Posts by troxxer

    Irgendwann sind Firmen so groß, dass sie sich dafür nicht mehr interessieren.

    Gefühlt gehen jetzt aber mehr steil, was Sperrungen angeht. Vorstellbar, aber nicht belegbar von mir: Pandemie -> HomeOffice -> mehr gekaperte Accounts -> nehr Vorfälle -> Rejustierung der der Filter und Sicherheitssyteme führt zu mehr Fehleinschätzungen und vereinfachten Abläufen, die zu mehr dauerhaften Sperren führen.

    Die Reduzierung der Schwellen bei UCEProtect spülen doch immer mehr Ranges die Level hoch.


    Nach Jahrzehnten habe ich jetzt auch mal eine IP aufgrund von Sippenhaft auf UCEProtect.

    ISP GD-EMEA-DC-SXB1, DE/AS8972 is UCEPROTECT-Level3 listed because of a spamscore of 96.4.


    In den letzten Wochen sehe ich auch immer Attacken aller Art auf Server. Hat hat wieder jemand ein neues Botnet am Start.

    Homeoffice lässt grüßen.

    Die meisten Blocks sind doch eher false-positive, weil das Mailvolumen niedrig ist. Die Ursachenforschung wird auf blockierender Seite doch recht selten betrieben.


    Quote

    For examples sending messages with the title test, is 100% marked as spam by most providers. Messages with no proper subject, body are also considered spam.

    Aussage stammt von GMX via Twitter. Was soll man dazu sagen ;-) Warum das im Zusammenhang mit einen Blacklisting des Mailserver stehen soll, wäre lustig, wenn es nicht ernst wäre.

    Sollte dennoch einmal ein Blacklisting auftreten, wechselt der betroffene Server automatisch seine IP. Ich weiß allerdings nicht, wann dass das letzte mal passiert ist.


    VG

    Fisi


    Danke für Deine Erfahrungen. So ein Automatismus mit IP-Ausgang fehlt mir ;-)
    Wobei wohl keiner hier schon mal den Fall hatte, das sich die Postmaster/Abuse-Stelle wochenlang nicht zurückmeldet.

    Ernst gemeint: Kann es überhaupt eine Lösung dieses Problems geben? Oder muss ich jetzt 5 Mailserver in 5 verschiedenen AS betreiben und immer auf den Server umschalten der gerade auf den wenigsten Blacklists gelistet ist, damit ich zuverlässig meine Mails rausgeschickt bekomme?


    Du brauchst mehrere IP-Adressen für Mailausgang ;-) Das Problem kann dich jederzeit auch ohne SPAM-Liste betreffen. Wenn Du eine IP nur selber nutzt, dann wirst Du auf internen Blocklisten landen, weil zu wenig Mailvolumen vorhanden ist. Hast Du dann man etwas mehr Mails, triggern die "smarten" Filter von Microsoft und Co.. Wenn Du Dir die IP mit anderen Mailnutzern teilst, hast Du genug Volumen, aber halt mehr SPAM-Risiko. Die Postmasterteams sind personell nicht aufgestockt worden. Alle lügen sich in die Tasche, wie gut alles skaliert ohne menschliches Hirn.


    Ich habe eine 10 Jahre etablierte IP auf einem Mailserver und werde seit einer Woche von allen GMX/Web.de Mailserver geblockt. Ich bekomme von keinem Postmasterteam seit einer Woche eine Antwort auf die Beschwerdeformulare.Solche Vorfälle würden früher in 12-72h geklärt. Ob sich das veränderte Verhalten mit Covid19 erkläre lässt, sei mal dahingestellt. Aber Du kannst sehr schnell abgeschnitten werden. Und weder Sender noch Empfänger werden auf Endnutzerlevel Verständnis für die Situation haben. Ihre eigenen Provider unter Druck setzen, werden diese Nutzer ebenfalls nicht. Selbst wenn Du diese persönlich erreichen kannst. Der Fehler wird bei Dir verortet. Wer geblockt wird, wird schuldig sein.


    Die KMUs wandern immer häufiger zu Office365 und werden nie wieder geblockt ;-) Egal wie viel SPAM da raus geht ;-) Solange da keine Regulierung erfolgt (auch wieder problematisch), wird das Powergame weitergehen. Da mittlerweile Provider wie Google, Microsoft und UnitedInternet viel E-Mailverkehr haben, der die eigenen Netze nicht mehr verlässt, wird der kundeninterne SPAM eine viel größere Herausforderung.

    Weil die E-Mails u.a. bei Microsoft Hotmail is the hell, nicht ankommen,

    Microsoft betreibt ein eigene, interne Blockliste, die öfters daneben liegt. In welcher Verbindung sollten Microsoft und UCEprotect stehen. Das der SPAM neben UCEprotect auch weitere, interne Blocklists triggert, kann ja sein. Aber auf interne Blocklisten kommt mach auch ohne SPAM. Wenig Mailvolumen ist auch ein Maluspunkt ;-)

    Warum ist Netcup nach 8 Tagen weiterhin gelistet?

