Sichere Nutzung von E-Mail mit Microsoft Outlook 2007



Ähnliche Dokumente
Sichere Nutzung von mit Microsoft Outlook 2003

Sichere Nutzung von mit Lotus Notes 8.0

Sichere Nutzung von mit KDE Kontact und KMail

Sichere Nutzung von mit Mozilla Thunderbird 2.0

Sicherer Betrieb von -Servern mit Postfix 2.5

Sicherer Betrieb von -Servern mit Sendmail 8.14

Import des persönlichen Zertifikats in Outlook2007

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Import des persönlichen Zertifikats in Outlook 2003

Import des persönlichen Zertifikats in Outlook Express

-Verschlüsselung mit Geschäftspartnern

Konfigurationsanleitung Konfiguration unter Outlook Express 6.0

FAQ IMAP (Internet Message Access Protocol)

Konfigurationsanleitung Konfiguration unter Outlook Express Konfigurationsanleitung Konfiguration unter Outlook Express 6.

Konfigurationsanleitung Konfiguration unter Windows Mail für Windows Vista

Sicherer Betrieb von -Servern mit Kolab

Anleitung für -Client Outlook 2000 mit SSL Verschlüsselung

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D7:

Electronic Systems GmbH & Co. KG

Electronic Systems GmbH & Co. KG

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil C3:

Blauer Ordner Outlook Konto einrichten Anleitung zum Einrichten der Berliner Schulmail unter Outlook 2010

Konfiguration von Outlook 2007

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D2:

Einrichtung V2009/01

Sichere Nutzung von Web-Angeboten mit dem Microsoft Internet Explorer 9. BSI-Checkliste zur Internet Explorer-Sicherheit (ISi-Check)

Wichtige Informationen und Tipps zum LüneCom Mail-Server 04

Microsoft Outlook Express 5.x (S/MIME-Standard)

Einrichtung eines -Zugangs mit Mozilla Thunderbird

Die Verwendung von IMAP für alte programme und alte Handys

OutLook 2003 Konfiguration

Einrichtung eines neuen -Kontos für s unter in Ihrem programm

Ihr Benutzerhandbuch für das IntelliWebs - Redaktionssystem

Konfigurationsanleitung Konfiguration unter Outlook 2003

Das nachfolgende Konfigurationsbeispiel geht davon aus, dass Sie bereits ein IMAP Postfach eingerichtet haben!

Ein Hinweis vorab: Mailkonfiguration am Beispiel von Thunderbird

Einrichtung eines -postfaches

Einrichtung Konto Microsoft Outlook 2010

Hochschulrechenzentrum. chschulrechenzentrum #96. Freie Universität Berlin

Anleitungen zum KMG- -Konto

PCC Outlook Integration Installationsleitfaden

Eine Anleitung, wie Sie Mozilla Thunderbird 2 installieren und konfigurieren können. Installation Erstkonfiguration... 4

Anleitung für -Client Thunderbird mit SSL Verschlüsselung

Hilfe-Dokumentation: Einrichten eines IMAP-Accounts unter Microsoft Outlook 2010

Clientkonfiguration für Hosted Exchange 2010

Sichere Nutzung von Web-Angeboten mit Apples Safari 6. BSI-Checkliste zur Safari-Sicherheit (ISi-Check)

H A N D B U C H OUTLOOK XP / World4You Internet Service GmbH. Hafenstrasse 47-51, A-4020 Linz office@world4you.com

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Nutzen Einrichten Verwalten

anleitung für einen 2Wire- Account im Microsoft Outlook 2007

Externe Abfrage von für Benutzer der HSA über Mozilla-Thunderbird

Steganos Secure Schritt für Schritt-Anleitung für den Gastzugang SCHRITT 1: AKTIVIERUNG IHRES GASTZUGANGS

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D5:

" -Adresse": Geben Sie hier bitte die vorher eingerichtete Adresse ein.

Kurzanleitung SEPPmail

Bitte melden Sie sich als Administrator des Betriebssystems oder als Benutzer mit ausreichenden Installationsrechten an Ihrem PC an.

OUTLOOK-DATEN SICHERN

Installationsanleitung

Diese Anleitung beschreibt die wichtigsten Funktionen der Webmail-Applikation der webways ag. Login... 2

Erstellen von Mailboxen

Leitfaden für den -Dienst

Wir empfehlen die Konfiguration mit den Servern secureimap.t-online.de und securepop.t-online.de.

