8
Outlook, kein HTML-Mail, Akzeptanz?
Hallo.
Wir sind gerade mit ISIS12 beschäftigt.
ISIS12 ist zwar gegenüber größeren Informationssicherheitsmanagementsystemen wie BSI-Grundschutz oder ISO27001 deutlich abgespeckt, vom Umfang her für unseren kleinen Laden trotzdem eine mächtige Herausforderung. Deswegen haben wir hier eine zertifizierte Beraterin mit im Einsatz, die das Projekt bis zum Abschluß begleitet.
Die Beraterin hilft nicht nur dabei, das in weiten Teilen sehr theoretische Konstrukt ISIS12 umzusetzen, sondern gibt auch praktische Tipps zur Informationssicherheit. Viele der Tipps hat jeder schonmal gehört, gelesen oder gesehen, so auch ich, allerdings noch nie in die Tat umgesetzt. Der jüngste Tipp zum Thema Informationssicherheit von ihr ist, standardmäßig an allen Outlook-Clients HTML-Mail auszuschalten, damit die Gefahr des schnellen Mausklicks auf gefährliche URLs oder im Textkörper der Mail eingebetteten Schadcode zu verringern.
Fragen:
- laßt Ihr in Outlook HTML-Mail zu?
- sind die vorgenannten Gefahren wirklich so viel geringer, wenn HTML-Mail nicht eingeschaltet ist?
- falls bei Euch HTML-Mail eingeschaltet ist, wie würden Eure User auf eine Abschaltung reagieren, wenn nur noch reine Textmails zugelassen sind (keine Links, URLs, Grafiken und Textformatierungen mehr)?
Bitte um Eure Meinung dazu.
Vielen Dank.
Viele Grüße
von
departure69
Wir sind gerade mit ISIS12 beschäftigt.
ISIS12 ist zwar gegenüber größeren Informationssicherheitsmanagementsystemen wie BSI-Grundschutz oder ISO27001 deutlich abgespeckt, vom Umfang her für unseren kleinen Laden trotzdem eine mächtige Herausforderung. Deswegen haben wir hier eine zertifizierte Beraterin mit im Einsatz, die das Projekt bis zum Abschluß begleitet.
Die Beraterin hilft nicht nur dabei, das in weiten Teilen sehr theoretische Konstrukt ISIS12 umzusetzen, sondern gibt auch praktische Tipps zur Informationssicherheit. Viele der Tipps hat jeder schonmal gehört, gelesen oder gesehen, so auch ich, allerdings noch nie in die Tat umgesetzt. Der jüngste Tipp zum Thema Informationssicherheit von ihr ist, standardmäßig an allen Outlook-Clients HTML-Mail auszuschalten, damit die Gefahr des schnellen Mausklicks auf gefährliche URLs oder im Textkörper der Mail eingebetteten Schadcode zu verringern.
Fragen:
- laßt Ihr in Outlook HTML-Mail zu?
- sind die vorgenannten Gefahren wirklich so viel geringer, wenn HTML-Mail nicht eingeschaltet ist?
- falls bei Euch HTML-Mail eingeschaltet ist, wie würden Eure User auf eine Abschaltung reagieren, wenn nur noch reine Textmails zugelassen sind (keine Links, URLs, Grafiken und Textformatierungen mehr)?
Bitte um Eure Meinung dazu.
Vielen Dank.
Viele Grüße
von
departure69
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 343041
Url: https://administrator.de/forum/outlook-kein-html-mail-akzeptanz-343041.html
Ausgedruckt am: 07.04.2025 um 19:04 Uhr
8 Kommentare
Neuester Kommentar
Moin,
Meine persönliche Meinung:
HTML-Mail sind überflüssig und nur eine weitere Gefahrenquelle. Nur legen sehr viele Benutzer das Gewicht mehr auf die Form als auf den Inhalt. Von daher muß man den Leuten oft erklären, warum es sinnvoll ist, HMTL-mails einzuschränken. Ohne Widerstand geht es meistens aber nicht.
Ich empfehle meinen Kunden immer HTML-Mails nur in Ausnahmefällen zuzulassen. Viele folgen dem Rat, genausoviele aber auch nicht.
lks
Meine persönliche Meinung:
HTML-Mail sind überflüssig und nur eine weitere Gefahrenquelle. Nur legen sehr viele Benutzer das Gewicht mehr auf die Form als auf den Inhalt. Von daher muß man den Leuten oft erklären, warum es sinnvoll ist, HMTL-mails einzuschränken. Ohne Widerstand geht es meistens aber nicht.
