IP-Sippenhaft: 95 % aller großen E-Mail Anbieter bevormunden Kunden

Das kann doch eigentlich nur passieren, wenn jemand versucht, an seinem Heimanschluss mit wechselnder IP einen eigenen Mailserver zu betreiben.
Da wäre ich auch sehr vorsichtig, solche Mails anzunehmen...

Benutzer rotella schrieb:

Wofür es etliche gute Gründe geben kann z.B. um sich dem staatlichen E-Mail Überwachungszwang der für alle deutschen Provider über 1000 Kunden gilt zu entziehen, oder weil der Zugangsprovider gar keinen relayhost anbietet oder wenn nur für unverschämt hohe Preise auch dann nur eingeschränkt Mails weiterleitet, damit man selbst die korrekte Auslieferung der Mails im log hat usw. usw.


Es spricht nichts gegen Vorsicht, aber bitte fair und keine IP-Sippenhaft. Es gibt jede Menge Möglichkeiten Spamserver von legitimen Mailservern zu unterscheiden und Spam resourcenschonend false-positive sicher abzuweisen. Nur dazu muss man sich eben ein bisschen mehr mit E-Mail und dem Netz auskennen. Wenn Admins von 1&1 offen zugeben sich nicht verpflichtet fühlen an einschlägige RFCs halten zu müssen, dann sollte das zu denken geben. Der "September der nie endete" hat eben auch schon die Admin-Ebene erreicht.

Benutzer cassiel schrieb:


Ja, ich hatte dieses Problem auch schon. Ich will unter meiner eigenen Mailadresse Mails verschicken, aber halt nicht über den offiziellen SMTP-Server - z.B. weil ich nur eine nackte Domain gekauft hab und keinen Mailserver dazu.

Besser wäre es, die Absenderadressen und nicht die sendenden Rechner zu verifizieren. Das könnte z.B. so gehen: Ich entscheide mich, von bestimmten oder von allen Mailadressen nur signierte Mails zu akzeptieren - die Absenderadressen können dann mit Hilfe von Key Servern überprüft werden (wie bei PGP).

Das müsste natürlich noch ein bisschen verfeinert werden, aber ein Standard, der mir die Korrektheit der Absenderadresse verifiziert, unabhängig davon, welcher Rechner die Mail ausliefert, wäre das, was man eigentlich braucht. Dann könnte man nämlich Absender blockieren (ggf. auch ganze Absenderdomains, wenn man denn will). Verfahren, die den SMTP-Host prüfen (auch SPF), sind doch Notlösungen, die auch gutwillige Benutzer treffen.

Wichtig wäre jedoch, dem Benutzer die Entscheidung zu überlassen, was er empfangen und was er verwerfen will.

Benutzer ezc schrieb:

Auf existierende Emailadressen kann sehr leicht in Echtzeit geprüft werden. Ich habe dazu mal vor Jahren ein PHP-Script geschrieben. Jeder Mailserver kann (könnte) also ohne Probleme zum Zeitpunkt des Empfangs einer Email checken, ob der angegebene Absender existiert, indem er parallel eine Verbindung zum zugehörigen Mailserver aufbaut und den Absender auf Existenz prüft.

Damit ist aber nicht gewährleistet, dass auch der echte Besitzer der Emailadresse die Email verschickt. Und das wäre wohl auch in Deinem Beispiel nicht der Fall, denn es wird ja ebenso nur die Existenz der Adresse geprüft. Oder soll zu jeder Email ein Schlüssel mit verschickt werden? Dazu wäre aber eine Menge Aufklärungsarbeit für den Durchschnittsuser nötig.

Und es würde in kurzer Zeit Bots geben, die - wie heute auch - Emailadressen bei Yahoo und Co. erzeugen und gleichzeitig noch einen Schlüssel generieren. Das dauert ja sicher nicht lang.

Dem ganzen Spam kann man nur Herr werden, wenn jeder Mailserver prüft, ob die ankommende Email von dem richtigen Mailserver stammt. Dann würde sämtlicher Botnet-Spam wegfallen, weil das keine regulären Mailserver mit DNS-Einträgen sind. Nennt sich "reverse DNS" und kann eigentlich jeder Mailserver. Falsch konfigurierte Mailserver werden dadurch natürlich abgewiesen. :-) Aber da kann man dann ja eine Warnmail an den Postmaster schicken - wenn DER wenigstens korrekt eingerichtet ist.

Benutzer vincentgdg schrieb:


Ich meine nicht, dass die Existenz geprüft werden soll, sondern die Zuordnung zum wirklichen Besitzer - das kann mit signierten Emails gemacht werden. Wer wird schon unter einer Absenderadresse Spam verschicken, die eindeutige Rückschlüsse auf seine Identität zulässt? Und wenn ... dann bekommt er ein Problem.


Eben das will ich ja sicherstellen. Hatte mich evtl. nicht klar genug ausgedrückt.


Ja, klar. Die Mails müssten halt signiert werden. Und natürlich müssen die Schlüssel einmal registriert werden. Aber wenn das aus der Ecke des Exotischen geholt wird, dann werden's die Emailprogramme wohl auch besser unterstützen und automatisieren.


