bluescreem

Hoster blockiert E-Mails ohne DKIM DMARC

Hallo,

mein Hoster hat den E-Mail-Spamschutz erweitert und blockiert nun alle eingehenden E-Mails ohne gültige DKIM-DMARC-Signatur. Da ich mit meinem gemeinnützigen Verein sehr viel mit Behörden zu tun habe und diese nicht immer auf der Höhe der Zeit sind, werden derzeit alle E-Mails von denen nicht angenommen. Ich habe jetzt angefangen, schrittweise alle betroffenen Domains in die Whitelist zu nehmen. Wurde mir vom Support des Hosters als einzige Alternative vorgeschlagen.

Aus meinem Job kenne ich solche konsequenten Einstellungen beim Posteingang nicht. Da bekommen solche E-Mails höchstens eine schlechtere Bewertung für den Spamfilter.

Der Spamschutz scheint nicht besser geworden zu sein. Denn es kommt weiterhin bei uns einiges durch, weil dieser oft über gekaperte Hotmail, GMail etc. Konten verschickt werden.
Insofern scheint für mich DKIM-DMARC zum Spamschutz sinnfrei!?
Kennt ihr weitere Hoster, die das so aggressiv eingestellt haben?
Ist das überhaupt rechtlich zulässig, dass ein Hoster die Zustellung von E-Mails ohne Absprache blockiert?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 674107

Url: https://administrator.de/forum/hoster-dkim-dmarc-spamschutz-674107.html

Ausgedruckt am: 01.08.2025 um 08:08 Uhr

shebang
shebang 31.07.2025 aktualisiert um 13:51:27 Uhr
Hallo,

blockiert nun alle eingehenden E-Mails ohne gültige DKIM-DMARC-Signatur
Kann ich nur sagen: DANKE! Ein Schritt in die richtige Richtung!

Aus meinem Job kenne ich solche konsequenten Einstellungen beim Posteingang nicht
Ich schon - hier wird alles rigoros abgeblockt, was nicht legitim ist (und anschließend auch geprüft aufgrund rua).

Finde ich super, sollten alle ENDLICH durchziehen, dann gäbe es massiv weniger Spam, Phishing etc.

Nach mehr als 14 Jahren Existenz darf man dazu nun auch gezwungen werden.

Weiter so @hoster

SPF, DKIM, DMARC ftw.
Gruß

Edit:
Ist das überhaupt rechtlich zulässig, dass ein Hoster die Zustellung von E-Mails ohne Absprache blockiert?
Schön wärs, wenn alle eine Abmahnung bekommen, die es nicht blockieren.

mit Behörden zu tun habe und diese nicht immer auf der Höhe der Zeit sind
Druck aufbauen, mit genau solchen Mitteln. Die fahren ja auch nicht ohne (verbauten) Anschnallgurt ;)

Laut einer im Oktober 2015 veröffentlichten Studie waren 83 % der E-Mails, die Gmail im April 2015 empfangen hatte, mit DKIM signiert.
DerMaddin
DerMaddin 31.07.2025 um 13:55:07 Uhr
Moin,

SPF, DKIM und DMARC sind Mechanismen, die technisch sinnvoll sind. Trotzdem werden auch diese durch gekaperte Domains und Mailserver auch umgangen. SPF und DKIM sollte jeder aktiv haben. DMARC ist ergänzend zu SPF und DKIM. Alles zusammen verhindert es (wenn richtig umgesetzt) das Mail-Spoofing und erhöht zudem die Mail-Domain/Server-Reputation. Bei kleinen Hostern oder privaten Mailservern ist das ein Problem.

Wenn einmal eine Anzahl Spam-Mails durchrutscht, dann wird der Server evtl. auf einer Black-List landen. Dann muss man viele Anrufe tätigen, bis man wieder da runter ist.

Grundsätzlich ist das Einschalten der Prüfung in Ordnung, wenn man weiterhin eine Fail-Back-Option aka White-List hat.

Btw...

... es kommt bei uns einiges durch ...

