Webhosting akzeptiert beliebigen Absender

  • [...] Gibt es einen Plan, an der (Nicht-)Prüfung der Absender was zu ändern?

    [...]

    (1) Wenn 100 (oder auch nur 2) Kunden diesen Server verwenden, ist die Aussage somit quasi wertlos.

    (2) Wenn Du es eindeutiger willst, dann brauchst du einen eigenen Sendeserver.

    (3) Da ein Empfänger aber auch hier nicht weiß, wieviele Leute den nutzen, ist das gesamte System im Grunde Nutzlos.

    (1) Deswegen prüfen größere Anbieter auch, ob der Kunde auch die Kontrolle über eine angegebene Domäne hat oder verweigern ansonsten die Annahme/Weiterleitung der betreffenden E-Mail.

    (2) Das ist ein Fakt.

    (3) Nein, nicht nutzlos. Ein Empfänger kann im Grunde genommen konsistente(!) Werte für SPF, DKIM, DMARC nur als Anhaltspunkt werten, dass die E-Mail authentisch sein könnte. Bei unpassenden oder ggf. unbekannten/geänderten Werten – letzteres dürfte zugegebenermaßen kaum jemand prüfen – kann die Nachricht jedoch entsprechend als verdächtig gekennzeichnet oder direkt verworfen werden (je nach vereinbarter Verfahrensweise, nicht zwangsweise alleinig auf obigen Regeln basierend). Deswegen machen SPF/DKIM/DMARC ja signierte E-Mails (das entspricht dann einem Siegel/analogen Nachweis im von der Post transportierten Brief; nachprüfbare Informationen hierzu lassen sich ggf. in Eigenverwaltung via DNSSEC in DNS-Einträgen verwalten, welche auch obige abgelegte Regeln schützen) nicht überflüssig. Allesamt einzelne Puzzleteilchen, welche man nutzen kann oder nicht. Sie werden aber nicht nutzlos, weil man sie selbst als nutzlos erachtet oder nicht nutzen kann/will.

  • (1) Deswegen prüfen größere Anbieter auch, ob der Kunde auch die Kontrolle über eine angegebene Domäne hat oder verweigern ansonsten die Annahme/Weiterleitung der betreffenden E-Mail.

    was - wie es mein ISP handhabt - sogar die Spitze des Eisbergs erreicht;

    jeder ISP-Kunde kann bis zu 5 Postfächer haben, und jedes Postfach bis zu 5 Mailadressen (Aliase)

    beim SMTP musst Du Dich mit dem User authentifizieren, der zum Postfach des Alias gehört;

    sprich: wenn Du z.B. Thunderbird verwendest, und von 2 Adressen, welche zu 2 unterschiedlichen Deiner 5 möglichen Postfächer gehört,
    senden willst, musst Du beim senden unterscheiden; die Einrichtung von nur einem SMTP-Server ist zuwenig ...

  • Außerdem ist NCLabs für den Normalsterblichen ja wohl eher ein Phantasieprodukt.

    Oder war in den letzten 5-10 Jahren irgendwann einmal die Registrierung dafür offen?

    Die "Testplätze" werdem ja wohl seit Jahr(zehnt)en von denselben Leuten besetzt.

    Du verwechselst die nc-VPS mit dem nc-Webhosting. Letzteres kann man sehr wohl bekommen.

  • Quote

    Folgende Regeln und Bedingungen gelten für das kosten-reduzierte Webhosting der ncLabs:

    1. Es gilt als wohlverstanden, dass die in den netcup-Labs registrierten Domains auch genutzt werden. Bitte registrieren Sie die Domains erst, wenn Sie die Anzahl der Besucher auch erreichen.
    2. Keine reinen statischen Daten. Wir erwarten das Scripte wie PHP, NodeJS oder Ruby genutzt werden.
    3. Kein Filehosting.
    4. Feedback über das Kundenforum ist erwünscht.
    5. Keine garantierte Mindestverfügbarkeit.
    6. Vertrag jeder Zeit mit einer Frist von 31 Tagen beidseitig kündbar. Eventuell im Voraus gezahlte Grundgebühren werden in dem Fall von netcup zurück erstattet.
    7. Kein Anspruch an kostenlosen Support.

    Sind keine öffentlichen Inhalte auf dem gebuchten Webhostingaccount erreichbar oder wird die Besucher-Anzahl von durchschnittlich 20 je Tag für mehr als 7 Tage unterschritten, kann netcup den Vertrag innerhalb von 31 Tagen kündigen.