Ich empfehle meinen Kunden immer HTML-Mails nur in Ausnahmefällen zuzulassen. Viele folgen dem Rat, genausoviele aber auch nicht.
lks
1
Ich fühle mich bei HTML-Emails alles andere als wohl.
Die Gefahr ist tatsächlich, dass der Schwachpunkt, der vor dem Rechner sitzt durch einen irreführenden HTML-Link in die Falle gelockt wird.
Bisher hat die Sensibilisierung meiner Nutzer etwas gebracht. Sie sind sehr vorsichtig.
Ich habe aber auch schon nach kostenlosen Lösungen für EX2010 gesucht, mit denen ich vorgeschaltet jede ankommende Email in Nur-Text konvertiere. Leider habe ich nichts brauchbares gefunden.
Es wäre eine zusätzliche Präventivstufe, die nicht zu unterschätzen ist.
Die Gefahr ist tatsächlich, dass der Schwachpunkt, der vor dem Rechner sitzt durch einen irreführenden HTML-Link in die Falle gelockt wird.
Bisher hat die Sensibilisierung meiner Nutzer etwas gebracht. Sie sind sehr vorsichtig.
Ich habe aber auch schon nach kostenlosen Lösungen für EX2010 gesucht, mit denen ich vorgeschaltet jede ankommende Email in Nur-Text konvertiere. Leider habe ich nichts brauchbares gefunden.
Es wäre eine zusätzliche Präventivstufe, die nicht zu unterschätzen ist.
Moin,
Meine persönliche Meinung:
das kann man so nicht ganz stehen lassen. Leider lässt sich die Welt heute nicht mehr in ASCII abbilden und eine Anlage ist auch nicht per se besser: Word-Dateien, PDF-Dateien etc. Alle haben exakt das gleiche Problem
Ich sehe das Risiko, das auf einer Internetseite versehentlich ein falscher Link angeklickt wird, deutlich höher, wie ein Link in einer Mail, der per Standard eh erst einmal blockiert sein sollte.
Gruß
Meine persönliche Meinung:
das kann man so nicht ganz stehen lassen. Leider lässt sich die Welt heute nicht mehr in ASCII abbilden und eine Anlage ist auch nicht per se besser: Word-Dateien, PDF-Dateien etc. Alle haben exakt das gleiche Problem
und nur eine weitere Gefahrenquelle.
das hat aber nichts damit zu tun, ob die Mail nun Textonly oder HTML istNur legen sehr viele Benutzer das Gewicht mehr auf die Form als auf den Inhalt.
in der Geschäftswelt muss beides stimmen. Wir hatten - allerdings aus anderen Gründen - damit mal getestet. Bei unseren Kunden kam das gar nicht gut an., HMTL-mails einzuschränken. Ohne Widerstand geht es meistens aber nicht.
síIch sehe das Risiko, das auf einer Internetseite versehentlich ein falscher Link angeklickt wird, deutlich höher, wie ein Link in einer Mail, der per Standard eh erst einmal blockiert sein sollte.
Gruß
1
@Kraemer:
Hallo.
Vielen Dank für Deine Antwort.
Hhmmm, verstehe, klingt sinnvoll. Ich hätte weiterhin die "Bequemlichkeit" und den "Luxus" (Screenshots/Grafiken im Text, Textformatierung, "bunte" Signatur mit Logo usw.) von HTML-Mails, aber trotzdem den Sicherheitsgewinn, daß enthaltene Links im Textkörper nicht gleich einfach so klickbar sind.
Und wie mache ich das, ohne HTML-Mail auszuschalten? Gibt's dafür eine GPO?
Viele Grüße
von
departure69
Hallo.
Vielen Dank für Deine Antwort.
Ich sehe das Risiko, das auf einer Internetseite versehentlich ein falscher Link angeklickt wird, deutlich höher, wie ein Link in einer Mail, der per Standard eh erst einmal blockiert sein sollte.
Hhmmm, verstehe, klingt sinnvoll. Ich hätte weiterhin die "Bequemlichkeit" und den "Luxus" (Screenshots/Grafiken im Text, Textformatierung, "bunte" Signatur mit Logo usw.) von HTML-Mails, aber trotzdem den Sicherheitsgewinn, daß enthaltene Links im Textkörper nicht gleich einfach so klickbar sind.
