Schutz Ihrer E-Mails durch strenge Content Security Policy
Die Content Security Policy von Tuta zielt darauf ab, XSS-Angriffe zu verhindern. Denn Sicherheit ist mehr als die Verschlüsselung von möglichst vielen Daten.
E-Mail, das moderne Kommunikationsmittel, auf das niemand verzichten kann, ist sehr praktisch, denn es ermöglicht uns, schnell mit jedem auf der Welt in Kontakt zu treten und ein Gespräch zu beginnen. Mit der Bequemlichkeit der E-Mail geht jedoch auch die drohende Gefahr von Cyberangriffen einher, insbesondere von Cross-Site-Scripting-Angriffen (XSS), die die Sicherheit Ihres Posteingangs und Ihrer persönlichen Daten gefährden können. Diese Angriffe sind bei herkömmlichen E-Mail-Diensten aufgrund der Art und Weise, wie E-Mails gestaltet sind, durchaus üblich. Bei Tuta hat Ihre Sicherheit oberste Priorität, und wir haben Maßnahmen ergriffen, um alle Nutzer von Tuta Mail vor solchen Bedrohungen zu schützen. Durch die Implementierung einer strengen Content Security Policy (CSP) und eines HTML-Sanitizers stellen wir sicher, dass Ihre Mailbox vor bösartigen Angriffen geschützt ist.
Was ist CSP und warum ist es notwendig?
Content Security Policy (CSP) ist ein Sicherheitsstandard, der bösartige Angriffe wie Cross-Site-Scripting (XSS) und Data-Injection-Angriffe verhindern hilft. CSP legt eindeutig fest, welche Inhaltsquellen geladen werden dürfen, wenn Sie eine E-Mail im Web-Client öffnen. Unsere CSP-Implementierung trägt entscheidend dazu bei, dass nur vertrauenswürdige Inhalte in Ihrem Postfach angezeigt werden, wodurch das Risiko der Ausführung von bösartigem Code verringert wird. Eines der wichtigsten Merkmale der CSP-Implementierung von Tuta Mail ist der HTML-Sanitizer, der als robuster Abwehrmechanismus gegen potenziell schädliche Inhalte in E-Mails fungiert. Der Sanitizer überprüft eingehende E-Mails auf verdächtigen Code oder Skripte und entfernt diese, bevor sie eine Gefahr für das Gerät oder die Daten des Benutzers darstellen können.
Blockierung von externen Inhalten
Darüber hinaus blockiert Tuta Mail externe Inhalte wie Bilder und Videos, die ebenfalls bösartigen Code oder Pixel zum Tracken enthalten können. Das bedeutet auch, dass alle potenziell riskanten Inhalte in E-Mails, wie z. B. extern gehostete Bilder oder Skripte, standardmäßig blockiert werden, was die Wahrscheinlichkeit von XSS-Angriffen erheblich verringert. Was aber, wenn Sie legitime Inhalte von vertrauenswürdigen Absendern erhalten? Tuta Mail erlaubt es Ihnen natürlich, externe Inhalte manuell zu laden - wenn Sie dem Absender vertrauen. Dies kann mit einem einfachen Klick in der E-Mail geschehen, und die Entscheidung kann auch für zukünftige E-Mails gespeichert werden. Diese Informationen werden im Browser-Cache gespeichert. Solange der Cache nicht geleert wird, werden externe Inhalte in vertrauenswürdigen E-Mails in Zukunft automatisch geladen. Dieser intuitive Ansatz ermöglicht es Ihnen, fundierte Entscheidungen über die Inhalte zu treffen, mit denen Sie interagieren möchten, ohne dabei Kompromisse bei der Sicherheit einzugehen.
Screenshot einer Tuta-E-Mail, die externe Inhalte blockiert, mit der Frage, ob Sie die Bilder "Anzeigen", "Absender immer vertrauen" oder "Absender immer blockieren" möchten.
Kein Tracking
Natürlich verfolgt Tuta Sie nicht, wenn Sie Ihre privaten E-Mails, Kalender oder Kontakte nutzen. Darüber hinaus blockieren wir das Laden externer Inhalte in E-Mails nicht nur aus Sicherheitsgründen, sondern auch, um jede Art von Tracking zu verhindern. Wenn Sie Bilder oder Videos per E-Mail erhalten, enthalten diese oft Pixel, zum Beispiel von Marketingagenturen. Die Blockierung dieser Inhalte ist von entscheidender Bedeutung, denn E-Mails sind das bevorzugte Instrument von Werbetreibenden, die versuchen, Sie und Ihre Online-Gewohnheiten über mehrere Plattformen hinweg zu verfolgen.
Marketingfachleute lieben E-Mails, da sie durch das Einbetten von externen Inhalten, die Sie von Servern Dritter laden müssen, Pixel einfügen können. Über diese Pixel können sie erfahren, ob Sie eine E-Mail geöffnet haben, wann Sie dies getan haben, ob Sie auf in der E-Mail enthaltene Links geklickt haben, und vieles mehr.
Wenn ein E-Mail-Client standardmäßig externe Inhalte wie Bilder oder Videos lädt - ohne die Zustimmung des Nutzers einzuholen -, werden diese Pixel zusammen mit den anderen Daten geladen. Das ist ein weiterer Grund, warum Tuta Mail das Laden von externen Inhalten blockiert.
Sicherheit geht vor
Seit dem Start von Tutanota im Jahr 2014, dem ersten Ende-zu-Ende-verschlüsselten E-Mail-Dienst, haben wir uns auf die Sicherheit konzentriert.
Zu unserer robusten Sicherheit gehören viele Maßnahmen:
- Automatische, quantensichere Verschlüsselung aller Daten,
- Wir sind im vollen Besitz unseres Tech-Stacks,
- Wir besitzen unsere eigene Infrastruktur und Server,
- Verwendung von DANE, DNSSEC und MTA-STS für maximale Sicherheit,
- Unterstützung von SPF, DMARC und DKIM - auch für eigene Domains,
- Und wir verwenden strenge CSP und HTML-Sanitizer.
Mit all diesen Maßnahmen sorgen wir dafür, dass Tuta Mail der sicherste E-Mail-Anbieter ist. Wenn es darum geht, Ihren Posteingang vor bösartigen Angriffen zu schützen, ist Tuta Mail die beste Wahl, der bereits Millionen vertrauen. Dank der konsequenten Umsetzung modernster Sicherheitsmaßnahmen können sich die Nutzer darauf verlassen, dass ihre E-Mails vor XSS-Angriffen und anderen Cyber-Bedrohungen geschützt sind.
Weitere Informationen über unsere hohen Sicherheitsstandards finden Sie auf unserer Sicherheitsseite.
