Das Simple Mail Transfer Protocol (SMTP) ist für den Versand der E-Mails im Internet zuständig. Es wird sowohl vom E-Mail Programm dafür eingesetzt, die Post an den E-Mail-Server zu schicken als auch dafür, die Post anschließend von Server zu Server weiterzuleiten, bis sie an ihrem Endpunkt angelangt ist.
SMTP-Server
Beim Einrichten eines E-Mail-Kontos gibt man jeweils den Server des Providers an, zu dem die ausgehende Post geschickt werden soll. Bei T-Online ist es beispielsweise “smtpmail.t-online.de”, bei Mobile Me “smtp.me.com”. Richtet man in Mail ein neues Konto ein, so gibt man im Assistenten nach den persönlichen Daten und dem Server für die eingehende Post im dritten Schritt denjenigen für die ausgehenden Nachrichten an. In diesem Fenster muss man bei den meisten Providern auch “Identifizierung verwenden” aktivieren und seinen Benutzernamen und sein Passwort für das E-Mail-Konto angeben. Damit will der Provider verhindern, dass sein Posteingang für den Versand anonymer Spam-Nachrichten verwendet wird.
Hat man mehrere E-Mail-Konten in Mail eingerichtet, gibt es für jedes Konto einen eigenen SMTP-Server. In der Regel muss man denjenigen verwenden, der zum jeweiligen Provider gehört. In den Account-Informatio-nen von Mail ist deshalb unterhalb des Aufklappmenüs mit dem Namen des SMTP-Servers die Option “Nur diesen Server verwenden” markiert. Um sich alle gespeicherten Server anzeigen zu lassen, ruft man aus dem Aufklappmenü “Serverliste bearbeiten” auf. Hier lassen sich Server löschen und hinzufügen, und unter “Erweitert” sind die Einstellungen für die Identifizierung zu finden.
IMAP
Um von mehreren Rechnern aus Zugang zu seiner E-Mail zu haben, richtet man sich ein IMAP-Konto ein. Das Internet Message Access Protocol (IMAP) dient dazu, die elektronische Post auf einem Server zu verwalten. Die eingegangenen Nachrichten werden vom E-Mail-Programm nur zum Lesen auf den Mac übertragen und, je nach Vorgabe, nur als Kopie gespeichert. Zudem ist es möglich, auf dem Server Ordner zum Sortieren der Post einzurichten. Der Vorteil von IMAP ist, dass man von verschiedenen Rechnern aus auf die Post zugreifen kann. Auch der Status einer Nachricht (gelesen, beantwortet, gelöscht et cetera) wird auf dem Server gespeichert. Egal welcher Rechner dann die E-Mails abruft, man sieht immer den aktuellen Stand. Das gilt analog auch für den Zugriff über den iPod Touch und das iPhone. Je nach Obergrenze des Speichervolumens auf dem Server empfiehlt es sich, darauf zu achten, dass das Postfach nicht überläuft. Dazu archiviert man beispielsweise von Zeit zu Zeit die Nachrichten lokal auf dem Rechner und entfernt die schon auf den Mac übertragenen sowie die versendeten Anhänge.
Nicht jeder Anbieter eines E-Mail-Kontos unterstützt IMAP. Während Apples Mobile Me ausschließlich IMAP verwendet, bieten zum Beispiel GMX oder T-Online IMAP nur für bestimmte Vertragsarten an. Für das einfache T-Online-Konto und den kostenlosen GMX-Account lässt sich IMAP nicht aktivieren.
Konto einrichten
Richtet man sein IMAP-Konto in Apples Mailprogramm ein, so gibt man im ersten Schritt Name, E-Mail-Adresse und Passwort an und wählt anschließend “IMAP” im Aufklappmenü “Servertyp” aus. Wichtig ist, in das Feld “Server für eintreffende E-Mails” die richtige Bezeichnung einzutragen. T-Online verwendet zum Beispiel unterschiedliche Server für IMAP (imapmail.t-online.de) und POP (popmail.t-online.de). Für die ausgehende Post wird bei den Serveradressen für IMAP und POP nicht unterschieden. Besonders einfach macht es Apple den Kunden von Mobile Me. Wer in der Systemeinstellung “MobileMe” seine Daten angegeben hat, für den stellt Mail beim Einrichten des Kontos automatisch alles richtig ein, wenn man “Account automatisch einrichten” ankreuzt, nachdem Name, E-Mail-Adresse und Passwort eingetippt sind.
