Einleitung

Outlook Express zählt zu den unsichersten eMail-Clienten, die sehr zur Verbreitung von Scriptviren wie Loveletter und Co. beigetragen haben. Trotzdem erfreut sich das Tool grosser Beliebtheit und wird von tausenden Benutzern eingesetzt. Ein Grund für die Unsicherheit sich die vielen, sicherlich gutgemeinten Features, die den Umgang mit eMail erleichtern soll und dem Nutzer viel Freiraum für Individualität lassen. Leider nutzen kriminelle Subjekte im Netz diesen Umstand aus und setzen mit sogenannten Scriptviren (meist mit Visual Basic Script programmierte Viren) gezielt die Standardfunktionen des Mailers für ihre Zwecke ein.

Wurde Outlook Express installiert, was meistens als Beigabe während der Installation des MS Internet Explores passiert, ist der eMail Client auch gleichzeitig der Standardmailer. Das heisst, jedes Mal wenn Sie auf einen Link treffen, der Ihnen eine eMail-Adresse anbietet, startet Outlook Express und zeigt Ihnen das eMail-Fenster zu Eingabe der Nachricht an. Möglich wird das, weil Outlook Express ein MAPI-Client ist. Mapi (Message-API) ist eine klar definierte Schnittstelle zwischen Mail- Applikationen, deren Ressourcen und den damit zusammenhängenden Daten.
Was bei dem einen Benutzer ein erfreutes "wie praktisch" auslöst, wird dem sicherheitsbewussten Anwender einige Magenbeschwerden verursachen, denn hier zeigt sich bereits, wie einfach es ist, ein komplexes Programm zusammen mit dem notwendigen Nachrichtenfenster mittels eines einfach Links zu öffnen.

Outlook Express ist ein sehr bequemes Programm, dass dem Benutzer sehr viele Möglichkeiten zur Individualität lässt. Bereits in der Standardeinstellung, besitzt der Anwender bereits diverse Funktionen, die teils sogar automatisch ausgeführt werden. Nachrichten werden im Vorschaufenster automatisch geladen, das Postfach wird automatisch nach einer festgesetzten Zeit auf neue Mails überprüft, HTML Mails können mit individuellem Briefpapier, Schrift und Farbe versehen werden, es können jegliche Objekte in HTML Mails abgelegt und verschickt werden und vieles mehr.
Dieser Komfort hat allerdings seinen Preis, denn ein automatisch geladenes Mail kann einen virenverseuchten Anhang besitzen oder in der schicken HTML Mail kann sich destruktiver Scriptcode verstecken. Dies ist übrigens der Hauptgrund, warum derart viele Rechner mit Scriptviren infiziert werden.

Outlook Express eMail-Konto konfigurieren

Alle wichtigen und sicherheitsrelevanten Einstellungen für dieses Programm lassen sich zentral einrichten. Die allgemeinen Einstellungen findet man, wenn man oben in der Menüleiste das Menü "Extras" auswählt und in dem sich öffnenden Menüfeld den Punkt "Optionen". Alle Einstellungen zum eMail Konto findet man, wenn Sie das Menü "Extras" auswählt und dort den Menüpunkt "Konten...".

Im Menü unter "Extras" muss man zuerst mal Konten aufrufen. Wenn man bereits Konten installiert hat, sieht man bereits die eingerichteten Konten und es wird angezeigt, welches Konto als Standard definiert wurde. Wenn man jetzt mit dem gewünschten Konto "Eigenschaften" anklickt, öffnet sich ein weiteres Dialogfeld mit mehreren Auswahlmöglichkeiten. Wenn man jetzt auf " Server" klickt wird die Konfiguration des eMail Kontos zeigt. Unter der Textzeile "Eingangsserver" steht bereits der Kontoname und vielleicht das Kennwort. Sollte man das Kennwort bei der Installation mit der Option "dauerhaft speichern" bereits eingegeben haben, so löscht man dieses und entfernt das Häkchen bei "Kennwort speichern".

Auch wenn es lästig ist, jedes mal das Kennwort neu eingeben zu müssen, man verhindert aber so, dass Outlook Express sich eigenständig ins Netz einwählen und Mails vom Postfach abholen kann. In Verbindung mit der automatischen Vorschaufunktion wäre ansonsten einer automatischen Infektion des Rechners alle Türen geöffnet.
Damit sich Ihr Outlook Express nicht selbstständig macht und möglicherweise vollautomatisch für eine Infektion des Rechners verantwortlich ist, gibt es eine Reihe von Einstellungen die der Sicherheit dienen und das Tool zu einem zuverlässigen Partner machen.

Die allgemeinen Einstellungen findet man, wenn man den Menüpunkt "Extras" auswählt und dort den Punkt "Optionen". Es öffnet sich dann ein Dialogfeld mit mehreren Auswahlmöglichkeiten.

"Allgemein"

Zuerst entfernt man alle Häkchen der Optionen neben dem Textfeld "Allgemein".

