Mike Kuketz
24. Februar 2021 | 18:45 Uhr

GMX: Protokolliert der Anbieter alle angeklickten Links in E-Mails?

Im Beitrag »E-Mail-Anbieter: Verabschiedet euch von GMX, Web.de und weiteren FreeMail-Werbeplattformen« hatte ich aufgezeigt, wie werbe- und trackingverseucht die FreeMailer GMX und Web.de sind. Zu Testzwecken habe ich mir auch mal einen Account geklickt und mir eine E-Mail mit Text und Links zugeschickt.

Im Webinterface von GMX bekommt ein Link einen sogenannten Dereferer angehängt. Aus:

https://www.heise.de/news/Investorenschreck-EU-fuehlt-sich-gegen-Gamestop-Fall-besser-gewappnet-5063670.html

wird dann:

https://deref-gmx.net/mail/mobile/1qeKSMrzSQA/deref/?redirectUrl=https%3A%2F%2Fwww.heise.de%2Fnews%2FInvestorenschreck-EU-fuehlt-sich-gegen-Gamestop-Fall-besser-gewappnet-5063670.html

Es wird also der Dereferer https://deref-gmx.net/mail/mobile/1qeKSMrzSQA/deref/?redirectUrl= vorangestellt.

Nach dem Anklicken wird der Link dann natürlich an GMX übermittelt:

GMX Dereferer
In der FAQ von GMX findet sich dann etwas zu dieser Praktik: Warum wird die Dereferer-Webseite zwischengeschaltet?:

Google und andere Dienste führen eine sogenannte Blacklist, die Webseiten mit unsicheren Web-Inhalten auflisten. Sobald Sie auf den externen Link in Ihrer E-Mail klicken, wird die Ziel-URL mit der Blacklist abgeglichen. Ist die Ziel-URL dort nicht gelistet, werden Sie auf die Dereferer -Webseite weitergeleitet, die sie lediglich darüber informiert, dass sie eine Internetseite öffnen, die außerhalb Ihres GMX Postfachs liegt.

Wird bei dem Abgleich allerdings festgestellt, dass die Ziel-URL auf der Blacklist aufgeführt ist, werden Sie nach der Dereferer-Webseite auf eine Sicherheitsseite weitergleitet, die Sie über die potentielle Bedrohung informiert.

Daraus könnte man nun mitnehmen:

Ach, Google macht das auch? Na dann wird es ja okay sein…

Bei Gmail konnte ich das Verhalten allerdings nicht nachstellen – also dort wird vor die Links kein Dereferer gesetzt. Was aber nicht heißen muss, dass Google Links nicht anders prüft. Google liest eure E-Mails sowieso automatisiert mit.

Kommen wir nun aber nochmal zurück zu dieser »Sicherheitsfunktion«. Es ist ja löblich, dass GMX so um die Sicherheit seiner Nutzer besorgt ist, allerdings ist die Prüfung auf schädliche Links meist im Browser verankert. Browser wie Chrome, Firefox oder Safari nutzen dafür Google Safe Browsing. Hier erfolgt die Prüfung auf schädliche Links übrigens lokal im Kontext des Browsers und wird nicht an Google bzw. einen Dritten übermittelt. Die von GMX gewählte Variante halte ich aus unterschiedlichen Gründen für zweifelhaft:

  • URLs bzw. Links können auch sensible Informationen wie Anmeldedaten beinhalten oder Rückschlüsse auf Nutzer zulassen. Im Rahmen der Reportage »Nackt im Netz: Millionen Nutzer ausgespäht« wurden sogar Bundestagsabgeordnete deanonymisiert, weil Links sensible Informationen beinhalteten. Auslöser dafür war übrigens das Browser-Plugin »Web of Trust« (ein Sicherheits-Add-on).
  • Es ist kaum notwendig die gesamte URL inkl. aller Parameter zu übermitteln. Eine Prüfung der Domain sollte ausreichend sein, um zu beurteilen, ob die Website schadhafte Inhalte ausliefert.
  • Was macht GMX mit den Links? Findet lediglich eine Prüfung gegen eine Blacklist statt? Wie lange werden die URLs gespeichert und wer hat darauf Zugriff?

Die Übermittlung von URLs bzw. Links an Dritte ist aus Datenschutzperspektive meist keine gute Idee. Dessen solltet ihr euch bewusst sein. Solche »Sicherheitsfunktionen« sollte man mit Vorsicht genießen, denn sie sind ein zweischneidiges Schwert, die auch datenschutzfreundlicher umgesetzt werden können.

Ich wiederhole meine Empfehlung gerne nochmal:
Ich kann nur jedem empfehlen diesen FreeMail-Anbietern den Rücken zu kehren – das gilt übrigens nicht nur für GMX und Web.de. Es gibt vernünftige, datenschutzfreundliche und sichere E-Mail-Anbieter wie mailbox.org oder Posteo. Weitere Informationen dazu in der Empfehlungsecke.

Du kannst den Blog aktiv unterstützen! Mitmachen ➡
Ähnliche Beiträge
Bye Gmail
22. März 2021

Adieu Gmail, GMX, Outlook und Co. – E-Mails unter Kontrolle Teil1

Die Abkehr von einem FreeMailer wie Gmail, GMX, Outlook und Co. ist ein erster Schritt zu mehr digitaler Selbstbestimmung.
Microsoft Edge
17. Mai 2021

Microsoft Edge: Datensendeverhalten Desktop-Version – Browser-Check Teil4

Der Browser Microsoft Edge ist ein schwerer Datenschutzunfall. Selbst im privaten Modus wird die komplette URL in die Microsoft-Cloud übermittelt.
Chrome
16. November 2021

Google Chrome: Datensendeverhalten Desktop-Version – Browser-Check Teil21

Der Google Chrome Browser: Schnell und sicher, aber garantiert ein Fehlgriff für datenschutzsensible Nutzer.
Vertraulichkeit aufgehoben
27. Juli 2022

Spam statt Mülleimer: Öfter, als man denkt, landen vertrauliche E-Mails bei den Mitarbeitern von E-Mail-Anbietern

Wer E-Mails an Outlook verschickt, muss man damit rechnen, dass Fremde die E-Mail im Volltext lesen.
Identity-Theft
5. Dezember 2021

Tracking durch Identitätsprovider

Nach den Cookies kommen die Identitätsprovider. Wir testen Datenschutz und Verbreitung der weltweiten Login-Matrix in Deutschland.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.