Outlook: "Externer Inhalt ist in sicheren Mails nicht zulässig"

Nutzer von Outlook 2010 bis 2016 stehen gegebenenfalls vor dem Problem, dass ihnen plötzlich beim Zugriff auf E-Mails die Meldung "Externer Inhalt ist in sicheren Mails nicht zulässig" angezeigt wird. Es ist kein Bug, sondern ein Feature – zufällig ist bei mir gestern das richtige Puzzle-Teil ins Bild gefallen.


Anzeige

Kurzer Rückblick – da war doch was

Bei der Outlook-Warnung "Externer Inhalt ist in sicheren Mails nicht zulässig" klingelte beim mir was im Hinterkopf. Eine kurze Suche im Blog brachte den Beitrag Microsoft Patchday-Nachlese (9. Oktober 2018) als Treffer. Dort hatte ich einen Leser-Hinweis im Abschnitt KB4461440: Problem bei Outlook 2016? gegeben. Der Blog-Leser schrieb damals:

Bei uns wird seit den Oktober-Updates in Outlook 2016 (in Verbindung mit Exchange 2013) bei signierten E-Mails der Infotext "Externer Inhalt ist in sicheren E-Mails nicht zulässig" (engl. "external content is not allowed in secure email") angezeigt.

Aber mir ist keine Lösung oder ein Hinweis auf KB4461440 als Ursache unter die Augen gekommen. Waren natürlich auch schlechte Voraussetzungen, irgend eine Idee für die Lösung zu entwickeln. Ich selbst nutze den Thunderbird als E-Mail-Client und auf einer Testmaschine mit Outlook war mir das nie begegnet. Der Hinweis auf Exchange 2013 führte zudem auf eine falsche Fährte – auch das nutze ich nicht. Und signierte Mails sind bei mir ebenfalls extrem selten. Lediglich die Fehlermeldung an sich hätte eine grobe Orientierung geben können. Aber eine Websuche führte mich seinerzeit auch nicht weiter.

Doof: In diesem Kommentar meines Blogs steckte der Hinweis auf eine neue Outlook-Option des Trust Center. Das ist mir aber durchgeschlüpft.

Die Ursache ist gefunden

Gestern stieß ich bei Martin Geuß auf den Dr. Windows-Artikel Tipp: Outlook-Meldung "Externer Inhalt ist in sicheren Mails nicht zulässig" beheben. Martin war ebenfalls mit der Problematik konfrontiert. Er schreibt, dass DHL-Mails zur Lieferungsbenachrichtigung diesen Fehler aufweisen. Dürften auch signierte E-Mails sein – und von Webseiten eingebundene Bilder werden dann blockiert. Es ist das alte Problem von mixed Content auf sicheren Seiten.

Outlook Trust Center
(Quelle: Dr. Windows, Zum Vergrößern klicken)


Anzeige

Martin hat auch gleich die betroffene Option für ein deutsches Outlook genannt, die für diese Anzeigewarnung verantwortlich ist (siehe obiges Bild).

1. Einfach in Outlook zu den Optionen und dort zur Kategorie des Trust Center gehen.

2. Dann in der Unterkategorie Automatischer Download die Markierung der Option Bilder in verschlüsselten oder signierten HTML-E-Mails nicht herunterladen aufheben.

Dies bewirkt, dass das Sicherheitsmerkmal von Outlook nicht mehr verwendet wird. Damit ist die Fehlermeldung weg und externe Inhalte werden wieder angezeigt. Gleichzeitig kann über diese heruntergeladenen, externen Inhalte aber die signierte E-Mail verfolgt werden. Stichwörter sind Tracking-Pixel. Bevor ihr also 'begeistert' die Option deaktiviert, lest die folgenden Ausführungen.

Eingeführt per Update?

