Diskussionsforum
Menü

IP-Sippenhaft: 95 % aller großen E-Mail Anbieter bevormunden Kunden


15.02.2010 12:49 - Gestartet von cassiel
und unterschlagen ihnen legitime Mail vor.
Das ist nämlich die Kehrseite des sogen "Blacklisting". Hier wird auf puren Verdacht hin eine IP-Adresse geblockt, mitunter unter Verletzung einschlägiger SMTP-RFCs, ohne dass der Nachweis geführt würde, dass exakt dieser User der gerade dies IP-Adresse hat ein Spammer ist oder wenigstens ein potentieller Spammer (z.B. Nachweis ein offenen relay Server).
Dadurch werden den Kunden, die davon praktisch nie etwas wissen, legitime Mails unterschlagen.
Auf Nachfrage schalten de facto alle diese Mailanbieter auf stur und bestätigen, dass dies Absicht sei und damit ihre mailtechnische Inkompetenz.

Es mag sein, dass jeder dritte der großen Mailanbieter eine Million für Anti-Spam Maßnahmen ausgibt. Aber für intelligente false-positive sichere Anti-Spam Maßnahmen scheint dort kein Geld vorhanden zu sein.

Bei kleinen Mailanbietern kommt es übrigens wesentlich seltener vor, dass diese IP-Sippenhaft betreiben.

Um einige Mailanbieter zu nennen die nachweislich IP-Sippenhaft betreiben: t-online.de hotmail.com gmx.de/.net arcor.de 1&1 (kundenserver.de) aol.com u.v.m.

---
Wer genaueres zu diesem Thema erfahren möchte, näheres gern auf Anfrage
Menü
[1] rotella antwortet auf cassiel
15.02.2010 14:17
Das kann doch eigentlich nur passieren, wenn jemand versucht, an seinem Heimanschluss mit wechselnder IP einen eigenen Mailserver zu betreiben.
Da wäre ich auch sehr vorsichtig, solche Mails anzunehmen...
Menü
[1.1] cassiel antwortet auf rotella
15.02.2010 21:12
Benutzer rotella schrieb:
Das kann doch eigentlich nur passieren, wenn jemand versucht, an seinem Heimanschluss mit wechselnder IP einen eigenen Mailserver zu betreiben.

Wofür es etliche gute Gründe geben kann z.B. um sich dem staatlichen E-Mail Überwachungszwang der für alle deutschen Provider über 1000 Kunden gilt zu entziehen, oder weil der Zugangsprovider gar keinen relayhost anbietet oder wenn nur für unverschämt hohe Preise auch dann nur eingeschränkt Mails weiterleitet, damit man selbst die korrekte Auslieferung der Mails im log hat usw. usw.

Da wäre ich auch sehr vorsichtig, solche Mails anzunehmen...

Es spricht nichts gegen Vorsicht, aber bitte fair und keine IP-Sippenhaft. Es gibt jede Menge Möglichkeiten Spamserver von legitimen Mailservern zu unterscheiden und Spam resourcenschonend false-positive sicher abzuweisen. Nur dazu muss man sich eben ein bisschen mehr mit E-Mail und dem Netz auskennen. Wenn Admins von 1&1 offen zugeben sich nicht verpflichtet fühlen an einschlägige RFCs halten zu müssen, dann sollte das zu denken geben. Der "September der nie endete" hat eben auch schon die Admin-Ebene erreicht.
Menü
[1.1.1] ezc antwortet auf cassiel
27.02.2010 11:50
Benutzer cassiel schrieb:

Wofür es etliche gute Gründe geben kann z.B. um sich dem staatlichen E-Mail Überwachungszwang der für alle deutschen Provider über 1000 Kunden gilt zu entziehen, oder weil der Zugangsprovider gar keinen relayhost anbietet oder wenn nur für unverschämt hohe Preise auch dann nur eingeschränkt Mails weiterleitet, damit man selbst die korrekte Auslieferung der Mails im log hat usw. usw.

Ja, ich hatte dieses Problem auch schon. Ich will unter meiner eigenen Mailadresse Mails verschicken, aber halt nicht über den offiziellen SMTP-Server - z.B. weil ich nur eine nackte Domain gekauft hab und keinen Mailserver dazu.

Besser wäre es, die Absenderadressen und nicht die sendenden Rechner zu verifizieren. Das könnte z.B. so gehen: Ich entscheide mich, von bestimmten oder von allen Mailadressen nur signierte Mails zu akzeptieren - die Absenderadressen können dann mit Hilfe von Key Servern überprüft werden (wie bei PGP).

