Microsoft Outlook blockiert standardmäßig den Zugriff auf bestimmte verknüpfte Dateianlagen. Dieses Verhalten betrifft vor allem Anlagen, die über erweiterte MAPI oder das Outlook-Objektmodell erstellt wurden, um Microsoft-Exchange-Postfächer oder lokale Outlook-Ordner zu erweitern. Bereits seit Outlook 2010 und 2013 ist diese Einschränkung voreingestellt. Zudem wurde durch ein Sicherheitsupdate aus dem Juli 2010 (MS10-045) das Blockieren solcher Anhänge auch auf Outlook 2002, 2003 und 2007 ausgeweitet.
Ursachen für die Blockade von verknüpften Anhängen
Der Kern des Problems liegt in der Sicherheitsstrategie von Outlook: Um potenzielle Risiken durch manipulierte oder schädliche Dateien zu minimieren, wird der direkte Zugriff auf bestimmte Arten von Anlagen verhindert. Dabei handelt es sich um Anlagen, die über die Outlook-eigene Funktionalität oder benutzerdefinierte Lösungen mit bestimmten PR_ATTACH_METHOD-Werten eingefügt wurden. Das Ziel ist es, Sicherheitslücken durch die Wiedereinführung potentiell gefährlicher Anhänge zu verhindern.
Empfehlungen für Entwickler von benutzerdefinierten Lösungen
Fachleute, die eigene Lösungen auf Outlook aufsetzen, wird geraten, die Vorgehensweise beim Anhängen von Dateien zu überdenken. Anstatt verknüpfte Anlagen (ATTACH_BY_REFERENCE, ATTACH_BY_REF_ONLY oder ATTACH_BY_REF_RESOLVE) zu verwenden, sollten Entwickler beispielsweise reguläre Links im Nachrichtentext einsetzen. Dies reduziert Sicherheitsrisiken und verhindert das Blockieren durch Outlook.
Problemumgehungen und Sicherheitsaspekte
Obwohl Microsoft dringend davon abrät, die Sicherheitsfunktionen von Outlook zu umgehen, besteht die Möglichkeit, dies über Änderungen in der Windows-Registrierung zu tun. Hierbei kann ein spezieller DWORD-Wert namens AllowAttachByRef gesetzt werden, um das Blockieren bestimmter verknüpfter Anlagen aufzuheben.
Eingriff in die Windows-Registrierung
Durch die Anpassung der Registrierungseinträge unterhalb der entsprechenden Outlook-Versionen (z. B. HKEY_CURRENT_USER\Software\Microsoft\Office\<Version>\Outlook\Security) kann die Blockade für ATTACH_BY_REFERENCE und ATTACH_BY_REF_ONLY aufgehoben werden. Jedoch gilt diese Maßnahme als potenzielles Sicherheitsrisiko, da dadurch möglicherweise auch schädliche Inhalte ungehindert in Outlook zugänglich werden.
Wichtige Hinweise zur Registrierung
Die Bearbeitung der Registrierung ist mit Vorsicht durchzuführen. Microsoft empfiehlt eine vollständige Sicherung der Windows-Registrierung, bevor Änderungen vorgenommen werden. Zudem sollten Administratoren und Anwender sorgfältig abwägen, ob sie das höhere Sicherheitsrisiko eingehen möchten, um auf diese Weise bestimmte Anlagen direkt öffnen zu können.
Untersuchungs- und Testmöglichkeiten mit MFCMAPI
Um herauszufinden, ob eine bestimmte Anlage von der Blockade betroffen ist, können Administratoren oder fortgeschrittene Anwender Tools wie MFCMAPI nutzen. Damit lassen sich die Eigenschaften von Anhängen genauer untersuchen. Die fraglichen Anlagen sind an der Eigenschaft PR_ATTACH_METHOD erkennbar. Wenn diese auf Werte wie ATTACH_BY_REFERENCE (2), ATTACH_BY_REF_RESOLVE (3) oder ATTACH_BY_REF_ONLY (4) gesetzt ist, handelt es sich um eine potenziell blockierte, verknüpfte Anlage.
Ausblick und Empfehlungen
Da in neueren Outlook-Versionen das Einfügen verknüpfter Anlagen per Rich-Text nicht mehr unterstützt wird, ist die Einbindung von Links im Nachrichtentext oftmals die einfachere und sicherere Alternative. Entwickler, Administratoren und Anwender sollten prüfen, ob ihre Workflows von den Blockaden betroffen sind und gegebenenfalls ihre Methoden zum Dateiversand anpassen. So kann ein ausgewogenes Verhältnis zwischen Sicherheit und Funktionalität in Outlook erreicht werden.
