AS197540 (Netcup) auf UCEPROTECT-Level3 gelistet

  • Naja, wir können uns hier lange streiten wie Kacke uceprotect ist (meiner Meinung nach ziemlich kacke), aber Fakt ist auch: Der Spamscore des Netcup AS bei denen steigt wieder. Das Problem wird also eher größer als kleiner.


    Ich hab übrigens zwischendurch Antwort von Netcup Support bekommen. Wie sie mit den von mir genannten IPs umgehen haben sie nicht gesagt, nur lang und breit dargestellt das man da wenig machen kann, sie nicht zahlen werden (imho gut so!) und wir die Empfänger anschreiben sollen nicht auf Grund dieser Liste zu blocken. Was sie auch noch gesagt haben ist das uceprotect am 18.1.2021 das Limit für Listing in Level 3 von 0,2% der zum AS gehörenden IPs auf 0,02% gesenkt hat, was ihmo ein echt übel hartes Limit ist.


    Was machen wir jetzt also?


    Leben mit dem Problem?

    Serverumzug? Wenn ja, wohin? Wo passiert einem das nicht gleich wieder?


    Haben wir eine Möglichkeit die Kunden mit den spammenden IPs zu erreichen?


    Ernst gemeint: Kann es überhaupt eine Lösung dieses Problems geben? Oder muss ich jetzt 5 Mailserver in 5 verschiedenen AS betreiben und immer auf den Server umschalten der gerade auf den wenigsten Blacklists gelistet ist, damit ich zuverlässig meine Mails rausgeschickt bekomme?

  • Ernst gemeint: Kann es überhaupt eine Lösung dieses Problems geben?

    Ja


    Oder muss ich jetzt 5 Mailserver in 5 verschiedenen AS betreiben und immer auf den Server umschalten der gerade auf den wenigsten Blacklists gelistet ist, damit ich zuverlässig meine Mails rausgeschickt bekomme?

    Nein

  • Ernst gemeint: Kann es überhaupt eine Lösung dieses Problems geben? Oder muss ich jetzt 5 Mailserver in 5 verschiedenen AS betreiben und immer auf den Server umschalten der gerade auf den wenigsten Blacklists gelistet ist, damit ich zuverlässig meine Mails rausgeschickt bekomme?


    Du brauchst mehrere IP-Adressen für Mailausgang ;-) Das Problem kann dich jederzeit auch ohne SPAM-Liste betreffen. Wenn Du eine IP nur selber nutzt, dann wirst Du auf internen Blocklisten landen, weil zu wenig Mailvolumen vorhanden ist. Hast Du dann man etwas mehr Mails, triggern die "smarten" Filter von Microsoft und Co.. Wenn Du Dir die IP mit anderen Mailnutzern teilst, hast Du genug Volumen, aber halt mehr SPAM-Risiko. Die Postmasterteams sind personell nicht aufgestockt worden. Alle lügen sich in die Tasche, wie gut alles skaliert ohne menschliches Hirn.


    Ich habe eine 10 Jahre etablierte IP auf einem Mailserver und werde seit einer Woche von allen GMX/Web.de Mailserver geblockt. Ich bekomme von keinem Postmasterteam seit einer Woche eine Antwort auf die Beschwerdeformulare.Solche Vorfälle würden früher in 12-72h geklärt. Ob sich das veränderte Verhalten mit Covid19 erkläre lässt, sei mal dahingestellt. Aber Du kannst sehr schnell abgeschnitten werden. Und weder Sender noch Empfänger werden auf Endnutzerlevel Verständnis für die Situation haben. Ihre eigenen Provider unter Druck setzen, werden diese Nutzer ebenfalls nicht. Selbst wenn Du diese persönlich erreichen kannst. Der Fehler wird bei Dir verortet. Wer geblockt wird, wird schuldig sein.


    Die KMUs wandern immer häufiger zu Office365 und werden nie wieder geblockt ;-) Egal wie viel SPAM da raus geht ;-) Solange da keine Regulierung erfolgt (auch wieder problematisch), wird das Powergame weitergehen. Da mittlerweile Provider wie Google, Microsoft und UnitedInternet viel E-Mailverkehr haben, der die eigenen Netze nicht mehr verlässt, wird der kundeninterne SPAM eine viel größere Herausforderung.

  • Ja


    Nein

    dann sei doch bitte so nett und gib diese mal durch, gerade auf nem shared hoster, wo jeder jeden ruinieren kann.


    dazu gibt es weiterhin das problem dass wenn eine website bspw eine newsletteranmeldung hat (bei der man eigentlich nur die mailadresse anfordern sollte), dass jeder absichtlich ne spamtrap festlegen kann und die opt-in mail ist dann etwas problematisch.


    und heuristik zum erkennen von einmal oder wegwerfadressen unahängig davon dass diese auch legitime nutzer treffen kann, funktioniert halt auch dann schlecht wenn alte nicht mehr genutzte (und damit legitime) adressen auch als spamtraps genutzt werden.

