flyingkangaroo
Goto Top

Sind Hard-Bounces mittlerweile unüblich?

Hallo,

ich habe mittlerweile mitbekommen, dass es Firmen gibt die, wenn ein Postfach nicht existiert, zwar die Zustellung der eMail annehmen, jedoch die Mail dann einfach 'verwerfen'.

Auf Nachfrage hin, habe ich erfahren, dass wohl Proofpoint eingesetzt wird... und dass es absichtlich so konfiguriert wurde, damit man von außen möglichst wenig Infos über den Mailserver abfragen kann...

Im geschäftlichen Umfeld halte ich das für ein bisschen merkwürdig... für mich waren eMails immer sehr 'sicher' - entweder die Zustellung wird akzeptiert, dann kriege ich einen Bounce wenn dann noch was schief geht, oder der Server akzeptiert meine Mail gar nicht...

Ist es mittlerweile tatsächlich üblich, Mails zu 'verwerfen' ohne 'Ablehnen der Zustellung' oder Bounce? (weil die Adresse falsch war)
Danke.

Gruß
Dieter

Content-ID: 1168284693

Url: https://administrator.de/contentid/1168284693

Ausgedruckt am: 08.11.2024 um 11:11 Uhr

Doskias
Doskias 18.08.2021 aktualisiert um 11:51:39 Uhr
Goto Top
Hallo Dieter,

das kann man so glaube ich pauschal nicht beantworten. Bei uns ist es so:

1. Kommt die Mail von einer vertrauenswürdigen Quelle, so wird ein Bounce generiert und der Sender informiert.

2. Wird die Mail als Spam klassifiziert, dann wird sie verworfen ohne dass den Sender oder potentielle Empfänger darüber informiert wird.

Gelegentlich kommt es vor, dass ein Kunde fälschlicherweise als Spam klassifiziert wird. In dem Fall wird die Mail dann wie unter Punkt 2 beschrieben verworfen ohne das der Sender darüber informiert wird. Das fällt unseren Kunden dann meist auf, wenn wir uns innerhalb der üblichen zeit nicht melden.

Grade in Bezug auf Schutz vor Spammern halte ich die von dir beschriebene Methode aber für durchaus gängig und plausibel. Wenn ich jetzt alle möglichen Mail-Adressen einfach zuspamme und bei 1% keine Bounce Mail erhalte, dann weiß ich wen es wirklich gibt und kann mit phishing und/oder gezielten Spam genau diese Personen anschreiben. Wenn ich das Verwerfe schütze ich mich davor.

Wenn du auf Nummer sicher gehen willst, dann schickst du einfach jede Mail mit der Zustellbestätigung. Wenn Sie verworfen wird ohne das du eine Bounce bekommst bekommst du auch keine Zustellbestätigung. dann weißt du, dass da was im argen liegt. Anders als die Lesebestätigung reden bei der Zustellbestätigung nur die Server miteinander und dein eigener Server erzeugt die Mail. Du nervst damit also nicht den Empfänger.

Gruß
Doskias
LordGurke
LordGurke 18.08.2021 um 11:42:15 Uhr
Goto Top
Das wird zumindest rechtlich interessant, wenn z.B. etwas vertragsbezogenes an eine mittlerweile nicht mehr existente Mailadresse geschickt wurde, dieser Fehler für den Absender nicht bemerkbar ist und irgendwelche Fristen verstreichen.
Wenn ich z.B. auf diese Weise Rechnungen verschicke und diese nicht als unzustellbar zurückkommen, ziehe ich alle Mahnstufen durch, inklusive Kündigung...

Gerichte stellen sich meistens auch auf den Standpunkt: Wenn der Mailserver des Empfängers die Mail angenommen und quittiert hat (SMTP-Response 250) ist das vergleichbar mit dem eingeworfenen Brief in den Briefkasten des Empfängers.
Dann ist es alleine sein Problem, wenn er den Inhalt nicht zur Kenntnis nimmt.
Die Mail gilt dann als zugestellt.

