Spannend finde ich auch, dass https://de.ssl-tools.net/mailservers/netcup.de die Netcup Mailserver laut ssl-tools nicht erreichbar sind 😀 absichtlich blockiert?
und noch spannender finde ich den Hinweis auf https://www.ascio.de/reseller-services/hosted-email/ den Anbieter in der SPF Abfrage, da Netcup diese anscheinend einkauft. Naja. Ich plane gerade meine Mail-Konten zu Peer Heinlein zu transferieren.
Und beim Webhosting wird das wohl eher nicht über diese Infrastruktur versendet?
Soweit mir bekannt, per DNS Abfrage auf relay.yourmailgateway.de raugefunden, wird über folgende Adressbereiche gesendet:
| 185.244.195.XXX |
| 188.68.61.XXX |
| 188.68.63.XXX |
| 194.59.XXX.XXX |
| 46.38.247.XXX |
| 94.16.17.XXX |
Ja, versenden könnten sie die Mail vielleicht, aber jeder vernünfig konfigurierte Mailserver würde die Mail abweisen wegen des SPF-Eintrags der Domain netcup.de, um das zu vermeiden, müssten sie auch von einer der dafür authorisierten IPs senden. Und da ist hoffentlich keine IP dabei, auf die Webhostings-Kunden Zugriff haben.
Hi Zusammen,
so, gerade mal von einem Webhosting Paket probiert. Kam ohne Probleme bei meinem Exchange direkt bei Microsoft an, nicht als SPAM markiert.
Liegt aber auch vielleicht daran, dass Netcup.de keine DMARC Richtlinie veröffentlicht hat, da bringt dir dann weder ein Fail beim SPF noch beim DKIM etwas.
Wenn Bedarf besteht, dann füge ich natürlich auch noch die E-Mail Header nach.
Bildschirmfoto 2023-04-20 um 16.50.26.pngBildschirmfoto 2023-04-20 um 16.55.52.png
Wurde das nicht gefixt?
Meines Wissens nicht.
Die Spam Versender sollten sich mal ein Netcup Webhosting zulegen, dann könnten Sie auch als mail@netcup.de versenden 😉 mit ip aus dem Netcup Netzwerk
janingojan alle Themen die dir fehlen gerne Posten, ich kann sie ja in die Tabelle aufnehmen.
Einträge wie u.a. DMARC einfach zu aktivieren/generieren.
Moin,
bei Netcup wird Plesk eingesetzt. Plesk und cPanel sind mittlerweile eine gemeinsame Unternehmensgruppe, wie jedoch welche Features in den Produkten verortet sind, kann ich nicht sagen.
Ziel aber eventuell auf das Thema ab, was ich auch angeregt habe, Domain- bzw. Kundenindividuelle DKIM Signaturen - machbar wäre das mit Plesk. Kenne ich vom orangenen Anbieter aus Berlin. DMARC Richtlinien kann ich schnell selber schreiben ins DNS, dafür benötige ich persönlich kein Generator.
Das Plesk Panel für E-Mail ist schon sehr kastriert bei Netcup
Btw. [netcup] Lars S. wo wir gerade dabei sind. Gibt es Neuigkeiten zu den obigen Themen insbesondere die Thematik mit den frei wählbaren Absendern?
VG
engine das hört sich ja grausam an.
Ich hoffe nur, dass wir keine Kunden bei deinem ehemaligen Arbeitgeber sind und den MSP nicht auch beauftragt haben 😂
die Netzbereiche, die durch übermäßigen Spam
Ich verweise da einfach mal auf den Beitrag von mir zum Thema - Jegliche Absendeadresse erlaubt nach erfolgreichem SMTP Auth. Das wird unter anderem eines dieser Probleme sein vermute ich. Und noch mehr…
Hatte letztens Dnssec mit einer Netcup Domain und Cloudflare aktiviert, lief ohne Probleme.
Dieses setup hab ich auch mit einer zweiten Domain im Einsatz. Hier gab es solche Probleme nie bisher. Und zweiter Effekt - Änderungen sind quasi direkt im DNS weltweit bekannt ohne lästige Wartezeiten wie bei Netcup.