    Dennoch muss man gewisse Voraussetzungen erfüllen. Ob diese, gerade am genannten Beispiel des Mail-Tests, gegeben sind...? :P


    Aber spielt ja nun ohnehin kaum mehr eine Rolle, offizielles Statement zur Problematik ist ja nun vorhanden.

  • Dennoch muss man gewisse Voraussetzungen erfüllen. Ob diese, gerade am genannten Beispiel des Mail-Tests, gegeben sind...?

    1. Domains darüber zu registrieren (Inklusivdomains) ist nicht vonnöten.

    2. Ein Webform ist je nach Art statisch oder nicht.

    3. Filehosting wird hier auch nicht getestet, sondern ein Mailproblem.

    4. Feedback geben wir ja bereits im Forum - nur dann eben an anderer Stelle im Forum.

    5. Mindestverfügbarkeit braucht es für den Test nicht.

    6. Dass der Vertrag mit Monatsfrist kündbar ist, ist ja ein Vorteil, wenn man nur mal eben was testen möchte, woran netcup -siehe 4.- Interesse haben kann.

    7. Um Support geht es ja nicht...


    Zum Testen werden 7 Tage ja wohl reichen...


    Alternative: Support anschreiben und um einen regulären Testaccount ersuchen.

  • Hallo,

    große österreichische Provider (unter mexikanischer Hand) prüf(t)en leider auch nicht (via SMTP-Auth), ob Absender das Postfach/Mailadresse besitzt und deutscher All-Inclusive Anbieter ;) hat mir letztens mitgeteilt, dass er aufgrund DSGVO die Absender-IP anonymisieren (XXX) muß :/


    XXX.jpg

  • Vielen Dank für die ausführliche Antwort.

    Leider finde ich diese Einstellung jedoch trotzdem fragwürdig und falsch.


    Da jeder SMTP Server ja nicht nur für einen Kunden zuständig ist, und ein Kunde i.d.R. mehr als einen SMTP Account hat, kommt es zwangsweise dazu dass verschiedene SMTP Accounts sich den Server teilen. Da (fast) keine Überprüfung stattfindet, kann also jeder mit einem Account Mails im Namen aller anderen senden. Das kann ja nicht gewollt sein!

    Entgegen der Darstellung in 1) kann der Empfänger das auch nicht mittels der Techniken wie SPF, DKIM und DMARC prüfen - im Gegenteil sogar - schlimmer noch, der Empfänger muss glauben dass es eine echte Mail ist, da sie ja sogar vom richtigen Server kommt...


    Als Beispiel: Wenn ein Kunde domain.org und domain2.org besitzt und diese vom gleichen Server bedient werden (was ja bei einem Produkt immer der Fall ist), kann ein SMTP Account für domain.org auch Mails im Namen von domain2.org absenden (mit beliebigen Absenderadressen).

    Ich möchte gar nicht wissen ob das auch über die Grenzen über mehrere CCP Accounts machbar ist wenn die sich den Server teilen...


    Davon abgesehen, was hält Netcup davon ab die Konfiguration "richtig" zu machen, und per SMTP nur die Absender zuzulassen, die auch entsprechend für diesen SMTP Account eingetragen sind? Solch eine Konfiguration würde ja nur zusätzlich Gewissheit bieten, und für weniger Verdruss der Kunden sorgen.

  • Davon abgesehen, was hält Netcup davon ab die Konfiguration "richtig" zu machen, und per SMTP nur die Absender zuzulassen, die auch entsprechend für diesen SMTP Account eingetragen sind?

    hier gibts ehrlich gesagt kein richtig und kein falsch;

    aber würde es derart restriktive gehandhabt werden, dann würde dies bedeuten, dass

    wenn jemand nur eine Domain hat, aber da mehrere Postfächer, dann ist das sogenannte

