Ich ergänze mal das Thema "Mailversand zu Anbieter xyz scheitert, wegen fehlender Einstellungen". Das Thema ist ein paar Tage bei mir liegen geblieben. Wer ein E-Mail-Postfach beim Anbieter OVH besitzt, muss seit Mitte November 2023 einen passenden DKIM-Eintrag festlegen, um E-Mails erfolgreich an Postfächer senden zu können, die auf Telekom-Servern (T-Online etc.) liegen. Problem scheint, dass die günstigen OVH-Pakete genau dies nicht unterstützen.
Anzeige
Ich hatte im November 2023 im Beitrag Mail-Zustellung an Exchange bei 1&1 (web.de, GMX) wg. Spam-Filter seit Okt. 2023 verzögert auf Probleme mit der Mailzustellung von 1&1-Postfächern berichtet. Darauf hatte sich Blog-Leser Christian Krause in diesem Kommentar gemeldet und schrieb, dass T-Online E-Mails ohne DKIM gar nicht mehr annehme.
Diskussion im Telekom-Forum
Im Telekom-Forum gibt es zum 15. November 2023 den Eintrag Ist DKIM jetzt Pflicht? Telekom.de lehnt E-Mails von OVH ab., wo ein Betroffener darauf hin weist, dass es ihm nicht mehr möglich sei, E-Mails von OVH (mit SPF) an t-online.de Mail-Adressen zu senden. Es gäbe direkt den folgenden Fehler.
Undelivered Mail Returned to Sender
This is the mail system at host 12345.mail-out.ovh.net.
I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can delete your own text from the attached returned message.
The mail system
<name@t-online.de >: host mx00.t-online.de[123.45.678.9] said: 559
5.1.9 (DKIM reject DKIMr) Missing, invalid or non-matching DKIM signature
(in reply to end of DATA command)
Der Betroffene verwendet Sender Policy Framework (SPF) in seinen Absender-Mailadressen, weil die Anpassung von DKIM in seinem Paket bei OVH nicht enthalten ist. Das Thema ist im Telekom-Hilft-Forum ausgiebiger diskutiert worden.
Nur in teuren OVH-Paketen möglich
Blog-Leser Christian Krause schrieb bereits in den Kommentaren, dass er es ärgerlich findet, dass bei vielen Providern mit eigenem Mailserver SPF und DKIM nicht von selbst gesetzt werden. Und in diesem Kommentar ergänzt er, dass er laut OVH den für DKIM erforderlichen privaten Schlüssel im normalen, kostenpflichtigen E-Mail Angebot, gar nicht hinterlegen könne. Das sei nur im teureren Pro Mail-Angebot vorgesehen.
Der Leser findet das ärgerlich, da es bei vielen anderen Anbietern seit Jahren Branchenstandard sei, dass die vollautomatisch eingerichtet und genutzt wird. Defacto seien dadurch normale, aber kostenpflichtige, Systeme bei OVH gar nicht mehr sinnvoll nutzbar – die Mails an T-Online werden ja nicht mehr zugestellt.
Anzeige
Darüber hinaus hält DKIM natürlich nur den Spam ab, schreibt der Leser, wobei Spam bisher schon kaum durchgestellt wurde, weil die jeweiligen Mailserver i.d.R. auf Blacklisten stehen. Wer sich eine eigene Domäne einrichtet, von der er sendet, können kann weiterhin rausschicken, was er will, meint der Leser.
Günstige OVH-Pakete nutzlos?
In einer Mail an mich merkt Christian an, dass durch die obige Maßnahme der Telekom und der fehlenden Reaktion von OVH nun alle günstigen OVH E-Mail Pakete betroffen (und nutzlos) seien, da diese keine DKIM Signatur unterstützen. Von diesen Paketen lassen sich keine Mails mehr an Postfächer, die bei der Telekom gehostet werden, senden. Das trifft neben den freien @t-online.de Adressen auch einige Unternehmens E-Mail Pakete.
Bei seinen Kunden seien immerhin ca. 10 % aller Kleinunternehmen dort gehostet, gibt er an. Ärgerlich findet er die Ignoranz auf beiden Seiten (OVH, Telekom), das Problem zu lösen.
Was macht DKIM
Christian hat dann noch folgende Erklärung zu DKIM (DomainKeys Identified Mail) mitgeliefert: Bei DKIM wird ein asymmetrischer Schlüssel erzeugt, dessen öffentlicher Teil im DNS als TXT-Record veröffentlicht wird und dessen privater Teil im MTA (Mail Transfer Agent) des SMTP-Servers abgelegt wird. Jede ausgehende E-Mail wird nun mit dem Schlüssel signiert und der Empfänger kann prüfen, ob die E-Mail wirklich von der Absender Domain stammt, indem er sich aus dem DNS des Absenders den öffentlichen Schlüssel lädt und die Signatur prüft. Eine falsche Signatur ist daher in jedem Fall abzulehnen, weil sie auf eine gefälschte E-Mail hindeutet.
Spam verhindert?
Hierdurch kann verhindert werden, dass die Adresse "info[@]spammer.de" eine E-Mail sendet, aber "info[@b]aumarkt.de" als Absender angibt. Dieser Mechanismus werde aber so natürlich schon lange nicht mehr betrieben, meint Christian, das sei vor 10 – 20 Jahren Usus gewesen, als Spam E-Mails überwiegend durch Absenderfälschung über frei im Internet stehende MTAs gesendet wurden. Hiervor sollten aber i.d.R. auch einfach IP-Blacklisten ganz gut schützen: Die falsch konfigurierten MTAs werden solange in einer Blacklist vorgehalten, bis das Spamaufkommen abgenommen hat. Danach hat der Admin Sie hoffentlich korrekt konfiguriert, um den Missbrauch zu verhindern, schrieb mir Christian in seiner Mail. Er hat sich aktuelle Spam-Mails angeschaut und findet ausschließlich:
- gehackte E-Mail Server oder Konten bei Free-Hostern, deren DKIM Signatur dann natürlich weiterhin vorhanden ist.
- selbst eingerichtete E-Mail Domains (@sparversand24.de oder @deine-super-news.de) bei seriösen Hostern, die dann ebenfalls über eine DKIM verfügen (können)
Letztere verhindern schlicht, dass pro Mail Account mehr als 150 E-Mails pro Stunde verschickt werden. Damit kommt ein Spammer nicht weit. 99% aller anderen Kunden stoßen nie an diese Grenze, der Rest wird im Support verhandelt, so der Leser. OVH verweise nun auf die kostenpflichtigen Pakete, die eine DKIM Signatur ermöglichen.
Andere Hoster haben keine Probleme
Dabei bekommen andere Hoster auch in den freien Paketen hin, eine korrekte DKIM Signatur zu setzen, schreibt Christian. Schließlich sei die Generierung eines Schlüsselpaars und Hinterlegung im DNS vollautomatisch möglich und nicht viel komplizierter als das Setzen eines DNS Eintrages beim SPF.
OVH bietet dieses Feature allerdings nur in den Pro Paketen. Diese kosten insbesondere dann deutlich mehr, wenn viele E-Mail Adressen angelegt werden.
Die Telekom hingegen prüft seiner Meinung nach auf ein ziemlich nutzloses Feature, immerhin kann sich auch ein Spammer eine DKIM Signatur und einen SPF Eintrag anlegen. Im konkreten Fall funktioniert das Verfahren vermutlich gerade deshalb gut, weil Spammer keine kostenpflichtigen Pakete mit DKIM Signatur bei OVH buchen. Wäre DKIM automatisiert in den günstigen Paketen enthalten, würde der Filter der Telekom natürlich ins Leere laufen. Wie seht ihr die Sache? Seid ihr betroffen?
Ähnliche Artikel:
IONOS schafft SMTP-Relay (SmartHost) zum 15. Januar 2024 ab
Mail-Zustellung an Exchange bei 1&1 (web.de, GMX) wg. Spam-Filter seit Okt. 2023 verzögert
Anzeige
Auch ich bin von "Filtereinstellungen" seitens t-online.de betroffen, aber andere.
