E-Mail-Adressen: Minimierung von Sicherheitsrisiken

Die ungeschützte Anzeige von E-Mail-Adressen auf Webseiten kann aus zwei Gründen ein Sicherheitsproblem darstellen:

  1. Automatische Bots (kleine Programm, die permanent im Internet E-Mail-Adressen aus Webseiten heraussuchen) extrahieren E-Mail-Adressen, damit an diese E-Mail-Adressen unerwünschte Werbung (Spam), Viren, Trojaner etc. versendet werden können. 
  2. Einige E-Mail-Adressen erlauben Rückschlüsse auf die dazugehörige RZ-Kennung, mit denen es einfacher wird, die RZ-Kennung zu kompromittieren.

Möglichkeiten zur sicherheitskonformen Anzeige von E-Mail-Adressen in Typo3

Um obige Sicherheitsrisiken zu minimieren, wird das folgende Vorgehen empfohlen:

  1. Nutzen Sie nach Möglichkeit ein LSF-Element
    Dadurch wird die E-Mail-Adresse in den Kontaktdaten vollständig verborgen (und ist auch immer auf dem aktuellen Stand gemäß der Angaben im LSF). Es ist auch möglich, die E-Mail-Adresse in einer lesbaren Form anzuzeigen.
  2. Wenn dies nicht möglich ist, versehen Sie die E-Mail-Adresse im Typo3-Backend mit einer speziellen Markierung. Diese sorgt dafür, dass Typo3 die E-Mail-Adresse in einer verschlüsselten, für Bots zumeist nicht lesbaren Form darstellt. Außerdem kann die Typo3-Administration diese Form bei Bedarf zentral und mit wenig Aufwand an neuste Sicherheitserkenntnisse anpassen. 
  3. Geben Sie generell keine E-Mail-Adressen in der Form <rzkennung>@uni-hildesheim.de an, nutzen Sie besser den standardmäßig vergebenen Alias in der Form vorname.nachname@uni-hildesheim.de oder einen anderen E-Mail-Alias (falls vorhanden). Die für die eigene RZ-Kennung vergebenen E-Mail-Adressen und Aliase können nach der Anmeldung im PWA in den Account-Informationen abgerufen werden.
    Auch wenn die E-Mail-Adresse wie unter 2. vorgeschlagen für Bots in 'verschlüsselter Form' angezeigt wird, ist diese für menschliche Nutzer durchaus lesbar. Leider häufen sich die Fälle, in denen Hacker gezielt einzelne 'interessante' Personen angreifen und dafür auch den Aufwand einer manuellen Erfassung der E-Mail-Adresse betreiben.