WYAE.de - IT Security, KnowHow & Software

2020-01-11

Kaputte Mailprovider

Datenschutz

Frage: Es gibt eine Reihe kostenloser Mailprovider - warum soll man dann zahlen?

Antwort: Weil man einen Maildienst nutzen will, und nicht das Produkt darstellen, dessen Daten verscherbelt werden?

Wer hat sich beispielsweise als web.de-Nutzer nicht schon gewundert, warum massenhaft SPAM im Posteingang 'rumschwappt, obwohl web.de angeblich so tolle SPAM-Filter hat?

Ganz einfach: diese Werbemails kommen nicht "von außen", sondern werden von web.de direkt in die Postfächer gestopft. Gegen Entgeld natürlich.

Mail-Probleme? Gerade bei Weiterleitungen oder Mailinglisten?

Gerade einige der großen "Kostenlos"-Anbieter haben ein paar hirnverbrannte Standards erfunden, mit denen sie meinen, SPAM abwehren zu können. Genauer: fremden SPAM. Denn nur der schädigt ja das eigene Geschäft.

Die eingesetzten Technologien heißen:

  • SPF - ist kaputt, wenn der Eintrag -all oder ~all enthält
  • DMARC - ist kaputt, wenn der Eintrag p=reject enthält

Im Wesentlichen markieren diese Technologien primitv, von welchen Mailservern Mails mit derundder Adresse überhaupt abgesendet werden dürfen. Auf ersten Blick scheint das sinnvoll, denn dann kann keiner mehr Mails mit gefälschtem Absender von einem Fremdrechner absenden. Was dann aber vor die Wand geht sind alle Mails, die von einem Nutzer eines kaputten Mailproviders gesendet werden an:

  • Weiterleitungen wie z.B. vereinsmitglied@clubname.de
  • Mailinglisten

Wenn die Mails nach Weiterleitung/-verteilung dann bei einem Empfänger einschlagen, dessen Mailprovider die DMARC/SPF-Vorgaben auswertet. Denn die Mails gehen ja zuerst an den Mailserver des Vereins / des Mailinglistenbetreibers, der die Mail dann umadressiert und weiterleitet. Dummerweise steht der aber nie auf der Liste der erlaubten Server des kaputten Mailproviders. Die Mail bounct dann. Und es gibt noch weitere seit langem bekannte Probleme.

Bekannt kaputte Mailprovider

Yahoo yahoo.com / yahoo.net

  • SPF - ist ok: "v=spf1 ptr:yahoo.com ptr:yahoo.net ?all"
  • DKIM - verbietet: "v=DMARC1; p=reject; pct=100; rua=mailto:dmarc_y_rua@yahoo.com;"
  • Vorsicht: Yahoo hat schon mehrfach die Daten seiner Nutzer verinkompetenzt. Und setzt einen auf eine temporäre Blacklist, wenn man an mehr als 5 (fünf!) Nutzer bei ihnen mailt.
  • Vorsicht (2): nach Aufkauf durch die Oath Group verkauft Yahoo Deine Mail-Daten an über 300 "Partner"](https://blog.fefe.de/?ts=a5fd1caf) bis man das explizit für jeden einzelnen Werbepartner wegkonfiguriert.

AOL.com - ist inzwischen eine Tochter von Yahoo

  • SPF - wertet ab, ist aber noch ok: "v=spf1 ip4:204.29.186.0/23 include:spf.constantcontact.com include:aspmx.sailthru.com include:mail.zendesk.com include:_ipspf.yahoo.com ~all"
  • DKIM - ist nicht definiert
  • Vorsicht: siehe oben Yahoo. War hinsichtlich Mail eigentlich schon immer kaputt, sind inzwischen nur noch eingekaufte AOL-Accounts auf Yahoo-Infrastruktur.

GMX.de / GMX.net

  • SPF - verbietet: "v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 ip4:212.227.126.128/25 ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:74.208.4.192/26 ip4:82.165.159.0/24 ip4:217.72.207.0/27 -all"
  • DKIM - ist nicht definiert

Web.de

  • SPF - verbietet "v=spf1 ip4:212.227.126.128/25 ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:217.72.192.248/29 ip4:82.165.159.0/26 ip4:217.72.207.0/27 ip4:217.72.192.64/26 -all"
  • DKIM - ist nicht definiert

Zum Vergleich:

GMail / Googlemail / Google

  • SPF - wertet ab, ist aber noch ok: "v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"
  • DKIM - ist nicht definiert
  • Dass Google die Datenkrake schlechthin im Internet ist (zusammen mit Facebook) muss hoffentlich nicht noch einmal erklärt werden?