  • dann sei doch bitte so nett und gib diese mal durch, gerade auf nem shared hoster, wo jeder jeden ruinieren kann.

    Gegenfrage: welches Problem hättest Du, wenn der Hoster die Mails welche er sinnvollerweise nicht annimmt (SPAM-Filter am Incoming-Mailrelay),

    gleich im Vorfeld auch am SMTP-Server verweigert?


    dazu gibt es weiterhin das problem dass wenn eine website bspw eine newsletteranmeldung hat (bei der man eigentlich nur die mailadresse anfordern sollte), dass jeder absichtlich ne spamtrap festlegen kann und die opt-in mail ist dann etwas problematisch.

    das ist aber nicht das Problem des Mailanbieters ...;)

  • Gegenfrage: welches Problem hättest Du, wenn der Hoster die Mails welche er sinnvollerweise nicht annimmt (SPAM-Filter am Incoming-Mailrelay),

    gleich im Vorfeld auch am SMTP-Server verweigert?

    Naja spamfilter auf postfach ebene geben in der regel dem User die möglichkeit nochmal zu schauen ob nicht gerade legitime mail dabei ist.


    mMn sollte eine direkte abweisung eher auf parametern wie SPF und DMARC passieren wie der besitzer der Adresse des Absenders extra schon sagt, "weist das ab".


    es ist schon blöd wenn der chef sich über netcup aufregt weil keine rechnungen versandt werden können, für etwas wo wir nicht schuld sind.

  • Naja spamfilter auf postfach ebene geben in der regel dem User die möglichkeit nochmal zu schauen ob nicht gerade legitime mail dabei ist.


    mMn sollte eine direkte abweisung eher auf parametern wie SPF und DMARC passieren wie der besitzer der Adresse des Absenders extra schon sagt, "weist das ab".

    ich hoffe Du meinst das jetzt nicht so wie ich das hier lese?

    alles was SPF - ok und DMARC = ok rein ins Postfach ...

    es ist schon blöd wenn der chef sich über netcup aufregt weil keine rechnungen versandt werden können, für etwas wo wir nicht schuld sind.

    glaub ich dir, ich habs auch nicht verursacht, wenngleich ich solche Blacklists mittlerweile als das einzige Druckmittel sehe, SPAM nachhaltig zu reduzieren;

    (auf meinem Mailserver mach ich das komplett anders, ist ja auch meiner privat)

  • My1 habe soeben im Logfile meines Mailservers etwas interessantes gesichtet ...

    Code
    1. Jan 29 14:02:02 vhost01 postfix/smtpd[459]: NOQUEUE: reject: EHLO from statistics-survey.cert.at[83.136.32.58]: 554 5.7.1 <mail.example.com>: Helo command rejected: Host not found; proto=SMTP helo=<mail.example.com>

    würdest Du das resultierende Mail tatsächlich - evtl. als SPAM markiert - in Deinem Postfach haben wollen?

    (falls überhaupt ein Mail hier eingeworfen worden wäre, dass da einfach mal nach einem EHLO gleich ein QUIT gemacht wird, ist ja nicht ausgeschlossen)


    ich wär der Meinung sowas sollte bereits bei der absendenden Stelle geblockt werden;


    ich hab übrigens eine Art fail2ban am Laufen, sprich zu jede vollen 10 min werden die letzten 10 Minuten von /var/log/maillog ausgewertet, und dubiose Dinger per IP[6]tables blockiert;


    seither ergibt iptables -L -n -v das da:

    Code
    1. Chain INPUT (policy DROP ...)
    2. pkts bytes target prot opt in out source destination
    3. 11 1270 BLOCK-SMTP all -- eth0 * 83.136.32.58 0.0.0.0/0


    irgendwer - ob es nicht vmk war - hat mal gesagt, man kann auch später entscheiden, z.B. erst bei RCPT ob man eine Mail annimmt od. nicht;

    klar, wenn beim CONNECT od. EHLO/HELO schon Quark reinkommt, dann geht es der Gegenstelle absolut nix an, was ich bei meinem Mailserver beim 'HELO-Greeting' liefere ...;)

  • in so nem fall ist die mail aber sowieso nicht formell korrekt. ich meine schon von generell korrekten emails also dass sich leute u.a. richtig ausweisen und so weiter.


    und ja so etwas was definitiv nix werden kann kann mMn auch von der sendenden stelle geblockt werden. mMn sollte netcup zumindest bei den hostingsachen auch eine absenderauthentifizoerung machen die funktioniert, denn es kann mit emailadressen versendet werden die einem nicht gehören.


    das hat mit der blockierliste eher wenig zutun.


    dazu kommt die frage was ist als "postfach" definiert? alles, oder eher der Posteingang?

