Sicherheitsfunktionen im Mailheader erkennen
Gegen die Flut von gefälschten Mails versuchen sich auch viele Firmen zu wehren und haben in den vergangenen Jahren folgende Techniken in ihre Mailsysteme eingebaut: SPF mit DKIM, DMARC und ARC. Damit diese wirken, müssen sie allerdings vom Sender und Empfänger entsprechend konfiguriert sein. Als Privatanwender, etwa mit einem Mailkonto bei Gmail oder Web.de, können Sie die Funktionen nicht nutzen. Dennoch geben sie Hinweise auf den Absender. SPF steht für Sender Policy Framework. Die Technik macht die Domains überprüfbar, aus denen Nachrichten stammen. DKIM steht für Domain Keys Identified Mail. DKIM bestätigt, dass der Nachrichteninhalt authentisch und unverändert ist. DMARC steht für Domain-based Message Authentication, Reporting & Conformance. Damit lässt sich festlegen, wie in einer Domain mit verdächtigen E-Mails umgegangen wird. ARC steht für Authenticated Received Chain. Damit kann ein weiterleitender Mailserver den Versand auch dann signieren, wenn die Techniken SFP und DKIM nicht oder nicht richtig genutzt wurden. Grundsätzlich gilt: Wenn keines dieser vier Kürzel im Header einer Firmenmail zu finden ist, dann ist das kein gutes Zeichen und macht die Mail verdächtig. Allerdings gilt auch, dass selbst einige größere Firmen ihre Mailserver noch immer äußerst schlicht konfigurieren und ohne ARC, SPF, DKIM und DMARC senden. Weitere Infos zu den genannten Sicherheitstechniken gibt es hier.
Mailprüfung auch mit gesundem Menschenverstand
Auch die beste Analyse der Absenderdaten muss immer auch mit einer guten Portion Menschenverstand und Misstrauen ergänzt werden. Denn selbst, wenn eine Mail tatsächlich vom angegebenen Absender stammt, kann sie dennoch bösartig sein und auf eine Phishing-Website oder einen PC-Virus verlinken. Dazu ein einfaches Beispiel. Eine Mail gibt vor, von Payback zu stammen. Nachrichtentext und enthaltene Bilder sind so gut gemacht, dass sie tatsächlich von Payback stammen könnten. Als Absender trägt die Mail payback@punkte.payback-de.pw . Eine genaue Untersuchung der Mail ergibt, dass die Mail tatsächlich von dieser Adresse stammt. Der Grund dafür ist einfach. Die Adresse gehört den Kriminellen. Eine Headeranalyse bringt also in erster Linie dann etwas, wenn es einen Unterschied zwischen vorgeblichem Original und tatsächlicher Mailadresse gibt.
Dateianhänge gefahrlos öffnen: Alternative Tools
Grundsätzlich gilt: Wenn an einer Mail eine ausführbare Datei hängt, dann sollten Sie diese nicht ausführen. Selbst wenn die Mail von einem Freund, Verwandten oder Kollegen stammt. Anders sieht es mit mit Office-Dateien mit den Endungen .XLSX, .DOCX oder .PDF aus. Diese muss man zwar auch mit großer Vorsicht behandeln, doch kann man sie oft nicht ignorieren. Denn wenn der Chef eine Mail mit einem PDF im Anhang schickt, dann muss man sich meist darum kümmern. Das wissen auch die Angreifer und versenden deshalb oft bewusst über die Mailkonten von Kollegen und Freunden. Infos dazu finden Sie hier . Gleichzeitig können auch in Office-Dokumenten gefährliche Codeteile stecken, die Ihren PC mit einem Virus infizieren. Wenn Sie also nicht umhinkönnen, PDF-, DOCX- oder ähnliche Dokumente zu öffnen, dabei aber Vorsicht walten lassen möchten, dann nutzen Sie alternative Tools für die Anzeige. Denn der möglicherweise enthaltene Virencode nutzt fast immer die speziellen Funktionen von Microsoft Office oder Adobe Acrobat Reader. Öffnen Sie also ein verdächtiges Word- oder Excel-Dokument besser mit Libre Office , um sich gefahrlos seinen Inhalt anzusehen. Eine PDF-Datei lassen Sie sich zum Beispiel mit dem einfachen Viewer Sumatra PDF anzeigen.
(PC-Welt)