Apple Pay - gleich habe ich auch ein Konto ...

[jw500]

Moin,

da hilft alle Vorsicht nichts.
Die Tage kam eine Mail wegen einer Bahncard 25.
Unterwegs seh ich die Mail auf dem Handy.
Bahncard 25, genau mein Tarif.
Denke mir "gut die wollte ich eh kündigen".
Schicke das weiter an meine Frau.
"Kannst das mal kündigen".
Kurz drauf ist mir eingefallen dass die auf dem Ebay Mailer auflief.
Hab es löschen können bevor es meine Frau aufgemacht hat.

Am PC hat der Virenscanner die Mail rausgehauen.
Im zweiten Anblick hab ich auch gesehen dass eine Doc. Datei dranhing.
Was an sich schon auffällig ist.

Holzauge sei wachsam.

Ist ja nicht so, dass ich nicht ständig davor warne
"zweifelhafte" Mails zu öffnen.

Grmpf!

Bin mir sicher, und die Erfahrung zeigts ja auch, dass massig
Mails mit irgendwelchen Rechnungen und Flugbuchungen usw, einfach
an die Chefs oder die Sekretärin, Buchhaltung weitergeschickt werden.
Und in dem Moment wo die Mail von einer bekannten Person kommt, oder gar vom Chef,
ist die Blockadefunktion "Mail von unbekannt", leider schon abgebaut.

Gruß
Jürgen

 

[pbhq]

Bin mir sicher, und die Erfahrung zeigts ja auch, dass massig Mails mit irgendwelchen Rechnungen und Flugbuchungen usw, einfach an die Chefs oder die Sekretärin, Buchhaltung weitergeschickt werden. Und in dem Moment wo die Mail von einer bekannten Person kommt, oder gar vom Chef, ist die Blockadefunktion "Mail von unbekannt", leider schon abgebaut.

Um das nochmals klar (für alle) zu sagen:

Der für den Anwender sichtbare Absender und Empfänger der Mail ist beliebig fälschbar und das ohne jeden zusätzlichen Aufwand. Ab- und Empfängeradressen sind also absolut kein Kriterium für eine legitime Mail. Einzig ein Blick in den Header der Mail (incl. sozusagen dem gesamten RAW der Mail) lässt eine gute Aussage darüber treffen ob die Mail echt ist.

Davon abgesehen sollten die Webmail-Oberflächen der Anbieter unbedingt gemieden werden. Zum einen wegen der geringen Sicherheit und zum anderen, da sie nur dazu dienen das Benutzerverhalten auszuspionieren damit dem User Werbung untergeschoben werden kann.

 

[luckyshot]

...
Davon abgesehen sollten die Webmail-Oberflächen der Anbieter unbedingt gemieden werden. Zum einen wegen der geringen Sicherheit und zum anderen, da sie nur dazu dienen das Benutzerverhalten auszuspionieren damit dem User Werbung untergeschoben werden kann.

Ich nutze selbst keine web[punkt]de Mail-Adressen, aber meine Familienmitglieder tun es - mit der App auch über das Smartphone.
Verstehe ich das richtig, dass Du aus den oben genannten Gründen davon abrätst?
Wie würdest Du das handeln?

Danke für Deine Infos!

 

[hakm]

Um das nochmals klar (für alle) zu sagen:

Der für den Anwender sichtbare Absender und Empfänger der Mail ist beliebig fälschbar und das ohne jeden zusätzlichen Aufwand. Ab- und Empfängeradressen sind also absolut kein Kriterium für eine legitime Mail. Einzig ein Blick in den Header der Mail (incl. sozusagen dem gesamten RAW der Mail) lässt eine gute Aussage darüber treffen ob die Mail echt ist.

Davon abgesehen sollten die Webmail-Oberflächen der Anbieter unbedingt gemieden werden. Zum einen wegen der geringen Sicherheit und zum anderen, da sie nur dazu dienen das Benutzerverhalten auszuspionieren damit dem User Werbung untergeschoben werden kann.

Hallo Thomas,

ich hab jetzt mal die Haeder Mail einer eMall angeschaut. Da könnte ich genauso gut versuchen, etwas chinesisches zu lesen. Wo erkenne ich denn, ob die Mail echt ist.

 

[pbhq]

Ich nutze selbst keine web[punkt]de Mail-Adressen, aber meine Familienmitglieder tun es -

Wenn ich von Webmail-Oberflächen schreibe, dann meine ich jegliche Art mit einem Browser seine Mails zu lesen. Das die Web.de-Webmail-Oberfläche per default kaputte Mails erzeugt, ist eine völlig andere Geschichte ...

mit der App auch über das Smartphone.

Ich hoffe doch jetzt nicht mit einer App von Web.de/1&1/GMX oder einem ähnlichen Anbieter. Diesen App-Müll (sorry für die harten aber ehrlichen Worte) benötigt wirklich keiner.

Mail ist kein Voodoo ...

Die Mailserver sprechen alle das gleiche POP3-, IMAP- und SMTP-Protokoll und somit kann jede beliebige POP3/IMAP/SMTP-fähige Software zum Lesen und Schreiben der Mail genutzt werden, beginnend mit Software für MS-DOS, welche noch heute von blinden Rentnern zum Lesen ihrer Mails verwendet wird.