Falls diese Proofpoint-Systeme von einem Provider betrieben werden, machen sich diese übrigens unter Umständen strafbar (§ 206 StGB).
C.R.S.
C.R.S. 18.08.2021 um 11:43:45 Uhr
Goto Top
Hallo,

ja, ist sicher nicht die Mehrheit, aber als üblich würde ich es bezeichnen, unabhängig von bestimmten Produkten.

Wobei eine Motivation natürlich Sicherheit ist, und in sicherheitssensiblen Umgebungen der Umgang mit Spam u.ä. meist auch nicht ganz den mehrheitlichen Ansätzen entspricht. Demnach würde man solche Nachrichten eher in einem Catch-All-Postfach sammeln als verwerfen, weil durchaus von Interesse ist wer womit versucht, irgendwelche Postfächer zu erreichen.

Grüße
Richard
Doskias
Doskias 18.08.2021 um 11:49:32 Uhr
Goto Top
Zitat von @LordGurke:
Gerichte stellen sich meistens auch auf den Standpunkt: Wenn der Mailserver des Empfängers die Mail angenommen und quittiert hat (SMTP-Response 250) ist das vergleichbar mit dem eingeworfenen Brief in den Briefkasten des Empfängers.
Dann ist es alleine sein Problem, wenn er den Inhalt nicht zur Kenntnis nimmt.
Die Mail gilt dann als zugestellt.

Stimmt da war ich grade zu schnell. Wenn unser System die Mail wegen Spam verwirft, wird sie als zugestellt gewertet. Die Zustellbenachrichtigung bringt an der Stelle nichts, außer das man belegen kann, dass der Fehler auf der Empfängerseite liegen muss.
LordGurke
LordGurke 18.08.2021 aktualisiert um 11:55:41 Uhr
Goto Top
Nachtrag zur Frage nach Harvesting:
Die Statistik unseres Spamfilters (ca. 2000 Domains) zeigt, dass der allermeiste Spam an existente Adressen gerichtet ist. Entweder sind es generische Adressen wie "info" oder "bewerbung" oder die Adressen stammen aus Adresslisten, die nach Malware-Befall mit Spam bedacht werden.

Natürlich gibt es Harvesting-Versuche — die kommen entweder in großer Zahl von ein paar wenigen IP-Adressen und können dann einfach über IP gefiltert werden, oder sie kommen von einer großen Zahl IP-Adressen (Botnetz) und haben keine ordentlichen Reverse-DNS. Da unsere Mailserver grundsätzlich nicht mit dir reden, wenn du keinen konsistenten Reverse-DNS hast, funktioniert da das Harvesting ebenfalls nicht.
Und man kann notfalls Greylisten und schauen, wie viele Anfragen von der IP noch kommen und diese dann hart sperren. Dann hat man nichtmal eine einzige Adresse verraten.
Bei knapp 2.000 Domains sehen wir da nur sehr, sehr wenig Spam, der an nichtexistente Adressen geht.

Das "nehmen und verwerfen" von Mails, um Harvesting zu verhindern, würde ich daher nicht anwenden: Die Fehleranfälligkeit ist da viel größer als der vermeintliche Nutzen.


P.S.: Bounces an externe Empfänger generieren ist Backscatter und das will man vermeiden. Nehmen oder ablehnen, aber nicht nehmen, dann Bouncen face-wink
flyingKangaroo
flyingKangaroo 18.08.2021 um 11:53:53 Uhr
Goto Top
Ok, es wird also gleichzeitig noch geprüft, ob es Spam ist, und nur wenn die Spamklassifizierung auch zuschlägt, dann wird die Mail verworfen...? Beim beschriebenen Unternehmen ist es wohl so, dass einfach wenn der Empfänger nicht existiert, wird angenommen, aber sofort gedropt.

Ich verstehe nicht, was schlecht daran ist, wenn ich die Mail gar nicht akzeptiere, für die ich kein Postfach für diese Mailadresse habe. Einen echten Bounce generiere ich damit nicht auf meinem Server, das heißt ich habe auch keine Schwierigkeiten bei der Zustellung von dem Bounce...