Weitere Einstellungen
Nun wechselt man in die Abteilung “Postfach-Verhalten” und legt dort fest, ob auch die Entwürfe, die gesendeten und gelöschten Nachrichten sowie die unerwünschte Werbung auf dem Server gesichert werden sollen. Für diese wird dann jeweils ein Ordner auf dem Server angelegt. Sie werden in Mail unter dem Namen des jeweiligen Kontos in der Postfachliste angezeigt. So hat man dann auf allen Rechnern in Mail Zugriff auf die-se Nachrichten, auch wenn sie auf einem anderen Mac versandt oder gelöscht wurden. Zusätzlich kann man unter “Postfach-Verhalten” noch angeben, wann gelöschte und gesendete Nachrichten sowie die Werbung endgültig entfernt werden sollen. Unter “Erweitert” legt man über “Kopien der E-Mails behalten…” fest, ob Duplikate sämtlicher eingegangener Nachrichten (mit oder ohne Anhänge) oder nur Kopien der gelesenen Post auf dem lokalen Rechner gespeichert werden sollen oder gar keine Kopien.
Postfächer
Legt man in Mail Postfächer zum Sortieren der Nachrichten an, kann man im Dialogfenster jeweils angeben, ob das Postfach lokal auf dem Mac oder auf dem IMAP-Server eingerichtet wird. Erstellt man ein Postfach auf dem Server, wird es in Mail der Liste mit den Serverpostfächern hinzugefügt. Legt man das Postfach auf dem Mac an, erscheint es unter “Lokal”. Sortiert man dann eingegangene oder ausgegangene Nachrichten in lokale Postfächer ein, werden sie automatisch vom Server gelöscht und sind anschließend auf anderen Rechnern nicht mehr verfügbar.
POP
Das Post Office Protocol überträgt die E-Mails vom Server auf den eigenen Rechner, und man verwaltet sie dann dort. Das Post Office Protocol (POP) verwaltet anders als IMAP die Post nicht auf dem Server, sondern überträgt sie einschließlich der Anhänge auf den lokalen Rechner und entfernt sie dann vom Server. Alle Mailprogramme unterstützen dieses Protokoll. Richtet man in Mail ein Konto ein, so wählt man als Servertyp “POP” aus und gibt im Feld “Server für eintreffende E-Mails” den vom Provider angegebenen Namen ein.
Da bei einem POP-Konto die Nachrichten nach der Übertragung vom Server gelöscht werden, kann man normalerweise nicht auch von einem anderen Rechner darauf zugreifen. In den Vorgaben von Mail lässt sich aber unter “Erweitert” im Aufklappmenü bei “Nach Erhalt einer E-Mail Kopie vom Server löschen” festlegen, wie lange die Nachrichten auf dem Server aufbewahrt werden sollen. Dann lassen sich die Nachrichten auch noch auf andere Rechner übertragen. Informationen über den Status (Gelesen, Beantwortet) bekommt man aber nicht, alle Nachrichten werden wie neu eingetroffene Mails behandelt. Unter “Erweitert” hat man über den Knopf “Jetzt löschen” außerdem die Möglichkeit, alle Nachrichten vom Server zu entfernen.
Da bei einem POP-Konto die Nachrichten lokal gespeichert sind, werden beim Löschen des Kontos auch alle Postfächer (Eingang, Gesendet, Papierkorb und Werbung) inklusive der E-Mails entfernt. Nachrichten, die man in eigene Postfächer verschoben hat, bleiben aber erhalten.
Web-Mail
Greift man über einen Browser auf das E-Mail-Konto zu, kann man fast überall seine Post lesen und beantworten. Bei einem Web-Mail-Konto verwaltet man die elektronische Post nicht mit einem E-Mail-Programm, sondern über einen Browser. So kann man von jedem Computer aus seine Post ansehen, beantworten und löschen. Andererseits kann man nur dann auf die Post zugreifen, wenn man online ist, wobei dies für die meisten Anwender dank DSL und Flatrate nicht problematisch ist.
