Sieve-Filter, alle eingehenden Mails (außer die von 2 Adressen) als "unzustellbar" beantworten - geht das?

  • Hallo,

    ich hab heute zum ersten mal von einem sieve-Filter gehört... :S


    Deshalb die Frage an alle, die sich damit vielleicht schon etwas besser auskennen:

    Kann ich mittels sieve-Filter alle (bis auf zwei erlaubte Adressen) eingehenden mails blockieren, bzw. mit einem "Unzustellbarkeits-Text" beantworten?


    Quasi ein generelles blockieren von allem, mit Ausnahme von 2 Adressen die beispielsweise in einer whitelist stehen...


    Danke schonmal :)


    Grüße

    Micha

  • Das kannst du, solltest du aber nicht. Das Problem, das dadurch entsteht, nennt sich "Backscatter". Zu dem Zeitpunkt der Ablehnung hat der Mailserver die Mail schon angenommen, kann sie also nicht mehr so ablehnen, dass er keine Antwort schicken muss. Wenn Mails direkt bei der Einlieferung abgelehnt werden, schickt der einliefernde Mailserver die Fehlermeldung zum Absender. Im Gegensatz zu dem muss der Netcup-Mailserver auf bestimmte Informationen in der Mail vertrauen, die gefälscht sein können, und dann geht die Fehlermeldung möglicherweise (Normalfall bei Spam) an unbeteiligte fremde Adressen. Das gleiche gilt für Abwesenheitsnachrichten und andere Autoresponder: sieht wie eine gute Idee aus, ist es aber nicht.


    Netcup hat leider keine White-/Blacklist, die vor der Annahme der Email greift. Dir bleibt also nur das Wegsortieren oder Löschen, aber davon bekommt der Absender nichts mit. Vielleicht reicht das ja.

  • Dem Problem mit den Backscattern kann (wird) doch mit SPF und DKIM Validierung ein Riegel vorgeschoben? Ein gefälschter Absender wird frühzeitig wegsortiert, noch bevor der Mailserver die Nachricht dem Benutzer zuzustellen versucht oder per Autoresponder geantwortet wird. 🙂

  • Dem Problem mit den Backscattern kann (wird) doch mit SPF und DKIM Validierung ein Riegel vorgeschoben? Ein gefälschter Absender wird frühzeitig wegsortiert, noch bevor der Mailserver die Nachricht dem Benutzer zuzustellen versucht oder per Autoresponder geantwortet wird.

    Die Bounce Adresse kann sich sowohl vom From Header, als auch vom SMTP From Header unterscheiden, so kann SPF umgangen werden.

    DKIM beweist erstmal nichts, ohne den entsprechenden DMARC Eintrag, und schützt damit nicht vor gefälschtem Backscatter.

  • Spammer verwenden bevorzugt Adressen, die nicht durch diese Maßnahmen geschützt sind. Die sollte man trotzdem nicht so belästigen. Mails, auch Fehlermails und andere automatische Antworten, verschickt man nur an Adressen, die man kennt oder verifiziert hat. Wenn man eine Email ablehnen will, dann tut man das, bevor man sie angenommen hat. Nach dem SMTP Dialog ist sie das Problem des Empfängers.


    Wenn sich das so liest, als wäre das eine Frage von Nettigkeit: Nein, dabei geht es darum, ob man über Netcup auch morgen noch Email verschicken kann, ohne in Spamfiltern zu landen. Backscatter landet auch in Spamfallen.

  • DKIM beweist erstmal nichts, ohne den entsprechenden DMARC Eintrag, und schützt damit nicht vor gefälschtem Backscatter.

    Selbstverständlich validiert DKIM die Absenderdomäne über ein Signaturverfahren. Stimmt die Signatur nicht, sortiert mein Mailserver die Nachricht aus. Mit DMARC kann der Domaininhaber mitteilen, was mit der Nachricht im Fall eines DKIM Fehlschlages passieren soll und dass er über wirksame und fehlgeschlagene Signaturprüfungen informiert werden möchte. Diesen Wünschen kann sich der Admin des empfangenden Mailservers annehmen oder auch nicht.

  • Selbstverständlich validiert DKIM die Absenderdomäne über ein Signaturverfahren.

    Ich kann für die Abenserdomain example.net eine gültige DKIM Signatur mit der Signaturdomain gappsmtp.com aufbringen. DKIM validiert nicht die Abenderdomain.


