gängige Mail-Clients setzen beim Lesen einer Mail per Default ungefragt Remote-Anfragen ab?
Das habe ich noch nicht gemonitored. Mangels Knowhow und Mailclient-Vorrat…
Dito.
Ich weiß nur, dass das Nachladen von Bildern durch eine Rückfrage gesichert ist. Ob das für alle Ressourcen gilt oder nur für Bildquellen, weiß ich nicht.
Nur so ergibt das m.E. doch Sinn. Ist doch letztlich wurscht, was genau nachgeladen wird. Sobald eine externe Ressource beim Öffnen einer Mail nachgeladen wird, ist das Kind doch schon in den Brunnen gefallen.
Vielleicht gehen die Autoren auch davon aus, dass Mickey Mailnoob diese Rückfrage ausgeschaltet hat oder gerne mit "ja, mach schon" bestätigt? Denn wenn das Nachladen externer Ressourcen NIE passiert, dann wäre der ganze Angriffsvektor Unsinn.
Genau. Wer das Nachladen beim Öffnen / Lesen einer Mail erlaubt, ist selbst schuld. Völlig egal, ob das nun Bilder, CSS, Fonts oder was auch immer ist.
Aber sie schreiben auch, dass einige Mailclients, vor allem Webclients, trotz einer Filterung der potenziellen Exfiltrationskanäle nicht alles unterbinden, weil sie böse Patterns blacklisten statt problemlose Patterns zu whitelisten. Wobei stets das Risiko besteht, dass eine geschickte Kombi vermeintlich sicherer Funktionen dann doch wieder unsicher ist.
Was ich schon einmal vor einiger Zeit beobachtet habe: GMail-Webmailer z.B. zog mal externe Ressourcen durchaus durch einen eigenen Proxy, änderte das Markup entsprechend und liefert dann darüber aus. Keine Ahnung, ob dem heute noch so ist. Dann ist Google zwar böse, ist es aber beim Öffnen der Mail ohnehin hin schon, also wurscht.
Bis zum Beleg des Gegenteils bleibe ich daher bei Clickbait. Wer externe Ressourcen erlaubt, ist selbst schuld.
Oder um auf den Punkt des OP zu kommen: gibt es in Mail-Clients einen Dialog „Jau, CSS nachladen geht klar?“. Noch nie gesehen / gehört.
Felix Riesterer
Der Martin
Rolf B
Auge
Gunnar Bittersmann
Bimmelbeule