OUTLOOK Was ist sigmail.de? 2 Warum sigmail.de? UP ESUO

Herzlich Willkommen bei der nfon GmbH

FritzCall.CoCPit Schnelleinrichtung

Das -Postfach für Studierende. Informationen und Anleitung zur Nutzung

Einrichtung V2015/01

Outlook Web Access (OWA) für UKE Mitarbeiter

Konfigurationsanleitung Konfiguration unter Outlook XP

Anleitung zur Einrichtung von Windows Mail V 6.0 an das neue und Groupware-System Communigate Pro

Leitfaden zur Nutzung des Systems CryptShare /Sicheres Postfach

Anleitung zur Installation von Thunderbird

Einrichtung von Mozilla Thunderbird

Bedienungsanleitung für den SecureCourier

Konfigurationsanleitung Konfiguration unter Outlook Konfigurationsanleitung Konfiguration unter Outlook 2003

Das nachfolgende Konfigurationsbeispiel geht davon aus, dass Sie bereits ein IMAP Postfach eingerichtet haben!

THUNDERBIRD. 1 Was ist sigmail.de? 2 Warum sigmail.de? UP ESUTB.8-1-2

Automatische Zertifikatssuche in Outlook-Express einrichten

Anleitung zum Einrichten der Berliner Schulmail unter

Sie befinden sich hier: WebHosting-FAQ & Unified Messaging -Clients - Einrichtung und Konfiguration Outlook Express Artikel #1

-Verschlüsselung mit S/MIME

Einrichtung -Account


-Konto über IMAP in Thunderbird einrichten

POP3 EINSTELLUNGEN E MAIL KONTO EINRICHTEN. Art des Mailservers / Protokoll: SMTP Server / Postausgangsserver: IhreDomain.de (Port: 25 bzw.

Inhaltsverzeichnis. 1. Einrichtung in Mozilla Thunderbird. 1.1 Installation von Mozilla Thunderbird

1&1 Webhosting FAQ Outlook Express

Einrichten eines IMAP Kontos unter Outlook Express

Version NotarNet Bürokommunikation. Bedienungsanleitung für die Einrichtung POP3/IMAP und SMTP in Outlook Express 6

Maileinstellungen Outlook

Gauß-IT-Zentrum Anleitung zur Installation von Windows Live Mail unter Windows 7 und Anbindung an das -System Communigate Pro

POP3 über Outlook einrichten

Anwendungsbeispiele Sign Live! Secure Mail Gateway

Erstellen einer in OWA (Outlook Web App)

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

Sie befinden sich hier: WebHosting-FAQ -Clients - Einrichtung und Konfiguration Outlook Express Artikel #1

Installationsanleitung SSL Zertifikat

HANDBUCH MOZILLA THUNDERBIRD So richten Sie Ihren kostenlosen Client ein.

Transkript:

Sichere Nutzung von E-Mail mit Microsoft utlook 2007 BSI-Checkliste zur utlook 2007-Sicherheit (ISi-Check) Version 1.0

ISi-Reihe ISi-Check Sichere Nutzung von E-Mail Vervielfältigung und Verbreitung Bitte beachten Sie, dass das Werk einschließlich aller Teile urheberrechtlich geschützt ist. Erlaubt sind die Vervielfältigung und Verbreitung zu nicht-kommerziellen Zwecken, insbesondere zu Zwecken der Ausbildung, Schulung, Information oder hausinternen Bekanntmachung, sofern sie unter Hinweis auf die ISi-Reihe des BSI als Quelle erfolgen. Dies ist ein Werk der ISi-Reihe. Ein vollständiges Verzeichnis der erschienenen Bände findet man auf den Internet-Seiten des BSI. http://www.bsi.bund.de oder http://www.isi-reihe.de Bundesamt für Sicherheit in der Informationstechnik ISi-Projektgruppe Postfach 20 03 63 53133 Bonn Tel. +49 (0) 228 99 9582-0 E-Mail: isi@bsi.bund.de Internet: http://www.bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik 2009 2 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check Sichere Nutzung von E-Mail ISi-Reihe Inhaltsverzeichnis 1 Einleitung...5 1.1 Funktion der Checklisten...5 1.2 Benutzung der Checklisten...5 2 Konzeption...7 2.1 Client-PCs...7 3 Auswahl sicherer Komponenten...8 3.1 E-Mail-Client-Software/Plug-Ins...8 4 Konfiguration...9 4.1 E-Mail-Client-Software...9 5 Grundvorgaben für den sicheren Betrieb...14 6 Literaturverzeichnis...15 Bundesamt für Sicherheit in der Informationstechnik 3