Hat man mehrere E-Mail-Konten bei verschiedenen Anbietern, ergibt sich bei Web-Mail-Konten das Problem, dass man für jedes Konto eine eigene Adressverwaltung unterhalten muss. In diesem Fall ist es sinnvoller, die Verwaltung der Nachrichten und Adressen in einem E-Mail-Programm wie Mail (und dem Adressbuch) oder Thunderbird zu zentralisieren und den Web-Mail-Zugriff nur dann zu verwenden, wenn man die E-Mails nicht auf dem eigenen Rechner lesen möchte. Da sich auch Konten von GMX, Web.de oder Google Mail per Mailprogramm bedienen lassen, ist dieses Vorgehen kein Problem. Je nach Anbieter verbleiben die Nachrichten auf dem Server, da der Provider IMAP verwendet, oder werden per POP auf den Rechner übertragen und dann auf dem Server gelöscht (siehe “IMAP” und “POP”).
Bekommt man häufiger Nachrichten mit Anhängen, muss man bei einem Web-Mail-Konto darauf achten, dass der Speicherplatz nicht zu knapp wird, denn es gibt keine Möglichkeit, nur die Anhänge zu löschen, die Nachrichten aber nicht. Das Herunterladen der Anhänge auf den Rechner funktioniert wie bei jeder Datenübertragung. Sie landen dann in dem Ordner, der im Browser für die Downloads angegeben ist.
Signaturen
Signaturen kennzeichnen den Absender einer E-Mail. Dabei unterscheidet man zwischen der Absenderangabe am Ende der Nachricht und der digitalen Signatur. Letztere soll den Absender eindeutig identifizieren, da sich Absenderangaben in E-Mails leicht fälschen lassen. Für eine digitale Signatur verwendet man ein Zertifikat (siehe “Zertifikate”) oder eine Verschlüsselungslösung wie GPG (siehe “Verschlüsselung”).
Absender
Damit man die Signatur am Ende einer E-Mail nicht jedes Mal eintippen muss, lassen sich in Mail Signaturen speichern und dann aus dem Aufklappmenü “Signatur” in einer neuen Nachricht auswählen. Zum Anlegen der Unterschriften begibt man sich in den Voreinstellungen in die Abteilung “Signaturen”. Dort markiert man ein Konto, klickt auf das Plussymbol, gibt der Signatur einen Namen und tippt rechts den Text ein. Soll Mail eine Signatur automatisch in jede neue Nachricht einfügen, stellt man sie im Aufklappmenü bei “Signatur auswählen” ein. Damit sie am Ende des eigenen Textes und vor einem Zitat erscheint, markiert man “Signatur über zitierten Text setzen”.
Digitale Unterschrift
Verwendet man ein Zertifikat für eine digitale Signatur, so blendet Mail rechts neben dem Aufklappmenü “Signatur” zwei Symbole ein. Über das rechte aktiviert man die digitale Unterschrift. Beim Empfänger zeigt Mail im Kopf der Nachricht an, dass die Nachricht signiert ist. Per Klick auf das Symbol blendet man das Zertifikat ein. Andere E-Mail-Programme und Web-Mail-Postfächer zeigen ebenfalls an, dass eine Mail über eine gültige Signatur verfügt.
Spam
Spam sind die E-Mails, die man eigentlich nicht bekommen möchte. Da es wohl auch den meisten anderen Menschen so geht, fragt man sich, warum so viel Energie in das Versenden dieser Massen-E-Mails hineingesteckt wird. Es lohnt sich deshalb, weil es unter den vielen Empfängern immer wieder Personen gibt, die die Nachricht öffnen, auf den dort enthaltenen Link klicken und dann das beworbene Produkt kaufen.
Adressen schützen
Eine der Maßnahmen, die man gegen unerwünschte Werbung treffen kann, ist der sorgfältige Umgang mit der eigenen E-Mail-Adresse. Wer seine Adresse freizügig in jedem Blog und in jedem Chat herausgibt und sich auf jeder noch so fragwürdigen Webseite mit seiner E-Mail-Adresse anmeldet, braucht sich nicht zu wundern, wenn die Adresse ihren Weg in die Adresslisten eines Spammers findet. Von daher meldet man sich nur dort an, wo man sicher sein kann, dass der Webseitenbetreiber pfleglich mit den Daten umgeht. Außerdem kann man sich E-Mail-Aliasse (siehe “E-Mail-Alias”) zulegen und diese für die Anmeldung auf Webseiten verwenden. Bekommt man dann gehäuft Werbung an ein Alias zugestellt, löscht man es einfach.