Für meinen privaten Mailserver [betreibe ich u.a. für meine berufliche Weiterbildung] sind alle entsprechenden Einträge (spf,dkim,dmarc,…) gesetzt, aber meine statische IP-Adr. (A1 Telekom, Österreich) wird als Dailup "bewertet". Bedingt durch meine ländliche Lage habe ich nur via LTE/5G eine brauchbare Internet-Anbindung. Via Festnetz waren es nur 10/2mibt… da ist Homeoffice und (damals) home.schooling nicht wirklich gegangen…
[…]
Remote server replied: 554 IP=aa.zz.yy.xx – Dialup/transient IP not allowed. Use a mailgateway or contact toda@rx.t-online.de if obsolete. (DIAL)
[…]
Von t-online hab ich dann auf Nachfrage folgende AW bekommen:
Sehr geehrter Herr Wolf,
vielen Dank für Ihre Nachricht.
Nachdem wir nur nachvollziehbar kommerziellen und vergleichbaren
Betreibern erlauben, sich mit unseren Mailservern zu verbinden,
verwenden Sie bitte ein SMTP-Relay bzw. Mailgateway des Hosters oder
ISPs, um E-Mails im Rahmen der vertraglichen Leistungen vom Mailserver
über dessen offizielles Mailgateway zu senden. Der dortige Support ist
Ihnen bei der Konfiguration sicherlich gerne behilflich.
Aus unserer Sicht wäre ein Host aber jedenfalls dann nachvollziehbar
kommerziell, wenn die Anforderungen des Abschnitts 4.1 unserer FAQ unter https://postmaster.t-online.de/#t4.1
erfüllt wären.
Mit freundlichen Grüßen
Gustav B_____
Deutsche Telekom AG
E-Mail Engineering
Deutsche-Telekom-Allee 9
D-64295 Darmstadt
E-Mail: tosa@rx.t-online.de
http://www.telekom.de
Erleben, was verbindet.
Ich habe mir dann kurz überlegt, dass ich Mails an t-online Adr. über meinen beruflichen Mailserver zu routen, aber hab mich dann entgegen entschieden.
Bisher haben alle Empfänger mir alternative E-Mail Adr. geben können und haben ebenfalls den Kopf geschüttelt, als ich ihnen das „Problem" erklärte.
Ich frage mich, ob durch diese Beschränkungen t-online Mailbox Besitzer einen merkbaren geringeren Spam-Empfang haben, als bei anderen Mailbox-Providern.
lg aus OE
*KD*
"aber meine statische IP-Adr. (A1 Telekom, Österreich) wird als Dailup "bewertet"."
Statische IP != Feste IP. Dein Provider vergibt in der Regel Adressen aus dem PRIVATEN Raum für Mobilverbindungen. Gegen Aufpreis darf man sich öffentliche Adressen zuweisen lassen.
Aber "echte" statische, öffentliche Adressen bekommst Du auf die Art nicht. Darum zu recht die Einschätzung.
Gibt ja auch Leute die denken, weil sie bei Kabel Deutschland/Vodafone 6 Monate lang die gleiche IP-Adresse zu haben, daß sie eine statische Adresse hätten. Nope, das ist DialUp. Lebt damit. You get, what you pay for.
Er hat das genau beschrieben, er hat extra eine static dhcp, nur für ihn. Und er hat sich bei der Deutschen Telekom gemeldet, wie angegeben. Sie könnten seine IP-Adresse auch freigeben, machen sie aber nicht und kommen mit irgendwelchen bescheuerten Regeln.
Ohne eine "statische IP" würde der Mailserver und die Einstellungen keinen Sinn machen, also ist dieser Kommentar einfach überflüssig.
Es wäre zu überlegen, ob man gegen die Deutsche Telekom vorgehen könnte, da sie vielleicht gegen die Netzneutralität verstoßen. Aber das kann ein Jurist besser bewerten.
Nein, fest zugewiesene IP per DHCP ist keine(!) statische IP Adresse. Wird bei uns auch restriktiv abgelehnt – wie eigentlich alles, was aus einen "Endkunden-IP-Segment" kommt. Wie groß soll denn am Ende das Regelwerk werden, wenn man einzelne Adressen verwaltet? Hat auch nichts mit Netzneutralität zu tun, wenn ich im eigenen Netz bestimmte Dinge nicht dulde, dann darf ich das auch machen. T-Online unterbindet das ja nur für eigenen(!) Mailboxen und nicht für alle.
Lustig finde ich allerdings, dass die Telekom da jetzt drauf rumreitet, hat diese doch mit T-Online Adressen Jahrzentelang zugesehen wie darüber Spam versandt wurde und nichts gemacht hat um das zu unterbinden.
em, wenn Telekom da jeden eintragen würden…
Der Weg ist doch ganz klar:
eine Zeile in der Config seines Mail Servers für den smarthost seines Domain providers.
Fertig ist die Baustelle mit der dyn. IP.
Wenn der smart Host kein dkim macht dann muss halt der Provider geändert werden.
mir gefällt die Lösung auch nicht, weil alle meine E-Mails einen unnötigen Umweg gehen. Aber es ist halt nötig.
Nein, es ist nicht nötig. Man kann seinen Mailserver auch mit dem entsprechenden Hosting-Paket ins Rechenzentrum stellen. Man muss den nicht zu Hause an einem DialUp Anschluss fahren. Und den Smarthost schafft zumindest ionos gerade erfolgreich ab. Ich verstehe eh nicht, wieso so viele Menschen meinen, einen eigenen MTA betreiben zu müssen, dann aber nicht einmal gewillt sind, die Mindestanforderungen zu erfüllen. Zu diesen Mindestanforderungen gehört eine statische IP-Adresse aus einem Adressbereich, der nicht für DialUp vergeben ist. Ich persönlich nehme schon seit über 15 Jahren keine Mails von einem MTA mit dynamischer Adresse mehr an. Und ohne SPF, DKIM und DMARC liefert auch keiner bei mir Mail ein, ganz sicher nicht.
"Sie könnten seine IP-Adresse auch freigeben, machen sie aber nicht und kommen mit irgendwelchen bescheuerten Regeln."
Aha. Und sollte er seinen Vertrag beenden und/oder eine andere IP zugewiesen bekommen (IPv4? IPv6? Beides?) gibt er auch ganz brav Bescheid… und zwar an jeden Betreiber, der extra eine Ausnahme-Regel angelegt hat?
Oder sind dann im Anschluß die lieben Spammer unter den frei gewordenen Adressen (wieder) tätig?
Diese Regeln haben einen guten Grund. Und nur inkonsequentes Verhalten beschert uns alle naselang "Cyber-Angriffe" vom Feinsten.
Ansonsten hat Joerg ja schon hinreichend geantwortet. Benenne bitte niemals wieder Static und DHCP in einem Atemzug. Selbst mit "unbegrenzter Haltbarkeit" hast Du keine statische Adresse.
YMMD: "Erleben, was verbindet."
Das rejecten von Adressen die in Dialup Ranges sind, ist keine neue Sache und wird inzwischen von allen SMTP Providern gemacht die einiger Maßen klar im Kopf sind also fast allen.
Da Dir Dein Provider eine feste IP gibt, bitte ihn
a) eine IP aus dem statischen Pool zu nehmen
b) diese IP auf der dialup RBL auszunehmen
Ich glaube nicht, das T-Online sich auf Strings in den Hostnamen verlässt. Die werden eine RBL benutzen.
Kannst Du bei T-Online erfragen. T-Online hat ja auch ein großes Interesse daran, dass seine User zuverlässig emails bekommen.
Schau bei Spamhaus in die PBL.
Wenn deine statische IP da drin steht hast Du verloren.
Es wundert mich dann aber, dass Du überhaupt irgendwo Emails los wirst.
Es sollte nicht funktionieren.
