Hvad enten du bruger Microsoft Outlook Express, opensourceprogrammet Mozilla Thunderbird eller et andet program til at hente og læse e-mail, bør du allerførst slå html fra, når du læser beskeder. Det virker måske bedre at se på nydeligt formaterede beskeder, men der er flere grunde til at gøre det.

Den vigtigste er måske, at JavaScript og andre aktive webside-komponenter altid har gavnet folkene bag vira og orme ved at udgøre en væsentlig rute til spredning af infektion. Man klikker på en besked, og det ondsindede indhold kører automatisk. Den skade, som det kan medføre for computeren, kan ikke undervurderes.

En af medarbejderne her på redaktionen var engang på et kontor, mens en variant af virussen I Love You var i omløb. En mand ved naboskrivebordet sagde pludselig: »Tænk, der er en, der elsker mig« og dobbeltklikkede på beskeden, før nogen kunne nå at stoppe ham. Det udløste infektionen, der sendte sig selv til hele firmaet og adskillige kunder.

En anden god grund til at bruge ren tekst er, at billederne i en html-e-mail som regel ikke er bundet sammen med selve mailen. De bliver leveret på opfordring fra en anden server. Når man åbner en spammail, ved afsenderen, at man har gjort det, fordi ens handling sender en anmodning til den server, der rummer billedet. Mozilla Thunderbird blokerer som standard billeder og spørger, om man vil se dem. Hvis man vil blokere dem i Outlook Express, skal man vælge »Indstillinger« i Funktioner-menuen. I det vindue, der kommer frem, klikker man på »Sikkerhed« og sikrer sig, at der er krydset af ud for »Bloker billeder og andet eksternt indhold«.

Når man vil læse mail som ren tekst i Outlook Express, skal man vælge »Læsning« og krydse af ud for »Læs alle meddelelser som almindelig tekst«. I Mozilla Thunderbird går man til »View | Message body as« og klikker på »Plain text« i undermenuen,
Når man slår html fra, bliver phishing også nemmere at opdage. Url’en til det link, man formodes at følge, bliver synligt, så man kan se, at det tydeligvis ikke kommer fra banken.

Lad være med at afmelde

Vi melder os alle til en masse ting online, og det er ikke usædvanligt at se, at indbakken er fuld af e-mail og nyhedsbreve, som man faktisk ikke vil have. Det ved spammerne. Hvis du ikke kan huske, at du har tilmeldt dig et site eller en tjeneste, men alligevel begynder at modtage mængder af uønsket mail, skal du holde øje med et tilsyneladende nyttigt link til afmelding. Det er fristende, men lad være med at klikke på det. I stedet for at modtage mindre mail fortæller du spammerne, at din adresse er aktiv – hvilket fører til mere spam.

Når det gælder ondsindet spammail, kan man ved at klikke på et afmeldingslink komme til en webside, der inficerer ens computer via ens webbrowser. Hvis det sker, kan man hurtigt opdage, at man uden at vide af det udspyer spam eller fungerer som del af et botnet.

Det er også vigtigt at hemmeligholde identiteterne bag de folk, man sender e-mail til. Hvis man regelmæssigt sender beskeder til grupper, der ikke nødvendigvis kender hinanden, er det ikke blot høfligt at gemme deres adresser ved hjælp af en modtagerliste.

Man kan komme i uføre, hvis de er forretningskunder. Det er ikke unormalt, at firmaer fisker kunder efter at have opdaget en direkte e-mail-adresse på den måde. Man er forpligtet til at beskytte folks personlige data. Men hvert år afslører virksomheder alligevel hele kundedatabaser over for hinanden ved at føje alle til linjerne Til eller Cc i e-mail, når de sender slagtilbud ud.

Gør webmail sikker

En webmailkonto er fin, hvis man rejser og skal bevare kontakten, eller hvis man vil sikre sig, at man ikke overtræder arbejdspladsens e-mail-regler. Ikke desto mindre bliver millioner af webmailkonti hvert år opgivet af forskellige årsager. Hvis du har planer om at opgive en, som du har brugt meget, og der ikke findes en funktion til helt at slette den, efter at du har videresendt det, du vil gemme, til din nye adresse, skal du altid huske at slette adressekartoteket og din indbakke, før du vælger et vilkårligt kodeord.

Hvis nogle senere gennemtrawler nettet på jagt efter webmailkonti, man kan cracke, udgør de opgivne konti et statisk mål, som software til at cracke kodeord kan arbejde med. Hvis man lader kontoen være tom, har angriberen spildt sin tid, og hvis kodeordet består af vilkårlige tegn, spilder det endnu mere af hans tid. Af hensyn til privatlivets fred skal man altid huske at frakoble alle mekanismer, der videresender mail, før man opgiver kontoen.

