Phishing-Melde-Plugins

Installations- und Bedienungsanleitung

Einsatzzweck

Mit Hilfe der vom TUD-CERT bereitgestellten Erweiterungen für E-Mail-Clientsoftware können betrügerische und bösartige E-Mails schnell und unkompliziert gemeldet werden. Hierunter fallen insbesondere sog. Phishing-Mails, mit denen Angreifer versuchen an Informationen wie Zugangsdaten und persönliche Daten zu gelangen. Auch E-Mails mit möglicherweise schadhaftem Anhang wie unbekannten ausführbaren Dateien oder schadhaften Office-Makros können somit gemeldet werden. Das TUD-CERT prüft die eingehenden Meldungen und ergreift ggf. Gegenmaßnahmen.

Phishing-Melde-Plugins stehen derzeit für folgende E-Mail-Clients zur Verfügung:

Die Plugins sind NICHT dazu geeignet, Werbemails und sonstigen Spam zu melden. E-Mails, die bereits vom Spamfilter korrekt erkannt und automatisch in das Spam/Junk-Verzeichnis einsortiert wurden, sind ebenfalls nicht von Interesse. Als Faustregel für die Abgrenzung gilt, dass Mails von unbekannten Absendern mit fragwürdigen dringlichen Handlungsaufforderungen (z.B. “klicken Sie hier, um Ihr Konto zu entsperren”) oder verdächtigen Links meldewürdig sind.

Einige häufig gestellte Fragen zu den Plugins beantworten wir in den FAQ am Ende dieses Dokuments.

Microsoft Outlook

Plugin aktivieren

Das Melde-Plugin ist standardmäßig für alle Postfächer an der TU Dresden aktiviert und wird bei der Nutzung von Outlook automatisch nachgeladen. Eine gesonderte Installation ist nicht erforderlich.

Melden verdächtiger E-Mails

Um mit Microsoft Outlook verdächtige E-Mails an das TUD-CERT zu melden, wählen Sie die betreffende E-Mail mit einem Klick aus und klicken Sie anschließend auf den Button E-Mail melden, der ganz rechts im Menüband erscheint:

Screenshot des Melde-Buttons im Outlook Ribbon

Es stehen drei Optionen zur Auswahl:

  • Als Phishing/Betrug melden...: Hiermit melden Sie potenziell bösartige E-Mails, hinter denen Sie einen Betrugsversuch vermuten. Nutzen Sie diese Funktion auch, wenn Sie verunsichert über die Legimität einer E-Mail sind und eine Rückmeldung vom TUD-CERT wünschen.
  • Als Spam melden: Hiermit gemeldete E-Mails werden intern als Werbung klassifiziert und perspektivisch zum Trainieren des Spam-Filters genutzt. Es erfolgt keine weitere Nachfrage und die E-Mail wird automatisch in ihren Junk-Ordner verschoben.
  • Konfigurieren...: Ermöglicht das Verhalten des Add-Ins anzupassen. In der aktuellen Version können Sie wählen, ob und in welchen Ordner als potentiell bösartig gemeldete E-Mails automatisch nach der Meldung verschoben werden sollen.

Wenn Sie das Add-In erstmalig nutzen, erscheint unter Umständen eine Nachfrage wie die nachfolgend dargestellte:

Screenshot des Bestätigungsdialogs der vom Add-In angeforderten Berechtigungen

Es handelt sich hierbei um einen Hinweis von Outlook, dass das Add-In auf Inhalte Ihres Postfachs zugreifen kann, was für das Melden von E-Mails unabdingbar ist. Um das Add-In nutzen zu können, müssen Sie die Nachfrage mittels Ok bestätigen. Sie sollte anschließend nicht erneut erscheinen.

