---

@kai-n  schrieb:

Niemand verschickt HTML-Anhänge.

---

Bei der Verwendung der DATEV-Emailverschlüsselung (SEPPmail) schon

Beim ersten Eintreffen dieser E-Mail von "1and1" musste ich zugegebenermaßen auch zwei Sekunden stutzen, aber halt "1and1" als Absender

Tja, 1and1.de gehört aber anscheinend tatsächlich 1&1, man wird nämlich direkt zu 1und1.de umgeleitet, wenn man das in den Browser eingibt. Also wirklich verhext.

Echten Schutz vor Identitätsdiebstahl würde eine Mailsignatur bieten. Dazu bräuchte 1&1 ein S-MIME-Zertifikat, das es bei verschiedenen Herstellern zu kaufen gibt. Von einem milliardenschweren Internetunternehmen kann man das aber natürlich nicht erwarten. 😤

---

@Steuererklärer  schrieb:

 

Tja, 1and1.de gehört aber anscheinend tatsächlich 1&1, man wird nämlich direkt zu 1und1.de umgeleitet, wenn man das in den Browser eingibt. Also wirklich verhext.

Stimmt, allerdings kam in all den Jahren nie auch nur eine einzige Mail von 1and1. Das weiß natürlich nicht jeder sofort. Absender lassen sich zudem ganz leicht fälschen, man könnte sogar die E-Mail so aussehen lassen, als wäre sie von 1und1 gekommen. Und da wären wir dann bei diesem Thema:

Echten Schutz vor Identitätsdiebstahl würde eine Mailsignatur bieten. Dazu bräuchte 1&1 ein S-MIME-Zertifikat, das es bei verschiedenen Herstellern zu kaufen gibt. Von einem milliardenschweren Internetunternehmen kann man das aber natürlich nicht erwarten. 😤

---

Korrekt, das verstehe ich auch nicht. Verschlüsselte E-Mails im B2B-Umfeld sind komplettes Neuland. Überall lauert die DSGVO, aber Unternehmen schicken sich milliardenfach "für alle lesbare Postkarten" mit interessanten Details zu.

---

@Steuererklärer schrieb:

Echten Schutz vor Identitätsdiebstahl würde eine Mailsignatur bieten. Dazu bräuchte 1&1 ein S-MIME-Zertifikat, das es bei verschiedenen Herstellern zu kaufen gibt. Von einem milliardenschweren Internetunternehmen kann man das aber natürlich nicht erwarten. 

---

Tatsächlich waren die elektronischen Rechnungen von 1&1 sogar mal mit einer QES ausgestattet. So ganz unbekannt ist S/MIME oder Signatur in Montabaur wohl nicht... 

Aber die Handhabung wie immer grausam, da man nie weiß, was auf der Empfängerseite geht und was nicht... 

Klassisches Henne-Ei-Problem... 

Also beschränkt man (admin u.s.w.) sich fast nur auf die TLS (Transportverschlüsselung) und hofft das Beste... Und weil man ja nicht ahnen kann, ob der Absender auch in der Lage ist mit 465 zu kommunizieren, wird der 25 doch noch offen gelassen... 

Wer erkennt den Fehler?

Beste Grüße
Christian Ockenfels

Soeben im Webmail-Postfach von STRATO eine Email bekommen.

1. Zeile:

"Ihr E-Mail Programm unterstützt leider keine HTML E-Mails.".

Mein Email Programm heißt in diesem Fall "Strato Webmail".

Vielleicht sollte man die Emails von Strato erstmal im "Strato Webmail"-Email Programm checken...

---

Tja, 1and1.de gehört aber anscheinend tatsächlich 1&1,

 

Das ist gängige Praxis bei vielen großen Webseiten und soll vermeiden, dass die Nutzer bei falscher Schreibweise/ vertippen auf betrügerischen Seiten landen. Beispiel: Amaton.de oder Amazohn.de führen dahin wo man wollte, wenn man sich nicht vertippt hätte.

Adecco versucht es auch schon und schreibt an seine "Geschäftspartner..."

Alles gut getarnt hinter einer gehackten Emailadresse.

Also aufpassen, wenn man auf einmal "Geschäftspartner" von denen zu sein scheint...

... an Weihnachten könnte man auch leicht in eine Falle wegen angeblich nicht zustellbarer Paketsendungen tappen

Je nach Einstellung des E-Mail-Clients wird die verdächtige Original-Absenderadresse nicht angezeigt, sondern nur der unverdächtige Anzeige-Name für die E-Mail des Absenders (hier: "Bestellung-Versand").