Wie viel denn so in etwa?
maretz
maretz 31.07.2025 um 13:58:19 Uhr
ich würde dem hoster ziemlich auf die füsse treten... denn es mag ja sein das "shebang" glaubt ein solches Verhalten wäre toll -> nur: Liegt es nicht im Auftrag des HOSTERS sowas für den Kunden einfach vorzuschreiben. Wie der TO schon sagt - ggf. sind Behörden noch nicht soweit. Oder es sind Mails aus anderen Ländern die sich nen Sch... dafür interessieren,... Wenn ich als Kunde meine ich will den Spam ggf. sogar erhalten -> dann ist es nicht die Aufgabe des Hosters zu entscheiden das er/sie/es mich schützen möchte...

Mit der Ansicht von "shebang" könnte der Hoster oder jeder Provider also auch auf die Idee kommen zu sagen "hey, ich setz dir mal ne Zwangsfirewall mit Content-Filter" -> immerhin sind ja Porno-Seiten, illegale Download-Seiten, ... durchaus für Viren usw. bekannt. Also - nur zum Schutz des Kunden rausfiltern... Und am besten dann auch noch gleich zB. Fox News, AFD (oder je nach Ideologie des Providers natürlich) sperren -> den rechten Kram braucht ja eh keiner....

Und ich würde dem Hoster schriftlich mitteilen das ich diesen Filter nicht will und der eben _NICHT_ dafür zuständig ist mir das vorzuschreiben, für evtl. Schäden durch nicht zugestellte Mails den sogar ggf. Haftbar machen... Denn das ganze ist ähnlich wie die Post: Nur weil der Postbote meint das zuviel Werbung zugeschickt wird kann der die Briefe trotzdem nicht wegwerfen...
LordGurke
LordGurke 31.07.2025 um 13:59:18 Uhr
Der größte Teil des wirklich nervigen Spams kommt von GMail (hat DKIM), kostenlosen outlook.com-Adressen (hat auch DKIM) oder von nur dafür registrierten Domains (haben auch alle DKIM).

Laut meinen Spamfilter-Statistiken werden aufgerundet 6% der abgewiesenen Mails wegen fehlender/falscher Authentikationsmerkmale wie DKIM oder SPF blockiert, der Rest wird rein inhaltsbasiert oder über DBLs als Spam eingestuft.
Das, was der Hoster da macht, ist also bestenfalls Augenwischerei – und zwingend auf DKIM zu bestehen ist halt eine mögliche Meinung, aber SPF ist ebenfalls eine gültiges Authentizitätsmerkmal für E-Mails, was die vom TO beschriebenen Probleme größtenteils lösen würde. Zumal der Vorschlag, die Absender auf Whitelists zu stecken (die dann ja offensichtlich die Prüfungen auf diese Authentizität abstellen) langfristig genau das Gegenteil bewirkt.

Zudem ist es für inhaltsbasierte selbstlernende Filter fatal:
Entweder werden die an allen abgelehnten Mails antrainiert, dann werden die zukünftig eine Menge legitimer E-Mails blockieren.
Oder sie werden nur an den Mails mit DKIM antrainiert, dann sind aber die Samplegrößen zu klein um wirklich effektives Spam-Training zu haben.

Ich frage mich, ob der Hoster groß genug ist (oder sich dafür hält), dass der sowas durchhalten könnte.

Wir jedenfalls machen so einen schwachsinnigen Move nicht, aber wir bilden uns mit den gerade mal knapp 680 Domains auf unserer Mailinfrastruktur auch nicht ein, eine entsprechende Marktmacht zu haben.
Ich halte das, was der Hoster da macht, für eine ziemlich dumme Entscheidung.
shebang
shebang 31.07.2025 aktualisiert um 14:13:32 Uhr
Zitat von @maretz:

ich würde dem hoster ziemlich auf die füsse treten... denn es mag ja sein das "shebang" glaubt ein solches Verhalten wäre toll -> nur: Liegt es nicht im Auftrag des HOSTERS sowas für den Kunden einfach vorzuschreiben. Wie der TO schon sagt - ggf. sind Behörden noch nicht soweit. Oder es sind Mails aus anderen Ländern die sich nen Sch... dafür interessieren,... Wenn ich als Kunde meine ich will den Spam ggf. sogar erhalten -> dann ist es nicht die Aufgabe des Hosters zu entscheiden das er/sie/es mich schützen möchte...