Du gehst aber über das Mobilfunk Netz?
Dort verwenden manche Provider Private IP (so 10.x.x.x) und natten den Traffic. D.h. Du kämest nicht mit Deiner IP da an, sondern der der Nat appliance des Mobilfunk Anbieters.
D.h. Dein HELO string ist falsch.
Das aber kein Problem von DKIM.
Man muss bei der Telekom genau darauf achten, an welchen Server man E-Mails versenden möchte. Hier im Beitrag wäre dies an ein t-online.de System. Da ich seit etlichen Jahren Probleme mit der Telekom habe, kenne ich die offizielle Seite https://postmaster.t-online.de/ welche mir auch von den Telekom Postmastern über die Jahre bereits mehrfach mitgeteil wurde. Ich hebe mal den Absatz "3.5 Nutzen die t-online.de-Systeme Greylisting, SPF oder DKIM zur Filterung von E-Mails?" gesondert hervor.
TL;DR:
– Greylisting nein, nur wenn wiederholt auffällig.
– SPF nein, da Quote "weist zahlreiche nicht zu kompensierende Schwächen auf"
– DKIM nein, ausser (Ausnahme ist das Projekt "Trusted Dialog")
Daher verstehe ich nicht wieso es überhaupt zu DKIM Problemen kommen sollte.
Unabhängig davon sollte man sich zwingend mit dem Absatz 4.1 auseinander setzen. Quote "die Domain und somit auch die Website des Betreibers mit unmittelbarer Kontaktmöglichkeit" dies bedeutet im Telekom sprech, auf der Webseite müssen Wohn-/Firmenadresse und Telefonnummer verfügbar sein. Dies ist vielleicht für einen Privatmann mit einem eigenen Webserver und eigenen Domains nicht das was sie/er möchte.
@Alexander Meckelein:
"Daher verstehe ich nicht wieso es überhaupt zu DKIM Problemen kommen sollte."
Zum einen ist die Aussage in der offiziellen Seite eindeutig:
"DKIM wird weder beim Empfang ausgewertet noch beim Versand gesetzt".
Außerdem: Ich betreue diverse sendende Hosts, die kein DKIM vornehmen, trotzdem kommen die Emails problemlos bei @t-online.de an.
der Absender verwendet einen privaten DSL Anschluss.
Dieser hat ein dynamische wechselnde IP, da dle Provider nicht wollten, das da Server drauf betrieben werden und Geld für Feste IPS wollten. Außerdem waren IP einst ein knappes gut.
Und von daher bestand kein Grund einem Moden mit PPP eine der kostbaren IP Adressen fest zuzuweisen.
Daher gibt "dial up" IP Pools
Spammer haben früher per Trojaner von privaten PCs aus gespammt. Und da jeder Provider einen Smarthistvfur seine Kunden hat, war es schnell gemacht diese Dialnup s auf SMTP zu sperren.
HTH
| Außerdem waren IP einst ein knappes gut.
Das sind sie auch heute noch, jedenfalls in Bezug auf ipv4. Daher haben viele Privatleute, teilweise ohne es zu wissen, längst eine ipv6-Adresse und werden an einem AFTR-GW mit 6to4 NAT in die ipv4-Welt geleitet, mit einer shared ipv4-Adresse für viele User. Mit allen positiven und negativen Effekten hinsichtlich Diensten, die diese Konstruktion so mit sich bringt.
Ist aber jetzt etwas ot und hat mit DKIM nichts zu tun.
"Dies ist vielleicht für einen Privatmann mit einem eigenen Webserver und eigenen Domains nicht das was sie/er möchte."
Was der Privatmann möchte, steht hier nicht wirklich zur Debatte. Zunächst gelten die Bestimmungen des zuständigen NIC für die Vergabe von Domains. Was da steht, ist Gesetz, denn sonst ist die Domain schneller wieder im Transit, als der Reg-C gucken kann, wenn er auch nur einen "Freund" hat, der sich mit dem passenden Nachdruck an das zuständige NIC wendet, wenn auf der Webseite ein Ipressum trotz Pflicht nicht zu finden ist (um mal ein Beispiel zu nennen).
Zudem verwechseln viele den Begriff "geschäftsmäßig" mit "gewerblich". Das eine hat mit dem anderen nichts zu tun.
Naja, bei den meisten Anbietern gibts DKIM von Haus aus in allen Paketen.
Das DKIM bei OVH nur in teuren Paketen angeboten wird kann man schon als Abzocke bezeichnen.
Ein Grund, OVH gleich von der Liste der Anbieter zu streichen.
Da spielt es auch keine Rolle, ob DKIM Sinn macht oder nicht.
You get what you pay for. Deshalb von Abzocke zu sprechen, weil König Kunde mal wieder die Geiz ist geil Schiene fährt, ist irgendwie Bullshit. Ich kann beim Bäcker auch nicht für eine normale Semmel zahlen und dann eine Kürbiskernsemmel verlangen und wenn ich die nicht kriege, dann von Abzocke sprechen.
Naja, DKIM ist ein Feature, das es bei vielen Anbietern (z.B. GMX) sogar in der Gratisvariante gibt.
Dafür noch Geld zu verlangen ist daher unverschämt.
Bei GMX gibt es DKIM auf der Wunschdomain gratis? Da gibt es nicht einmal die Wunschdomain gratis. Du musst schon passende Produkte miteinander vergleichen…
Wer es nicht schafft gängige Spezifikationen zum Mail-Versand einzuhalten, hat die Teilnahme am Internet verwirkt.
Alle prahlen mit Fachkenntnis, Sicherheit, super Leistung – und dennoch wird man von Spambots angegriffen. Nein, wegfiltern ist keine Lösung. Die müssen aktiv verhindert werden.
Auch wenn es mich wundert das zu schreiben (vor allem, da T-Online Mail-Adressen gerne doppelt an verschiedene Personen vergibt/vergab): Sie macht gerade alles richtig.
Unsichere Server raus aus dem Netz.
PS: Ja, meine "privaten" Gurken dürfen noch immer mit T-Online kommunizieren. Auch mit Google, Microsoft… finde(t) den Fehler.
Das ist leider kompletter Murks.
DKIM schützt doch vor nichts, steht ja auch im Beitrag.
OVH lässt Spammer freie Hand, indem Sie nichts dagegen unternehmen.
OVH bietet bei günstigen Paketen kein DKIM.
Spammer wollen günstige Mails versenden und buchen das günstige, DKIM freie Paket.
Die Telekom Postmaster haben sich gesagt: "Hold my beer" und sperren alle günstigen Pakete von OVH, indem sie auf DKIM filtern. Dass dabei massiv Kollateralschaden entsteht ist offenkundig sichtbar.
Wenn OVH jetzt nachziehen sollte und DKIM in allen Paketen anbietet, fällt die Filtermethode für T-Online weg. Am Gesamtaufkommen des Spam ändert das allerdings vermutlich wenig.
Es ist ja nicht so, als dass Spammer kein DKIM einsetzen können. Sie können. Nur halt nicht in den günstigen Paketen von OVH.
Schau dir doch mal einen der letzten Beiträge von Herr Born an, bzgl. des Warenkreditbetrugs. Die Absender hatten allesamt gültige DKIM Signaturen, weil sie ihre Adressen von Strato hatten.
Hier läuft einfach gerade ein Krieg gegen OVH auf dem Rücken der Kunden.
Ich kann ihn in gewisser Weise verstehen, weil OVH kein Bock hat gegen Spammer vorzugehen. Aber die Methoden sind leider genauso unlauter, die die Telekom da abzieht. Die Telekom sind hier nicht die Guten.
feste IP Adresse
statische IP Adresse
private IP Adresse
öffentliche IP Adresse
dynamische IP Adresse
dialup IP Addresse
da könnte man einen schönen Baum malen.
Es geht hier aber um DKIM.
DKIM ist auch Eigenschutz.
