html mail verschicken?

[HAL]

...schon mal etwas von apfel und + gehört wenn dir die schrift zu klein ist?

 

[maceis]

naja, bedingt tut er das schon, wie carsten ja bzgl. der spammer geschrieben hat.

Das Thema hatten wir schon mal.
Die Zuordnung zwischen Empfängeradresse und IP Adresse beim Abruf der Bilder ist nicht möglich.

und es gibt etlichen schadcode, der unter windoof durchaus zu schaden führt nur durch öffnen/anschauen einer mail, wenn das mail-prog wie outlook oder outlook express nicht ordentlich gepatched UND eingestellt ist. wenn ihr es nicht glauben wollt, lasst es halt.

Wenn Du Dir so sicher bist, warum nennst Du dann kein Beispiel.
m. E. ist das keine Sicherheitslücke von html-Mails sondern wenn überhaupt, dann eine der von Dir genannten Clients.
wie gesagt: html ist eine Seitenbeschreibungssprache, die keinen ausführbaren Code enthalten kann.

 

[HAL]

Die Zuordnung zwischen Empfängeradresse und IP Adresse beim Abruf der Bilder ist nicht möglich.

Sicher ?!

 

[maceis]

Sicher ?!

Du kennst mich doch inziwschen. Ich bin mir sicher.

Ich kann es aber gerne noch einmal erläutern.
Der entsprechende html-Tag heisst <img src=http://server/pfad/dateiname.jpg>
Was macht der Client, wenn er das liest?
Trivial gesagt, baut er ein Verbindung zum genannten Server auf den Zielport 80 auf und sagt ihm: "Sende mir das Bild "dateiname.jpg", das bei dir unterhalb der Documentroot deines Webservers mit dem relativen Pfad "pfad" abgelegt ist an meine IP-Adresse a.b.c.d an meinen Quellport sowieso"
Wenn der Server eine Bilddatei schickt, stellt der Client das Bild dar. Wenn er gar nichts schickt, oder eine nicht-Bilddatei, wird ein Ersatzicon dargestellt.
Es ist aber mit html nicht möglich vom Client das Mitsenden von Daten zu verlangen (also z. B. die Empfängeradresse der Mail) ausgenommen derjenigen Daten, die das http-Protokoll vorsieht. Mit diesen Daten ist aber keine Zuordnung möglich.

Wer das nicht glaubt, dem empfehle ich, mal beim Abrufen von html-Mails mit Bildern den ethereal mitlaufen zu lassen.
Das schafft dann unwiderlegbare Klarheit.

 

[Carsten1973]

...
Ich kann es aber gerne noch einmal erläutern.
Der entsprechende html-Tag heisst <img src=http://server/pfad/dateiname.jpg>
Was macht der Client, wenn er das liest?
Trivial gesagt, baut er ein Verbindung zum genannten Server auf den Zielport 80 auf und sagt ihm: "Sende mir das Bild "dateiname.jpg", das bei dir unterhalb der Documentroot deines Webservers mit dem relativen Pfad "pfad" abgelegt ist an meine IP-Adresse a.b.c.d an meinen Quellport sowieso"

...

Mit diesen Daten ist aber keine Zuordnung möglich.

Wer das nicht glaubt, dem empfehle ich, mal beim Abrufen von html-Mails mit Bildern den ethereal mitlaufen zu lassen.
Das schafft dann unwiderlegbare Klarheit.

Nun ja, es läuft leicht anders ab. Ein Spammer wird ein transparentes Bild laden lassen, das nur einen Pixel groß ist und nicht weiter auffällt. Nur heißt das Bild nicht <img src=http://server/pfad/dateiname.jpg> sondern

<img src="http://server/pfad/bösesbild.php?id=martin.mustermann-ät-mailcheckpoint.com">

Der Link wird beim Massenversand automatisch generiert. Jedes mal, wenn das Einpixelbild vom Server abgerufen wird, dann kann der Server einen Eintrag in einer Tabelle anfügen mit Zeitpunkt, IP, Mailadresse und Browser- bzw. Mailprogrammkennung (also z. B. Outlook Express auf Win XP Home). Je mehr Einträge einer Mailadresse in so einer Spammerliste, desto höherwertig ist diese für den Spammer, desto teurer kann er sie weiterverkaufen oder zuspammen.