Ok, mit einem "Wörterbuchangriff" könnte ein Angreifer mit ganz vielen RCPT TO-Anfragen ermittlen, welche Mailadressen tatsächlich existieren oder nicht... aber ehrlich gesagt, würde ich dann einfach nach n falschen Eingaben bei RCPT TO diese IP-Adresse einfach mal etwas warten zu lassen.
tikayevent
tikayevent 18.08.2021 um 12:09:43 Uhr
Goto Top
Ich verstehe nicht, was schlecht daran ist, wenn ich die Mail gar nicht akzeptiere, für die ich kein Postfach für diese Mailadresse habe.

Es ist nicht schlecht, eine Mail gar nicht zu akzeptieren, sondern es kommt auf die Art an, wie es an den absendenden Server kommuniziert wird. Es gibt die Problematik des Backscatter-SPAM, die dadurch entsteht, dass die Absenderadresse gefälscht wird und dann absichtlich eine unzustellbare Mail an einen Mailserver gerichtet wird. Richtig konfigurierte Server lehnen die Mailannahme bereits während der Verbindung ab, in der die Mail eingeliefert wird. Häufig wird aber die Mail auch erst nachträglich abgelehnt, wenn der annehmende Server nicht der Zielserver ist, sondern, wie häufig bei Anti-SPAM-Diensten/-Appliances, nur eine Zwischenstation, die nicht alle Informationen besitzt. Dann wird die Mail auf SPAM und evtl. auf Schadsoftware geprüft und an den eigentlichen Mailbox-Server weitergeleitet.
Wenn die Anti-SPAM-Kiste keine Information über die auf dem Mailbox-Server verfügbaren Postfächer hat, würde die Anti-SPAM-Kiste die Mail annehmen, korrekt bestätigen und der Mailbox-Server müsste diese dann, mangels Postfach, ablehnen. Bei gefälschter Absenderadresse hätte man jetzt sogenannten Backscatter-SPAM "erzeugt".

Daher ist es wichtig, dass der erste Server, der die Mail annimmt, die erlaubten Mail-Adressen kennt und bereits ablehnt. Nachträgliche Bounces aufgrund von irgendwelchen Prüfungen oder mangels erlaubter Domains oder Adressen darf es in der heutigen Zeit nicht geben, um nicht auf einer Blacklist zu landen.

Rechtlich ist es natürlich eine heikle Sache, aber leider bei unsauber konfigurierten Diensten (ich lass mal außen vor, ob es aufgrund technischer oder administrativer Unzulänglichkeitne kommt) nicht anders machbar, um sich nicht selbst ins Aus zu stellen.

Ich betreibe für etwa 200 Postfächer einen nicht unerheblichen Aufwand, um genau sowas zu vermeiden. Unsere Mailgateways kennen jede einzelne E-Mail-Adresse bei uns im System und bouncen daher noch bei der Übermittlung sowas weg.
Doskias
Doskias 18.08.2021 um 12:11:28 Uhr
Goto Top
Ich fang mal hinten an:

Zitat von @flyingKangaroo:
Ok, mit einem "Wörterbuchangriff" könnte ein Angreifer mit ganz vielen RCPT TO-Anfragen ermittlen, welche Mailadressen tatsächlich existieren oder nicht... aber ehrlich gesagt, würde ich dann einfach nach n falschen Eingaben bei RCPT TO diese IP-Adresse einfach mal etwas warten zu lassen.

Richtig, bei einem RCPT TO Anfrage ginge das.

Ich verstehe nicht, was schlecht daran ist, wenn ich die Mail gar nicht akzeptiere, für die ich kein Postfach für diese Mailadresse habe. Einen echten Bounce generiere ich damit nicht auf meinem Server, das heißt ich habe auch keine Schwierigkeiten bei der Zustellung von dem Bounce...

