Neuheit im Test: E-Mail mit Lesebestätigung Meldung

Vertrauen ist gut, Kontrolle besser. Für den E-Mail-Verkehr verspricht zusätzliche Sicherheit: Ein Programm, dass versendete E-Mails überwacht und automatisch eine Lesebestätigung erstellt, sobald der Empfänger die elektronische Nachricht anschaut. Anders als bei der Empfangsbestätigungsfunktion vieler E-Mail-Programme kann der Empfänger die Bestätigung nicht verhindern. Maxx Confirm heißt die Software, kostet als Download vom Anbieter 57 Euro und wendet sich vor allem an Privat- und Geschäftsleute, die häufig wichtige E-Mails verschicken. test.de hat untersucht, ob das E-Mail-Einschreiben hält, was der Anbieter an Sicherheit verspricht.

Installation ohne Mühe

Los gehts völlig problemlos. Voraussetzung: Für E-Mail wird ein Standardprogramm wie Outlook, Outlook Express, Büroware ERP oder ähnliche Software benutzt. Maxx Confirm ist dann mit wenigen Klicks installiert und konfiguriert. Bereits vorhandene Postfächer werden auf Wunsch problemlos übernommen. Schwierig wirds mit weniger gängigen Programmen wie Pegasus. Dort ist bei der Installation viel Handarbeit und Know-how nötig. Der Versand von Mails funktioniert mit maxx Confirm genau wie ohne. Zur Überwachung der maxx Confirm-Mails muss der Benutzer zu einer passwortgeschützten und SSL-verschlüsselten Internetseite surfen. Sie liegt auf einem Server des Anbieters und enthält eine Liste mit sämtlichen Mails der letzten 90 Tage und der Information, ob, wann und wie oft sie jeweils geöffnet wurden. Auf Wunsch wird die Lesebestätigung jeweils auch per E-Mail an den Absender verschickt.

Kein Beweis

Die erste Einschränkung steht von vorneherein fest: Wenns darauf ankommt, den Zugang einer E-Mail vor Gericht nachzuweisen, ist maxx Confirm ungeeignet. Dazu ist ein richtiger Brief erforderlich, der mit Postzustellungsurkunde oder als Einschreiben mit Rückschein verschickt wird. Vergleichbar sicher ist sonst nur die persönliche Übergabe eines Schreibens vor zuverlässigen Zeugen.

Technik mit Risiken

Doch auch, wenn es auf den gerichtsfesten Nachweis gar nicht ankommt, ist maxx Confirm mit Vorsicht zu genießen. Ärgerlich zunächst: Nicht jede E-Mail-Adresse ist mit dem Programm erreichbar. Die Mail-Server des Internetproviders AOL etwa ließen überhaupt keine maxx Confirm-Mails durch. Immerhin kam von dort jeweils eine Fehlermeldung. In Einzelfällen weigerte sich auch der MSN-Hotmail-Dienst, die E-Mail-Einschreiben in die Postfächer von Kunden zu legen. Bei GMX blieb manche E-Mail mit eingebauter Lesebestätigungsautomatik im Spam-Filter hängen. Ärgerliche Folge für den Absender: Er erfährt nicht mal, dass seine E-Mail nicht angekommen ist.

Ansicht mit Folgen

Weitere Einschränkungen ergeben sich aus der Funktionsweise von maxx Confirm: E-Mails werden im HTML-Format erstellt und erhalten einen zunächst nicht sichtbaren Zusatz. Darin ist der Befehl enthalten, ein bei gotomaxx hinterlegtes „zugestellt und gelesen“-Logo anzuzeigen. Sobald die Nachricht vom E-Mail-Programm des Empfängers angezeigt wird, versucht das E-Mail-Programm, das Logo einzublenden. Wenn die Verbindung zum Internet steht, erscheint das Logo nach etwa zwei Sekunden. Gleichzeitig werden Zeitpunkt und Zugriff auf den gotomaxx-Server registriert und die Lesebestätigung erstellt.

Früherkennung

Bei Benutzung von Outlook oder Outlook Express funktioniert das schon in der Grundeinstellung. Einzige Voraussetzung: Der Empfang von HTML-Mails darf nicht gesperrt sein und beim Öffnen der Mail muss der Empfänger Verbindung zum Internet haben. Zuweilen wird die Empfangsbestätigung schon vor dem Öffnen der E-Mail bereits verschickt. Wird die E-Mail schon im Vorschaufenster des Mailprogramms angezeigt, wertet maxx Confirm das als Öffnen der E-Mail. Von vielen anderen E-Mail-Programmen und Webmail-Diensten wie web.de, GMX oder Hotmail werden HTML-Mails meist nur auf ausdrückliche Anforderung hin geöffnet. Grund: Solche E-Mails bergen Risiken. Hinter Links, wie sie auch Maxx Confirm für seine Empfangsbestätigung verwendet, können sich Viren, Würmer und Spionageprogramme verbergen. In solchen Fällen gibts eine Lesebestätigung tatsächlich erst dann, wenn die E-Mail wirklich geöffnet wurde.

Sackgasse

Gar nicht klappt das maxx Confirm-System bei E-Mail-Empfängern ohne Zugriff aufs Internet. Wenn der Empfänger die Verbindung gleich nach dem Abholen der E-Mails wieder gekappt hat, bleibt der Absender ohne Lesebestätigung. Auch von Arbeitsplätzen, die aus Sicherheitsgründen nur E-Mail-, aber keinen Internetzugriff haben, ist keine Bestätigung zu bekommen. Noch ein Mangel: Wenn eine Lesebestätigung erscheint, muss diese nicht unbedingt vom Empfänger der E-Mail stammen. Wenn dieser die E-Mail ohne Auslösung einer Bestätigung weiterleitet, kann das Öffnen der E-Mail beim Adressaten der Weiterleitung zur Lesebestätigung führen.

Sicherheit mit Lücke

So weit, so schlecht. Der dickste Mangel an maxx Confirm zeigte sich bei der Analyse des HTML-Codes für das Auslösen der Empfangsbestätigung: Die Adresse für den Zugriff auf das Empfangsbestätigungs-Logo ist immer nach demselben Schema aufgebaut. Wer eine E-Mail erhalten hat, kann den Bestätigungslink für die nächste E-Mail erraten und die Empfangsbestätigung fälschen. Schlimmer noch: Selbst ohne besonderes Hacker-Know-how und ohne größeren Aufwand lässt sich blind die Lesebestätigung für ein gewaltige Zahl von möglichen maxx Confirm-E-Mails erzeugen.

Dieser Artikel ist hilfreich. 68 Nutzer finden das hilfreich.