ISi-Reihe ISi-Check Sichere Nutzung von E-Mail 4 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check Sichere Nutzung von E-Mail ISi-Reihe 1 Einleitung Der vorliegende Checklisten-Katalog richtet sich vornehmlich an Administratoren und Sicherheitsrevisoren, die mit der Einrichtung, dem Betrieb und der Überprüfung von E-Mail-Clients befasst sind. 1.1 Funktion der Checklisten Die Checklisten fassen die relevanten Empfehlungen der BSI-Studie Sichere Nutzung von E-Mail [ISi-Mail-Client] in kompakter Form zusammen. Sie dienen als Anwendungshilfe, anhand derer die Umsetzung der in der Studie beschriebenen Sicherheitsmaßnahmen im Detail überprüft werden kann. Die Kontrollfragen dieser Checkliste beschränken sich auf produktspezifische Empfehlungen für den E-Mail-Client Microsoft utlook 2007 (im weiteren Dokument als utlook bezeichnet) im Kontext des ISi-Mail-Client-Moduls. Die zur Zeit der Entstehung dieser Studie verfügbare stabile Version von utlook 2007 in deutscher Sprache diente als Basis für die folgende Checkliste. Allgemeine Grundschutzmaßnahmen, die nicht spezifisch für die Verwendung von utlook sind, werden von den Fragen nicht erfasst. Solche grundlegenden Empfehlungen sind in der allgemeinen Checkliste (ISi-Check zu ISi-Mail-Client) und den BSI-IT-Grundschutzkatalogen [ITGSK] zu entnehmen. Die IT-Grundschutzkataloge bilden das notwendige Fundament für ISi-Check. Auch Prüffragen, die bereits durch die Checkliste zur BSI Studie Sichere Anbindung lokaler Netze an das Internet [ISi-LANA] abgedeckt wurden, werden hier nicht wiederholt. Die Checklisten wenden sich vornehmlich an IT-Fachleute. Die Anwendung von ISi-Check setzt vertiefte Kenntnisse auf dem Gebiet der IP-Netze, der Administration von Betriebssystemen und der IT-Sicherheit voraus. Die Kontrollfragen ersetzen nicht ein genaues Verständnis der technischen und organisatorischen Zusammenhänge für die Nutzung von E-Mail: Nur ein kundiger Anwender ist in der Lage, die Prüfaspekte in ihrem Kontext richtig zu werten und die korrekte und sinnvolle Umsetzung der abgefragten Empfehlungen im Einklang mit den allgemeinen Grundschutzmaßnahmen zu beurteilen. Der Zweck der Kontrollfragen besteht also vor allem darin, dem Anwender bei der Konfiguration von utlook die erforderlichen Maßnahmen und die dabei verfügbaren Varianten übersichtlich vor Augen zu führen. Die Checklisten sollen gewährleisten, dass kein wichtiger Aspekt vergessen wird. 1.2 Benutzung der Checklisten Der ISi-Reihe liegt ein übergreifender Ablaufplan zugrunde, der im Einführungsdokument [ISi-E] beschrieben ist. Die Checklisten des ISi-Mail-Moduls haben darin ihren vorbestimmten Platz. Vor Anwendung der Checklisten muss sich der Anwender mit dem Ablaufplan [ISi-E] und mit den Inhalten der ISi-Mail-Studie vertraut machen. Um die Kontrollfragen zu den verschiedenen Prüfaspekten zu verstehen und zur rechten Zeit anzuwenden, ist die genaue Kenntnis dieser Dokumente erforderlich. Die Checklisten fragen die relevanten Sicherheitsempfehlungen der Studie [ISi-Mail-Client] ab, ohne diese zu begründen oder deren Umsetzung näher zu erläutern. Anwender, die den Sinn einer Kontrollfrage nicht verstehen oder nicht in der Lage sind, eine Kontrollfrage sicher zu beantworten, können vertiefende Informationen in der Studie nachschlagen. IT-Fachleute, die mit der Studie bereits vertraut sind, sollten die Kontrollfragen in der Regel jedoch ohne Rückgriff auf die Studie Bundesamt für Sicherheit in der Informationstechnik 5