Verstehe ich das richtig, dass Du aus den oben genannten Gründen davon abrätst? Wie würdest Du das handeln?

Ich rate (gebetsmühlenartig) einen echten Client für diesen Job zu verwenden. Für Linux, Windows und Mac gibt es als sehr brauchbaren und völlig sicheren Client "Thunderbird", der durch unzählige Plugins erweitert werden kann. Für Android bietet sich Kaiten oder K9-Mail an, da der interne Client auch recht kaputt ist bzw. strunzdumm je nach Version.

Wer einen eigenen Webspace besitzt, der könnte sich noch Roundcube als Webmailer installieren, was sehr gefällig und auch sicher ist (dank Opensource und ständiger Weiterentwicklung).

 

[luckyshot]

...Ich hoffe doch jetzt nicht mit einer App von Web.de/1&1/GMX oder einem ähnlichen Anbieter. ....

Aber genau die!
Keine Ahnung wieso, das scheint irgendwie komfortabler zu sein...
Wie gesagt, ich kenne mich damit nicht aus, nutze selbst Apple "Mail" um meine E-Mail Konten zu verwalten...

 

[pbhq]

Wie gesagt, ich kenne mich damit nicht aus, nutze selbst Apple "Mail" um meine E-Mail Konten zu verwalten...

Mein aufrichtiges Beileid, denn die oben erwähnte Tracking-Methode der Pishing-Mail zum Verifizieren Deiner Mailadresse funktioniert bei Apple Mail per Default-Einstellung (ebenso bei iPad & iPhone).

Der Pisher (nennen wir ihn jetzt einmal zufällig Andreas) wüsste nun schon, das Deine Mailadresse gültig ist, das Du Deine Mails auch liest und welche Hardware (+Software und Betriebssystem-Version) Du nutzt. Dazu musst Du nicht einmal seine Pishing-Seite besuchen ...

 

[jw500]

An Thomas:
Was ich sagen wollte:
Die Gefahr mit einer Mail die gerade ins Umfeld passt 'ueberrascht' zu werden ist gross.
Da schaut man ggf nicht sofort auf jedes Detail.

Ich gucke auch nicht bei jeder Mail von Kunden immer ob jedes Detail stimmt.
Kommt dann eine Bahncardmail, passiert es halt dass man die
einfach weiterleitet. Schreibst Du noch was wirklich persoehnliches dazu
macht die jeder Mitarbeiter auf.

Und da kann man nur raten möglichst wachsam zu sein.

Und zu den Webclients, die Dinger mag ich nicht die Bohne, nicht nur
wegen Deiner Gründe. Ist mir viel zu umständlich und unkomfortabel.
Das ist eigentlich wie T-Online oder AOL Software.
Braucht kein Mensch. Maximal im Notfall, wenn man gar kein eigenes
Geraet im Zugriff hat.

Erklär das aber mal einem 'Einzel-Anwalt', mit Buero und Heim PC,
der schon bei grundlegenden Dingen wie USB Hd mit Sicherung nach Hause zu nehmen, nicht zuhoert....

 

[pbhq]

Die Gefahr mit einer Mail die gerade ins Umfeld passt 'ueberrascht' zu werden ist gross. Da schaut man ggf nicht sofort auf jedes Detail.

Das sollte man aber, denn einige größere Anbieter wie z.B. Post (DHL) oder Telekom (und ein paar andere) signieren ihre Mails in der Zwischenzeit per DKIM. Mit einem passenden Mail-Clienten (Thunderbird) lässt sich so recht schnell klären, ob die Mail halbwegs gültig ist. Halbwegs deshalb, da es dabei auch ein paar Fallstricke gibt und technische Idioten beim Anbieter.

Kommt dann eine Bahncardmail, passiert es halt dass man die einfach weiterleitet.

Die Deutsche Bahn hat auch einen DKIM-Eintrag, aber ob sie diesen allerdings aktuell in ihren Mails nutzten ...

Erklär das aber mal einem 'Einzel-Anwalt', mit Buero und Heim PC, der schon bei grundlegenden Dingen wie USB Hd mit Sicherung nach Hause zu nehmen, nicht zuhoert....

Du machst doch IT: Installiere Dir irgendwo ein eigenes Webmail-Interface, personalisiere die Oberfläche mit den Logos der Firma und dann soll er einfach Deine Lösung für unterwegs nehmen. Davon abgesehen, dass ein eigenes Branding immer gut aussieht, senkt es auch den Support-Aufwand (Ok, das will man vielleicht nicht wirklich ).

 

[jw500]

1. habe ich nicht auf alles Einfluss, und bei der Zusammenarbeit
ab und zu mit Weltkonzernen wird mir manchma uebel was dort
gemacht wird. Da ist ein Webbrowser und Mail noch die kleinste Problemstelle.
Wenn ich vorher weiss das der Kunde Zugeiff brauxht hat er eine Lösung.
Wenn er nicht zuhoert oder die PWs selber hat, wird das gemacht.