Hvis din webmailudbyder har en sikker HTTPS-funktion, skal du altid bruge den. Hvis der ikke er nogen HTTPS-funktion, bør du overveje at skifte udbyder, eller lad i det mindste være med at bruge den browserbaserede grænseflade, hvis det overhovedet er muligt.

HTTPS er en krypteret version af HTTP, der sikrer, at ens beskeder ikke går over internettet som ren tekst. Hvis du bruger webgrænsefladen til udbyderens mailserver, bør du lægge mærke til, at nogle udbydere ikke bruger HTTPS til at læse din indbakke. Disse udbydere bør betragtes som mindre sikre end dem, der gør det. Hvis naboen for eksempel nasser på din wi-fi-forbindelse, kan han læse alt det, du kan læse. Her kan du se, hvordan man bruger HTTPS hos de populære webmailudbydere.

Når man skal bruge HTTPS sammen med Gmail, skal man blot logge ind på sin konto og vælge Settings. Nederst er sektionen Browser Connection. Klik på knappen »Always use HTTPS«. Klik dernæst på »Save Changes«, så bliver hele din forbindelse krypteret.

Yahoo! Mail bruger ikke HTTPS til hele ens forbindelse, men den logger altid ind over HTTPS. Det betyder, at hvis url’en for loginsiden begynder med »http://«, bliver ens session omdirigeret og er ikke pålidelig.

Hvis du vil opdage denne detalje, kan du lave et signin-segl til Yahoo!. Det er et billede eller en besked til dig selv, der ligger på din egen pc, og som Yahoo! inddrager i loginsiden. Den viden har phishingsites ikke, og derfor bliver seglet ikke vist. Hvis det ikke bliver vist, skal man ikke logge på.

En anden sikkerhedsforanstaltning i Yahoo! Mail reducerer den tid, man kan bruge på sin konto, før man bliver logget ud. Under »My Account« klikker du »Member Information | Edit« og vælger »Prompt for Password«. Lav indstillingen om til et tidsrum, der passer dig. Så forbliver du ikke logget på, længe efter at du er færdig med at læse din e-mail – selv om du glemmer at logge ud igen.

Hotmail bruger heller ikke automatisk HTTPS til andet end at sende ens kodeord. Når man logger ind, skal man simpelthen klikke på teksten »Use enhanced security«, så burde Hotmail bruge HTTPS til al kommunikation i denne og alle fremtidige sessioner.

Phishing breder sig

Selv om folk hyppigt falder for phisingteknikker, der meddeler, at deres »bank« øjensynlig beder dem om at bekræfte deres oplysninger, er der nu en langt mere overbevisende svindel i omløb.

Hvis man ejer et domæne, er det ikke usandsynligt, at nogle, der hævder at være en domæneregistrant, kontakter en og meddeler, at de har fået en klage over, at ens oplysninger er »ufuldkomne«. Det virker. Selv om man ikke burde gøre det, er nogle mennesker upræcise med deres kontaktadresse, når de registrerer deres domæner. De gør det for at beskytte sig selv. Men e-mailen kommer bestemt ikke fra registranten:

Den kommer fra en phisher med software, der gennemtrawler de globale adressedatabaser på jagt efter e-mail-adresser. De mail, man ser derude, refererer somme tider også til tidligere adresser, og datoerne stemmer. Lad dig ikke narre – klik aldrig på linket i mailen. Gå direkte til dine domæneregistrants website, hvis du har brug for at undersøge det.

Sådan skal du gøre...

Lav sikre kodeord
Når du skal generere et komplekst kodeord, der er nemt at huske, tager du det første bogstav i hvert ord i den første linje i din yndlingssang og indsætter tal i stedet for vokaler (3 for E og så videre). Når det skal ændres, laver du simpelthen en ny streng ud fra næste linje i sangen.

Hvis man har flere onlinekonti, kan en god strategi være at generere kodeord ud fra det sikkerhedsspørgsmål, man forbinder dem med. Sæt et vrøvleord foran kodeordet eller et akronym som det ovenfor beskrevne. Så bliver det langt stærkere.

Man kan teste, hvor sikkert et kodeord er, med en password-strength-checker. Den undersøger kodeordet og søger en række funktioner, der sinker angriberne. I boksen til højre kan du finde adresserne på Microsofts bud.