Das müsste natürlich noch ein bisschen verfeinert werden, aber ein Standard, der mir die Korrektheit der Absenderadresse verifiziert, unabhängig davon, welcher Rechner die Mail ausliefert, wäre das, was man eigentlich braucht. Dann könnte man nämlich Absender blockieren (ggf. auch ganze Absenderdomains, wenn man denn will). Verfahren, die den SMTP-Host prüfen (auch SPF), sind doch Notlösungen, die auch gutwillige Benutzer treffen.

Wichtig wäre jedoch, dem Benutzer die Entscheidung zu überlassen, was er empfangen und was er verwerfen will.
Menü
[1.1.1.1] vincentgdg antwortet auf ezc
05.03.2010 13:51
Benutzer ezc schrieb:
Besser wäre es, die Absenderadressen und nicht die sendenden Rechner zu verifizieren. Das könnte z.B. so gehen: Ich entscheide mich, von bestimmten oder von allen Mailadressen nur signierte Mails zu akzeptieren - die Absenderadressen können dann mit Hilfe von Key Servern überprüft werden (wie bei PGP).

Auf existierende Emailadressen kann sehr leicht in Echtzeit geprüft werden. Ich habe dazu mal vor Jahren ein PHP-Script geschrieben. Jeder Mailserver kann (könnte) also ohne Probleme zum Zeitpunkt des Empfangs einer Email checken, ob der angegebene Absender existiert, indem er parallel eine Verbindung zum zugehörigen Mailserver aufbaut und den Absender auf Existenz prüft.

Damit ist aber nicht gewährleistet, dass auch der echte Besitzer der Emailadresse die Email verschickt. Und das wäre wohl auch in Deinem Beispiel nicht der Fall, denn es wird ja ebenso nur die Existenz der Adresse geprüft. Oder soll zu jeder Email ein Schlüssel mit verschickt werden? Dazu wäre aber eine Menge Aufklärungsarbeit für den Durchschnittsuser nötig.

Und es würde in kurzer Zeit Bots geben, die - wie heute auch - Emailadressen bei Yahoo und Co. erzeugen und gleichzeitig noch einen Schlüssel generieren. Das dauert ja sicher nicht lang.

Dem ganzen Spam kann man nur Herr werden, wenn jeder Mailserver prüft, ob die ankommende Email von dem richtigen Mailserver stammt. Dann würde sämtlicher Botnet-Spam wegfallen, weil das keine regulären Mailserver mit DNS-Einträgen sind. Nennt sich "reverse DNS" und kann eigentlich jeder Mailserver. Falsch konfigurierte Mailserver werden dadurch natürlich abgewiesen. :-) Aber da kann man dann ja eine Warnmail an den Postmaster schicken - wenn DER wenigstens korrekt eingerichtet ist.
Menü
[1.1.1.1.1] ezc antwortet auf vincentgdg
05.03.2010 14:10
Benutzer vincentgdg schrieb:

Auf existierende Emailadressen kann sehr leicht in Echtzeit geprüft werden. Ich habe dazu mal vor Jahren ein PHP-Script

Ich meine nicht, dass die Existenz geprüft werden soll, sondern die Zuordnung zum wirklichen Besitzer - das kann mit signierten Emails gemacht werden. Wer wird schon unter einer Absenderadresse Spam verschicken, die eindeutige Rückschlüsse auf seine Identität zulässt? Und wenn ... dann bekommt er ein Problem.

Damit ist aber nicht gewährleistet, dass auch der echte Besitzer der Emailadresse die Email verschickt. Und das wäre

Eben das will ich ja sicherstellen. Hatte mich evtl. nicht klar genug ausgedrückt.

Email ein Schlüssel mit verschickt werden? Dazu wäre aber eine Menge Aufklärungsarbeit für den Durchschnittsuser nötig.

Ja, klar. Die Mails müssten halt signiert werden. Und natürlich müssen die Schlüssel einmal registriert werden. Aber wenn das aus der Ecke des Exotischen geholt wird, dann werden's die Emailprogramme wohl auch besser unterstützen und automatisieren.

Und es würde in kurzer Zeit Bots geben, die - wie heute auch - Emailadressen bei Yahoo und Co. erzeugen und gleichzeitig noch einen Schlüssel generieren. Das dauert ja sicher nicht lang.

