Hoster blockiert E-Mails ohne DKIM DMARC

Moin,

SPF, DKIM und DMARC sind Mechanismen, die technisch sinnvoll sind. Trotzdem werden auch diese durch gekaperte Domains und Mailserver auch umgangen. SPF und DKIM sollte jeder aktiv haben. DMARC ist ergänzend zu SPF und DKIM. Alles zusammen verhindert es (wenn richtig umgesetzt) das Mail-Spoofing und erhöht zudem die Mail-Domain/Server-Reputation. Bei kleinen Hostern oder privaten Mailservern ist das ein Problem.

Wenn einmal eine Anzahl Spam-Mails durchrutscht, dann wird der Server evtl. auf einer Black-List landen. Dann muss man viele Anrufe tätigen, bis man wieder da runter ist.

Grundsätzlich ist das Einschalten der Prüfung in Ordnung, wenn man weiterhin eine Fail-Back-Option aka White-List hat.

Btw...


Wie viel denn so in etwa?

ich würde dem hoster ziemlich auf die füsse treten... denn es mag ja sein das "shebang" glaubt ein solches Verhalten wäre toll -> nur: Liegt es nicht im Auftrag des HOSTERS sowas für den Kunden einfach vorzuschreiben. Wie der TO schon sagt - ggf. sind Behörden noch nicht soweit. Oder es sind Mails aus anderen Ländern die sich nen Sch... dafür interessieren,... Wenn ich als Kunde meine ich will den Spam ggf. sogar erhalten -> dann ist es nicht die Aufgabe des Hosters zu entscheiden das er/sie/es mich schützen möchte...

Mit der Ansicht von "shebang" könnte der Hoster oder jeder Provider also auch auf die Idee kommen zu sagen "hey, ich setz dir mal ne Zwangsfirewall mit Content-Filter" -> immerhin sind ja Porno-Seiten, illegale Download-Seiten, ... durchaus für Viren usw. bekannt. Also - nur zum Schutz des Kunden rausfiltern... Und am besten dann auch noch gleich zB. Fox News, AFD (oder je nach Ideologie des Providers natürlich) sperren -> den rechten Kram braucht ja eh keiner....

Und ich würde dem Hoster schriftlich mitteilen das ich diesen Filter nicht will und der eben _NICHT_ dafür zuständig ist mir das vorzuschreiben, für evtl. Schäden durch nicht zugestellte Mails den sogar ggf. Haftbar machen... Denn das ganze ist ähnlich wie die Post: Nur weil der Postbote meint das zuviel Werbung zugeschickt wird kann der die Briefe trotzdem nicht wegwerfen...

Der größte Teil des wirklich nervigen Spams kommt von GMail (hat DKIM), kostenlosen outlook.com-Adressen (hat auch DKIM) oder von nur dafür registrierten Domains (haben auch alle DKIM).

Laut meinen Spamfilter-Statistiken werden aufgerundet 6% der abgewiesenen Mails wegen fehlender/falscher Authentikationsmerkmale wie DKIM oder SPF blockiert, der Rest wird rein inhaltsbasiert oder über DBLs als Spam eingestuft.
Das, was der Hoster da macht, ist also bestenfalls Augenwischerei – und zwingend auf DKIM zu bestehen ist halt eine mögliche Meinung, aber SPF ist ebenfalls eine gültiges Authentizitätsmerkmal für E-Mails, was die vom TO beschriebenen Probleme größtenteils lösen würde. Zumal der Vorschlag, die Absender auf Whitelists zu stecken (die dann ja offensichtlich die Prüfungen auf diese Authentizität abstellen) langfristig genau das Gegenteil bewirkt.

Zudem ist es für inhaltsbasierte selbstlernende Filter fatal:
Entweder werden die an allen abgelehnten Mails antrainiert, dann werden die zukünftig eine Menge legitimer E-Mails blockieren.
Oder sie werden nur an den Mails mit DKIM antrainiert, dann sind aber die Samplegrößen zu klein um wirklich effektives Spam-Training zu haben.

Ich frage mich, ob der Hoster groß genug ist (oder sich dafür hält), dass der sowas durchhalten könnte.