ISi-Reihe ISi-Check Sichere Nutzung von E-Mail bearbeiten können. Format der Kontrollfragen Alle Kontrollfragen sind so formuliert, dass die erwartete Antwort ein JA ist. Zusammenhängende Kontrollfragen sind soweit sinnvoll hierarchisch unter einer übergeordneten Frage gruppiert. Die übergeordnete Frage fasst dabei die untergeordneten Kontrollfragen so zusammen, dass ein Bejahen aller untergeordneten Kontrollfragen ein JA bei der übergeordneten Kontrollfrage impliziert. Bei hierarchischen Kontrollfragen ist es dem Anwender freigestellt, nur die übergeordnete Frage zu beantworten, soweit er mit dem genannten Prüfaspekt ausreichend vertraut ist oder die Kontrollfrage im lokalen Kontext nur eine geringe Relevanz hat. Die untergeordneten Fragen dienen nur der genaueren Aufschlüsselung des übergeordneten Prüfkriteriums für den Fall, dass sich der Anwender unschlüssig ist, ob die betreffende Vorgabe in ausreichendem Maße umgesetzt ist. Die hierarchische Struktur der Checklisten soll dazu beitragen, die Kontrollfragen effizient abzuarbeiten und unwichtige oder offensichtliche Prüfaspekte schnell zu übergehen. Iterative Vorgehensweise Die Schachtelung der Kontrollfragen ermöglicht auch eine iterative Vorgehensweise. Dabei beantwortet der Anwender im ersten Schritt nur die übergeordneten Fragen, um sich so einen schnellen Überblick über potenzielle Umsetzungsmängel zu verschaffen. Prüfkomplexe, deren übergeordnete Frage im ersten Schritt nicht eindeutig beantwortet werden konnte oder verneint wurde, werden im zweiten Schritt priorisiert und nach ihrer Dringlichkeit der Reihe nach in voller Tiefe abgearbeitet. Normaler und hoher Schutzbedarf Alle Kontrollfragen, die nicht besonders gekennzeichnet sind, beziehen sich auf obligatorische Anforderungen bei normalem Schutzbedarf. Diese müssen bei hohem Schutzbedarf natürlich auch berücksichtigt werden. Soweit für hohen Schutzbedarf besondere Anforderungen zu erfüllen sind, ist der entsprechenden Kontrollfrage ein [Hoher Schutzbedarf] zur Kennzeichnung vorangestellt. Bezieht sich die Frage auf einen bestimmten Sicherheits-Grundwert mit hohem Schutzbedarf, so lautet die Kennzeichnung entsprechend dem Grundwert zum Beispiel [hohe Verfügbarkeit]. Anwender, die nur einen normalen Schutzbedarf haben, können alle so gekennzeichneten Fragen außer Acht lassen. Varianten Mitunter stehen bei der Umsetzung einer Empfehlung verschiedene Realisierungsvarianten zur Wahl. In solchen Fällen leitet eine übergeordnete Frage den Prüfaspekt ein. Darunter ist je eine Kontrollfrage für jede der möglichen Umsetzungsvarianten angegeben. Die Fragen sind durch ein oder miteinander verknüpft. Um das übergeordnete Prüfkriterium zu erfüllen, muss also mindestens eine der untergeordneten Kontrollfragen bejaht werden. Befinden sich unter den zur Wahl stehenden Kontrollfragen auch Fragen mit der Kennzeichnung [Hoher Schutzbedarf], so muss mindestens eine der so gekennzeichneten Varianten bejaht werden, um das übergeordnete Prüfkriterium auch bei hohem Schutzbedarf zu erfüllen. 6 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check Sichere Nutzung von E-Mail ISi-Reihe 2 Konzeption Die Konzeptionsphase der sicheren Grundarchitektur erfolgt vor der Auswahl der sicheren Komponenten sowie vor der Konfiguration und dem Betrieb von E-Mail-Clients in einer E-Mail- Infrastruktur. Da diese Phase bereits abgeschlossen sein sollte, bevor der E-Mail-Client konfiguriert wird, behandelt diese produktspezifische Checkliste die Konzeption nicht erneut im Detail. 2.1 Client-PCs Wird verhindert, dass die vom Administrator getroffenen Einstellungen von Benutzern verändert werden können (siehe auch Einsatz von Gruppenrichtlinien im Kapitel 4.1 auf Seite 13)? Bundesamt für Sicherheit in der Informationstechnik 7