Wie ich schon schrieb, kann der BOFH mit DKIM sicherstellen, dass sein Lieblings-User die Bounces der Mails an Dr. Meier bekommt, wenn er zum fünften mal an Dr.Peter.Meier@ schreibt, es aber Peter.Meier.Dr@ heißt, weil die Bounces -RfC konforn- mit einem leeren Absender kommen, aber leere Absender -nicht RFC konform- nicht angekommen werden, weil das zu 99% von Spammern provozierte Bounces sind die keiner seiner User will.. Ist halt "Schwund" wenn der User sich wundert dass Dr.Meier ihm nicht antwortet.
"DKIM schützt doch vor nichts, steht ja auch im Beitrag."
–> Das ist nachweislich Quatsch. Siehe vorherige Beiträge, dazu schreibe ich nicht mehr.
Wirklich bedenklich finde ich, dass du deine private Meinung hier verwendest um Fehlinformationen zu streuen, nur weil du mit deinem unzureichenden Wissen zwischen deinen Dienstleistern baden gegangen bist.
Das ist Blödsinn. Hier läuft ein Krieg gegen Maildomains ohne DKIM im DNS Record. Und das ist gut so und ganz sicher völlig unabhängig vom Provider. Nebenbei habe ich tatsächlich auch schon feststellen dürfen, dass meine von OVH gemieteten IP-Adressen auch nicht überall Mail anliefern können. Das ist das gute Recht des Empfängers, aufgrund von Erfahrungen mit einem Subnetz entsprechende Entscheidungen zu treffen. Das kann mir aber auch bei jedem anderen RZ passieren, in dem ich Server und ein passendes IPv4 Subnetz miete.
Du solltest Dir ein kleines cron Script bauen, das alle Tage mal das Tool "rblcheck" mit deinen IP Adressen aufruft.
Ich würde dann besser schlafen können.
nett gemeint, aber die von mir angemieteten Subnetze finden sich in keiner RBL (mehr), seit sie mir gehören. Es gibt aber Betreiber von Mailservern, die bewusst und gewollt Subnetze auf ihren MTA sperren. Da kannst Du dann nichts machen.
Der Begriff 'Empfänger' ist hier allerdings ziemlich fehl am Platze. Das ist eher der Dienstleister des eigentlichen Empfängers. Der eigentliche Empfänger ist hier genau so Opfer wie der Absender der Mail, die einfach nicht transportiert bzw. nicht zugestellt wird.
Mal so aus Neugier: fändest Du es gut, wenn Du zur Paketannahmestelle gehen würdest um ein Paket aufzugeben, und dort dann erfährst, dass wegen Deiner Absenderadresse (hier: Wohnviertel oder Straße/Hausnummer) die Annahme und Transport verweigert werden. Würdest Du dann echt Deinen Wohnort wechseln? Wie findet das der Empfänger Deines Pakets, der auf die Sendung wartet?
Dieser ganze Aufwand mit SPF, DKIM, DMARC hat letzten Endes fast nichts bewirkt, das SPAM-Aufkommen ist hoch wie eh und je, im Zweifel kommt der SPAM halt jetzt signiert daher. Am schlimmsten daran ist, dass die Dienstleister sich ohne direkten Auftrag ihrer Kunden gegenseitig in die Knie schießen und das dann aber so hinstellen, dass das alles zu 100% im Sinne ihrer Kunden ist.
Diesen ganzen Murks fortgeführt und konsequent zu Ende gedacht, wird nur noch ein großer E-Mail-Provider übrigbleiben. Problem gelöst.
Diesen Beitrag unterschreibe ich mal. Besser hätte ich das jetzt nicht ausdrücken können.
Scheinbar nicht das einzige Problem mit T-Online-Mail, gerade eben konnte ich eine Mail von GMX aus (also NICHT über einen eigenen oder kleinen/exotischen Mailserver) nicht an eine T-Online-Adresse senden wegen Fehler 554. Versuche es nun von einer Strato-Mailadresse aus, möglicherweise ist GMX gerade geblockt bei denen:
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its recipients. This is a permanent error.
The following address failed:
xxxxxxxxt-online.de:
SMTP error from remote server for GREETING command, host: mx02.t-online.de (194.25.134.9) reason: 554 IP=82.165.159.42 – A problem occurred. Ask your postmaster for help or to contact tosa[at]rx.t-online.de to clarify. (TEM)
82.165.159.42 (mout-xformward.gmx.net) scheint T online nicht rückwärts auflösen zu können und oder es (eher) passt nicht zum angegebenen Hostnamen im HELO.
Das sollte nach RfC zwar egal sein, aber dem endlosen Kampf gegen die Spamner wurde auch diese Freiheit geopfert .
einfach Mal an abuse bei t-online.de schreiben, die Adresse steht eigentlich in der Fehlermeldung drin und wird kompetent gelesen. Hier tosa[at]rx.t-online.de.
Bitte bei Meldungen "Bei mir geht's" daran denken, das GMX etc. etliche Mailoutserver für unterschiedliche Funktionen betreibt. Einer steht dauerhaft in allen RBLs.
Über den leitet GMX Spam, den sie erkannt haben, aber weiterleiten sollen. Die wissen was sie tun (DKIM ist default)
DKIM gehört doch, zumindest im Business Sektor, heutzutage zum allgemeinen Standard. Daher sollte man schon vorher genau abchecken, das die Hoster in ihre Angebote packen. Was jetzt OVH betrifft, na ja, muss man halt selber wissen, ob man denen seine Daten anvertrauen möchte.
Och, denen brennt zwar dann und wann ein RZ runter, aber ansonsten… ich kann mich zumindest über die Störfestigkeit meiner Maschinen von außen nicht beschweren. Hingegen bei Hetzner hat man es geschafft, jemandem, der mit gleichem localpart und anderem domainpart in der Mailadresse daher kam, mal eben meine komplette Infrastruktur auf dem Silbertablett zu servieren. Htzner vertraue ich also meine Daten ganz sicher nicht mehr an.
Ja, man sollte vorher prüfen, was man braucht, und dann das passende Paket buchen und nicht irgendws buchen und dann hinterher jammern, wenn man etwas nicht kann.
Klar können bei jedem Hoster Fehler passieren, aber wenn da die Server im Holzregal liegen, ist das schon grob fahrlässig.
Thema Hetzner, ich bin da auch schon ca. 10 Jahre, mit allen möglichen Konstellationen, Kunde. Aber das da was mal nicht funktioniert hätte, kann ich an einer Hand abzählen. Wenn überhaupt. Ein kurzer Anruf beim Support und die Sache war dann umgehend geklärt. Also ich kann da überhaupt nicht meckern.
Im Notfall bin ich auch mal vor Ort. Das DC in Falkenstein liegt, von mir aus gesehen, knapp 1 h per Auto entfernt.
Also dkim bei Microsoft geht DKIK zwar, aber was zum Teufel machen die da?
Geht es vielleicht noch irgendwie umständlicher?
Klar das viele Unternehmen sich DKIM sparen.
Funktioniert doch auch so.
Noch, ja. Ja,noch.
Und viele Kunden werden sie nicht haben, die nur eine Gmail T-Online Adresse haben.
Ich hatte es in dem anderen Thema ebenfalls schon geschrieben: SPF und DKIM sind grds wichtige Techniken, die man schon vor Jahren hätte strikt durchsetzen müssen. Man war viel zu tolerant mit so Meinungen wie „Christian" die unter dem Vorwand von Weiterleitungen auf entsprechende Techniken verzichtet haben.
Natürlich löst das nicht das Problem von gehackten Severn, aber dazu war es auch nie gedacht.
Was ich weiterhin nicht verstehe ist, wieso die Schlüsselhinterlegung nicht möglich ist.
Ich hoste unzählige Domains bei OVH und alle sind mit SPF und DKIM abgesichert.
Normalerweise greife ich niemand persönlich an, aber „Christian" scheint hier mehr das Problem zu sein, als die T-Online Mailserver.
nb https://postmaster.t-online.de sagt, dass DKIM nicht ausgewertet wird. Insofern stelle ich die gesamten Probleme hier mal in Frage.
