ralphi: Virus per Mail möglich?

Mal ne naive Frage :-|

Jetzt hört man in den Medien immer wieder, dass virenverseuchte Spammails alleine durch öffnen der Mail einen Virus installieren.

Ich dachte eigentlich immer, dass ich mich mit HTML und Co. ausreichend auskenne und demzufolge es keinen weg gibt einen Virus ohne Anhang einfach mal so zu installieren.

Der IE fragt im Normalfall anständig nach ob er ein Script ausführen darf.
Beim Defaultbrowser hab ich zB. Flash und Co deaktiviert.

Wie ist es dennoch möglich, nur durch öffnen einer Mail in zB. Windows Live Mail einen Virus zu installieren?

Viele Grüße aus LA

--
ralphi
  1. Hakuna matata!

    Jetzt hört man in den Medien immer wieder, dass virenverseuchte Spammails alleine durch öffnen der Mail einen Virus installieren.

    Wo hast du das gehört? Wird die Sicherheitslücke da beschrieben?

    Ich dachte eigentlich immer, dass ich mich mit HTML und Co. ausreichend auskenne und demzufolge es keinen weg gibt einen Virus ohne Anhang einfach mal so zu installieren.

    Es werden immer wieder Sicherheitslücken in Mailprogrammen und Browsern bekannt, HTML und JavaScript-Kenntnisse reichen da nicht aus, meistens geht es um verborgene Implementationsdetails.

    Wie ist es dennoch möglich, nur durch öffnen einer Mail in zB. Windows Live Mail einen Virus zu installieren?

    Verfolge deine Quelle doch mal bis zu ihrem Ursprung, irgendwo wird es wohl eine offizielle Bekanntgebung oder Stellungnahme zu dem Sicherheitsrisiko geben. Wenn es das nicht gibt, dann handelt es sich dabei vermutlich nur um das haltlose Gefasel irgendeines Ahnungslosen.

    --
    “All right, then, I'll go to hell.” – Huck Finn
    1. Hi,

      Jetzt hört man in den Medien immer wieder, dass virenverseuchte Spammails alleine durch öffnen der Mail einen Virus installieren.

      Wo hast du das gehört? Wird die Sicherheitslücke da beschrieben?

      heute erst wieder:
      Nano - „Das Geschäft mit der SPAM“ (einsplus br-alpha, 3sat)
      In der Mediathek hab ichs leider nicht gefunden.

      Viele Grüße aus LA

      --
      ralphi
      1. Hakuna matata!

        heute erst wieder:
        Nano - „Das Geschäft mit der SPAM“ (einsplus br-alpha, 3sat)

        Ging es denn da wirklich um technische Sicherheitslücken? Eine SPAM-Email ist ja kein Virus, in dem Sinne, dass er sich durch technische Maßnahmen unbefugten Zugriff verschafft. Eine SPAM-Email ist gefährlich, wenn der Leser sie nicht als solche erkennt, und in Folge dessen falsch darauf reagiert. Die Falle schnappt dann zu, wenn der Leser der SPAM-Email vertraut und daraufhin Anhänge runterlädt und installiert oder einem Phishing-Link folgt. Das sind Angriffs-Szenarien, bei denen der Mensch als Schwachstelle ausgenutzt wird und keine technische Sicherheitslücken.

        Das ist natürlich ein genauso akutes Problem, aber es schießt eben ein wenig an deiner Fragestellung vorbei, die ja lautete:

        Wie ist es dennoch möglich, nur durch öffnen einer Mail in zB. Windows Live Mail einen Virus zu installieren?

        --
        “All right, then, I'll go to hell.” – Huck Finn
        1. Hakuna matata!

          heute erst wieder:
          Nano - „Das Geschäft mit der SPAM“ (einsplus br-alpha, 3sat)

          Ging es denn da wirklich um technische Sicherheitslücken? Eine SPAM-Email ist ja kein Virus, ..

          Nun es ging darum in private Rechner, einen Remote-Spamserver per Mail zu integrieren.

          Vor ein paar Wochen, wollte ich einer IP-hinterher. Laut Blacklist, soll die irgend wie einem Controll-Server gehören, oder selbst infiziert sein.
          Kenn mich leider zu wenig damit aus.
          Hat aber eigentlich nix mit meiner Frage direkt zu tun, eher mit dem, was so für Netze aufgebaut werden.

          Viele Grüße aus LA

          --
          ralphi
          1. Hakuna matata!