ISi-Reihe ISi-Check Sichere Nutzung von E-Mail 3 Auswahl sicherer Komponenten Auf die Konzeptionsphase folgt die Phase der Realisierung und Auswahl der sicheren Komponenten laut [ISi-E]. Da dieser Abschnitt bereits abgeschlossen sein sollte, bevor der E-Mail- Client konfiguriert wird, behandelt diese Checkliste nur Komponenten, die beim Einsatz von utlook zusätzlich benötigt werden. 3.1 E-Mail-Client-Software/Plug-Ins S/MIME Die folgende Frage ist zu beantworten, wenn eine E-Mail-Verschlüsselung mittels S/MIME erfolgen soll. Wurde eine sichere Komponente zur Verschlüsselung von E-Mails mittels S/MIME ausgewählt? penpgp Entspricht die in utlook enthaltene Komponente zur Nutzung von S/MIME den Anforderungen einer sichere Verschlüsselung mittels des Standards S/MIME? oder Wurde ein Programm oder Plug-In ausgewählt, mit dem eine sichere Verschlüsselung mittels des Standards S/MIME möglich ist? Die folgende Frage ist zu beantworten, wenn eine E-Mail-Verschlüsselung mittels des Standards penpgp erfolgen soll. Wurde ein Programm oder Plug-In ausgewählt, mit dem eine sichere Verschlüsselung mittels des Standards penpgp möglich ist? 8 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check Sichere Nutzung von E-Mail ISi-Reihe 4 Konfiguration Nach der Beschaffung der benötigten Komponenten erfolgt deren Konfiguration durch die Administratoren. Der folgende Abschnitt enthält die für eine sichere Konfiguration zu berücksichtigenden Punkte. ptionen, die bereits in den Standardeinstellungen auf einen sicheren Wert vorkonfiguriert sind, werden von der Checkliste nicht immer explizit abgefragt. Bei bereits bestehenden Systemen sollte daher vor Anwendung der Checkliste die Konfiguration auf die Standardeinstellungen zurückgesetzt werden. Die Reihenfolge der Menüpunkte in den Fragen entspricht genau der Bedienungsreihenfolge im E- Mail-Client. Die einzelnen Menü-ptionen bzw. -Ebenen sind dabei durch einen Rechtspfeil voneinander getrennt. Für nähere Informationen zu den angeführten Fragestellungen wird auf die BSI Studie [ISi-Mail- Client] verwiesen. 4.1 E-Mail-Client-Software Für die E-Mail-Client-Software Microsoft utlook 2007 sind folgende Prüfaspekte zu berücksichtigen. Allgemein Ist der automatische Zugriff von anderen Programmen außer der E-Mail-Client-Software selbst auf das Adressbuch über den E-Mail-Client ausgeschaltet? (Für Windows Systeme sollten die Registrierung angepasst und die Registrierungsschlüssel PromptMAddressBookAccess und PromptMAddressInformationAccess auf den Wert 0 gesetzt werden, damit der Zugriff automatisch verweigert wird. Weitere Informationen sind auf der Microsoft Webseite unter http://support.microsoft.com/kb/926512 zu finden.) Ist das Senden einer E-Mail durch ein Fremdprogramm mittels des utlook bject Models ausgeschaltet? (Für Windows Systeme sollte die Registrierung angepasst und der Registrierungsschlüssel PromptMSend auf den Wert 0 gesetzt werden, damit das Senden einer E-Mail durch ein Fremdprogramm automatisch verweigert wird. Weitere Informationen sind auf der Microsoft Webseite unter http://support.microsoft.com/kb/926512 zu finden.) Ist das Versenden von automatischen Lesebestätigungen deaktiviert? (Extras ptionen Einstellungen E-Mail-ptionen... Verlaufoptionen... Immer eine Antwort senden [deaktiviert] sowie Nie eine Antwort senden [aktiviert].) Ist als Antwortadresse eine externe Adresse konfiguriert (z. B. name@firma.de) Bei der Anbindung des E-Mail-Clients an den Mail-Server über SMTP und PP3/IMAP: Extras Kontoeinstellungen... E-Mail Konto wählen Ändern... E-Mail- Adresse? oder Bei der Anbindung des E-Mail-Clients an einen Microsoft Exchange Server: Die Antwortadresse wird nicht in utlook, sondern im Active Directory in der Kontokonfiguration des Benutzers unter General/E-Mail eingestellt. Ist die automatische Weiterleitung von E-Mails deaktiviert? (In Extras Regeln und Benachrichtigungen dürfen keine Regeln konfiguriert sein, die eingehende E-Mails automatisch Bundesamt für Sicherheit in der Informationstechnik 9

