Möchten Sie eine Seite auf Gaijin.at verlinken?
Auf der Seite für Webmaster finden Sie Banner, Buttons und Text-Links, die Sie in Ihre Seite einfügen können.

Sicherheit im E-Mail-Verkehr

Inhalt

Attachments mit doppelten Dateiendungen
Systemeinstellungen
Die Anzeige von Dateitypen im Windows-Explorer
Automatisches Ausführen von Attachments
Outlook & Outlook Express absichern
SCRAP-Dateien

Relevante Programme

Attachments mit doppelten Dateiendungen

Grundsätzlich gilt, etwa 96% aller Internet-Würmer werden als Anhang einer E-Mail verschickt.

Um eine an E-Mails angehängte Datei möglichst unauffällig zu machen, nutzt ein geschickter Wurm-Programmierer die Unzulänglichkeiten des Betriebssystems aus, die in den Standard-Einstellungen, also direkt nach der Installation, überhaupt nicht berücksichtigt werden. So werden zum Beispiel nicht alle Dateiendungen angezeigt.

Systemeinstellungen

Bevor Sie sich mit der Frage nach dem richtigen und sicheren E-Mail-Clienten beschäftigen, sollten Sie zunächst die Einstellungen ändern, die das System so nicht in der Grundkonfiguration vorgesehen hat. Ansonsten kann Sie auch der sicherste E-Mail-Client nicht davor schützen, unbemerkt mit einem Schädling infiziert zu werden.

Eines ist sicher, Betriebssysteme wie Windows sind bequem und komfortabel, leider aber nicht sicher. Das beginnt bereits bei der Art und Weise, wie Windows Dateien verwaltet. Auch heute noch hält sich das Betriebssystem Windows an alte Konventionen aus der Zeit von DOS oder Windows 3.1. Hier legten die Entwickler fest, eine Datei besteht aus einem Dateinamen, der maximal acht Zeichen lang sein darf und aus den Buchstaben von a bis z und den Zahlen 0 bis 9 zu bestehen hatte. Es durften keine Sonderzeichen, keine Leerzeichen und schon gar nicht mehrere Punkte verwendet werden. Der Punkt nach dem Dateinamen definiert die Grenze zwischen Dateinamen und Dateityp, dem weitere drei Zeichen folgen, die den Dateitypen kennzeichnen, was dann etwa so aussieht: "abcde123.txt".

Anhand dieses Dateitypen erkennt Windows die Art der Datei und ruft dann bestimmte Routinen des Systems zur Abarbeitung auf. Dateien mit der Endung EXE, COM, BAT und SCR gelten als direkt ausführbare Dateien, die mit keiner Anwendung assoziiert sind. Meist handelt es sich hierbei um Programmdateien. Andere Dateien mit z.B. der Endung DOC für Word-Dokumente, oder XLS für Excel-Tabellen, rufen nach einem Doppelklick die hierfür registrierte Anwendung auf, also zum Beispiel Word oder Excel, um die Datei anzuzeigen.

Moderne Betriebssysteme ab Windows 95 sind aber in der Lage, im Dateinamen selbst Sonderzeichen, Leerzeichen oder auch mehrere Punkte sowie Dateinamen mit mehreren Hundert Zeichen zu akzeptieren. Die drei folgenden Beispiele stellen gültige Dateinamen für Programmdateien (EXE) dar:

123_doc_text.txt.exe
123_          dokument.doc.exe
123.xls                            .exe

Die Anzeige von Dateitypen im Windows-Explorer

Der Microsoft Windows-Explorer hat die unangenehme Eigenschaft, in den Default-Einstellungen nicht alle Dateiendungen anzuzeigen. So werden zum Beispiel die Dateiendungen von registrierten Dateien wie zum Beispiel EXE, COM, SYS, VBS, usw. nicht angezeigt sondern nur das Symbol mit dem eigentlichen Dateinamen.