Ich fürchte diese postmaster Seite ist veraltet.
Es löst auch nicht das Problem des von Günter angesprochenen Warenkreditbetrug, bei dem sich der Täter einfach eine ähnlich lautende Domäne sichert.
Was hast du für eine Unart entwickelt, in Foren "works on my machine" zu posten. Wenn du kein Problem hast: Weitergehen, es gibt nichts zu sehen.
Dann trag doch einfach mit Lösungshilfen in anderen Foren bei, zu denen du inhaltlich mehr beitragen kannst.
Niemand hat gesagt, dass mit SPF und DKIM sämtlicher Spam verhindert wird. Nicht solange das Mailsystem insoweit offen ist, dass jeder mit gültigen technischen Standards in dieses Mails einliefern kann.
Insofern ist die Aussage "Die Telekom hingegen prüft seiner Meinung nach auf ein ziemlich nutzloses Feature, immerhin kann sich auch ein Spammer eine DKIM Signatur und einen SPF Eintrag anlegen. " ja schonmal hinfällig und zeugt von wenig technischem Verständnis.
Was das Thema "works on my machine" angeht: Ich verstehe den technischen Grund nicht, wieso eine entsprechende Hinterlegung nicht möglich ist.
Ich habe jetzt sogar nochmal in meinem OVH Account nachgesehen. Man kann den Eintrag manuell in derDNS Konfiguration eintragen (OVH bietet sogar einen sehr einfachen weg über ein entsprechendes Formular für die korrekte Syntax, wenn man auf DKIM klickt), wenn man davon Ahnung hat (woran es hier wahrscheinlich scheitert).
Ich mache das mit EXO anders, aber es funktioniert!
Lies nochmal den Artikel. Ich befürchte an solchen grundlegenden Dingen hapert es bei dir.
"- Sorry to say -"
Das Problem "Weiterleitung und SPF" ist schon vor 25 Jahren gelöst worden. "Weiterleitung und DKIM" ist kein Problem.
"Das Problem "Weiterleitung und SPF" ist schon vor 25 Jahren gelöst worden. "Weiterleitung und DKIM" ist kein Problem."
–> Eben!!!!
Genau deswegen gibt es KEINEN Grund auf diese Techniken zu verzichten. Die Argumente "Weiterleitungen", "gehackte Accounts", usw. und sie waren schon immer hinfällig!
Der Satz "Die Telekom hingegen prüft seiner Meinung nach auf ein ziemlich nutzloses Feature, immerhin kann sich auch ein Spammer eine DKIM Signatur und einen SPF Eintrag anlegen. " kommt nicht von mir sondern von "Christian" (übernommen von Günter), der (die) offensichtlich der Meinung sind diese Techniken sind nutzlos.
Sind sie nicht!
Welche Vorteile hat DKIM für mich oder meine Kunden?
1. Es wird eine Signatur über den Inhalt der Nachricht erzeugt.
D.h. ich kann sicher sein, dass das was ich bekomme, das ist, was die andere Seite abgeschickt hat und nicht ein paar Bytes fehlen.
2. Durch die Signatur kann ich feststellen, ob ein Bounce wirklich auf Grund einer Email von mir erfolgt ist. Die gebouncte Email ist ja mit meinem Private Key signiert, die eines Spammers nicht.
3. Wenn ich etwas versende kann der Empfänger den Inhalt nicht verfälschen. Die Signatur würde falsch werden. Und eine Kopie der Signatur liegt in meinem Logfile.
Es gibt auch Nachteile:
1. Der SMTP server muss die ganze E-Mail angenommen haben und prüfgesummt(tm) ehe er 200 OK oder 550 rejected geben kann.
2. Ich muss ein Schlüsselpaar erzeugen und im DNS und Mail Server eintragen.
3. Wenn das Marketing meint, das die eigenen Footer (man sagt dazu auch oft Signaturen, aber das ist hier ja nicht gemeint.) nichts taugen, sondern dass man dafür besser die emails über einen kostenpflichtigen Anbieter, in den USA,versteht sich, der dann die DKIM Signatur kaputt macht (Logo,er kann manipuliert sie ja) funktioniert DKIM nicht mehr.
4. So sinnloses, aber kostenpflichtiges Zeug wir ein Warnhinweis, das die von extern kommt (ach) macht natürlich auch die Signatur kaputt und kann denn Unwissenden nicht mehr angedreht werden
Ohne Spammer wäre alles so einfach.
"4. So sinnloses, aber kostenpflichtiges Zeug wir ein Warnhinweis, das die von extern kommt (ach) macht natürlich auch die Signatur kaputt und kann denn Unwissenden nicht mehr angedreht werden"
Ah, über die Sinnlosigkeit streite ich mich gern eine Runde mit Dir. Du willst nicht wissen, wie viele Benutzer wirklich in der Lage sind, sich den Absender anzuschauen und nicht den angezeigten Namen. Kleiner ein Prozent, ernstahft. Und denen ist dann schon geholfen, wenn oben der Name ds Chefs steht, aber im ersten Absatz, dass die Mail von extern kommt, also doch nicht aus der Chefetage im Hause.
Grundsätzlich sollte so etwas aber der Ziel-MTA machen, der die Mail annimmt und entsprechend das letzte Glied in der Kette vor dem MUA darstellt.
meines Wissens nimmt niemand mehr E-Mails von dial up IP an.
Seit 20, ach 30 Jahren. Es ist mir ein Rätsel wie so das jetzt noch hochkochen kann.
Es gibt keinen RfC der das empfiehltm Aber damals kam so viel Spam über Viren verseuchte Home PCs das man zu dieser Lösung greifen musste.
Allerdings könnte man diese IP dank DKIM und SPF heute aufweichen, aber das scheint ja auch nicht zu funktionieren.
SMTP Connect,
hat die Mail from: Domain einen DKIM Eintrag?
rejekt, wenn nicht.
Email annehmen bis zum Data end
mit 225 warten lassen
Prüfsumme mit dem öffentlichen Key von oben validieren
reject wenn Prüfsumme nicht ok. 554 dkim wrong.
Es wäre völlig egal wie man die E-Mails anliefert.
es könnte so einfach sein….
aber es gibt immer noch zig tausende Systeme ohne DKIM.
Außerdem kann man mit festen IP mehr Geld machen.
war "t-online.de" nicht die domain, die bis vor kurzem selber nicht mal SPF unterstützt hat?! und jetzt auch nur softfail gesetzt hat? und "telekom.de" nicht mal SPF unterstützt?! *ROFL*
Google kriegt sie alle :-)
DKIM hat noch einen Nutzen:
Man erkennt Fake Bounces.
Spammer geben in der Regel 2 Adressen an, die Spam bekommen sollen. Es gibt leider immer noch Mail Systeme, die erstmal allen E-Mails annehmen und erst dann gucken, ob sie die zustellen können. Rechtlich wäre ein Reject besser, so ist es aber für den Admin bequemer.
Er müsste sonst erhebliche Eingriffe in die Email Struktur seines Konzerns machen. Da nervt man lieber andere Nrtztenehmer und wundert sich, warum man auf der Blacklist als "backscattering" geführt und manchmal rejected wird. Wir, der große Konzern, mit der 2 buchstabigen Domain seit 60 Jahren.
Spammer nutzen das bouncing aus, und senden absichtlich an nicht-existente Empfänger. Der so erzeugte Bounce kommt von einer "seriösen" IP. D.h. der Server des Opfers nimmt die Email als Bounce an. Und stellt ihn dem User zu. Der Absender dieser Bounces sollte Leer natürlich sein (zwei spitze Klammern ohne etwas dazwischen) um Mailschleifen zu verhindern… Manche Admins hauen solche E-Mails ohne Absender ahnungslos in den Mull um die User nicht mit Fake-Bounces von Spammern zu nerven.
Und hier kommt DKIM resp. DMARC.