ISi-Reihe ISi-Check Sichere Nutzung von E-Mail an eine (externe) E-Mail-Adresse weiterleiten. Bei der Einbindung von utlook in einen Exchange Server kann die automatische Weiterleitung von E-Mails auch serverseitig unterbunden werden, siehe [ISi-Check-Ex2003] und [ISi-Check-Ex2007].) [hoher Schutzbedarf] Werden lokal gespeicherte E-Mails verschlüsselt? [Variante 5.3.4 A] Wird bei der Benutzung von ffline Dateien (bei der Benutzung von Exchange oder.pst- Dateien) diese Datei verschlüsselt 1? Ist das automatische Herunterladen von Schriftarten im Internet Explorer deaktiviert, um die Ausführung von Programmen von entfernten Standorten (Remote) zu verhindern? (Im Internet Explorer: Extras Internetoptionen Sicherheit Zoneneinstellungen Stufe anpassen... Download Schriftartdownload Deaktivieren.) S/MIME Die Bearbeitung der Fragen dieses Abschnitts ist nur notwendig, wenn zur Absicherung der E-Mail- Kommunikation S/MIME eingesetzt werden soll. Sind X.509v3 Zertifikate für die Verschlüsselung und die digitale Signatur konfiguriert 2? (Extras Vertrauensstellungscenter E-Mail-Sicherheit Einstellungen Signaturzertifikat: Auswählen... und Verschlüsselungszertifikat: Auswählen.) Ist S/MIME konfiguriert? (Extras Vertrauensstellungscenter E-Mail-Sicherheit Einstellungen Kryptografieformat S/MIME.) Ist als Hashalgorithmus für die digitale Signatur SHA1 ausgewählt? (Extras Vertrauensstellungscenter E-Mail-Sicherheit Einstellungen Hashalgorithmus: SHA1.) Ist als Verschlüsselungsalgorithmus 3DES 3 oder AES (nur ab Windows Vista) ausgewählt? (Extras Vertrauensstellungscenter E-Mail-Sicherheit Einstellungen Verschlüsselungsalgorithmus: 3DES oder AES.) Werden signierte Nachrichten als Klartext gesendet (clear signed)? (Extras Vertrauensstellungscenter E-Mail-Sicherheit Signierte Nachrichten als Klartext senden.) Ist der private Schlüssel (S/MIME und penpgp) mittels eines Passwortes geschützt und als nicht exportierbar markiert? (In Windows XP sollte beim Importieren einer PKCS#12-Datei folgende Vorgehensweise gewählt werden: Doppelklick auf das Zertifikat Weiter Weiter <Kennwort der PKCS#12-Datei eingeben>, Hohe Sicherheit für den privaten Schlüssel aktivieren [aktiviert] und Schlüssel als exportierbar markieren [deaktiviert] Weiter Weiter Fertigstellen Sicherheitsstufe... Hoch Weiter <Kennwort eingeben> Fertigstellen). Schutz vor Aktiven Inhalten Ist das Ausführen von Aktiven Inhalten über die Browsereinstellungen des E-Mail-Clients ausgeschaltet? (Im Internet Explorer: Extras ptionen Sicherheit Zoneneinstellungen... Standardstufe Hoch)? 1 Für hohen Schutzbedarf reicht es nicht aus, die in utlook verfügbare Verschlüsselung zu benutzen, sondern es sollten externe Programme mit starken Verschlüsselungsalgorithmen wie z. B. AES benutzt werden. 2 Für die Konfiguration der Zertifikate in utlook ist es notwendig erst einen Zertifikatsantrag zu generieren und die Zertifikate auf dem System zu installieren. 3 In Windows XP stehen keine starken Verschlüsselungsalgorithmen wie AES zur Verfügung. Stärkere Verschlüsselungsalgorithmen wie AES sind nur mittels Plug-Ins realisierbar. Dies hat aber Folgen für die Interoperabilität mit Nachrichtenempfängern, die dieses Plug-In nicht benutzen. 10 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check Sichere Nutzung von E-Mail ISi-Reihe HTML-E-Mail Ist der E-Mail-Client hinreichend vor HTML-E-Mails geschützt? Ist das Erstellen von E-Mails im HTML-Format ausgeschaltet und das Textformat gewählt? (Extras ptionen... E-Mail-Format Verfassen im Nachrichtenformat: Nur-Text.) Werden empfangene E-Mails nur als Text angezeigt? (Extras Vertrauenstellungscenter E-Mail-Sicherheit Standardnachrichten im Nur-Text-Format lesen.) Werden empfangene signierte E-Mails nur als Text angezeigt? (Extras Vertrauenstellungscenter E-Mail-Sicherheit Digital signierte Nachrichten im Nur- Text-Format lesen [aktiviert].) Falls eine HTML-E-Mail durch die Darstellung als Text völlig unverständlich wird, besteht die Möglichkeit, den Text leserlich anzuzeigen (Wichtig: diese ption sollte nur gewählt werden, sofern Aktive Inhalte deaktiviert wurden. In diesem Fall wird innerhalb der betreffenden E-Mail die Bemerkung Diese Nachricht wurde zum Nur-Text-Format konvertiert angezeigt. Das Kontextmenü dieser Bemerkung bietet die ption Als HTML anzeigen )? Ist das automatische Nachladen von Inline Content wie Fotos ausgeschaltet? (Extras Vertrauenstellungscenter Automatischer Download Bilder in HTML-Nachrichten oder RSS-Elementen nicht automatisch herunterladen [aktiviert]. Ferner sollten die fünf weiteren Unterpunkte deaktiviert werden.) Dateianhänge Ist das automatische Starten von Anwendungen, die mit Dateianhängen verknüpft sind (z. B..ods mit penffice) deaktiviert, so dass Anwendungen erst nach Abfrage und Bestätigung durch den Anwender gestartet werden? Für Windows Systeme gibt es drei Möglichkeiten diese Anforderung umzusetzen: In der lokalen Registry (mittels des Registrierungsschlüssels AddWarningFileTypes, siehe http://support.microsoft.com/kb/259228/ 4 ) oder Mittels einer Gruppenrichtlinie. (In der ffice Resource Kit sind Policy Templates enthalten. Nach der Installation des utlook 2007 Templates kann mittels der Richtlinie Allow access to e-mail attachments eine Liste mit Anlagen konfiguriert werden, so dass in utlook erst nach Abfrage und Bestätigung der Anhang geöffnet wird, siehe http://technet.microsoft.com/en-us/library/cc178961.aspx.) oder Mittels des utlook Security Templates. (Die Sicherheitseinstellungen können mit dem utlook Formular utlook Security Template geändert werden. Anhand Level 2 File Extensions können die Datei-Typen konfiguriert werden, die erst nach einer Bestätigung gestartet werden, siehe http://technet.microsoft.com/en-us/library/cc179095.aspx.) Ist der E-Mail-Client so konfiguriert, dass alle Dateiendungen angezeigt werden? Ist dazu eine entsprechende Konfiguration des Betriebssystems durchgeführt? (Windows- Explorer: Extras rdneroptionen Ansicht Erweiterungen bei bekannten Datentypen ausblenden [deaktiviert].) Wurde für den E-Mail-Client eingestellt, dass ausführbare Dateianhänge (z. B. bat, vbx, chm, com usw.) blockiert/ausgeblendet werden? Für Windows Systeme gibt es drei Möglichkeiten 4 Der Knowledge Base Artikel beschreibt die Einstellungen für utlook 2000. Für utlook 2007 muss der Registrierungsschlüssel in HKEY_LCAL_MACHINE\Software\Microsoft\ffice\12.0\ erzeugt werden. Bundesamt für Sicherheit in der Informationstechnik 11