Wir jedenfalls machen so einen schwachsinnigen Move nicht, aber wir bilden uns mit den gerade mal knapp 680 Domains auf unserer Mailinfrastruktur auch nicht ein, eine entsprechende Marktmacht zu haben.
Ich halte das, was der Hoster da macht, für eine ziemlich dumme Entscheidung.

Du hast es selbst geschrieben:
Darum soll es nun so bleiben? Deiner Denke nach, würden wir heute noch unser Essen mit Pfeil und Bogen jagen.
Ganz offensichtlich bekommen es ja einige Firmen/Behörden nicht gebacken sich an einen Standard zu halten - also muss ein Zwang (nach 14 Jahren...) her. Sonst würden wir hier in DE immer noch ohne Anschnallgurt fahren dürfen bzw.: frei dem Motto: macht doch jeder was er will.

Kann ich nur meinen Kopf schütteln.

Gruß

Edit: damit wir uns nicht falsch verstehen: NUR DKIM bringt es natürlich nicht. Ich gehe von SPF, DKIM und DMARC als Kombo aus.


Das haben wir doch schon!? Wo lebst Du?

Achja: Kunde kann Whitelisten, wenn er auf Spam steht. Wo ist dein Problem!?

@LordGurke

Das sehe ich nicht so, dass es "Augenwischerei" ist. Wie bereits geschrieben, das Erzwingen der Prüfungen ohne technische Ausnahmen, ist vermutlich nicht rechtens. Wenn diese aber vorhanden sind, dann sehe ich hier keine große Einschränkung.

Ja, viele große "kostenlose" Mail-Hoster haben gültige Signaturen. Das hindert aber Spam-Farmen nicht daran täglich tausende Mailadressen nur für wenige Stunden oder Tage automatisiert zu erstellen und zu nutzen. Hierfür ist SPF, DKIM und DMARC auch nicht gedacht.

Inhaltliche Spamfilter, die durch mehrere Ebenen Mails prüfen, sind meist nicht in den kostenlosen oder günstigen Mail-Hosting-Paketen enthalten. Da werden oft nur einfache Parameter abgeglichen und wenn keine Übereinstimmungen vorliegen, wird die Mail zugestellt.

Bessere Systeme, natürlich gegen mehr Geld, können da schon viel tiefer analysieren und bei nur kleinsten Abweichungen wird das genauer geprüft.

SPF, DKIM und DMARC sind Mechanismen, die sicherstellen, dass Mail von dem Absender kommen, die auch in der Mail stehen, die Mails nicht verändert wurden auf ihrem Weg im Internet und mit DMARC regelt man die Ergebnisse der SFP und DKIM Prüfung.

ähm - ok, und wer gibt den Standard dann deiner Meinung nach vor? USA? China? DE?

Und ja - DAS ist eben der Nachteil an einem Weltweiten Netzwerk -> du kannst viele Dinge nur als optional machen. Vgl. HTTP -> es wäre für dich also dann auch gut wenn halt ab morgen jeder browser nur noch https kann -> was ja generell Vorteile hat? Und wer halt kein _gültiges_ Zertifikat hat fliegt raus -> das bisserl Hardware was idR. Self-Signed hat, die paar Seiten,... -> irgendwie muss man die ja mal gültig bekommen?

Übrigens es liegt nunmal nicht in der Verantwortung des Providers hier eine Filterung vorzunehmen. Sofern du in der Admin-Rolle einer Firma bist kannst du es ja bei _euch_ durchaus so umsetzen (sofern GL zustimmt,...). Du bist eben kein öffentlicher Provider. Um bei deinem Beispiel zu bleiben: Mein Auto fährt auch - selbst wenn ich den Anschnallgurt _nicht_ nutze, es liegt nämlich NICHT in der Verantwortung des Herstellers ob ich den nehme oder nicht. Der hat das ANGEBOT bereitzustellen (sonst gibts eben keine Zulassung), die NUTZUNG obliegt mir als Fahrer. Und DA ist eben der Unterschied... Eben genausowenig wie es der Postbote zu entscheiden hat welche Briefe er mir zustellt -> dessen Aufgabe ist eben nur die Zustellung.