Damit kann der Mailserver erkennen, ob der Bounce wirklich auf einer Email von ihm ausgelöst wurde.
Sehr elegante Lösung. Barracuda bietet übrigens gegen Aufpreis ein selbst erfundenes Verfahren an, fake bounces zu erkennen und natürlich kein DKIM…
Da eignen emails bei DKIM immer designed sind, kann man echte Bounce erkennen und dem User zustellen.. Der geht ja davon aus, das seine E-Mail zugestellt worden ist wenn er nichts mehr hört.
Das sein eigner Admin dieser Bounce aus "bestem Willen" und Unwissen unterschlagen hat weiß er ja nicht.
Also ist DKIM auch für die Zuverlässigkeit der eigenen E-Mail Versorgung wichtig!
Es kann nur Faulheit und/oder Unwissen sein das nicht einzurichten. Hier ist es Geldgier/Notigung. "Schönes Postfach hast du da, wäre doch schade wenn sich das mit Fake bounces füllen würde, oder?")
DKIM nicht zu verwenden ist außerdem dyssozial.
"DKIM nicht zu verwenden ist außerdem dyssozial."
-> Das war es schon immer. Aber Leute mussten ja "Emailweiterleitungen" o.ä. argumentieren …
Hallo Hr. Born,
What denn nu: OHV oder OVH
(zieht sich über den gesamten Beitrag u. schlecht wenn man später mal was sucht – bitte deshalb bei Gelegenheit mal korrigieren, Danke).
Zum Thema m.M.: Kommt davon, wenn man Wischbrettjünger, welche keine Ahnung von Programmiersprachen u. Programmierung haben, an die IT läßt.
Liebe Grüße
"Wischbrettjünger" You, Sir, made my day! :-)
SPF ist ein vorhergehender Versuch gegen Spam und hat eigentlich mit DKIM nur soviel zu tun,als es zur selben Zeit entstanden ist (und nicht wie erwartet funktioniert hat) und auch den DNS TXT benutzt.
Es wurde regelrecht von seriösen Systeme boykottiert, während die Spammer nur solche mit SPF benutzten so das Mail filter für system mit SPF eine kleinen Malus gab…
SPF machte Probleme bei Mailingliste da der List Server in keinem SPF stehen konnte, die E-Mail aber einzelne Absender tragen sollten. Es wurde darauf hin ein Verfahren entwickelt, die Absenderadressn einzuwickeln.
"Eine falsche Signatur ist daher in jedem Fall abzulehnen, weil sie auf eine gefälschte E-Mail hindeutet.
Hierdurch kann verhindert werden, dass die Adresse "info[@]spammer.de" eine E-Mail sendet, aber "info[@b]aumarkt.de" als Absender angibt. Dieser Mechanismus werde aber so natürlich schon lange nicht mehr betrieben, meint Christian, das sei vor 10 – 20 Jahren Usus gewesen, als Spam E-Mails überwiegend durch Absenderfälschung über frei im Internet stehende MTAs gesendet wurden."
Das ist eher 30..40 Jahre her.
Ich verstehe dein Beispiel nicht.
wenn der spammer mit seiner Domain schicken würde, dann könnte er sie auch unterschreiben.
Spammer, außer den ersten 5, haben aber nie die eigene Adresse als am Absender angegeben.
d.h. da stand eher nie "info[@]spammer.de" im Absender sondern
-info[@]anderesopfer.tld" .
Sie hatten dabei Vorteil,dass früher viele Systeme bounce Mails erzeugten und dabei die falsch adressierte email komplett an das Opfer schickten. Durch dkim kann nunmehr festgestellt werden, das man der Absender war und den User informieren ohne ihn mit Fake bounce zu mullen.
Vielleicht habe ich es ja hier überlesen, aber bis jetzt sehe ich keine belastbaren Hinweis, dass zum Einliefern von E-Mails bei T-Online DKIM notwendig ist.
Die anderen Probleme mit T-Online beim Einliefern von E-Mails sind ein Dauerbrenner. Z.B. Blocks bei niedrigen Volumen und Verlangen von Impressum auf FQDN-Seite vom Mailserver sind nur einige Aufreger.
Aber der Blogbeitrag dreht sich um DKIM-signierte E-Mails als Voraussetzung für die Einlieferung bei T-Online. Und darauf deutet derzeit nichts hin.
Das DKIM nicht angeboten wird, dürfte häufiger der Fall sein, als man denkt. Nicht überall ist das automatisiert. Da überlegt sich man ein Reseller, ob er die Zeit mit DNS-Einträgen verbringt.
Solang es überall ohne DKIM gibt, dürfte die Nachfrage durch Enduser sehr überschaubar sein. Nach SPF dürfte die Nachfrage auch erst hochgegangen sein, als Gmail SPF verlangte.
Du hast Recht, trotzdem glaube ich, nicht, dass der SMTP Dialog hier frei erfunden wurde und "Christian" gelogen hätte.
Dazu kommt, dass OVH Ende Oktober/Anfang November ganz hektisch kurzfristig irgendwelche SPF Einträge setzen wollte. Hier die Email vom 31. Oktober 2023:
—————–
"Dear Customer, At OVHcloud, the security of our products and services remains one of our top priorities.
In this spirit of continuous improvement, we are writing to inform you that the MXPlan services of your XXXXXXXX-ovh account will be updated to strengthen the security and deliverability of all your email solutions.
What are the changes?
From 2023-11-06, all email products will be automatically updated to comply with the SPF security standard.
There are several key benefits to incorporating this security standard:
Protects your data
Prevents identity theft and phishing scams
Reduces spam and junk mail
Improves email performance and deliverability
Enhances your brand image and domain reputation
What do you need to do?
No action is required on your part. This migration will be performed by our technical teams.
Although not recommended, you can change this configuration at any time via the OVHcloud Control Panel.
You can also unsubscribe from this automatic activation by following this link before 2023-11-06:
Want to know more?
You can find more informations in our guide: https://help.ovhcloud.com/csm/en-gb-dns-spf-record?id=kb_article_view&sysparm_article=KB0051714
We are at your disposal for any further information.
Thank you for choosing OVHcloud.
The OVHcloud Team
—————–
" Blocks bei niedrigen Volumen und Verlangen von Impressum auf FQDN-Seite vom Mailserver sind nur einige Aufreger."
Ja, es gibt so Dinge, bei denen ich mir wünschen würde, man könnte das Unternehmen zwingen, seine Schufa-ähnlichen Allüren mal sein zu lassen. low volume ist nämlich das beste zeichen dafür, dass von dort eben kein Spam kommt. Eben weil das Volumen niedrig ist. Und wenn ich wegen fehlendem Impressum auf einer nicht vorhandenen udn auch nicht notwendigen Webseite geblockt werde, dann hat der Empfänger ein Problem. Mich. Es gibt nirgendwo ein Gesetz, dass mich verpflichtet, zu einer (Mail)domain überhaupt eine Webseite zu betreiben. Und das lasse ich dem Empfänger, der die Annahme verweigert, gern durch einen Richter bescheinigen.
Zurück zum Thema: Google ist in viel zu vielen Dingen der Auslöser für Veränderungen. In Sachen DKIM und DMARC wünsche ich mir das aber durchaus, dass Google da mal die Brechstange ansetzt. Vielleicht hilft das, dass sich brauchbare Standards, die seit Jahrzehnten existieren, auch mal beim letzten Wald- und Wiesenanbieter von Diensten wie Mail endlich umgesetzt werden.
Nur nochmal um das klarzustellen: Je mehr ich mit diesem Artikel und dem Problem von "Christian" auseinandersetze, je mehr wird mir klar, dass die Probleme von "Christian" rein auf fehlendem technischem Verständnis beruhen, wieso SPF und DKIM wichtig sind.
Dazu kommt die Unfähigkeit die DNS Einträge manuell zu setzen.