Dann sollten Nutzer, die ihre Domänen noch direkt bei Netcup verwalten (wollen), jetzt vielleicht analog auf ein erweitertes Logging bzgl. aller DNSSEC-Funktionalitäten drängen?
(Wobei mich das selbst seit dem Umzug der Domänenverwaltung zu deSEC nicht mehr betrifft; die Kombination der Dienste von Netcup für die Registrierung und deSEC für die Verwaltung hat sich bislang als optimal erwiesen.)
Schön gesagst. Vorgestern war meine Domain plötzlich nicht mehr erreichbar, weil der Server nicht gefunden wurde!? What? Lies sich nur durch Deaktivierung von dnssec beheben…
Ich weiß wieso Netcup kein dnssec bzw. DANE für *.netcup.net anbieten möchte. Sie trauen ihrem eigenen Können zur Konfiguration und damit dem Produkt NICHT…ich weiß nur noch nicht ob ich weinen oder lachen soll 😂😢
leider zeigen sich immer wieder Schwächen im DNS bei Netcup. Sehr schade - für meine eigenen Domains gehe ich mit der DNS Verwaltung nun auch zu einem anderen Anbieter.
siehe Update in der Bemerkungen Spalte.
Guten Abend zusammen,
[netcup] Lars S. hat sich bei mir gemeldet. Wenn du magst, darfst du das Sie das nächste mal gerne weglassen, der richtige Vorname ist im Ticket ja bekannt. 
Fühle mich sonst so alt. 
Also zur Rückmeldung von Lars:
Das Thema wird intern evaluiert und er meldet sich dann - wird aber etwas Zeit in Anspruch nehmen, da es eine Grundsatzentscheidung ist.
Vielen Dank an dich! Freue mich auf deine Rückmeldung.
Schönes Wochenende euch allen! 
Nachdem ich ja bereits nun einige Themen zu Verbesserungspotentialen der Netcup E-Mail Konfiguration in einzelnen Threads angesprochen habe, möchte ich einmal eine Übersicht erstellen und vor allem weitere Themen aus der Netcup Community sammeln. Ich freue mich jederzeit über eine aktive Beteiligung von euch.
| Thema | URL | Status | Bemerkung |
| DANE (DNSSEC für netcup.net) & TLSA Records für die SMTP Server mxXXXX.netcup.net | https://forum.netcup.de/netcup…beim-webhosting-mit-dane/ | von Netcup abgelehnt | siehe Antwort von Lars. Derzeit keine Priorität. |
| SMTP lässt jede Absenderadresse zu | https://forum.netcup.de/netcup-anwendungen/ccp-customer-control-panel/16696-smtp-lässt-jede-adresse-als-absender-zu-achtung-schwachstelle/ | in Bearbeitung | [netcup] Lars S. hat das Thema intern platziert. Er meldet sich, wenn es Neuigkeiten gibt. |
| IP-Stripping (Mail-Header enthalten IP-Adresse des Internetanschlusses) |
https://forum.netcup.de/admini…?highlight=IP%2BStripping https://forum.netcup.de/anwendung/plesk/p103014-webhosting-verrät-absender-ip/#post103014 |
von Netcup abgelehnt | siehe Antwort vom ehemaligen Geschäftsführer |
| Mailserver senden beim Empfang von E-Mails keinen DMARC Report und/oder SMTP-TLS Report (MTA-STS) | --- | in Bearbeitung | [netcup] Lars S. hat das Thema intern platziert. Er meldet sich, wenn es Neuigkeiten gibt. |
| Mails sind nicht im Backup enthalten | https://forum.netcup.de/netcup…ght=backup%2Bplesk%2Bmail | ungeklärt | kein Statement von Netcup verfügbar |
Ich werde die Tabelle dann regelmäßig erweitern, wenn durch die Community weitere Vorschläge dazu kommen.
VG
So kleines Update: Der Netcup Support hat bei mir weitere Details eingeholt (allerdings nur zur Kundennummer und dem verwendeten Produkt - ich bin mir nicht so ganz sicher, ob der Kollege den Sachverhalt verstanden hat). Habe es also nochmal ausführlich geschildert.
