[English]Bis Mitte Oktober 2025 schließt Microsoft eine Sicherheitsmaßnahme in Outlook ab, die SVG-Bilddateien, die in Angriffen genutzt werden, sperrt. Und ein Leser beklagte sich, dass in seinem Outlook Classic seit Jahren bestimmte Bilder nicht angezeigt werden.
Ich fasse mal die zwei Sachverhalte rund um Microsoft Outlook in einem Beitrag zusammen, die das Thema Anzeige von Bildern in Nachrichten betreffen, aber wohl nichts miteinander zu tun haben.
SVG-Bilddateien aus Sicherheitsgründen gesperrt
Das Thema betrifft Outlook for Web (OWA) und das neue Outlook für Windows. Microsoft hat Ende September 2025 den Beitrag MC1130385 – Retirement of inline SVG images in Microsoft Outlook im Microsoft Message Center aktualisiert (ist hier aufgefallen).
Microsoft beendet die Unterstützung für Inline-SVG-Bilder in Outlook für das Web (OWA) und dem neuen Outlook für Windows ab Anfang September 2025. Diese Änderung soll bis Mitte Oktober 2025 abgeschlossen sein und erhöht die Sicherheit.
Dies entspricht dem aktuellen Verhalten von E-Mail-Clients, die die Darstellung von Inline-SVG-Bildern bereits einschränken, heißt es. Das Ganze ist eine Sicherheitsmaßnahme, da SVG-Dateien bei Cyberangriffen missbraucht wurden.
Dies betrifft weniger als 0,1 % der Bilder, bei denen stattdessen Leerzeichen angezeigt werden. SVG-Anhänge in E-Mails werden weiterhin unterstützt. Unternehmen sollten ihre Dokumentation aktualisieren und ihre Benutzer informieren.
Outlook Classic zeigt bestimmte Bilder nicht an
Ein Blog-Leser hat mich Ende September 2025 per E-Mail kontaktiert und berichtet, dass er privat seit Jahren ein merkwürdiges Problem mit dem Nachladen von Bildern in Werbe-Newslettern in Outlook (Classic) habe und hofft auf das Schwarmwissen der Leserschaft.
Es ist etwas ein Exoten-Problem, da es z. B. den Newsletter von AliExpress aber auch die anderer Anbieter betrifft. Der Leser arbeitet mit Windows 11 Pro 24H2 Build 26100.6584, und verwendet als On-Premise-E-Mail-Programm Microsoft Outlook LTSC MSO (Version 2408 Build 16.0.17932.20540) 64 Bit.
Die Bilder in diesen AliExpress-Newslettern werden nicht nachgeladen, weder im Vorschaufenster noch, wenn die E-Mail mit Doppelklick geöffnet wird (siehe obiges Bild). Schaut er hingegen seine E-Mails via Outlook Web Access (OWA) über den Browser an, werden die Bilder angezeigt (siehe folgender Screenshot).
Als Privatanwender hat er keine vorgelagerte professionelle Firewall-Lösung, und hat auch den Webschutz in seiner Sicherheitslösung Avira Prime ausgeschaltet. Der Link zu Bild, welches Outlook (Classic) partout nicht nachgeladen wird, findet sich hier.
Der Leser hat mich dann auf den reddit.com-Beitrag Partial Missing Images in email ads (Outlook) hingewiesen, wo genau dies ebenfalls beschrieben wird. Als Workaround findet sich dort der Hinweis, die E-Mail in die Entwürfe zu verschieben oder einfach auf Antworten zu klicken. Dann werden ebenfalls alle Bilder angezeigt. Kennt jemand die Ursache oder einen Fix?
MVP: 2013 – 2016
Ich kann mit Sicherheit sagen: Das funktionierte noch nie!
Ich habe in meiner Signatur deshalb den Tipp von hier* befolgt und das Bild als PNG eingebunden, zusammen mit einem srcset, welches alle E-Mail Programme oder Webmailer nachladen, die SVG beherrschen.
Interessant ist auch, dass sich das Verhalten mancher Mailer unterscheidet in Abhängigkeit davon, ob das Bild als SVG Bild (analog eines PNG oder JPG) eingebunden ist, oder als in den Quellcode eingebettetes svg-Tag. Nur sehr wenige Mailer unterstützen das svg-Tag.
Ich habe in meinem Thunderbird – der SVGs problemlos anzeigt – ein Plugin installiert, welches mir das E-Mail Programm des gegenüber als kleines Icon in der E-Mail anzeigt. Dadurch habe ich die Erfahrungen, die im unten verlinkten Artikel stehen bestätigen können. Outlook Classic, GMX Webmail und GMail Webmail können kein SVG; antworten diese auf meine E-Mail, ist daher immer das PNG eingebettet an der Stelle, wo meine Signatur mit dem srcset-svg stand.