ISi-Reihe ISi-Check Sichere Nutzung von E-Mail diese Anforderung umzusetzen: In der lokalen Registry (mittels des Registrierungsschlüssels Level1Add, siehe http://support.microsoft.com/kb/926512/) oder Mittels einer Gruppenrichtlinie. (In der ffice Resource Kit sind Policy Templates enthalten. Nach die Installation des utlook 2007 Templates kann mittels der Richtlinie Add file extensions to block as level 1 eine Liste mit Anlagen konfiguriert werden, die von utlook ausgeblendet werden, siehe http://technet.microsoft.com/enus/library/cc179095.aspx.) oder Anhand des utlook Security Templates. (Die Sicherheitseinstellungen können mit dem utlook Formular utlook Security Template geändert werden. Anhand Level 1 File Extensions können die Datei-Typen konfiguriert werden, die von utlook ausgeblendet werden, siehe http://office.microsoft.com/en-us/ork2003/ha011402931033.aspx.) Ist die Anlagenvorschau deaktiviert? (Extras Vertrauensstellungscenter Anlagenbehandlung Anlagenvorschau deaktivieren [aktiviert].) Festlegung des Zeichencodes Sind im E-Mail-Client die 8-Bit Zeichencodes UTF-8 und IS 8859-1 (Latin-1) konfiguriert? (Extras ptionen... E-Mail-Format Internationale ptionen Bevorzugte Codierung für ausgehende Nachrichten Unicode (UTF-8) oder Westeuropäisch (IS) und Codierung ausgehender Nachrichten automatisch wählen [aktiviert].) Kommunikation mit dem E-Mail-Server Sind sichere Protokolle zur Integration eines E-Mail-Servers, mit dem der E-Mail-Client kommuniziert, konfiguriert? Bei der Anbindung des E-Mail-Clients an den E-Mail-Server über SMTP und PP3/IMAP: Ist ein verschlüsselter Verbindungstyp (SSL/TLS) sowohl für die Kommunikation mit dem Posteingangsserver (PP3/IMAP) als auch dem Postausgangsserver (SMTP) aktiviert? (Extras Kontoeinstellungen... E-Mail <Konto wählen> Ändern... Weitere Einstellungen... Erweitert TLS [aktiviert].) oder Bei der Anbindung des E-Mail-Clients an einen Microsoft Exchange Server: Ist die ption Daten zwischen Microsoft utlook und Microsoft Exchange Server verschlüsseln aktiviert? (Extras Kontoeinstellungen... E-Mail Konto wählen Ändern... Weitere Einstellungen... Sicherheit Daten zwischen Microsoft utlook und Microsoft Exchange verschlüsseln [aktiviert].) Kommunikation mit dem Verzeichnisserver Ist zur Anbindung von Verzeichnisservern das Protokoll LDAP eingestellt (Extras Konteneinstellungen... Adressbücher)? Ist für die Authentifizierung des E-Mail-Clients am Verzeichnisserver die verschlüsselte Übermittlung von Benutzername und Kennwort aktiviert (Extras Kontoeinstellungen... Adressbücher Auswählen Ändern Gesicherte Kennwortautentifizierung (SPA) notwendig) [aktiviert]? 12 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check Sichere Nutzung von E-Mail ISi-Reihe Virenschutzprogramm In utlook 2007 können keine expliziten Einstellungen bezüglich der Integration von Virenschutzprogrammen vorgenommen werden. Ist im Virenschutzprogramm die Integration in utlook konfiguriert? Einstellungen bezüglich Spam Die Bearbeitung der Fragen dieses Abschnitts ist nur notwendig, wenn in der E-Mail-Client- Architektur eine Spam-Filter-Komponente vorgesehen ist. Ist der Spam-Filter für das Konto aktiviert (Extras ptionen... Einstellungen Junk-E- Mail... ptionen Junk-E-Mail Schutz: Hoch [aktiviert])? Ist die Software so konfiguriert, dass E-Mails von einem Absender, der beim Benutzer im Adressbuch steht, nicht als Spam markiert werden (Extras ptionen... Einstellungen Junk-E-Mail... Sichere Absender Meine Kontakte sind auch vertrauenswürdige Absender [aktiviert])? Sind Filterregeln für Spam-markierte E-Mails aktiviert? Werden Spam-markierte E-Mails in den Quarantäne-rdner verschoben (Extras ptionen... Einstellungen Junk-E-Mail... ptionen Als Junk-E-Mail identifizierte Nachrichten nicht in den Junk-E-Mail-rdner verschieben, sondern endgültig löschen[deaktiviert])? Einstellungen bezüglich Phishing Sind sicherheitskritische Hyperlinks und Funktionen von Phishingnachrichten deaktiviert (Extras ptionen... Einstellungen Junk-E-Mail... ptionen Hyperlinks und sonstige Funktionen in Phishingnachrichten deaktivieren [aktiviert])? Einsatz von Gruppenrichtlinien Wurden die in dieser Checkliste vorgegebenen Einstellungen, soweit möglich, mit Hilfe von Gruppenrichtlinien konfiguriert, so dass Benutzer die Konfiguration nicht verändern können? Bundesamt für Sicherheit in der Informationstechnik 13

