SMTP lässt jede Adresse als Absender zu (ACHTUNG SCHWACHSTELLE)

  • Hab ich schon lang aktiv, kommt aber nix groß was rein bei mir..

    Weil bisher nur die großen Provider die Reports zusenden. Die Netcup Mailserver senden auch keine DMARC Reports (übrigens auch keine SMTP-TLS Reports) zurück. Auch so ein Thema, das man mal hier nachholen könnte...würde eventuell auch das Problem dann noch deutlicher machen mit dem halb-offenen Relay.

  • Je mehr ich darüber lese, desto mehr bin ich auch geneigt zu empfehlen, dass Netcup jeder Domain einen eigenen DKIM Key vergeben sollte. Das könnte das Thema auch etwas abmildern, wenn die Herren Administratoren den Aufwand scheuen wollen, eine Absendeadressprüfung durchzuführen.

  • Je mehr ich darüber lese, desto mehr bin ich auch geneigt zu empfehlen, dass Netcup jeder Domain einen eigenen DKIM Key vergeben sollte.

    „(Aktiv) vergeben“ ist sicherlich aus mehreren Gründen problematisch (selbst für Domänen, die von Netcup verwaltet werden) ohne entsprechende explizite Vereinbarung. Der Aufwand dürfte auch jegliche Kalkulation zunichtemachen.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Like 1
  • Das hilft aber nur bedingt.

    Denn wenn du das machst und z.B. zu mailbox.org umziehst, dann kannst du dort deine emails nur unter deinem domainnamen verschicken.

    Jeder andere könnte aber, bei einem Provider, der das nicht prüft, durchaus weiterhin emails mit deiner maibox.org-Adresse verschicken.

    Was dkim und spf angeht, wärst du dann aber tatsächlich sicherer.

    Ja, ich habe das so gemeint, dass ich dann eben SPF und DKIM so einstellen kann, dass das bei von anderen verschickten Mails nicht passt. Was ja hier in dem Fall bei netcup nicht möglich zu sein scheint, wodurch es erst zu einem echten Problem wird. Da wäre es ja sogar (etwas) besser, DKIM gleich ganz rauszunehmen, damit der eventuelle Spammer nicht durch die richtige DKIM-Signatur auch noch vertrauenswürdiger wird.

  • „(Aktiv) vergeben“ ist sicherlich aus mehreren Gründen problematisch (selbst für Domänen, die von Netcup verwaltet werden) ohne entsprechende explizite Vereinbarung. Der Aufwand dürfte auch jegliche Kalkulation zunichtemachen.

    Ich meine natürlich nicht händisch, sondern automatisiert. Das wäre klar, dass dies nicht kalkulierbar wäre - automatisiert ist es möglich. Jede Domain muss automatisiert einen Private Key zum Signage auf dem Mailserver bzw. Mail-Relay erstellt bekommen und dann muss natürlich der Public Key im CCP automatisiert angezeigt werden, damit der User diesen dann im DNS veröffentlichen kann. Bei Netcup verwalteten Domänen kann dies ja ggf. durch die DNS-API passieren.


    Denkbar wäre auch der Weg anders herum. Netcup User stellt einen Private Key im CCP bereit (ähnlich der DNSSEC Einrichtung, wenn bei einem anderen DNS Anbieter) und der Public Key muss dann trotzdem vom User publiziert werden.


    Oder den Empfehlungen von Microsoft folgen:
    Informationen für Infrastrukturanbieter (ISPs, ESPs oder Cloud-Hostinganbieter)

    Sie können die E-Mail sogar doppelt mit DKIM-Signaturen signieren (mit der Domäne des Kunden, falls eingerichtet, und mit der DKIM-Signatur Ihres Unternehmens).


    Wozu möchtest du eine Vereinbarung machen und was würde diese beinhalten?

  • Wozu möchtest du eine Vereinbarung machen und was würde diese beinhalten?

    Ich will gar keine machen, da Schlüssel für DKIM/ARC und TLS aus meiner Sicht gar nicht in die Hand eines Dienstleisters gehören (weswegen alles über eigene Dienste/Server/IPs läuft). Natürlich mag es Kunden geben, die hier schlichtweg keine Wahl haben (oder dieses Thema aus sonstigen Gründen delegieren wollen).


    Eine Vereinbarung, welche die zulässigen Operationen/Schlüsselverwaltung usw. regelt, wäre aber unumgänglich, schließlich greift hier der Dienstleister im Auftrag auf ein Verzeichnis (DNS) zu, dessen Verwaltung dem Domäneninhaber zusteht. Unabhängig davon ist das meiner Meinung nach eine Büchse der Pandora für den Dienstleister (der ja auch keine Eingriffe auf den virtuellen Festplatten vornimmt, was die Anpassung von Partitionen bei Umzug usw. usf. betrifft).

    Ein solcher Dienst muss erst einmal implementiert werden und bedarf der Wartung (Personalkosten!). Nur, weil etwas automatisiert möglich ist (kein Mensch würde das händisch machen!), muss es sich noch lange nicht rechnen, insbesondere nicht für Massenhoster, welche relativ heterogene (Kleinst!-)Kundengruppen bedienen. Im Rahmen von „Managed (Web-)Servern“ könnte das langfristig vielleicht ein Dienst sein, der sich ggf. als zubuchbare Option rechnet; ich würde eine solche aber primär bei Anexia- und nicht bei Netcup-Angeboten verorten.


