Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik Blog

Ist Ihr eMail Passwort sicher?


Sichere eMail ?

Wenn Sie Ihr eMail-Programm einrichten - also zum Beispiel Outlook oder Outlook Express - dann müssen Sie für das Mail-Konto ein Passwort eingeben. Nur mit diesem Passwort können Sie die eigene Mail vom Mail-Server abholen und auf Ihrem eigenen Rechner lesen. Nachdem es unpraktisch ist das Passwort jedesmal neu eingeben zu müssen, speichert Outlook das Passwort ab, und überträgt es beim nächsten Mal automatisch.

Wenn Sie das Passwort eingeben, dann erscheinen im zugehörigen Fenster nur Sternchen ( **** ). Das vermittelt den Eindruck das die Sache schon recht sicher ist: Wie sollte schon jemand an das Passwort gelangen, wenn man das noch nicht einmal lesen kann während es eingegeben wird?

Leider täuscht dieser Eindruck - und zwar mehr als Sie vermutlich erahnen. Das Protokoll zum abholen von eMail vom Mailserver ist wie so viele Protokolle eines aus der Steinzeit der vernetzten Rechner: POP3 (Post Office Protocol Version 3). Und wie für alle der uralt-Protokolle gilt auch für POP3: Die Uebertragung von Texten - und von zwar von allen Texten - erfolgt im Klartext.

Das bedeutet: Wenn Ihr eMail-Programm Ihre Mail vom Mail-Server abholt, dann sendet es zuvor Ihre Account-Daten (also Benutzername und Passwort) an den Mail-Server: Und zwar als unverschlüsselter, direkt lesbarer Text.

Passworte als Klartext

Das klingt noch nicht so dramatisch, denn schließlich ist dabei ja nur Ihr eigener Rechner und der eMail-Server beteiligt, richtig? Falsch! Sogar ganz falsch: Alle Daten die zwischen Ihrem Rechner und dem Mailserver ausgetauscht werden - und dazu gehören auch die Benutzerdaten - können von jedermann mitgelesen werden der sich in Ihrem Subnetz, dem Subnetz des Mailservers oder irgend einem der Subnetze zwischen den beiden Mail-Rechnern befindet.

Mit anderen Worten: Wenn Ihr Rechner in einem Firmen-LAN steht, dann kann jedermann in diesem LAN Ihr Passwort im Klartext lesen.

Dazu braucht es auch keine speziellen 'Hacker' Tools oder besonders tiefgreifende Kenntnisse... ein bisschen Grundwissen über TCP und eines der gängigen und frei verfügbaren Tools reichen aus. Ganz ehrlich: Das mithoeren ist auch nicht wesentlichen schwieriger als das eigentliche versenden der eMail.

Wenn Ihr LAN dann über einen ISP ans Internet angeschlossen ist, dann läuft dieser Anschluss über einen Rechner des ISP. Jedermann der dort sitzt kann mithoeren. Ferner kann natürlich jedermann mithoeren der sich in dem LAN befindet, in dem auch der Mailserver steht. Und schließlich kann auch noch jederman mithoeren, der sich in irgendeinen Netz dazwischen befindet. Und nein - der Lauscher muss nicht direkt am belauschten Rechner sitzen - es reicht, wenn er sich im gleichen LAN befindet.

Das ist übrigens kein Sicherheitsproblem von Outlook oder Microsoft, sondern eines von POP3: Und damit eines der Industrie im Ganzen.

Was kann man dagegen tun

Wenn man nun nicht möchte das das eigene eMail-Passwort in fremde Hände gelangt, kann man sich aber schützen: Dazu gibt es SSL (Secure Socket Layer) für POP3 und SMTP. Das wird von allen ernst zu nehmenden eMail-Clients unterstützt. Bei POP3 über SSL werden die Verbindungsdaten verschlüsselt an den Mail-Server übertragen: Die Daten können weiterhin mitgelesen werden - nur eben nicht mehr im Klartext. Wer lauscht, der muss zunächst die Verschlüsselung umgehen, und das schafft einen durchaus ernst zu nehmenden Schutz für Ihre Mail-Kommunikation.

Die Aktivierung von SSL für POP3 (und SMTP) ist dabei ganz einfach: Meist muß man nur eine Option einschalten. In Outlook-Express (und Outlook) findet man die unter den 'Erweiterten' Eigenschaften der Mail-Konten mit der Beschriftung 'Dieser Server erfodert eine sichere Verbindung (SSL).

Der Haken

Der Haken an der Sache ist dabei: Ihr Mail-Server muss ebenfalls SSL unterstützen, und Sie benötigen ein Zertifikat vom Mail-Server, das Sie in Windows installieren müssen. Die Installation des Zertifikates ist kein Problem - und auch praktisch alle Mail-Server Programme die es gibt unterstützen POP3 über SSL. Die Frage ist aber: Unterstützt Ihr eMail-Provider das auch - bzw.: gibt der diese Möglichkeit an Sie weiter?

