Leitfaden Mozilla Thunderbird

Die folgenden Empfehlungen können helfen, Maßnahmen zur Erkennung unerwünschter und gefährlicher E-Mail-Nachrichten sowie zum Schutz gespeicherter Passwörter und der Netzwerkverbindungen zum E-Mail-Server zu ergreifen. Stellvertretend für andere E-Mail-Clients wird hierbei nur der Mozilla Thunderbird in der Standardkonfiguration berücksichtigt. Obgleich im Einzelfall in anderen Clients nicht alle beschriebenen Maßnahmen umsetzbar sind, bieten sich diese Empfehlungen als Checkliste an.

Die meisten der empfohlenen Einstellungen sind nicht über die normale Benutzeroberfläche erreichbar. Verwenden Sie dazu den "Konfigurationseditor" (Anleitung).

Gefälschte Absender erkennen

In Thunderbird können die hier beschriebenen Einstellungen behilflich sein, gefälschte Absenderadressen zu identifizieren.

Vollständige E-Mail Adresse des Absenders anzeigen:

mail.showCondensedAddresses = false

Absenderinformation im Feld SENDER aus dem E-Mail-Header anzeigen lassen, sofern vom FROM abweichend, um mögliches Absender-Spoofing zu erkennen:

mailnews.headers.showSender = true

Verschleierte Link-Ziele erkennen

Zur strukturierten Darstellung von Inhalten wie Texten, Bildern und Hyperlinks können Absender das HTML-Format verwenden, obwohl es ursprünglich nicht für den Einsatz in E-Mails gedacht war. Um solche Inhalte korrekt anzeigen zu können, werden viele E-Mail-Clients mit ähnlichen Funktionen wie Browser ausgestattet. Dadurch ergeben sich prinzipiell auch die gleichen Probleme zu Sicherheit und Privatsphäre wie bei Web-Browsern. Mit den Standardeinstellungen sollte zwar jeder moderne E-Mail-Client (wie Thunderbird) das Ausführen von Skripten bzw. aktiven Inhalten und das Nachladen externer Inhalte blockieren. Nicht verhindert wird allerdings das böswillige Verschleiern von Links in HTML-E-Mails.

Empfangene Nachrichten sollten stets als Text (also nicht im HTML-Format) angezeigt werden:

Ansicht → Nachrichteninhalt → Reiner Text

Sollte doch einmal eine HTML-E-Mail durch die Darstellung als Text völlig unverständlich werden, besteht jederzeit die Möglichkeit, auf gleichem Weg in die HTML-Ansicht zu wechseln.

Um das Umschalten zwischen HTML- und Textansicht zu vereinfachen, gibt es die Erweiterung Allow HTML Temp für Thunderbird (Installationsanleitung). Diese ermöglicht das Hinzufügen einer Schaltfläche mit der Bezeichnung "HTML anzeigen", welche die ausgewählte Nachricht einmalig im Original-HTML-Format anzeigen lässt und beim Wechsel zur nächsten Nachricht automatisch zur Text-Ansicht zurückkehrt.

Eine weitere Verschleierungssmöglichkeit bieten internationalisierte Domainnamen als Link-Ziel. Die sog. Punycode-Darstellung für internationalisierte Domainnamen erleichert es, mögliches Domain-Spoofing zu erkennen:

network.IDN_show_punycode = true

Ausführung aktiver Inhalte blockieren

Die Option "Anhänge eingebunden anzeigen" sollte man deaktivieren, um gefährliche Anhänge nicht schon beim Lesen einer (HTML-) E-Mail automatisch für die Anzeige zu öffnen und die Infektion mit Viren zu vermeiden:

mail.inline_attachments = false

Thunderbird verhindert automatisch das Nachladen von Grafiken. Die Ausführung von Javascript aus "Remote Content" in HTML-E-Mails sollte ebenfalls deaktiviert werden:

javascript.enabled = false

Sicherheit gespeicherter Passwörter

Gespeicherte Passwörter für den Zugriff auf SMTP- und IMAP-Server sollten mit einem Masterpasswort vor Unbefugten geschützt werden (Anleitung).

Optionen für sichere Verbindungen

Die Technische Richtlinie TR-02102-2 des BSI empfiehlt, nur noch TLS mit der Protokollversion  ab 1.2 mit den dort aufgelisteten Cipher Suites zu verwenden. Dies wird mit folgenden Einstellungen erreicht:

security.tls.version.min = 3 /^security.ssl3.*sha[^\d]/ = false (vgl. Bild) security.pki.sha1_enforcement_level = 1

Die Cipher Suites mit CHACHA20-POLY1305 von D. J. Bernstein sind zwar nicht in den Empfehlungen des BSI enthalten, werden von uns aber ebenfalls als sicher eingestuft, so dass diese nicht deaktiviert werden müssen.

Unsichere Re-Negotiation verbieten (kann Probleme verursachen):

security.ssl.require_safe_negotiation = true security.ssl.treat_unsafe_negotiation_as_broken = true

Strenges Certifikate Pinning (HPKP) erzwingen (z.B. für Add-on Updates):

security.cert_pinning.enforcement_level = 2


Thunderbird Konfigurationseditor
Thunderbird Konfigurationseditor

Kommunikations- und Informationszentrum (kiz)

  • Helpdesk

    Kontaktieren Sie uns bei Fragen und Problemen zu den Services des kiz:

    Sprechzeiten
    Mo - Do 08:00 - 18:00 Uhr
    Fr 08:00 - 16:00 Uhr

    Telefon
    +49 (0) 731 / 50 - 30000

    Telefax
    +49 (0) 731 / 50 - 1230000

    Rückruf beauftragen
    helpdesk(at)uni-ulm.de
    Login Support-Portal
    [mehr]

  • Service-Points

    An den Service-Points können Sie uns persönlich aufsuchen.

    [mehr]

  • Identitätsmanagement

    Self Service Funktionen des Identitätsmanagementsystems (IDM): Berechtigungen verwalten, Dienste abonnieren, Passwörter ändern etc.

    IDM Self Services
    [mehr]

  • Literatursuche

  • kiz von A bis Z

    Etwa 400 Stichwörter führen Sie direkt zu einer einschlägigen Web-Seite des kiz. Wenn Sie ein Stichwort vermissen, geben Sie uns Nachricht an das Team Public Relations.

    A-Z-Liste