            Ging es denn da wirklich um technische Sicherheitslücken? Eine SPAM-Email ist ja kein Virus, ..

            Nun es ging darum in private Rechner, einen Remote-Spamserver per Mail zu integrieren.

            Ohne die Sendung gesehen zu haben, kann ich da nicht viel zu sagen. Ich glaube aber nicht, dass es da um einen technischen Exploit ging, der das möglich gemacht hat. Oder vielleicht ging es auch um eine lange geschlossene Sicherheitslücke und der Fall sollte nur Beispiel dienen. Ich habe zumindest in jüngster Zeit von keiner Sicherheitslücke in diesem Ausmaß gelesen oder gehört.

            --
            “All right, then, I'll go to hell.” – Huck Finn
            1. Liebe Mitdenker,
              liebe Wissende,
              liebe Neugierige,

              ja!

              Ging es denn da wirklich um technische Sicherheitslücken? Eine SPAM-Email ist ja kein Virus, ..

              Nun es ging darum in private Rechner, einen Remote-Spamserver per Mail zu integrieren.

              Ohne die Sendung gesehen zu haben, kann ich da nicht viel zu sagen. Ich glaube aber nicht, dass es da um einen technischen Exploit ging, der das möglich gemacht hat. Oder vielleicht ging es auch um eine lange geschlossene Sicherheitslücke und der Fall sollte nur Beispiel dienen. Ich habe zumindest in jüngster Zeit von keiner Sicherheitslücke in diesem Ausmaß gelesen oder gehört.

              Mit der Mail alleine kannst Du gar nichts anfangen. Du benötigst auch de  gesamten relevanten Code des Programms, der Shell, des OS, des Filesystems und sämtlicher involvierter Treiber nebst sämtlicher  Microprogrammierung und Verhalten aller involvierter Hardwarekomponenten dazu.

              Spirituelle Grüße
              Euer Robert

              --
              Möge der Forumsgeist wiederbelebt werden!
              1. Hakuna matata!

                Ohne die Sendung gesehen zu haben, kann ich da nicht viel zu sagen. Ich glaube aber nicht, dass es da um einen technischen Exploit ging, der das möglich gemacht hat. Oder vielleicht ging es auch um eine lange geschlossene Sicherheitslücke und der Fall sollte nur Beispiel dienen. Ich habe zumindest in jüngster Zeit von keiner Sicherheitslücke in diesem Ausmaß gelesen oder gehört.

                Mit der Mail alleine kannst Du gar nichts anfangen.

                Wie habe ich das zu verstehen? Natürlich kann eine Email einen Exploit im System ausnutzen und so erheblichen Schaden anrichten.

                Du benötigst auch de  gesamten relevanten Code des Programms, der Shell, des OS, des Filesystems und sämtlicher involvierter Treiber nebst sämtlicher  Microprogrammierung und Verhalten aller involvierter Hardwarekomponenten dazu.

                Nein, unkompilierte Quelltexte machen es für Angreifer und Entwickler höchstens einfacher Sicherheitslücken ausfindig zu machen, aber sie sind dafür nicht zwingend notwendig.  Ebenso muss nicht jedes kleine Detail vom System bekannt sein, um eine Sicherheitslücke zu finden und darauf aufbauend einen Exploit zu entwickeln, aber jedes bekannte Detail könnte ein Angreifer natürlich zu seinem Vorteil nutzen. Wenn man ein Software-Projekt unter sicherheitstechnischen Aspekten beleuchtet, trifft man daher häufig die Annahme, dass der Feind das System kennt, was auch als Kerckhoffs’ Prinzip bekannt ist.

                --
                “All right, then, I'll go to hell.” – Huck Finn
                1. Liebe Mitdenker,
                  liebe Wissende,
                  liebe Neugierige,

                  ja!

                  Hakuna matata!

                  Ohne die Sendung gesehen zu haben, kann ich da nicht viel zu sagen. Ich glaube aber nicht, dass es da um einen technischen Exploit ging, der das möglich gemacht hat. Oder vielleicht ging es auch um eine lange geschlossene Sicherheitslücke und der Fall sollte nur Beispiel dienen. Ich habe zumindest in jüngster Zeit von keiner Sicherheitslücke in diesem Ausmaß gelesen oder gehört.

                  Mit der Mail alleine kannst Du gar nichts anfangen.

                  Wie habe ich das zu verstehen? Natürlich kann eine Email einen Exploit im System ausnutzen und so erheblichen Schaden anrichten.