Übrigens - wo setzt du denn die Grenze für diesen Zwang? Demnach müsste heute eben alles nur mit HTTP schon wegfliegen (schade für ältere Hardware...)? Provider sollten selbst entscheiden was Spam ist und was nicht (blöd für Medizin-Firmen wenn der Provider sagt wenn "Pills" vorkommt is es spam),...? Und wehe du probierst mit nem Mobilgerät was älter ist noch ins Netz zu kommen - geht ja mal gar nich (blöd dann für ältere Personen die ggf. noch das alte iPhone haben...). Nunja, dann muss man Froh sein das diese Ansichten offentsichtlich nicht sonderlich verbreitet sind...

Und wo ist das Problem? Damit ich etwas Whitelisten kann muss ich ja erstmal wissen wer mir schreibt. Ich habe aber eben keine Kontrolle darüber - ggf. setzt morgen das Finanzamt den Mailserver neu auf und sagt halt "ich nutze was anderes" oder der Steuerberater schickt mir ne Mail und ich hab den eben noch nicht auf der Whitelist. Auch DAS Argument halte ich daher für sehr schwammig -> es ist einfach nicht die Aufgabe des Providers das zwingend vorauszusetzen. Ein Provider kann es Anbieten, aber spätestens auf Anforderung hat er/sie es dann zu deaktivieren (für min. meine Domain)...

EDIT: Ausserdem: Ggf. möchte ich eben gar keinen Spam-Filter weil ich dahinter bereits einen eigenen Betreibe -> auch da liegt es dann nicht beim Provider mir das vorzuschreiben... Denn meinen eigenen Spamfilter habe ich ggf. sogar mit nem modernen Filter versehen -> blöd wenn da ne Vorfilterung meine Statistiken zerhaut...

IETF, RFC - sicher schonmal gehört.

Korrekt - darum wäre es doch schön, wenn sich alle an ein Standard halten würden. Wäre für alle (Guten) gar nicht übel.

Wo steht das? Der Hoster verbietet es ja nicht und bietet die Möglichkeit des Whitelistings.

Lokal nein, im GAN definitiv. Ich bezweifle, dass Dir deine Bank eine HTTP Verbindung anbietet. Sprich: sie erwartet und nötigt Dich, einen Browser zu nutzen der TLS 1.x kann. Ist dann für Dich auch gängeln, oder?

Bis Du von der Polizei eine auf den Deckel bekommst =) Sprich eine Kontrollinstanz. Nach dem 5ten Knöllchen hältst auch Du dich daran.

ruatag ... immer noch. Ansonsten hat der Hoster ja geschrieben: Whitelisten -> Da wir den Hoster nicht namentlich kennen, weiß ich nicht, wie er das umsetzt aber jedenfalls hat Kunde Möglichkeiten zum Whitelisten.

Ohje, .. schon interessant, wie unique hier manche Admins sind :D

Gruß

Edit: lassen wir die high-end Admins mal außen vor - die können eigene Spamgateways usw. - Die sind dann aber auch nicht bei nem 0815-Hoster. Und der normale User? Wie ists mit dem? Erklär dem doch bitte, dass Er SPF, DKIM und DMARC einrichten soll, während Er noch verzweifelt die Anykey Taste sucht. Insofern ist "Führung" / "Best Practise" vielleicht nicht so blöd.

Na wenn Dir das auf dem Herzen liegt... verstehe ich deinen Text.

HAHAHA Ja, den hatte ich schon lange nicht mehr...

RUA ist gut, beim RUF muss man aus Datenschutzgründen aufpassen.

ahh - ok, und dem user willst du also lieber erklären wie und was ne whitelist ist und dem erklären was der eben dem Finanzamt erklären soll weil die Mail mit der Bitte um Belege nie ankam? Und woher weiss dieser User eben das irgendwas nicht ankam? Oder eben die simple Rechnung vom Onlineshop xyz wo der besagte User grad mal zum ersten mal bestellt hat -> BEVOR eben die Rechnung per Post vom Inkasso-Unternehmen kommt?