    Was die doppelte Signierung anbelangt – unter Verwendung des Dienstleister-eigenen Markennamens –, bin ich wie bereits von tab in ähnlichem Kontext weiter oben ausgeführt der Meinung, dass dies das Risiko mit sich bringt, potenzielle Spam-E-Mails aufzuwerten. Gleichzeitig würde das im Falle einer Ausnutzung aufgrund der anteiligen gemeinsamen Reputation auch Unbeteiligte schaden.


    Die einzige saubere/kostengünstige Lösung für gemeinsam verwendete Mailserver ist letztlich die Prüfung zugeordneter Domänen (Whitelist).

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Like 1
  • Jede Domain muss automatisiert einen Private Key zum Signage auf dem Mailserver bzw. Mail-Relay erstellt bekommen und dann muss natürlich der Public Key im CCP automatisiert angezeigt werden, damit der User diesen dann im DNS veröffentlichen kann. Bei Netcup verwalteten Domänen kann dies ja ggf. durch die DNS-API passieren.

    Das ist natürlich eine sehr gute Lösung. Aber bei solch günstigen Tarifen, wie sie Netcup nun mal anbietet, die eher den Fokus auf Webhosting legen und nicht E-Mail? Und wenn schon, dann doch eher den Private Key uns Kunden über deren DNS-Server zur Verfügung stellen zu lassen und wir tragen dann einfach auf unseren externen DNS-Servern nur einen bzw. zwei CNAME Records ein, die dann auf den DNS-Server von Netcup zeigen.

  • Hi, ich versuche mal einzeln auf die Punkte einzugehen.

    Schlüssel für DKIM/ARC und TLS aus meiner Sicht gar nicht in die Hand eines Dienstleisters gehören

    Da hast du mehr als recht.


    Natürlich mag es Kunden geben, die hier schlichtweg keine Wahl haben (oder dieses Thema aus sonstigen Gründen delegieren wollen).

    Ich z.B. habe nicht die Zeit dafür meinen eigenen Mailserver zu betreiben, daher nutze ich das Webhosting Angebot mit den inkludierten Mailservern von Netcup.


    Quote

    schließlich greift hier der Dienstleister im Auftrag auf ein Verzeichnis (DNS) zu, dessen Verwaltung dem Domäneninhaber zusteht.


    Das macht Netcup ja bereits bei der Ersteinrichtung, die DNS Einträge sind ja bereits vorbefüllt.


    Was die doppelte Signierung anbelangt – unter Verwendung des Dienstleister-eigenen Markennamens –, bin ich wie bereits von tab in ähnlichem Kontext weiter oben ausgeführt der Meinung, dass dies das Risiko mit sich bringt, potenzielle Spam-E-Mails aufzuwerten. Gleichzeitig würde das im Falle einer Ausnutzung aufgrund der anteiligen gemeinsamen Reputation auch Unbeteiligte schaden.

    Naja, wir stellen also gerade fest, das Netcup das genau so macht. Aktuell hat Netcup bei den Mailservern aus dem Webhosting zwei General DKIM Schlüssel im Einsatz für alle Domains die über diese Systeme versenden. Ist also in besitz dieser und das ist ja das Risiko. Aus diesem Grund werden die "gefälschten Absender" ja als korrekt geprüft (und wertet damit gefälschte Absende ungewollt auf). Nämlich ein CNAME Eintrag im DNS auf:

    • key1._domainkey.webhosting.systems
    • key2._domainkey.webhosting.systems

    Aus diesem Grund plädiere ich doch für die Einführung Domain-spezifischer DKIM Schlüssel. Eine doppelte Signatur würde hier eigentlich Abhilfe schaffen. Die General DKIM Schlüssel, (key1 und key2) werden zur Identifikation genutzt, dass es von den Netcup Systemen kommt. Der Domain-spezifische DKIM Schlüssel würde die Zugehörigkeit zu einem bestimmten Webhosting Paket bzw. Domain bescheinigen.


    Quote

    Die einzige saubere/kostengünstige Lösung für gemeinsam verwendete Mailserver ist letztlich die Prüfung zugeordneter Domänen (Whitelist).