                  Du benötigst auch de  gesamten relevanten Code des Programms, der Shell, des OS, des Filesystems und sämtlicher involvierter Treiber nebst sämtlicher  Microprogrammierung und Verhalten aller involvierter Hardwarekomponenten dazu.

                  Nein, unkompilierte Quelltexte machen es für Angreifer und Entwickler höchstens einfacher Sicherheitslücken ausfindig zu machen, aber sie sind dafür nicht zwingend notwendig.  Ebenso muss nicht jedes kleine Detail vom System bekannt sein, um eine Sicherheitslücke zu finden und darauf aufbauend einen Exploit zu entwickeln, aber jedes bekannte Detail könnte ein Angreifer natürlich zu seinem Vorteil nutzen. Wenn man ein Software-Projekt unter sicherheitstechnischen Aspekten beleuchtet, trifft man daher häufig die Annahme, dass der Feind das System kennt, was auch als Kerckhoffs’ Prinzip bekannt ist.

                  Du hast mich leider nicht verstanden.
                  Um feststellen zu können, ob und warum eine Email Schaden anrichten kann, benötigst Du mehr, als nur die Maildatei.

                  Spirituelle Grüße
                  Euer Robert

                  --
                  Möge der Forumsgeist wiederbelebt werden!
        2. heute erst wieder:
          Nano - „Das Geschäft mit der SPAM“ (einsplus br-alpha, 3sat)

          ich glaub ich hab mich vertan, was den Beitrag bei NANO betrifft. Kann sein, das es schon ein früherer Beitrag war, oder sie haben in nochmal unter andrem Namen gesendet.

          Hier die Sendung die ich meine: http://www.3sat.de/mediathek/?mode=play&obj=47968

          Nach anfänglichen allgemeinen Hinweisen zu Phishing und Co., kommt nach ca.3:30 min der Teil den ich meine.
          Hier wird eine ‘DHL Mail’ (ein Klick) geöffnet und dann mit Wireshark o.ä. nachgekuckt was passiert.

          Viele Grüße aus LA

          --
          ralphi
          1. Hakuna matata!

            Hier wird eine ‘DHL Mail’ (ein Klick) geöffnet und dann mit Wireshark o.ä. nachgekuckt was passiert.

            „mit einem einzigen Klick“ ist offenbar überdramatisiert. Wenn man mal die Betreffzeile der dubiosen Email aus dem Experiment googelt, dann stößt man sehr schnell darauf, dass es sich dabei um eine Spam-Email handelte, die einen Virus über kontaminierte Dateianhänge verteilte. Diese Dateianhänge können den PC aber nicht ohne menschliches Zutun infizieren. Dafür müsste man die Email zumindest öffnen, die Dateianhänge herunterladen und wider allen gut gemeinten Warnungen des Systems die Dateianhänge auch noch ausführen. Für das Fernseh-Experiment haben sie vermutlich absichtlich das System so konfiguriert oder so geschnitten, dass diese Schritte möglichst eindrucksvoll „mit einem einzigen Klick“ und ohne weitere Warnungen auslösbar sind. Aber definitiv ist die Schwachstelle hier wieder der Mensch und keine technische Sicherheitslücke im Email-Client.

            --
            “All right, then, I'll go to hell.” – Huck Finn
            1. Mahlzeit,

              Diese Dateianhänge können den PC aber nicht ohne menschliches Zutun infizieren.

              Und somit hast du die grösste Sicherheitslücke am Computer erkannt. Der Mensch.

              --
              eigentlich ist mir bewusst, dass ich hin und wieder einfach mal die Klappe halten sollte. Doch genau in den unpassendsten Momenten erwische ich mich dabei, wie ich dennoch etwas sage ...
              1. Liebe Mitdenker,
                liebe Wissende,
                liebe Neugierige,

                ja!

                Diese Dateianhänge können den PC aber nicht ohne menschliches Zutun infizieren.

                Und somit hast du die grösste Sicherheitslücke am Computer erkannt. Der Mensch.

                Und nicht ganzheitlich gedacht!
                Es kommt immer darauf an, durch welche Instanzen der Datenstrom hindurch muss. Da dürften bei einem normalen PC heutzutage weit über 50 verschiedene sein. Eine (geheime) Signatur könnte überall "Sonderfunktionen" auslösen.

                Das Brett ist inzwischen zwar immer dicker geworden, aber dafür auch immer öfter sehr geschickt angesägt.