Ich kann daher in keinster Weise nachvollziehen, dass hier irgend etwas abgeschafft wird. SVG in Outlook hat nie funktioniert.
* https://css-tricks.com/a-guide-on-svg-support-in-email/
Zum Outlook Classik mit den fehlenden Bildern:
a. Einstellungsoptionen in Outlook
b. Werbeblocker
c Defender Einstellungen (bzw. Avira)
sind da die üblichen Verdächtigen
(auch so Einstellungen wie Bilder von Drittseiten sperren etc.)
Outlook Klassik in ner blanken Installation hat jedenfalls keine Probleme damit (allerdings unter W10 getestet, W11 kommt mir nicht aufs Rig)
Im HTML-Code eingebettete Bilder werden oft zum Tracking genutzt, unabhängig, ob das Bild angezeigt wird oder nicht.
Aus Sicht des Datenschutzes wäre es besser, bei Bildern in EMails nicht einmal eine DNS-Anfrage zu machen.
Das Nachladen von Bildern ist im Outlook-Trust-Center gesperrt:
Options ,
Trust Center ,
Microsoft Outlook Trust Center ,
Trust Center Settings.
[_] "Don't download pictures automatically in HTML e-mail messages or RSS items"
Im Microsoft 365-Outlook befinden sich die Einstellungen im "Automatic Download"-Reiter.
support. microsoft. com/en-gb/office/block-or-unblock-automatic-picture-downloads-in-classic-outlook-email-messages-15e08854-6808-49b1-9a0a-50b81f2d617a
Nachladen von Bildern sollte man abschalten oder abgeschaltet lassen.
Emails im HTML-Format sollte man generell vermeiden und nur ASCII-Text zulassen.
Absender, die Tracking-Pixel oder generell nachladbare Bilder in ihre emails einbauen, sollte man auf die Sperrliste setzen.
Moin,
zusätzlich kann man noch in den Internetoptionen im Reiter Erweitert unter Sicherheit den Punkt "Ungesicherte Bilder mit anderem gemischten Inhalt blockieren" anschauen, ob dort ein Haken gesetzt ist.
MfG,
Blackii
"Das Ganze ist eine Sicherheitsmaßnahme, da SVG-Dateien bei Cyberangriffen missbraucht wurden.". Nein, es ist keine Sicherheitsmaßnahme, denn die fehlende Sicherheit steckt in Outlook selbst. Da SVG XML ist kann prima auf Probleme oder Angriffe detektiert werden. Nur weil Microsoft Sicherheit nicht kann, wird einfach ein sehr gängiges Bildformat gesperrt. Die ganz normale Enshitification. Deshalb rate ich dringend von Outlook ab, das so ziemlich der miserabelste Email Client ist, der in der Zirkulation ist. Mein AG zwingt mich teilweise das zu benutzen, aber erm uß mit der Produktivitätseinschränkung klar kommen. Nur Outlook für iOS ist noch schlimmer. Da gibt es noch nicht mal notwendige Basisfunktionalität, wie Kontakte aus dem Scan eines vcf Codes oder aus vcf hinzufügen.
Um Schindluder zu verhindern, sollte man E-Mails sowieso nur als ASCII-Text empfangen und sich anzeigen lassen.
Aber wer macht das?
Ich nehme sowohl im Thunderbird als auch bei Claws Mail nur Text als Standard und schicke alles auch so raus. Beim Webmailer kann man es ja meist nicht ändern. Aber das sind private Emails. Geschäftlich gelten eben andere Gepflogenheiten.
Ist hier Standard… wenn mal tatsächlich von Nöten kannst immer noch umschalten oder im Browser öffnen. Wirklich notwendig ist das in 99,9% der Fälle jedoch nie. JA sind dann halt nicht clickibunti, dafür safe!
Musst halt entscheiden was dir wichtiger ist.
Wichtiges hat im Text zu stehen und nicht in irgendwelchen Bildern und Spielereien! Wenns im Text nicht geht packt mans in den Anhang.
Stößt mache vor den Kopf, aber scheiß drauf!
Das ist bei mir seit 2013 (Firmengründung) so. Da habe ich als Signatur ganz klassisch, gemäß TMG, meine Daten drin.
puh. Also im Ernst? Anstelle dass sie das Ausführen von Skripten in Mails unterbinden, unterbinden sie gleich die Anzeige aller SVGs?