Spam Mails und Co sind die unangenehmen Randerscheinungen, wenn unsere Zugangsdaten durch Sicherheitspannen abhanden kommen. Die jedoch problematischeren Folgen werde ich in diesem Artikel behandeln und einfache aber effektive Lösungsmöglichkeiten aufzeigen.
Im Artikel zu Passworten bin ich auf die Vereinzelung zu den jeweiligen Konten eingegangen. Auch bei den Zugangsdaten sollten wir so gut es geht vereinzeln. Hier kommt es jedoch sehr oft vor, dass Emailadressen, Benutzername für unterschiedliche Dienste mehrfach verwendet werden. Die Kombination aus Passwort und Anmeldedaten sind für potentielle Angreifer eine ideale Grundlage. Uns ist zwar bewusst, dass identische Passworte für mehrere Accounts problematisch ist. Dies gilt jedoch gleichbedeutend für die Login Daten, Benutzername und / oder Email. Denn damit ist ein Teil des Accounts bekannt. Hinzu kommt, dass immer noch viele Dienste einen Rückschluss auf die Existenz eines Benutzeraccount ermöglichen. Die Rückmeldung „Passwort“ falsch aber auch der Rücksetzungprozess eines Passwortes liefern genug Hinweise darauf, ob es einen Benutzeraccount gibt oder nicht. Damit haben Angreifer schon die halbe Miete, ein valides Angriffsziel ermittelt.
Die Lösung dazu ist einfach. Wir nutzen für jeden Dienst eine eigene Emailadresse oder Logindaten. Im Gegensatz zu Passworten müssen wir uns hier keine komplizierten Regeln merken.
Als Vorbedingung solltet Ihr klären, ob euer Email Provider sogenannte Aliase erlaubt und diese nicht für einen Login genutzt werden können.
Unterschied Alias zu Postfach / Email Account.
Ein Postfachbenutzer ist das, was wir üblicherweise als Email kennen und nutzen. Eine Emailadresse wie z.B. max.musterman@meinedomain.de dient oft als Benutzername und Empfängeradresse gleichzeitig. Dahinter steckt ein Art Briefkasten, in welchem eingehende Emails ablegt werden. Mit dem Schlüssel / Passwort kommt Ihr an die Post dran oder könnt Post versenden. Ich denke das ist klar.
Ein Alias wiederum ist lediglich der Hinweis auf einen alternativen Empfänger. Am Briefkasten wäre es dann wohl ein weiteres Namenschild für z.B. eure Familienmitlgieder: maria.mustermann, hans.mustermann usw.. Elektronisch bedeutet es, dass Emails die an einen Alias gestellt werden, in euer Postfach weitergeleitet werden. Stellt also eine alternative Anschrift dar.
Ich denke, wir können es uns gut vorstellen. Dennoch eine Grafik, die es verdeutlichen soll.
Das Emailkonto dient ausschliesslich zur Anmeldung und damit dem Abholen und Versenden. Diese Adresse wählen wir frei, aber z.B. kryptisch z.B. 286XZfgH@domain.tld. Genau diese Adresse geben wir nicht raus. Für die Kommunikation nutzen wir nur die Aliase.
Wie nennen wir die Aliase?
Wir nehmen z.B. direkten Bezug zum Dienst. Für einen Amazon Account nutzen wir amazon. Fügen hier noch einen Zusatz an, so das wir diesen auch bei Bedarf ändern können. Z.B. das Jahr 2019. Somit haben wir einen Alias amazon.2019@domain.tld. Das machen wir für die anderen Dienste und Emails identisch. Kann man sich einfach merken. Vielleicht nicht ganz so offensichtlich das Jahr benennen. Erinnern wir uns daran, wie wir Passworte erstellt haben.
Für die üblichen und ggf. öffentlichen Kontaktadressen gehen wir genau so vor. Lediglich der Zusatz sollte sich entscheiden, so dass unsere Strategie in der Namensgebung erkennbar wird. info-kontakt@domain.tld (-kontakt) tauschen wir bei bedarf aus. Es gibt eine Reihe an üblichen Begriffe, welche Spammailer automatisch abklopfen. info@ kontakt@, welcome@, webmaster@, post@ etc.
Als Absender und Antwortadresse lassen sich diese Aliase in den üblichen Mailcients konfigurieren. Manchmal erfordert dies mehrere, wenn auch identische Logindaten, SMTP Konten. Prüft das bitte bei eurem Emailprogramm.
Wie gehen wir nun damit um?
Erstmal geht es darum heraus zu finden, ob unser Account von einem Dataleech also von Hacker abgegriffen wurde. Dies kann man bei Have i been pawned prüfen. Beim Spam Mailer wiederum merkt man es selbst. Nimmt es unerträgliche Formen an, dann tauscht man jetzt das Passwort und auch Emailadresse als Alias. Beides sollten wir tauschen.
Durch die eigene Namensgebung lässt sich u.a. auch schnell erkennen, welcher Dienstanbieter mit den Daten unzuverlässig umgeht. Bekomme ich auf einer Emailadresse als Empfänger sehr viele Spam Emails, ohne, dass ich diese Emailadresse für den regulären Kommunikationsverkehr nutze. Dann ist das ein guter Hinweis darauf, dass Kontodaten gestohlen oder verkauft wurden. Durch den Namenbezug wissen wir auch ziemlich genau, durch wen oder beim wem.
Weitere Möglichkeiten durch Aliase.
Ihr kennt das sicherlich. In einer Produktion für einen Auftrag spricht man mit mehreren Parteien. Per Whatsapp, etc lassen sich gut Gruppen einrichten. Dennoch sind Emails noch ein gängiges Kommunikationsmittel . Viele Provider handhaben Aliase so, dass diese auch als ein einfacher Mailverteiler genutzt werden können. Für kurze Projekte also eine gute Methode die Kommunikation auf eine Emailadresse und Verteiler für genau diesen Auftrag und Team zu gruppieren. Damit sind alle in der Kommunikation gut eingebunden und informiert. Ihr spart euch den Austausch und Koordination. Einen Split Brain, also ein unterschiedlicher Kenntnisstand kann hierbei vermieden werden. Denn alle bekommen die Änderungen etc. zugeteilt. Bitte denkt daran, diese auch zügig wieder zu löschen. Denn sonst haben Spamailer u.U. einen Verteiler für sich gefunden.
Einige Provider handhaben Alias wie einen eigenständigen Account. Man kann sich damit einloggen. Prüft das bitte vorher. Dann macht diese Strategie weniger Sinn und es ist besser, eigene Konten zu verwenden.
