Kämpft noch jemand gegen HTML E-Mails?

Ich schätze mal, dass es in diesem Forum weitgehend Konsens ist, dass in HTML formatierte E-Mails sowohl unter Datenschutz- als auch unter Sicherheitsaspekten böse sind. Das BSI rät nach wie vor, die Anzeige von HTML zu deaktivieren und warnt vor Sicherheitsrisiken in HTML-Mails.

Aus meiner Sicht treibt das Unwesen von HTML-Mails mittlerweile absurde Stilblüten. Ich bekomme beispielsweise eine Mail meiner Sparkasse, wenn ich einen Browser als vertrauenswürdig registriere. Um den Sinn oder Unsinn solcher Mails geht es mir nicht, sondern darum, dass die Mail meiner Meinung nach schlicht kaputt ist. Die MIME-Header und der Body sehen nämlich so aus:

MIME-Version: 1.0
Content-Type: multipart/mixed;
        boundary="----=_Part_486_-1629048101.1745919989558"

------=_Part_486_-1629048101.1745919989558
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Sehr geehrt gelöscht,<BR><BR>f=FCr ein sicheres Online-Banking ist es wi=
chtig, dass wir Ihr Ger=E4t und Ihren Browser kennen. Dazu setzen wir die G=
er=E4teerkennung ein. Sie haben soeben auf Ihrem Ger=E4t Ihren Browser als =
vertrauensw=FCrdig gespeichert.                          <BR>Wenn Sie diese=
 =C4nderung veranlasst haben, brauchen Sie nichts weiter zu tun. Andernfall=
s setzen Sie sich bitte umgehend mit uns in Verbindung.<BR>Die Kontaktdaten=
 finden Sie auf unserer Homepage.<BR><BR>Mit freundlichen Gr=FC=DFen<BR>Ihr=
e gelöscht Sparkasse                                                    =
                       <BR><BR>Antworten Sie nicht auf diese automatisch ge=
nerierte E-Mail.
------=_Part_486_-1629048101.1745919989558--

Warum zum Teufel verschickt die Sparkasse hier eine HTML-Mail, wenn das einzige HTML-Tag, das verwendet wird, der Zeilenumbruch ist - wofür man kein HTML braucht? Und überhaupt: Fängt HTML-Code nicht mit <html> an und hört mit </html> auf oder habe ich etwas verpasst? Warum multipart/mixed, wenn kein weiterer Teil vorhanden ist?

Ich hatte deswegen an den Dienstleister der Sparkassen, der für solche Mails verantwortlich ist, geschrieben (die sind natürlich nicht normal per E-Mail, sondern nur per Kontaktformular erreichbar) und, wie leider zu erwarten war, bisher keine Antwort erhalten.

Es würde mich interessieren, ob ich der einzige bin, der noch versucht, gegen das Unwesen von sinnlosen HTML-Mails anzugehen oder ob ihr inzwischen an dieser Front still kapituliert habt.

Ich würde dir mal wiedersprechen, dass es dazu im Forum Konsens gibt, da ich selbst HTML-Mails verwende.

Ich selbst habe sowohl beruflich als auch privat (Vereine, Ehrenamt usw.) sehr viel mit E-Mail als einfacher Nutzer zu tun. Ich persönlich favorisiere da ehrlich gesagt auch Mails vor Messenger.

Und dann will man halt nicht ständig nur ein hässliche hingerotzte Notizen verschicken, sondern das ganze halbwegs sinnvoll formatieren. Wir leben nicht mehr im Jahr 1985, wo alles als hässlicher Monospace-Blob daherkommt …
Dabei reichen die einfachen Formattierungen, wie ich sie hier gerade im Forum zur Verfügung habe. (Fett, Kursiv, Einrückung, Aufzählung, ggf. Links) Dazu noch eine ordentliche Signatur. Ich nenne es hier mal Rich-Text …

Aber diese Option bietet mir Reintext bei Mails leider nicht.
Und genau das sehe ich als Problem: Die Entwickler der E-Mail-Standards, -Clients usw. haben es in 45 Jahren nicht geschafft, mal einen sinnvollen Mittelweg zwischen „Text ohne alles“ und „unendliche Möglichkeiten mit HTML und CSS“ zu entwickeln.

