M 2.122 Einheitliche E-Mail-Adressen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

E-Mail-Adressen sollten aufgrund von klaren Namenskonventionen vergeben werden. Wichtig ist, dass keine Nicht- ASCII -Zeichen wie Umlaute innerhalb von E-Mail-Adressen verwendet werden.

Um Angriffe zu erschweren, Spam und Werbe-E-Mail zu vermeiden bzw. um möglichst wenig Information nach außen weiterzugeben, kann es sinnvoll sein, statt benutzer- und organisationsbezogenen E-Mail-Adressen wie nachname@organisation.de schwer erratbare E-Mail-Adressen zu verwenden. Dies macht aber auch die Adressweitergabe unbequemer und kann die Kommunikation mit Externen erschweren.

Wenn E-Mail-Adressen geändert werden oder wegfallen, ist darauf zu achten, dass zumindest für eine Übergangszeit E-Mails, die noch an diese Adressen gerichtet ist, an die jetzt aktuellen Adressen weitergeleitet wird.

Einrichtung funktionsbezogener E-Mail-Adressen

In vielen Institutionen werden Geschäftsprozesse inzwischen ganz oder teilweise per E-Mail abgewickelt. Dabei ist es wichtig, dass Nachrichten rechtzeitig den richtigen Empfänger erreichen. Durch Urlaub, Dienstreisen, Krankheit oder personelle Veränderungen können zu unterschiedlichen Zeitpunkten aber ganz verschiedene Personen für die Bearbeitung einer E-Mail zuständig sein.

Daher sollten für bestimmte Funktionen organisations- bzw. funktionsbezogene E-Mail-Adressen eingerichtet werden, um unabhängig von Personen die Zustellung zur richtigen Organisationseinheit zu garantieren. Dies ist insbesondere bei zentralen Anlaufstellen wichtig. Dieser Ansatz hat unter anderem folgende Vorteile:

Für verschiedene Funktionen, die direkt mit dem Betrieb einer Internet-Domain zusammen hängen, wird darüber hinaus die Existenz gewisser funktionsbezogener E-Mail-Adressen (beispielsweise postmaster) in den relevanten De-Facto-Standards ( IETF RFC s, hier insbesondere die RFC 822 und RFC 2142) explizit gefordert (siehe auch M 2.456 Sichere Administration von Groupware-Systemen).

Es sollte dokumentiert sein, welche organisations- und funktionsbezogenen Adressen existieren und zu welchem Zweck sie dienen.

Prüffragen: