WYAE.de - IT Security, KnowHow & Software

2023-06-14

Kaputte Mailprovider

"Kostenlose" Mailprovider

Frage: Es gibt eine Reihe kostenloser Mailprovider - warum soll man dann zahlen?

Antwort: Weil man einen Maildienst nutzen will, und nicht das Produkt darstellen, dessen Daten verscherbelt werden?

Wer hat sich beispielsweise als web.de-Nutzer nicht schon gewundert, warum massenhaft SPAM im Posteingang 'rumschwappt, obwohl web.de angeblich so tolle SPAM-Filter hat?

Ganz einfach: diese Werbemails kommen nicht "von außen", sondern werden von web.de selbst direkt in die Postfächer gestopft. Gegen Entgeld natürlich.

Mail-Probleme? Gerade bei Weiterleitungen oder Mailinglisten?

Gerade einige der großen "Kostenlos"-Anbieter haben ein paar hirnverbrannte Standards erfunden, mit denen sie meinen, SPAM abwehren zu können. Genauer: fremden SPAM. Denn nur der schädigt ja das eigene Geschäft.

Die eingesetzten Technologien heißen:

  • SPF - ist kaputt, wenn der Eintrag -all oder ~all enthält
  • DMARC - ist kaputt, wenn der Eintrag p=reject enthält

Im Wesentlichen markieren diese Technologien primitv, von welchen Mailservern Mails mit derundder Adresse überhaupt abgesendet werden dürfen. Auf ersten Blick scheint das sinnvoll, denn dann kann keiner mehr Mails mit gefälschtem Absender von einem Fremdrechner absenden. Was dann aber vor die Wand geht sind alle Mails, die von einem Nutzer eines kaputten Mailproviders gesendet werden an:

  • Weiterleitungen wie z.B. vereinsmitglied@clubname.de
  • Mailinglisten

Wenn die Mails nach Weiterleitung/-verteilung dann bei einem Empfänger einschlagen, dessen Mailprovider die DMARC/SPF-Vorgaben auswertet. Denn die Mails gehen ja zuerst an den Mailserver des Vereins / des Mailinglistenbetreibers, der die Mail dann umadressiert und weiterleitet. Dummerweise steht der aber nie auf der Liste der erlaubten Server des kaputten Mailproviders. Die Mail bounct dann. Und es gibt noch weitere seit langem bekannte Probleme.

Implementations- & Design-Probleme SPF / DMARC

SPF prüft ausschließlich den Envelope-Absender, also den, den ein Nutzer am zuerst annehmenden Mailserver praktisch nie sieht. Für Weiterleitungen gibt es inzwischen aufgrund von zu großen Schäden einen Standard für Rewriting-Regeln - die mehr als einen Hop nicht überleben und zudem aufwändig zu recodieren sind (was nur wenige Mailserver von Haus aus unterstützen).

Praktische Tests 2021 zeigten, dass über 95% der SPF-Ablehnungen nicht SPAM-Absender traf, sondern legitime Absender aber fehlerhaft konfigurierte SPF-Einträge.

DMARC erzwingt, dass Envelope- und From:-Absender identisch sein müssen. Das knirscht oft genug schon beim Absender (www-data@... sendet aus einem Webformular mit vorgeblichem Absender do-not-reply@...) - entsprechend werden auch legitime Mails abgewiesen.

SPAM-Versender senden inzwischen meist von gekkaperten Mailservern, die ganz regulär Mails mit passenden (oder fehlenden) SPF-, DMARC- und auch DKIM-Einträgen.

Entsprechend scheitert aktuell kaum eine SPAM-Mail an SPF oder DKIM - dafür jede Menge reguläre Mails.

Bekannt kaputte Mailprovider - Absender

Yahoo yahoo.com / yahoo.net

  • SPF - ist ok: "v=spf1 ptr:yahoo.com ptr:yahoo.net ?all"
  • DMARC - verbietet: "v=DMARC1; p=reject; pct=100; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com;"
  • Vorsicht: Yahoo hat schon mehrfach die Daten seiner Nutzer verinkompetenzt. Und setzt einen auf eine temporäre Blacklist, wenn man an mehr als 5 (fünf!) Nutzer bei ihnen mailt.
  • Vorsicht (2): nach Aufkauf durch die Oath Group verkauft Yahoo Deine Mail-Daten an über 300 "Partner" bis man das explizit für jeden einzelnen Werbepartner wegkonfiguriert.

AOL.com - ist inzwischen eine Tochter von Yahoo

  • SPF - wertet ab, ist aber noch ok: "v=spf1 ip4:204.29.186.0/23 include:spf.constantcontact.com include:aspmx.sailthru.com include:mail.zendesk.com include:_ipspf.yahoo.com ~all"
  • DMARC - verbietet: "v=DMARC1; p=reject; pct=100; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com;"
  • Vorsicht: siehe oben Yahoo. War hinsichtlich Mail eigentlich schon immer kaputt, sind inzwischen nur noch eingekaufte AOL-Accounts auf Yahoo-Infrastruktur.

GMX.de / GMX.net

  • SPF - verbietet: "v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 ip4:212.227.126.128/25 ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:74.208.4.192/26 ip4:82.165.159.0/24 ip4:217.72.207.0/27 ip4:82.165.229.31 ip4:82.165.230.21 -all"
  • DMARC - ist ok: "v=DMARC1; p=none; rua=mailto:dmarcreport@gmx.net; ruf=mailto:dmarc-ruf@gmx.net; fo=1"

Web.de

  • SPF - verbietet: "v=spf1 ip4:212.227.126.128/25 ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:217.72.192.248/29 ip4:82.165.159.0/26 ip4:217.72.207.0/27 ip4:217.72.192.64/26 ip4:82.165.229.130 ip4:82.165.230.22 -all"
  • DMARC - wertet stark ab, funktioniert aber oft noch: "v=DMARC1; p=none; sp=quarantine; rua=mailto:dmarcreport@web.de; ruf=mailto:dmarc-ruf@web.de; adkim=r;aspf=r; fo=1"

Grenzwertig kaputt - Absender

GMail / Googlemail / Google

  • SPF - wertet ab, ist aber noch ok: "v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"
  • DMARC - verbietet: "v=DMARC1; p=reject; rua=mailto:mailauth-reports@google.com"
  • Dass Google die Datenkrake schlechthin im Internet ist (zusammen mit Facebook) muss hoffentlich nicht noch einmal erklärt werden?

Mailbox.org

  • SPF - wertet ab, ist aber noch ok: "v=spf1 ip4:213.203.238.0/25 ip4:195.10.208.0/24 ip4:91.198.250.0/24 ip4:80.241.56.0/21 ip6:2001:67c:2050::/48 mx ~all"
  • DMARC - verbietet: "v=DMARC1; p=reject; adkim=r; aspf=r; pct=100; rua=mailto:abuse+arf@heinlein-support.de; rf=afrf; fo=1;"

Zum Vergleich - Absender

freenet.de

  • SPF - wertet ab, ist aber noch ok: "v=spf1 ip4:195.4.92.0/23 ip6:2001:748:100:40::2:0/112 ~all"
  • DMARC - ist nicht definiert

posteo.de

  • SPF - wertet ab, ist aber noch ok: "v=spf1 ip4:185.67.36.0/23 ip4:89.146.220.128/29 ip4:89.146.194.160/28 ip4:89.146.230.64/26 ip4:185.67.36.111/32 ip6:2a05:bc0:1000::/64 ~all"
  • DMARC - ist ok: "v=DMARC1; p=none; adkim=s; aspf=s"

Microsoft Office365 / outlook.com / hotmail.com

  • SPF - wertet ab, ist aber noch ok: "v=spf1 include:spf-a.outlook.com include:spf-b.outlook.com ip4:157.55.9.128/25 include:spf.protection.outlook.com include:spf-a.hotmail.com include:_spf-ssg-b.microsoft.com include:_spf-ssg-c.microsoft.com ~all
  • DMARC - wertet stark ab, funktioniert aber oft noch: "v=DMARC1; p=none; sp=quarantine; pct=100; rua=mailto:rua@dmarc.microsoft; ruf=mailto:ruf@dmarc.microsoft; fo=1"

WYAE.DE

  • SPF - ist ok: "v=spf1 +mx +ip4:195.201.237.141 +ip6:2a01:4f8:c010:9721::1 ?all"
  • DMARC - ist ok: "v=DMARC1;p=none;pct=100;ruf=mailto:abuse_dmarcforensics@wyae.de"

Bekannt kaputte Mailprovider - Empfänger

Folgende Empfänger beachten SPF und/oder DMARC:

  • Yahoo
  • Google
  • Arcor.de (alter Anbieter-Rest, inzwischen von Vodafone aufgekauft)

Und damit bouncen aktuell Mails von Yahoo oder GMX/Web.de über Weiterleitung/Mailingliste an einen der o.g. Provider

  • Yahoo / AOL kann weder an alle senden noch empfangen
  • Google kann an fast alle senden, emfängt aber nur eingeschränkt
  • GMX/Web.de kann nicht an alle senden, aber empfängt alles

Was tun?

Aktuelle Minimallösung #1: weg von Yahoo/AOL

  • Du kannst da weder alles empfangen noch alle erreichen.
  • Hau' einfach ab von Yahoo. Egal wohin, nur nicht Yahoo. (und auch nicht AOL - das ist nur Yahoo unter anderem Namen)

Aktuelle Minimallösung #2: weg von UnitedInternet (GMX, Web.DE)

  • Du kannst da nicht alle erreichen.
  • Hau' einfach ab von Yahoo, AOL, GMX und Web.DE - fast egal wohin, nur nicht diese.

Aktuelle Minimallösung #3: weg von Google

  • Dich können nicht alle erreichen.
  • Datenkrake (sollte bekannt sein)
  • Hau' einfach ab von kaputten Mailprovidern

Beim Mailprovider des Empfängers beschweren?

  • Der macht nur, was der kaputte Mailprovider des Absenders mit kaputten Policies festgelegt hat, was mit seinen Mails passieren soll.

Beim Betreiber der Weiterleitungen / Mailinglisten beschweren?

  • Der kann nicht helfen - der kaputte Mailprovider des Absenders hat mit kaputten Policies festgelegt, was mit seinen Mails passieren soll. Und das macht halt der ein oder andere empfangende Mailprovider. Der Betreiber der Weiterleitung/Mailingliste steht hilflos dazwischen und kann nur schulterzuckend zuschauen.

Beim kaputten absendenden Mailprovider beschweren?

  • Der ist völlig überzeugt, dass er allein seeligmachend sei und seine kaputten Policies korrekt seien. Ja, ich habe da schon mal nachgefragt. Auch schon direkt zu Anfang in den frühen 2000ern, als das diskutiert wurde. Die Antwort: man könne ja alle Mailserver des kaputten Mailproviders auf eine Whitelist setzen, die immer alle Mails überall einliefern dürfen... (aber sicher doch - nicht)

Zu einem ordentlichen Mailprovider wechseln

  • Du kennt jemanden, der selber einen Mailserver hat oder betreibt? Einfach mal nett anfragen reicht meistens...
  • Kauf' eine eigene Webseite/Webhosting samt Domain - da ist meist ein halbwegs brauchbarer Mailserver mit dabei, der dann ganz allein Dir gehört. Das kostet kleine einstellige EUR im Monat, und Du kannst dann soagr noch Postfächer an Freunde abgeben.
  • Werde Kunde bei einem anständigen Mailprovider wie z.B.Posteo (oder - wegen der DMARC-Einstellungen abgewertet Mailbox.org / Heinlein). 1 EUR pro Monat für ein anständiges Postfach bei einem soliden und datenschützenden Provider.