departure69
Goto Top

Outlook, kein HTML-Mail, Akzeptanz?

Hallo.

Wir sind gerade mit ISIS12 beschäftigt.

ISIS12 ist zwar gegenüber größeren Informationssicherheitsmanagementsystemen wie BSI-Grundschutz oder ISO27001 deutlich abgespeckt, vom Umfang her für unseren kleinen Laden trotzdem eine mächtige Herausforderung. Deswegen haben wir hier eine zertifizierte Beraterin mit im Einsatz, die das Projekt bis zum Abschluß begleitet.

Die Beraterin hilft nicht nur dabei, das in weiten Teilen sehr theoretische Konstrukt ISIS12 umzusetzen, sondern gibt auch praktische Tipps zur Informationssicherheit. Viele der Tipps hat jeder schonmal gehört, gelesen oder gesehen, so auch ich, allerdings noch nie in die Tat umgesetzt. Der jüngste Tipp zum Thema Informationssicherheit von ihr ist, standardmäßig an allen Outlook-Clients HTML-Mail auszuschalten, damit die Gefahr des schnellen Mausklicks auf gefährliche URLs oder im Textkörper der Mail eingebetteten Schadcode zu verringern.

Fragen:

- laßt Ihr in Outlook HTML-Mail zu?
- sind die vorgenannten Gefahren wirklich so viel geringer, wenn HTML-Mail nicht eingeschaltet ist?
- falls bei Euch HTML-Mail eingeschaltet ist, wie würden Eure User auf eine Abschaltung reagieren, wenn nur noch reine Textmails zugelassen sind (keine Links, URLs, Grafiken und Textformatierungen mehr)?


Bitte um Eure Meinung dazu.


Vielen Dank.


Viele Grüße

von

departure69

Content-Key: 343041

Url: https://administrator.de/contentid/343041

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.07.2017 aktualisiert um 10:31:20 Uhr
Goto Top
Moin,

Meine persönliche Meinung:

HTML-Mail sind überflüssig und nur eine weitere Gefahrenquelle. Nur legen sehr viele Benutzer das Gewicht mehr auf die Form als auf den Inhalt. Von daher muß man den Leuten oft erklären, warum es sinnvoll ist, HMTL-mails einzuschränken. Ohne Widerstand geht es meistens aber nicht.

Ich empfehle meinen Kunden immer HTML-Mails nur in Ausnahmefällen zuzulassen. Viele folgen dem Rat, genausoviele aber auch nicht.

lks
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 11.07.2017 um 11:10:07 Uhr
Goto Top
Ich fühle mich bei HTML-Emails alles andere als wohl.

Die Gefahr ist tatsächlich, dass der Schwachpunkt, der vor dem Rechner sitzt durch einen irreführenden HTML-Link in die Falle gelockt wird.

Bisher hat die Sensibilisierung meiner Nutzer etwas gebracht. Sie sind sehr vorsichtig.

Ich habe aber auch schon nach kostenlosen Lösungen für EX2010 gesucht, mit denen ich vorgeschaltet jede ankommende Email in Nur-Text konvertiere. Leider habe ich nichts brauchbares gefunden.

Es wäre eine zusätzliche Präventivstufe, die nicht zu unterschätzen ist.
Mitglied: Kraemer
Lösung Kraemer 11.07.2017 um 11:38:34 Uhr
Goto Top
Moin,

Meine persönliche Meinung:

Zitat von @Lochkartenstanzer:
HTML-Mail sind überflüssig
das kann man so nicht ganz stehen lassen. Leider lässt sich die Welt heute nicht mehr in ASCII abbilden und eine Anlage ist auch nicht per se besser: Word-Dateien, PDF-Dateien etc. Alle haben exakt das gleiche Problem

und nur eine weitere Gefahrenquelle.
das hat aber nichts damit zu tun, ob die Mail nun Textonly oder HTML ist

Nur legen sehr viele Benutzer das Gewicht mehr auf die Form als auf den Inhalt.
in der Geschäftswelt muss beides stimmen. Wir hatten - allerdings aus anderen Gründen - damit mal getestet. Bei unseren Kunden kam das gar nicht gut an.

