Änderungen an der Funktionalität durch Microsoft Windows XP Service Pack 2

Teil 4: E-Mail-Handhabungstechnologien

Veröffentlicht: 10. Jan 2005
Von Starr Andersen, technischer Autor; Vincent Abella, technischer Redakteur

Es handelt sich bei diesem Dokument um Teil 4 von "Änderungen an der Funktionalität durch Microsoft Windows XP Service Pack 2". Dieser Teil enthält detaillierte Informationen zu den in Windows XP Service Pack 2 enthaltenen E-Mail-Handhabungstechnologien.

Dieses Dokument gilt für Microsoft® Windows® XP Service Pack 2 (SP2) für die 32-Bit-Versionen von Windows XP Professional und Windows XP Home Edition. Es werden nicht alle im Service Pack enthaltenen Änderungen beschrieben. Vielmehr werden diejenigen Änderungen hervorgehoben, die sich am stärksten auf die Verwendung von Windows XP SP2 auswirken. Zudem werden Referenzen für möglicherweise verfügbare zusätzliche Informationen bereitgestellt.

Outlook Express

Welche neue Funktionalität wurde in Windows XP Service Pack 2 für diese Funktion hinzugefügt?

Unformatierter Textmodus

Detaillierte Beschreibung

Die Funktion für den unformatierten Textmodus von Outlook Express bietet Benutzern die Möglichkeit, eingehende Nachrichten in unformatiertem Text anstelle von Hypertext Markup Language (HTML) zu bearbeiten. Wenn Outlook Express im unformatierten Textmodus ausgeführt wird, wird die Rich Edit-Steuerung anstelle der MSHTML-Steuerung verwendet. Durch Verwendung der Rich Edit-Steuerung vermeiden Sie einige Sicherheitsprobleme, die bei der Verwendung von MSHTML auftreten.

Warum ist diese Änderung wichtig?

Die Verwendung der Rich Edit-Steuerung bietet eine zusätzliche Barriere für bösartigen Code, der mithilfe von E-Mail übertragen wird. Computer unter früheren Versionen von Windows XP hatten eine Schwachstelle gegenüber bösartigem Code, weil Outlook Express HTML-Headerskripts im HTML-Inhalt ausführt. Die MSHTML-Steuerung führt diese Skripts automatisch aus. Die Rich Edit-Steuerung führt keine HTML-Skripts aus; somit wird das Risiko minimiert. Weil E-Mail mit unformatiertem Text nicht voraussetzt, dass die HTML-Headerverarbeitung ordnungsgemäß angezeigt wird, kommt es kaum zu sichtbaren Unterschieden durch diese Verarbeitungsänderung in Standardnachrichtenformaten. Teile von E-Mails, die möglicherweise nicht richtig dargestellt werden, sind von HTML-Rendering abhängig und können eine Gefahr für Ihr System darstellen.

Worin bestehen die funktionalen Unterschiede?

Die folgenden Outlook Express-Funktionen sind nicht verfügbar, wenn in unformatiertem Textmodus gearbeitet wird:

Ändern der Textgröße zu einer größeren oder kleineren Schriftart.

Volltextsuche auf dem Textkörper einer E-Mail.

Sie können den unformatierten Textmodus u. U. folgendermaßen konfigurieren:

Lesen einer Nachricht.

Klicken Sie in Outlook Express im Menü Extras auf Optionen, und klicken Sie dann auf die Registerkarte Lesen. Aktivieren Sie das Kontrollkästchen Alle Nachrichten als Nur-Text lesen.

Verfassen einer Nachricht.

Klicken Sie in Outlook Express im Menü Extras auf Optionen, und klicken Sie dann auf die Registerkarte Senden. Wählen Sie unter Format für "Nachricht Senden" die Option Nur-Text aus.

Mit einer neuen Menüoption.

Klicken Sie im Menü Ansicht auf Nachricht in HTML.

Mithilfe dieses neuen Menüelements wird bezüglich der aktuellen Nachrichtenansicht zu HTML gewechselt, wenn es sich aktuell um die Nur-Text-Ansicht handelt, sowohl in der Vorschau als auch in der vollständigen Nachrichtenansicht.

Wie löse ich diese Probleme?