 

[KAMiKAZOW]

html-mails sind generell potentiell gefährlich

Kannst oder willst du es nicht verstehen?!?!
Ich habe dir schon unter https://www.macuser.de/forum/showthread.php?t=55568&highlight=HTML+Mails erklärt, dass HTML selbst ungefährlich ist.

Gefährlich sich höchstens Scripts, aber die werden in den Standardeinstellungen weder von Mozilla Thunderbird, noch von Outlook oder Outlook Express ausgeführt.
Die Mail-Programme von Mozilla.org zeigen ja noch nicht einmal Bilder aus dem Netz an.
Wer keine HTML-Mails sehen will, kann sein Mail-Programm auch so einrichten, dass die Mails nur im Reintext angezeigt werden.

 

[Placebo]

yo rupp

wenn du mir jetzt noch erklärst, wie du einen emailclient dazu bekommst so ein javascript zu parsen, sind wir im geschäft !

Mit dem Tool Cocktail kann es leider heute schon jeder, leider ...
Cocktail > Interface > Mail > Java + JavaScript aktivieren

Geht allerdings auch mit Anweisungen über die Console oder das Terminal.

 

[BEASTIEPENDENT]

Wenn Du Dir so sicher bist, warum nennst Du dann kein Beispiel.

weil es mir zu mühsam war, das rauszusuchen, da ich mich mit dem thema seit zwei jahren kaum noch beschäftige. aber bitte...

Kaspersky Labs:

JS.Fortnight
JS.Fortnight is an Internet worm that uses infected emails with hidden links to an Internet Web page from which it downloads its infected code. Infected messages contain a hidden link to a Web page containing the worm. When a user opens an infected email message the link opens and downloads the...

BSI zu aktiven inhalten: http://www.bsi.bund.de/fachthem/sinet/literatddos/aktivinh.htm (u.a. "Da aktive Inhalte oder auch eigenständige Programme auch durch E-Mail (eventuell sogar verschlüsselt) verschickt werden können, ist hier eine vollständige Ausfilterung aktiver Inhalte nur schwer möglich...")
BSI für Bürger zu aktiven Inhalten (etwas einfacher gehaltene Erklärungen): http://www.bsi-fuer-buerger.de/browser/02_03.htm
BSI für Bürger zu aktiven Inhalten II:

Stellen Sie Ihr E-Mail-Programm so ein, dass sich Nachrichten beim Eingehen nicht automatisch öffnen (keine Autovorschau). So werden Viren oder Würmer nicht sofort aktiv, wenn bei E-Mails im HTML-Format „schädlicher Code“ enthalten ist.

BSI zur jpg-Lücke (muss nicht, kann aber innerhalb von html-code sein):
http://www.bsi.bund.de/av/texte/schwachstelle-jpeg.htm ("Das Opfer muss ein speziell manipuliertes Bild auf dem System mit einer Applikation öffnen, welche die fehlerhafte Komponente benutzt. Dazu reicht das Lesen einer E-Mail...")

zu ergänzen ist hierbei, dass sowohl die M$-mail-programme die IE-engine zum anzeigen von html und aktivem inhalt nutzen als auch das apple-mail-prog "mail.app" die safari-/gecko-engine dazu benutzt. insofern ist jeder code, der über den browser zu lesen und ausführbar ist, auch über das mail-prog anzuzeigen.

bei einer html-seite im web weiß ich zumindest, wo ich hingehe. bei einer html-mail habe ich, wenn sich html als option nicht abschalten lässt, keine chance, solchen sachen zu entgehen, es sei denn, ich lasse ALLE mails automatisch löschen, die keinen mir bekannten absender tragen (unproduktiv, zudem zu fälschen).

E-Mail-Viren können nur als Mail-Anhang oder als Bestandteil von HTML-Mails übertragen werden, in reinen Text-Mails kommen sie nicht vor. Während HTML im Internet Explorer inzwischen weitgehend sicher vor bösartigen Scripts ist, ist es das im Mailer leider noch nicht. ...Alleine durch das Öffnen oder Ansehen einer HTML-Mail kann man sich einen Schädling auf dem Computer holen ohne das man etwas davon merkt. Das ist jetzt nicht allein die Schuld von Microsoft, sondern liegt an den unterschiedlichen Internet-Protokollen die dabei verwendet werden.

Der Angriff kann über eine Webseite oder über eine HTML Mail, die zu einem präparierten Gopher Server führt, erfolgen.

