Ich nehme mal ein Thema hier im Blog auf, welches ggf. Kunden von 1&1-E-Mail-Diensten (1&1, web.de, GMX) seit Mitte Oktober 2023 treffen kann. E-Mails dieser Dienste werden ggf. verzögert zugestellt, weil die betreffenden Dienste wohl einen "verschärften" Spam-Filter verwenden.
Anzeige
Ein Blog-Leser hatte mich zum 19. Oktober 2023 per Mail kontaktiert und berichtete mir von seinen Beobachtungen als Administrator. Dort trudelten seit einer Woche immer häufiger Meldungen von Mitarbeitern ein, die von Fehlermeldungen beim Versandt zu E-Mailkonten, die bei web.de oder gmx.net und anderen 1&1-Domains gehostet werden. Der Leser administriert einen Exchange Server und kann in die Log-Dateien schauen. Der Exchange-Server meldete "Die Zustellung an folgende Empfänger oder Gruppen verzögert sich:".
Im ersten Augenblick ging der Leser davon aus, dass es Probleme im 1&1-Rechenzentrum gäbe, die diese Verzögerung bedingen. Aber irgendwann bekam der sendende Exchange Server eine Fehlermeldung vom betreffenden Empfänger-Mailsystem zurück, welche mehr Klarheit brachte. Diese Antwort enthielt einen Link auf eine entsprechende Zielseite des E-Mail-Anbieter. Bei web.de sieht diese Zielseite so aus:
451 Nemesis ESMTP Service not available Requested action aborted Reject due to policy restrictions.
Aufgrund eines ungewöhnlich hohen E-Mail Verkehrs und einer fehlenden Signierung Ihrer E-Mails per DKIM, wurde die Annahme Ihrer E-Mails temporär abgelehnt.
Stellen Sie daher sicher, dass Ihre Nachrichten über eine valide DKIM-Signatur verfügen.
Unsere dringliche Empfehlung dabei ist, dass die DKIM signing Domain mit Ihrer From-Domain(RFC 5322.From) übereinstimmt – DKIM Alignment.
Verwenden Sie dabei bestenfalls ein vollständiges strict DKIM Alignment.Im Folgenden finden Sie Best Practice Beispiele für eine erfolgreiche E-Mail Zustellung:
- relaxed DKIM Alignment
DKIM Domain = example.com
From Domain(RFC 5322.From) = child1.example.com- strict DKIM Alignment
DKIM Domain = child.example.com
From Domain(RFC 5322.From) = child.example.com- vollständiges relaxed DKIM Alignment
DKIM Domain = example.com
From Domain(RFC 5322.From) = child1.example.com
MAIL FROM Domain(RFC 5321.From) = child2.example.com- vollständiges strict DKIM Alignment
DKIM Domain = example.com
From Domain(RFC 5322.From) = example.com
MAIL FROM Domain(RFC 5321.From) = example.com
DKIM Domain = child.example.com
From Domain(RFC 5322.From) = child.example.com
MAIL FROM Domain(RFC 5321.From) = child.example.comFalls dies keine Abhilfe für Sie schafft, können Sie oder die für die Verwaltung Ihres Systems zuständige Person über folgendes Formular Kontakt mit uns aufnehmen.
Bitte teilen Sie uns möglichst alle hilfreichen Informationen zur Bearbeitung mit, wie z.B.:
- vollständige Fehlermeldung
- IP-Adressen, IP-Ranges (CIDR), AS
Es wird ein hoher E-Mail Verkehr und eine fehlende Signierung der E-Mails per DKIM bemängelt, weshalb die Annahme der Mail temporär abgelehnt wurde. Der Leser schrieb mir, dass er "hohen Mailverkehr" als Grund übertrieben und eher vorgeschoben findet (ca. 900 Mails in 30 Tagen). Da man aber selbst auf den Systemen das DKIM-Alignment nicht prüft, war das bei ausgehenden Mails auch nicht aktiviert. Nachdem DKIM-Alignment auf der eignen Mail-Appliance aktiviert und in die DNS Records aufgenommen wurde, konnten diese Mails auch wieder problemlos zugestellt werden.
Witzig finde ich persönlich, dass es bei 1&1 Postfächer gibt (ich selbst falle darunter), bei denen der Anbieter diese DKIM-Signaturen wohl auch lange Zeit nicht hin bekam. Ich konnte lange keine Mails von meinem 1&1-Server zu Google Mail versenden – habe es gerade aber nochmals getestet – dieses Problem ist nun also behoben.
Anzeige
Anzeige
Ich erzähle meinen Nutzern gebetsmühlenartig: "EMail ist kein Echtzeitmedium".
Das war schon zu Zeiten so, als Modems in der Nacht UUCP-Batches ausgetauscht haben und ist auch heutzutage so, wenn Provider Mails mit Greylisting erst im zweiten Versuch annehmen. Selbst im Clienten kann ich einstellen, daß er nur alle x Minuten pollen soll (wenn es keine Push-Benachrichtigung gibt).
Bei STRATO (die inzwischen auch zu diesem Konglomerat United Internet gehören) funktioniert DKIM sei > 10 Jahren.
Viele in KMUs eingesetzte Firewalls (z.B. Sophos) können es übrigens auch, nur wird es selten auskonfiguriert.
Kenne ich bei meinen Nutzern nur zu gut. Wieso ist die Mail nach 5 Minuten immer noch nicht da? Das muss doch innerhalb von wenigen Sekunden ankommen….. joa leidiges Thema.
Doch ist es, wenn man nichts kaputt konfiguriert. Man kann ja wieder alles mit Fax und Zustellbericht machen. /s
Denkbar wäre auch mal ein Telefon in die Hand zu nehmen.
Es gibt da noch zwei, drei andere Mantras in der IT, aber das von Dir im ersten Satz genannte ist wohl _das_ Mantra schlechthin :-)
Was ich in dem Zusammenhang gruselig finde, ist die Tatsache, wie viele Mailserver tatsächlich auch in 2023 noch ohne SPF und/oder DKIM daherkommen.
Noch ein kleines Stück gruseliger ist allerdings, wenn ich Anrufe bekomme, weil der Absender einer Mail an mich eine Antwort von meinem Mailer Daemon bekommen hat und dann doch tatsächlich gefragt werde, ich ich sicher bin, dass ich mir das leisten könne, Mails an mich abzulehnen, ich sei ja schließlich kein Konzern oder sowas.
Ich bin da ganz deutlich in meiner Aussage: wer seinen MTA im 21. Jahrhundert noch immer nicht im Griff hat, was die ordentliche Konfiguration angeht, dem sollen seine Mails rund um die Uhr um die Ohren fliegen.
Mit eben dieser dünkelhaften Einstellung treibt man die Leute dazu, standardmäßig bloß noch per WhatsDepp oder Fakebook zu kommunizieren.
E-Mail ist für die in die Digitalisierung genötigten Laien schon kompliziert genug. Dann muss sie wenigstens ohne Zicken funktionieren!
Heißt: Wenn nach allgemeiner Erfahrung die meisten Mails binnen ½ Minute beim Empfänger ankommen, dann darf man das sehr wohl als Echtzeit-Kommunikationsmedium ansehen. Wenn das bei bestimmten Konstellationen nicht funktioniert, läuft also was falsch. Mails, die so unberechenbar eintrudeln wie der Briefzusteller (und der braucht in meinem Viertel bald eine Stirnlampe), bringen das System E-Mail als antiquiert in Verruf.
Genau! Du sprichts mir aus der Seele.
Für die meisten Anwender (mich eingeschlossen), soll es einfach funktionieren und ist zu kompliziert.
Ich bin selbständig und muss mich um tausend Sachen kümmern – erstmal darum dass genügend Umsatz generiert wird.