Wenn Sie eine E-Mail mit der ersten Option als potenziell bösartig melden, erscheint ein Meldeformular in der Sidebar, über das Sie bei Bedarf Ihrer Meldung einen Kommentar wie beispielsweise eine Nachfrage an das TUD-CERT beifügen können:

Screenshot des Phishing-Melde-Formulars unter Outlook

Mit einem Klick auf Meldung abschicken wird im Hintergrund automatisch eine E-Mail an das TUD-CERT mit Ihrer Meldung versandt und der Vorgang ist abgeschlossen. Falls die Meldung nicht erfolgreich versandt werden konnte, vergewissern Sie sich zunächst, dass eine funktionierende Internetverbindung besteht und versuchen Sie es dann erneut. Falls auch nach mehrmaligen Versuchen keine Meldung möglich ist, melden Sie uns dies bitte per Mail zusammen mit der angezeigten Fehlermeldung an cert@tu-dresden.de.

Standardmäßig wird die gemeldete E-Mail zudem in Ihr Junk-Verzeichnis verschoben. Falls Sie dieses Verhalten anpassen möchten, öffnen Sie erneut das Add-In-Menü mit einem Klick auf den Button E-Mail melden und wählen Sie nun Konfigurieren..., woraufhin nachfolgender Konfigurations-Dialog erscheint:

Screenshot des Add-In-Konfigurationsdialogs

Gemeldete E-Mails können wahlweise in das Junk-Verzeichnis, den Papierkorb oder überhaupt nicht verschoben werden.

Plugin deaktivieren

Zur Deaktivierung des Outlook-Plugins folgen Sie den Schritten zur Deaktivierung des Plugins im Webmail-Portal.

Webmail-Portal

Plugin aktivieren

Das Melde-Plugin ist standardmäßig für alle Postfächer an der TU Dresden aktiviert und wird bei der Nutzung des Webmail-Portals automatisch nachgeladen. Eine gesonderte Installation ist nicht erforderlich.

Melden verdächtiger E-Mails

Der Melde-Prozess im Webmail-Portal der TU Dresden verläuft analog zum Meldeprozess in Outlook, die Dialoge und Formulare sind identisch. Lediglich der Melde-Button selbst befindet sich an einer anderen Stelle. Wenn Sie eine E-Mail, die Sie melden möchten, geöffnet haben, erscheint links neben dem Button Allen antworten ein kleines blaues Logo des TUD-CERT. Wenn Sie darauf klicken, erscheint dasselbe Menü, das Sie in Microsoft Outlook im Menüband vorfinden mit den zuvor bereits beschriebenen Optionen:

Screenshot des Add-In-Buttons im Webmail-Portal der TU Dresden

Plugin deaktivieren

Das Melde-Plugin für Outlook und das Webmail-Portal kann ausschließlich im Webmail-Portal der TU Dresden deaktiviert (oder erneut aktiviert) werden. Melden Sie sich an und klicken Sie im Einstellungs-Menü in der oberen rechten Ecke des Browserfensters auf Add-Ins verwalten:

Screenshot der 'Add-Ins verwalten'-Option im Webmail-Portal

Es erscheint eine Liste verfügbarer Add-Ins. Über den Haken in der Spalte Aktiviert des Add-Ins Phishing Report des Providers TUD-CERT können Sie das Melde-Plugin aktivieren oder deaktivieren:

Screenshot der Add-In-Liste im Webmail-Portal

Es ist mitunter nötig Outlook neu zu starten, damit diese Änderung wirksam werden.

Mozilla Thunderbird ESR

Installation

Das Plugin für Mozilla Thunderbird ESR erfordert mindestens Thunderbird in Version 115.0 und ist kompatibel mit neueren Versionen.

Hinweis: Mozilla Thunderbird wird in zwei “Kanälen” veröffentlicht - entweder monatlich oder als jährliche ESR-Version (Extended Support Release), die über einen längeren Zeitraum hinweg mit Updates versorgt wird. Wir halten unser Plugin ausschließlich mit den ESR-Versionen kompatibel, da der Mehraufwand zum Schritthalten mit den monatlichen Releases derzeit unsere Ressourcen übersteigt.