'Selbstverständlich' befinden sich an einigen Stellen des E-Mail-Textes (im "E-Mail-Body") suspekte Hyperlinks, die man besser nicht anklicken sollte

Was mir aber nicht so ganz verständlich ist:

... über die URL müsste man doch mit Hilfe des Providers eigentlich an den Domain- oder Subdomain-Inhaber herankommen oder wenigstens an die verwendete ip-Adresse

... hier z.B. die 'verdächtige' (vorsichtshalber editierte) E-Mail-Adresse:

"contactdpdPaket202312257id13xyzxyzxyz@iurekdgzb.revailler.online" ...

Wäre es denn nicht möglich, den jeweiligen Urheber solcher Mails zu ermitteln, vor allem dann, wenn Schaden entstanden ist und ggfs. ein öffentliches Interesse an der Identifizierung des Verantwortlichen besteht ....

... oder ist das bloß ein frommer, unrealistischer Wunsch ?

... hier die betreffenden Screenshots dieser suspekten E-Mail :

Und auch da dreht sich die Welt weiter: Microsoft 365 und die Mails mit QR-Phishing-Codes Wer schon bei den bisherigen Beispielen strauchelt, hat 2024 was vor 😉.

Und wenn Entwickler jetzt noch "Dinge" in Protokolle interpretieren 😉 : SMTP Smuggling - Spoofing E-Mails Worldwide - SEC Consult (sec-consult.com)

... es kratzt sicher am Ego, wenn man in eine primitive Falle getappt ist, ...

... aber eine neue, viel raffinierter Falle wäre mir auch nicht lieber und zählt nicht als Ausrede ...

... und aus einem Schaden wird man vermutlich auch nicht klüger

... gut wäre ein E-Mail-Client, der nichts außer 'nacktem' Text zulässt

Ich bräuchte keine 'Verschönerungen', keine Hyperlinks, Scripts, html oder andere aktive Komponenten

... gäbe/gibt es denn einen Kommunikations-'Kanal', den man aus heutiger Sicht als sehr sicher bezeichnen könnte ?

Nachtrag:

am liebsten würde ich sämtlichen E-Mail-Verkehr, der in der Kanzlei eingeht, erst durch eine Art 'Klärwerk' schicken, der sämtlichen 'Müll', aber auch potentiell gefährliche E-Mail-Anlagen (z.B. Original-MS Office-Dateien, Scripts) blockiert oder entfernt und nur völlig unbedenkliches Material ('reines Trinkwasser') an die Kanzlei weiterleitet.

Aber soll es Rückmeldungen an die Absender der abgelehnten oder 'gesäuberten' E-Mails geben ? 

❐ ja   ❐ nein  ❐ vielleicht

Man will ja später nicht mit Mandanten diskutieren müssen, ob z.B. Original-Word- oder -Excel-Dateien in der Kanzlei angekommen sind oder aus Sicherheitsgründen abgelehnt wurden

Dafür hätte der NoSpamProxy ein cooles Feature: Content Disarm and Reconstruction (CDR) (Konvertierung Word, Excel & PDF-Dateien | NoSpamProxy)

Wenn abgelehnt wird, dann _muss_ auch der Absender informiert werden.

Ich verwende Pegasus Mail, ist schon etwas älter. Da bekommt man sauberen Text, kann den echten Absender (die Mailadresse) sehen und muß Anhänge - auch html - manuell öffnen. Außerdem wird jede Mail in einer separaten Datei gespeichert. Ist nicht so "sexy" wie Outlook (und nicht mit Datev verbindbar), aber mE wesentlich ungefährlicher.

https://www.pmail.com/

Ist kostenlos, aber man spendet freiwillig.

... immer wieder 'nett' (und vermutlich gefährlich), solche E-Mails

... eigentlich ein 'alter Hut', aber 'mit neuer Schleife' sieht er immer wieder modern und 'tragbar' aus

Mich würde stark interessieren, welches Risiko genau in solchen Html-Anlagen steckt.

Ich hatte mir schon solche Html-Dateien gespeichert und mit einem Editor geöffnet, konnte aber nichts 'Lesbares' erkennen.

Ich vermute, dass binärer Code irgendwo im Dateisystem abgelegt und später ausgeführt oder sogar direkt im RAM ausgeführt wird

Hat jemand nähere Informationen, was hier passieren könnte oder lässt sich der Code evtl. in einer sicheren Umgebung debuggen/analysieren ?

Deshalb ist die DATEV E-Mail Verschlüsselung nicht so cool, weil die auch mit HTML Links in Anlagen arbeitet. Oder wie sieht das @Stefan_Maetz? 