    Edit: steht sogar im RFC drinne:


    Quote

    DKIM separates the question of the identity

    of the Signer of the message from the purported author of the

    message.

  • Ich kann für die Abenserdomain example.net eine gültige DKIM Signatur mit der Signaturdomain gappsmtp.com aufbringen.

    Ehrlich gesagt, verstehe ich nicht, was du damit meinst. Der von dir beschriebene Weg wird aber scheitern, solange du keinen Zugriff auf die DNS-Verwaltung der Domain und/oder den Key-Server hast.

    Auch hier verstehe ich deinen Einwand nicht. Das Zitat hast du außerdem aus seinem Kontext getrennt.

    Quote

    DomainKeys Identified Mail (DKIM) permits a person, role, or organization that owns the signing domain to claim some responsibility for a message by associating the domain with the message. This can be an author's organization, an operational relay, or one of their agents. DKIM separates the question of the identity of the Signer of the message from the purported author of the message. Assertion of responsibility is validated through a cryptographic signature and by querying the Signer's domain directly to retrieve the appropriate public key. Message transit from author to recipient is through relays that typically make no substantive change to the message content and thus preserve the DKIM signature.

    https://www.omgwiki.org/dido/doku.php?id=dido:public:ra:xapend:xapend.b_stds:tech:ietf:6376

  • Spammer verwenden bevorzugt Adressen, die nicht durch diese Maßnahmen geschützt sind.

    Sofern der Empfangende Mailserver SPF und DKIM Prüfungen umsetzt, werden solche Mails entweder auf Systemebene verworfen oder die Verarbeitung bis zur Klärung gestoppt. Mein Mailserver schiebt beispielsweise Nachrichten ohne SPF und DKIM in Quarantäne. Da antwortet auch kein Autoresponder. 😀

  • Auch hier verstehe ich deinen Einwand nicht. Das Zitat hast du außerdem aus seinem Kontext getrennt.

    Das ist nicht aus dem Kontext gerissen - Signing Domain muss nicht mit der Absenderdomain übereinstimmen.


    Ehrlich gesagt, verstehe ich nicht, was du damit meinst. Der von dir beschriebene Weg wird aber scheitern, solange du keinen Zugriff auf die DNS-Verwaltung der Domain und/oder den Key-Server hast.

    Ich kann dort jede Signing Domain eingeben, die ich möchte - selbstverständlich auch eine Domain, für die ich Zugriff zur DNS-Verwaltung habe.


    Hier einmal ein Beispiel von einer echten Mail:

    Die DKIM Signatur beweist nur, dass Google diese E-Mail verschickt hat.

    Es beweist nicht, dass h6g.de eine legitime Absenderdomain ist.


    Und genau so wie Google diese E-Mail in Namen von gappsmtp.com signiert, kann dort auch jede andere Domain herhalten. Absender ist in jedem Fall h6g.de.

    Ich könnte zusätzlich noch mit h6g.de signieren, muss ich aber nicht. Die DKIM Signatur ist in jedem Fall gültig und scheitert offensichtlich nicht.

  • @H6G


    Wahrscheinlich reden wir aneinander vorbei. Du benutzt Google Workspace, hast dort deine TLD angebunden und signierst bei jedem Versand die Mails mit einer gültigen DKIM-Signatur über die Google-Server.


    Was du nicht kannst, ist Nachrichten mit der Adresse info@netcup.de über Google Workspace zu versenden. Selbst wenn das aus irgendwelchen Gründen funktionieren sollte, hättest du trotzdem keine gültige DKIM-Signatur. 😀

  • Den Luxus, gültige Mail von echten Menschen einfach nicht lesen zu müssen, haben nicht viele. Glückwunsch.

    Ich bin wahrlich kein Freund von zu komplex geratenen Protokollen, und E-Mail ist leider durch SPF, DKIM und DMARC deutlich komplizierter geworden. Ich kann aber auch verstehen, dass das eine Antwort auf die unzähligen Spam- und Phishing-Versuche darstellen kann. Sich der Weiterentwicklung zu verschließen, ist aus meiner Sicht dann sinnlos, wenn es sich um weltweit etablierte Standards in der IT handelt.


    In meiner Mail-Quarantäne landeten bisher übrigens ausschließlich Spammer und Phishing-Versuche