Diese Einstellung mag zunächst umständlich erscheinen, gibt aber die entscheidenden Sekunden Zeit, sich gedanklich auf möglicherweise infizierte Mails vorzubereiten. Wird man in den Standardeinstellungen sofort zum Ordner "Ungelesene Nachrichten" geführt, ist ein infiziertes Mail schneller geöffnet als wenn man zunächst selbst und manuell zu diesem Ordner wechseln. Ebenso verhält es sich mit dem Ordner "Ungelesene Nachrichten. Das man sich nicht sofort beim MSN Messenger Service automatisch anmeldet, bedarf eigentlich keiner grossen Erklärung und sollte aus eben den gleichen Gründen wie oben beschrieben nicht automatisch ausgeführt werden.

Unter dem Textfeld "Nachrichten senden/empfangen" bleibt nur das Häkchen an der Option "Signalton bei Nachrichteneingang, alle anderen Häkchen werden entfernt. Die beiden Optionen "Beim Start von Outlook Express Nachrichten senden und empfangen" sowie "Nachrichteneingang alle xx Minuten überprüfen" dienen einzig der eigenen Bequemlichkeit und sind sicherheitstechnisch sehr bedenklich. Alle automatisch ausgeführten Funktionen verringern Ihre Vorsicht, weil man schlicht nicht daran denken wird.

"Lesen"

Hier sollte man das Häkchen an der Option "Nachrichten im Vorschaufenster automatisch downloaden" entfernen, da ansonsten Mailanhänge ebenfalls automatisch ausgeführt bzw. Scripte in HTML Mails gestartet werden.

"Senden"

Im unteren Abschnitt unter den Textfeldern "Nachricht Senden-Format" und "News Senden-Format" auf Text ein. Man muss hier zwar leider zukünftig auf die Möglichkeit verzichten, eigenes Briefpapier zu verwenden und man kann auch keine Schriftformationen mehr einstellen. Allerdings gibt man dem Empfänger die nötige Sicherheit, kein Mail mit möglicherweise scriptverseuchtem Inhalt zu bekommen.
HTML Mails sind sicherlich für den einen oder anderen eine schöne Art Mails individuell zu gestalten, eine schöne Schrift zu verwenden oder besondere Formatierungen vorzunehmen. Allerdings ist der Preis hierfür sehr hoch, denn in solchen HTML Mails können potentielle Angreifer ganz hervorragend destruktiven Scriptcode einfügen, der unbemerkt gestartet wird, wenn solche Mails geöffnet werden. Zudem greifen Marketingexperten sehr gerne auf die Möglichkeit zu, 1 Pixel grosse Grafiken in HTML Mails einzufügen, die beim Öffnen der Mail von einem entfernten Server abgerufen werden. Auf diese Weise erhält der Experte zumindest Ihre momentan aktuelle IP-Adresse, die zur Kommunikation zwischen Server und eMail-Client ausgetauscht wird.

Zudem sind HTML Mails ungleich grösser als reine Textmails, weil sie viel grössere Datenmengen zur Darstellung der HTML Formatierungen benötigen. Dies erfordert nicht zuletzt eine grössere Bandbreite im Netz und wird dann entsprechend langsam übertragen.

"Sicherheit"

Wenn man im oberen Bereich die Option auf "Internet Zone" einstellt, so erhält man den grösstmöglichen Schutz, den man bereits in den Internet Explorer Optionen eingestellt hat auch hier.
Um Mails zukünftig mit einer digitalen ID zu versehen, die seine Person eindeutig identifiziert, muss man, wenn man online ist, auf den Button "Digitale ID anfordern" klicken. Man wird dann zu einer Informationsseite des Microsoft Netzes geführt, wo man weitere Informationen über die Einrichtung erhalten. Einige dort aufgeführte Anbieter richten die ID auch kostenlos ein.

Im unteren Abschnitt sollte man an den beiden Optionen "Alle ausgehenden Nachrichten und Anlagen verschlüsseln" und "Alle Nachrichten digital signieren" das Häkchen setzen. So ist sichergestellt, dass die ausgehende Nachricht auch wirklich von einem selbst stammt. Der Grund hierfür ist, dass es Hackertools gibt, mit denen eMail Adressen gefälscht werden können.
Klickt man nun auf den Button "Weitere Einstellungen", kann man hier den Verschlüsselungsgrad der Nachrichten einstellen und auch, ob Nachrichten an eigene Adressen ebenfalls verschlüsselt werden sollen. Beides sollten man positiv bestätigen.

Im mittleren Bereich unter "Digital signierte Nachrichten" sollten die beiden Optionen "Eigene digitale ID beim Senden signierter E-Mail" und Absenderzertifikat automatisch dem Adressbuch hinzufügen" mit einem Häkchen versehen werden. Beide Optionen dienen der eigenen Sicherheit und der des Empfängers.