template.jpg
Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:


 
Dahlmann.net > Informatives > Gekonntes E-Mailen > Profimailing

Profimailing

Hält man die Hinweise zum effektiven und höflichen Mailen ein, fehlt nur noch der Schritt zum Profimailing. ;)

Dieser mag für manche optional sein; andere mögen jedoch darüber nachdenken, ob dies nicht durchaus angebracht sein könnte.

An allen Ecken und Enden springen die Leute (zurecht) mit auf den Protestzug, wenn es um die Einschränkung des Datenschutzes oder der Meinungsfreiheit geht. Doch kaum einer macht sich Gedanken über den Datenschutz- und die -sicherheit beim E-Mail-Verkehr.
Ich spreche hier von der E-Mail-Signatur und -Verschlüsselung.

E-Mail-Signatur

Ich fange einmal mit den Signaturen an, da diese sich zumindest mit dem S/MIME-Standard bei Firmen ganz langsam, aber sicher durchzusetzen scheinen. Und gerade ein Unternehmen sollte seine Mails signieren. Anhand von Spam-Mails lässt sich schnell erkennen, wie einfach es ist, eine Absenderadresse zu fälschen.

Jede versandte E-Mail geht über die verschiedensten Wege im KLARTEXT über das Netz. Jeder System-Administrator eines Rechners, über den die Mail läuft, kann diese lesen. Sie kann abgefangen und sogar verändert und anschließend wieder weitergeschickt werden. Einfach so.

Mit E-Mail-Signaturen ist dies nicht so einfach. Eine signierte Mail mit ursprünglich gültiger Signatur wird eine fehlerhafte Signatur aufweisen, falls der Inhalt der Mail unterwegs manipuliert würde. Angesichts der Masse an Cyberkriminalität sollte man dieses tolle und zuverlässige System der elektronischen Signatur folglich auch definitiv nutzen.
Leider gibt es aber - wie so oft - zwei verschiedene Ansätze:

PGP / GnuPG

Am Anfang stand PGP (,,Pretty Good Privacy") von Phil Zimmermann. Es beruht auf einem ,,Web of Trust". Der heutzutage etablierte OpenPGP-Standard ist zwar ein offener Standard, jedoch nicht OpenSource. Statt dessen gibt es aber den ,,GNU Privacy Guard" (GnuPG oder GPG), welcher komplett OpenSource ist.

S/MIME

Der S/MIME-Standard sieht eine hierarchische Struktur vor und benötigt daher unbedingt ein vertrauenswürdiges Zertifikat. Dies kann man bei entsprechenden Zertifizierungsstellen beantragen. Je nach Klasse ist es kostenpflichtig.

PGP/GnuPG oder S/MIME?

Was man nun benutzt, hängt primär von der Gegenseite ab. Unternehmen sind wahrscheinlich mit S/MIME besser beraten. Privatpersonen sollten sich per OpenPGP oder GPG wunderbar ein Web of Trust aufbauen können.
Eine Entscheidungshilfe könnte diese Seite darstellen: S/MIME vs. OpenPGP: Eine Entscheidungshilfe

Allerdings kann man in viele E-Mail-Clients auch beide Verfahren integrieren, sodass man je nach Empfänger auswählen kann, was verwendet werden soll.

E-Mails verschlüsseln

Die nächste Stufe ist die Verschlüsselung von E-Mails.

Es ist zu vergleichen mit dem Verhältnis zwischen Postkarte und Brief: Eine Postkarte kann jeder lesen, durch dessen Hände sie geht. Ein Brief müsste allerdings gewaltsam geöffnet werden. Der Vergleich hinkt allerdings noch insofern, als die verschlüsselte Mail noch viel sicherer ist, da sie nur der Empfänger mit seinem privaten Schlüssel öffnen kann.

Auch die Verschlüsselung von E-Mails kann per S/MIME und PGP/GPG erfolgen. Anleitungen gibt es im Web zuhauf (z.B. diese hier: So verschlüsseln und signieren Sie Ihre E-Mails mit PGP oder S/MIME).

Wer zu den Leuten gehört, die sich anstellen, ihren Realnamen im Netz zu verraten oder Angst haben, ihre Telefonnummer ins Telefonbuch eintragen zu lassen, sollten statt dessen eimal überlegen, was sie alles unverschlüsselt über das Netz schicken. (Und das gilt übrigens nicht nur für E-Mail, sondern auch für ICQ und Co. Auch dafür gibt es übrigens Protokolle und Plugins zur Verschlüsselung. Aber das ist ein anderes Thema.)

Mein GnuPG-Schlüssel:

Ich freue mich über jeden, der ihn unterschreibt und ihn anschließend wieder zu einem Keyserver sendet. (Aber bitte nicht einfach so. Überprüft mit mir vorher den ,,Fingerprint". Auch digitale Schlüssel können gefälscht werden, jedoch nicht, ohne dass eine veränderte Prüfsumme (,,Hash-Wert") entsteht. Daher verifiziert man beim Unterschreiben seiner Schlüssel diese gegenseitig über den sog. Fingerprint. Da auch die Daten auf dieser Seite theoretisch manipuliert worden sein könnten, macht man so etwas in der Regel persönlich oder halb persönlich - also zumindest über eine stark verschlüsselte ICQ-Verbindung.)
An der Anzahl meiner Unterschriften kann man übrigens sehen, wie unbeliebt diese Technik, die nicht nur ich als ziemlich notwendig erachte, leider immer noch ist.

Immerhin wird GPG im OpenSource-Bereich durchgehend eingesetzt, um Dateien mithilfe der Signaturen zu verifizieren.
Naja, aber die OpenSource-Welt ist der restlichen Welt ja eigentlich immer ein ganzes Stück voraus. ;)

Mein Public Key: ace.asc
Fingerprint: B769 9826 C28C AA1D AE13 B28B 2489 8B81 6F95 6FA4