Mit der Ansicht von "shebang" könnte der Hoster oder jeder Provider also auch auf die Idee kommen zu sagen "hey, ich setz dir mal ne Zwangsfirewall mit Content-Filter" -> immerhin sind ja Porno-Seiten, illegale Download-Seiten, ... durchaus für Viren usw. bekannt. Also - nur zum Schutz des Kunden rausfiltern... Und am besten dann auch noch gleich zB. Fox News, AFD (oder je nach Ideologie des Providers natürlich) sperren -> den rechten Kram braucht ja eh keiner....

Und ich würde dem Hoster schriftlich mitteilen das ich diesen Filter nicht will und der eben _NICHT_ dafür zuständig ist mir das vorzuschreiben, für evtl. Schäden durch nicht zugestellte Mails den sogar ggf. Haftbar machen... Denn das ganze ist ähnlich wie die Post: Nur weil der Postbote meint das zuviel Werbung zugeschickt wird kann der die Briefe trotzdem nicht wegwerfen...

Du hast es selbst geschrieben:
Mails aus anderen Ländern die sich nen Sch... dafür interessieren
Darum soll es nun so bleiben? Deiner Denke nach, würden wir heute noch unser Essen mit Pfeil und Bogen jagen.
Ganz offensichtlich bekommen es ja einige Firmen/Behörden nicht gebacken sich an einen Standard zu halten - also muss ein Zwang (nach 14 Jahren...) her. Sonst würden wir hier in DE immer noch ohne Anschnallgurt fahren dürfen bzw.: frei dem Motto: macht doch jeder was er will.

Kann ich nur meinen Kopf schütteln.

Gruß

Edit: damit wir uns nicht falsch verstehen: NUR DKIM bringt es natürlich nicht. Ich gehe von SPF, DKIM und DMARC als Kombo aus.

könnte der Hoster oder jeder Provider also auch auf die Idee kommen zu sagen "hey, ich setz dir mal ne Zwangsfirewall mit Content-Filter"...

Das haben wir doch schon!? Wo lebst Du?

Achja: Kunde kann Whitelisten, wenn er auf Spam steht. Wo ist dein Problem!?
DerMaddin
DerMaddin 31.07.2025 um 14:24:29 Uhr
@LordGurke

Das sehe ich nicht so, dass es "Augenwischerei" ist. Wie bereits geschrieben, das Erzwingen der Prüfungen ohne technische Ausnahmen, ist vermutlich nicht rechtens. Wenn diese aber vorhanden sind, dann sehe ich hier keine große Einschränkung.

Ja, viele große "kostenlose" Mail-Hoster haben gültige Signaturen. Das hindert aber Spam-Farmen nicht daran täglich tausende Mailadressen nur für wenige Stunden oder Tage automatisiert zu erstellen und zu nutzen. Hierfür ist SPF, DKIM und DMARC auch nicht gedacht.

Inhaltliche Spamfilter, die durch mehrere Ebenen Mails prüfen, sind meist nicht in den kostenlosen oder günstigen Mail-Hosting-Paketen enthalten. Da werden oft nur einfache Parameter abgeglichen und wenn keine Übereinstimmungen vorliegen, wird die Mail zugestellt.

Bessere Systeme, natürlich gegen mehr Geld, können da schon viel tiefer analysieren und bei nur kleinsten Abweichungen wird das genauer geprüft.

SPF, DKIM und DMARC sind Mechanismen, die sicherstellen, dass Mail von dem Absender kommen, die auch in der Mail stehen, die Mails nicht verändert wurden auf ihrem Weg im Internet und mit DMARC regelt man die Ergebnisse der SFP und DKIM Prüfung.
bluescreem
Lösung bluescreem 31.07.2025 um 14:25:37 Uhr
aber SPF ist ebenfalls eine gültiges Authentizitätsmerkmal für E-Mails

SPF habe ich bei meinen Domains alle mit "?all" gekennzeichnet. Ich fand damals den Vortrag von Peer Heinlein sehr schlüssig zu dem Thema: Vortrag: SPF, DKIM, Greylisting: Der neue Spamschutz?