Der einzig valide Punkt ist hier (vielleicht), dass OVH die Einträge in den günstigen Paketen nicht automatisch setzt. Das sollte sich aber durch den bzw. mit Hilfe des Support (der manchmal auch etwas schwierig ist, gebe ich zu) erledigen lassen.
–Sorry to say–
Das Problem bei DKIM:
Du musst 2 Stellen ändern (und das ist der Trick).
Du musst Deine E-Mails signieren.
Dazu muss der private Key in den smtpout.
Das macht üblicherweise der ausgehende SMTP Server.
Und der gehört üblicherweise dem Domain reseller/hoster.
Da hat der kleine Kunde keinen Zugriff und der Hoster muss dafür ein klicke bunti Interface basteln.
Ja gut, wenn der E-Mail Dienst das nicht anbietet, wird man das Feature nicht verwenden können. You get what you Pay for.
Und wenn der Zielserver die Emails ablehnt wird man dagegen auch nichts machen können, es ist sein „Hausrecht".
Die Welt wird sich dran gewöhnen müssen, dass professionelle E-Mail Versand Geld kostet, weil es richtig Aufwand bedeutet sowas heutzutage Einzurichten und Laufen zu lassen.
Trotzdem ist das kein Grund auf SPF, DKIM oder die Telekom loszugehen.
selten so ein bullshit gelesen.
man braucht genau einen guten ITler, und der verwaltet gleich eine ganze serverfarm.
die kosten werden auf alle Mails von OVH umgelegt. pro mail geht das komplett unter.
dazu kommt: ovh hat ja schon lösungen, sie geben sie nur nicht frei für Kunden des MX plans.
Spätesten seit dem Serverbrand hätte ich um OVH einen großen Bogen gemacht!
vielleicht war der Brand ja auch ein Zeichen? :-)
Im genannten Telekom Forum meldet ein Telekom Team Mitglied am 21.11: „von einigen Providern und E-Mail-Versanddienstleistern verlangen wir mittlerweile eine gültige DKIM-Signatur. Bei OVH ist das z.B. der Fall."
https://telekomhilft.telekom.de/t5/E-Mail/Ist-DKIM-jetzt-Pflicht-Telekom-de-lehnt-E-Mails-von-OVH-ab/m-p/6438772#M258799
Andere Forenmitglieder berichten von Supportantworten seitens OVH, dass OVH an Lösungen für die mxplan Konten arbeite und bis dahin nur den Wechsel auf Pro und Exchange Pläne anbieten kann.
https://telekomhilft.telekom.de/t5/E-Mail/Ist-DKIM-jetzt-Pflicht-Telekom-de-lehnt-E-Mails-von-OVH-ab/m-p/6441363#M258980
Spannend die gesamte Antwort:
"Schönen guten Morgen zusammen, @Dr.Ronny ich habe noch einmal nachgehakt. Es ist zwar nicht grundsätzlich so, aber von einigen Providern und E-Mail-Versanddienstleistern verlangen wir mittlerweile eine gültige DKIM-Signatur. Bei OVH ist das z.B. der Fall. Und die Fehlermeldung besagt, dass keine DKIM-Signatur vorhanden bzw. diese falsch oder ungültig war. Die Einführung haben wir den E-Mail-Service-Providern bereits vor über einem Jahr mitgeteilt. Das macht es jetzt zwar nicht besser, aber OHV hatte vom Prinzip genug Zeit, zu reagieren. :Grimassen_schneidendes_Gesicht: Viele Grüße
Thorsten Sch."
Dann sollte man sich mal an OVH wenden….
Weiterhin kein Grund SPF oder DKIM als Technik verantwortlich zu machen und als "ziemlich nutzloses Feature" zu betiteln.
Danke für den Forenlink zur Telekom. Starkes Stück, wenn providerabhängiges DKIM verlangt wird. Man fragt sich direkt, welche Provider denn neben OVH noch. Wofür noch auf die Postmaster Infoseite schauen, wenn es diverse Abweichungen geben kann? Die Aussage "Bisher werden DKIM-Signaturen weder gesetzt noch ausgewertet. (Eine Ausnahme ist das Projekt "Trusted Dialog", bei dem DKIM-Signaturen für das "Inbox Branding" eingesetzt werden.)" ist dann falsch.
Aber wundert auch wieder nicht, wenn man eine schnelle Kontaktmöglichkeit von Mailserverbetreibern und Domainübereinstimmung einfordert, aber selbst im Impressum von T-Online.de auf Telekom.de verweist.
Wenn Telekom sozial kompetent arbeiten würde, würden sie eine RBL einrichten, auf der jeder Mail Out einmal in der Woche nachsehen könnte, ob er mit dieser IP DKIM machen muss.
Jetzt knallt es erst wenn's zu spät ist. Das ist unschön.
Das schlägt auf den Ruf, und zwar der Telekom/T-Online als "unzuverlässig". Das kann nicht in ihrem Interesse sein.
Besonders wenn nicht alle IP dkim machen müssen.
Der Telekom Kunde würde ja durchaus einen Teil der E-Mails bekommen.
Und manchmal auch den anderen Teil, wenn der beim 2. senden über eine ändere IP kommt, die nicht wegen dkim gesperrt ist.
Liebes Telekom Team. Das ist zwar eine Super Idee die Welt zum dkimmen(TM) zu bringen, dann aber doch bitte mit Klartext.
558 your IP . . . requires a DKIM record for this domain see postmaster.telekom.de
und nicht einfach nur die Standard Meldung.
Es ist eure freie Wahl was ihr annehmt. Aber seit doch bitte fair mit den Informationen.
Der Shit Storm wird schon nicht so schlimm, da ihr ja im Prinzip das Richtige wollt.
Außerdem wäre es sozial verträglicher, wenn die Telekom/T-Online die postmaster Seite aktualisieren würde in der sie fälschlicherweise behaupten, sie würden keine DKIM Prüfung machen.
Es ist auch sehr unethisch/dysozial, egoistisch selbst kein DKIM zu bieten, dies aber von anderen zu fordern, gell?
Also: Vorbild sein und T-Online mit dkim bauen.
Auch GMail möcht Dkim ab 2024 haben.
https://support.google.com/mail/answer/81126?hl=de#zippy=%2Canforderungen-an-alle-absender
Das könnte (mit) ein Grund sein für diesen Beitrag:
https://www.borncity.com/blog/2023/12/01/ionos-schafft-smtp-relay-smarthost-zum-15-januar-2024-ab/
Wo liest Du das raus? Da steht eindeutig SPF ODER DKIM für private Postfächer. Nur bei Massenversand ab 5000 Mails sind Änderungen nötig.
Das Thema interessiert mich brennend da unser Provider von sich aus nur SPF Records unterstützt und kein DKIM/DMARC. Ist nicht für Geld oder gute Worte zu haben.
Auf der (Folge-)Seite (https://support.google.com/mail/answer/81126?hl=de#requirements-5k&zippy=%2Canforderungen-an-alle-absender) steht:
"Anforderungen beim Senden von mindestens 5.000 Nachrichten pro Tag
Ab dem 1. Februar 2024 müssen Absender, die mindestens 5.000 Nachrichten pro Tag an Gmail-Konten senden, die in diesem Abschnitt genannten Anforderungen erfüllen.
Richten Sie die E‑Mail-Authentifizierung per SPF **und** DKIM für ihre Domain ein."
"Das Thema interessiert mich brennend da unser Provider von sich aus nur SPF Records unterstützt und kein DKIM/DMARC. Ist nicht für Geld oder gute Worte zu haben."
Die großen Anbieter setzen das jetzt nach und nach durch, was mE auch vollkommen richtig ist.
Langfristig würde ich mir einen Anbieter suchen, diese Technik anbietet.
Wie gesagt, der (professionelle) Versand von E-Mail kostet zukünftig (leider) richtig Geld, weil man das professionell verwalten (lassen) muss.
DKIM ist nicht teuer.
