Before the Flood

In der vergangenen Woche macht die Nachricht unter anderem auf heise.de die Runde, dass die Mailserver von GMX, web.de und andere Unternehmen der UnitedInternet-Gruppe auf Antispam-Blacklisten gelandet waren. Natürlich kann man jetzt mit den Schultern zucken – ich persönlich möchte keinen Account bei denen haben, und ich habe meine Gründe – aber das führt ja zu nichts. Dieser Anbieter ist so groß, dass man ihn nicht ignorieren kann. Obwohl mir danach wäre, denn mit seriös hat deren Geschäft meiner Meinung nach weniger zu tun.

Trotzdem lohnt ein Blick darauf, was da passiert ist, und zwar aus mehreren Gründen. Da ist zum einen der Aspekt, dass es durchaus den Richtigen getroffen haben könnte. Zum anderen wirft es ein Licht auf Blacklisten. Die war uns in den vergangenen Wochen ja schon einmal begegnet, und ich will nicht so sehr darauf hinaus, wieviel Sorgfalt bei der Pflege dieser Listen verwendet wird sondern wie kritiklos sie eingesetzt werden. Einblicke dazu liefern Beiträge von Nutzern im Heiseforum, die freudestrahlend über ein Vorgehen a la ‚Blacklist von Spamhaus einbinden und ich habe Ruhe‘ berichteten. Sollte man nicht machen, aber dazu weiter unten.

Vorab: ich bin der Meinung dass es den Richtigen getroffen hat. Ich ärgere mich seit längerem über UnitedInternet (mit diversen Anbietern), die fröhlich eigene Werbung in Mengen an ihre Nutzer zustellen und gleichzeitig legitime Absender mit fragwürdigen Methoden blocken und dabei noch nicht einmal einen anständigen Serverstatus zurückliefern. 550 / Mailbox unavailable ist etwas anderes als 551 (rejected) – zumal das ja auch noch damit zusammenzuhängen scheint, dass UnitedInternet ein Limit für den Mailversand auch für den Mailempfang setzt (300 in der Stunde), dies gleichzeitig für alle Empfänger der Konzerngruppe anwendet und Freikauf über die Certified Sender Alliance anbietet. Ich kommentiere das jetzt mal nicht weiter und verweise mal auf einen Artikel von Publicare.

Dazu kommt, dass UnitedInternet zur Zeit keine Anstrengungen unternimmt, Verfahren wie DKIM, SPF oder DMARC zu implementieren, mit dem sicherstellen könnte, dass derjenige, der eine Mail versendet, das auch darf. Mag sein, dass man an dem bisherigen Vorgehen zu gut verdient – ich will das aber nicht wirklich behaupten.

Jedenfalls ist der Versand an UnitedInternet durchaus Glückssache, und das ist ärgerlich. Der Empfang von UnitedInternet übrigens auch – zu häufig wurde beispielsweise von web.de oder GMX tatsächlich Spam in Mengen versendet.

Jetzt hat Spamhaus das mal mit gleicher Münze zurückgezahlt. Man spricht dort zwar von einem Versehen, aber das lässt ja durchaus Deutungsmöglichkeiten. Ein Versehen von wem genau? Die Eintragung auf Listen erfolgt dort im Wesentlichen automatisiert und Blockweise – das bedeutet, wenn ein Server in der Nachbarschaft beim Hoster Spam versendet dann sind die Chancen hoch, dass der eigene ebenfalls auf der Liste landet. Die Schufa macht das übrigens ganz ähnlich bei der Berechnung des Scores, aber das nur am Rande (und genauso kritikwürdig). Diese Bad-Neighbourhood-Theorie hat auch in der Vergangenheit schon für viel Freude gesorgt und traf auch schon mehrfach die Deutsche Telekom. Man könnte also meinen, dass Spamhaus an dieser Stelle Vorsorge trifft, um nicht ganze Länder halbwegs vom Mailversand auszusperren.

Insgesamt nicht schön – zumal es ja letztlich egal zu sein scheint, ob man blacklistbasiert blockt oder nicht. Das Spamaufkommen wird nicht geringer. Zeit also, andere Verfahren zu implementieren.

Ich persönlich nutze seit einiger Zeit die Kombination aus SPF und DMARC – letzteres hat den wundervollen Vorteil, dass man von Zielprovidern, die das Verfahren unterstützen, auch ein Feedback bekommt, denn das Protokoll bietet die Möglichkeit, Reports anzufordern. Es hilft dabei zwar, wenn man XML lesen kann, aber informativ ist es auch so, die Information zu bekommen, dass alle vom eigenen Mailserver versendeten Mails den Status haben und irgendwo in der Steppe jemand, der versucht mit einer gefälschten Absendeadresse zu senden in die Röhre guckt.

Das Verfahren ist einfach und sicher: ich brauche entweder eine Signatur nach dem DomainKeys-Verfahren oder einen SPF-Record. Die Signatur ist etwas aufwändiger, der SPF-Record eine Textdatei, die mit ein paar simplen Parametern darüber informiert, welcher Server mit welcher IP-Adresse in meinem Namen Mails versenden darf. Man kann das abschließend regeln oder aber für größere Unternehmen auf Wildcards setzen. Ich präferiere die Signatur.

Zum effektiven Mittel wird das allerdings erst wenn es einen Rückkanal gibt – und den stellt DMARC dar. Ebenfalls ein Texteintrag, der dem Empfängerprovider die Anweisung gibt, wie mit Mails zu verfahren ist. Und das ein Bericht über Prüfungsergebnisse auch an den tatsächlichen Verantwortlichen für den Mailserver zu übersenden ist, der dann prüfen kann ob alles mit rechten Dingen zugeht. Mir hat das neulich mal bei einem Kunden sehr viel gebracht, bei dem eine Mitarbeiterin auf Geschäftführungsebene über einen fremden Mailserver versendete, leider aber dazu die Absendeadresse einer Domain benutzte, die in meiner Zuständigkeit lag. Der betreffende Adminstrator hatte danach ein paar Überstunden, und seitdem ist alles gut.

Bleibt die Frage, weshalb UnitedInternet dieses Verfahren nicht unterstützt. Denn dadurch würde der massenhafte Versand von nicht legitimierten Mails dauerhaft wirkungsvoll eingeschränkt.

Aber vielleicht verdient man ja einfach lieber an den Club- oder Pro-Angeboten? Es sind ja dumme Kundinnen und Kunden, mit denen man es machen kann.

Deine Meinung?