    Und ja, da hast du recht und damit kommen wir zu meinem Ursprungs-Punkt zurück: eigentlich muss der SMTP gegen eine Whitelist prüfen, ob ein bestimmter SMTP Authentifizierte Nutzer auch für diese Domain versenden darf. Hier habe ich ja auch bereits eine Lösungsmöglichkeit beschrieben --> es gibt intern zwischen dem annehmendem und letztlich versendeden Relay einige Routing Möglichkeiten bei Netcup. Man könnte einen Teil der relay.yourmailgateway.de Server als secure-relay.yourmailgateway.de umbauen und hier die Prüfung als letzte Instanz durchführen die auf die jeweilige Einstellung in Plesk prüft, ob eine Absenderprüfung gewünscht ist oder nicht.


    und weiter:

    es sich noch lange nicht rechnen, insbesondere nicht für Massenhoster, welche relativ heterogene (Kleinst!-)Kundengruppen bedienen

    Im Gegenteil, ich sehe das etwas anders, besonders die Massenhoster für solche Kleinst-Kundengruppen sollten hier aktiv sein und nur erlaubte Absender zulassen - da diese sonst schnell missbraucht werden und eher die Klein-Kunden unter dem Reputationsverlust des Hosters leiden. Was das doppelte DKIM Signing angeht, das würde ich optional machen, jeder Kunde der einen Domain-eigenen Schlüssel im CCP bereitstellt, der wird auch beim Versand mit seiner Domain benutzt. Derjenige, der keinen Key bereitstellt, bekommt halt nur die Netcup DKIM Schlüssel und geht damit ein Risiko ein, das er aber generell selbst abstellen könnte.


    bei solch günstigen Tarifen, wie sie Netcup nun mal anbietet, die eher den Fokus auf Webhosting legen und nicht E-Mail

    ob nun die Preise dadurch steigen, kann Netcup ja selbst entscheiden. Ggf. muss man halt die Amortisation der Entwicklung betrachten, aber das ist kein Thema für diesen Thread, es geht hier eher um die Technik. Nur weil man auf das gute Netcup Webhosting setzt, muss ich ja kein "schlechtes" Mailhosting akzeptieren und kann auch Verbesserungen fordern. Herr Werner, seines Zeichens Director Service Development bei Anexia und GF bei netcup, kann dies ja als Anlass nehmen einen eigenen Mail-Service anzubieten oder den aktuell bestehenden Service weiterzuentwickeln.


    andreas. ob ich nun einen CNAME oder TXT Record publiziere ist mir dann relativ egal.


    Wir sehen also, die Netcup Mailsysteme unter netcup.net sind definitiv noch weiter optimierungsbedürftig und es sollten hier sinnvolle Überlegungen angestellt werden. Ich werde glaube ich mal einen eigenen Post dafür aufmachen und die bisher identifizierten Optimierungsmöglichkeiten spezifizieren und mit Argumenten unterlegen und dann gesammelt an Netcup weiterleiten.

  • Ich werde bis auf Weiteres bei allen bei netcup registruierten Domains, die einem netcup-Webhosting zugewiesen oder Inklusivdomains sind, die Mailfunktion deaktivieren. Damit wird dann schon mal der "Müll" beseitigt, der sich da im Lauf der Jahre durch diverse Tests angesammelt hat. Dann schaue ich mir an, welche der angelegten Adressen überhaupt tatsächlich benutzt werden. Das werden zum Glück nur einige wenige sein, weniger als fünf (also sogar weniger als vorhandenen Webhostingpakete ^^:rolleyes: . Diese verbliebenen Adressen werde ich dann auf meinen Mailserver umziehen, soll der ruhig auch mal etwas mehr arbeiten ^^. Das bringt sogar noch den Vorteil, dass sich dadurch die Menge der vom Mailserver versendeten Mails erhöht, was der Reputation förderlich ist, sofern es nicht gerade Spam ist.


    Das ist zwar leider mal wieder eine Arbeitsbeschaffungsmassnahme, aber das ist es mir in dem Fall wert, zumal der Aufwand bei der kleinen Zahl von Adressen überschaubar ist.

  • Ich hätte durchaus auch mal wieder Lust einen Mailserver aufzusetzen. :)

    Nicht weil ich ihn benötige (oder produktiv nutzen werde), aber zum testen.

    Was braucht man nochmal an Serverressourcen (RAM, CPU, SSD) für eine mailcow (dockerized)? (Kein produktiver Einsatz, nur wenig traffic)

  • Ich hätte durchaus auch mal wieder Lust einen Mailserver aufzusetzen. :)

    Nicht weil ich ihn benötige (oder produktiv nutzen werde), aber zum testen.

    Was braucht man nochmal an Serverressourcen (RAM, CPU, SSD) für eine mailcow (dockerized)? (Kein produktiver Einsatz, nur wenig traffic)

    pasted-from-clipboard.png

    wenn du clamd & solr deaktivierst, sparst nochmal knapp über 2GB RAM


    Mein Server (RS1000) mit Mailcow, Traefik, Authelia, Crowdsec, Grafana, Nextcloud und Teamspeak brauch um die 6GB+

    pasted-from-clipboard.png

  • So kleines Update: Der Netcup Support hat bei mir weitere Details eingeholt (allerdings nur zur Kundennummer und dem verwendeten Produkt - ich bin mir nicht so ganz sicher, ob der Kollege den Sachverhalt verstanden hat). Habe es also nochmal ausführlich geschildert.


    Hoffentlich wird es ordentlich intern bei Netcup bzw. Anexia (wir wissen ja wie das in Konzernen läuft) diskutiert und bewertet und eine entsprechende Stellungnahme geben. Ich warte auf eine positive Rückmeldung zur Umsetzung der Konfigurationsänderung.


    Ich lasse euch alle teilhaben.