E-Mail

Mein erstes E-Mail-Postfach habe ich irgendwann als Jugendlicher auf den Tipp meiner Schwestern bei web.de angelegt. Wie viel Speicherplatz es damals gab, kann ich gar nicht mehr sagen. Alte web.de-Nutzer mussten aber lange Zeit mit 12 MB klarkommen und vor über 15 Jahren war es sicherlich noch weniger.

Man kam nicht darumherum alte E-Mails zu löschen. Ansonsten kam es (und dazu kam es öfter) dazu, dass E-Mails an den Absender mit der Meldung „Postfach voll“ zurückgingen. Heute passiert das so schnell nicht mehr. Google bietet bei seinem Postfach bis zu 15 GB Speicherplatz, Posteo hat 2 GB im Angebote und auch web.de hat auf 2 GB aufgestockt.

Vielen Leuten (und so auch mir) ist das Löschen von E-Mails lästig und lassen es dann einfach sein, denn es ist ja Platz genug. Das bleibt aber nicht ohne negative Folgen: Bei einem Einbruch in das Mailpostfach hat der Angreifer Zugriff auch auf private Nachrichten, die schon uralt sind, deren Inhalt aber noch unangenehme Folgen haben kann.

Wenn du alte Nachrichten nicht einfach löschen möchtest und du einen lokalen Mail-Client wie Mozilla Thunderbird nutzt, kannst du mit einem kleinen AddOn automatisiert alte E-Mails aus der Cloud holen. Awesome Auto Archive bietet einem die Möglichkeit E-Mails nach selbst definierbaren Regeln zu archivieren. Gibt man hier einen lokalen Ordner an, dann verschwinden alte Nachrichten automatisch vom Server des Mail-Anbieters, aber bleiben lokal auf dem Rechner vorhanden (Backups nicht vergessen, wenn euch der Inhalt dieser Mails wirklich wichtig ist!).

Messenger-Dienste

Auch Messenger-Dienste häufen über die Zeit viele Daten an. Darüberhinaus werden immer noch viele Android-Smartphones nur über kurze Zeit mit Updates versorgt. Das Risiko sich Schadsoftware einzufangen, ist also durchaus gegeben.

WhatsApp

Leute, ich hab keine Ahnung von WhatsApp. Ich habe die App vor vielen Jahren schon von meinem Smartphone geworfen und auch nicht wieder installiert, als die durchaus gute Ende-zu-Ende-Verschlüsselung eingeführt wurde. Ich habe es nicht bereut, als Facebook schließlich nach dem Messenger griff.

Erstaunlicherweise habe ich bei ein wenig Recherche herausgefunden, dass es bei WhatsApp keine Möglichkeit gibt, alte Nachrichten automatisch löschen zu lassen. Was du tun kannst, ist einzelne Chats oder in den Einstellungen auch alle Chats zu löschen. Wenn du einen Weg weist, wie man auf einfachen Weg nur alte Nachrichten löschen kann, dann schreib mir in die Kommentare.

Signal

Wenn du den freien und datenschutzfreundlichen Messenger Signal nutzt, kannst du mit einer einfachen Angabe in den Einstellungen alte Nachrichten automatisch löschen lassen. Dabei löscht Signal nicht anhand des Alters der Nachrichten, sondern anhand der Menge. Überschreitet eine einzelne Unterhaltung die Höchstgrenze, fliegt die älteste Nachricht raus. Die Funktion scheint damit eher mit dem Blick auf begrenzten Speicherplatz erschaffen worden zu sein.

Dafür gehst du in den Einstellungen auf Unterhaltungen und Medieninhalte → Kürzen von Unterhaltungen und aktivierst die Option Alte Nachrichten löschen. Direkt darunter kannst du die Höchstzahl an Nachrichten je Unterhaltungen frei einstellen.

Threema

Der schweizer Messenger Threema verfolgt ein anderes Konzept als Signal. Aber auch hier scheint der Fokus auf begrenztem Speicher zu liegen. So heißt denn auch die Option, die man in den Einstellungen unter Medien & Speicher aufrufen muss, Speichermanagement. Dort kann man entweder nur Bilder und Dateien, aber auch Nachrichten, die älter als eine gewünschte Zeitspanne sind, löschen lassen. Im Gegensatz zu Signal geht das hier nicht automatisch, sondern immer nur manuell.

Cloud

Was liegt bei dir eigentlich so in der – Achtung: Buzzword! – Cloud herum? Also ganz konkret bei Diensten wie Dropbox, Google Drive oder iCloud. Schau dich doch mal um, was da an Daten so herumliegt und räume auf. Alles, was nicht unbedingt in die Cloud muss, kannst du entweder direkt löschen (auch den Papierkorb der Cloud leeren) oder auf deinem lokalen Gerät speichern. Und in Zukunft willst du deine Daten vielleicht verschlüsselt in die Cloud legen?

Ist da noch mehr?