Microsoft Office365 / outlook.com / hotmail.com

  • SPF - wertet ab, ist aber noch ok: "v=spf1 include:spf-a.outlook.com include:spf-b.outlook.com ip4:157.55.9.128/25 include:spf.protection.outlook.com include:spf-a.hotmail.com include:_spf-ssg-b.microsoft.com include:_spf-ssg-c.microsoft.com ~all
  • DKIM - wertet stark ab, funktioniert aber oft noch: "v=DMARC1; p=none; sp=quarantine; pct=100; rua=mailto:d@rua.agari.com; ruf=mailto:d@ruf.agari.com; fo=1"

freenet.de

  • SPF - ist nicht definiert
  • DKIM - ist nicht definiert

WYAE.DE

  • SPF - ist ok: v=spf1 +mx +ip4:87.128.49.243 +ip4:90.187.34.181 ?all"
  • DKIM - ist nicht definiert

Was tun?

Aktuelle Minimallösung #1: weg von Yahoo

  • Du kannst da weder alles empfangen noch alle erreichen.
  • Hau' einfach ab von Yahoo. Egal wohin, nur nicht Yahoo. (und auch nicht AOL - das ist nur Yahoo unter anderem Namen)

Aktuelle Minimallösung #2: weg von UnitedInternet (GMX, Web.DE)

  • Du kannst da nicht alle erreichen.
  • Hau' einfach ab von Yahoo, GMX und Web.DE - egal wohin, nur nicht diese.

Beim Mailprovider des Empfängers beschweren?

  • Der macht nur, was der kaputte Mailprovider des Absenders mit kaputten Policies festgelegt hat, was mit seinen Mails passieren soll.

Beim Betreiber der Weiterleitungen / Mailinglisten beschweren?

  • Der kann nicht helfen - der kaputte Mailprovider des Absenders hat mit kaputten Policies festgelegt, was mit seinen Mails passieren soll. Und das macht halt der ein oder andere empfangende Mailprovider. Der Betreiber der Weiterleitung/Mailingliste steht hilflos dazwischen und kann nur schulterzuckend zuschauen.

Beim kaputten absendenden Mailprovider beschweren?

  • Der ist völlig überzeugt, dass er allein seeligmachend sei und seine kaputten Policies korrekt seien. Ja, ich habe da schon mal nachgefragt. Auch schon direkt zu Anfang in den frühen 2000ern, als das diskutiert wurde. Die Antwort: man könne ja alle Mailserver des kaputten Mailproviders auf eine Whitelist setzen, die immer alle Mails überall einliefern dürfen... (aber sicher doch - nicht)

Zu einem ordentlichen Mailprovider wechseln

  • Du kennt jemanden, der selber einen Mailserver hat oder betreibt? Einfach mal nett anfragen reicht meistens...
  • Kauf' eine eigene Webseite/Webhosting samt Domain - da ist meist ein halbwegs brauchbarer Mailserver mit dabei, der dann ganz allein Dir gehört. Das kostet kleine einstellige EUR im Monat, und Du kannst dann soagr noch Postfächer an Freunde abgeben.
  • Werde Kunde bei einem anständigen Mailprovider wie z.B.Posteo oder Mailbox.org / Heinlein. 1 EUR pro Monat für ein anständiges Postfach bei einem soliden und datenschützenden Provider.

Update: kaputte Mailprovider machen SPF kaputt

Aktuell (seit 2018) sieht es so aus, als ob keiner der o.g. Mailprovider mehr beachtet, was in den SPF-Records steht. SPF ist damit tot. Good riddance.

Dummerweise beachten zwei Provider noch DMARC, nämlich Yahoo und GMail.

Und damit bouncen aktuell Mails von Yahoo oder GMX/Web.de über Weiterleitung/Mailingliste an Yahoo oder GMail

  • Yahoo kann weder an alle senden noch empfangen
  • GMX/Web.de kann nicht an alle senden, aber empfängt alles

und alte Anbieter-Reste (die vmtl. ihre Infrastruktur eher nie mehr ändern):

  • von Yahoo oder GMX/Web.de über Weiterleitung/Mailingliste an Arcor.de (inzwischen von Vodafone aufgekauft)