ISi-Reihe ISi-Check Sichere Nutzung von E-Mail 5 Grundvorgaben für den sicheren Betrieb Im Betrieb unterscheidet sich utlook kaum von anderen E-Mail-Clients. Aus diesem Grund sind lediglich die Anforderungen der allgemeinen Checkliste (ISi-Check zu ISi-Mail-Client) zu beachten. 14 Bundesamt für Sicherheit in der Informationstechnik

ISi-Check Sichere Nutzung von E-Mail ISi-Reihe 6 Literaturverzeichnis [ISi-Mail-Client] [ITGSK] [ISi-LANA] [ISi-E] [ISi-Check-Ex2003] [ISi-Check-Ex2007] Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI- Schriftenreihe zur Internet-Sicherheit: Sichere Nutzung von E-Mail, 2009, http://www.bsi.bund.de/fachthem/sinet/ Bundesamt für Sicherheit in der Informationstechnik (BSI), IT- Grundschutzkataloge, Stand 2008, http://www.bsi.bund.de/gshb/ Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI- Schriftenreihe zur Internet-Sicherheit: Sichere Anbindung lokaler Netze an das Internet, 2007, http://www.bsi.bund.de/fachthem/sinet/ Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI- Schriftenreihe zur Internet-Sicherheit: Einführung, Grundlagen, Vorgehensweise, in Bearbeitung, http://www.bsi.bund.de/fachthem/sinet/ Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI- Schriftenreihe zur Internet-Sicherheit: Sichere Konfiguration von Microsoft Exchange 2003, 2009, http://www.bsi.bund.de/fachthem/sinet/ Bundesamt für Sicherheit in der Informationstechnik (BSI), BSI- Schriftenreihe zur Internet-Sicherheit: Sichere Konfiguration von Microsoft Exchange 2007, 2009, http://www.bsi.bund.de/fachthem/sinet/ Bundesamt für Sicherheit in der Informationstechnik 15

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback