Mail-Ablehnung durch SPF bei Weiterleitungen: Unterschied zwischen den Versionen

Aus all-connect Hilfe-Center
Zur Navigation springen Zur Suche springen
 
(16 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 4: Zeile 4:
Sie haben Ihr mail-connect Postfach so eingestellt, dass Ihre Mails an eine externe E-Mail-Adresse weitergeleitet werden (z.B. an ein E-Mail-Konto bei Google oder Yahoo).
Sie haben Ihr mail-connect Postfach so eingestellt, dass Ihre Mails an eine externe E-Mail-Adresse weitergeleitet werden (z.B. an ein E-Mail-Konto bei Google oder Yahoo).


Manche E-Mails erhalten Sie über diese Weiterleitung und manche E-Mail gehen verloren, bzw. der jeweilige Absender erhält in regelmäßigen Abständen E-Mails mit einer der Betreffzeile  
Manche E-Mails erhalten Sie über diese Weiterleitung und manche E-Mail gehen verloren, bzw. der jeweilige Absender erhält in regelmäßigen Abständen E-Mails mit der Betreffzeile  
  Warning: message …xyz… delayed X hours  
  Warning: message …xyz… delayed X hours  


Zeile 12: Zeile 12:
  mx.mail-connect.net [80.254.138.xxx] #SMTP; 550 Unable to relay
  mx.mail-connect.net [80.254.138.xxx] #SMTP; 550 Unable to relay


''Anmerkung: Alle Warn- oder Fehlermeldungen haben in der Praxis oft nur einen ähnlichen Wortlaut.''
''Anmerkung: Alle Warn- oder Fehlermeldungen haben in der Praxis oft einen ähnlichen Wortlaut.''


====Ursache====
====Ursache====
Zeile 26: Zeile 26:


====Hintergrund====
====Hintergrund====
Die Funktion zur E-Mail-Weiterleitung ist so implementiert ist, dass die Absenderadresse bei der Weiterleitung nicht geändert wird. Nach der Weiterleitung lautet der Absender so, wie im Original. Dieses ''Forwarding'' ist für SPF nicht vorgesehen. Der selbe Effekt tritt ähnlich auf Mailinglisten auf. Unter Mailserver-Experten ist die Technik „Sender Policy Framework“ (SPF) aus diesem Grund seit Jahren umstritten.  
Die Funktion zur E-Mail-Weiterleitung ist so implementiert, dass die Absenderadresse bei der Weiterleitung nicht geändert wird. Nach der Weiterleitung lautet der Absender so, wie im Original. Dieses ''Forwarding'' ist für SPF nicht vorgesehen. Der selbe Effekt tritt ähnlich auf Mailinglisten auf. Unter Mailserver-Experten ist die Technik „Sender Policy Framework“ (SPF) aus diesem Grund seit Jahren umstritten.  


Das Problem entsteht durch das Zusammenspiel von drei Effekten:
Das Problem entsteht durch das Zusammenspiel von drei Effekten:
#Strikte (teilweise überzogene) SPF Einstellungen beim Absender .
#Strikte (teilweise überzogene) SPF Einstellungen beim Absender.
#Benutzer, die doppelten E-Mail-Verkehr generieren, indem sie Mails (inkl. Spam) automatisch noch einmal versenden (= weiterleiten). Benutzer werden so selbst zu Spammern.
#Benutzer, die doppelten E-Mail-Verkehr generieren, indem sie Mails (inkl. Spam) automatisch noch einmal versenden (= weiterleiten). Benutzer werden so selbst zu Spammern.
#Anti-Spam-Filter die beim Ziel-Postfach teilweise mit übertriebenen Einstellungen "bessere Spam-Erkennungsraten" versprechen.
#Anti-Spam-Filter die beim Ziel-Postfach teilweise mit übertriebenen Einstellungen "bessere Spam-Erkennungsraten" versprechen.


Alles zusammen ist schon kein schöner Zug, weil technisch dynamische Systeme in gerade zu verschwendederischer Art an einander vorbei eingesetzt werden. Die Folge sind Fehler, die durch den unüberlegten Einsatz bestimmter Einstellungen zu unerwarteten Nebeneffekten führen.  
Alles zusammen ist schon kein schöner Zug, weil technisch dynamische Systeme in gerade zu verschwenderischer Art aneinander vorbei eingesetzt werden. Die Folge sind Fehler, die durch den unüberlegten Einsatz bestimmter Einstellungen zu unerwarteten Nebeneffekten führen.  


Technisch korrekt muss man festhalten: Die mail-connect Server erkennen derartige "Konstellationen" und beenden die Weiterleitung absolut folgerichtig mit der Fehlermeldung ''"unable to relay"'' (diese Fehlermeldung muss an dieser Stelle wörtlich gebnau so verstanden werden).
Technisch korrekt muss man festhalten: Die mail-connect Server erkennen derartige "Konstellationen" und beenden die Weiterleitung absolut folgerichtig mit der Fehlermeldung ''"unable to relay"'' (diese Fehlermeldung muss an dieser Stelle wörtlich genauso verstanden werden).
 
====Lösungsmöglichkeiten====
Es gibt unterschiedliche Ansätze. In jedem Fall muss der o.g. Wille
#
 
Im o.g. Beispiel ist eine eigentlich sinnvolle Funktion beschrieben, die jedoch wie folgt missbraucht werden kann:
*Ein Spammer oder (DoS-)Angreifer fälscht E-Mails und trägt die Absenderin ''Erika.Mustermann@Internet-User.de'' vorsätzlich falsch ein.
*Ihr Mailserver sendet nun eine neue Nachricht (oft sogar mit der originalen Nachricht im Anhang) an ''Erika.Mustermann@Internet-User.de'' zurück.
*Auf diese Weise empfängt die unbeteiligte, dritte Person, nämlich ''Erika.Mustermann@Internet-User.de'' E-Mail-Spam von Ihrem Server, ohne dass sich ''Erika.Mustermann@Internet-User.de'' dagegen wehren könnte.
*Weil Ihr Mailserver über uns als Postausgang versendet, wird diese Spam-Mail in Folge auch über unsere Server versendet, was unseren mail-connect Dienst erheblich schadet. Für Außenstehende z.B. Google-Mail sähe es so aus, als würden wir Spam versenden.
 
Diesen Missbrauch nennt man "Backscatter": http://de.wikipedia.org/wiki/Backscatter_(E-Mail)
 
Aus diesem Grund erlauben unsere Postausgangsmailserver (manchmal auch in Ihrem Mailserver als ''Smarthost'' bezeichnet) keine Bounce-Nachrichten (also keine DSNs) an externe/fremde E-Mail-Adressen. Ihre E-Mails werden blockiert.


==Abhilfe==
==Abhilfe==
Sie müssen die DSN- bzw. Bounce-Nachrichten-Funktion richtig konfigurieren.
Die ungewünschten Seiteneffekte entstehen in allen drei Bereichen der Mail-Einstellungen. Zur grundsätzlichen Lösung von E-Mail-Fehlern und verbesserter Spam-Erkennung ist daher in allen Bereichen eine korrekte Einstellung vozunehmen, sowie auf den sinnvollen Einsatz der jeweiligen Technologie zu achten
 
====Mails an nicht existierende Adressen im SMTP-Protokoll mit 550-Fehler ablehnen====
Richten Sie Ihren Mailserver so ein, dass E-Mails an nicht existierende Adressen (im o.g. Beispiel also an ''Hans@BeispielDomain.eu'') nicht angenommen werden. Das SMTP-Protokoll sieht hierfür den ''SMTP-Status-Code 550'' (SMTP Fehler, z.B. "User unknown") vor.
 
Diesen Status-Code wertet unser mail-connect Server ebenfalls (in Echtzeit!) aus und blockiert dann mit dem selben Status eingehende Mails an nicht existierende Adressen. So wird verhindert, dass später Bounce-Mails (DSNs) generiert werden.
 
Typischerweise kann diese "Annahme-Sperre" mit der richtigen Einstellung eines Anti-Spam-Filters konfiguriert werden.
 
====DSN Nachrichten nur an interne Benutzer====
Richten Sie Ihren Mailserver so ein, dass DSN bzw. Bounce-Nachrichten wie im o.g. Beispiel nur an Ihre eigenen, authentifizierten Benutzer gesendet werden (= an E-Mail-Adressen aus Ihrer eigenen Domain).
 
An fremde Benutzer ist dann kein Status-Report mehr erforderlich.
 
====''Catchall'' Funktion deaktivieren====
Häufig werden E-Mails in sogenannte Sammelpostfächer (''Catchall'' Funktion) empfangen und dann später weiterverarbeitet und durch interne Mail-Dienste verteilt.


Deaktivieren Sie diese Sammel-Funktion und richten Sie stattdessen jede genutzte E-Mail Adresse individuell und explizit ein. Dies verhindert, dass Sie Spam an falsche Adressen empfangen und es macht den E-Mail-Missbrauch des ''Backscatting'' unter Ihrer Domain unmöglich.
====SPF-Settings====
Wir empfehlen, keine ''strikten SPF-Records'' einzusetzen. Diese würden festlegen, dass Mails gelöscht werden sollen, wenn sie von anderen Mailservern als von den im SPF-Record aufgelisteten, stammen (wie z.B. bei Weiterleitungen oder Mailinglisten). Insbesondere von diesen Einstellungen raten wir ab:
    -all
    ~all


Eine bessere Technik als Alternative zu SPF ist ''„Domain Keys Identified Mail“'' (DKIM). Diese Lösung schränkt den Missbrauch von Absendern wirkungsvoll ein (und stellt nebenbei auch die Unverfälschtheit des Mail-Headers sicher).


==Backscatter Problem auch umgekehrt==
====E-Mail Weiterleitungen nur temporär====
Im obigen Abschnitt wurde das Problem in der Konstellation eingehender Mails an Ihren Mailserver behandelt, bei denen in der Folge ein bei Ihnen automatisch generierter Bounce/DSN ausgehend versendet wird.  
Wenn Sie Ihr mail-connect Postfach vorübergehend nicht abrufen können (z.B. Urlaub), dann macht eine Weiterleitung Sinn. Dasselbe gilt, wenn Sie eine neue E-Mail-Adresse nutzen und sicherstellen wollen, dass Mails von bisherigen Kommunikationspartnern trotzdem noch ankommen (vgl. Nachsendeantrag).


Das Problem gibt es aber natürlich auch umgekehrt: Ihre E-Mail-Adresse könnte Ziel eines Backscatter-Missbrauchs sein, wie er nach o.g. Muster auf einem fremden Mailserver stattfindet.
Keinesfalls sollten Sie E-Mail Weiterleitungen einrichten, wenn Sie das Postfach noch als aktive Adresse nutzen, aber Ihre E-Mails über einen anderen Provider abrufen wollen. In diesem Fall, sollte die ganze E-Mail Adresse besser migriert werden. Alternativ dazu können Sie auch Sammelfunktionen nutzen: Damit ruft Ihr neues Haupt-Postfach per POP3 oder IMAP andere Postfächer ab und sammelt alle E-Mails in ein zentrales Postfach zusammen. Mit ''mail-connect TEAM'' bieten wir Ihnen diese Funktion ebenfalls an.


Wie oben schon im Nebensatz angedeutet, können Sie in diesen Fall kaum abwehren. Schließlich besitzt die generierte Bounce-E-Mail ein technisch vollständig gültiges Format und der Absenderserver könnte ein großer Firmen-Mailserver sein über den ansonsten auch viele gültige und gewollte Mails versendet werden. Diesen zu sperren "schießt über das Ziel hinaus".
====Spam-Filter am Ziel-Postfach====
Dieser Teil ist immer am schwierigsten und gilt für jeden Spam-Filter, nicht nur am Ziel-Postfach. Generell raten wir Ihnen je nach Relevanz einer E-Mail-Adresse, dass die Schärfe eines Filter so gewählt wird, dass keine ''False Positives'' aussortiert werden. Also dass keine echten Mails falsch gefiltert bzw. gelöscht werden.


Aus diesem Grund bietet unser Spam-Filter in der STR-Funktion eine Mustererkennung von Bounce- und DSN-Mails an. Werden solche Bounces erkannt, blockiert die STR-Funktion die betreffende E-Mail. Als Filterkriterium gilt dabei, dass ein Bounce an ein mail-connect Konto gerichtet ist, dieser aber nicht von mail-connect generiert wurde. Dies funktioniert unter der Annahme, dass Sie Ihre Mails über mail-connect versenden: Wenn also eine Mail tatsächlich unzustellbar ist, erhalten Sie "echte" Bounce-/DSN-Mails nur von uns und von sonst niemanden.
Bei weniger wichtigen E-Mail-Adressen können Sie dieses Risiko zu Gunsten einer besseren Erkennungsrate eher eingehen. Sie müssen dann damit rechnen, dass "echte Mails" versehentlich verloren gehen können, da jeder Filter-Mechanismus dynamisch arbeitet und am Ende die persönlicher Relevanz einer E-Mail nicht immer korrekt einschätzen kann.


==IT Service durch all-connect==
==IT Service durch all-connect==
Zeile 87: Zeile 63:




[[Category:Anti-Spam]]
[[Kategorie:Anti-Spam / Anti-Virus]]

Aktuelle Version vom 11. Mai 2021, 09:21 Uhr


Probleme bei E-Mail-Weiterleitungen an E-Mail-Adressen mit externer Domain

Sie haben Ihr mail-connect Postfach so eingestellt, dass Ihre Mails an eine externe E-Mail-Adresse weitergeleitet werden (z.B. an ein E-Mail-Konto bei Google oder Yahoo).

Manche E-Mails erhalten Sie über diese Weiterleitung und manche E-Mail gehen verloren, bzw. der jeweilige Absender erhält in regelmäßigen Abständen E-Mails mit der Betreffzeile

Warning: message …xyz… delayed X hours 

In anderen Fällen können die E-Mails gar nicht zugestellt werden und der Absender erhält die E-Mail als unzustellbar zurück. Im Betreff steht dann z.B,

Mail delivery failed: returning message to sender

oder im Text steht die Fehlermeldung:

mx.mail-connect.net [80.254.138.xxx] #SMTP; 550 Unable to relay

Anmerkung: Alle Warn- oder Fehlermeldungen haben in der Praxis oft einen ähnlichen Wortlaut.

Ursache

Der Spam-Filter des empfangenden Mailservers für Ihr Weiterleitungsziel lehnt die weitergeleitete (temporär) E-Mail ab. Der Grund liegt an der SPF-Einstellung im DNS des Absenders bzw. der Absender-Adresse (s. https://de.wikipedia.org/wiki/Sender_Policy_Framework).

Dabei passiert folgendes:

  • Firma A schickt an Kunden B.
  • Kunde B nutzt ein mail-connect Postfach und leitet ankommende Mails an Yahoo weiter.
  • Firma A hat einen strikten SPF-Record, der den Versand von E-Mails mit Absender von mail@firma-a.de nur für die eigenen Mailserver der Firma A erlaubt.
  • Wenn jetzt Firma A eine Mail an den Kunden B schickt, leiten die Mailserver von mail-connect.net diese E-Mail an Yahoo weiter.
  • Der Spam-Filter von Yahoo stellt fest, dass mail-connect.net nicht für Firma A versenden darf und lehnt die Mail ab.
  • Firma A oder Kunde B beschweren sich, dass E-Mails abgelehnt werden. O-Ton: "Alle anderen Mails kommen an!".

Hintergrund

Die Funktion zur E-Mail-Weiterleitung ist so implementiert, dass die Absenderadresse bei der Weiterleitung nicht geändert wird. Nach der Weiterleitung lautet der Absender so, wie im Original. Dieses Forwarding ist für SPF nicht vorgesehen. Der selbe Effekt tritt ähnlich auf Mailinglisten auf. Unter Mailserver-Experten ist die Technik „Sender Policy Framework“ (SPF) aus diesem Grund seit Jahren umstritten.

Das Problem entsteht durch das Zusammenspiel von drei Effekten:

  1. Strikte (teilweise überzogene) SPF Einstellungen beim Absender.
  2. Benutzer, die doppelten E-Mail-Verkehr generieren, indem sie Mails (inkl. Spam) automatisch noch einmal versenden (= weiterleiten). Benutzer werden so selbst zu Spammern.
  3. Anti-Spam-Filter die beim Ziel-Postfach teilweise mit übertriebenen Einstellungen "bessere Spam-Erkennungsraten" versprechen.

Alles zusammen ist schon kein schöner Zug, weil technisch dynamische Systeme in gerade zu verschwenderischer Art aneinander vorbei eingesetzt werden. Die Folge sind Fehler, die durch den unüberlegten Einsatz bestimmter Einstellungen zu unerwarteten Nebeneffekten führen.

Technisch korrekt muss man festhalten: Die mail-connect Server erkennen derartige "Konstellationen" und beenden die Weiterleitung absolut folgerichtig mit der Fehlermeldung "unable to relay" (diese Fehlermeldung muss an dieser Stelle wörtlich genauso verstanden werden).

Abhilfe

Die ungewünschten Seiteneffekte entstehen in allen drei Bereichen der Mail-Einstellungen. Zur grundsätzlichen Lösung von E-Mail-Fehlern und verbesserter Spam-Erkennung ist daher in allen Bereichen eine korrekte Einstellung vozunehmen, sowie auf den sinnvollen Einsatz der jeweiligen Technologie zu achten

SPF-Settings

Wir empfehlen, keine strikten SPF-Records einzusetzen. Diese würden festlegen, dass Mails gelöscht werden sollen, wenn sie von anderen Mailservern als von den im SPF-Record aufgelisteten, stammen (wie z.B. bei Weiterleitungen oder Mailinglisten). Insbesondere von diesen Einstellungen raten wir ab:

   -all
   ~all

Eine bessere Technik als Alternative zu SPF ist „Domain Keys Identified Mail“ (DKIM). Diese Lösung schränkt den Missbrauch von Absendern wirkungsvoll ein (und stellt nebenbei auch die Unverfälschtheit des Mail-Headers sicher).

E-Mail Weiterleitungen nur temporär

Wenn Sie Ihr mail-connect Postfach vorübergehend nicht abrufen können (z.B. Urlaub), dann macht eine Weiterleitung Sinn. Dasselbe gilt, wenn Sie eine neue E-Mail-Adresse nutzen und sicherstellen wollen, dass Mails von bisherigen Kommunikationspartnern trotzdem noch ankommen (vgl. Nachsendeantrag).

Keinesfalls sollten Sie E-Mail Weiterleitungen einrichten, wenn Sie das Postfach noch als aktive Adresse nutzen, aber Ihre E-Mails über einen anderen Provider abrufen wollen. In diesem Fall, sollte die ganze E-Mail Adresse besser migriert werden. Alternativ dazu können Sie auch Sammelfunktionen nutzen: Damit ruft Ihr neues Haupt-Postfach per POP3 oder IMAP andere Postfächer ab und sammelt alle E-Mails in ein zentrales Postfach zusammen. Mit mail-connect TEAM bieten wir Ihnen diese Funktion ebenfalls an.

Spam-Filter am Ziel-Postfach

Dieser Teil ist immer am schwierigsten und gilt für jeden Spam-Filter, nicht nur am Ziel-Postfach. Generell raten wir Ihnen je nach Relevanz einer E-Mail-Adresse, dass die Schärfe eines Filter so gewählt wird, dass keine False Positives aussortiert werden. Also dass keine echten Mails falsch gefiltert bzw. gelöscht werden.

Bei weniger wichtigen E-Mail-Adressen können Sie dieses Risiko zu Gunsten einer besseren Erkennungsrate eher eingehen. Sie müssen dann damit rechnen, dass "echte Mails" versehentlich verloren gehen können, da jeder Filter-Mechanismus dynamisch arbeitet und am Ende die persönlicher Relevanz einer E-Mail nicht immer korrekt einschätzen kann.

IT Service durch all-connect

Gerne helfen wir Ihnen beim Setup Ihres Mailservers weiter und bieten Ihnen dazu unsere Unterstützung von der Planung bis zum operativen Betrieb.

Als Systemhaus bieten wir Ihnen individuelle IT-Dienstleistungen: Rufen Sie uns an und fragen Sie uns: Unser Service Team erreichen Sie unter unserer kostenlosen Hotline!