Phishingverdacht in Thunderbird vermeiden

Manchmal sind es die kleinen Randnotizen, die einen den großen Aha-Effekt erleben lassen. So geschehen bei einem Newsletter, der letzte Woche verschickt werden sollte. Trotz sorgfältiger Kontrolle und Anwendung aller Regeln, um eine Einstufung als Spam zu vermeiden wurde dieser Newsletter im E-Mail-Programm Mozilla Thunderbird immer mit dem Hinweis versehen, es könne sich um einen Betrugsversuch durch Phishing handeln.

Nach einiger Recherche im Web wurden die angegebenen Hyperlinks als Verursacher entlarvt. Und zwar war im Impressum die Internetadresse des Absenders in der Form http://www.hierentlang.de/ angegeben, also syntaktisch korrekt als sogenannter Uniform Resource Locator (URL). Die Adresse war natürlich mit der gleichen URL als Linkreferenz (im href-Attribut des a-Tags) hinterlegt worden, damit der Empfänger durch Anklicken auf die entsprechende Website gelangen konnte. Soweit nichts ungewöhnliches.

Jedoch ersetzt häufig die E-Mail-Marketing Software alle Linkreferenzen durch ein spezielles Weiterleitungsskript, das die Klicks auf alle Links zählt und somit eine zuverlässige statistische Auswertung der Klickrate möglich macht. Diesen Vorgang nennt man Linktracking.

Mozilla Thunderbird überprüft nun sinnigerweise, ob diejenige URL, auf die in einem Link verwiesen wird, mit dem Text übereinstimmt, der als anklickbar gekennzeichnet ist. Das geschieht, um Phishingversuche zu verhindern, denn nicht selten versuchen Betrüger, den Anschein zu erwecken, man würde durch Anklicken eines Links auf eine bestimmte Webseite gelangen, die der Link aber in Wirklichkeit gar nicht referenziert. Statt dessen wird beispielsweise nicht die echt Onlinebanking-Anmeldung aufgerufen, sondern eine manipulierte Website, die sich Kontonummern und Passwörter merkt. Dem Missbrauch wird so Tür und Tor geöffnet, Betrüger räumen mit dieser Technik zahlreiche Konten leer.

Genau die gleiche Skepsis legte Thunderbird aber auch in unserem Falle bei der Internetadresse im Impressum des Versenders an den Tag. Die im Text angegebene URL und die hinterliegende Linkreferenz stimmten durch die Veränderungen des Linktrackings nicht mehr überein. Die E-Mail wurde als potentieller Betrug gekennzeichnet.

Es gibt zu dem geschilderten Problem zwei Lösungsmöglichkeiten:

  • entweder das Linktracking zu deaktivieren
  • oder den verlinkten Text derart zu verändern, dass er nicht wie eine vollständige URL geschrieben wird.

Bei Thunderbird reicht es, das http:// im verlinkten Text wegzulassen (Vorsicht: dies gilt natürlich nicht für Referenzierung im href-Attribut des a-Tags). Bei sensibleren Phishingfiltern reicht auch dies nicht. Man kann Abhilfe schaffen, indem man die Punkte im Domainnamen durch kurze Bindestriche (­) oder Mittelpunkte (·) ersetzt. Das fällt optisch kaum auf, stellt aber einen ausreichend großen Unterschied zu einer „echten“ URL dar, damit der Filter nicht meckert.

Abschließend möchten wir darauf hinweisen, dass die beschriebene Methode zum „Austricksten“ eines Phishingfilters nicht dazu gedacht ist, Kontonummern zu zocken, sondern dazu, den Impressumspflichten für einen seriösen Newsletter in angemessener Form nachzukommen.

Ein Gedanke zu „Phishingverdacht in Thunderbird vermeiden

  1. Pingback: Newsletter Blog » Blog Archiv » Und Action, bitte!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.