                Spirituelle Grüße
                Euer Robert

                --
                Möge der Forumsgeist wiederbelebt werden!
  2. Mal ne naive Frage :-|

    Wie ist es dennoch möglich, nur durch öffnen einer Mail in zB. Windows Live Mail einen Virus zu installieren?

    Das kommt ganz auf das Programm an, mit welchem die Mail geöffnet wird. Ein Textbetrachter z.B. wird ganz sicher keinen Virus installieren, egal, was in der Mail drinsteht.

    MfG

    1. Hakuna matata!

      Wie ist es dennoch möglich, nur durch öffnen einer Mail in zB. Windows Live Mail einen Virus zu installieren?

      Das kommt ganz auf das Programm an, mit welchem die Mail geöffnet wird. Ein Textbetrachter z.B. wird ganz sicher keinen Virus installieren, egal, was in der Mail drinsteht.

      Die Aussage ist mit Vorsicht zu genießen – natürlich kann auch der simpelste Textbetrachter kritische Sicherheitslücken haben. In komplexer Software gibt es aber nun mal sehr viel mehr Code, hinter dem sich so eine Lücke verstecken könnte, und sehr viel mehr Code, der getestet werden muss. Daher ist es wahrscheinlicher in solcher Software auf Sicherheitslücken zu stoßen, trotzdem ist auch der simpelste Textbetrachter kein Garant für das sichere Lesen von Emails.

      --
      “All right, then, I'll go to hell.” – Huck Finn
    2. Liebe Mitdenker,
      liebe Wissende,
      liebe Neugierige,

      ja!

      Mal ne naive Frage :-|

      Wie ist es dennoch möglich, nur durch öffnen einer Mail in zB. Windows Live Mail einen Virus zu installieren?

      Das kommt ganz auf das Programm an, mit welchem die Mail geöffnet wird. Ein Textbetrachter z.B. wird ganz sicher keinen Virus installieren, egal, was in der Mail drinsteht.

      Das kommt leider nicht nur auf das Programm an, mit dem Du das Textfile (Email) öffnest, sondern auch auf das Betriebssystem und das Filesystem, die involviert sind.

      Hinter (in) jedem Interrupthandler kann sich Schadsoftware verbergen. In der Mail steckt dann gar nicht mehr der ganze Virus, sondern nur noch ein Auslöser und ggf (z. B. in einem Bild) ein Remote Procedure Call oder eine Ergänzungssignatur für die bereits residenten Teile.

      Je mehr Quark man sich installiert, desto unsicherer wird das Gesamtsystem.

      Spirituelle Grüße
      Euer Robert

      --
      Möge der Forumsgeist wiederbelebt werden!
      1. Moin,

        Hinter (in) jedem Interrupthandler kann sich Schadsoftware verbergen. In der Mail steckt dann gar nicht mehr der ganze Virus, sondern nur noch ein Auslöser und ggf (z. B. in einem Bild) ein Remote Procedure Call oder eine Ergänzungssignatur für die bereits residenten Teile.

        Oder eine Installationsanleitung und der Textbetrachter liest die mir vor ;)

        MfG

  3. Hallo ralphi,

    da Emails oft im HTML-Format verschickt werden, können Sie mMn beim Öffnen das gleiche anrichten, wie WWW-Seiten. Ich vermute, dass alle Browserschwachstellen auch in Mailprogrammen auftreten können. Ob ein großer Unterschied besteht zwischen "richtigem lesen" und "Vorschaumodus" weiß ich auch nicht.

    Gruß, Jürgen

    1. Hi,

      da Emails oft im HTML-Format verschickt werden, können Sie mMn beim Öffnen das gleiche anrichten, wie WWW-Seiten.

      theoretisch ja, praktisch nein. Denn die Default-Einstellungen der Mailclients sind in der Regel sehr viel restriktiver, oder die Fähigkeiten bewusst einfach gehalten. Es kommt eben sehr darauf an, ob ein Mailclient seinen eigenen minimalistischen HTML-Parser mitbringt (wie z.B. T-Bird), oder eine externe Rendering Engine benutzt (wie z.B. frührere Outlook-Versionen den IE, aktuellere den HTML-Parser von Word).

      Ich vermute, dass alle Browserschwachstellen auch in Mailprogrammen auftreten können. Ob ein großer Unterschied besteht zwischen "richtigem lesen" und "Vorschaumodus" weiß ich auch nicht.

      Die Vorschau _kann_ zusätzlich eingeschränkt sein, muss aber nicht.