Um die Anzeige der Erweiterungen zu erzwingen, rufen Sie die "Ordner-Optionen" auf. Entfernen Sie das Häkchen bei "Dateinamenerweiterungen bei bekannten Dateitypen ausblenden", sowie das Häkchen bei "Geschützte Systemdateien ausblenden". Setzen Sie weiters das Optionsfeld auf "Alle Dateien und Ordner anzeigen". Beim nächsten Start des Windows-Explorers werden Ihnen alle Dateien und alle Dateiendungen angezeigt.

Egal, über welche Internet-Anwendung Sie jetzt Dateien erhalten, sie werden korrekt angezeigt. Lernen Sie sich also an, zugeschickte Dateien vor der Ausführung zunächst in einem besonderen Verzeichnis zu speichern, danach mit einem aktuellen Virenscanner zu überprüfen und erst dann die Datei auszuführen. Verfallen Sie dabei auch nicht dem Irrtum, Bildschirmschoner mit der Dateiendung "SCR" sind ungefährlich. Technisch gesehen ist eine solche Bildschirmschoner-Datei eine ganz normale EXE-Datei, die direkt ausführbar ist. Gerade auf die Weise wurden schon viele Schädlinge verschickt und unbemerkt installiert.

Automatisches Ausführen von Attachments

Zunehmend beliebter wird das Versenden von Trojaner, Würmer und Dialer mit E-Mails. Einige Mailprogramme (z.B. Microsoft Outlook Express 5) ermöglichen das automatische Ausführen von Anlagen, die mit der E-Mail mit gesendet werden, sobald die Nachricht angezeigt wird. So können nicht nur Geburtstagsgrüße und lustige Animationen automatisch gestartet werden, sondern auch schädliche Programme. Diverse Einstellungen, wie sie unter "Sicherheitseinstellungen für den Internet Explorer" beschrieben sind, kann hier Abhilfe schaffen. Natürlich können auch alternative Mailprogramme, wie etwa "The Bat!" oder "Eudora" verwendet werden.

Microsoft Outlook Express 6 (Windows XP) führt viele Attachments nicht mehr automatisch aus sondern fragt nach, was mit der Anlage gemacht werden soll. Wenn dieses Dialogfeld angezeigt wird gilt: Zuerst überlegen, dann drücken! Wird diese Abfrage schon beim Anzeige der E-Mail eingeblendet, sollte auf jeden Fall "Abbrechen" gewählt werden!

Um zu demonstrieren, wie einfach Microsoft das automatische Ausführen von Trojanern macht, ist hier ein kleines Beispiel, samt Erläuterungen, angeführt. Der folgende Quellcode ist ein Auszug einer E-Mail, die den Trojaner "BugBear" beinhaltet (nicht funktionsfähig), der von Microsoft Outlook Express ausgeführt wird, sobald die E-Mail angezeigt wird:

MIME-Version: 1.0
Content-Type: multipart/alternative;
  boundary="----------N22ZDOJQTBRXZUM"

------------N22ZDOJQTBRXZUM
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>
<iframe src=3Dcid:qV5TzVHMm7mqf height=3D0 width=3D0>
</iframe>
<FONT></FONT>
<html><br>
<head><br>
<title>Account history</title><br>
<link rel=3D"stylesheet" type=3D"text/css"=<br>
  href=3D"https://www=2Ebetandwin=2Ecom/myAccount/
  includes/css/Konto=2Ecss=<br>
"><br>
</head><br>
<table width=3D"534" border=3D"0"
  bordercolor=3D"#ff0000"=<br>
  cellpadding=3D"0" cellspacing=3D"0"><br>
<tr><br>
<td rowspan=3D"2"><img=<br>
 src=3D"https://www=2Ebet
</BODY></HTML>

------------N22ZDOJQTBRXZUM
Content-Type: audio/x-midi;
	name=image.scr
Content-Transfer-Encoding: base64
Content-ID: <qV5TzVHMm7mqf>
...