Wenn Sie sicher sind, dass die Quelle einer E-Mail vertrauenswürdig ist und Sie die vollständigen Funktionen verwenden möchten, die mit der MSHTML-Steuerung zur Verfügung gestellt werden, um Rich-HTML-E-Mail zum Lesen oder Entwerfen zu unterstützen, können Sie zum HTML-Modus wechseln, indem Sie die Ansichtsmenüoptions-Prozedur verwenden, wie unter "Mit einer neuen Menüoption" dargestellt.

Begrenzung externer HTML-Inhaltsdownlaods

Detaillierte Beschreibung

Diese Outlook Express-Funktion hilft Benutzern dabei, keine wiederholten Spam-Mails zu erhalten, indem der Benutzer davon abgehalten wird, unwissentlich dem Spamurheber seine E-Mail-Adresse mitzuteilen. Unternehmen, die Spam als Marketingtechnik verwenden, schließen meistens in der E-Mail Hyperlinks auf Bilder auf ihren Webservern ein. Einige dieser Spam-E-Mails enthalten Einzelpixelbilder, die für den Empfänger nicht sichtbar sind, sodass sich der Empfänger nicht darüber bewusst ist, das bösartiger Inhalt enthalten sein kann. Wenn der Benutzer eine E-Mail öffnet, die ein Bild enthält, wurde von früheren Versionen von Outlook Express automatisch Kontakt zu dem Webserver aufgenommen, um die Bilder zu downloaden und anzuzeigen. Wenn die Anforderung für das Bild an den Webserver gerichtet wurde, konnte der Webserver bestimmen, dass eine Spam-E-Mail von einem aktiven E-Mailkonto empfangen wurde, das die E-Mail-Adresse in der Verteilerliste des Spamurhebers überprüfte. Wenn nun das Downloaden von externem HTML-Inhalt deaktiviert wird, ändert sich das Standardverhalten von Outlook Express, sodass kein Kontakt zum Webserver aufgenommen wird, um externen Inhalt zu downloaden. Dies hilft dabei, die Überprüfung der E-Mail-Adresse durch den Spamurheber zu verhindern. Dieses Downloadverhalten ist konfigurierbar und standardmäßig aktiviert, wenn Sie Windows XP Service Pack 2 installieren.

Diese Funktion ist auch beim Beheben eines weit verbreiteten Problems hilfreich, das bei der Verwendung von DFÜ-Verbindungen auftritt. Wenn Benutzer vor der Implementierung dieser Funktion ihre E-Mails gedownloadet und dann ihre Netzwerkverbindung unterbrochen haben, begann das Modem beim Versuch, HTML-Nachrichten mit Bildern oder anderem externen Internetinhalt anzuzeigen, automatisch zu wählen, um den externen Inhalt zu downloaden.

Warum ist diese Änderung wichtig?

Diese Funktion erhöht den Datenschutz, der für Benutzer von Outlook Express angeboten wird. Ihre E-Mail-Adressen werden nicht automatisch ohne ihr Wissen durch den Webserver von Spamurhebern überprüft, wenn eine Spam-E-Mail geöffnet wird. Das Verwenden dieser Funktion kann folgende Vorteile bieten:

Der Benutzer erhält weniger Spam.

Der Benutzer wird weniger durch dem Empfang von Spam abgelenkt.

Die Versuche durch ein Benutzermodem, automatisch wieder eine Verbindung zum Internet herzustellen, nachdem eine HTML-E-Mail empfangen wurde, nehmen ab.

Worin bestehen die funktionalen Unterschiede?

Das Implementieren dieser Funktion in Outlook Express hilft bei der Vermeidung des Renderns von Bildern in HTML-E-Mails, wenn die Bilder von Servern abgerufen werden müssen, die sich entweder im Internet oder in begrenzten Webinhaltszonen befinden. Durch das neue Standardverhalten wird der Benutzername nicht von der Website überprüft, die die Bilder hostet, womit der E-Mail-Name des Benutzers weniger nützlich für Spamabsender wird. Dies kann dazu führen, dass der Benutzer auf lange Sicht weniger Spam erhält.

Um anzuzeigen, dass diese Bilder fehlen, wird jetzt im Outlook Express-Nachrichtenfenster und im Vorschaubereich eine Informationsleiste für externe Nachrichten eingeblendet. Diese Informationsleiste für externe Nachrichten wird immer dann angezeigt, wenn eine Nachricht Verweise auf externen Internetinhalt enthält, wie beispielsweise Bilder oder Skript, und die Optionen auf das Rendern der Nachricht in HTML festgelegt sind.