Bestimmt hast du auch anderswo noch Daten liegen. Es schadet sicher auch nicht, deine lokalen Daten auf PC, Notebook und Smartphone hin und wieder aufzuräumen. Alles, was du nicht mehr brauchst, ab in den Papierkorb! Hast du noch Ideen, wo man hin und wieder sonst so aufräumen sollte, dann schreib mir in die Kommentare.

Um das genauer zu verstehen, schauen wir uns erst einmal an, wie eine E-Mail überhaupt aussieht. Sie unterteilt sich in zwei Bereiche: Header und Body. Während im Header eine Vielzahl von Informationen untergebracht sind, von denen wir die meisten nie zu Gesicht bekommen, steht im Body – wer hätte es gedacht – die eigentliche Nachricht.

Informationen, die im Header stehen, und die auch von den meisten E-Mail-Programmen angezeigt werden sind zum Beispiel From (Absender), To (Empfänger), Cc (weitere Empfänger (sichtbar)), Bcc (weitere Empfänger (unsichtbar), Subject (Betreff) und Date (Zeitpunkt der Erstellung). Alle die bisher genannten Eigenschaften schreibt aber der E-Mail-Client (z.B. Thunderbird, Outlook, GMail, die Homepage von web.de…) selbst in die E-Mail hinein.

Das will ich ausprobieren!

Kein Problem. Mit dem E-Mail-Programm Thunderbird könnt ihr ganz einfach E-Mails mit einem falschen Absender verschicken. Einfach eine neue Nachricht erstellen und das Dropdown-Menü im Absenderfeld öffnen. Dort könnt ihr dann Customize From Address… auswählen (auf Deutsch dürfte das wohl so ähnlich heißen).

Vorher zeigt euch Thunderbird noch eine kleine Erläuterung an, wozu diese Funktion nützlich sein kann. Auch gibt das Programm zu verstehen, dass der E-Mail-Anbieter dies unterstützen muss.

Klicken wir nun auf Senden, würde Horst eine E-Mail von Angela empfangen und wahrscheinlich nicht einmal merken, dass diese nicht von ihr verschickt wurde (der Text ist schließlich fast wortwörtlich aus einer von Angelas Regierungserklärungen).

Um herauszufinden, ob man die Fälschung doch irgendwie erkennen kann, habe ich die E-Mail schließlich doch nicht an Horst, sondern an mich selbst verschickt. Um genau zu sein von der E-Mail-Adresse blog@theus.name an meine Uni-Mail-Adresse. Um jetzt mehr herauszufinden, können wir auf den Knopf More bzw. Mehr rechts über der Nachricht klicken und uns dann mit einem weiteren Klick den Quellcode der E-Mail anzeigen lassen. Und über den können wir nun recht einfach feststellen, dass da etwas nicht mit rechten Dingen zugegangen sein kann.

Ein erster sehr aussagekräftiger Hinweis ist direkt ganz oben im Quellcode zu sehen:

Return-Path: <blog@theus.name>

Der Return-Path ist die Adresse, an welche eine E-Mail zurückgeschickt werden soll, wenn der Empfänger nicht verfügbar ist (ihr kennt das von web.de-Nutzern, deren Postfach mal wieder vollgelaufen ist). Diese Angabe wird vom Mail-Server dort eingetragen und offenbart euch in vielen Fällen schon den echten Absender. Denn der Mail-Server trägt dort die passende Adresse zu eurem Benutzernamen ein. Juhu!

Es gibt aber noch weitere, etwas schwerer zu lesende, Möglichkeiten die Fälschung aufzudecken. Über die Angaben Received können wir den Weg, den die E-Mail über verschiedene Server genommen hat, zurückverfolgen. Am interessantesten sind für uns die unteren Angaben. Diese verraten uns den Mail-Server, der die E-Mail als erstes angenommen hat, und das dürfte natürlich dann der Mail-Server unseres echten Absenders sein. In unserem Beispiel steht dort zum Beispiel:

Received: from volans.uberspace.de (volans.uberspace.de [95.143.172.210])
        (using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
        (No client certificate requested)
        by mx8.iai.uni-bonn.de (Postfix) with ESMTPS id B6F17543
        for <pascuasusername@cs.uni-bonn.de>; Sun, 25 Mar 2018 12:50:59 +0200 (MEST)
        (envelope-from blog@theus.name)
        (envelope-to pascuasusername@cs.uni-bonn.de) (1)
        (internal use: ta=1, tu=1, te=0, am=-, au=-)

Wir können erkennen, dass die E-Mail von einem Server angenommen wurde, der volans.uberspace.de heißt. Recht offensichtlich ist dies nicht der Mail-Server der Bundesregierung. Ein starker Hinweis darauf, dass die E-Mail nicht vom angegebenen Absender stammen kann. Allerdings passt der Server auch nicht auf meine eigene Domain, mit der ich die Mail ja verschickt habe. Der echte Absender war ja blog@theus.name. Wie kommt das?

Der Hoster meines Blogs ist Uberspace (übrigens ein toller Laden, den ich euch ganz herzlich empfehlen möchte) und der kümmert sich sowohl um die Auslieferung meiner Website als auch um die Mails dieser Domain. Daher trägt der Server, der E-Mails für meine Domain empfängt, eben diesen Namen.