Beim Schreiben dieses Blog-Beitrags wollte ich es noch genauer wissen und habe im Internet gesucht. Dabei bin ich auf diesen Technet-Forenbeitrag vom Oktober 2018 gestoßen. Dort hatte jemand das Problem beschrieben und auf meinen oben erwähnten Blog-Beitrag mit verwiesen. Dort wurde kurze Zeit später die gleiche Lösung veröffentlicht. Zudem ist dort der 32-Bit-DWORD-Registrierungswert:

DisallowSMIMEExternalContent

im Schlüssel HKCU\Software\Microsoft\Office\xx\Outlook\Security\ erwähnt worden (xx steht für eine Versionsnummer wie 14.0, 15.0, 16.0). Mit den Wert 0 ist die Option aus- und mit 1 eingeschaltet. Dort findet sich noch der Hinweis:

Wichtig: Diese Option taucht auf ungepatchten Systemen nicht auf.

Ein Hinweis, dass Microsoft da mit einem Update eine neue Option eingeführt hat. Zudem findet sich dort ein Verweis auf dieses Microsoft-Dokument, wo das Blockieren von externen Inhalten (Stichwort Web beacons) für Office beschrieben wird. Inzwischen gibt es weitere Web-Fundstellen, wo das Thema seit November oder Dezember 2018 angesprochen wird.

Ergänzung: Reaktion auf die Efail-Schwachstelle

Es wurde oben nicht explizit erwähnt, da ich nur über digital signierte Mails geschrieben habe. Die Mails können aber auch verschlüsselt sein. In diesem Fall können externe Inhalt benutzt werden, um solche verschlüsselten E-Mails unverschlüsselt abzurufen. Das Ganze Thema läuft unter der seit Mai 2018 bekannten Efail-Schwachstelle. Wer also verschlüsselte Mails bekommt, sollte die obige Option nicht deaktivieren. Blog-Leser Oli hat nachfolgend in einem Kommentar auf diesen Sachverhalt hingewiesen. Vielleicht hilft es weiter.

Ähnliche Artikel
Microsoft Patchday-Nachlese (9. Oktober 2018)
Outlook.com Mail-Sync durch Microsoft auf iPhone geblockt
Office365: Update ändert Autodiscover, Outlook-Anmeldung scheitert
Windows 10 V1607: Update KB4467684 killt Outlook-Suche in Terminal Server
Update KB4461585 fixt Outlook 2010-Absturz
Zeitumstellung: Probleme mit iCloud Kalender und Outlook 365
Bug in Outlook 2016/365: Nur eine Version ausführbar
Outlook 365: Probleme mit iCloud-Synchronisierung


Anzeige

Dieser Beitrag wurde unter Office, Problemlösung abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Outlook: "Externer Inhalt ist in sicheren Mails nicht zulässig"

  1. Michael sagt:

    Danke für den Hinweis. Da ich fast ausschließlich digital signierte und teilweise auch verschküsselte E-Mails versende, bekam ich des öfteren den Hinweis, dass Anhänge nicht geöffnet und/oder runter geladen werden konnten.

    Bei Thunderbird scheint das nicht so zu sein, werde das mal weiter verfolgen. Scheinbar muss ich (bis auf weiteres) an bestimmte Empfänger nur unsignierte Mails versenden.

    Eigentlich schade, denn die Signatur bzw. Verschlüsselung von Mails ist eine gute Sache und sollte weiter verbreitet sein.

  2. Andreas.K sagt:

    In meinem deutschen Outlook 2010 mit Exchange 2010 ist die Option vorhanden, allerdings auf Englisch.

  3. Oli sagt:

    Mittels dem Nachladen von externen Inhalten wie Bildern, kann ein Angreifer eine verschlüsselte Email im Klartext an seinen eigenen WebServer übermitteln.
    Die Sicherheitslücke 'Efail' wurde im Mai 2018 public und betrifft durchgehend alle Mailprogramme von Windows, Linux, Mac etc.
    Mehr dazu:
    https://www.heise.de/security/artikel/PGP-und-S-MIME-So-funktioniert-Efail-4048873.html

    Microsoft hat darauf reagiert und dieses Sicherheitsfeature eingeführt, das externe Inhalte in verschlüsselten Mails nicht mehr nachgeladen werden.
    Beim Deaktivieren von Sicherheitsfeatures muss natürlich jeder Anwender selbst entscheiden, inwiefern er sich vor dem Ausspähen seiner verschlüsselten Emails schützen will.

    Insbesondere DHL ist hier gefordert, seine Tracking-Mails ohne externe nachladbare Bilder und "Tracking-Pixel" (man beachte das Wortspiel :-), zu gestalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.