Und wie mache ich das, ohne HTML-Mail auszuschalten? Gibt's dafür eine GPO?
Viele Grüße
von
departure69
ich kenne dein Setup nicht. Ist aber vorstellbar.
O2K10
O2K13
und
O2K16
jeweils Standard (also jeweils inkl. Outlook) in 32-Bit.
Aktuelle Policy Definitions/ADM/ADMX für jedes vorgenannte Office-Paket am DC installiert/verfügbar.
O2K13
und
O2K16
jeweils Standard (also jeweils inkl. Outlook) in 32-Bit.
Aktuelle Policy Definitions/ADM/ADMX für jedes vorgenannte Office-Paket am DC installiert/verfügbar.
Hab' nun mit den Bossen gesprochen. Ich hab' ihnen gesagt, was ohne HTML in Mails nicht mehr geht. Farbige Signatur, Textformatierung, direkt klickbare Links - das war alles egal, aber als ich noch hinzufügte, daß sich auch keine Grafiken (z. B. Screenshots - bei uns sehr häufig genutzt und direkt im Mailtext drin) mehr in den Mailkörper einfügen lassen, war das Maß wohl überschritten.
HTML-Mail ist weiterhin gewünscht und soll bleiben, quasi Befehl von oben. Auf die möglichen Gefahren hab' ich hingeweisen, mir wurde entgegnet, daß wir doch schon immer oder schon lange HTML-Mails hatten. Darauf konnte ich nur antworten, daß es bspw. vor 2 Jahren auch noch keine nennenswerte Ransomware gab. Dies wurde zur Kenntnis genommen und dem entgegnet, daß hierzu andere Schutzmaßnahmen (welche, darf ich mir jetzt ausdenken) ergriffen werden sollen, und insbesondere die Mitarbeiter noch stärker sensibilisiert werden sollen.
Geht also in die Richtung, wie @Kraemer es hier beschrieben hat.
Nun denn, HTML-Mail bleibt. Ich hätte aus Sicherheitsgründen gern darauf verzichtet.
Danke für alle Antworten.
Viele Grüße
von
departure69
HTML-Mail ist weiterhin gewünscht und soll bleiben, quasi Befehl von oben. Auf die möglichen Gefahren hab' ich hingeweisen, mir wurde entgegnet, daß wir doch schon immer oder schon lange HTML-Mails hatten. Darauf konnte ich nur antworten, daß es bspw. vor 2 Jahren auch noch keine nennenswerte Ransomware gab. Dies wurde zur Kenntnis genommen und dem entgegnet, daß hierzu andere Schutzmaßnahmen (welche, darf ich mir jetzt ausdenken) ergriffen werden sollen, und insbesondere die Mitarbeiter noch stärker sensibilisiert werden sollen.
Geht also in die Richtung, wie @Kraemer es hier beschrieben hat.
Nun denn, HTML-Mail bleibt. Ich hätte aus Sicherheitsgründen gern darauf verzichtet.
Danke für alle Antworten.
Viele Grüße
von
departure69
Moin,
zwar etwas verspätet meine Auffassung:
Auch ich würde HTML-Mail gerne verbieten, dies ist jedoch seitens der GF z.Zt. nicht erwünscht.
Ich lasse deshalb dem Anwender die Wahl, wie er seine Mails formatiert.
Am AV-Scanner habe ich jedoch bis auf das Standard-Bildformat fast alle weiteren Bildformate gesperrt, was dazu führt (und auch hingenommen wird), dass eingebettete Grafiken, die von Outlook offenbar als PNG geführt werden, nicht mehr enthalten sind.
Gruß
VGem-e
zwar etwas verspätet meine Auffassung:
Auch ich würde HTML-Mail gerne verbieten, dies ist jedoch seitens der GF z.Zt. nicht erwünscht.
Ich lasse deshalb dem Anwender die Wahl, wie er seine Mails formatiert.
Am AV-Scanner habe ich jedoch bis auf das Standard-Bildformat fast alle weiteren Bildformate gesperrt, was dazu führt (und auch hingenommen wird), dass eingebettete Grafiken, die von Outlook offenbar als PNG geführt werden, nicht mehr enthalten sind.
Gruß
VGem-e