Naja, der Schlüssel müsste natürlich einmal verifiziert werden, d.h. anonyme, also nicht überprüfbare Schlüssel, könnte ich ablehnen. Ich würde also nicht SPF-Records abfragen, sondern die öffentlichen Schlüssel bei den Key-Servern holen und die Signatur prüfen. Und natürlich würden die Schlüssel lokal in einem Cache gehalten, damit sich die Nachfrage erübrigt, wenn ich viele Mails vom selben Absender bekomme.

Dem ganzen Spam kann man nur Herr werden, wenn jeder Mailserver prüft, ob die ankommende Email von dem richtigen Mailserver stammt. Dann würde sämtlicher Botnet-Spam wegfallen, weil das keine regulären Mailserver mit DNS-Einträgen sind. Nennt sich "reverse DNS" und kann eigentlich jeder Mailserver.

Und warum soll ich nicht meine legale Absenderadresse name@meinedomain.de verwenden und trotzdem über irgendeinen Rechner meine Mails ausliefern, z.B. über meinen PC? Z.B. weil meiner Domain gar kein SMTP-Server zugeordnet ist (wenn ich nur die nackte Domain gekauft hab)? Und ein reverse DNS von meiner zufälligen IP-Adresse, die mir mein Provider gibt, auf meinedomain.de krieg ich auch nicht hin - "vorwärts" (also Namensauflösung) würde das ja noch gehen, z.B. mit DynDNS o.ä., aber rückwärts?

Ich hatte jedenfalls in der Vergangenheit öfter gute Gründe, Mails unter meiner eigenen Absenderadresse und ohne jede Absicht, irgendetwas zu verschleiern, über einen anderen Server auszuliefern. Und früher hat das ja auch funktioniert. Manchmal waren die Gründe ganz banal: Der "richtige" Server war z.B. von meinem momentanen Standpunkt aus sehr langsam oder schlecht zu erreichen oder es wurde nur Webmail und kein SMTP-Server angeboten.
Menü
[1.1.1.1.1.1] cassiel antwortet auf ezc
10.03.2010 21:36
Erst mal vielen Dank für das Verständnis der Problematik, die ich ansprochen habe. Nicht selten sind die Reaktionen bedauerlicherweise unwirsch bis unflätig. Sachlich positive Antworten mit dem Bemühen um konstruktive Lösungen sind daher um so mehr zu loben.

Benutzer ezc schrieb:
Benutzer vincentgdg schrieb:
[...]
Und warum soll ich nicht meine legale Absenderadresse name@meinedomain.de verwenden und trotzdem über irgendeinen Rechner meine Mails ausliefern, z.B. über meinen PC? Z.B. weil meiner Domain gar kein SMTP-Server zugeordnet ist (wenn ich nur die nackte Domain gekauft hab)? Und ein reverse DNS von meiner zufälligen IP-Adresse, die mir mein Provider gibt, auf meinedomain.de krieg ich auch nicht hin - "vorwärts" (also Namensauflösung) würde das ja noch gehen, z.B. mit DynDNS o.ä., aber rückwärts?

Über das SMTP kann ja auch der zur IP-Adresse gehörige DynDNS-Domainname als EHLO übergeben werden. Das ist eine Standardeinstellung bei postfix. Mit einer DNS-Abfrage könnte dann die Zuordnung DynDNS-Domain-DynIP-Adresse überprüft werden. Dann muss nicht "rückwärts" aufgelöst werden. Damit wäre zumindest eine unabhängige Überprüfung der unzweideutige Verknüpfung zwischen Domainname und IP-Adresse gewährleistet.
Dazu müsste der MTA natürlich neben der IP-Adresse auch den übermittelten Domainname entsprechend auswerten.

Ich hatte jedenfalls in der Vergangenheit öfter gute Gründe, Mails unter meiner eigenen Absenderadresse und ohne jede Absicht, irgendetwas zu verschleiern, über einen anderen Server auszuliefern. Und früher hat das ja auch funktioniert. Manchmal waren die Gründe ganz banal: Der "richtige" Server war z.B. von meinem momentanen Standpunkt aus sehr langsam oder schlecht zu erreichen oder es wurde nur Webmail und kein SMTP-Server angeboten.