Wenn von Outlook Express Inhalt blockiert wird, wird das tatsächliche Bild durch den Standardplatzhalter für das blockierte Bild im Text der E-Mail-Nachricht ersetzt. Bilder sind die einzigen blockierten Elemente, die einen sichtbaren Hinweis darauf geben, das etwas nicht angezeigt wird. Für Klänge, IFrames und anderen Inhalt gibt es keinen sichtbaren Hinweis im Text der E-Mail-Nachricht. Wenn Benutzer eine HTML-E-Mail drucken, die blockierten Inhalt enthält, wird die E-Mail von Outlook Express genau so gedruckt, wie sie auf dem Bildschirm angezeigt wird, mit einem Platzhalter für die blockierten Bilder. Der externe Inhalt wird nicht gedownloadet.

Ein zusätzlicher Vorteil dieser Funktion besteht darin, dass ein häufiges Wählproblem des Benutzers minimiert wird: unerwünschte, automatische DFÜ-Netzwerkverbindungsversuche. Wenn eine HTML-E-Mail offline angezeigt wird, würden frühere Versionen von Outlook Express automatisch wählen, um eine Verbindung zum Internet herzustellen und alle Referenzbilder zu downloaden. Weil allerdings die meisten externen HTML-Referenzen in einer E-Mail auf Ressourcen im Internet verweisen, die Teil der Internetzone sind, wird der Inhalt nicht standardmäßig angezeigt, und es wird keine DFÜ-Netzwerkverbindung verlangt.

Wie löse ich diese Probleme?

Um den gesamten externen Inhalt zu blockieren, zeigen Sie im Menü Extras auf Optionen und klicken dann auf Sicherheit. Deaktivieren Sie das Kontrollkästchen Bilder und andere externe Inhalte in HTML-E-Mail sperren. Von diesem Punkt an wird kein Inhalt blockiert, wodurch von Outlook Express wieder automatisch externer Inhalt gedownloadet wird.

Um ausdrücklich externen Inhalt für eine E-Mail zu downloaden, klicken Sie auf die Informationsleiste für externe Nachrichten, um den externen Inhalt zu downloaden, der in der Nachricht enthalten ist.

Attachment Execution Service-API-Integration

Beschreibung

In Outlook Express ist jetzt eine neue Reihe von APIs (Application Programming Interfaces, Anwendungsprogrammierschnittstellen) integriert, der so genannte Attachment Execution Service (AES), der dazu dient, E-Mail-Anhänge zu überprüfen. Damit wird es Anwendungen ermöglicht, benutzerdefinierten Code zu eliminieren, der ähnliche Sicherheitsüberprüfungen ausführt. Stattdessen vertrauen die Anwendungen diesem zentral verwalteten API-Satz. Die Verwendung von AES bietet Benutzern Konsistenz bezüglich aller Anwendungen, die die Sicherheit einer Anlage überprüfen.

Warum ist diese Änderung wichtig?

Eine einheitlichere Herangehensweise bei der Anlagesicherheit ist für alle Windows-Anwendungen wichtig. Benutzern wird so ein konsistentes Erscheinungsbild in Bezug auf die Sicherheitsüberprüfungen geboten, die auf Anhänge angewendet werden.

Worin bestehen die funktionalen Unterschiede?

Neben dem konsistenten Erscheinungsbild sind für den Benutzer keine weiteren Veränderungen sichtbar.

Muss ich meinen Code ändern, um mit Windows XP Service Pack 2 zu arbeiten?

Es gibt eine Reihe von Funktionalitätsunterschieden, die sich Entwickler bewusst machen sollten.

Wenn API-Namen zur Verfügung gestellt werden, handelt es sich um die AES-API. Wenn die Einstellung Speichern oder Öffnen von Anlagen, die möglicherweise einen Virus enthalten könnten, nicht zulassen deaktiviert ist, wird von Outlook Express SetReferer() aufgerufen und http://URL als Parameter übergeben. Dies geschieht, damit der nachfolgende Aufruf von CheckPolicy() davon ausgeht, dass sich Outlook Express in der Internet-Webinhaltszone befindet. AES unterscheidet anders, abhängig davon, ob sich der Aufruf im Kontext des Internets oder beschränkter Sicherheitszonen befindet. Die folgenden Abschnitte bieten Übersichten über verschiedene Verhaltensweisen, die die AES-API unterstützt:

Verhalten bei der Vorschau einer Nachricht mit einer Anlage

Bevor der Vorschaubereich gerendert wird, wird CheckPolicy() aufgerufen, um den Status der Menüoptionen, die dem Anlagesymbol in der Vorschaubereichsüberschrift zugeordnet sind, und die korrespondieren Aktionen wie folgt zu bestimmen:

Wenn von CheckPolicy() E_Fail (gefährliche Anlage) S_OK oder S_False (sichere Anlage) zurückgegeben wird, besteht keine Änderung gegenüber der vorherigen Funktionalität von Outlook Express.

