Outlook erweitern

Viren und andere Schadprogramme verbreiten sich heute vor allem über E-Mails. Um dies zu erschweren, hat Microsoft in seine E-Mail-Programme künstliche Hürden eingebaut, um den automatischen Versand von Nachrichten zu verhindern. Diese Hürden behindern allerdings nicht nur Viren, sondern auch gutartige Erweiterungsprogramme wie Benutzermakros und Add-Ins. Bei der Gestaltung solcher Programme muss deshalb das Outlook-Sicherheitsmodell berücksichtigt werden.

Seit E-Mails nicht nur in geschlossenen Kreisen, also beispielsweise firmenintern, ausgetauscht werden, wird diese Art der Kommunikation zunehmend für illegale oder unerwünschte Zwecke missbraucht. Während der Dateiaustausch mittels tragbarer Medien, wie Disketten und CDs, der früher wesentlich für Virenbefall verantwortlich war, für die Systemadministration noch halbwegs kontrollierbar ist, ist dies im Bereich E-Mail nicht mehr so einfach.

Entwickler von Schadprogrammen haben sich häufig die dominante Stellung von Microsoft zu Nutze gemacht und die Installation von Viren auf bekannte Sicherheitslücken von Internet Explorer, Outlook oder Outlook Express abgestimmt. Neben Programmfehlern gerieten vor allem auch die verschiedenen Automatisierungsmöglichkeiten der E-Mail-Programme zum Problem. Diese wurden gerne von Viren verwendet, um sich selbsttätig weiter zu versenden.

Mit einem Update von Outlook 98 hat Microsoft durch eine Radikalkur diesem Treiben einen Riegel vorgeschoben. Jede automatisch verschickte Nachricht musste danach durch eine manuelle Eingabe bestätigt werden. Da die Virenautoren schnell dazu übergingen, ihre Programme mit eigenen SMTP-Clients zu versehen, wurde ein analoges Verhalten auch bei anderen Funktionen, beispielsweise bei Zugriff auf die Outlook-Kontakte, eingeführt.

Die hierdurch immer wieder angezeigten Dialoge machen allerdings nicht nur Virenautoren das Leben schwer. Nach dem Einspielen des Patchs in Outlook 98 war eine Vielzahl von selbst erstellten wie auch kommerziellen Erweiterungen für Outlook praktisch nicht mehr verwendbar, da die gewünschte Automatisierung nun nicht mehr funktionierte. Statt selbsttätig durchzulaufen, war ein manuelles Wegklicken von Dialogen notwendig.

Diese Funktionseinschränkung ist im Grunde genommen bis heute erhalten geblieben, in manchen Fällen noch verfeinert oder sogar verschärft worden. Allerdings hat Microsoft auch eine Reihe von Mechanismen bereitgestellt, um Administratoren zu ermöglichen, für bestimmte Programmkomponenten die Sicherheitsabfragen zu unterdrücken. Hierzu zählen beispielsweise:

  • Signierung von Programmen und Skripts

  • Freigabe von ausgewählten Modulen

  • Speicherung von Konfigurationsinformationen auf einem Exchange Server

Der wichtige Punkt dabei ist jeweils, dass bevor eine Software auf die Funktionen von Outlook zugreifen kann, ein manueller Eingriff einer berechtigten Person notwendig ist. Erst danach lässt das System den automatisierten Nachrichtenversand zu. Bei der Installation oder der ersten Ausführung – oder mithilfe eines externen Administrationsprogramms – muss der entsprechende Code freigegeben werden.

Freigeben von Add-Ins

Besonders gefährlich sind Skripts und einfache ausführbare Programme, die durch Sicherheitslücken oder durch fingierte Downloads zur Ausführung gebracht werden. Add-Ins hingegen müssen ohnehin erst einmal installiert werden. Dieser zusätzliche Schritt macht sie als Virenträger weniger attraktiv. Unbedarfte Anwender, die ein Installationsprogramm aus dem Netz herunterladen und ausführen, lassen sich allerdings immer noch genug finden. Sie verfügen in vielen Firmenumgebungen allerdings nicht mehr über die notwendigen Rechte. Viren, und andere Schadprogramme kommen deshalb kaum in der Form von Outlook-Add-Ins vor. Aus diesem Grunde vertraut Outlook 2003 standardmäßig allen installierten Add-Ins. Trotzdem unterliegen auch diese Erweiterungen grundsätzlich den in die Outlook-APIs integrierten Beschränkungen. Sie sind bloß für diese Komponenten deaktiviert.

Die zugehörigen Einstellungen lassen sich über das Menü Extras/Makros/Sicherheit einsehen und verändern. Im auf diese Weise angezeigten Dialog Sicherheit findet sich in der Registerkarte Vertrauenswürdige Herausgeber der Eintrag Allen installierten Add-Ins und Vorlagen vertrauen, der standardmäßig aktiviert ist. In angepassten Installationsroutinen kann die Standardeinstellung geändert werden.

Wird der genannte Eintrag deaktiviert, werden Add-Ins und Vorlagen analog der Einstellung für Makros in der Registerkarte Sicherheitsstufe behandelt. Die Stufe Sehr hoch steht in diesem Falle nicht mehr zur Verfügung. In der Einstellung Hoch wird nur signierter Code aus vertrauenswürdigen Quellen ausgeführt. Bei Mittel wird beim Laden des Codes beim Anwender nachgefragt. Dies ist allerdings in Unternehmensnetzen in der Regel nicht wünschenswert. Die Einstellung Niedrig deaktiviert schließlich die gesamten APISchutzfunktionen. Outlook ist in diesem Fall anfällig für Makroviren und externe Schadprogramme.