Da muss die E-Mail einfach funktionieren – ich will nicht zum Mail-Experten werden, nur damit die verdammten Mails ankommen.
Das sollen Experten so einstellen, dass es automatisch funktioniert.
Wann hat sich denn HTTPS durchgesetzt, nachdem es jahrelang rumgedümpelt ist in Sachen Verbreitung?
War es die technische Innovation – NEIN!
Weil es mit LetsEncrypt einen kostenlosen und mega einfachen Dienst gab! Wenn so Administrator-Helmuts sich daran aufgeilen, das möglichst kompliziert zu machen, würden heute die meisten Websites immer noch nur http ohne Zertifikat nutzen.
Davon sollten sich auch die E-Mail-Experten eine Scheibe abschneiden.
Ja guten Morgen Leidensgenossen…
ähnlich wie die v6 Umstellung bei g00g le damals, meine Mailserver hatten bereits Dual Stack mit ordentlicher DNS Zone. Leider hat g00g le beim "golive" auf manchen Nodes den RevDNS Eintrag vergessen/ignoriert. Schon war kein ordentlicher Empfang mehr gegeben… Die Schuldigen waren, wie üblich (…wer kennt es nicht…), natürlich wir mit unseren Hosts, weil unsere Struktur die Mails abweist.
Ja da kann man sich dann drüber Streiten, ob RDNS-Missmatch direkt abgewiesen werden muss oder doch einfach ein Flag bekommt und in die Quarantäne wandert…
SMTP stirbt halt leider nicht….
"SMTP stirbt halt leider nicht…."
Dem Himmel sei Dank, dass dem so ist. Was wäre denn die plattformunabhängige open source Alternative, so Deiner Meinung nach?
Habe derzeit wieder vermehrt Probleme mit der Zustellung von Nachrichten ZU Gmail.
Ich betreibe einen eigenen Mailserver auf Linux-Basis mit gültigen Zertifikaten und meines Wissens richtiger Konfiguration.
Alle anderen Anbieter bekommen meine Emails zuverlässig. DKIM und DMARC sind anständig konfiguriert. Dennoch entscheidet sich Gmail häufig die Annahme zu verweigern oder zu verzögern.
Ah das sehe ich seit heute auch wieder. DKIM, SPF und DMARC alles konfiguriert, aber dennoch wird die Mail abgelehnt.
Ein möglicher Punkt wäre (das ist mir tatsächlich so als Begründung schon untergekommen), dass Du zu wenig Mails mit Deinem Mailserver verwendest und deshalb kein ordentlicher Score aufgebaut werden kann. Dein MTA wird aus dem Grund als schlecht eingestuft, was dann gern mal zu einer Ablehnung von angelieferten Mails seitens des Empfänger-MTA führen kann.
Scheint so, als wenn an manchen Stellen auch im Bereich Mail und RBL Politiker beschäftigt sind, was so die Fachkompetenz angeht.
Also ein schlecht konfigurierter Mail Server bekommt Probleme… wo ist das ein 1&1 Problem? Die machen nur ihren Job ordentlich!
Nur mal angemerkt: Hab jetzt im Artikel gesucht – das Wort "Problem" kommt nur einmal vor, nämlich im Kontext, dass der Einsender erst technische Probleme beim Mail-Hoster sah. Ansonsten ist es schlicht "eine Information" an Admins, denen das vielleicht passiert, die dann bei einer kurzen Recherche die Antwort auf das "warum" finden können. Mein ja nur …
Microsoft hatte uns im September per Adminbenachrichtigung ("Ihr handeln ist erforderlich") darauf hingewiesen, dass wir nun DKIM und DMARC im DNS setzen müssen, wobei wir vorher nur den SPF im DNS hatten.
Hier ging es auch darum, dass Mails an Google und dergleichen nicht zugestellt werden können oder es zu anderen Fehlern kommt. Ich konnte dies tatsächlich Nachvollziehen. Empfänger im BCC, auch wenn es nur drei Stück waren, sind in der Ablaufverfolgung vom Exchange-Online mit Fehlern quittiert worden und entsprechend nicht zugestellt.