Nehmen wir an ich schicke dir 5 Mails:

1 Service@
2 Bereitschaft@
3 Administrator@
4 SQLServer@
5 Support@

Jetzt kommen von den fünf Mails bei Service und SQLServer eine Bounce zurück. und schon weiß ich, dass es den Administrator die Bereitschaft und den Support gibt. Das ganze mache ich per Mail, denn im Zweifelsfall wartet der Mailserver nach einer Verbindungsblockierung und verschickt es dann nochmal neu.
Das geht aber mehr in Richtung Phishing und nicht Spam. Spammer schicken im Regelfall nicht von der echten Mail-Adresse, so dass sie die Bounce Antwort ja gar nicht mitbekommen. Wenn ich da jetzt einen "Auftrag" spamme und will das Kontakt aufgenommen wird, dann kann ich das ganze per Skript lösen. Immer im Intervall eine Mail schicken, solange ein Bounce zurückkommt. Wenn keiner kommt, dann ist die Mail zugestellt und ich schick keine weitere. Immerhin will ich ja nicht, dass das Opfer misstrauisch wird, wenn alle im Unternehmen die gleiche Anfrage bekommen face-wink Diese Kette unterbrichst du sofort, wenn du keinen Bounce zurück schickst.

Ok, es wird also gleichzeitig noch geprüft, ob es Spam ist, und nur wenn die Spamklassifizierung auch zuschlägt, dann wird die Mail verworfen...? Beim beschriebenen Unternehmen ist es wohl so, dass einfach wenn der Empfänger nicht existiert, wird angenommen, aber sofort gedropt.

Nein nicht gleichzeitig. Die Prüfung erfolgt nacheinander. Wenn der Spam-Filter diese als Spam einordnet wird sie kassiert. Wenn es kein Spam ist, wird in der Liste nachgeschaut welche Mail-Adressen von extern Mails erhalten dürfen. Einige Mail-Adressen sollen nicht von außen erreichbar sein. Darunter fallen Praktikanten-Accounts oder interne Service-Accounts. Manchmal, und das ist der haken an der Sache, ist die Spamklassifizierung aber etwas zu Streng. Wenn ein Unternehmen zum Beispiel mehrere Domains hat, sagen wir einfach mal Google mit google.de und google.com, dann kann es passieren, dass wenn eine Mail von google.com in der Signatur einen Link zu Google.de hat, der auch noch als Text mit "Zur Suchmaschine" tituliert ist, dann kann es vorkommen, dass die Spam-Detection hier folgendes feststellt:
Von Domain 1 wird ein Link zu einer anderen Domain verschickt, der für den User nicht direkt sichtbar ist. Die Spam-Detection vermutet dann hier eine böse Absicht und blockiert die Zustellung indem die Mail als Spam abgestempelt wird. Einen Bounce gibt es in dem Fall dann nicht zurück.
Lochkartenstanzer
Lochkartenstanzer 18.08.2021 um 16:27:46 Uhr
Goto Top
Zitat von @flyingKangaroo:

Ich verstehe nicht, was schlecht daran ist, wenn ich die Mail gar nicht akzeptiere, für die ich kein Postfach für diese Mailadresse habe.

Du hast ein rechtliches Problem:

Vergleiche mit der Briefpost:

Wenn Du einen Brief in den Briefkasten eingeworfen bekommst und den als nicht als "nicht zustellbar" an den Postboten (oder der Post) zurückgibst, gilt der rechtlich als zugestellt. Genauso ist es mit Mail. Wenn Dein Mailserver den "Brief" annimt, gilt der als zugestellt. Stell Dir vor, Du bekommst eine Abmahnung oder eine Rechnung , die wegen einem Tippfehler in der Empfängeradresse im Orkus landet, statt rejected zu werden. Wen die Mail zurückkommt, sieht der Absender, daß nicht zugestellz wurde und ggf. den Tippfehler. Friten laufen da noch nicht.

Aber wenn Du die Mail annimmst, fangen Fristen an zu laufen. Auch wenn Du die Mail nie zu Gesicht bekommst, weil Du sie entsorgt hast.

lks
flyingKangaroo
flyingKangaroo 19.08.2021 um 06:42:21 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @flyingKangaroo:

Ich verstehe nicht, was schlecht daran ist, wenn ich die Mail gar nicht akzeptiere, für die ich kein Postfach für diese Mailadresse habe.