Hoffentlich wird es ordentlich intern bei Netcup bzw. Anexia (wir wissen ja wie das in Konzernen läuft) diskutiert und bewertet und eine entsprechende Stellungnahme geben. Ich warte auf eine positive Rückmeldung zur Umsetzung der Konfigurationsänderung.
Ich lasse euch alle teilhaben.
Habe jetzt auch mal schnell ein paar Mails gesendet. Hatte nur welche die in Ordnung sind:
Natürlich kann ich jetzt nicht alle 50 (sind es 50?) Relay Server testen 😀 Ich vertraue Lars da jetzt erstmal. Danke!
stoffel_hessen die IP Range 46.XXX.XXX.XXX hatte z.B. selten. Aber wenn du da nach wie vor einen Fehler hast, muss das Netcup nochmal testen.
Hi, ich versuche mal einzeln auf die Punkte einzugehen.
Schlüssel für DKIM/ARC und TLS aus meiner Sicht gar nicht in die Hand eines Dienstleisters gehören
Da hast du mehr als recht.
Natürlich mag es Kunden geben, die hier schlichtweg keine Wahl haben (oder dieses Thema aus sonstigen Gründen delegieren wollen).
Ich z.B. habe nicht die Zeit dafür meinen eigenen Mailserver zu betreiben, daher nutze ich das Webhosting Angebot mit den inkludierten Mailservern von Netcup.
Quoteschließlich greift hier der Dienstleister im Auftrag auf ein Verzeichnis (DNS) zu, dessen Verwaltung dem Domäneninhaber zusteht.
Das macht Netcup ja bereits bei der Ersteinrichtung, die DNS Einträge sind ja bereits vorbefüllt.
Was die doppelte Signierung anbelangt – unter Verwendung des Dienstleister-eigenen Markennamens –, bin ich wie bereits von tab in ähnlichem Kontext weiter oben ausgeführt der Meinung, dass dies das Risiko mit sich bringt, potenzielle Spam-E-Mails aufzuwerten. Gleichzeitig würde das im Falle einer Ausnutzung aufgrund der anteiligen gemeinsamen Reputation auch Unbeteiligte schaden.
Naja, wir stellen also gerade fest, das Netcup das genau so macht. Aktuell hat Netcup bei den Mailservern aus dem Webhosting zwei General DKIM Schlüssel im Einsatz für alle Domains die über diese Systeme versenden. Ist also in besitz dieser und das ist ja das Risiko. Aus diesem Grund werden die "gefälschten Absender" ja als korrekt geprüft (und wertet damit gefälschte Absende ungewollt auf). Nämlich ein CNAME Eintrag im DNS auf:
Aus diesem Grund plädiere ich doch für die Einführung Domain-spezifischer DKIM Schlüssel. Eine doppelte Signatur würde hier eigentlich Abhilfe schaffen. Die General DKIM Schlüssel, (key1 und key2) werden zur Identifikation genutzt, dass es von den Netcup Systemen kommt. Der Domain-spezifische DKIM Schlüssel würde die Zugehörigkeit zu einem bestimmten Webhosting Paket bzw. Domain bescheinigen.
QuoteDie einzige saubere/kostengünstige Lösung für gemeinsam verwendete Mailserver ist letztlich die Prüfung zugeordneter Domänen (Whitelist).
Und ja, da hast du recht und damit kommen wir zu meinem Ursprungs-Punkt zurück: eigentlich muss der SMTP gegen eine Whitelist prüfen, ob ein bestimmter SMTP Authentifizierte Nutzer auch für diese Domain versenden darf. Hier habe ich ja auch bereits eine Lösungsmöglichkeit beschrieben --> es gibt intern zwischen dem annehmendem und letztlich versendeden Relay einige Routing Möglichkeiten bei Netcup. Man könnte einen Teil der relay.yourmailgateway.de Server als secure-relay.yourmailgateway.de umbauen und hier die Prüfung als letzte Instanz durchführen die auf die jeweilige Einstellung in Plesk prüft, ob eine Absenderprüfung gewünscht ist oder nicht.