Und deshalb nutzen so viele Leute HTML-Mails, weil Sie halt wollen, dass die Mail „ordentlich“ aussieht.
Ich denke für 99,x % der Nutzer, welche ihre Mails selbst schreiben, würde Rich-Text ausreichen. Aber es gibt die Option halt nicht …

PS:
Das wäre mal eine tolle Weiterentwicklung, wenn ich per einfachem Häckchen-Menü in meinem Mail-Client (z.B. Thunderbird) auswäheln könnte, welche HTML-Elemente angezeigt werden und der Rest fliegt raus …

E -Mail als vernünftiges/ernsthaftes Kommiunikations-Medium ist schon lange tot.

Warum sollte das tot sein?

• Es funktioniert super
• i.d.R. gibt es deutlich weniger sinnloses Palaver als in Messenger-Chat-Gruppen
• Es gibt gut funktionierende Clients für jedes Betriebssystem
• Man kann mit jedem kommunizieren, egal welchen Client/Server er verwendet
• Wenn man einen ordentlichen Mail-Provider hat, dann hat man auch keine Probleme mit Spam

Also wo genau ist Mail tot?
Nur weil es gerade nicht „der Hot-Fancy-Shit“ ist, der durch das Dorf/die Tech-Branche getrieben wird?

Z.B. was Verschlüsselung angeht. [Teilweise gelöscht, da ungewollt/unbewußt ggf. strafrechtlich Relevantes beinhaltete].

Ist dir der Ursprung dieser Redewendung bekannt?

Hab’s korrigiert, war tatsächlich unbeabsichtigt und nicht nachgedacht. Ausdrücklich sorry dafür. Ändert nichts am anderen Inhalt.

Welches andere elektronische Kommunikationsmedium soll denn eine Alternative für ernsthafte Kommunikation sein? Messenger etwa? Die scheiden schon deshalb aus, weil die meisten Messenger zentrale, geschlossene Systeme sind, die untereinander keine Nachrichten austauschen. Beispielsweise habe ich kein Whatsapp und bin für niemanden über Whatsapp zu erreichen. Daran wird sich auch nichts ändern, denn ich nutze grundsätzlich keine Meta-Dienste und werde das auch nie tun. Ich nutze Signal, bei einer Nachbarin hatte ich mal Telegram genutzt. Andere Messenger habe ich nicht ausprobiert, weil ich bei denen schlicht keine Kommunikationspartner hätte.

Das Problem mit der fehlenden Ende-zu-Ende-Verschlüsselung sehe ich nicht als so gravierend an. E-Mails sind auf dem Transportweg durch die inzwischen standardmäßige Transportverschlüsselung besser geschützt als Papierbriefe - das reicht mir in den meisten Fällen aus.

Es würde super funktionieren, wenn es nicht gewisse Firmen gäbe. Einen Fall hattest du oben ja schon erwähnt, den würde ich noch als harmlos bezeichnen, da man immerhin merkt, dass etwas nicht stimmt. Andere Firmen schicken teilweise Mails, die sowohl plain als auch HTML haben, beide parts enthalten aber unterschiedliche Inhalte und Aussagen. Das ist dann richtig hässlich. Und eigentlich ist es ja traurig, denn einen sinnvollen Plaintext-Part aus HTML zu generieren ist für die meisten Inhalte selbst automatisiert kein Problem - würde Sicherheit und Barrierefreiheit sehr helfen.

Insbesondere kann man in den Clients auch selbst einstellen wie man die Mails angezeigt und sortiert bekommen möchte. Grade bei sich verästelnden Diskussionen sind viele andere Systeme extrem unübersichtlich.

Fast. Es gibt leider Firmen wie Microsoft oder die Deutsche Telekom, die kein Interesse daran haben mit Jedem zu kommunizieren und ihre Marktposition ausnutzen um eigene „Regeln“ durchzudrücken - selbst wenn die keiner kennt. Da werden dann einfach komplette Bereiche des Internets ohne Möglichkeit für Rückfragen/Freischaltung ausgesperrt oder wirre Forderungen wie ein Webserver mit Impressum auf der Mail-Domain verlangt. Das ist der Nachteil von verteilten Systemen - sie sind zwar robust und flexibel, aber es gibt eben auch keine Instanz, die solchen Unfug verhindert.