Du hast ein rechtliches Problem:

Nur wenn ich die Mail annehme, dann besteht das beschriebene rechtliche Problem.
Wenn der Mailexchanger bereits nach RCPT TO sagt, diese Adresse kenne ich nicht, dafür nehme ich keine Mail an, dann wurde die Mail ja nie akzeptiert. Der Einliefernde Mailserver muss dann eine 'Undeliverable'-Notice erzeugen.
Etwas anderes ist, wenn ich die Mail akzeptiere (SMTP Status 2xx), durch 3 Anti-Spam-Büchsen jage, und die auf diesem Weg Sang- und Klanglos (ohne Bounce) gelöscht wird.
flyingKangaroo
flyingKangaroo 19.08.2021 um 06:52:21 Uhr
Goto Top
Zitat von @tikayevent:

Ich verstehe nicht, was schlecht daran ist, wenn ich die Mail gar nicht akzeptiere, für die ich kein Postfach für diese Mailadresse habe.

Es ist nicht schlecht, eine Mail gar nicht zu akzeptieren, sondern es kommt auf die Art an, wie es an den absendenden Server kommuniziert wird. Es gibt die Problematik des Backscatter-SPAM, die dadurch entsteht, dass die Absenderadresse gefälscht wird und dann absichtlich eine unzustellbare Mail an einen Mailserver gerichtet wird. Richtig konfigurierte Server lehnen die Mailannahme bereits während der Verbindung ab, in der die Mail eingeliefert wird. Häufig wird aber die Mail auch erst nachträglich abgelehnt, wenn der annehmende Server nicht der Zielserver ist, sondern, wie häufig bei Anti-SPAM-Diensten/-Appliances, nur eine Zwischenstation, die nicht alle Informationen besitzt. Dann wird die Mail auf SPAM und evtl. auf Schadsoftware geprüft und an den eigentlichen Mailbox-Server weitergeleitet.
Wenn die Anti-SPAM-Kiste keine Information über die auf dem Mailbox-Server verfügbaren Postfächer hat, würde die Anti-SPAM-Kiste die Mail annehmen, korrekt bestätigen und der Mailbox-Server müsste diese dann, mangels Postfach, ablehnen. Bei gefälschter Absenderadresse hätte man jetzt sogenannten Backscatter-SPAM "erzeugt".

Daher ist es wichtig, dass der erste Server, der die Mail annimmt, die erlaubten Mail-Adressen kennt und bereits ablehnt. Nachträgliche Bounces aufgrund von irgendwelchen Prüfungen oder mangels erlaubter Domains oder Adressen darf es in der heutigen Zeit nicht geben, um nicht auf einer Blacklist zu landen.

Rechtlich ist es natürlich eine heikle Sache, aber leider bei unsauber konfigurierten Diensten (ich lass mal außen vor, ob es aufgrund technischer oder administrativer Unzulänglichkeitne kommt) nicht anders machbar, um sich nicht selbst ins Aus zu stellen.

Ich betreibe für etwa 200 Postfächer einen nicht unerheblichen Aufwand, um genau sowas zu vermeiden. Unsere Mailgateways kennen jede einzelne E-Mail-Adresse bei uns im System und bouncen daher noch bei der Übermittlung sowas weg.

So kenne ich das eigentlich auch...
Für MailExchanger, die selbst keine Informationen über die verfügbaren Postfächer hatten, gab glaub ich sogar mal eine SMTP-Konfiguration (ich glaub es war für Exim) für 'Smarthosts', wodurch noch während der offenen Verbindung mit dem einliefernden Mailserver eine Verbindung zum quasi "nächsten Hop" aufgebaut haben, und dort ein HELO/MAIL FROM/RCPT TO gemacht wurde, um die 'Chancen' zu testen, ob die Mail beim nächsten Server abgegeben werden kann...
Wenn das fehlschlug (550 no such mailbox), dann hat auch dieser MX auch gleich die Mail rejected.
flyingKangaroo
flyingKangaroo 19.08.2021 um 06:54:08 Uhr
Goto Top
Zitat von @LordGurke:

Gerichte stellen sich meistens auch auf den Standpunkt: Wenn der Mailserver des Empfängers die Mail angenommen und quittiert hat (SMTP-Response 250) ist das vergleichbar mit dem eingeworfenen Brief in den Briefkasten des Empfängers.