Ich werde heute Abend meinem Vereinsvorstand vorschlagen, den Hoster zu wechseln. Den habe ich vor 10 Jahren selbst ausgesucht und in der Anfangszeit konnte man hervorragend mit den dortigen Admins kommunizieren und Lösungen finden. Heute scheinen dort nur noch knallharte, kompromisslose Typen zu arbeiten. face-sad

Danke für die Hinweise.
maretz
maretz 31.07.2025 aktualisiert um 14:32:47 Uhr
ähm - ok, und wer gibt den Standard dann deiner Meinung nach vor? USA? China? DE?

Und ja - DAS ist eben der Nachteil an einem Weltweiten Netzwerk -> du kannst viele Dinge nur als optional machen. Vgl. HTTP -> es wäre für dich also dann auch gut wenn halt ab morgen jeder browser nur noch https kann -> was ja generell Vorteile hat? Und wer halt kein _gültiges_ Zertifikat hat fliegt raus -> das bisserl Hardware was idR. Self-Signed hat, die paar Seiten,... -> irgendwie muss man die ja mal gültig bekommen?

Übrigens es liegt nunmal nicht in der Verantwortung des Providers hier eine Filterung vorzunehmen. Sofern du in der Admin-Rolle einer Firma bist kannst du es ja bei _euch_ durchaus so umsetzen (sofern GL zustimmt,...). Du bist eben kein öffentlicher Provider. Um bei deinem Beispiel zu bleiben: Mein Auto fährt auch - selbst wenn ich den Anschnallgurt _nicht_ nutze, es liegt nämlich NICHT in der Verantwortung des Herstellers ob ich den nehme oder nicht. Der hat das ANGEBOT bereitzustellen (sonst gibts eben keine Zulassung), die NUTZUNG obliegt mir als Fahrer. Und DA ist eben der Unterschied... Eben genausowenig wie es der Postbote zu entscheiden hat welche Briefe er mir zustellt -> dessen Aufgabe ist eben nur die Zustellung.

Übrigens - wo setzt du denn die Grenze für diesen Zwang? Demnach müsste heute eben alles nur mit HTTP schon wegfliegen (schade für ältere Hardware...)? Provider sollten selbst entscheiden was Spam ist und was nicht (blöd für Medizin-Firmen wenn der Provider sagt wenn "Pills" vorkommt is es spam),...? Und wehe du probierst mit nem Mobilgerät was älter ist noch ins Netz zu kommen - geht ja mal gar nich (blöd dann für ältere Personen die ggf. noch das alte iPhone haben...). Nunja, dann muss man Froh sein das diese Ansichten offentsichtlich nicht sonderlich verbreitet sind...

Und wo ist das Problem? Damit ich etwas Whitelisten kann muss ich ja erstmal wissen wer mir schreibt. Ich habe aber eben keine Kontrolle darüber - ggf. setzt morgen das Finanzamt den Mailserver neu auf und sagt halt "ich nutze was anderes" oder der Steuerberater schickt mir ne Mail und ich hab den eben noch nicht auf der Whitelist. Auch DAS Argument halte ich daher für sehr schwammig -> es ist einfach nicht die Aufgabe des Providers das zwingend vorauszusetzen. Ein Provider kann es Anbieten, aber spätestens auf Anforderung hat er/sie es dann zu deaktivieren (für min. meine Domain)...

EDIT: Ausserdem: Ggf. möchte ich eben gar keinen Spam-Filter weil ich dahinter bereits einen eigenen Betreibe -> auch da liegt es dann nicht beim Provider mir das vorzuschreiben... Denn meinen eigenen Spamfilter habe ich ggf. sogar mit nem modernen Filter versehen -> blöd wenn da ne Vorfilterung meine Statistiken zerhaut...
shebang
shebang 31.07.2025 aktualisiert um 14:57:43 Uhr
ähm - ok, und wer gibt den Standard dann deiner Meinung nach vor? USA? China? DE?
IETF, RFC - sicher schonmal gehört.