      Ciao,
       Martin

      --
      Mir geht es gut. Ich mag die kleinen Pillen, die sie mir dauernd geben.
      Aber warum bin ich ans Bett gefesselt?
      Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
      1. Hi all,
        Kurz um – zusammengefasst.
        Es gibt keine Möglichkeit außerhalb von Java und Plug-Ins, Programme ohne bewusstes Zutun auf einem fremden Rechner zu installieren.

        Den einzigen Virus dieser Art, hab ich auch bei meiner Frau auf ihrem Arbeitsrechner gesehen. Der kam über das Öffnen einer Webseite.
        Allerdings (musste) hat sie JAVA aktiviert. War notwendig für ein Onlineprog der Firma.

        Inwieweit kann man in JS Aktionen wie das Download unsichtbar machen?

        Ich wünsche Allen schöne Weihnachtstage :-)

        Viele Grüße aus LA

        --
        ralphi
        1. Aloha ;)

          Inwieweit kann man in JS Aktionen wie das Download unsichtbar machen?

          Imho gar nicht. Der JavaScript-Interpreter (Browser) lässt das sicher nicht zu. Wäre wie am Ast zu sägen auf dem man sitzt. JavaScript ist sowieso unproblematisch, da imho inzwischen sowieso überall in einer Sandbox ablaufend.

          Bei Plugins wie Flash ist die Sandbox leider noch nicht Standard, Vorreiter in punkto nativer Unterstützung (mit der optionalen Möglichkeit, Flash in eine Sandbox zu packen) war längere Zeit Google Chrome, möglich, dass die anderen inzwischen nachgezogen haben.

          Ich wünsche Allen schöne Weihnachtstage :-)

          Auch dir frohe Weihnachten ;)

          Grüße,

          RIDER

          --
          Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller
          ch:? rl:| br:> n4:? ie:% mo:| va:) js:) de:> zu:) fl:( ss:| ls:[
          1. Hallo

            Kurz mal beschrieben, wie ich das in Thunderbird handhabe.

            1. Es werden keine Elemente aus dem Web nachgeladen. Kein Tracking durch Grafiken, kein Nachladen zusätzlicher Daten.

            2. Eventuell eingebettetes JavaScript in Emails wird nicht ausgeführt.

            3. Emails werden grundsätzlich als Nur-Text-Emails ausgegeben.

            Der Renderer von Thunderbird kann ausschließlich als HTML-Email gesendete Nachrichten brauchbar als Text ausgeben, wenn diese nicht schon von sich aus kaputt sind. Dann kann es passieren, dass ich den „HTML“-Quelltext (Anführungszeichen beachten!) und danach die Nur-Text-Version zu sehen bekomme.

            Mit dieser Konstruktion kann ich gut leben. Gesendet wird natürlich auch nur im Nur-Text-Format.

            Tschö, Auge

            --
            Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
            Terry Pratchett, "Wachen! Wachen!"
            ie:{ fl:| br:> va:) ls:[ fo:) rl:( ss:| de:> js:| zu:}
            Veranstaltungsdatenbank Vdb 0.3
            1. Hi,

              Kurz mal beschrieben, wie ich das in Thunderbird handhabe.

              exakt genauso hier. Nur eins hat mich beim Lesen verblüfft:

              1. Eventuell eingebettetes JavaScript in Emails wird nicht ausgeführt.

              Untertützt der T-Bird überhaupt Javascript, wenn man es denn wollte? Ich habe noch nirgends eine Stelle gefunden, wo man das aktivieren könnte. Wobei ... ich finde auch nicht  mehr, wo ich einstellen kann/konnte, dass ich Nachrichten als Plain-Text lesen möchte.
              Kann natürlich sein, dass das nur (noch) über about:config geht.

              Der Renderer von Thunderbird kann ausschließlich als HTML-Email gesendete Nachrichten brauchbar als Text ausgeben, wenn diese nicht schon von sich aus kaputt sind. Dann kann es passieren, dass ich den „HTML“-Quelltext (Anführungszeichen beachten!) und danach die Nur-Text-Version zu sehen bekomme.

              Oder nur kaputten HTML-Quälcode, wenn der Absender darauf verzichtet hat, eine Plaintext-Version einzubauen.

              Mit dieser Konstruktion kann ich gut leben. Gesendet wird natürlich auch nur im Nur-Text-Format.

              Natürlich.