Hast du da Links zu aktuellen Urteilen, wo das Gericht so einen Standpunkt vertreten hat, oder entsprechende Fachartikel? Ich habe nur etwas älteres (2005) von der IHK gefunden.
LordGurke
LordGurke 19.08.2021 aktualisiert um 11:38:19 Uhr
Goto Top
Ich fürchte, da habe ich gerade ad hoc auch nichts Neueres zur Hand.
Das wurde vor 2-3 Jahren nochmal in einer Print-Publikation behandelt, aber ob ich das jetzt finde...

Nachtrag: Auf die Schnelle kann ich jetzt hierauf verweisen — da wird sogar noch der Punkt Archivierungspflicht erwähnt, der ja eventuell noch oben drauf kommt.
https://www.heinlein-support.de/blog/mailserver/absenden-einer-e-mail-is ...
C.R.S.
C.R.S. 19.08.2021 um 12:23:26 Uhr
Goto Top

Das ist ein ganz normales Urteil im Sinne der bisherigen Rechtssprechung und befindet sich ganz auf der von uns auch vertretenen Linie, daß eine Übertragung an die SMTP-Empfangsserver ausreichend dafür ist, daß sich der Empfänger ggf. Kenntnis der fraglichen E-Mail zurechnen lassen muß.

Das ist so pauschal nicht richtig, sondern beruht darauf, dass in solchen Fällen der rechtliche Empfänger der Mail und der Betreiber des SMTP-Servers identisch sind. Auf den Zugang an den Empfangsvertreter und Adressaten der Mail kommt es dann nicht mehr an.
departure69
departure69 19.08.2021 um 17:21:07 Uhr
Goto Top
@flyingKangaroo:

Hallo.

Ich halte das nicht für "üblich". Wenn uns jemand etwas an unsere Maildomäne sendet, das Postfach aber nicht existiert, kriegt der Absender einen NDR, daß das Postfach nicht existiert. Ich denke, die meisten Mailserver machen das so.

Du mußt jedoch noch etwas anderes bedenken: Es gibt leider Mailprovider, die an den Absender zurückgerichtete NDRs nicht zustellen, und das ist leider nicht selten bzw. besonders in letzter Zeit immer öfter.

Ich hatte schon viele Anrufe (obwohl wir bloß ein kleiner Laden sind), bei denen sich Absender beschwerten, daß sie gar keine Antwort zurückbekamen.

Nun kann es natürlich sein, daß die Mailadresse sogar korrekt war und der Adressat (einer meiner Kollegen) schlichtweg (noch) nicht geantwortet hat. Das läßt sich aber leicht klären. Ansonsten sehe ich am Exchange nach, ob das adressierte Postfach existiert, falls nicht, teile ich dem Anrufer mit, daß er an ein bei uns nicht existierendes Postfach geschrieben hat und eigentlich eine Unzustellbarkeitsnachricht hätte zurückbekommen müssen. Und da kriege ich häufig die Antwort, daß er nichts bekommen habe. Falls das dann stimmt, hat der externe Provider in dem Fall den NDR offenbar nicht zugestellt, warum auch immer.

(Aus technischen Gründen) gescheiterte Mailkommunikation kann also auch am Absender (bzw. dessen Mailprovider) liegen.


Viele Grüße

von

departure69
LordGurke
LordGurke 19.08.2021 um 18:39:56 Uhr
Goto Top
Zitat von @departure69:
Ich halte das nicht für "üblich". Wenn uns jemand etwas an unsere Maildomäne sendet, das Postfach aber nicht existiert, kriegt der Absender einen NDR, daß das Postfach nicht existiert. Ich denke, die meisten Mailserver machen das so.

Es gibt leider Mailprovider, die an den Absender zurückgerichtete NDRs nicht zustellen, und das ist leider nicht selten bzw. besonders in letzter Zeit immer öfter.

Dann läuft aber auch bei dir was schief: Ein NDR wird vom EINLIEFERNDEN Mailserver generiert, wenn dein Server ihm während dem Zustellversuch mitteilt, dass er die Mail nicht haben will.
Falls dein Server die Mail annimmt und NDR generiert, läuft generell was falsch und du versendest Backscatter.