Aber ja, die ist schon ziemlich gut gemacht. Wer meint, dass 1and1.de das Richtige ist, hat ein Problem. Vielleicht sollten Häcker sich mal www.deutschland-wird-digital.de sichern und ein Digitalministerium erfinden, dass dann 100.000 EUR als Preis ausschüttet und man der freudige Gewinner ist, wenn man seine Kreditkartendaten eben inkl. PIN mitteilt 😂. Vielleicht steige ich auch noch in das Geschäftsmodell ein. Muss aber noch einen Weg finden, wie man Bargeld smart von A nach B bringt, damit das FA nichts merkt, weil: aktuell keine Kartenzahlung möglich 😂.

---

Muss aber noch einen Weg finden, wie man Bargeld smart von A nach B bringt, 

---

Beamen.... 

Aber dann brauchst Du diesen zweifelhaften Geschäftszweig nicht mehr... pro Beamen einen Cent und Du kannst den Dagobert machen... 

Sorry. Zu technisch. Das scheidet leider aus. Pro Beamen braucht man Passierschein A38 in dreifacher Ausführung im Original auf Nadeldruckern. Hast Du auch eine andere Lösung? 😆

EDITH: Jeder Beamvorgang kostet viel Strom. Daher kann man nur im Norden, direkt an Windrädern beamen, weil im Süden die notwendige Energie nicht ankommt. 

Vielleicht kann ich ja den Bifröst nehmen? Der ist auch so schön #bunt. 

---

@metalposaunist  schrieb:

Vielleicht sollten Häcker sich mal www.deutschland-wird-digital.de sichern und ein Digitalministerium erfinden

---

Ach, so komplex brauchst du doch nicht einmal. Ich sag nur einmalzahlung400.de …

Denn einmalzahlung.bmbf.de oder so wäre ja zu vertrauenswürdig. Stattdessen wird für jeden Mist eine neue Domain registriert. Was halt dabei rum kommt, wenn die FDP Digitalisierung zur Chefsache erklärt und den zuständigen Staatssekretär abschafft. 🙄

... es gibt doch sicher Html-Spezialisten, die auf Anhieb sagen können, was hier passiert.

Vielleicht steckt gaaaanz weit hinten ein Zwei-oder Drei-Zeiler als Javascript (oder Ähnliches), der den mitgeschickten Binärcode ausführt

Ich habe leider nur 'rudimentäres' oder sagen wir 'homöopathisches' Html-Wissen 😅

---

@vogtsburger  schrieb:

 

... es gibt doch sicher Html-Spezialisten, die auf Anhieb sagen können, was hier passiert.

 

Neben HTML kann dort JavaScript-Code enthalten sein, und weitere Elemente aus dem Web könnten nachgeladen werden.

Im allerbesten Fall passiert nichts, da das E-Mail-Programm nach Anklicken des HTML-Anhangs keinen Web-Browser sondern einen Editor (Notepad...) aufruft und man den Quelltext sieht.

Im besten Fall wird nur ein Bild nachgeladen, der Abruf registriert, und der Absender weiß dann, dass die E-Mail ein Ziel erreicht hat. Die E-Mail-Adresse wird für ihn dann wertvoller und sicherlich mit weiteren E-Mails bedacht.

In schlimmeren Fällen öffnet sich der Webbrowser, er führt das enthaltene JavaScript aus, das dann schlimme Dinge auf dem eigenen Rechner tut. Oder man fängt sich durch das Herunterladen von Medien irgendwelche Drive-By-Geschichten ein.

Um es den Angreifern möglichst einfach zu machen, verwende man Windows in einer veralteten und/oder ungepatchten Variante, man klicke gedankenlos auf alle hereinkommenden Anhänge, als Anwendung für HTML-Anhänge öffnet der E-Mailer zudem einen Webbrowser, der ohne Nachfrage/Schutz direkt JavaScript ausführt und alle Medien nachlädt.

---

@metalposaunist  schrieb:

Deshalb ist die DATEV E-Mail Verschlüsselung nicht so cool, weil die auch mit HTML Links in Anlagen arbeitet. Oder wie sieht das @Stefan_Maetz? 

Ich gehe davon aus, dass "Dual Use-Charakter" von html-Anhängen sicher ein Grund für Apple ist, das Öffnen derselben in Safari zu untersagen. Ich kann nachvollziehen, dass Apple-User das "nicht so cool" finden.