DAS ist eben der Nachteil an einem Weltweiten Netzwerk
Korrekt - darum wäre es doch schön, wenn sich alle an ein Standard halten würden. Wäre für alle (Guten) gar nicht übel.

hat fliegt raus
Wo steht das? Der Hoster verbietet es ja nicht und bietet die Möglichkeit des Whitelistings.

Demnach müsste heute eben alles nur mit HTTP schon wegfliegen (schade für ältere Hardware...)?
Lokal nein, im GAN definitiv. Ich bezweifle, dass Dir deine Bank eine HTTP Verbindung anbietet. Sprich: sie erwartet und nötigt Dich, einen Browser zu nutzen der TLS 1.x kann. Ist dann für Dich auch gängeln, oder?

Mein Auto fährt auch - selbst wenn ich den Anschnallgurt _nicht_ nutze
Bis Du von der Polizei eine auf den Deckel bekommst =) Sprich eine Kontrollinstanz. Nach dem 5ten Knöllchen hältst auch Du dich daran.

muss ich ja erstmal wissen wer mir schreibt
ruatag ... immer noch. Ansonsten hat der Hoster ja geschrieben: Whitelisten -> Da wir den Hoster nicht namentlich kennen, weiß ich nicht, wie er das umsetzt aber jedenfalls hat Kunde Möglichkeiten zum Whitelisten.

Ohje, .. schon interessant, wie unique hier manche Admins sind :D

Gruß

Edit: lassen wir die high-end Admins mal außen vor - die können eigene Spamgateways usw. - Die sind dann aber auch nicht bei nem 0815-Hoster. Und der normale User? Wie ists mit dem? Erklär dem doch bitte, dass Er SPF, DKIM und DMARC einrichten soll, während Er noch verzweifelt die Anykey Taste sucht. Insofern ist "Führung" / "Best Practise" vielleicht nicht so blöd.

blöd wenn da ne Vorfilterung meine Statistiken zerhaut...
Na wenn Dir das auf dem Herzen liegt... verstehe ich deinen Text.
DerMaddin
DerMaddin 31.07.2025 um 14:45:40 Uhr
während Er noch verzweifelt die Anykey Taste sucht.

HAHAHA Ja, den hatte ich schon lange nicht mehr... face-big-smile
Delta9
Delta9 31.07.2025 um 14:59:39 Uhr
ruatag ... immer noch.

RUA ist gut, beim RUF muss man aus Datenschutzgründen aufpassen.
maretz
maretz 31.07.2025 um 15:06:45 Uhr
Edit: lassen wir die high-end Admins mal außen vor - die können eigene Spamgateways usw. - Die sind dann aber auch nicht bei nem 0815-Hoster. Und der normale User? Wie ists mit dem? Erklär dem doch bitte, dass Er SPF, DKIM und DMARC einrichten soll, während Er noch verzweifelt die Anykey Taste sucht. Insofern ist "Führung" / "Best Practise" vielleicht nicht so blöd.

ahh - ok, und dem user willst du also lieber erklären wie und was ne whitelist ist und dem erklären was der eben dem Finanzamt erklären soll weil die Mail mit der Bitte um Belege nie ankam? Und woher weiss dieser User eben das irgendwas nicht ankam? Oder eben die simple Rechnung vom Onlineshop xyz wo der besagte User grad mal zum ersten mal bestellt hat -> BEVOR eben die Rechnung per Post vom Inkasso-Unternehmen kommt?

Und den "Spamfilter mit KI" -> genau den hat dieser User doch -> Norton, McAfee,... (und wie die alle heissen) geben nämlich genau dem User dieses tolle "All-Inclusive Paket" (ob das jetzt immer gut ist oder nicht liegt sicher im Auge des Betrachters...).
shebang
shebang 31.07.2025 aktualisiert um 15:11:48 Uhr
ahh - ok, und dem user willst du also lieber erklären wie und was ne whitelist ist und dem erklären was der eben dem Finanzamt erklären soll weil die Mail mit der Bitte um Belege nie ankam? Und woher weiss dieser User eben das irgendwas nicht ankam? Oder eben die simple Rechnung vom Onlineshop xyz wo der besagte User grad mal zum ersten mal bestellt hat -> BEVOR eben die Rechnung per Post vom Inkasso-Unternehmen kommt?