Ich finde auch, dass es genug legitime Gründe gibt eine eigenen Mailserver zu betreiben.
Menü
[1.1.1.1.1.1.1] ezc antwortet auf cassiel
10.03.2010 23:11
Benutzer cassiel schrieb:
[...]
Über das SMTP kann ja auch der zur IP-Adresse gehörige DynDNS-Domainname als EHLO übergeben werden. Das ist eine Standardeinstellung bei postfix. Mit einer DNS-Abfrage könnte dann die Zuordnung DynDNS-Domain-DynIP-Adresse überprüft werden. Dann muss nicht "rückwärts" aufgelöst werden. Damit wäre zumindest eine unabhängige Überprüfung der unzweideutige Verknüpfung zwischen Domainname und IP-Adresse gewährleistet.
Dazu müsste der MTA natürlich neben der IP-Adresse auch den übermittelten Domainname entsprechend auswerten.

Ja, das hört sich vernünftig an. Ist sicher weniger aufwenig als das Überprüfen signierter Mails und würde wenigstens mal erlauben, einen eigenen Mailserver zu betreiben.
Nicht ganz das, was ich ursprünglich im Sinn hatte (Absenderidentität verifizieren), würde aber das Problem weitgehend lösen - und wäre vermutlich auch nicht soooo schwer zu implementieren. Jedenfalls ohne alles komplett umzukrempeln.
Dazu braucht es natürlich einen DynDNS-Dienst - aber so lange man so etwas sogar in der Grundausführung kostenlos bekommt, ist das ja kein Hindernis.
Menü
[1.1.1.1.1.1.1.1] cassiel antwortet auf ezc
11.03.2010 10:51
Benutzer ezc schrieb:
[...]
Ja, das hört sich vernünftig an. Ist sicher weniger aufwenig als das Überprüfen signierter Mails und würde wenigstens mal erlauben, einen eigenen Mailserver zu betreiben. Nicht ganz das, was ich ursprünglich im Sinn hatte (Absenderidentität verifizieren), würde aber das Problem weitgehend lösen - und wäre vermutlich auch nicht soooo schwer zu implementieren. Jedenfalls ohne alles komplett umzukrempeln. Dazu braucht es natürlich einen DynDNS-Dienst - aber so lange man so etwas sogar in der Grundausführung kostenlos bekommt, ist das ja kein Hindernis.

Yep.

Das Thema hat mich gestern nicht mehr losgelassen und ich habe dazu einen interessanten Lösungsansatz gefunden:
MTA Authentication
http://spamfizzle.com/StoppingSpam.aspx
Achtung! Die Domain ist derzeit nicht erreichbar!
(Der Besitzer hat wohl vergessen sie zu verlängern)
Nur im Google-Cache ist sie noch verfügbar:
http://www.google.com/search?q=site:spamfizzle.com&num=100&hl=en&lr=&filter=0
Ich finde das hat das Potential E-Mail zu revolutionieren und die Spam-Seuche einigermaßen einzudämmen.
Menü
[1.1.2] Kai Petzke antwortet auf cassiel
28.02.2010 18:10
Benutzer cassiel schrieb:
Benutzer rotella schrieb:
Das kann doch eigentlich nur passieren, wenn jemand versucht, an seinem Heimanschluss mit wechselnder IP einen eigenen Mailserver zu betreiben.

Wofür es etliche gute Gründe geben kann z.B. um sich dem staatlichen E-Mail Überwachungszwang der für alle deutschen Provider über 1000 Kunden gilt zu entziehen,

Diesem Überwachungszwang kannst Du Dich aber nur entziehen, wenn Du Deine E-Mail an einen der verbliebenen "kleinen" Provider schickst, der bezüglich seiner Anti-Spam-Filtterregeln ggfls. mit sich reden lässt.

oder weil der Zugangsprovider gar keinen relayhost anbietet

Für den Relayhost ist eigentlich eher der Webspace-Anbieter zuständig, bei dem man die Domain hat, unter der man E-Mail versenden möchte. Oder der Freemail- (oder paid mail)-Anbieter. Etliche davon bieten ja ebenfalls SMTP AUTH oder SMTP-after-POP.

E-Mail über den Zugangsprovider (soweit dieser nicht identisch mit dem Webspace- oder E-Mail-Provider ist) abzuschicken, hat immer den Nachteil, dass diese über einen für die Absenderdomain eigentlich nicht zuständigen SMTP-Server läuft. Und da die Spammer ihren Müll nunmal ebenfalls im "Schutz der Anonymität" abliefern, wird solche von Drittservern stammende E-Mail zunehmend höhere Spam-Scores erhalten.


Kai