Den passenden Mail-Server der Bundesregierung hat man dagegen recht schnell herausgefunden. Dazu reicht eine kleine DNS-Abfrage:

$ dig MX bundesregierung.de

In der ANSWER SECTION finden wir den richtigen Mail-Server zur Domain heraus. Im Fall von bundesregierung.de wäre dies mx1.bund.de oder mx2.bund.de. Solltest du also jemals eine Mail von @bundesregierung.de bekommen und es nicht der passende Mail-Server im Quelltext der E-Mail ersichtlich, dann solltest du die E-Mail wohl eher in die Kategorien SPAM oder Phishing einsortieren.

Da aber in E-Mails standardmäßig jegliche Authentifizierung fehlt: Man kann nie wissen…

Hausaufgabe

Als kleine Hausaufgabe darfst du selbst einmal herausfinden, was passiert, wenn du auf deinem Computer die Uhrzeit um zwei Stunden zurückstellst und dann eine E-Mail über dein lokal installiertes Mail-Programm (also nicht über deinen Browser) abschickst.

Bisher lief eine Ansetzung in etwa so ab. Der Ansetzer – meist selbst ein Schiedsrichter und Ehrenamtler, der sich um die Besetzung der Spiele verschiedener Staffeln in z. B. seinem Fußballkreis kümmert – öffnet in seinem Browser eine Website mit einer langen Liste an Spielen, die er besetzen muss und kann nun zu jedem dieser Spiele einen Schiedsrichter, der die Qualifikation für diese Spielklasse besitzt, auswählen. Dieser Schiedsrichter wird dann für das Spiel angesetzt. Das heißt er bekommt eine E-Mail mit allen nötigen Daten (und neuerdings vielleicht sogar eine Push-Benachrichtigung auf sein Smartphone) und wird z. B. auch auf fussball.de als Schiedsrichter für dieses Spiel angezeigt.

Was ganz praktisch war: Gab es Fragen zur Ansetzung oder mochte man das Spiel gar zurückgeben (z. B. aus Krankheitsgründen), dann reichte es bisher einfach auf Antworten zu klicken. Denn als Absender war die E-Mail-Adresse des Ansetzers angegeben. Also zum Beispiel heinz.seniorenansetzer@web.de.

Der Ansetzer hat natürlich nie sein E-Mail-Konto von web.de geöffnet und auch nicht irgendwie die Ansetzungssoftware mit seinem E-Mail-Konto verbunden. Das ganze funktioniert deswegen, weil man in E-Mails so ziemlich alles reinschreiben kann, was man möchte. Man könnte auch problemlos eine E-Mail von angela.merkel@bundesregierung.de versenden. Eine E-Mail ist aus technischer Sicht nicht viel mehr als ein Brief, auf den man ja auch einen beliebigen Absender eintragen kann.

Dieser Tatsache sind sich auch Spammer bewusst und fälschen Absenderadressen. Daher gehen immer mehr E-Mail-Provider dazu über E-Mails nicht mehr zuzustellen, in denen die Absenderadresse nicht mit der Adresse des Servers, der diese E-Mail zuzustellen versucht, übereinstimmt.

In unserem Fall werden E-Mails zum Beispiel von einem Server versendet, der mailout1.dfbnet.org heißt. Der Server hinter meinem E-Mail-Konto könnte nun überprüfen, ob die Adresse des Zustellers, in diesem Fall also mailout1.dfbnet.org, mit der Absenderadresse, web.de, übereinstimmt. Da sie das nicht tut, könnte der Server nun vermuten, dass es sich um Spam handelt und die Annahme der E-Mail verweigern.

Scheinbar war genau dies immer öfter der Fall, weswegen sich der DFB bzw. das Service-Team des DFBnet, dazu entschieden hat, E-Mails nun immer mit der Absenderadresse noreply@dfbnet.org zu versehen. Diese Absenderadresse passt nämlich auch wunderbar zu der Adresse des Mailservers (wir erinnern uns: mailout1.dfbnet.org).

Eine Möglichkeit trotzdem den richtigen Empfänger sicherzustellen, wäre das Setzen eines Reply-To-Headers. Über diese Angabe kann beim Versand einer E-Mail bereits eine Adresse gesetzt werden, die beim Klick auf Antworten statt der Absenderadresse genutzt werden soll. Auf meine Anfrage an den DFB warum kein entsprechender Header gesetzt wird, erklärt dieser, dass auch der Reply-To-Header von einigen E-Mail-Providern als Policy-Verstoß gewertet werde. So bleibt also wirklich nur die Möglichkeit sich selbst um den richtigen Empfänger zu kümmern. Dazu wird nun in jeder E-Mail auch deutlich hingewiesen:

#####################################################
Hinweis: Sollten Sie auf diese E-Mail antworten wollen, so ändern Sie bitte den Empfänger manuell von noreply@dfbnet.org auf:
„Schiedsrichteransetzer“ <schiriansetzer@provider.de>
#####################################################