Naja, der Schlüssel müsste natürlich einmal verifiziert werden, d.h. anonyme, also nicht überprüfbare Schlüssel, könnte ich ablehnen. Ich würde also nicht SPF-Records abfragen, sondern die öffentlichen Schlüssel bei den Key-Servern holen und die Signatur prüfen. Und natürlich würden die Schlüssel lokal in einem Cache gehalten, damit sich die Nachfrage erübrigt, wenn ich viele Mails vom selben Absender bekomme.


Und warum soll ich nicht meine legale Absenderadresse name@meinedomain.de verwenden und trotzdem über irgendeinen Rechner meine Mails ausliefern, z.B. über meinen PC? Z.B. weil meiner Domain gar kein SMTP-Server zugeordnet ist (wenn ich nur die nackte Domain gekauft hab)? Und ein reverse DNS von meiner zufälligen IP-Adresse, die mir mein Provider gibt, auf meinedomain.de krieg ich auch nicht hin - "vorwärts" (also Namensauflösung) würde das ja noch gehen, z.B. mit DynDNS o.ä., aber rückwärts?

Ich hatte jedenfalls in der Vergangenheit öfter gute Gründe, Mails unter meiner eigenen Absenderadresse und ohne jede Absicht, irgendetwas zu verschleiern, über einen anderen Server auszuliefern. Und früher hat das ja auch funktioniert. Manchmal waren die Gründe ganz banal: Der "richtige" Server war z.B. von meinem momentanen Standpunkt aus sehr langsam oder schlecht zu erreichen oder es wurde nur Webmail und kein SMTP-Server angeboten.

Erst mal vielen Dank für das Verständnis der Problematik, die ich ansprochen habe. Nicht selten sind die Reaktionen bedauerlicherweise unwirsch bis unflätig. Sachlich positive Antworten mit dem Bemühen um konstruktive Lösungen sind daher um so mehr zu loben.

Benutzer ezc schrieb:
[...]

Über das SMTP kann ja auch der zur IP-Adresse gehörige DynDNS-Domainname als EHLO übergeben werden. Das ist eine Standardeinstellung bei postfix. Mit einer DNS-Abfrage könnte dann die Zuordnung DynDNS-Domain-DynIP-Adresse überprüft werden. Dann muss nicht "rückwärts" aufgelöst werden. Damit wäre zumindest eine unabhängige Überprüfung der unzweideutige Verknüpfung zwischen Domainname und IP-Adresse gewährleistet.
Dazu müsste der MTA natürlich neben der IP-Adresse auch den übermittelten Domainname entsprechend auswerten.


Ich finde auch, dass es genug legitime Gründe gibt eine eigenen Mailserver zu betreiben.

Benutzer cassiel schrieb:
[...]

Ja, das hört sich vernünftig an. Ist sicher weniger aufwenig als das Überprüfen signierter Mails und würde wenigstens mal erlauben, einen eigenen Mailserver zu betreiben.
Nicht ganz das, was ich ursprünglich im Sinn hatte (Absenderidentität verifizieren), würde aber das Problem weitgehend lösen - und wäre vermutlich auch nicht soooo schwer zu implementieren. Jedenfalls ohne alles komplett umzukrempeln.
Dazu braucht es natürlich einen DynDNS-Dienst - aber so lange man so etwas sogar in der Grundausführung kostenlos bekommt, ist das ja kein Hindernis.

Benutzer ezc schrieb:
[...]

Yep.

Das Thema hat mich gestern nicht mehr losgelassen und ich habe dazu einen interessanten Lösungsansatz gefunden:
MTA Authentication
http://spamfizzle.com/StoppingSpam.aspx
Achtung! Die Domain ist derzeit nicht erreichbar!
(Der Besitzer hat wohl vergessen sie zu verlängern)
Nur im Google-Cache ist sie noch verfügbar:
http://www.google.com/search?q=site:spamfizzle.com&num=100&hl=en&lr=&filter=0
Ich finde das hat das Potential E-Mail zu revolutionieren und die Spam-Seuche einigermaßen einzudämmen.

Benutzer cassiel schrieb:

Diesem Überwachungszwang kannst Du Dich aber nur entziehen, wenn Du Deine E-Mail an einen der verbliebenen "kleinen" Provider schickst, der bezüglich seiner Anti-Spam-Filtterregeln ggfls. mit sich reden lässt.


Für den Relayhost ist eigentlich eher der Webspace-Anbieter zuständig, bei dem man die Domain hat, unter der man E-Mail versenden möchte. Oder der Freemail- (oder paid mail)-Anbieter. Etliche davon bieten ja ebenfalls SMTP AUTH oder SMTP-after-POP.

E-Mail über den Zugangsprovider (soweit dieser nicht identisch mit dem Webspace- oder E-Mail-Provider ist) abzuschicken, hat immer den Nachteil, dass diese über einen für die Absenderdomain eigentlich nicht zuständigen SMTP-Server läuft. Und da die Spammer ihren Müll nunmal ebenfalls im "Schutz der Anonymität" abliefern, wird solche von Drittservern stammende E-Mail zunehmend höhere Spam-Scores erhalten.


Kai