Das ist eine Frage was das Ziel ist. Wenn man z.B. technisch unsaubere Verbindungen ablehnt erwischt man leider auch sehr viele Firmen, die „kreative“ Konfigurationen auf ihren Systemen fahren. Grade wenn mehrere Dienstleister beteiligt sind, ist da was DNS oder IPs angeht kaum noch zwischen Original und Fälschung zu unterscheiden. Und leider ist GPG oder S/MIME außerhalb der IT-Bubble noch immer selten zu finden. Extrem schade, dass man seinerzeit die Möglichkeit Mails standardkonform per nPA zu unterschreiben gekantet hat.

Ich bevorzuge auch E-Mail (as in SMTP-based) für wichtige Kommunikation. Es mag einigen „alt“ vorkommen, ich würde es eher effizient nennen. Einfache Formatierungen sind auch in Plaintext möglich, SPAM und Phishing sind technisch gelöste Probleme, die häufig nur an der Akzeptanz - meist aus dem kommerziellen Umfeld - scheitern.

Nun ja, selbst wenn Microsoft oder die Telekom einen Mailserver blockieren, bedeutet das noch nicht, dass der Absender dem Telekom-Kunden, den er erreichen will, keine E-Mail schicken kann. Es gibt in wichtigen Fällen immer noch die Option, die Mail über einen anderen Mailprovider zu verschicken. Diese Möglichkeit hat man nur, weil E-Mail - im Gegensatz zu vielen Messengern - ein dezentrales System ist.

Ich habe dagegen enorme Schwierigkeiten, mit anderen per Messenger zu kommunizieren, weil ich prinzipiell keine Meta-Dienste und damit auch kein Whatsapp nutze. Ich beabsichtige auch nicht, das zu ändern. Die Messenger, die ich nutze, wollen andere hingegen nicht auf ihren Smartphones installieren, denn es gibt ja Whatsapp. Über alternative Messenger, die Mike hier immer wieder präsentiert, brauchen wir gar nicht erst zu reden - es ist schon genug Aufwand, andere aus meinem privaten Umfeld davon zu überzeugen, zumindest Signal als Whatsapp-Alternative auf ihrem Smartphone laufen zu lassen.

Ich bin mir nicht sicher, worin eigentlich die Gefährdung durch HTML-E-Mails liegt. Kannst Du mal konkret die Bedrohungen benennen, wie HTML-E-Mails meine Datenschutz und Sicherheit gefährden?

Ist es nur das Nachladen von externem Content, den ich in meinen Mail-Clients deaktiviert habe?

Geht es um die größere Code-Basis einer HTML-Engine gegenüber einer Text-Darstellung?

Oder was sind die Gründe warum HTML-E-Mails bösen sein sollen?

Habe grade mal in den Optionen bei Outlook (Desktop) nachgeguckt: Ausgehende Mails kann man standardmäßig als HTML, Rich Text und Plain Text versenden. Fragt sich nur, wie verbreitet und interoperabel die zweite Option ist. Vorbildlich finde ich hier Thunderbird, der die Option „Automatisch“ als Default fürs Versenden setzt:

Falls keine Stilformatierungen verwendet werden, erfolgt die Verwendung von Reintext. Ansonsten wird HTML mit Reintext als Rückfallabsicherung eingesetzt.

So macht es auch Proton Mail: HTML anzeigen (sonst sind z.B. B2C-Mails fast alle ‚broken‘), externen Content aber deaktivieren und bei Links noch einen Bestätigungs-Button zwischenschalten.

Der Sicherheitsgewinn liegt IMHO bei Plain Text vor allem darin, dass statt eines Buttons in der Mail der gesamte Link angezeigt wird, was das Phishing erschwert.

Auf dem iPhone habe ich primär aus Ergonomie-Gründen lieber umbrechenden Plain Text als HTML, was zwar die Seite als Ganzes hübsch aussehen lässt, aber oft zu winzigen Textelementen führt. Daher nutze ich nicht Apple Mail, sondern Preside.

HTML-E-Mails bergen mehrere Gefahren
für Datenschutz und Sicherheit, die über das reine Nachladen von externem Content hinausgehen:

• Ausführung schädlichen Codes beim Öffnen: HTML-E-Mails können eingebetteten schädlichen Code enthalten, der bereits beim Öffnen der Mail ausgeführt wird, ohne dass ein Anhang geöffnet werden muss. So können Schadprogramme installiert werden1.
• Tracking durch externe Inhalte: Viele HTML-Mails enthalten unsichtbare Tracking-Pixel oder Bilder, die beim Nachladen dem Absender signalisieren, dass die Mail geöffnet wurde. Das ermöglicht gezieltes Nachverfolgen und erhöht Spam-Risiken1.
• Größere Angriffsfläche durch HTML-Engine: Die Darstellung von HTML-Mails erfordert komplexe Rendering-Engines, die im Vergleich zu reiner Textdarstellung mehr Sicherheitslücken bieten können. Diese Komplexität erhöht die Chance, dass Schwachstellen ausgenutzt werden2,3.

