Privacy-Handbuch
Mirror von awxcnx.de, Stand: 2013-05-13
Eine aktuelle Version gibt es hier: privacy-handbuch.de oder bei Wikibooks
Einige Hinweise für die sichere und unbeobachtete Nutzung von E-Mail mit Thunderbird:
-
Mit der Verwendung von HTML in E-Mails steht dem Absender ein ganzes Bestiarium von Möglichkeiten zur Beobachtung des Nutzers zur Verfügung: HTML-Wanzen, Java Applets, JavaScript, Cookies usw. Die Firma ReadNotify beispielsweise nutzt diese Möglichkeiten, um E-Mails für die Beobachtung des Empfängers zu präparieren (User-Tracking).
Am einfachsten deaktiviert man alle diese Features, wenn man E-Mails als Plain Text darstellt. Die Option findet man im Menüpunkt "Ansicht -> Nachrichteninhalt".
- Die Option "Anhänge eingebunden anzeigen" sollte man ebenfalls deaktivieren, um gefährliche Anhänge nicht schon beim Lesen einer E-Mail automatisch zu öffnen.
- Es ist nicht immer möglich, E-Mails als Plain Text zu lesen. Viele Newsletter sind nur als HTML-Mail lesbar, eBay verwendet ausschließlich HTML-Mails für Benachrichtigungen usw. In der Regel enthalten diese HTML-only Mails mehrere Trackingelemente.
- Um diese Mail trotzdem lesen zu können (wenn auch nicht in voller Schönheit), kann man die Darstellung "Vereinfachtes HTML" nutzen.
Außerdem können folgende Features in den "Erweiterten Einstellungen" deaktiviert werden, die jedoch nur für die Darstellung von "Orginal HTML" relevant sind:
Parameter | Wert |
javascript.enabled | false |
network.cookie.cookieBehavior | 2 |
dom.storage.enabled | false |
geo.enabled | false |
webgl.disabled | true |
layout.css.visited_links_enabled | false |
gfx.downloadable_fonts.enabled | false |
network.http.sendRefererHeader | 0 |
security.enable_tls_session_tickets | false |
network.http.use-cache | false |
- Alle Bilder in HTML-Mails, die von einem externen Server geladen werden, können direkt mit der E-Mail Adresse des Empfängers verknüpft sein. Anhand der Logdaten kann der Absender erkennen, wann und wo die E-Mail gelesen wurde. Einige Newsletter verwenden auch HTML-Wanzen. Im Newsletter von Paysafecard findet man beispielsweise ganz unten eine kleine 1x1-Pixel Wanze, die offenbar mit einer individuellen, nutzerspezifischen URL von einem Trackingservice geladen wird:
<IMG src="http://links.mkt3907.com/open/log/43.../1/0">
Easyjet.com (ein Billigflieger) kann offenbar die Aufrufe seiner Newsletter selbst zählen und auswerten. In den E-Mails mit Informationen zu gebuchten Flügen findet man folgende kleine Wanze am Ende der Mail:
<IMG src="http://mail.easyjet.com/log/bEAS001/mH9..."
height=0 width=0 border=0>
Um das Tracking mit Bildern und HTML-Wanzen zu verhindern, kann man in den "Erweiterten Einstellungen" das Laden externer Bilder komplett blockieren:
Parameter | Wert |
permissions.default.image | 2 |
Auch andere Medienformate können von einem externen Server geladen und als Wanzen genutzt werden. Einen deartigen Einsatz von Audio- oder Videodateien habe ich bisher nicht gefunden, aber technisch wäre es möglich. Man kann das Laden von Videos und Audiodateien mit folgenden Parametern unterbinden:
Parameter | Wert |
media.webm.enabled | false |
media.wave.enabled | false |
media.ogg.enabled | false |
- Die Links in HTML-Mails führen oft nicht direkt zum Ziel sondern werden ebenfalls über einen Trackingservice geleitet, der jeden Aufruf des Link individuell für jede Empfängeradresse protokollieren kann. Als Bespiel soll ein Link aus dem Paysafecard Newsletter dienen, der zu einem Gewinnspiel bei Paysafecard führen soll:
<a href="http://links.mkt3907.com/ctt?kn=28&ms=3N..."> Gewinne Preise im Wert von 10.000 Euro</a>
Diesem Tracking kann man nur entgehen, wenn man diese Links in HTML-Mails nicht aufzuruft! Der Trackingservice hat die Möglichkeit, Logdaten von verschiedenen E-Mails zu verknüpfen und evtl. auch das Surfverhalten einzubeziehen. Wichtige Informationen findet man auch auf der Webseite des Absenders.
- Die extension blocklist kann Mozilla nutzen, um einzelne Add-ons in Thunderbird zu deaktivieren. Es ist praktisch ein kill switch für Thunderbird Add-ons. Beim Aktualisieren der Blockliste werden außerdem detaillierte Informationen an Mozilla übertragen.
Ich mag es nicht, wenn jemand irgendetwas remote auf meinem Rechner deaktiviert oder deaktivieren könnte. In den "Erweiterten Einstellungen" kann man das Feature abschalten:
extensions.blocklist.enabled = false
- Gespeicherte Passwörter für den Zugriff auf SMTP- oder POP3-Server sollten mit einem Masterpasswort vor Unbefugten geschützt werden.