Und den "Spamfilter mit KI" -> genau den hat dieser User doch -> Norton, McAfee,... (und wie die alle heissen) geben nämlich genau dem User dieses tolle "All-Inclusive Paket" (ob das jetzt immer gut ist oder nicht liegt sicher im Auge des Betrachters...).

Also meine Finanzämter können und verwenden das schon, evtl. kommt das bei Euch auch noch.

Und ja, eine Whitelist ist definitiv einfacher erklärt, wie SPF und Konsorten. Trotzdem tricky, stimme ich zu. Aber nur aus dem Grund, allen anderen das Spiel verderben? Ich weiß ja nicht ..
Die, die nicht mitziehen, fallen immer irgendwann über den Rand - man könnte sagen: natürliche Auslese.

Oder hattest Du einen guten Ruf, wenn Du ständig quergeschlagen hast in der Schule/Uni/Whatever. Regeln haben manchmal Sinn (insb. wenn es andere dadurch betrifft).

Den wird es nicht sehr lange geben, glaub es

So, bin raus hier. Wünsche einen schönen restlichen Tag.

Definitiv nicht! Das stellt eher einen Rückschritt dar. Wenn eine Technik 14 Jahre lang nicht richtig funktioniert, dann ist es kein Schritt in die richtige Richtung, wenn der Anbieter die Verwendung dieses Machwerks erzwingt. Das geht rein rechtlich schon mal gar nicht und ist auch vollkommen sinnlos im Sinne der Sicherheit. Das erhöht nicht die Sicherheit, sondern das Frustlevel der Admins im Service.

Dazu kommt, dass auch mit DKIM markierte Mails weder Spam noch Phishing unterbinden. Eine lange Liste, angefangen von gekaperten Konten, über Spoofing oder gefakte URLs, bzw. TinyLinks machen das nahezu sinnlos.

Wusstest du, dass die meisten großen Anbieter dieses "Feature" gern jahrelang deaktiviert ließen, weil es nur bedingt oder gar nicht funktionierte? Es ist nicht viel passiert, bis auf das Datum hat sich da nicht viel geändert.

Kannst du total toll finden. Möchte ich aber trotzdem nicht und rate JEDEM davon ab. Dem Hoster würde ich auf seine rechtlichen Verpflichtungen hinweisen, die den Transport der Mail garantieren. Irgendwelche Änderungen in der "Sicherheits"-Architektur können nicht ad hoc verpflichtend sein. Ich baue garantiert keine Schrottsoft in meine ADs, wenn ich damit meine Sicherheit unterminiere oder Mails dann nicht mehr ankommen, trotz Signierung. Du hast offensichtlich wenig Erfahrung mit dem Thema, bzw. der Einrichtung und Nutzung, sonst würdest du die Probleme kennen, die teilweise auch hier im Forum genannt werden.

Fazit : Auch nach 14 Jahren ist die DMARC-DKIM Technik noch immer Schrott und wird es auch bleiben, wenn dort nicht radikal umgedacht wird. Das wird auch nie zum Standard, egal wie sehr sich das einige Personen wünschen. Auch hier im Forum ist die überwiegende Mehrheit dagegen und / oder hat negative Erfahrungen damit.

Gegen Phishing und Co gibt es definitiv bessere Methoden. Wenn DMARC-DKIM die Lösung sein soll, hätte ich gern das Problem zurück.

Ein neuer Account also. Dir lese ich doch gerne zu. Okay, eigentlich nehme ich deinen Post gar nicht ernst.

SPF, DKIM und DMARC können technisch nicht vor Spam schützen. Vor 10+ Jahren war es damit aber wesentlich einfacher zu filtern. Gezielte Angriffe via Mail erfolgen oft einem systemischen Ablauf. In großen Firmen habe ich das schon einige Male erlebt. Erst kommt eine willkürliche Welle von "dummen" Mails an alle möglichen Empfänger. So wird ermittelt, ob es eine Zieladresse gibt. Mit evtl. öffentlich verfügbaren Daten von Webseiten werden diese dann zusammengeführt was am Ende in einer sehr guten Phishing-Mail enden kann.

