehört ...

Schreibt doch mal, was bei euch für Sicherheitslöcher entdeckt wurden.

ciao
Andreas

nur text, nix weiter

prüfroutine freut sich das nix geht, und ich mich auch

Sibse
*Mögen alle meine Fehler sich auf ihre Plätze begeben und möglichst wenig Lärm dabei machen*
- Inuitspruch -

Hi Andreas,
die Prüfroutine meint, es wär alles gut. Ihr Wort in Gottes Ohr!

Gruß
Wolfgang

..also bei mir waren drei Attachments angehängt. Zwei zeigten den Text der mail und bei der dritten erschien die Meldung 'Diese Nachricht sollte nicht erscheinen. VBS-Attachments werden ausgeführt.'

Und was mach ich nu???

Fragende Grüße
Alexis


-sic gorgiamus allo subjectatos nunc-

oops, bei uns war nur das letzte aufgeführt !?!

Andreas, sach doch mal was !!!
Was heißt das denn nun?

Beckersmom

www.hund-und-halter.de
SUAVITER IN MODO - FORTITER IN RE

Mensch, da ist ja viel Resonanz.
Finde ich gut, wenn Leute ihre Sicherheitseinstellungen noch mal prüfen.

Das eine attachment (Anhängsel) enthält eine ganz primitive VBS (visual basic script) - Anweisung, nämlich
<BLOCKQUOTE><font size="1" face="Tahoma, Verdana, Arial">Zitat:</font><HR>MsgBox "Diese Nachricht sollte nicht erscheinen, VBS-Attachments werden ausgeführt"
[/quote]

Der VBS-Befehl ist also nur, eine Messagebox aufzumachen mit dem genannten Text.

Wenn aber dies erlaubt ist, muß man davon ausgehen, daß auch andere VBS-Befehle ausgeführt werden würden.

Der berüchtigte "loveletter"-Wurm war ein VBS-Befehl, er hat ja bekanntlich umfangeiche Befehle ausgeführt, Adreßbuch durchsucht, Mails abgeschickt usw.

Ich habe noch nie Outlook oder Outlook Express benutzt. Daher kann ich auch keine Screenshots liefern, wo man was einstellt.

Ich kopiere hier eien kurze Anleitung der c't rein:
<BLOCKQUOTE><font size="1" face="Tahoma, Verdana, Arial">Zitat:</font><HR>Viren und Würmer in der E-Mail

Neben reinem Text transportieren E-Mails oft auch zusätzliche Daten, die sich zumeist in Anhängen
(Attachements) befinden. Diese Attachements können Trojaner oder Viren enthalten, die - falls sie zur
Ausführung gelangen - den eigenen Rechner infizieren und sich von dort aus auch weiterverbreiten. Neben den
durch ILOVEYOU zu trauriger Berühmtheit gelangten Visual Basic Scripts (.vbs-Dateien) stellen auch Word-
oder Excel-Dateien ein Sicherheitsrisiko dar. Wer auf Nummer sicher gehen will, sollte grundsätzlich keine
Attachements öffnen und die Anzeige von HTML-Mails deaktivieren.

Eine HTML-Mail kann eingebetteten JavaScript- oder VisualBasic-Skript-Code enthalten, der bei zu niedrigen
Sicherheitseinstellungen Schaden anrichtet. Gängige E-Mail-Programme, zum Beispiel Outlook Express, führen
nämlich in einer HTML-Nachricht enthaltene Skripte schon in der Vorschaufunktion aus. Die
Standardeinstellungen von Windows verbieten das Ausführen von Skripten in HTML-E-Mail nicht, sondern
erlauben dies explizit über die Einstellungen für den Internet Explorer (Active Skripting aktiviert).

Besonders gefährlich wird das bei aufgeweichten Sicherheitseinstellungen (ActiveX-Steuerelemente ausführen,
die nicht sicher sind). Dann ist es mit einer einfachen E-Mail möglich, auf alle Dateien zuzugreifen und somit die
gesamte Festplatte zu löschen. Outlook Express etwa fragt bei solch niedriger Sicherheit nicht einmal nach.
Immerhin: Von sich aus verbieten die Sicherheitseinstellungen des Internet Explorer und damit die von Outlook
Express den Aufruf der "unsicheren ActiveX-Funktionen". Man sollte diese Einstellung also um keinen Preis
ändern. Inwieweit man höhere Maßstäbe anlegt, also auch das Ausführen sicherer ActiveX-Funktionen nicht
erlaubt, hängt vor allem von den persönlichen Surf-Gepflogenheiten ab.
[/quote]

Also...
- HTML in eMails ausschalten
- Visual Basic Scipt und Javascript für eMails ausschalten.
- "unsichere ActiveX-Funktionen" ausgeschaltet lassen.

Keine angehängten Winword- oder Excel-Dateien öffnen. Ist natürlich schwer, weil viele Leute sich wenig Gedanken darum machen und Winwordtexte verschicken, z.B. der Hermesbrief. Habe ich dem Herrn Klinger schon geschrieben, aber na ja...

Man kann hier statt Winword, was ja auch Skripte enthalten kann und diese ungefragt ausführt, ein Betrachtungsprogramm installieren und dem Internetbrowser und dem eMailprogramm sagen, daß es das Betrachtungsprogramm starten soll statt der unsicheren Winword-/Excel-Programme.

Diese Betrachtungsprogramme gibt's umsonst, Einzelheiten kann man hier lesen:

Nachtrag: Beim Überprüfen der Links mußte ich feststellen, daß der Link zu der englisch-amerikanischen Version zeigt.
Man kann aber in der URL einfach den Teil EN-US mit DE überschreiben, dann kommt zur deutschen Version.
Die komplette, deutsche URL lautet also:

Ist leider 4262 kB groß, dauert also etwa 20-30 Minuten für den Download.

ciao
Andreas

Hallo Andreas,

ich hab' zwar kein Wort von dem verstanden, was Du da schreibst - aber trotzdem Danke für die Mühe

Ich mach keine Anhang auf, ohne daß Norton ihn geprüft hat. Hoffe mal, das langt .....

Beckersmom

www.hund-und-halter.de
SUAVITER IN MODO - FORTITER IN RE

Hallo Andreas,

danke Dir

Jetzt mal bitte ein Outlook Express-Kenner:

Wo kann ich die unsicheren Active-X-"Dinger" ausschalten??

Übrigens sagt der Check bei mir, ich soll nicht nur die unsicheren Active-X deaktivieren, sondern auch die sicheren?

Danke Euch





Marion und ihre 2 Höllenhunde Tau & Tiptoe

Hi OE-User,

die Sicherheitsoptionen stellt ihr wie folgt ein:

1. IE aufrufen
2. Extras / Internetoptionen aufrufen
3. Reiter Sicherheit anklicken
4. Button "Stufe anpassen" anklicken
5. Alles deaktivieren, was euch zu unsicher ist.

Gruß
Wolfgang

Danke Wolfgang





Marion und ihre 2 Höllenhunde Tau & Tiptoe