Nicht nur von Mail-Anhängen, sondern auch von E-Mail-Nachrichten im HTML-Format können Gefahren ausgehen.
Oder, was zumindest sehr lästig ist, die Ladezeit bis zur vollständigen Anzeige des Nachrichteninhalts kann erheblich sein.
Wer aus Unachtsamkeit (oder gar mit Absicht) den Nachrichteninhalt mit Hyperlinks auf nur online verfügbare Grafiken spickt und dann womöglich noch die Nachricht als Tabelle formatiert, kann sich leisen Zähneknirschens beim Empfänger gewiss sein.... und darf damit rechnen, dass seine Nachrichten künftig nicht mehr gelesen, sondern gleich gelöscht werden.
Um sich vor unerwünschten Belästigungen zu schützen, kann man zur Radikalmethode greifen, die mit z.B. Netscape kinderleicht anzuwenden ist: Man definiert einige Filter, die nach typischen HTML-Elementen im Nachrichtentext suchen und falls solche gefunden werden, diese Nachrichten sofort löschen. Solche Elemente sind z.B. die Zeichenketten "<HTML", "<BR>", und zwar sowohl in Groß- wie in Kleinschreibung.
So wird der meiste Müll direkt in den Papierkorb geschoben und als gelesen markiert. Und da die meisten überdrehten Selbstdarsteller mit übersteigerter Selbsteinschätzung ihre Anliegen in buntem HTML-Gewand auf die Reise schicken, kann man sich so ganz bequem zurücklehnen und mit einem Klick den Papierkorb leeren, ohne auch nur einen Blick auf solchen Unsinn zu werfen. Das schont die Nerven ungemein. (Mit Outlook Express geht dies nach meiner Erfahrung jedoch nicht.)
Ein praktisches Programm, das beim Prüfen der gefilteren Nachrichten hilft (allerdings nur für Netscape), gibt es auch.
... Zahlreiche Newsletter werden zum Beispiel auf diese Weise verschickt.
Klar: Das sieht besser aus, vor allem bunter. Jedoch kann unter bestimmten Umständen
schon die Anzeige einer HTML-formatierten E-Mail ausreichen, damit auf dem heimischen Rechner
Ungewolltes passiert.
Je nach Sicherheitseinstellung kann schon die Vorschau einer HTML-Mail ungewollte Effekte auslösen. Theoretisch besteht bei den Standard-Sicherheitseinstellungen und eingespielten Updates für Microsoft Outlook (sofern verwendet) und den Internet Explorer keine sonderliche Gefahr durch HTML-Mails, doch Vorkommnisse in der Vergangenheit bewiesen immer wieder, dass durch Kombination mit anderen Programmen doch plötzlich Sicherheitslücken entstehen können. So stellte Sicherheitsexperte Gregor Guninsky fest, dass das <OBJECT>-Tag in Kombination mit Microsoft Office unter gewissen Umständen Dateien auf der lokalen Festplatte speichern kann [1].
Das CERT (Computer Emergency Response Team) hat in einem Advisory [2] mögliche Gefahren aufgelistet und bietet Hilfestellung für den Anwender.
Noch aus einem anderen Grund ist es empfehlenswert, HTML-Mails nicht zu verwenden. Mit trickreichen Methoden ist es einem Webmaster möglich, eine verifizierte E-Mail-Adresse zurückzuerhalten, sobald das 'Opfer' sich eine Mail vom Webmaster mit aktiviertem HTML ansieht: Der Webmaster erhält quasi eine Bestätigung, dass die Mail tatsächlich gelesen wurde. In einem <IMG SRC ...>-Tag wird dazu einfach auf ein CGI-Skript auf dem Server des Webmasters verwiesen - sobald die E-Mail aufgerufen wird, wird das Skript aktiv. Das ist zwar kein ernsthaftes Sicherheitsproblem, weil die eigene Mail-Adresse kaum geheim sein dürfte, allerdings kann das zu lästigen und unerwünschten Werbe-Mails (sogenannter Spam) führen.
[1] http://www.heise.de/newsticker/data/ju-19.07.00-000
[2] http://www.cert.org/advisories/CA-2000-02.html
Auch in Heft 21/2002 der C'T finden sich auf Seite 225 unter der Überschrift "Der e-mail-Knigge" weitere Hinweise zu diesem Thema.