Da die durch uns versandten Mails und damit auch die Portal-Mails aus einer E-Mail-Security-Perspektive (unserer Meinung nach) durchdacht gemacht sind, trauen wir uns durchaus noch, unsere E-Mail-Verschlüsselung durch diese Lösung zu ergänzen. Diese hat einfach den Vorteil, dass sie relativ niederschwellig zu benutzen ist und die Mehrzahl der Nutzer damit gut klar kommt (das sagen zumindest unsere Zahlen aus dem Service).

Natürlich ist es möglich, noch bessere Lösungen als diese zu bauen und es gibt durchaus gute Argumente dafür, dass die E-Mail für manche Zwecke kein zeitgemäßes Medium mehr ist. Nichtsdestotrotz können wir mit unserer Lösung für viele Nutzer einen sinnvollen Mehrwert bieten und arbeiten natürlich auch an der weiteren Verbesserung unserer Dienste.

---

@Stefan_Maetz schrieb:

Nichtsdestotrotz können wir mit unserer Lösung für viele Nutzer einen sinnvollen Mehrwert bieten und arbeiten natürlich auch an der weiteren Verbesserung unserer Dienste.

---

Geht so. Gerade einen Mandanten vor Ort gehabt, der am iPhone nicht die Apple Mail App nutzt, sondern jene seines Franchise Anbieters. Ich hatte DUO bestellt inkl. mM und die E-Mail der DATEV aus dem LC wurde dort durch einen fetten, roten Hinweis ergänzt: Diese E-Mail wurde manipuliert. 

[Die Möglichkeit den Text farbig zu machen, hat man uns in der Community leider genommen].

Als Anwender ohne großes Technikwissen und als jemand, der genau liest, stelle ich mir Fragen 🤔. 

@Stefan_Maetz ,

da sich die Datev wahrscheinlich aus emotionalen und technischen Gründen nicht so schnell von dieser 'Html-Lösung' 'lösen' wird, würde mich interessieren, ob es E-Mail- bzw. Qutlook-Einstellungen gibt, die sämtliche E-Mail-Eingänge mit Html-Anlagen unbesehen in den Spam-Ordner schickt, aber die Datev-E-Mails 'durchwinkt' ...

... da man der Datev ja nichts Böses zutraut 😉

Hallo Herr Vogtsburger,

schön, dass Sie in diesem Bereich großes Vertrauen in uns haben 🙂 Mir ist leider keine solche Filtermöglichkeit direkt in Outlook bekannt. Sofern Sie direkt am Mailserver zum Beispiel einen Sieve-Filter einrichten können, sollte das aber durchaus möglich sein. Bei einem Exchange (Online) kann vielleicht PowerAutomate helfen, da hört allerdings meine Expertise sehr schnell auf.

---

@Gelöschter Nutzer  schrieb:

[...]

Ja, dann gibt es noch diese ganzen ZeroDay-Exploits.. kampf gegen windmühlen.. aber grundsätzlich hab ich das gefühl: es tut sich was

[...]

---

... es tut sich hoffentlich nicht nur was an der 'Qualität' der E-Mail-Texte und an der 'Qualität' der Malware 😎

Mittlerweile sehen die Mails so echt aus, dass es tatsächlich reale Texte sein könnten, die natürlich dann mit Hilfe von Hyperlinks oder Buttons 'vergiftet' werden und direkt in die Katastrophe führen können.

... wie brisant das Thema Malware, Cyberangriffe & Co ist, sieht man an den vielen Cyberangriffen in letzter Zeit, z.B. ganz aktuell

....  "Hacker legen VARTA lahm"

... früher ging es nur um Porno, Viagra & Co.

... heute geht es um das 'große Ganze', um Existenzen

Ich habe die letzten Wochen 3 E-Mails auf meine private(n) E-Mail Adresse(n) von Microsoft zur 2FA bekommen, die mich wohl nie erreichen sollten. Zusammen mit @janm haben wir schon versucht den Grund dafür zu erörtern: leider erfolglos. Wir nehmen an, dass freenet.de ggf. ein "Täter" sein könnte. Anbei zwei Beispiele (die 2FA Codes sind längst abgelaufen): 

Hier nochmal der Hinweis, weil die (angeblichen) E-Mail-Adressen im An: stehen: Leitet diese E-Mails niemals irgendwohin weiter! Auch nicht aus Hilfsbereitschaft oder anderen Gründen an den eigentlichen Empfänger. Wenn die E-Mail da nicht ankommt, wo sie ankommen soll, läuft was falsch!

Ich habe alle drei E-Mails als Anhang an phish@office365.microsoft.com weitergeleitet. Wenn sich DATEV da auch für interessiert, kann ich diese ebenfalls gerne an DATEV weiterleiten. 

Auch 2FA ist nur so gut, wie man das Verfahren selbst anwendet.