und weiter:
es sich noch lange nicht rechnen, insbesondere nicht für Massenhoster, welche relativ heterogene (Kleinst!-)Kundengruppen bedienen
Im Gegenteil, ich sehe das etwas anders, besonders die Massenhoster für solche Kleinst-Kundengruppen sollten hier aktiv sein und nur erlaubte Absender zulassen - da diese sonst schnell missbraucht werden und eher die Klein-Kunden unter dem Reputationsverlust des Hosters leiden. Was das doppelte DKIM Signing angeht, das würde ich optional machen, jeder Kunde der einen Domain-eigenen Schlüssel im CCP bereitstellt, der wird auch beim Versand mit seiner Domain benutzt. Derjenige, der keinen Key bereitstellt, bekommt halt nur die Netcup DKIM Schlüssel und geht damit ein Risiko ein, das er aber generell selbst abstellen könnte.
bei solch günstigen Tarifen, wie sie Netcup nun mal anbietet, die eher den Fokus auf Webhosting legen und nicht E-Mail
ob nun die Preise dadurch steigen, kann Netcup ja selbst entscheiden. Ggf. muss man halt die Amortisation der Entwicklung betrachten, aber das ist kein Thema für diesen Thread, es geht hier eher um die Technik. Nur weil man auf das gute Netcup Webhosting setzt, muss ich ja kein "schlechtes" Mailhosting akzeptieren und kann auch Verbesserungen fordern. Herr Werner, seines Zeichens Director Service Development bei Anexia und GF bei netcup, kann dies ja als Anlass nehmen einen eigenen Mail-Service anzubieten oder den aktuell bestehenden Service weiterzuentwickeln.
andreas. ob ich nun einen CNAME oder TXT Record publiziere ist mir dann relativ egal.
Wir sehen also, die Netcup Mailsysteme unter netcup.net sind definitiv noch weiter optimierungsbedürftig und es sollten hier sinnvolle Überlegungen angestellt werden. Ich werde glaube ich mal einen eigenen Post dafür aufmachen und die bisher identifizierten Optimierungsmöglichkeiten spezifizieren und mit Argumenten unterlegen und dann gesammelt an Netcup weiterleiten.
„(Aktiv) vergeben“ ist sicherlich aus mehreren Gründen problematisch (selbst für Domänen, die von Netcup verwaltet werden) ohne entsprechende explizite Vereinbarung. Der Aufwand dürfte auch jegliche Kalkulation zunichtemachen.
Ich meine natürlich nicht händisch, sondern automatisiert. Das wäre klar, dass dies nicht kalkulierbar wäre - automatisiert ist es möglich. Jede Domain muss automatisiert einen Private Key zum Signage auf dem Mailserver bzw. Mail-Relay erstellt bekommen und dann muss natürlich der Public Key im CCP automatisiert angezeigt werden, damit der User diesen dann im DNS veröffentlichen kann. Bei Netcup verwalteten Domänen kann dies ja ggf. durch die DNS-API passieren.
Denkbar wäre auch der Weg anders herum. Netcup User stellt einen Private Key im CCP bereit (ähnlich der DNSSEC Einrichtung, wenn bei einem anderen DNS Anbieter) und der Public Key muss dann trotzdem vom User publiziert werden.
Oder den Empfehlungen von Microsoft folgen:
Informationen für Infrastrukturanbieter (ISPs, ESPs oder Cloud-Hostinganbieter)
Sie können die E-Mail sogar doppelt mit DKIM-Signaturen signieren (mit der Domäne des Kunden, falls eingerichtet, und mit der DKIM-Signatur Ihres Unternehmens).
Wozu möchtest du eine Vereinbarung machen und was würde diese beinhalten?
... damit der eventuelle Spammer nicht durch die richtige DKIM-Signatur auch noch vertrauenswürdiger wird.
Das ist ja noch schöner 😀, aber einen Gedanken wert.
Je mehr ich darüber lese, desto mehr bin ich auch geneigt zu empfehlen, dass Netcup jeder Domain einen eigenen DKIM Key vergeben sollte. Das könnte das Thema auch etwas abmildern, wenn die Herren Administratoren den Aufwand scheuen wollen, eine Absendeadressprüfung durchzuführen.
