Wie im Beitrag zum Datenschutz dargestellt, wird hierbei die Methode angewendet, das Ziel von Links in den E-Mails durch  ”falsche” Linktexte zu verschleiern und so den Empfänger in die Irre zu führen. Ein einfacher Blick in die Adresszeile des Browsers genügt, um eine solche Täuschung zu erkenne, oder eben eine Sicherheitssoftware, die Links dieser Art entsprechend kennzeichnet.

Je mehr Informationen ein Anbieter über seinen potentiellen Kundenkreis hat, desto gezielter und damit wirtschaftlicher kann er vorgehen (siehe: BFDI – Werbung und Adresshandel).  Jede Marketingkampagne wird an ihrem Erfolg gemessen. Dass auch die Gewinnung von Informationen und Adressdaten zu diesen Erfolgen zählen, ist nur den wenigsten bewußt. Der Handel mit Adressdaten, darunter auch E-Mail Adressen sollte nicht unterschätzt werden.

Wer gibt schon freiwillig Daten von sich preis? Vermutlich die wenigsten. Deshalb müssen sich die Unternehmen etwas einfallen lassen. Zu den erfolgreichsten Methoden gehören solche, bei denen unsere geheimen Wünsche und Träume angesprochen werden, z.B. durch die Aussicht auf einen Gewinn. Ein Beispiel: Vor einigen Monaten war an vielen Bahnhöfen jeweils ein Mercedes SLK mit der Aufschrift “Gewinn mich”  in der Halle abgestellt. Gewinnspielteilnehmer musste nichs weiter tun, als eine Karte mit ihren Daten auszufüllen und diese durch die halb geöffneten Scheiben des Wagens einzuwerfen.

Validierung von E-Mail-Adressen

Web Bugs

Die einfachste Methode festzustellen, ob eine E-Mail-Adresse existiert bzw. noch verwendet wird, ist der Versand einer E-Mail mit einem sogenannten Web Bug. Web Bugs sind sehr kleine (meistens nur 1 x 1 Pixel große), transparente Bilder im GIF oder PNG Format, die auf einem Webserver abgelegt sind. Diese Bilder sind  in den HTML-Inhalt der E-Mail eingebunden und werden beim Betrachten der E-Mail vom Webserver nachgeladen. Typischerweise wird dabei beim Aufruf ein Identifikationsstring übergeben.

Beispiel:

In einer E-Mail an roland@domain.tld wird ein Web Bug wie folgt eingebunden: http://servername.domain.tld/webbug.gif?mail=roland@domain.tld. Beim Betrachten der E-Mail wird die URL des Webbugs aufgerufen und in der Logdatei des Webservers taucht ein entsprechender Eintrag auf.

Viele E-Mail-Clients zeigen aktive Inhalte nicht automatisch an, so auch Outlook

Was hat der Absender davon:

Der Absender kann durch Auswertung der Logdateien des Webservers zum einen feststellen von wievielen Empfängern seine E-Mail gelesen wurde, zum anderen hat er eine Sammlung von E-Mail-Adressen, die validiert sind. Diese E-Mail-Adressen kann er an andere verkaufen.

Links in E-Mails

Vor einigen Tagen erhielt ich eine E-Mail mit folgendem Inhalt

Hallo Herr Ehle,

Ihr Laptop ist defekt und kann nicht repariert werden? Aus Kulanz bieten wir Ihnen ein neues kostenloses Gerät an. hier klicken (Anmerkung: Link wurde entfernt) um das Ersatzgerät kostenlos anzufordern. Unser Angebot gilt nur bis zum 29.06.2010!

Ähnlich wie bei den Web Bugs enthielt auch der Link einen Identifikationsstring. Durch den Aufruf der verlinkten Adresse könnte der Absender folgende Informationen über mich gewinnen:

• Die E-Mail-Adresse wird verwendet
• Der Empfänger besitzt mit sehr hoher Wahrscheinlichkeit einen Laptop
• Das Laptop des Empfängers ist möglicherweise defekt

Mit einer Sammlung solcher Daten könnte man eine E-Mail-Marketingaktion für den Verkauf von Laptops starten und würde sicherlich einige Umsätze generieren.

Die Methode E-Mail-Adressen über per E-Mail versendete Links zu validieren, wird immer häufiger angewendet, da viele E-Mail-Clients aktive Inhalte nicht mehr automatisch anzeigen.

Abwesenheitsnotizen

So nützlich die Einrichtung einer Abwesenheitsnotiz auch ist, so bietet sie auch jede Menge Informationen. Häufig wird in Abwesenheitsnotizen ein Vertreter mit E-Mail-Adresse und Telefonnummer genannt. Auf diese Art kann man im Laufe der Zeit Informationen über die Strukturen eines Unternehmens sammeln und gewinnt nebenbei auch noch neue E-Mail-Adressen, die mit sehr hoher Wahrscheinlichkeit auch existieren.