              Ciao,
               Martin

              --
              Gescheit, gescheiter, gescheitert.
              Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
              1. Hallo

                … Nur eins hat mich beim Lesen verblüfft:

                1. Eventuell eingebettetes JavaScript in Emails wird nicht ausgeführt.

                Untertützt der T-Bird überhaupt Javascript, wenn man es denn wollte? Ich habe noch nirgends eine Stelle gefunden, wo man das aktivieren könnte. …

                Ich auch nicht. Ich bin mir aber sicher, das bei der Einrichtung einer früheren Version explizit über das Einstellungsmenü abgeschaltet zu haben. Einige Einstellungen schleppe ich ja schon seit den letzten Betaversionen der Mozilla Suite mit mir herum. Diese Einstellungsmöglichkeit kam aber, wenn ich mich nicht irre, erst mit einer der Thunderbird-Versionen hinzu.

                … Wobei ... ich finde auch nicht  mehr, wo ich einstellen kann/konnte, dass ich Nachrichten als Plain-Text lesen möchte.

                allgemein, Empfangsseite: Ansicht→Nachrichteninhalt→…
                allgemein, Sendeseite: Bearbeiten→Einstellungen→Verfassen→Allgemein→Sendeoptionen
                kontobezogen, Sendeseite: Bearbeiten→Kontoeinstellungen→Verfassen und Adressieren

                Angaben für Lubuntu 14.04. Das Einstellungsmenü findet sich zumindest bei Windows nicht bei „Bearbeiten“, sondern bei „Extras“.

                Kann natürlich sein, dass das nur (noch) über about:config geht.

                1. Dass einige Schalter nur noch dort erreichbar sind, ist ja bekannt. Es ist durchaus möglich, dass die nämlichen dazugehören.
                2. Wie kommt man bei Thunderbird überhaupt an diese Ansicht heran?

                Der Renderer von Thunderbird kann ausschließlich als HTML-Email gesendete Nachrichten brauchbar als Text ausgeben, wenn diese nicht schon von sich aus kaputt sind. Dann kann es passieren, dass ich den „HTML“-Quelltext (Anführungszeichen beachten!) und danach die Nur-Text-Version zu sehen bekomme.

                Oder nur kaputten HTML-Quälcode, wenn der Absender darauf verzichtet hat, eine Plaintext-Version einzubauen.

                Nö, wenn das HTML nicht kaputt ist, wird die Nachricht – außer bei aufwendigen Formatierungen per HTML in der angelieferten Nachricht – recht sauber in Text umgesetzt.

                Tschö, Auge

                --
                Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war.
                Terry Pratchett, "Wachen! Wachen!"
                ie:{ fl:| br:> va:) ls:[ fo:) rl:( ss:| de:> js:| zu:}
                Veranstaltungsdatenbank Vdb 0.3
                1. Hi,

                  Untertützt der T-Bird überhaupt Javascript, wenn man es denn wollte? Ich habe noch nirgends eine Stelle gefunden, wo man das aktivieren könnte. …
                  Ich auch nicht. Ich bin mir aber sicher, das bei der Einrichtung einer früheren Version explizit über das Einstellungsmenü abgeschaltet zu haben.

                  ich bin mir auch relativ sicher, diese Einstellmöglichkeit irgendwann gesehen zu haben, meine aber auch, dass die Ausführung von Javascript in Nachrichten per Default deaktiviert war. Ganz sicher bin ich mir aber auch nicht mehr.

                  … Wobei ... ich finde auch nicht  mehr, wo ich einstellen kann/konnte, dass ich Nachrichten als Plain-Text lesen möchte.
                  allgemein, Empfangsseite: Ansicht→Nachrichteninhalt→…

                  Ach da ... ja, stimmt. Ich hatte es in den gesammelten Einstellungen gesucht. Direkt in der Hauptmenüzeile hatte ich das nicht erwartet.

                  Kann natürlich sein, dass das nur (noch) über about:config geht.

                  1. Dass einige Schalter nur noch dort erreichbar sind, ist ja bekannt. Es ist durchaus möglich, dass die nämlichen dazugehören.
                  2. Wie kommt man bei Thunderbird überhaupt an diese Ansicht heran?

                  Edit/Preferences/Advanced/General, Button "Config Editor" rechts unten.
                  Und dort im Config-Editor findet sich auch der Eintrag javascript.enabled, der bei mir auf false steht. Allerdings mit dem Status "user set", also doch nicht default ...

                  Ciao,
                   Martin

                  --
                  Wer im Steinhaus sitzt, soll nicht mit Gläsern werfen.
                  Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(