  • in so nem fall ist die mail aber sowieso nicht formell korrekt.

    ich denke Du solltest hier 'formell korrekt' definieren, denn lt. RFC ist das korrekt;


    das hat mit der blockierliste eher wenig zutun.

    doch in irgendeiner Form schon, denn alles was Du gleich im Vorfeld am Absenden hinderst kann auch in keiner SPAM-Falle landen;

    und damit wird der absendende Mailserver auf keiner Blockliste aufgenommen;


    dazu kommt die frage was ist als "postfach" definiert?

    das ist eindeutig, alles; inkl. aller Unterordner; es benötigt ja schließlich auch Speicher am Mailserver (Postfach Storage)


    darum ja auch oben die Frage, ob es wirklich so zu verstehen ist wie Du es schreibst;


    auf meinem Mailserver ist das einen Tag zuvor aufgeschlagen ...

    Code
    1. Jan 28 07:00:55 vhost01 postfix/smtpd[7274]: NOQUEUE: reject: MAIL from mail-oi1-x242.google.com[2607:f8b0:4864:20::242]: 554 5.7.1 <celina.clarke@globistictec.com>: Sender address rejected: TLD (.com) blocked; from=<celina.clarke@globistictec.com> proto=ESMTP helo=<mail-oi1-x242.google.com>

    ich hab nachgesehen, formal vollkommen in Ordnung, aber logisch vollkommen daneben, ich kenn die Absender-Domain nicht einmal;


    meist hinken Vergleiche, aber ich denke Du willst nicht, dass ein fremdes Auto in Deiner Garage parkt, oder?

    formal wäre es nämlich korrekt; ein fremdes Auto unterscheidet sich von Deinem so gesehen nach 'RFC-Spezifiaktion' gar nicht;

    außer Deine Garage ist etwas zu klein geraten, dass da nur ein Mini Platz hat und ein Schlachtschiff von Tesla versucht rein zu fahren :D

  • ich denke Du solltest hier 'formell korrekt' definieren, denn lt. RFC ist das korrekt;

    lies mal den satz danach. ich meine eben dass emails die nicht nur den zwingenden standards entsprechen, so am rand des machbaren, sondern eben auch in einer form abgesendet werden die nicht gerade den anschein bringt dass man vor hat müll zu bauen also eben bspw sich korrekt ausweisen, eben praktisch "höflich" sein hab vlt das wort formell falsch benutzt, da im englischen "formal" ja auch für höflich steht.


    bzgl deines zweiten beispiels folge ich nicht ganz, der reject kommt weil du die ganze .com tld blockiert hast? (Sender address rejected: TLD (.com) blocked;)

    dass da google helo sagt ist jetzt nicht vollkommen ungewöhnlich da es ncht nur Google Workspace sondern auch es als generelles feature in GMail die adressen anderer eigener E-Mail konten mitzunutzen, man kann auch das via SMTP korrekt machen, jedoch bietet google es auch an, es gleich direkt zu machen. ich bin nicht firm genug in Mail Logs um zu sagen ob in dem reject oben die die domain das HELO ist und die IP nachgeschlagen worde, oder die IP stimmt und die domain per Reverse Lookup kam oder beides so wie es ist da steht.


    In Fact per DNS sieht man sofort dass hier google für E-Mails aktiv genutzt wird als MX und SPF. DMARC haben die gleich explizit ausgemacht.


    rein anhand dieser daten würde ich noch keinen komplettblock machen, aber sicher je nach inhalt und sonstiger Daten in den Spam werfen.



    Das eine blockade auf Absenderseite gegen blockierlisten hilft definitiv, ich meine eher dass der punkt wo du es um die header geht etwas von dem Thema der Blacklist etwas abschweift.


    Mein problem ist halt dass diese blacklists mMn als viel zu heilig angesehen werden, und gerade eine komplette blockade aller mails einer IP insbesondere von einem Sharedhoster mMn recht overkill ist.