Das Plugin steht auf der offiziellen Webseite für Mozilla-Thunderbird-Add-Ons zum Download bereit und kann somit sowohl unter Windows, macOS als auch Linux direkt aus Thunderbird heraus installiert werden. Die folgende Anleitung zeigt den Installationsprozess unter Windows, die Schritte unter anderen Betriebssystemen ähneln sich jedoch stark.

Starten Sie Mozilla Thunderbird, wählen Sie den E-Mail-Tab aus und klicken Sie am rechten Fensterrand auf das Menüsymbol. Klicken Sie dann im erscheinenden Menü auf den Eintrag Add-ons und Themes:

Screenshot der Navigation zur Add-on-Verwaltung

Es öffnet sich der Tab Add-ons-Verwaltung. Suchen Sie im Feld “Weitere Add-ons finden” nach TUD-CERT und bestätigen Sie den Suchauftrag mit der Enter-Taste:

Screenshot der Add-on-Suche

In der Ergebnisliste suchen Sie nun nach dem Plugin TUD-CERT Phishing Report und klicken auf den Button Zu Thunderbird hinzufügen.

Screenshot des Hinzufügens eines Add-ons

Ein weiterer Dialog bittet noch einmal explizit um Erlaubnis der Installation.

Hinweis: Das Plugin benötigt laut der Dialogbox “vollständigen Zugriff auf Ihren Computer”. Aus technischen Gründen ist eine Einschränkung dieser Rechte derzeit in Thunderbird noch nicht möglich, da das Plugin die Meldungen im Hintergrund als E-Mail versendet, was innerhalb von Thunderbird nur mit vollumfänglichen Rechten möglich ist. Mozilla beschreibt die zugrundeliegenden Ursachen auf ihren Hilfe-Seiten. Damit diese umfassenden Rechte nicht missbraucht werden, durchläuft unser Melde-Plugin vor der Veröffentlichung den manuellen Review-Prozess von Mozilla. Zusätzlich haben wir den Quellcode unter einer freien Lizenz veröffentlicht.

Bestätigen Sie die Installation mit einem Klick auf Hinzufügen:

Screenshot der Add-on-Installation

Danach ist das Plugin aktiv und kann direkt verwendet werden.

Optional: Um das Verhalten des Plugins an Ihre Bedürfnisse anzupassen, können Sie eigene Einstellungen vornehmen. Klicken Sie hierfür in der Add-ons-Verwaltung neben dem Plugin TUD-CERT Phishing Report auf das Werkzeug-Symbol. Es werden daraufhin weitere Einstellungen sichtbar. Konkret können Sie wählen, ob eine gemeldete E-Mail nach der Meldung automatisch ins Junk-Verzeichnis oder den Papierkorb verschoben oder alternativ in ihrem Verzeichnis beibehalten werden soll. Wenn Sie Änderungen an diesen Einstellungen vorgenommen haben, klicken Sie anschließend auf den Button Speichern.

Screenshot der Add-on-Einstellungen

Melden verdächtiger E-Mails

Um verdächtige E-Mails an das TUD-CERT zu melden, wählen Sie die betreffende E-Mail mit einem Klick aus und klicken Sie im Vorschaufenster der E-Mail auf den Button mit der Aufschrift Melden, wie im nachfolgenden Screenshot dargestellt:

Screenshot des Melde-Dropdowns für eine E-Mail in Thunderbird

Es stehen die folgenden Optionen zur Auswahl:

  • Als Phishing/Betrug melden...: Hiermit melden Sie potenziell bösartige E-Mails, hinter denen Sie einen Betrugsversuch vermuten. Nutzen Sie diese Funktion auch, wenn Sie verunsichert über die Legimität einer E-Mail sind und eine Rückmeldung vom TUD-CERT wünschen.
  • Als Spam melden: Hiermit gemeldete E-Mails werden intern als Werbung klassifiziert und perspektivisch zum Trainieren des Spam-Filters genutzt. Es erfolgt keine weitere Nachfrage und die E-Mail wird automatisch in ihren Junk-Ordner verschoben.