Opt-Out-Link

Häufig findet man am Ende von E-Mails einen Link, über den man den Newsletter abbestellen kann. Bei dubiosen Absendern wird diese Methode ebenfalls dazu verwendet, die E-Mail-Adresse des Empfängers zu validieren.

Sonstiges

“Gefälschte” Links

Häufig werden Links in E-Mails mit einem anderen Linktext versehen, um das Ziel bzw. die eigentliche Adresse zu verschleiern. Diese Methode wird meistens in Phishing-Attacken verwendet, um dem Empfänger vertrauliche Zugangsdaten zum Onlinebanking, PayPal, eBay oder ähnlichem zu entlocken.

Wenn man als Empfänger solcher E-Mails unaufmerksam ist und die aufgerufene URL in der Adressleiste des Browsers  nicht nachprüft hat man praktisch schon verloren. Beispiel: Der folgende Link führt zur Startseite dieses Blogs, obwohl im Linktext Google als Ziel vorgetäuscht wird: http://www.google.de

Fazit und Empfehlungen

Nicht jeder Absender einer E-Mail ist  ein Bösewicht, der es nur auf Datengewinnung abgesehen hat. Im Ungang mit E-Mails sollte man einige infache Regeln befolgen:

• Den gesunden Menschenverstand nicht über Bord werfen
• Keiner hat etwas zu verschenken
• Aktiven Inhalt sollte man nur dann nachladen, wenn der Absender vertrauenswürdig ist
• Links in der Adressleiste des Browsers kontrollieren, bevor man Daten eingibt
• Opt-Out-Links nur verwenden, wenn der Absender vertrauenswürdig ist, oder wenn es sich um einen Newsletter handelt, den man bewußt selbst abonniert hat
• Einen aktuellen Virenscanner verwenden
• Für Gewinnspiele nach Möglichkeit sogenannte Wegwerf E-Mail-Adressen verwenden

Links:

• Anbieter von Wegwerf E-Mail-Adressen
• BSI – Antispam Strategien
• Wikipedia – Internetwerbung

Gerade im Hinblick auf ein unlängst gefälltes Urteil,  wo es um eine nicht zugestellte E-Mail ging (Unterlassungserklärung eines Anwalts wurde nicht zugestellt) ist es wichtig, über geblockte E-Mails Bescheid zu wissen.

Gestern habe ich an dieser Stelle einen Artikel über  Glückwunschkarten, die einen Virus bzw. Trojaner enthalten veröffentlicht. Einige Besucher hier, lassen sich per E-Mail über neue Artikel informieren. Bei einigen wurde die Information nicht zugestellt, die Nachricht wurde abgewiesen, und zwar wahrscheinlich nur deshalb, weil im Betreff die Wortkombination Virus/Trojaner vorkam.

Berichtenswert ist dieser Umstand deshalb, weil unter den Servern, die die Zustellung verweigerten, auch die Cloud-Lösung von Messagelabs war, von der ich bisher ziemlich viel gehalten hatte. Alle anderen Nachrichten an diese Empfänger wurden übrigens zugestellt.

#5.1.0 SMTP; 553-Message filtered. Please see the FAQs section on spam

#5.2.0 SMTP; 550 Administrative prohibition

#5.7.1 SMTP; 550 5.7.1 Blocked by policy (B-URL)

officexp-KB910721-FullFile-ENU.zip

Die beiden von mir verwendeten Virenscanner (Sophos und ClamAV) erkennen den Virus immer noch nicht.

Absender: Diverse
Betreff: Update for Microsoft Outlook / Outlook Express (KB910721)
Anhang: officexp-KB910721-FullFile-ENU.exe

Seitdem Browser den Hostnamen im HTTP-Header mitsenden können mehrere virtuelle  Webserver mit jeweils eigenem Domainnamen über eine einzige IP-Adresse bedient werden. Die Webserver Software, wie z.B. Apache unter Unix/Linux oder IIS unter Windows, ordnen hierbei die Seitenaufrufe der Browser über den mitgelieferten Hostnamen dem jeweiligen virtuellen Host zu.

Beim Aufbau einer HTTPS-Verbindung zwischen Browser und Webserver erfolgt zuerst der SSL-Handshake, bei dem sich Browser und Webserver über die Verschlüsselung der Verbindung einigen. Erst danach sendet der Browser den Hostnamen über die dann gesicherte Verbindung. Etwas deutlicher:

• User gibt URL in Browser ein https://domainname.tld
• domainname.tld wird in eine IP-Adresse aufgelöst und der Browser stellt Verbindung zu dieser IP-Adresse und Port 443 her
• Es erfolgt der SSL-Handshake. Der Server verwendet hierzu das Zertifikat, das für die Komination aus IP-Adresse und Port definiert wurde
• Der Browser übergibt über die verschlüsselte Verbindung den Hostnamen, der Webserver ordnet den Hostnamen einem virtuellen Host zu

Wenn also mehrere SSL-Zertifikate von einem Webserver verwendet werden sollen, gibt es nur folgende Abhilfemöglichkeiten:

• Für jedes Zertifikat muss im Webserver eine separate Kombination aus IP-Adresse und Port verwendet werden.
• Verwendung von sogenannten Wildcard-Zertifikaten (z.B. *.domainname.tld) – Nachteil: gilt nur für Subdomains (im Beispiel nur für Subdomains der Domain domainname.tld)
• Mit der Spezifikation von TLS Version 1.2 soll Server Name Identification (SNI) ermöglicht werden. Die Spezifikation ist jedoch noch in der Planung

Quellen: unter anderem http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure

Congratulations!! You have won todays Macbook Air.
Please open attached file and see datails.