  • eben praktisch "höflich" sein hab vlt das wort formell falsch benutzt

    ja Idealismus ist was gutes, in dem Fall aber bringt es nichts; wenn nicht auf Punkt und Beistrich Verbote in den Gestzen stehen und gleich die Strafen auch angeführt sind, und es ebenso exekutiert wird, nur dann halten sich alle brav daran;

    sprich dein 'höflich' is fürn Hugo; ist ja nirgends festgeschrieben;


    darum auch diese radikalen Regeln auf meinem Mailserver;:)


    bzgl deines zweiten beispiels folge ich nicht ganz, der reject kommt weil du die ganze .com tld blockiert hast?

    richtig; die paar GMail-Adressen die ich kenne sind in einer Whitelist; auch sonst ein paar Domains; und das wars, der Rest wird gleich mal im Vorfeld geblockt;

    würd es sowas wie ein Porto auf E-mails geben würd nicht jede Dumpfbacke auf die Idee kommen: "na probieren wir mal¹, vlt. beisst er an"

    ¹ das jetzt egal, ob es einfach Mails mit der versteckten Botschaft: "es gibt einen Verstorbenen der Millionen hinterläßt, bezahle uns ein paar 1000 an Gebühren, damit wir Dir das Erbe aushändigen können", oder es um Phishing bzw. gleich der kompletter Palette an Malware wie z.B. Ransomware geht;;)


    rein anhand dieser daten würde ich noch keinen komplettblock machen, aber sicher je nach inhalt und sonstiger Daten in den Spam werfen.

    also meinst Du es wirklich so wie Du es geschrieben hast;

    ob eine Mail im sogenannten 'Posteingang' landet od im 'Junk', 'Spam' od. sonst einem Ordner ist unerheblich;


    und damit das einfachste Angriffsszenario überhaupt: in 'affenartiger' Geschwindigkeit das Postfach zumüllen², dann kann nämlich auch kein anderes Mail mehr zugestellt werden; da würd sich Dein Chef noch viel mehr aufregen, wenn auf die Art vlt. wichtige Mails viel zu spät - wenn den gerade mal Speicher frei - oder überhaupt nicht ankommen - und das wichtigste: das hast ganz Du selbst in der Hand;


    ² der Speicher f. Postfächer ist nicht unendlich; und weniger als 1000 User verteilt auf der Welt mit je 1-2 Mails mit einem Attachment so um die 1-5 MByte sind dafür hinreichend; so schnell kannst gar nicht schauen ist das Postfach voll ...


    ich meine eher dass der punkt wo du es um die header geht

    das ist irgendwie nicht ganz Deutsch; kannst Du das näher ausführen?:rolleyes:


    Mein problem ist halt dass diese blacklists mMn als viel zu heilig angesehen werden, und gerade eine komplette blockade aller mails einer IP insbesondere von einem Sharedhoster mMn recht overkill ist.

    das mag sein, aber das einzige wirksame Mittel; wie gesagt der Empfänger hat hier das sagen; nicht der Absender; wie ja bereits oben ausgeführt, da Absender weder höflich noch nett sind, dürfen sie sich auch nicht wundern;:P


    und jetzt eine Anekdote aus der realen Welt: bei mir zu Hause hat es ein ¾ Jahr gedauert bis die Post endlich begriffen hat, dass Sticker am Postkasten ihren Sinn haben, bzw. es nicht so läuft wie die es sich eingebildet hätten: "ich gebe meine Daten f. eine Art schwarze Liste bekannt, und dann werde ich von dem Schrott³ verschont":D

    ( ist ja fast wie ignorieren der Bremslichter vom Vordermann, der soll gefällgst die Genehmigung einholen ob er bremsen darf, ich will vollgas fahren )


    ³ sämtliches ohne Empfängeradresse ohne öffentlichem Interesse;

  • Stichwort Domainparking. Da wird dann eine Website angezeigt. Dafür braucht man DNS.

    und genau das ist kompletter Quark, was meinst was f. ein Schwachsinn es wäre prophylaktisch

    wenn sämtliche TLD-Zonen in etwa so aussähen ...

    Code
    1. domain1.tld. NS ns1.dnsdomain.com.
    2. domain1.tld. NS ns2.dnsdomain.com.
    3. domain2.tld. NS ns1.dnsdomain.com.
    4. domain2.tld. NS ns2.dnsdomain.com.
    5. ...
    6. * A 17.17.17.17
    7. * AAAA 2001:db8::1

    17.17.17.17 bzw. 2001:db8::1 stellen den Webserver mit den Domainparking-Quark dar ...

  • So ähnlich nutze ich das auch. Mir fehlt nur noch eine Möglichkeit diese Mailadresse automatisiert zu generieren ;-)

  • Ich mach das zugegebenerweise aktuell auch noch manuell, aus Mangel an einem passenden Skript.

    Mail-Adresse mit Keepass generieren -> Alias in Mailcow anlegen -> Ordner für Alias erstellen -> Sieve Filterregel hinzufügen.

    Ein ziemlicher Aufwand, der es aber definitiv wert ist.


    Es müsste sich da mal jemand dran setzen und eine Benutzerfreundliche Oberfläche erstellen, damit das auch mehr Menschen so machen können.

    Mir fehlt aktuell leider etwas die Zeit dazu :/