Durch das Öffnen der Anlage wird die Datei temporär gespeichert und dann Execute() aufgerufen, um die Datei auszuführen, statt den aktuell verwendeten Aufruf ShellExecute() zu benutzen.

Wenn Execute() fehlschlägt, werden nachfolgende Benutzeraktionen durch AES gehandhabt.

Wenn das Dialogfeld Anlagen speichern geöffnet wird, enthält die Liste der Anlagen Elemente, die im Menü aktiviert sind. Blockierte Anlagen werden im Dialogfeld Anlagen speichern nicht angezeigt. Wenn der Benutzer den Zielordner auswählt und auf Speichern klickt, werden die Dateien von Outlook Express im angegebenen Ordner gespeichert, und es wird für jede der gespeicherten Dateien Save() aufgerufen.

Bei der Vorschau von E-Mails mit mehreren Anlagen wird für jede Anlage CheckPolicy() aufgerufen. Abhängig von den Rückgabewerten (E_Fail, S_OK oder S_False) wird von Outlook Express der Anlagename im Menü entweder deaktiviert oder aktiviert.

In künftigen Implementierungen kann Save() fehlschlagen, wenn von CheckPolicy() nicht S_OK zurückgegeben wird. In diesem Fall wird von Outlook Express eine Fehlermeldung angezeigt, die besagt, dass Anlagen nicht gespeichert wurden, weil nicht sichergestellt werden konnte, dass sie sicher sind. Zusätzlich wird eine Liste der fehlgeschlagenen Dateien angezeigt.

Verhalten beim Lesen einer Nachricht mit einer Anlage

Bevor das Outlook Express-Nachrichtenfenster gerendert wird, wird CheckPolicy() für jede Anlage aufgerufen, um zu bestimmen, welche Anlagen angezeigt und welche für den Benutzerzugriff blockiert werden.

Wenn von CheckPolicy() E_Fail (gefährliche Anlage), S_OK oder S_False (sichere Anlage) zurückgegeben wird, verhält sich Outlook Express genauso wie bisher. Doppelklicken auf die Anlagen, die im Bereich Anfügen des Nachrichtenfensters angezeigt werden, führt zu genau den gleichen Schritten, wie sie beim Ausführen von Anlagen aus dem Vorschaubereich beschrieben wurden.

Wenn der Benutzer auf Speichern unter klickt, den Zielordner und Dateinamen auswählt und auf Speichern klickt, wird von Outlook Express die Anlage im angegebenen Ordner gespeichert und zur Synchronisierung Save() aufgerufen.

Das Auswählen von Drucken ähnelt dem Ausführen der Anlage, es wird allerdings, statt Execute() ohne Parameter auszuführen, von Outlook Express Execute(“print”) aufgerufen. Alle anderen Tasks, wie das Speichern einer Datei in einer temporären Datei, bleiben die gleichen wie beim Ausführen der Anlage.

Wenn die Einstellung Speichern oder Öffnen von Anlagen, die möglicherweise einen Virus enthalten könnten, nicht zulassen deaktiviert ist, wird von Outlook Express SetReferer() aufgerufen und http://URL als Parameter übergeben. Vom nachfolgenden Aufruf CheckPolicy() wird dann angenommen, dass sich Outlook Express in der Internet-Webinhaltszone befindet.

Verhalten beim Verschieben einer Nachricht mit einer Anlage

Wenn der Benutzer ein Element an einen Speicherort außerhalb von Outlook Express verschiebt (beispielsweise durch das Ziehen einer Nachricht mit einer Anlage auf den Desktop), werden von Outlook Express die folgenden Aktionen ausgeführt:

Generieren einer temporären Datei mit HDROP

Speichern einer temporären Datei

Aufrufen von Save() für die temporäre Datei

Bei Erfolg wird HDROP zur Verfügung gestellt.

Bei einem Fehler wird HDROP nicht zur Verfügung gestellt, und das Drop-Ziel wird deaktiviert.


**
**