Das reine Deaktivieren des Nachladens externer Inhalte (Bilder, Tracking-Pixel) ist ein anfänglicher Schutz, aber nicht ausreichend, da schädlicher Code auch lokal in der HTML-Mail selbst enthalten sein kann1.

Quellen:

1. BSI Verbraucherinfo
2. wirtschaftsschutz.info
3. BSI pdf

Ergänzend zu @hein:

Why is plain text better than HTML?

HTML emails are mainly used for marketing - that is, emails you probably don’t want to see in the first place. The few advantages they offer for end-users, such as links, inline images, and bold or italic text, aren’t worth the trade-off.

HTML as a vector for phishing

HTML emails allow you to make links which hide the URL behind some user-friendly text. However, this is an extremely common vector for phishing attacks, where a malicious sender makes a misleading link which takes you to a different website than you expect. Often these websites are modeled after the login page of a service you use, and will trick you into entering your account password. In plain text emails, the URL is always visible, and you can more easily make an informed choice to click it.

Many phishing emails have also taken the step of carefully replicating the visual style of an email you might trust, such as the appearance of a PayPal email. With plain text, it’s much more difficult to trick you like this.

Privacy invasion and tracking

Virtually all HTML emails sent by marketers include identifiers in links and inline images which are designed to extract information about you and send it back to the sender. Examine the URLs closely - the strange numbers and letters are unique to you and used to identify you. This information is used to hack your brain, attempting to find advertisements which are more likely to influence your buying habits. HTML emails are good for marketers and bad for you.

Higher incidence of spam

HTML emails open up a lot of possibilities which are exploited by spammers to circumvent spam filters, such as making large amounts of text invisible, using hidden elements, and so on. Many people discard HTML emails (particularly mailing lists) on the simple basis that it dramatically reduces the amount of spam emails they receive.

Mail client vulnerabilities

HTML is an extremely large and complicated set of specifications designed without emails in mind. It’s designed for browsing the world wide web, on which a huge variety of documents, applications, and more are available. Implementing even a reasonable subset of these standards represents hundreds of thousands of hours of work, or even millions. A large subset (perhaps the majority) of these features are not desirable for emails, and if included can be leveraged to leak information about you, your contacts, your calendar, other emails in your inbox, and so on. However, because of the herculean effort necessary to implement an HTML renderer, no one has built one specialized for emails which is guaranteed to be safe. Instead, general purpose web browsers, with many of their features disabled, are employed in most email clients. This is the number one source of vulnerabilities in email clients which result in information disclosure and even the execution of arbitrary malicious code.

This is a list of 421 remote code execution vulnerabilities in Thunderbird. If you’re bored, try finding one that doesn’t exploit web tech.

HTML emails are less accessible

Browsing the web is a big challenge for users who require a screenreader or other assistive tools to use their computer. The same problems apply to email, only more so - making an accessible HTML email is even more difficult than making an accessible website due to the limitations imposed on HTML emails by most mail clients (which they have no choice but to impose - for the security reasons stated above). Plain text emails are a breeze in comparison for screenreaders to recite, especially for users with specialized email clients designed for this purpose. How do you speak bold text aloud? How about your inline image?

Some clients can’t display HTML emails at all

Some email clients don’t support HTML emails at all. Many email clients are designed to run in text-only environments, like a terminal emulator, where they’re useful to people who spend a lot of time working in these environments. In a text-only interface it’s not possible to render an HTML email, and instead the reader will just see a mess of raw HTML text. A lot of people simply send HTML emails directly to spam for this reason.

Rich text isn’t that great, anyway

Rich text features desirable for end users include things like inline images, bold or italicized text, and so on. However, the tradeoff isn’t worth it. Images can simply be attached to your email, and you can employ things like *asterisks*, /slashes/, _underscores_, or UPPERCASE for emphasis. You can still communicate your point effectively without bringing along all of the bad things HTML emails come with.