Wenige Tage nach dem hinzufügen der Einträge kamen auch wieder alle Mails beim Empfänger an und die Adminbenachrichtigung von MS wurde auf "gelöst" gesetzt.
Auch wenn es hier um einen OnPremise ging, sehe ich einen eindeutigen Zusammenhang,
T-Online nimmt E-Mails ohne DKIM gar nicht mehr an.
Ich finde es ärgerlich, dass bei vielen Providern mit eigenem Mailserver SPF und DKIM nicht von selbst gesetzt werden. Bin bei OVH und setze mich gerade damit auseinander, den Sch*** in den DNS Einstellungen zu konfigurieren.
Nachtrag: OVH sagt, den privaten Schlüssel kann ich im normalen, kostenpflichtigen E-Mail Angebot gar nicht hinterlegen. Das kann ich nur im teureren Pro Mail machen.
Das ist ärgerlich, da es bei vielen anderen Anbietern seit Jahren Branchenstandard ist, dass das vollautomatisch eingerichtet und genutzt wird.
De facto ist das normale, schon kostenpflichtige System gar nicht mehr sinnvoll nutzbar.
Darüber hinaus hält DKIM natürlich nur den Spam ab, der schon bisher kaum durchgestellt wurde, weil die jeweiligen Mailserver i.d.R. auf Blacklisten stehen.
Wer sich eine eigene Domäne einrichtet, von der er sendet, konnte und kann weiterhin rausschicken, was er will.
Verstehe ich nicht. Bei OVH kann man an der Domäne zu ziemliches alles individuell konfigurieren.
Und den privaten Schlüssen direkt (manuell) in der eigenen Domäne zu hinterlegen ist wartungstechnisch ein Albtraum. Das hat MS bei EXO mit einem CNAME auf eine Domäne in ihrem Verwaltungsbereich besser gelöst. So kann der Schlüssel auf Knopfdruck geändert werden, ohne die DNS Konfig anzufassen.
Wartung?
man muss den alten dkim txt record löschen und den neuen rein schreiben und dann in den DNS packen.
Das kann man mit Notepad machen.
Wieso ist das Wahnsinn?
Wie oft möchtest Du das machen?
Immerhin muss ja auch der private Schlüssel im SMTP server geändert werden.
privaten Schlüssel, in der Domain?
Da kommt hoffentlich der öffentliche hin.
Der private kommt in der Mail Out Server
DKIM ist RfC.
DKIM ist für alle anderen gut.
DKIM bringt Dir keinen direkten Vorteil, nur indirekt, weil es andere machen und Du so die Authentizität von E-Mails und Bounces testen kannst.
Was ist das für ein Provider der für etwas Geld haben will?
(Der Name ist egal, rethorische Frage)
Wir betreiben einen Mail-Server. Gesetzt sind Reverse-DNS-Einträge und SPF, aber (noch) kein DKIM. Es gibt aber auch keine Probleme Nachrichten an T-Online zu senden. Insofern ist die Aussage "T-Online nimmt E-Mails ohne DKIM gar nicht mehr an." meiner Meinung nach nicht korrekt.
Nachtrag von mir zu T-Online:
„ Bisher werden DKIM-Signaturen weder gesetzt noch ausgewertet. (Eine Ausnahme ist das Projekt "Trusted Dialog", bei dem DKIM-Signaturen für das "Inbox Branding" eingesetzt werden.)"
Siehe https://postmaster.t-online.de/#t3.5
This is the mail system at host mo561.mail-out.ovh.net.
