Separate E-Mail-Adressen: Komplexe Hilfe gegen E-Mail-Angriffe
Unser tägliches Phishing gib uns heute. Wir bekommen Paketbenachrichtigungen, haben uns angeblich bei Amazon beschwert und sollen möglichst oft per Paypal unsere mangelnde Solvenz klären, sonst wird uns unser Zugang gesperrt. Die E-Mails sind dabei mittlerweile so gut, dass sie von Originalaussendungen kaum zu unterscheiden sind. Warum wir trotzdem keine Angst vor diesen E-Mails haben? Keiner dieser Zugänge ist mit unserer Golem.de-Adresse verknüpft. Auch wenn natürlich eine Arbeits-E-Mail-Adresse genug Verbindungen hat. Doch die populären, bei UCE-Erstellern beliebten Dienste fehlen überwiegend.
Wir setzen stattdessen auf eigene E-Mail-Adressen. Und zwar entweder für den jeweiligen Zugang exklusiv, für die Branche oder für einen klaren temporären Zweck. Dabei bietet das E-Mail-Protokoll zahlreiche Optionen an, die komplexe, aber doch leicht merkbare E-Mail-Adressen erlauben. Der Anwender kann mit Zahlen hantieren, Subdomains verwenden und Wortgruppen mit Punkten trennen. Vieles lässt sich leicht merken und macht die E-Mail-Adresse nur ein wenig länger. Mit Autovervollständigung (nur für die E-Mail-Adresse) bleibt die Handhabung auch noch einfach. Zur sauberen Trennung werden die E-Mails zudem in dedizierte Ordner sortiert, sei es clientseitig oder per IMAP in die Serverordner. Das ist meist nur eine einmalige Arbeit und vieles, was nicht gefiltert werden kann, ist mit hoher Wahrscheinlichkeit Spam oder Phishing. Das E-Mail-Leben wird so um einiges erleichtert. Und man schützt auch seine Bekanntschaft, weil erfolgreiche Folgeangriffe schwieriger werden.
Die E-Mail-Adresse wird zu einem halben Passwort
Damit das Ganze funktioniert, müssen die E-Mail-Adressen zwar nicht aus wilden, kaum merkbaren Buchstaben- und Zahlenkombinationen bestehen, schließlich ist das kein Passwort, aber sie sollten zumindest nicht einfach zu erraten sein. Beispielsweise ist amazon@golem.de eine schlechte Idee, denn solche simplen E-Mail-Adressen werden von Angreifern gerne mit Spam überhäuft. Da könnte man auch gleich info@golem.de nutzen. Bestimmte generische E-Mail-Adressen und mitunter auch Zufallskombinationen vor dem @-Zeichen gehören zum Handwerk des Spammers.
Vielmehr sollte man sich etwas eigenes ausdenken, das man sich leicht merken kann und durchaus einem System folgen darf. Es wäre jedenfalls nicht zielführend, wenn der Anwender seine E-Mail-Adresse unterwegs vergisst, wenn er ein wenig einkaufen will. Denkbar wären etwa amazon@shoppingspree.golem.de und saturn@shoppingspree.golem.de. Oder man packt den übergeordneten Zweck nicht in die Domain: amazon.shop@golem.de. Wer will, kann noch ein wenig Datumskomplexität einbauen - bestbuy.2017@golem.de wäre etwa eine Möglichkeit, sich einen Überblick zu verschaffen, wann die Adresse erzeugt wurde. Das bietet sich vor allem bei Anbietern an, denen man nicht unbedingt vertraut.
Zudem haben unserer Erfahrung nach komplexe E-Mail-Adressen einen Vorteil: Die Crawler haben manchmal Schwierigkeiten, diese E-Mail-Adressen zu erfassen. Wir haben beispielsweise eine zehn Jahre alte Adresse, die trotz Publizierung im Internet so gut wie keinen Spam abbekommt. Es gibt aber auch Nachteile.
Manche E-Mail-Formulare akzeptieren lange E-Mail-Adressen nicht
Wird die E-Mail-Adresse allerdings zu komplex, steigt nicht nur der nervige Tipp-Aufwand. Manches Mal haben wir auch die Erfahrung gemacht, dass Webformulare oder CRM-Systeme allgemein diese E-Mail-Adressen nicht akzeptieren - forum.golem.kw7.2017@socializing.golem.de wäre etwa so ein Kandidat. Dass es dann allerdings zu einem Kommunikationsproblem kommt, ist äußerst selten der Fall. Trotzdem wollen wir davor warnen, denn dass ausgerechnet deswegen das Absenden eines Formulars nicht funktioniert, ist nicht unbedingt einleuchtend.