Bildanzeige ausschalten
Ein weiterer Schutz gegen Spam besteht darin, die sofortige Anzeige von Bildern in HTML-E-Mails auszuschalten. In Mail deaktiviert man dazu in den Vorgaben “Nicht lokal gesicherte Bilder in HTML-E-Mails anzeigen” unter “Darstellung”. Auch in den Einstellungen für Web-Mail gibt es auf der Webseite der Provider in der Regel eine Option, Bilder nicht sofort anzeigen zu lassen. Grund für diese Maßnahme: Spammer verstecken in ihren Nachrichten oft winzige Bilder, die der Überprüfung der Anschrift dienen. Werden die Bilder vom Server des Spammers geladen, signalisiert dies die Gültigkeit der Anschrift, die daraufhin vermehrt mit Spam-Mail eingedeckt wird. Ebenfalls sinnvoll ist es, in Mail die sofortige Darstellung der Nachricht im unteren Bereich des Fensters auszuschalten, wozu ein Doppelklick auf die Trennlinie genügt. Dann werden die Nachrichten nicht geöffnet, wenn man sie im Eingangspostfach anklickt. Ohne sie zu öffnen, kann man dubiose Mails sofort löschen.
Spam-Filter auf dem Server
Anbieter von E-Mail-Diensten prüfen E-Mails nicht nur auf Viren, sondern versuchen außerdem, Spam-Mails herauszufiltern. Dabei verwenden sie zum einen Listen mit IP-Adressen und E-Mail-Adressen bekannter Spam-Versender und analysieren zum anderen die Nachrichten da-raufhin, ob sie typische Merkmale von Spam-Mails aufweisen. Man kann in den Einstellungen in der Regel entscheiden, ob die als Spam identifizierten Nachrichten sofort gelöscht oder mit einer Kennzeichnung versehen werden sollen. Zusätzlich gibt es häufig die Möglichkeit, eine Liste mit E-Mail-Adressen anzulegen, die man selbst als Spam-Versender einstuft (Blacklist). In eine andere Liste lassen sich die vertrauenswürdigen Absender aufnehmen (Whitelist). Letztere soll verhindern, dass Nachrichten von diesen Absendern als Spam gekennzeichnet und versehentlich gelöscht werden.
Werbefilter in Mail
Mailprogramme verfügen entweder über einen integrierten Filter für Spam-Mails oder werden zusammen mit einem Filterprogramm ausgeliefert, das diese Aufgabe übernimmt. Oder man kauft zusätzlich einen Spam-Filter wie Spam Sieve (Demo auf der Heft-CD), der mit vielen Mailprogrammen zusammenarbeitet, darunter Mail, Thunderbird und Entourage. Die Filter analysieren die Nachrichten anhand der verwendeten Wörter und anderer Merkmale auf die Wahrscheinlichkeit hin, dass es sich um Werbung handelt.
Mail arbeitet beim Erkennen von Spam zuerst in einer Lernphase, nachdem man den Werbefilter in den Vorgaben eingeschaltet hat. Post, die Mail für Werbung hält, hebt das Programm farblich hervor. Ist die Kennzeichnung zu Unrecht erfolgt, markiert man die Nachricht und klickt auf “Keine Werbung”. Nachrichten, die man selbst als Spam erkennt, erklärt man durch den Klick auf “Ist Werbung” zur unerwünschten Zusendung. Glaubt man, dass das Programm genügend Erfahrungen gesammelt hat, aktiviert man in den Vorgaben “In das Postfach für unerwünschte Werbung bewegen”. Dann legt Mail ein Postfach “Werbung” an und verschiebt alle als Spam eingestuften Mails dorthin. In den Vorgaben kann man zusätzlich festlegen, dass alle Nachrichten von Personen, die im Adressbuch gespeichert sind oder an die man selbst schon Nachrichten versandt hat, nie als Müll angesehen werden. Damit vermeidet man, dass solche Mails im Postfach “Werbung” landen. Die Option “E-Mail ist an meinen vollständigen Namen adressiert” bietet jedoch keine Garantie, denn Spammer verwenden auch gekaufte Adressen mit vollständiger Anschrift. Sinnvoll ist dagegen, den vom Provider getroffenen Kennzeichnungen der Werbung zu vertrauen, die Mail dann auswertet.