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein:

Die Verarbeitung dieser Daten bedeutet ein Sicherheitsrisiko: Inzwischen gelangen die meisten schädlichen Programme per Mail auf den eigenen Rechner - als Attachment oder eingebettet in einer HTML-Mail.
...
Der Nachteil dieser Form von E-Mails ist die Tatsache, dass nicht nur hübsche Grafiken, sondern grundsätzlich alles, was in einer Webseite enthalten sein kann, auch in HTML-Mails verwendet werden darf. So können HTML-Mails aktive Inhalte wie JavaScript enthalten. Da viele Mailprogramme zur Darstellung der HTML-Mails auf die Rendering-Engine des Internet Explorers zurückgreifen, erbt das Mailprogramm hiermit automatisch die Sicherheitslücken dieses Browsers. So reicht es bereits, in Outlook eine Mail anzuklicken, um darin enthaltenen aktiven Code auszuführen: Da Outlook sofort eine Vorschau der Mail anzeigt, wird auch der HTML-Code umgehend ausgewertet, eventuell vorhandene Scripte ausgeführt.

Eine weiteres Risiko besteht im Nachladen von eingebetteten Grafiken. Wie eben erwähnt können HTML-Mails neben reinem Text auch Grafiken enthalten. Diese müssen jedoch nicht unbedingt mit der Mail mitgeschickt werden. Anstelle der Grafik selbst kann eine Referenz auf einen Webserver im HTML-Code stehen. Das Mailprogramm lädt die Grafik von diesem Server erst bei Bedarf nach. Bis hierhin ist das ganze harmlos. Findige Werbefirmen betten jedoch in die Mail nicht nur den Link auf die Online-Version der Grafik ein, sondern auch eine ID-Nummer. Der Link in der Mail lautet so beispielsweise http://www.adserver.com/img/image01.jpg?012345

Das Mailprogramm versucht nun, die Grafik "image01.jpg?012345" abzurufen. Die Zahlenfolge nach dem Fragezeichen stellt dabei eine eindeutige ID-Nummer dar, die der Absender zuvor mit der Mailadresse des Empfängers verknüpft hat. Der Webserver empfängt diesen Link, registriert die ID-Nummer und schickt die Grafik "image01.jpg" zurück. Zu diesem Zeitpunkt ist klar, dass die Mail gelesen wurde - eine unbemerkte Empfangsbestätigung wurde versandt.

womit dir hoffentlich auch endlich klar wird, dass das abrufen der bilder in einer spam sehr wohl (!) dem absender bestätigt, dass du sie gelesen hast. wie du das mitsenden einer einzelnen zahl mitloggen möchtest bzw. an der größe des datenverkehrs siehst, weiß ich dabei nicht.

Ein spezielles ActiveX Control kann Cabinet-Files (.cab) auf der lokalen Maschine laden und ausführen. Es besteht die Möglichkeit, daß über HTML-Mail ein "spezielles" cab-File unauffällig auf den PC gebracht und ausgeführt wird. Wenn der Benutzer diese Datei öffnen wollte, bekommt er eine Fehlermeldung - aber abhängig von der Mail-Installation kann u.U. eine Kopie angelegt werden. Das Control könnte über Script in der Mail angesprochen werden und dann den Code ausführen.

Microsoft:

Diese neue Schwachstelle betrifft die Microsoft VM-Komponente ByteCode Verifier. Sie resultiert daraus, dass der ByteCode Verifier beim Laden von Java-Applets nicht ordnungsgemäß prüft, ob ein bestimmter bösartiger Code vorhanden ist. Angreifer könnten ein bösartiges Java-Applet erstellen und auf einer Webseite einfügen. Beim Öffnen der Seite könnte die Sicherheitslücke dann ausgenutzt werden. Angreifer könnten diese bösartige Webseite auf einer Website einrichten oder per E-Mail an Benutzer schicken.