    "Send on Behalf" gar nicht möglich, weil - nehmen wir das Beispiel:


    es gibt ein Postfach office@company.tld und zwei Postfächer mitarbeiter1@company.tld bzw. mitarbeiter2@company.tld


    der Mitarbeiter 1 will die Mail so versenden, dass sie beim Empfänger (dem Kunden) so ankommt,

    dass dieser sieht, dass der Absender zwar office@company.tld ist, diese aber von mitarbeiter1@company.tld stammt;


    würde im Mailheader beim Empfänger so aussehen

    Code
    1. From: "Company" <office@company.tld>
    2. Sender: "Mitarbeiter 1" <mitarbeiter1@company.tld>

    würde dies tatsächlich so konfiguriert sein, wie Du es vorschlägst, geht das nicht,

    und soll dies gehen, dann kann der SMTP-User mitarbeiter1@company.tld  selbstverständlich mit der Adresse office@company.tld versenden,

    welche aber einem anderen SMTP-User zugeordnet ist ...

    würde der Empfänger (= der Kunde) bei diesem Mail auf 'Antworten' gehen, dann geht die Mail richtigerweise an office@company.tld

    im Outlook sieht die Mail beim Kunden so aus: (auf das wesentliche reduziert)

    pasted-from-clipboard.png


  • Das Feature "Send on Behalf" kann man auch bei meinem Vorschlag einfach unterstützen.

    Man braucht für den SMTP Server lediglich eine Überprüfung bei ausgehenden Mails, ob 1) einer der Alias-Adressen des Accounts zum Absender passt, oder 2) einer der eingetragenen "Send on Behalf Adressen" übereinstimmt. Dh im WCP würde man Alias-Adressen sowie "Send on Behalf Adressen" für einen Account eintragen können.


    Je nachdem welche SMTP Software eingesetzt wird gibt es dazu i.d.R. auch die entsprechende Möglichkeit zur Konfiguration mittels SASL/APD usw.

  • Das Feature "Send on Behalf" kann man auch bei meinem Vorschlag einfach unterstützen.

    nicht wirklich; wie in meinem Beispiel ja gezeigt, hast Du im E-mail-From die Office-Adresse, und dessen SMTP-Passwort im ganzen Unternehmen weiterzugeben

    ist weder praktikabel und oft auch nicht gewollt;

    darum sagte ich ja, wenn dieses Feature möglich sein soll, muss man auch mit Absenderadressen absenden dürfen, welche nicht de, SMTP-User zugeordnet sind;

    und ein Denkfehler Deinerseits bei 1) Postfachadressen können keine Alias-E-mailadressen bei anderen Postfächern sein;

  • nicht wirklich; wie in meinem Beispiel ja gezeigt, hast Du im E-mail-From die Office-Adresse, und dessen SMTP-Passwort im ganzen Unternehmen weiterzugeben

    ist weder praktikabel und oft auch nicht gewollt;

    darum sagte ich ja, wenn dieses Feature möglich sein soll, muss man auch mit Absenderadressen absenden dürfen, welche nicht de, SMTP-User zugeordnet sind;

    und ein Denkfehler Deinerseits bei 1) Postfachadressen können keine Alias-E-mailadressen bei anderen Postfächern sein;


    Ehrlich gesagt sehe ich nicht das Problem.

    Für das Bespiel würde man im WCP folgendes Eintragen:


    für den Account mitarbeiter1@company.tld die send-on-behalf Adresse office@company.tld und vielleicht noch weitere Alias Adressen

    für den Account mitarbeiter2@company.tld die send-on-behalf Adresse office@company.tld, und vielleicht noch vertrieb@company.tld


    Wenn nun mitarbeiter2 eine Mail verschickt, wird erst 1) geprüft ob eine Alias Adresse matched, dann 2) ob eine send-on-behalf Adresse matched, und wenn weder 1) noch 2) ok ist, dann darf die Mail nicht rausgehen.


    Dh. es gibt hier keinen Überlapp von Alias Adressen zwischen Accounts. Logischer Weise gibt es einen Überlapp bei den send-on-behalf Adressen (was ja auch sonst kein Sinn ergeben würde).


    Aktuell, so wie es bei Netcup konfiguriert ist, kann der Mitarbeiter praktikant@company.tld einfach mit seinem SMTP Postfach eine Mail verschicken im Namen von vertrieb@company.tld, und von extern kann man das nicht feststellen (außer es gibt zusätzliche client-basierte Sicherheiten wie PGP/MIME, ...).

  • ThomasChr wenn man davon ausgeht, dass eine Domain nur in einem Kundenaccount existieren darf/kann, wäre

    damit einfach es so zu machen wie es ohnehin gemacht wird;, sprich man kann ohnehin nicht von einer Domain,

    welche nicht dem Mailserver zugeordnet ist, versenden;