Gestern stolperte ich im Netz über einen Artikel über Email Tracking bei Heise Security. In dem Artikel ging es im wesentlichen darum das die großen deutschen Mail-Provider GMX,Web.de,Freenet,1und1 und T-online in ihren Webinterfaces das Nachladen von diversen Inhalten zulassen. Der Trick ist nicht wirklich neu, dabei werden alle möglichen Inhalte in eine HTML-Mail eingebettet und auf dem Server der abruf dieser Inhalte getrackt. Je nachdem wie kaputt das Emailprogramm bzw das Webinterface des Empfängers programmiert/konfiguriert ist hat diese Methode mal mehr mal weniger Erfolg.
Auf diese weise arbeiten im übrigen auch die meisten Email Vieren, zumindest der Teil der nicht mit .exe bzw .pdf Anhang daher kommt. Lange Rede kurzer Sinn, ich habe mir dann heute mal mein Emailsetup angeschaut und siehe da NIX. Hatte ich zwar so erwartet, aber eine kleine Nachkontrolle hat ja noch nie geschadet. Allen die sich und ihr Setup selbst einmal Überprüfen möchten wird mit dem Email Privacy Tester das passende Werkzeug an die Hand gegeben. Ganz paranoide können das Tool natürlich auch selbst Hosten, den Quelltext gibt es auf Github, mir reicht für diesen kleinen Test allerdings direkt die Webseite (und natürlich meine Spam-Email Adresse 😉 ) Also Email Adresse eingetragen und los gings. Nach wenigen Sekunden hatte ich bereits die Email. In meinem aktuellen Desktop Email-Client „Evolution“ sieht das ganze dann so aus.
Evolution verhält sich an dieser Stelle also sehr vorbildlich, nichts wurde nachgeladen. Keine Verbindungen nach Hause. Schauen wir aber noch einmal kurz auf der Webseite nach.
Einzig die „Queued“ Anzeige stört mich daran ein wenig, doch auch nach einer ganzen Weile änderte sich an der Anzeige nicht so wirklich viel. Sehen wir also diesen Test einmal als Bestanden an. Schauen wir einmal wie sich mein Roundcube so schlägt.
Die Mail sieht schon deutlich anders aus als in meinem Desktop Client, also schauen wir mal auf der Webseite vom Email-Privacy-Tester nach ob sich da in der Zwischenzeit etwas getan hat.
Bis auf den Status „Sent“ hat sich daran nicht wirklich etwas geändert, Roundcube scheint also auch alles richtig zu machen. Bisher hält mein Setup also Stand, als letztes kam mein Iphone an die Reihe. Hier war ich mir dann doch nicht ganz so sicher, wurde aber eines besseren belehrt. Natürlich hatte ich in den Einstellungen das nachladen von Bildern deaktiviert und allein diese Einstellung reichte bereits aus das die Email nicht nach Hause telefonieren konnte. Alles Bestens also.
Was treibt jetzt allerdings unsere großen Emailanbieter dazu in ihren Webinterfaces das Nachladen von Inhalten zu aktivieren und damit die Privatsphäre ihrer Nutzer zu gefährden? Keine Ahnung, die Anbieter versenden zwar selbst Emails mit Trackingfunktion, doch eigentlich sollten sie nicht wirklich Probleme damit haben festzustellen ob ihre Emails in ihrem Eigenen Webinterface geladen werden. bzw. könnten sie ja auch nur das nachladen von ihrer eigenen Domain erlauben. Dies scheint allerdings nicht wirklich der Fall zu sein. Natürlich habe auch ich bei fast jedem dieser Anbieter ein bis zwei Email-adressen. Das Webinterface der Anbieter habe ich allerdings seit einigen Jahren nicht mehr gesehen.
Naja, am Ende stellt sich also doch heraus das man besser alles selber macht wenn es um IT geht. Nach Googlereader, DynDNS und jetzt dem Fiasko bei den Webinterfaces einiger Emailanbieter vergeht mir zumindest so langsam die Lust mich fremden Diensten anzuvertrauen.