Und wenn's geht Email am besten nur als reinen Text verschicken (und das auch den Freunden/Bekannten/Kollegen etc. empfehlen) statt als HTML-Mail, die ist nämlich besonders anfällig für Viren.

zu guter letzt: phishing:

Diese E-Mails im HTML-Format zeigen dann einen „offiziellen“ Link an, hinter dem sich jedoch tatsächlich ein ganz anderer Link verbirgt. Um diesen Link zu entdecken, muss man den Quelltext der HTML-Mail lesen.

wie viele zitate und links brauchst du noch, damit du es als fakt ansiehst?

m. E. ist das keine Sicherheitslücke von html-Mails sondern wenn überhaupt, dann eine der von Dir genannten Clients.

darüber könnte man streiten, ja. zum teil hast du recht, zum teil sind es lücken in anderen computer-komponenten oder sprachen...

wie gesagt: html ist eine Seitenbeschreibungssprache, die keinen ausführbaren Code enthalten kann.

das war einmal. durch zahlreiche "erweiterungen" wie javascript, active-x und andere "aktive inhalte" stimmt das so heute eben nicht mehr. reines html betreffend hast du recht, aber reines html ist relativ selten geworden IMHO.

und BTW: auch schadcode besteht aus reinen buchstaben, aus nichts als "text". und den kann man in html-code unterbringen...

Kannst oder willst du es nicht verstehen?!?!
Ich habe dir schon unter https://www.macuser.de/forum/showthread.php?t=55568&highlight=HTML+Mails erklärt, dass HTML selbst ungefährlich ist.

wer lesen kann... ich sprach nicht von "html", sondern von "html-mails". punkt 1. punkt 2 siehe zwei absätze hier drüber (stichwort "aktive inhalte")!

 

[KAMiKAZOW]

wer lesen kann... ich sprach nicht von "html", sondern von "html-mails". punkt 1.

Ich kann lesen. Gut sogar. Und wenn ich dich mal aus dem anderen Thread zitieren darf:
"html-mails enthalten html-CODE?! code, richtig, das is der kram, in dem auch böse apps, viren, active-x und all sowas geschrieben sind."

Du behauptest da, Viren usw. wäre in HTML geschrieben und das ist Unfug.

punkt 2 siehe zwei absätze hier drüber (stichwort "aktive inhalte")!

Die "Aktiven Inhalte" sind in allen mir bekannten eMail-Programmen, die HTML-Mails anzeigen können, deaktiviert.
Weder Mozilla Mail, Thunderbird, Outlook oder Outlook Express führen JavaScript, VBScript, Java oder ActiveX aus.
Diese Programme benutzen HTML nur, um Text irgendwie zu formatieren.
Unter den Gesichtspunkten ist dein Vorschlag "warum schickst du nicht einfach eine .html als anhang mit?" umso unverständlicher. Im Gegensatz zu Mail-Programmen sind Scripts und andere "Aktive Inhalte" idR im Browser aktiviert und Remote Images (zumindest von Thunderbird werden die geblockt) werden dann auch geladen. Somit sind all deine Vorsichtsmaßnahmen erst recht für die Katz.

All die Panik, die über HTML-Mails verbreitet wird, basiert auf einer steinzeitlichen Version von Outlook Express (Version 5, glaube ich).
Wer in seinem eMail-Programm die Sicherheitsfeatures deaktiviert und Scripts zulässt, ist selber Schuld.
Solche Menschen führen aber auch blind jedes Attachemnt aus - da macht es keinen Unterschied, ob die HTML-Mails oder Reintext-Mails bekommen.

Also noch einmal zum Mitschreiben:
"Aktive Inhalte" werden in Mail-Programmen nicht ausgeführt.
Bilder von Web-Servern werden nicht geladen.

 

[maceis]

hallo Carsten, hallo beasti und hallo die anderen,

endlich mal Fakten - danke sehr.
Gut, die Zuordnung mit GET-Variablen ist grundsätzlich möglich.
Hab ich jetzt ehrlich gesagt nicht berücksichtigt.
Mein Einwand ist einerseits, dass der Spammer hier einzelne Mails versenden muss, also nicht mit CC oder BCC arbeiten kann.
Andererseits kann man das m. E. nicht als "Ausführen von Code" bezeichnen, so ärgerlich das auch im Einzelfall sein mag.
Aber zugegeben: ein geiwsses Sicherheitsrisiko ist das!

Die Ausführung von Skripten etc. ist grundsätzlich ein anderes Problem.
Um dies zu umgehen (sofern der verwendete EmailClient das unterstützt), müsste man vermutlich eine html Mail als solche erkennen, bevor man Sie öffnet - oder seh ich das falsch.
Insofern verstehe ich die Aussage "Ich schütze mich, indem ich html Mails in den Papierkorb werfe!" nicht ganz.