Um den Code übersichtlicher zu machen, wurde der folgende Quellcode vereinfacht:

MIME-Version: 1.0
Content-Type: multipart/alternative;
  boundary="----------N22ZDOJQTBRXZUM"

------------N22ZDOJQTBRXZUM
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

<html><head></head><body>
<iframe src=3Dcid:123abc123 height=3D0 width=3D0>
</iframe>
</body></html>

------------N22ZDOJQTBRXZUM
Content-Type: audio/x-midi;
	name=image.scr
Content-Transfer-Encoding: base64
Content-ID: <123abc123>
...

Die Zeile <iframe src=3Dcid:123abc123 height=3D0 width=3D0></iframe> erstellt ein unsichtbares eingebettetes Frame (iframe), in dem die Datei image.scr ausgeführt wird. Die Quellenangabe in iframe (cid:123abc123) verweist auf eine Datei im MIME-Format. Hier wurde das MIME-Format zur Verschleierung des wahren Inhaltes verändert (audio/x-midi). Eigentlich wäre es in diesem Fall das Format "application", da es sich um eine ausführbare Programmdatei handelt.

Zusätzlich wurde der Name des Attachments verändert (name=image.scr). Das Attachment ist eigentlich eine EXE-Datei und kein Bildschirmschoner (SCR-Datei), aber da es sich in beiden Fällen um eine ausführbare Datei handelt und vom Explorer auch ausgeführt wird, ist es egal, ob als Endung EXE oder SCR verwendet wird. Auch hier wurde versucht, den wahren Inhalt zu Täuschen.

Die Programmdatei wurde mit Base64 konvertiert, um als E-Mail gesendet werden zu können. Es gibt eigene Programme die eine Datei in das Base64-Format konvertieren bzw. wieder in das ursprüngliche Format zurückkonvertieren können. Eine einfache Möglichkeit zum Erstellen von Base64-kodierten Dateien ist ein E-Mail-Programm, das die Möglichkeit des Speicherns von E-Mails bietet, wie etwa "The Bat!" oder "Microsoft Outlook Express". Um eine Datei, z.B. "winver.exe" in das Base64-Format zu konvertieren, zieht man die Datei in eine neue E-Mail-Nachricht. Die Datei wird automatisch von Outlook Express konvertiert und so zum Versenden vorbereitet. Wenn die Nachricht als EML-Datei abgespeichert wird, kann sie mit einem Texteditor geöffnet und der Base64-Code kopiert werden.

Man kann in den Sicherheitseinstellungen von Outlook Express bzw. Internet Explorer durch das Deaktivierten von Java, JavaScript, ActiveX, etc. zwar mehr Sicherheit erreichen, aber am einfachsten und vernünftigsten ist wohl das Verwenden von einem anderen E-Mail-Client.

Outlook & Outlook Express absichern

Um das automatische Ausführen von Attachments zu verhindern, stellen Sie in Outlook Express diese Sicherheits-Option ein:

Im Menü "Extras / Optionen / Sicherheit" wählen Sie unter "Sicherheitszonen" die "Zone für eingeschränkte Sites".

Falls Sie Outlook 2000 anstatt Outlook Express 5 benutzen, geht der Weg über: "Extras / Optionen / Sicherheit". Unter "Inhalt sichern" wählen Sie bei Zone "Eingeschränkte Sites".

Damit diese Zone auch wirklich eingeschränkt ist, starten Sie den Internet Explorer, um dort weitere Einstellungen vorzunehmen:

Unter "Extras / Internetoptionen / Sicherheit" klicken Sie auf "Eingeschränkte Sites" und auf "Stufe anpassen". Stellen Sie dort zumindest ActiveX, besser noch Java und JavaScript auf "Deaktivieren".