Also meine Finanzämter können und verwenden das schon, evtl. kommt das bei Euch auch noch.

Und ja, eine Whitelist ist definitiv einfacher erklärt, wie SPF und Konsorten. Trotzdem tricky, stimme ich zu. Aber nur aus dem Grund, allen anderen das Spiel verderben? Ich weiß ja nicht ..
Die, die nicht mitziehen, fallen immer irgendwann über den Rand - man könnte sagen: natürliche Auslese.

Oder hattest Du einen guten Ruf, wenn Du ständig quergeschlagen hast in der Schule/Uni/Whatever. Regeln haben manchmal Sinn (insb. wenn es andere dadurch betrifft).

Onlineshop xyz
Den wird es nicht sehr lange geben, glaub es face-smile

So, bin raus hier. Wünsche einen schönen restlichen Tag.
Willi.NET
Willi.NET 31.07.2025 um 15:11:53 Uhr
Zitat von @shebang:

Kann ich nur sagen: DANKE! Ein Schritt in die richtige Richtung!

Definitiv nicht! Das stellt eher einen Rückschritt dar. Wenn eine Technik 14 Jahre lang nicht richtig funktioniert, dann ist es kein Schritt in die richtige Richtung, wenn der Anbieter die Verwendung dieses Machwerks erzwingt. Das geht rein rechtlich schon mal gar nicht und ist auch vollkommen sinnlos im Sinne der Sicherheit. Das erhöht nicht die Sicherheit, sondern das Frustlevel der Admins im Service.

Dazu kommt, dass auch mit DKIM markierte Mails weder Spam noch Phishing unterbinden. Eine lange Liste, angefangen von gekaperten Konten, über Spoofing oder gefakte URLs, bzw. TinyLinks machen das nahezu sinnlos.

Wusstest du, dass die meisten großen Anbieter dieses "Feature" gern jahrelang deaktiviert ließen, weil es nur bedingt oder gar nicht funktionierte? Es ist nicht viel passiert, bis auf das Datum hat sich da nicht viel geändert.

Finde ich super, sollten alle ENDLICH durchziehen, dann gäbe es massiv weniger Spam, Phishing etc.
Kannst du total toll finden. Möchte ich aber trotzdem nicht und rate JEDEM davon ab. Dem Hoster würde ich auf seine rechtlichen Verpflichtungen hinweisen, die den Transport der Mail garantieren. Irgendwelche Änderungen in der "Sicherheits"-Architektur können nicht ad hoc verpflichtend sein. Ich baue garantiert keine Schrottsoft in meine ADs, wenn ich damit meine Sicherheit unterminiere oder Mails dann nicht mehr ankommen, trotz Signierung. Du hast offensichtlich wenig Erfahrung mit dem Thema, bzw. der Einrichtung und Nutzung, sonst würdest du die Probleme kennen, die teilweise auch hier im Forum genannt werden.

Fazit : Auch nach 14 Jahren ist die DMARC-DKIM Technik noch immer Schrott und wird es auch bleiben, wenn dort nicht radikal umgedacht wird. Das wird auch nie zum Standard, egal wie sehr sich das einige Personen wünschen. Auch hier im Forum ist die überwiegende Mehrheit dagegen und / oder hat negative Erfahrungen damit.

Gegen Phishing und Co gibt es definitiv bessere Methoden. Wenn DMARC-DKIM die Lösung sein soll, hätte ich gern das Problem zurück.
shebang
shebang 31.07.2025 aktualisiert um 15:17:47 Uhr
Ein neuer Account also. Dir lese ich doch gerne zu. Okay, eigentlich nehme ich deinen Post gar nicht ernst.
DerMaddin
DerMaddin 31.07.2025 aktualisiert um 15:30:10 Uhr
Gegen Phishing und Co gibt es definitiv bessere Methoden. Wenn DMARC-DKIM die Lösung sein soll, hätte ich gern das Problem zurück.