Das gilt es herauszufinden. Unterstützt Ihr Mail-Provider diese Möglichkeit nicht, dann ist das in meinen Augen ein guter Grund, sich einen anderen Provider zu suchen. Und zwar sofort. Würde die Post nur noch Briefe ohne Umschlag befördern, dann würden Sie Ihre Post ja auch mit einem alternativen Dienst wie UPS verschicken.


eMail-Adressen bei D.I.E.


Offenbar ist es so, das wir unsere eMail-Adressen auf der Webseite nicht klar genug darstellen, weil es immer wieder passiert, das Mails nicht an den optimalen Stellen ankommt. Das ist zwar kein großes Problem weil wir natürlich intern sicherstellen das die Mails dann schon bei den richtigen Personen landen - es ist aber natürlich viel einfacher (und für Sie auch unter Umständen deutlich schneller) wenn die Mails von vornherein an die richtigen Personen geschickt werden. Daher versuche ich hier einmal in Kürze zu erklären wie das mit den Mail-Adressen bei D.I.E. funktioniert.

Zunächst einmal muss man wissen, das es bei uns Mail-Adressen für Personen - und solche für bestimmte Dienste gibt. Wenn man eigentlich ein Anliegen hat das an eine Person gerichtet ist - und das haben Sie eigentlich immer - dann verwendet man am besten auch deren oder dessen Mail-Adresse statt eine 'allgemeine' wie 'support@die.de'. Die 'Dienst' Adressen haben immer den Dienst als Account-Namen, die 'Personen'-Adressen setzen sich immer aus den Anfangsbuchstaben des Vor- und des Nachnamens zusammen.

Es gibt zwar eine ganze Reihe an Mail-Adressen von Personen bei D.I.E., aber die folgenden sind wohl die, die Sie am häufigsten brauchen:

Herr Andreas Glücks: ag@die.de
Herr Andreas Wölfer: aw@die.de
Herr Jürgen Nass: jn@die.de
Frau Doris Kock: dk@die.de
und meine (Thomas Wölfer): tw@die.de

'Dienst' Adressen sind solche die entweder vorgeschrieben sind, oder solche, die wir für (teilweise automatisierte) Prozesse verwenden:

'info@die.de' ist die Adresse aus dem Impressum - das muss laut Gesetz nämlich eine eMail-Adresse enthalten. Nachdem es hier nur darum geht überhaupt einen Kontakt aufzunehmen (und nachdem das aufgrund der Gesetzeslage auch die Adresse ist, die von Spammern bevorzugt verwendet wird) - ist das eben die 'info' Adresse. Wenn Sie irgend ein wichtiges Anliegen haben, dann senden Sie da besser nichts hin: Gesetze sind ja schön und gut, nur in diesem Fall eben irre unpraktisch, und darum haben Mails die über 'info' reinkommen auch keine sonderlich hohe Priorität.

Dann gibt es die 'support@die.de' Adresse: Die kann man verwenden wenn man nur irgendwen vom Support finden will und es eigentlich egal ist, wen. Letztlich landen mails an diese Adresse aber irgendwann bei mir - und ich schicke die dann an die 'passendste' Person. (Tipp: Das ist in 99% aller Fälle Herr Glücks... :-))

Dann gibt es noch 'räumlich' gebundene Adressen: oberhausen@die.de, muenchen@die.de und erfurt@die.de - dabei gehts darum, einen Ansprechpartner zu finden, der sich irgendwo in der Nähe befindet...

Und dann sind da noch Adressen für die Mailling-Listen Verwaltung, für den Versand von Lizenzen und so weiter und so fort... Man kann da natürlich was hinschicken - und das kommt auch irgendwann irgendwo an - aber schneller ist es ganz sicher, wenn Sie sich direkt an eine Person wenden.


Programme unter anderem Account ausführen


Wenn man nicht mit einem administrativem Account arbeitet (was man aus Gründen der Sicherheit nicht tun sollte) dann hat man das Problem, das sich manche Programme nicht starten lassen oder nicht richtig funktionieren: Diese Programme wollen unbedingt, das man sie als Administrator ausführt.

Das ist in vielen Fällen aber gar nicht so dramatisch: Man muss sich nicht jedesmal abmelden und mit einem administrativem Account wieder anmelden. Statt dessen tut es auch der Befehl 'ausführen als'.