Phishing
Phishing ist ein Kunstwort und bezeichnet den betrügerischen Versuch, im Web an persönliche Daten eines Anwenders, wie Passwörter und Bankdaten, zu gelangen. Damit können Betrüger sowohl die Identität des Bestohlenen annehmen (Identity Theft), und beispielsweise in seinem Namen Geschäfte tätigen, als auch mit den Bankdaten Geld vom Konto des Bestohlenen abziehen.
Ausgangspunkte
Ausgangspunkt für einen Datenklau per Phishing ist häufig eine E-Mail beziehungsweise eine Nachricht per Instant Messaging, die einen Link auf eine Webseite enthält, mit der Aufforderung, sich dort zu identifizieren oder Kontendaten einzugeben. Angebliche Absender sind Banken, Online-Bezahldienste wie Paypal, Online-Shops sowie Anbieter sozialer Netzwerke wie Facebook, You Tube oder My Space. Waren solche Nachrichten früher recht roh zusammengezimmert, wurden die Methoden inzwischen verfeinert. Daher kann man am Text und Erscheinungsbild der Nachricht nicht erkennen, dass sie nicht vom angegebenen Absender stammt. Dem Link sieht man ebenfalls nicht an, dass er nicht auf die erwartete Webseite, sondern auf eine nachgemachte Seite führt.
Unpersönlich
Phishing-E-Mails werden in der Regel breit gestreut, so dass sie keine persönliche Anrede enthalten. Wird man also mit “Sehr geehrter Kunde” oder “Lieber Teilnehmer” angesprochen, obwohl die Nachricht von einer Firma oder Organisation stammt, bei der man Kunde oder Mitglied ist, sollten sofort die Alarmglocken klingeln. Es gibt aber auch Phishing-Attacken, bei denen sich die Betrüger zuvor persönliche Daten, wie Namen und E-Mail-Adresse, besorgt haben (Spear Phishing). Dann wird man sogar persönlich angesprochen. Und unter den vielen Adressaten der E-Mail werden sich schon einige befinden, die beispielsweise ein Konto bei einer örtlichen Bank haben.
Angriffe auf persönliche Daten können aber auch von anderer Seite kommen. So tauschen Betrüger die in Blogs oder auf Web-2.0-Seiten platzierten aktiven Objekte gegen eigene Java Scripts oder Flash-Elemente aus, wenn der Server Sicherheitslücken aufweist und deshalb ein solcher Zugriff von außerhalb möglich ist. Mit Hilfe dieser Objekte lesen die Angreifer dann die Sitzungsdaten inklusive des Passworts aus, oder sie klinken sich in andere Webseiten ein, die der Benutzer ebenfalls besucht, und versuchen dort, die Eingaben abzufangen. Auch das geht allerdings nur, wenn entweder der Browser, Flash oder die Webseite Sicherheitslücken aufweisen.
Schutz vor Phishing
Die wichtigste Maßnahme gegen Phishing ist gesundes Misstrauen. Jede Aufforderung per Mail, Bankdaten auf einer Webseite einzugeben, ist grundsätzlich gefälscht, selbst dann, wenn die Nachricht persönlich adressiert ist. Aber auch Aufforderungen, Anmeldedaten bei einem Online-Shop oder einem der sozialen Netze zu bestätigen, sollte man nicht nachkommen und nicht auf den eingefügten Link klicken. In allen Fällen tippt man die Adresse des Anbieters selbst im Browser ein oder nimmt ein gespeichertes Lesezeichen und prüft anschließend auf der Seite des Anbieters, ob dort Informationen zu finden sind. Kritisch sollte man auch bei Links zu Inhalten von You Tube, Facebook oder My Space sein, die man per elektronischer Nachricht erhält, wenn man den Absender der Nachricht nicht persönlich kennt. Wobei natürlich auch Freunde unwissentlich Links auf Seiten verschicken können, auf denen mit Hilfe von eingeschleuster Software die Anwenderdaten abgefangen werden.
Warnung im Browser
Safari und Firefox weisen auf betrügerische Webseiten hin, sofern diese bekannt sind, und greifen dazu auf die Datenbank von “Google Safe Browsing” zu. In Safari aktiviert man in den Vorgaben “Bei betrügerischen Inhalten warnen”, in Firefox heißt die Einstellung “Hinweis anzeigen, falls die besuchte Webseite als Betrugsversuch eingeschätzt wird”. Beide sind unter “Sicherheit” zu finden.
Autor: Thomas Armbrüster, Autor
Thomas Armbrüster schreibt seit 1993 für die Macwelt.