Also eine personalisierte Mail, die alle Prüfungen der Mailserver besteht, inhaltlich korrekt, bezieht sich auf etwas aktuelles und oft an eine höher positionierte Person in der Firma adressiert. Hierfür gibt es keinen technischen Schutz und nur die regelmäßige Schulung der Mitarbeiter kann helfen.

Ich hatte in den letzten 6 Jahren zwei Fälle von ausgeführten Zahlungsanweisungen und einen Krypto-Trojaner. Im letzteren Fall war technisch ziemlich raffiniert, da die Mail keinen direkten "bösen" Link enthielt. Der Anwender wurde auf eine manipulierte Webseite gelockt, dann KLICK und Payload von einem anderen Server geladen. Damals hat weder die Firewall noch Endpoint-Schutz angeschlagen. Das war 2020.

Fühl Dich ausgelacht :D

Welcher Hoster ist das denn?
Die meisten Hoster respektieren das was in den DNS Einstellungen des Absenders hinterlegt ist, bieten aber z.T. die option das zu übersteuern.

Gibt aber genug Versender die zu "blöd" zum Pflegen der Einstellungen sind bzw. wo ein Vertriebler sich mal schnell ein "billiges" Mail-Marketing-Tool in der Cloud geklickt hat und die IT nix davon weiss.

Du lachst über dein eigenes Verhalten aber meinst MICH auszulachen.


Offensichtlich hast du es nicht einmal verstanden.

Aber absolut zu blockieren ist die falsche Reaktion.


Dann brauch ihr Euch nicht beschweren, wenn ihr "wichtige" Mail nicht bekommt.


Das ist ein Trugschluß. Heute kommt der SPAm dreifach zertifiziert und abgesegnet. Gegen SPAM hilft SPF und DKIM/DMARC nur, wenn der Versender keine Ahnung hat. Gegen Phishing hlft es eher.


Nein. es ist die Entscheidung des Kunden, ob er das haben will und nicht die Entscheidung des Hosters.



Der würde von mir eine Tritt bekommen, wenn der das über meine Kopf hinweg entscheidet.


Nein, Das ist verletzung des Briefgemeimissen, selbst wenn man es nicht "liest", sondern verhindert, daß es zugestellt wird. Der Hoster macht sihc im Prinzip strafbar, wenn er das ohne das Einverständnis des Kunden macht! sueddeutsche.de/wirtschaft/internet-filter-das-briefgeheimnis-gi ...



Schpön wärs mit einer Abmahnung für alle, die das über den Kopf des Kunden hinweg entscheiden.

das Problem ist: Wenn Du Dich weigerst, deren Post anzunehmen, wird das nur schlimmer für dem Empfänger der Post. Die sitzen am längeren Hebel.



Und das meiste davon SPAM. Das vergessen sie zu erwähnen.


Versteh mich nicht falsch! Ich begrüße Die Verbreitung von DKIM/DMARC und auch SPF. Nur finde ich es unverantwortlich, das für andere zu entscheiden,. ob man sowas annimmt oder nicht. Abgesehen davon, daß man sich strafbar macht, istr es Bevormundung des Kunden.

lks

Tritt dem Hoster in den Arsch und sag ihm, es ismmer noch Deine Entscheidung als Kunde, ob Du das willst oder nicht!

lks

PS: Ich gehe davon aus, daß der Kunde seine eigene Domain hat für den Kunden diese hostet und Mail verwaltet. Wenn das Hingegen nur ein Mailanbieter ist, wie web.de, gmx.de, mail.de, etc. die nur einzelne Mailadressen unter ihrern eigenen Domains für den Kunden anbieten, so muß man sich derem Diktat beugen, weil das eben deren Regeln sind.

<reflection>
Sorry für mein rant gestern. Ihr habt natürlich fast ausnahmslos Recht. Die Technologie hat Sinn und sollte genutzt/gesetzt werden, aber nicht über Zwang und Gewalt.
</reflection>

Ich habe dazugelernt.

Schönen Freitag.

Gruß