SPF, DKIM und DMARC können technisch nicht vor Spam schützen. Vor 10+ Jahren war es damit aber wesentlich einfacher zu filtern. Gezielte Angriffe via Mail erfolgen oft einem systemischen Ablauf. In großen Firmen habe ich das schon einige Male erlebt. Erst kommt eine willkürliche Welle von "dummen" Mails an alle möglichen Empfänger. So wird ermittelt, ob es eine Zieladresse gibt. Mit evtl. öffentlich verfügbaren Daten von Webseiten werden diese dann zusammengeführt was am Ende in einer sehr guten Phishing-Mail enden kann.

Also eine personalisierte Mail, die alle Prüfungen der Mailserver besteht, inhaltlich korrekt, bezieht sich auf etwas aktuelles und oft an eine höher positionierte Person in der Firma adressiert. Hierfür gibt es keinen technischen Schutz und nur die regelmäßige Schulung der Mitarbeiter kann helfen.

Ich hatte in den letzten 6 Jahren zwei Fälle von ausgeführten Zahlungsanweisungen und einen Krypto-Trojaner. Im letzteren Fall war technisch ziemlich raffiniert, da die Mail keinen direkten "bösen" Link enthielt. Der Anwender wurde auf eine manipulierte Webseite gelockt, dann KLICK und Payload von einem anderen Server geladen. Damals hat weder die Firewall noch Endpoint-Schutz angeschlagen. Das war 2020.
shebang
shebang 31.07.2025 um 15:32:04 Uhr
Capt. "Geltungsdrang" bewertet jetzt die Accounts der User. Schon irgendwie erbärmlich.
Fühl Dich ausgelacht :D
Delta9
Delta9 31.07.2025 um 15:32:51 Uhr
Welcher Hoster ist das denn?
Die meisten Hoster respektieren das was in den DNS Einstellungen des Absenders hinterlegt ist, bieten aber z.T. die option das zu übersteuern.

Gibt aber genug Versender die zu "blöd" zum Pflegen der Einstellungen sind bzw. wo ein Vertriebler sich mal schnell ein "billiges" Mail-Marketing-Tool in der Cloud geklickt hat und die IT nix davon weiss.
Willi.NET
Willi.NET 31.07.2025 um 15:33:54 Uhr
Du lachst über dein eigenes Verhalten aber meinst MICH auszulachen.


Offensichtlich hast du es nicht einmal verstanden.
Lochkartenstanzer
Lochkartenstanzer 31.07.2025 um 16:26:10 Uhr
Zitat von @shebang:

Hallo,

blockiert nun alle eingehenden E-Mails ohne gültige DKIM-DMARC-Signatur
Kann ich nur sagen: DANKE! Ein Schritt in die richtige Richtung!

Aber absolut zu blockieren ist die falsche Reaktion.


Aus meinem Job kenne ich solche konsequenten Einstellungen beim Posteingang nicht
Ich schon - hier wird alles rigoros abgeblockt, was nicht legitim ist (und anschließend auch geprüft aufgrund rua).

Dann brauch ihr Euch nicht beschweren, wenn ihr "wichtige" Mail nicht bekommt.


Finde ich super, sollten alle ENDLICH durchziehen, dann gäbe es massiv weniger Spam, Phishing etc.

Das ist ein Trugschluß. Heute kommt der SPAm dreifach zertifiziert und abgesegnet. Gegen SPAM hilft SPF und DKIM/DMARC nur, wenn der Versender keine Ahnung hat. Gegen Phishing hlft es eher.

Nach mehr als 14 Jahren Existenz darf man dazu nun auch gezwungen werden.

Nein. es ist die Entscheidung des Kunden, ob er das haben will und nicht die Entscheidung des Hosters.


Weiter so @hoster

Der würde von mir eine Tritt bekommen, wenn der das über meine Kopf hinweg entscheidet.

SPF, DKIM, DMARC ftw.
Gruß

Edit:
Ist das überhaupt rechtlich zulässig, dass ein Hoster die Zustellung von E-Mails ohne Absprache blockiert?

Nein, Das ist verletzung des Briefgemeimissen, selbst wenn man es nicht "liest", sondern verhindert, daß es zugestellt wird. Der Hoster macht sihc im Prinzip strafbar, wenn er das ohne das Einverständnis des Kunden macht! sueddeutsche.de/wirtschaft/internet-filter-das-briefgeheimnis-gi ...