[edit]Sorry, ich bin etwas unkonzentriert, weil ich grade dauernd gestört werde[/edit]

 

[wegus]

HTML ist eine Seitenbeschreibungssprache und kann per se keinen Schaden anrichten! Das Problem liegt eher bei den zugehörigen Interpretern. Neben den oben von bestiependent genannten Problemen kommt bei MS-Produkten die Salamitaktik nur die Probleme zuzugeben, die bekannt sind. Auch weiß niemand welche Löcher durch neue Patches ggf. unbeabsichtigt aufgerissen werden. Gerade im Falle MS und IE/Outlook ist das eine Neverending Story!
Man schalte allein bei XP mal den IE als Browser ab, verwende FireFox oder ähnliches und mache ein Softwareupdate...

HTML-mails sind hübsch, gerade für Firmen zur Werbegestaltung sehr sinnvoll. RFC 822 und Konsorten erlauben es ohne weiteres deratige mails als Atachements oder gar als multipart/alternativ einzubinden. Sich aber blind darauf zu verlassen, daß HTML-mails harmlos seien ist meiner Ansicht nach zu kurz gesprungen!

 

[maceis]

...
Sich aber blind darauf zu verlassen, daß HTML-mails harmlos seien ist meiner Ansicht nach zu kurz gesprungen!

Wie gesagt, liegt die Gefahr aber eher auf Seiten der Clients, die eben nicht nur den html-Teil interpretieren sondern andere Inhalte (Active-X, Java etc.).

[edit]-------------------------------------[/edit]

Außerdem verstehe ich den logischen Schluss nicht:
HTML-Mails, die andere versenden, können u. U. auf manchen Systemen Schaden anrichten, also versende ich auschließlich reine Text-Mails.

Ich persönlich würde das für mich eher so betrachten:
Überladene, schlecht gestaltete html-Mails sind allgemein unbeliebt, also halte ich mich da zurück.

 

[HAL]

HTML ist eine Seitenbeschreibungssprache und kann per se keinen Schaden anrichten!

Das hat hier auch keiner behauptet.

 

[xlqr]

ffe

hallo jungs und mädels

ich hätt mal einen vorschlag...

nachdem in diesem fred so ziemlich alle argumente aufgeführt sind, die es betreffs html emails so gibt, könnten wir doch beschliessen, falls mal wieder jmd. nach htmlmails fragt, dass einer/ne antwortet, wie schlecht selbige sind und einer/ne postet wie sie zu verschicken sind. dann könnte dieser fred noch sticky gemacht werden (hallo mods, lest ihr mit? ) und jeweils darauf verweisen...

ffe (friedefreudeeierkuchen)

 

[sengaja]

Aber auch von mir: HTML-Mails sind Unfug.

ja genau wie werbung im allgemeinen, das fernsehen und das ganze internet sowieso. ignorant bis der arzt kommt ... meine fresse lass dich einsalzen. oder sag lieber nix wenn du keine ahnung hast.

diese ignoranz hier teilweise ist echt zum reiern. was sagst du zu nem kunden, der einen seriösen html-newsletter rauschicken möchte? "lassen sie mal, voll der unfug" oder was?

um beim thema zu bleiben: der mail-editor von mozilla ist auf pc und mac meiner ansicht nach der beste html-mail editor, die kompatiblität ist mit dem ding am höchsten. ich hab sie alle durch.

mfg
sengaja

 

[wegus]

@xlqr:
Der Vorschlag hat was! Neben den offenbar etwas hochgespülten Emotionen, ist die Faktenzusammfassung wirklich nicht schlecht.

Nochmal, da zumindest maceis mich offenbar mißinterpretiert hat, HTML ist völlig harmlos. Auch für mails. Wer sicher ist jede Art von Scripting deaktivert zu haben und wessen mail-programm keinen Lazy-Code nachlädt lebt sehr sicher. Er ist aber gut beraten, dies nach jedem Update/Patch neu zu prüfen, denn ein potentielles Einfallstor bleibt es leider.

 

[wegus]

von sengaja:

was sagst du zu nem kunden, der einen seriösen html-newsletter rauschicken möchte?

Obwohl Dein Tonfall eine Antwort nahezu verbietet und mehr als daneben ist:

Ich weise den Kunden zumindest darauf hin das gerade Firmen so rigide mailfilter haben (müssen), daß teilweise nicht viel von Deiner hübschen mail überbleibt! Aber dafür müßte man nat. Ahnung haben, was so bei mailserver-Administration alles anfällt

 

[maceis]

...
Nochmal, da zumindest maceis mich offenbar mißinterpretiert hat, HTML ist völlig harmlos.
...