I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The mail system
: host mx00.t-online.de[194.25.134.8] said: 559 5.1.9
(DKIM reject DKIMr) Missing, invalid or non-matching DKIM signature (in
reply to end of DATA command)
Reporting-MTA: dns; mo561.mail-out.ovh.net
X-Postfix-Queue-ID: 1CC2E284BC
X-Postfix-Sender: rfc822; mail@xxxxx
Arrival-Date: Mon, 27 Nov 2023 17:24:13 +0000 (UTC)
Final-Recipient: rfc822; xxxxx@t-online.de
Original-Recipient: rfc822;xxxxx@t-online.de
Action: failed
Status: 5.1.9
Remote-MTA: dns; mx00.t-online.de
Diagnostic-Code: smtp; 559 5.1.9 (DKIM reject DKIMr) Missing, invalid or
non-matching DKIM signature
Das bekomme ich bei jedem T-Online Kunden. Dabei sind mir zwei Kunden bekannt, die dort ihre eigene Domain hosten und irgendwelche ominösen Premium Postfächer dort haben. Bis hin zu Standard-T-Online Adressen.
Auch hier nimmt T-Online.de derzeit (noch?) problemlos Emails an, die kein DKIM haben.
Ich habe den Eindruck, dass hier wieder mal unter dem Vorwand des Spamschutzes daran gearbeitet wird, das freie System „E-Mail" kaputt zu machen. Da wollen ein paar große Anbieter (wie zuvor schon Google mit dem SPF-Zwang) eigene Standards erzwingen, die jedoch von anderen mit nachvollziehbaren Argumenten (z.B. Probleme für weitergeleitete Mails mit Original-Absender) abgelehnt werden. So werden Konkurrenten, die nicht mitziehen, künstlich inkompatibel gemacht.
Und jetzt ausgerechnet Web.de. Mit solchen Adressen habe ich seit jeher schlechte Erfahrungen gemacht: Während schon vor >10 Jahren legitime Mails entweder gar nicht oder erheblich verspätet zugestellt wurden, hat Web.de es nie gebacken gekriegt, leicht erkennbaren Spam auszusieben. Lieber lässt man sich vom spamgeplagten Nutzer das Recht einräumen, eingehende Mailinhalte ausgiebig auswerten zu dürfen…
"weitergeleitete Mails mit Original-Absender"
Sorry, das Argument ist jetzt nahezu 10 Jahre alt und taugte ihmo noch nie.
a) gibt es Techniken damit RFC konform umzugehen und
b) ist es kein relevantes Szenario mehr ("Mailinglisten")
Es kann doch nicht sein, dass für eine Nischenfunktion relevante Sicherheitsfeatures nicht implementiert werden (können).
Wer heute noch mit dem o.g. Argument kommt, der ist ein Fortschrittsverweigerer und wird jetzt abgehängt, nachdem Google und hoffentlich auch Microsoft bald SPF *und* DKMI erzwingen.
Es sei darauf hingewiesen, dass GMX unterschiedliche Emailserver für weitergeleiteten E-Mails verwendet.
Wurde eine eMail bei GMX als Spam erkannt, und soll das weitergeleitet werden, geht sie immer über einen der Hosts weiter, die einen -gewollten- Dauerplatz in den antispam-RBLs belegen. Mal die genaue Antwort dieser DNS Server ansehen könnte helfen.
Normale, bei GMX erzeugte eigene Emails gehen über andere Hosts raus als "saubere", weitergeleiteten.
Das kann natürlich erklären, warum unterschiedliches Empfangsverhalten beobachtet werden kann.
Wäre schön wenn GMX das mal öffentlich dokumentiert.
Aber das kostet Arbeitszeit, die nur Konkurrenz schlau macht? Das sehen leider sehr viele so, wobei mit dieser Einstellung das Internet nie das worden wäre was wir heute sehen…
Nicht unüblich. Microsoft verwendet bei EXO auch unterschiedliche Mailpools, u.a. für NDRs und riskante Email. Eine gute Dokumentation dazu gibt es leider auch nicht.
TL/DR:
Nein. Einfach nur Nein! Herr Kärner hat vollkommen recht.