Die Konfiguration im eigenen E-Mail-Backend wird dadurch allerdings nicht gerade einfach. Sie ist aber nur einmalig und wenn man einer Branche vertraut, lässt sich vieles vereinheitlichen (aviation@travel.golem.de für Fluggesellschaften etwa und pufferkuesser@travel.golem.de für die Bahn).
Es geht auch ohne Domain-Kontrolle
Für schön komplexe E-Mail-Adressen braucht es auch nicht unbedingt eine eigene Domain. Viele Mailanbieter erlauben komplexe E-Mail-Adressen oder sogar eigene Subdomains, bei denen man sich austoben kann. Und sollte auch das nicht gehen, kann man für wenig Geld einem nichtkommerziellen E-Mail-Verein beitreten. Die Bedingung ist dann allerdings tatsächlich, dass die E-Mail-Adresse nicht für Gewinnabsichten benutzt wird. Ein paar Individual Networks gibt es noch als Auswahl(öffnet im neuen Fenster) . Da sich die Dienste nicht durch Werbung oder Mischkalkulationen finanzieren, kostet das ein bisschen Geld. Wir wissen zudem nicht, welche Vereine wie flexibel in ihrem Backend sind. Privat haben wir gute Erfahrungen mit IN-Berlin e. V.(öffnet im neuen Fenster) gemacht, der auch die Plus-Notation unterstützt (butters+southpark@golem.de). Butters E-Mails landen automatisch im South-Park-Ordner. Allerdings könnten schlaue Phisher durchaus alles ab dem Plus entfernen, wie uns IN-Berlin warnte.
Vorteilhaft an der Sache ist zudem, dass sich mit eindeutigen Adressen mitunter auch einige Firmen erwischen lassen, die ihre Daten verlieren oder gar verkaufen. Wir hatten solche Fälle schon im Freundeskreis, es entstand ein mutmaßlicher Datenverlust. Da wir allerdings nur eine nicht hinreichend große Anzahl an E-Mail-Adressen hatten, die verloren gingen, reichte das nicht und die jeweilige Firma konnte dies locker abstreiten. Aber der Kunde kann selbst entscheiden, ob er dem Dienst anhand der Datenlage noch treu bleiben will.
Catch-All? Einfach, aber nicht die beste Idee
Wer eine eigene Domain hat, der hat es gegebenenfalls einfacher. Er kann ein Catch-All aktivieren. Davon raten wir aber ab. Zwar erspart einem dies das Erstellen der E-Mail-Adressen. Doch die Spammer könnten einfach Humbug anschreiben. Xyz@golem.de würde dann auch zugespammt und müsste händisch deaktiviert werden. Zudem braucht es für die serverseitige IMAP-Filterung der E-Mails ohnehin Handarbeit. Allenfalls bei Subdomains kann sich das anbieten. Allerdings findet man so dann nicht heraus, wer schludrig mit seiner E-Mail-Adresse umgegangen ist.
Keine echte Lösung absehbar
Das entsprechende Konzept hilft dabei nicht nur einem selbst. In geringem Ausmaß wird potenziell auch anderen geholfen, denn Angriffe werden erschwert und verlieren einen Teil ihrer Gewinnspanne. Je mehr sich ein Konzept gegen Spam und Phishing ausdenken und insbesondere eigene Ideen mitumsetzen, die hier nicht genannt werden, desto besser.
Allerdings ist dies auch keine endgültige Lösung. Je mehr Anwender Gegenmaßnahmen ergreifen, desto höher die Wahrscheinlichkeit, dass der Gegner neue, erheblich härtere Angriffstechniken entwickelt. Es ist letztendlich nur ein Wettrüsten, das sich viel zu oft in der Vergangenheit zeigte. Trotzdem hilft es im Moment. Amazon-Bestellungen und Zahlungserinnerungen von Paypal, die an unsere Golem.d-Adresse gehen, verschwinden jedenfalls ziemlich schnell in einem dunklen Loch. Diese Aufgaben sind nämlich seit Jahren an andere E-Mail-Adressen gebunden.
Wir möchten betonen, dass sämtliche hier genannte E-Mail-Adressen nicht funktionieren.