Nein, nein
Der zweite Teil meines Postings bezog sich nicht mehr auf Dein Zitat, sondern war allgemein gemeint.

 

[HAL]

meine fresse lass dich einsalzen. oder sag lieber nix wenn du keine ahnung hast.

Wer "coming soon" auf seiner Website stehen hat, sollte nicht
irgendetwas von "Ahnung haben" faseln.

diese ignoranz hier teilweise ist echt zum reiern. was sagst du zu nem
kunden, der einen seriösen html-newsletter rauschicken möchte? "lassen sie mal, voll der unfug" oder was?

Ja. Allerdings nicht so wortwörtlich. Und soll ich Dir was sagen?
Meine Kunden finden es gut offen und ehrlich beraten zu werden,
und ich finde es gut, wenn ich anschliessend auf mein Konto blicke.

Also mach den Kopf zu und sabbel nicht so einen Mist.

 

[BEASTIEPENDENT]

Ich kann lesen. Gut sogar. Und wenn ich dich mal aus dem anderen Thread zitieren darf:
"html-mails enthalten html-CODE?! code, richtig, das is der kram, in dem auch böse apps, viren, active-x und all sowas geschrieben sind."

Du behauptest da, Viren usw. wäre in HTML geschrieben und das ist Unfug.

nein - aber ich gebe zu, dass es missverständlich ausgedrückt war. geschrieben habe ich, dass "böse apps" in CODE geschrieben sind.

Die "Aktiven Inhalte" sind in allen mir bekannten eMail-Programmen, die HTML-Mails anzeigen können, deaktiviert.

dann würde mich interessieren, woher da andauernd doch wieder probleme und lücken sind. aber lassen wir das, führt ja offenbar zu nix.

Unter den Gesichtspunkten ist dein Vorschlag "warum schickst du nicht einfach eine .html als anhang mit?" umso unverständlicher. Im Gegensatz zu Mail-Programmen sind Scripts und andere "Aktive Inhalte" idR im Browser aktiviert und Remote Images (zumindest von Thunderbird werden die geblockt) werden dann auch geladen. Somit sind all deine Vorsichtsmaßnahmen erst recht für die Katz.

da habe ich aber die freie entscheidung, ob ich mir die seite ansehen will. im mailer nicht (es sei denn, ich deaktiviere die vorschau, was für mich eindeutig zu unpraktisch wäre und das medium mail unbrauchbar).

Bilder von Web-Servern werden nicht geladen.

was? hab ich jetzt einen denkfehler oder wie kommst du darauf? woher werden die bilder sonst geladen?

Mein Einwand ist einerseits, dass der Spammer hier einzelne Mails versenden muss, also nicht mit CC oder BCC arbeiten kann.

das machen professionelle programme, die in sekunden millionen von mails generieren. wieso sollte das also ein problem für den spammer sein?

Die Ausführung von Skripten etc. ist grundsätzlich ein anderes Problem.
Um dies zu umgehen (sofern der verwendete EmailClient das unterstützt), müsste man vermutlich eine html Mail als solche erkennen, bevor man Sie öffnet - oder seh ich das falsch.

nein, genau so ist es. und das ginge bestenfalls bei deaktivierung der vorschau (s.o. für mich zu unpraktisch).

Insofern verstehe ich die Aussage "Ich schütze mich, indem ich html Mails in den Papierkorb werfe!" nicht ganz.

indem es per regel geschieht und die mail daher gar nicht erst in die vorschau kommt.

Außerdem verstehe ich den logischen Schluss nicht:
HTML-Mails, die andere versenden, können u. U. auf manchen Systemen Schaden anrichten, also versende ich auschließlich reine Text-Mails.

da es ein generelles risiko ist, sollte man IMHO generell keine html-mails verwenden. nur dann kann man diese unsitte (die es IMO unabhängig von einem sicherheitsproblem ist) ausrotten. dass man mit einem mac relativ (!) sicher ist, spielt hierbei für mich keine rolle.

Ja. Allerdings nicht so wortwörtlich. Und soll ich Dir was sagen?
Meine Kunden finden es gut offen und ehrlich beraten zu werden,
und ich finde es gut, wenn ich anschliessend auf mein Konto blicke.

FULL ACK! wenn der kunde dann trotzdem will, okay.