Jetzt werden Attachments zwar nicht mehr automatisch ausgeführt, aber beim Öffnen der Beilagen sollten Sie natürlich trotzdem vorsichtig sein.

SCRAP-Dateien

Word 2000 und XP bieten eine bequeme Möglichkeit, Auszüge aus Texten zur späteren Verwendung auf den Desktop zu ziehen, wenn zum Beispiel markierter Text mit gedrückter rechter Maustaste ein Datenauszug auf dem Desktop abgelegt wird.

Je nach Auswahl aus dem Kontextmenü entstehen auf die Weise Dokumentenauszüge mit der Dateiendung "SHS" (ShellScrap) oder "SHB" (DocShortcut). Diese so genannten ShellScraps oder DocShortcuts sind aber nicht ganz ungefährlich, denn es können auch Schädlinge darin eingebettet sein.

Gefährlich werden solche Scrap-Dateien, wenn mittels einer speziellen Technik, dem so genannten OLE (Object Linking and Embedding) beliebige Objekte in das Textdokument eingebettet werden. Benutzt wird die OLE-Technik eigentlich, um beispielsweise Klang- oder Videodateien einem Dokument beizufügen, die eine zusätzliche Erklärung zum Text liefern.

Auf die Weise können aber auch Viren, Trojaner oder andere Schädlinge in ein Dokument eingefügt werden.

Diese grundsätzlich bequeme und funktionale Technik hat ein zusätzliches Problem, denn Windows zeigt die Dateiendung SHS in den Grundeinstellungen nicht an, da es sich technisch um ein Systemobjekt handelt. Aus dem Grund wird die Dateiendung auch nicht angezeigt, wenn Sie bereits in den Optionen eingestellt haben, alle Dateiendungen anzuzeigen. Der ahnungslose Anwender weiß in der Regel also nichts von der Gefahr.

Erkennen können Sie Scrap-Dateien anhand des Icons (falls es nicht vom Verursacher verändert wurde, denn auch das ist möglich), das eine gewisse Ähnlichkeit mit dem Icon einer Textdatei hat:

Icon einer Scrap-Datei (SHS)

Im Zweifelsfall sollten Sie also zunächst die Eigenschaften der Datei aufrufen, indem Sie die Datei mit der rechten Maustaste anklicken und aus dem Kontextmenü die "Eigenschaften" aufrufen.

Als zweiten Schritt sollte die Dateinamenerweiterung wieder angezeigt werden. Rufen Sie dazu den Registry-Editor "regedit.exe" auf und gehen zum Schlüssel
HKCR / DocShortcut
und entfernen Sie den Wert: "NeverShowExt"

Gehen Sie dann zu
HKCR / Shellscrap
und entfernen Sie hier ebenfalls den Wert: "NeverShowExt"

Nach dem nächsten Systemstart werden auch Dateien mit der Endung "SHS" und "SHB" angezeigt.

Wenn Ihnen diese Dateien zugeschickt werden, seien Sie vorsichtig, überprüfen Sie das Dokument auf jedem Fall mit einem Virenscanner.

Benutzen Sie zur Ansicht nicht unbedingt MS Word, Excel oder PowerPoint, sondern kostenlosen Viewer dieser Programme. Die Viewer besitzen weitgehend die gleiche Funktionalität und zeigen alle Formatierungen eines Dokuments an, können aber keine eingebetteten Objekte starten.

Relevante Programme

Die folgenden Programme von Gaijin.at haben einen Bezug zu diesem Thema.

Phalanx (Freeware, portabel)
Phalanx ist ein leistungsstarker Spam-Filter für POP3-Konten, der unabhängig vom eingesetzten Mailprogramm arbeiten kann. Phalanx unterstützt bei der Anmeldung am Mailserver APOP (MD5) und sichere Verbindungen (SSL).

Beta-Bereich | Webmaster | Übersetzer | Unterstützung | Kontakt & Nutzungsbedingungen