Den erreichen Sie am einfachsten wenn Sie mit der rechten Maustaste auf das Programmsymbol klicken: Das öffnet das Objektmenü für das Programm, und darin befindet sich der Befehl. Der öffnet dann zunächst eine Dialogbox in der Sie die Daten eines anderen (administativen) Accounts angeben können, und unter dem Account wird das Programm dann gestartet.

Das klappt leider nicht immer: Manchmal fehlt der Befehl. Da hilft dann manchmal (aber aus mir völlig unklaren Gründen) wenn man die 'Shift' Taste gedrückt hält, wenn man mit der rechten Maustaste klickt: Das verändert das Objektmenü ein wenig, und dann taucht auch 'ausführen aus' auf.

Unsere Statikprogramm können Sie übrigens auch einfach so ohne administative Rechte ausführen, wenn Sie einmal wie hier beschrieben vorgehen.


Dateiname und Zeilennummer der aktuellen Quellcodezeile


In C++ gibt es die die Macros __FILE__ und __LINE__ die man dazu verwenden kann, um in einem Debug-Umfeld Informationen über die aktuelle Zeile und die aktuelle Datei auszugeben. In einem .NET Programm das man mit C# implementiert gibt es aber (praktisch) keine Makros - __FILE__ und __LINE__ im besonderen auch nicht.

Braucht man diese Information aber, so kommt man trotzdem dran: Dazu gibt es die StackFrame Klasse. Hier ein Beispiel:

StackFrame sf = new StackFrame(true);
string text = sf.GetFileName() + " - Zeile: "
+ sf.GetFileLineNumber();
MessageBox.Show( text);


Kurze Erinnerung:Update-Feed woanders


Nur ein kurzer Hinweis: Der RSS-Feed über die Updates liegt seit mehreren Tagen im Blog meines Bruders, und da sind heute auch neue Informationen über Updates unserer Statikprogramme erschienen. Meinen Feed zur Kategory Updates werde ich in Kürze einstellen...


Visual Studio Express-Varianten im Beta


Wers noch nicht mitbekommen hat: Bei MSDN gibts ab sofort 'abgespeckte' Versionen der Visual Studio 2005 Entwicklungsumgebungen für C++, C#, J# und Basic, sowie eine Variante für die Entwicklung von Websites und den SQL Server 2005 'Express' (der MSDE ablösen soll.)

Ist natürlich noch im Beta, aber dafür kostenlos - und auch schon recht stabil. Download-Link 

(Man kann alle Tools übrigens auch parallel zu einem existierenden Visual Studio .NET 2003 installieren; das gilt auch für das notwendige .NET 2.0 Paket)


Gesuchtes wiederfinden: Der Verlauf vom Internet Explorer


Das passiert mir häufiger: Ich weiss das es da eine Webseite gab die ich vor kurzem besucht habe - und ich weiss auch noch um was es dabei ging - kann mich aber an die URL nicht mehr erinnern. Bis vor kurzem war das ein Fall für Google, aber ab sofort habe ich was dazu gelernt, das den Google-Besuch unnötig macht: Man kann nämlich im Verlauf der früher besuchten Webseiten suchen.

Dazu öffnet man im IE erst einmal den Verlauf (das geht mit dem komischen grünen Symbol das so aussieht wie eine Uhr mit einem gegen die Uhrzeiger-Richtung gerichtetem Pfeil drauf.). Das Verlaufs-Fenster geht am linken Rand des Internet Explorers auf und enthält Links zu den zuletzt besuchten Webseiten.

Oben im Verlaufs-Fenster gibts einen Button suchen - und mit dem kann man in den Seiten suchen, die sich im Verlauf befinden: Irre praktisch, wenn man genau weiss, das man die gesuchte Webseite erst vor kurzem besucht hat.


Jetzt auch Umlaute: Website - Suche verändert


Vor kurzem viel mir auf, das Besucher von www.die.de zwar häufig die Suchfunktion verwenden - aber in bestimmten Fällen einfach nicht die Ergebnisse erhielten die man erwarten würden. So lieferte die Suche nach 'Stützenbemessung' keinerlei Resultate. Aergerlich - und meine Schuld: Grund dafür war der, das Umlaute schlicht und ergreifend bei der Suche nicht berücksichtigt wurden.

Die gute Nachricht ist, das das seit diesem Wochenende nicht mehr der Fall ist; man kann also nun auch nach Worten mit Umlauten suchen.

Wer der Suche aber trotzdem nicht über den Weg traut, der kann natürlich auch einfach Google verwenden, um die Webseite rund um unsere Statiksoftware zu durchsuchen. Dazu muss man Google nur einen Parameter übergeben, der die Suche auf die.de einschränkt. Um zum Beispiel ganz www.die.de nach dem Begriff 'Stahlbetonstütze' zu durchsuchen, kann man den folgenden Suchbefehl verwenden:

stahlbetonstütze site:die.de