Die Leute müssen Ihren Scheiß auf die Reihe kriegen, gerade weil einige der Regeln, die hier und tagtäglich im Mail-Verkehr gelten, mittlerweile über 10 Jahre alt ist.
—–
Wenn der Postbote vergeblich versucht, eine Sendung mit den Abmaßen eines Schuhkartons in Ihren Briefschlitz zu bekommen und dann die Sendung wieder mitnimmt und der Absender eine Unzustellbarkeitsbenachrichtigung erhält, machen Sie dann den Versender dafür verantwortlich?
Schaffen Sie sich einen geeigneten Briefkasten an!
Wenn der Postbote vergeblich versucht, eine Sendung zuzustellen, Ihre Hausnummer ist in der ganzen Straße nicht zu finden, oder Ihr Name nicht an der Haustür, weshalb er die Sendung dann wieder mitnimmt und der Versender eine Unzustellbarkeitsbenachrichtigung bekommt, machen Sie dann den Versender dafür verantwortlich?
Sorgen Sie dafür, daß Ihre Adresse auffindbar ist!
Wenn bekannt ist, daß der Empfänger nur Briefe annimmt, die grün und dreieckig sind und nach Lavendel riechen und Sie senden trotz dieser Ihnen bekannten Regeln einen roten, runden Brief, der nach Moschus riecht und bekommen diesen dann vom Postboten wieder zurück – na, wer ist schuld?
Lernen Sie, die Regeln des Briefverkehrs zu verstehen und zu befolgen!
Wenn Ihnen bewußt ist, daß der Briefträger gern Ihre abzusendenden Briefe mitnimmt, sofern sie ausreichend frankiert sind und Sie veruchen Ihm trotzdem einen mit 80 Cent frankierten, nach Timbuktu zu versendenden Sack Katzenstreu aufzubürden und er sagt nein, ist dann der Postbote schuld? Oder gar der Empfänger?
Lernen Sie, die Regeln des Zustellenden Dienstes zu verstehen und zu befolgen!
Ich spreche nicht ab, daß es mglw. falsch – im Sinne von nicht den allgemeingültigen Regeln entsprechend – konfigurierte Mailserver gibt. Oder Kaputte. Das wäre Hybris.
Wenn die Provider schon vor 10 Jahren die Regeln – allem Voran SPF – um- und durchgesetzt hätten, hätten wir alle weniger Probleme mit dem Versenden und Empfangen – auf Benutzerseite – und einige Admins noch mehr (oder überhaupt welche) Haare auf dem Kopf.
Durch die Restriktionen, die in den letzten Jahren immer mehr und verstärkt greifen, wird imho verzweifelt versucht, einem Problem Herr zu werden, was ohne die laxe Behandlung der Regeln nie so groß geworden wäre….
Daher noch einmal: Nein!
Es ist auch kein dünkelhaftes Gebaren, was sie hier unterstellen, sondern lediglich die Wahrheit, ausgesprochen von einer vermutlich geplagten Seele.
Email ist so kompliziert wie ein Auto mit Automatikgetriebe zu fahren. Oder wie Milch aus dem Kühlschrank zu nehmen. Wenn alles drumherum ordentlich (den Regeln entsprechend) funktioniert, gibt es keine Probleme und der Benutzer muß sich um die Funktion keine Gedanken machen.
Die Regeln waren klar, aber die Benutzer/Kunden wollten sich nicht an sie halten – Stichwort Whitelisting. Und da es die lokalen Admins und IT-Dienstleister nicht geschafft haben, die Kunden auf Spur zu bekommen (wobei ich mich und meine Arbeitgeber nicht ausnehme), haben die ISP/MSP diesen Job nun übernommen. Und erledigt. Mag nicht jedem gefallen, aber darauf schei*e ich, wenn es bedeutet, das der Anteil an Spam- Phishing-Mails, die bis zum Benutzer durch dringen, signifikant verkleinert wird. Im Optimalfall gehen die noch nicht mal raus, weil schon der absendende Server dicht macht.
Daher… Tüddellüü….