Schön wärs, wenn alle Abmahnung bekommen, die es nicht blockieren.

Schpön wärs mit einer Abmahnung für alle, die das über den Kopf des Kunden hinweg entscheiden.
mit Behörden zu tun habe und diese nicht immer auf der Höhe der Zeit sind
Druck aufbauen, mit genau solchen Mitteln. Die fahren ja auch nicht ohne (verbauten) Anschnallgurt ;)

das Problem ist: Wenn Du Dich weigerst, deren Post anzunehmen, wird das nur schlimmer für dem Empfänger der Post. Die sitzen am längeren Hebel.



Laut einer im Oktober 2015 veröffentlichten Studie waren 83 % der E-Mails, die Gmail im April 2015 empfangen hatte, mit DKIM signiert.

Und das meiste davon SPAM. Das vergessen sie zu erwähnen.


Versteh mich nicht falsch! Ich begrüße Die Verbreitung von DKIM/DMARC und auch SPF. Nur finde ich es unverantwortlich, das für andere zu entscheiden,. ob man sowas annimmt oder nicht. Abgesehen davon, daß man sich strafbar macht, istr es Bevormundung des Kunden.

lks
Lochkartenstanzer
Lochkartenstanzer 31.07.2025 aktualisiert um 16:29:19 Uhr
Zitat von @bluescreem:

Hallo,

mein Hoster hat den E-Mail-Spamschutz erweitert und blockiert nun alle eingehenden E-Mails ohne gültige DKIM-DMARC-Signatur.

Tritt dem Hoster in den Arsch und sag ihm, es ismmer noch Deine Entscheidung als Kunde, ob Du das willst oder nicht!

lks

PS: Ich gehe davon aus, daß der Kunde seine eigene Domain hat für den Kunden diese hostet und Mail verwaltet. Wenn das Hingegen nur ein Mailanbieter ist, wie web.de, gmx.de, mail.de, etc. die nur einzelne Mailadressen unter ihrern eigenen Domains für den Kunden anbieten, so muß man sich derem Diktat beugen, weil das eben deren Regeln sind.
bluescreem
bluescreem 31.07.2025 um 20:48:36 Uhr
Welcher Hoster ist das denn?

Ich mag den jetzt hier nicht an die Wand stellen, weil ich 10 Jahre wunderbar mit dem Hoster klargekommen bin. Im Laufe des Tages kamen dann doch meine Testmails von meinem anderen Billig-Bastel-Hoster ohne DKIM-DMARC wieder problemlos durch. Mit etwas Glück war das dieses Mal nur ein übereifriger Supporter, der dann vom Teamleiter noch einmal eingenordet wurde, nachdem ich mich offiziell an die Info-Adresse gewandt habe. Mal schauen. face-smile
shebang
shebang 01.08.2025 um 07:23:09 Uhr
<reflection>
Sorry für mein rant gestern. Ihr habt natürlich fast ausnahmslos Recht. Die Technologie hat Sinn und sollte genutzt/gesetzt werden, aber nicht über Zwang und Gewalt.
</reflection>

Ich habe dazugelernt.

Schönen Freitag.

Gruß
Lochkartenstanzer
Lochkartenstanzer 01.08.2025 um 08:24:49 Uhr
Zitat von @shebang:

<reflection>
Sorry für mein rant gestern. Ihr habt natürlich fast ausnahmslos Recht. Die Technologie hat Sinn und sollte genutzt/gesetzt werden, aber nicht über Zwang und Gewalt.
</reflection>

Ich habe dazugelernt.

Insbesondere sollte sollte man bei diesen Protokollen beachten, daß die nicht Primär zur Spam-Abwehr gedacht sind. Sondern zur Verifizierung, ob die Mails von einem berechtigen Absender kommen. Daß man dabe teilweise i einfach gestrickten Spam loswird, ist eher ein Nebeneffekt.

Wenn ich hier meine Statistiken durchgehe, haben die Spanner inzwischen ihr SPF, DMAC, DKiM und Co. deutlich besser im Griff als die legitimen Mailversender.

lks