, HMTL-mails einzuschränken. Ohne Widerstand geht es meistens aber nicht.


Ich sehe das Risiko, das auf einer Internetseite versehentlich ein falscher Link angeklickt wird, deutlich höher, wie ein Link in einer Mail, der per Standard eh erst einmal blockiert sein sollte.

Gruß
Mitglied: departure69
departure69 11.07.2017 aktualisiert um 11:45:49 Uhr
Goto Top
@Kraemer:

Hallo.

Vielen Dank für Deine Antwort.

Ich sehe das Risiko, das auf einer Internetseite versehentlich ein falscher Link angeklickt wird, deutlich höher, wie ein Link in einer Mail, der per Standard eh erst einmal blockiert sein sollte.

Hhmmm, verstehe, klingt sinnvoll. Ich hätte weiterhin die "Bequemlichkeit" und den "Luxus" (Screenshots/Grafiken im Text, Textformatierung, "bunte" Signatur mit Logo usw.) von HTML-Mails, aber trotzdem den Sicherheitsgewinn, daß enthaltene Links im Textkörper nicht gleich einfach so klickbar sind.

Und wie mache ich das, ohne HTML-Mail auszuschalten? Gibt's dafür eine GPO?


Viele Grüße

von

departure69
Mitglied: Kraemer
Kraemer 11.07.2017 um 11:54:17 Uhr
Goto Top
Zitat von @departure69:
Und wie mache ich das, ohne HTML-Mail auszuschalten? Gibt's dafür eine GPO?
ich kenne dein Setup nicht. Ist aber vorstellbar.
Mitglied: departure69
departure69 11.07.2017 um 12:04:16 Uhr
Goto Top
O2K10
O2K13
und
O2K16

jeweils Standard (also jeweils inkl. Outlook) in 32-Bit.

Aktuelle Policy Definitions/ADM/ADMX für jedes vorgenannte Office-Paket am DC installiert/verfügbar.
Mitglied: departure69
departure69 13.07.2017 um 17:42:26 Uhr
Goto Top
Hab' nun mit den Bossen gesprochen. Ich hab' ihnen gesagt, was ohne HTML in Mails nicht mehr geht. Farbige Signatur, Textformatierung, direkt klickbare Links - das war alles egal, aber als ich noch hinzufügte, daß sich auch keine Grafiken (z. B. Screenshots - bei uns sehr häufig genutzt und direkt im Mailtext drin) mehr in den Mailkörper einfügen lassen, war das Maß wohl überschritten.

HTML-Mail ist weiterhin gewünscht und soll bleiben, quasi Befehl von oben. Auf die möglichen Gefahren hab' ich hingeweisen, mir wurde entgegnet, daß wir doch schon immer oder schon lange HTML-Mails hatten. Darauf konnte ich nur antworten, daß es bspw. vor 2 Jahren auch noch keine nennenswerte Ransomware gab. Dies wurde zur Kenntnis genommen und dem entgegnet, daß hierzu andere Schutzmaßnahmen (welche, darf ich mir jetzt ausdenken) ergriffen werden sollen, und insbesondere die Mitarbeiter noch stärker sensibilisiert werden sollen.

Geht also in die Richtung, wie @Kraemer es hier beschrieben hat.

Nun denn, HTML-Mail bleibt. Ich hätte aus Sicherheitsgründen gern darauf verzichtet.

Danke für alle Antworten.


Viele Grüße

von

departure69
Mitglied: VGem-e
VGem-e 18.07.2017 um 07:51:12 Uhr
Goto Top
Moin,

zwar etwas verspätet meine Auffassung:

Auch ich würde HTML-Mail gerne verbieten, dies ist jedoch seitens der GF z.Zt. nicht erwünscht.
Ich lasse deshalb dem Anwender die Wahl, wie er seine Mails formatiert.

Am AV-Scanner habe ich jedoch bis auf das Standard-Bildformat fast alle weiteren Bildformate gesperrt, was dazu führt (und auch hingenommen wird), dass eingebettete Grafiken, die von Outlook offenbar als PNG geführt werden, nicht mehr enthalten sind.

Gruß
VGem-e