Quelle, die auch allgemein sehr tolle Tipps gibt:
https://useplaintext.email/#why-plaintext

Auch noch ergänzend zu @hein und @bleifrei: Es ist gefährlich zu glauben, dass man sicher ist, wenn man das Nachladen von externem Content deaktiviert und wenn man meint, so erfahren zu sein, dass einem ein hinter einem legitimen Text verborgenen Phishing-Link erkennt. Wenn man unter Zeitdruck ist, lässt man die erforderliche Sorgfalt schon mal außer acht.

Außerdem kommt es darauf an, wie viel Mühe sich der Angreifer gibt, insbesondere wie viele Informationen er im Vorfeld über das Opfer sammelt. Wenn eine betrügerische Mail Daten enthält, die eigentlich nur ein legitimer Absender wissen kann, schiebt man den Gedanken, dass hier Kriminelle am Werk sein könnten, erst einmal beiseite. So gibt es mir jedenfalls, als ich die ersten Mails mit angehängtem Trojaner bekam, in denen ich mit meinem bürgerlichen Namen angesprochen wurden und die meine damalige Adresse enthielten.

Ich habe das gerade mal ausprobiert:
Wenn man diese Option auswählt, dann wir die Nachricht wie bei HTML auch sowohl als HTML als auch als Plaintext versendet. Aber natürlich nicht direkt, sondern das ganze wird jeweils nochmals als base64 codiert …

Wenn ich mit Thunderbird eine Mail als Plaintext schreibe und Fett, Kursiv, Aufzählung usw. verwende, dann verwendet Thunderbird * / usw. für das Synthax-Highlighting und zeigt das selbst auch richtig an, aber Outlook und Fairmail interpretieren das nicht richtig.

Fazit: Der Vorschalg von useplaintext.email funktioniert nicht und ich stehe als User immer noch vor dem ursprünglichen Dilemma zw. Text-Blob oder hübsch …

Und das passiert bei Plaintext nicht, weil ich auf hässliche Links nicht draufklicke oder warum?

Das habe ich des öfteren gelesen und ich frage mich, wie real ist eine solche Bedrohung?
Wenn das so einfach ist, wäre dann nicht jeder Computer mit Schadsoftware verseucht?
Alleine um die Mail als Spam zu markieren wird sie geöffnet.
Müsste ich dann nicht auch in Plain Text surfen? Demnach kann auch jede Webseite sofort ausführbaren Code enthalten?
Hat ein Browser bessere Sicherheitsmechanismen diesbezüglich als ein E-Mail Programm?

Du kannst als Absender nur bedingt beeinflussen, wie eine HTML-Mail auf dem Gerät des Empfängers aussieht. Es fängt schon damit an, dass Du nicht weißt, wie breit der Bildschirm des Empfängers ist. Einrückungen und Listen können auf einem Smartphone schrecklich aussehen. Die Schriftart bestimmt sowieso der Empfänger - der Absender weiß auch gar nicht, welche Schriftarten auf dem Gerät des Empfängers verfügbar sind.

Es ist ohnehin viel wichtiger, dass ein (längerer) Text vernünftig in Absätze gegliedert ist. Er sollte in verständlichen, nicht zu langen Sätzen in möglichst korrekter Sprache geschrieben sein. Daran hapert es bei Mails, die ich bekomme, immer wieder. Bei solchen Mängeln kann man auch mit Formatierungen nichts mehr retten. Im Gegenteil, irre Formatierungen machen eine schlecht geschriebenen Mail noch schlechter.

Im Übrigen widerspreche ich Dir in dem Punkt, dass Plaintext-Mails hässlich wären. Ich benutze auch Mailclients, die HTML rendern und sehe häufig exakt keinen Unterschied bei der Darstellung von Plaintext- und HTML-Mails.

Das aktive kämpfen dagegen habe ich inzwischen aufgegeben. Zu anstrengend.
Selbst hier gibt es ja Leute, die HTML-Mail bevorzugen.
Ich selbst sende nur Plaintext-mail und schaue mir HTML-Mail nur an, wenn ich mir ziemlich sicher bin, dass sie von einem legitimen Absender kommt, von dem ich eine Antwort erwarte. Leider kann man Firmen heutzutage nicht davon überzeugen, keine HTML-Mail zu senden…
Danke an @bleifrei für die gute Auflistung der Gründe, die gegen HTML-Mail sprechen.