    Vielleicht weil die Gegenseite nicht reagiert? Das gibt es ja auch bei deutschen Anbietern mit Impressum. Ich bekomme seit 8 Tagen keine Antwort von GMX bezüglich eines Blocks auf IP-Ebene. Entweder werden die Postmaster mit Anfragen überflutet oder man mag meine Nase einfach nicht ;-) Allgemein stelle ich viel mehr Attacken auf Serversystem fest. Wenn erstmal Glasfaserbandbreite an mehr Privatanschlüssen hängt, dann wird ein Bruchteil an übernommenen PrivatPCs reichen, um viel Schaden anzurichten. Es gruselt mir.

    wenn jemand als Namen Fritz angibt aber bei der E-mail franz@ dann würd ich das schon mal verwerfen;

    sind hier Zahlen wie z.B. max2019, dann suggeriert das eine Wegwerfadresse, welche ich ebenso verwerfen würde;

    Diese Daumenregeln wendest Du bei Deinem privaten Mailserver an? Oder soll das für einen gemeinsam genutzten Mailserver als Regeln eingesetzt werden?

    Beim dem Namensabgleich Fritz/Franz fallen mir einige Personen ein, die da abgelehnt würden ;-)

    Hallo Roknix,


    Danke für Deinen Beitrag.


    Wenn ich einen fehlenden rDNS EIntrag im System hätte, dann wäre das üblicherweise mit einem rDNS-Fehlercode geblockt worden.

    Ich habe einen funktionierenden Mailserver, der an GMX/Web.de-Adressen vor einigen Tagen noch ausgeliefert hat.

    Dann ist die IP direkt auf Blackliststatus gewandert, was keine direkten Rückschlüsse über die Ursache zulässt.

    Code
    1. host mx-ha03.web.de [212.227.15.17]
    2. SMTP error from remote mail server after initial connection:
    3. 554-web.de (mxweb010) Nemesis ESMTP Service not available
    4. 554-No SMTP service
    5. 554-IP address is black listed.
    6. 554 For explanation visit https://postmaster.web.de/error-messages?ip=127.0.0.1&c=bip

    Ich suche Fehler stets zuerst bei mir selbst. Allerdings habe ich mehrere Mailserver identisch aufgesetzt, die problemlos einliefern können. Und der betroffene Mailserver zeigte bis Mitte Januar auch keine Probleme mit GMX/Web.de.

    Und wenn ich nach einer Woche keine Reaktion von den Postmasterteams von Web.de, GMX und dem Abuseteam von Unitedinternet erhalte, dann ist das ein Geschäftsgebaren, was ich in 15 Jahren Mailserverbetrieb noch nicht erlebt habe. Zumindest taugt das Verhalten als Begründung für weitere IPv4 Adressen ;-)


    Wünsche Euch eine gute Woche.

    Verlässlich sind wohl am ehesten die Großen. Office365 direkt von Microsoft wäre so ein Kandidat, keiner würde es jemals wagen die Server von Microsoft auf eine Blacklist zu setzen. Davon abgesehen ist die Infrastruktur sowohl von Microsoft als auch Google (Business Tarife) wohl so robust das eher eine Prostituierte zum Papst ernannt wird, als dass dort Daten verloren gehen (Sorry für den Vergleich). Thema Datenschutz ist natürlich ein anderes Thema.

    Bei Office365 sind mittlerweile so viele E-Mailnutzer, dass die intern ein SPAM-Problem haben ;-) Die eigenen Kunden kann man nicht mit IP-Blacklists sperren. Überhaupt sind die "internen " Blacklists der großen Anbieter oftmals Esoterik. Meist kommt die Sperrung aufgrund von zuwenig Volumen zustande. Auf der einen Seite sollen Mailserver nicht geteilt werden. (separate IPs werden gefordert, um mehr Trennschärfe zu haben). Auf der anderen Seite wird dann das geringe Mailvolumen je IP als Problem ausgemacht. Früher war AOL/Yahoo die Nummer 1 beim Blocken. Bei Google hatte ich noch nie Blacklistprobleme. Bei Outlook/Hotmail schon mal. Bei T-Online auch, aber da wird schnell reagiert.

    Aktuell habe ich einen Fall bei GMX/Web.de, wo eine IP auf der internen Blacklist gelandet ist. Die Postmasterteams reagieren seit vier Tagen gleich Null auf Anfragen bezüglich der Sperre.

    Der Grundkonsens zwischen Mailserverbetreibern ist futsch. Google scheint technisch am wenigsten bei Blocks daneben zu liegen, T-Online hat genügend Menschen im Postmaster-Team sitzen. UnitedInternet scheint bei GMX/Web.de nun völlig auf KI umgestellt zu haben ;-)

    Die Technische Richtlinie schließt implizit eine Mailweiterleitung aus, weil die Postfach und Authentifikationsmerkmale nicht gegeben sind.

    Ergänzung: Weiterleitung ohne Postfach war die genaue Ausgangslage. Darauf zielt der Hinweis ab. Das könnte ein interessante Lücke sein.