Wenn Sie eine E-Mail mit der ersten Option als potenziell bösartig melden, erscheint ein Popup, über das Sie bei Bedarf Ihrer Meldung einen Kommentar wie beispielsweise eine Nachfrage an das TUD-CERT beifügen können:

Screenshot des Meldepopups einer Phishing-E-Mail in Thunderbird

Mit einem abschließenden Klick auf den Button Meldung abschicken wird die gewählte E-Mail an das TUD-CERT gemeldet, was einige Sekunden dauern kann. Falls die Meldung nicht erfolgreich versandt werden konnte (es erscheint eine entsprechende Meldung), vergewissern Sie sich zunächst, dass eine funktionierende Internetverbindung besteht und versuchen Sie es dann erneut. Falls auch nach mehrmaligen Versuchen keine Meldung möglich ist, melden Sie uns dies bitte per Mail an cert@tu-dresden.de.

FAQ

Warum erscheint der Button des Melde-Add-Ins nicht, obwohl das Add-In aktiviert ist?

Microsoft Outlook fragt den Server nur periodisch nach aktivierten Add-Ins ab, weshalb es nach der Aktivierung einige Zeit dauern kann bis der Button tatsächlich im Menüband erscheint. Mitunter hilft ein Neustart von Outlook, andernfalls nur Geduld. Beachten Sie zusätzlich, dass digital signierte oder verschlüsselte E-Mails aus technischen Gründen im Webmail-Portal gar nicht und nur mit neueren Outlook-Versionen gemeldet werden können (siehe auch den nachfolgenden Eintrag).

Können digital signierte oder verschlüsselte E-Mails gemeldet werden?

Das hängt vom eingesetzten E-Mail-Client ab. Aus technischen Gründen ist es nicht möglich, digital signierte oder verschlüsselte E-Mails im Webmail-Portal oder unter Outlook 2016 zu melden. Outlook 2021 und 2024 unterstützen hingegen das Melden digital signierter E-Mails.

Ich nutze noch das alte Phishing-Melde-Plugin für Outlook, sollte ich wechseln?

Unser altes Phishing-Melde-Plugin, das ausschließlich für Office unter Windows zur Verfügung stand, wird vom Hersteller nicht mehr weiterentwickelt. Es bleibt vorerst funktionsfähig, wir raten aber zur Deinstallation und Nutzung des auf dieser Website beschriebenen Plugins, das zusätzlich auch im Webmail-Portal und unter macOS nutzbar ist und ohne Installation auskommt.

Screenshot des alten Melde-Plugins

Die Deinstallation des alten Windows-Plugins können Sie in den Systemeinstellungen unter Apps und Features selbstständig vornehmen, das Produkt heißt dort Lucy Report Addon. Alternativ kontaktieren Sie die für Sie zuständigen Admins.

Screenshot der Installationsroutine des alten Melde-Plugins

Warum werden gemeldete E-Mails im Webmail-Portal manchmal nicht sofort verschoben?

Wenn Sie unmittelbar nach dem Login (typischerweise innerhalb der ersten 30 Sekunden) im Webmail-Portal E-Mails mit dem Plugin melden, scheinen diese nicht korrekt in das Junk-Verzeichnis oder den Papierkorb verschoben zu werden (je nach Konfiguration). Dabei handelt es sich um einen Fehler des Webmail-Portals, bei dem die E-Mail auf dem Server tatsächlich bereits verschoben wurde, dieser Zustand aber falsch dargestellt wird. In dem Fall hilft es die Website einmal bspw. durch Drücken der Taste F5 zu aktualisieren.

Wohin kann ich mit Feedback oder Problemen wenden?

Bitte senden Sie Nachfragen, Probleme oder Verbesserungsvorschlägen per E-Mail an cert@tu-dresden.de.