Offensichtlich begleitet von schlechtem Gewissen bietet Thawte den Nutzern des Dienstes 2 Goodies an, um den Verzicht auf den Dienst zu versüßen. Laut E-Mail des Anbieters darf man auf bis zu 100 US$ Preisnachlass beim Kauf eines SSL und/oder Code Signing Zertifikats hoffen. Handfester erschien mir hier das Angebot ein Versisign Zertifikat für ein Jahr kostenlos zu erhalten, wovon ich auch direkt Gebrauch machte.

Sehr schade, dass Thawte das Angebot einstellt, wo doch durch diese Offerte der Einstieg in die digitale Signatur für Privatanwender vereinfacht wurde.

Interessanterweise ist die Webseite, über die bislang vom kostenlosen Angebot Gebrauch gemacht werden konnte, nach wie vor online geschaltet. Da hat wohl jemand geschlafen Wer also noch schnell Gebrauch davon machen möchte und dadurch eventuell ebenfalls in den Genuss der o.g. großzügigen Angebote kommen möchte, sollte sich via http://www.thawte.com/secure-email/web-of-trust-wot/index.html# schnell anmelden.

Die Mitteilung im Überblick:

Teil 1: Einführung
Der Transport von E-Mails zwischen Absender und Empfänger verläuft ähnlich wie der Transport einer Postkarte. Auf dem Weg zum Empfänger über mehrere Zwischenstationen kann im Prinzip jeder, der sich Zugriff zu den Systemen verschaffen kann, den Inhalt der Nachricht lesen und gegebenenfalls sogar ergänzen oder ändern.  Unter digitaler Signatur und Verschlüsselung von E-Mails versteht man Verfahren zur Sicherstellung von Authentizität, Integrität und Vertraulichkeit.

Die Verfahren
Bei den Verfahren wird zwischen S/MIME und PGP unterschieden. S/MIME basiert auf der Verwendung von Zertifikaten. Diese Zertifikate werden entweder von der eigenen PKI oder einem öffentlichen Trustcenter ausgestellt. Der Aussteller prüft dabei die persönlichen Daten des Besitzers des Zertifikats, wie Name, E-Mail-Adresse und Anschrift. Das Zertifikat wird zusammen mit dem öffentlichen Schlüssel auf einem Verzeichnisserver veröffentlicht und kann dort abgerufen werden. Der Besitzer verfügt über den privaten Schlüssel des Zertifikats. S/MIME setzt eine vertrauenswürdige Zertifizierungsstelle voraus.

Zertifikat

Bei PGP wird mit einer Software ein Schlüsselpaar generiert (privater und öffentlicher Schlüssel), dies wird in der Regel vom Besitzer selbst durchgeführt. Der öffentliche Schlüssel kann auf einen PGP-Server veröffentlicht werden und ist dort für die Allgemeinheit abrufbar.  Um das Vertrauen in einen solchen Schlüssel zu erhöhen, bestätigten sich die PGP Nutzer gegenseitig die Vertrauenswürdigkeit ihrer Schlüssel.

Die Verwendung von S/MIME ist inzwischen in die meisten E-Mail-Programme integriert, für PGP wird eine separate Software benötigt.

Digitale Signatur

Bei einer digital signierten E-Mail wird mit dem privaten Schlüssel des Absenders ein Hashwert über den Inhalt der E-Mail berechnet und der Nachricht hinzugefügt. Der Empfänger kann mit dem öffentlichen Schlüssel prüfen, ob die Nachricht und die Unterschrift zusammenpassen. Ist dies der Fall, kann der Empfänger sicher sein, dass der Inhalt der Nachricht während des Transports nicht verändert wurde.

Verschlüsselung

Für die Verschlüsselung wird der öffentliche Schlüssel des Empfängers verwendet, um den Inhalt der Nachricht zu verschlüsseln. Der Empfänger kann sie mit seinem privaten Schlüssel entschlüsseln. Die Nachricht kann im Gegensatz zur signierten E-Mail auf dem Transportweg nicht gelesen werden.  Zusätzliche Sicherheit wird erreicht, wenn eine verschlüsselte Nachricht vom Absender signiert wird.

Weiterführende Links:

• BSI – Sichere Nutzung von E-Mail
• TC Trustcenter (Zertifizierungsstelle)
• Thawte – Kostenloses Zertifikat für private Nutzung
• GPG4Win – Kostenlose PGP Software
• SelfHTML – Signatur