    Der Hype auf Anbieterseite (Software / Dienstleistungen) rund um TKÜV war vor 15 Jahren. Der Aufwand für wenige Anfragen pro Jahr ist enorm.

    Vgl. z.B. https://www.sponts.de/sponts/SPONTS-Praesentation.pdf

    Danke Caspar .


    Ich betreue ein paar Microsoft/Office365-Installationen. Und gefühlt in den letzten 6 Monaten landen hin- und wieder E-Mails in Quarantäne. Das bekommt man so nicht direkt angezeigt, außer man wühlt sich etwas in die Tools rein. Die Komplexität, die Microsoft hier in den letzten 5 Jahren wieder angehäuft hat, ist schon erstaunlich. Was freut man sich über eine Linux mit diversen Logfiles auf einem System ;-)


    Ich entnehme deiner Darstellung, dass du keine E-Mails in der Quarantäne hattest, sondern diese direkt verworfen wurden.

    Die Befolgung von SPF,DMARC etc war ja noch nie das Problem, wenn man wieder geblockt wurde (AOL,Yahoo,Hotmail etc.). Das war ja immer vorgeschoben. IP-Reputation war in irgendwelchen System hinterlegt. Wenn man zu wenig E-Mails raushaut, ist man auch oft betroffen.

    wie kannst Du Dir Deine Mails krallen ohne irgendwas von den nicht f. Dich bestimmten Mails zu sehen?

    Warum sollte ich mir meine E-Mails krallen? Die Ausgangsfrage war ja, ob Kopie einer versendeten E-Mail irgendwo noch verbleiben können.

    Ich habe hier lediglich auf die Möglichkeit der Ausleitung aufgrund von Überwachungsmaßnahmen gemäß TKÜV hingewiesen.

    Das habe viele nicht mehr Auf dem Schirm, das Provider, die E-Mailpostfächer zur Verfügung stellen, eine solche Schnittstelle vorhalten oder bereitstellen müssen (je nach Anzahl der Postfächer).


    Bei mir funktioniert der Link zur Bundesnetzagentur. Für E-Mailüberwachung gibt es noch eine eigene Sektion:

    https://www.bundesnetzagentur.…sInfoBetrServer_node.html

    Als Anhang ein Ausschnitt.


    2019 wurde die Sache vom EuGH etwas durcheinandergewirbelt, weil Google mit Gmail als reiner E-Maildienst keine Abhörschnittstellen nach TKÜV vorhalten muss. Vgl. z.B. https://www.computerbase.de/20…-klage-bundesnetzagentur/

    Ein Reaktion auf das EuGH-Urteil kann in Deutschland bei Politik und Bundesnetzagentur nicht erkennen. Die Bundesnetzagentur hat die Anhörung zu TR TKÜV 7.2 gestartet, wo auch Messengerdienste geregelt werden.


    Auf technischer Ebene (also wie kommen die E-Mails vom Mailagent oder IMAP/POP3-Server zum Überacher) gibt es mehrere Lösungen (Plugins je Software oder Proxy). Unter dem Begriff "Lawful interception (LI)" werden solche Lösungen angeboten.

    Im Übrigen wären von solchen Überwachungsmaßnahmen auch andere Kunden auf dem gleichen Server betroffen. G 10 sagt da nein.

    Eine solche Live-Überwachungsmaßnahme wäre unzulässig und würde auch nicht genehmigt werden.

    G10 sagt nein? TKÜV sagt ja ;-) Auf einem geteilten Mailserver (IMAP;POP3,SMTP) erfolgt die Ausleitung nur für das Nutzerkonto, welches überwacht werden soll. Da sind die anderen Nutzer nicht betroffen.

    Vgl. https://www.bundesnetzagentur.…Umsetzung110TKG-node.html

    Das ist alles ein Schmerz mit denen. Ich habe letzten Monat 2 Server umgezogen, die Domains gibt es auch schon lange, Mails werden DKIM signiert, SPF gesetzt.

    Deren Systeme drehen immer häufiger durch. Zumal bald so viele KMU bei Microsoft die E-Mails hosten, dass sich Microsoft bald selber blocken muss ;-) Zuviele geknackte E-Mailaccounts. Erst wenn die gesamte Welt bei Gmail oder Outlook ist, wird es lustig mit der Filtermagie. Wobei ich bei Gmail noch nie Probleme mit Blocks von selbst betriebenen Mailservern hatte.

    - Blackhole


    Wobei die Blackhole Variante noch die mieseste ist.

    In den Logs sieht man wie die Mail vom empfangenden Server ordnungsgemäß akzeptiert wird, nur leider kommt diese nie beim Empfänger an.

    Kannst du die Blackhole-Variante zeitlich und technisch einordnen? Ist das bei einer @outlook.com Adresse aufgetaucht? Oder ist ein Microsoft365/Office365 Abo mit Exchange-Konto gemeint. Microsoft schraubt immer häufiger an den SPAM-Filtern und geht da immer häufiger steil. Es gibt nun auch Quarantäne mit Löschung nach x Tagen. Das ist dann technisch nicht das gleiche wie ein Backhole, aber die Office365-Administration bekommt das nicht unbedingt direkt mit.