2. versenden einige, auch ich, viele Mails ueber ganz andere SMTP Server
die mit der Domain selbst nix zu tun haben. Genauso kommen die Mails bei
den Kunden an. Schlimmer noch als Schrottmails sind dann Geschaeftsmails die
nicht ankommen weil ein eifriger Blocker Mails nicht durchlaesst.
Der Anwender, auch des englischen mächtig, liest die Meldung 'mail blocked weil
error 57.1 .....' nicht.
Wenn es gut geht gibt er mir so eine Mail weiter und fragt was das nu ist.

Das ist schlicht ein aktuelles masives Problem:
Je mehr Du versuchst shyze zu blocken, umso groesser ist die Wahrscheinlichkeit
dass sinnvolle Mails irgendwo haengen bleiben.

Gruss Juergen

 

[pbhq]

2. versenden einige, auch ich, viele Mails ueber ganz andere SMTP Server die mit der Domain selbst nix zu tun haben. Genauso kommen die Mails bei den Kunden an. Schlimmer noch als Schrottmails sind dann Geschaeftsmails die nicht ankommen weil ein eifriger Blocker Mails nicht durchlaesst.

Das schöne an Roundcube ist in dem Fall, dass sich dieses auch individualisieren lässt (mit einem Plugin oder zu Fuß).

Das ist schlicht ein aktuelles masives Problem: Je mehr Du versuchst shyze zu blocken, umso groesser ist die Wahrscheinlichkeit dass sinnvolle Mails irgendwo haengen bleiben.

Möchtest Du jetzt wirklich lachen . Die Telekom hat zum Februar ihre ganzen Rechnungsmail umgestellt und ich habe gestern gesucht, warum diese noch nicht angekommen ist. Hier die beiden wichtigsten Zeilen aus dem Logfile:

>> Damit Ihre Online-Rechnung sicher und geschützt ist, haben wir neue
>> Standards entwickelt, die Ihnen helfen, verdächtige Mails ausfindig zu
>> machen.
>>
>> - Signatur zur Erkennung von gefälschten Mails
>> - E-Mail-Prüfsiegel
>> - Individualisierter Betreff und Anrede
>> ...

Telekomiker!!! Haltet doch bitte erst einmal die üblichen Standards und Gepflogenheiten für eine technisch brauchbare Mail ein:

<< 555 Message rejected: site policy requires all mail to have a 'Date' field.

Tja, ohne eine Datumsangabe in der Mail wird das wohl mit uns nichts mehr werden ihr magenta Vollpfosten ...

 

[jw500]

Ja und dann stellt sich die Praxistauglichkeit der ganzen Filter.

Da liegt immer wieder wichtiges.
Und der normale Anwender schaut schon gar nicht erst rein.
Gibt aber trotzdem Ärger wenn der Taiwanese 2 Tage vor Messebeginn
fragt ob sein Stand schon fertig ist, der Auftrag irgendwo hängen geblieben ist.

Was ist die Folge:
Spamfilter und andere Filter aus und dann hoffen dass der Anwender
möglichst keinen Schrott aufmacht.

Alles andere ist praxisfern.
Man kann nicht jedes Päckchen auf Sprengstoff prüfen, bevor man es aufmacht.
Und ob das Datum einer Mail stimmt, der Mailserver zur Domain gehoert oder ein Link drin ist,
waren für mich noch nie Sicherheitskriterien. Warum?
Weil es tausend Gründe gibt warum das anders sein kann.
Dann interessiert auch nicht mehr ob sich was an irgend einen Standard hält oder nicht.

Auch wenn uns das einige weiss machen wollen.

Individualilsieren kannst Du, wenn Du den ganzen Tag nichts anderes zu tun hast.
Ich hab Kunden da will der Geschäftsführer, aus gutem Grund, alle Mails die an Tipfehleradressen laufen bekommen.
Warum? Weil ständig wichtige Mails an meyer statt an meier @ irgendwas-gmbh laufen und der Absender beim buchstabieren nicht richtig zuhoert
oder versteht. Ist halt mit Auslandskunden oft schwierig.

Was ist die Folge:
Spamfilter und andere Filter aus und dann hoffen dass der Anwender
möglichst keinen Schrott aufmacht.

Alles andere ist praxisfern.
Man kann nicht jedes Päckchen auf Sprengstoff prüfen, bevor man es aufmacht.
Und ob das Datum einer Mail stimmt, der Mailserver zur Domain gehoert oder ein Link drin ist,
waren für mich noch nie Sicherheitskriterien.
Auch wenn uns das einige weiss machen wollen und dafür Spamfilter propagieren.

Das einzige was geht ist beim Lagerarbeitsplatz eine whitelist zu machen.
Dann kriegt der nur Mails von freigegebenen Absendern.

In einem normalen Betrieb? Mit ständig wechselnden Absendern?
Die dann oft auch web.de oder die seltsamsten Provider im ausland nutzen?
Entweder ist einer damit beschäftigt ständig alles Geblockte zu kontrollieren ob
nicht doch was Wichtiges gesperrt wurde, oder es ist praxisfremd.


Gruß
Jürgen