Es sind rund 2kilobyte im DNS für einen TXT record und ein Mail Programm, das den RfC Header bauen kann
Und ist endlich, nach 20 Jahren DKIM durchgrsetzt, kannst Du mit Deinem billigen DSL Ausgang wieder datensparsam E-Mails direkt, ohne smarthost und fester IP. ausliefern. Wie früher.
Ein Träumchen.
mehr Mut zur Verschlüsselung!
Omg es geht doch nicht um 2kb.
Es geht um die Menpower Mailsysteme aufzusetzen und zu erwalten, da die Anforderungen stetig steigen.
Die Manpower für den zusätzlichen Schritt der ordentlichen Konfiguration von DKIM wird natürlich jedes Unternehmen in den Ruin treiben. Der Zeitaufwand ist mit nichts zu rechtfertigen, den es für diese zusätzliche Arbeit braucht (Sarkasmus OFF).
Wenn die Provider Leute wie JohnRipper einstellen vermutlich.
Der konfiguriert sich nen Wolf an den DKIM DNS Einträgen mit öffentlichen Schlüsseln und hat nach wie vor nicht auf dem Schirm, dass der den zugehörigen privaten Schlüssel im MTA hinterlegen muss.
Und jeder, der ihn auf den Fehler hinweis wird mit 'Sorry to say': "Du hast keine Ahnung" weggeschickt.
Dürfte bei vielen Providern und Resellern weniger eine Frage des Personals denn der Automatisierung sein.
Zu DKIM ist auch bei vielen großen Providern nichts in der FAQ zu finden. SPF jetzt schon, weil Google halt scharf gestellt hatte.
Am Rande:
In den verlinkten FAQ von GMail steht auf Deutsch "Richten Sie SPF- oder DKIM-E-Mail-Authentifizierung für Ihre Domain ein."
Da steht nicht SPF *UND* DKIM. Im englischen Text steht "Set up SPF and DKIM email authentication for your domain."
Man sollte wohl alles in Englisch lesen.
Macht es nicht besser:
„Set up SPF or DKIM email authentication for your domain."
Vs
„Set up SPF and DKIM email authentication for your domain."
Ob das „und" überhaupt Sinn macht?
"Und ist endlich, nach 20 Jahren DKIM durchgrsetzt, kannst Du mit Deinem billigen DSL Ausgang wieder datensparsam E-Mails direkt, ohne smarthost und fester IP. ausliefern. Wie früher.
Ein Träumchen."
Und es bleibt auch ein Träumchen. Wer meint, einen eigenen MTA betreiben zu müssen, der kann das gern an einer statischen IP-Adresse aus einem nicht dem DialUp zuzurechnenden Subnetz tun. Ich bin sicher nicht der einzige Betreiber wenigstens eines MTA, der das so sieht.
Es gibt schlicht nicht ein einziges Argument für einen MTA an einer DialUp Verbindung. Ich gehe sogar noch einen Schritt weiter: es gibt nicht ein einziges Argument für einen von einer Privatperson für den privaten Gebrauch betriebenen MTA.
Der SEHR gute Grund ist Datenschutz und der 2. Zuverlässigkeit.
Warum denn willst Du keine E-Mails von Dialups annehmen, die mit DKIM gesichert sind?
Dafür sehe ich -mit DKIM keinen Grund mehr.
Es war früher kein Problem mit einer dialup Nummer E-Mails bei einem offenen Relay bei irgendeiner Uni abzuliefern. So mußte man sich nur wenige Sekunden einwählen.
Bis die Spammer das Design Problem des SMTP missbraucht hatten und die Provider feststellten, das ganz viel Spam von (gekaperten) dial up kamen.
Und so hat man einfach dialup IPs gesperrt. Suuuiuper Idee!
Schau hier, 98% weniger Spam! für 6 Wochenm.
Ach, und dann fiel auf, das Spanner sich keine Mühe mit dem HELO gaben. Sollte gerne der Hostname sein, aber lt. RfC beliebig.
Also hat man den HELO Host Namen gegeb den PTR geprüft. Super Idee und wieder weniger Spam. Zumindest solchen, der das greetings falsch hatte. Für 6 Wochen.
Dann fiel den super schlauen Filter Anbietern auf, das viel Spam,von schlecht gewarten Hosts kamen, die keinen PTR hatten. Sie könnten ja den HELO nicht prüfen, der aber eigentlich eh egal war.
Also wurden solche IP gesperrt die keine Rückwärts Auflösung hatte oder Rückwärts und Forwärts unterschiedlich waren.
Was hat es gebracht?
Nichts, gar nichts, es hat nur die ehrlichen Kunden behindert, denen die Freiheit genommen.
das war hilfloses Rum geschraubte.
Und man musste viel konfigurieren.
Die Rechner Namen waren eigentlich nur erfunden worden um es den Menschen einfacher zu machen, und nicht um zu testen, wie kompetent die anderen waren.
Mit DKIM könnte man das wieder so machen wie es ursprünglich mal war.
Spanner würden gekräckte PCs nichts helfen, weil sie keine gültige DKIM Schlüssel haben, außer vielleicht für diese eine Domain dieses einen PCs. Aber diese eine Domain wäre schnell gesperrt und der Verursacher schnell gefunden und informiert.
Bitte nennen mir einen Grund, warum Du meinst,
das dial böse sind?
Ich vermute Mal, das Du dir nicht genau überlegt hast, was du schreibst und warum überhaupt dialups gesperrt wurden und es -derzeit- leider immer noch eine Gute Idee (TM) ist, dialups zu blocken. Derzeit.
Ich bin auf Deine Argumente gespannt, warum man trotz DKIM (also sogar ohne SPF) keine E-Mails von dialups annehmen sollte.
Ich weiß das meine Ansichten manchmal/manchem seltsam erscheinen, vielleicht auch falsch sind. Aber hier sehe ich, das das Potenzial von DKIM völlig unterschätzt wird.
Ich kann mir keine Argumentation vorstellen, die ergibt, dass man dial ups sperren muss, wenn man zwingend auf DKIM pruft. Bitte gib eine.
Ja, super. Danke.
Unbedingt lesen!
Liebe Telekom.
Siehst Du bei Google wie man gut kommuniziert?
Ohne große Geheimniskrämerei.
"5000 emails pro Tag und DKIM wird nötig"
klare Worte, so muss das laufen.
Steht da nicht!
Bei deiner Lesekompetenz wage ich das zu bezweifeln.
Und vs. oder sollte ein guter ITler unterscheiden können. Fällt dir schwer?
Ich helfe dir: Wie in der Diskussion weiter oben deutlich wird, spricht Google mal davon ab 5.000 Mails/Tag SPF und DKIM zu fordern bzw. SPF oder DKIM zu fordern.
Das macht einen Unterschied und ist keineswegs klar!
Ein guter ITlrr sollte in der Lage sein, einen Satz mit mehr als 3 Worten zu verstehen.
Auch sollte er wissen, das ein "oder" durchaus "und" bedeuten kann, und ein "oder" "und".
Verwirrt?
Man braucht kein SPF, wenn man DKIM hat, weil DKIM besser, genauer ist. AOL arbeitet angeblich so.
Lassen wir doch die Diskussion auf dieser Ebene. Dann muß Günter weniger putzen, weil das für die meisten Leser uninteressant ist.
„Auch sollte er wissen, das ein "oder" durchaus "und" bedeuten kann, und ein "oder" "und"."
Eben kann, aber nicht muss! Da scheint etwas Chaos im Kopf zu sein — auch wenn man sich so manche Beiträge anschaut. Es macht hier eben einen sehr großen Unterschied ob „und" bzw. „Oder" gilt wenn man deine freie erfundene Behauptungen weglässt. Die haben kein Fundament.
Egal ich lasse es jetzt dabei.
Eigentlich betrifft mich das Thema auch gar nicht und es ist auch nicht mein Problem.
Ich muss so doof fragen.
Was meint das Three Letter Acronym(TLA)
OVH?
Na, Google war wohl nicht Dein Freund, wa? Ich helfe Dir mal aus:
"Die Firma OVH hat seinen Ursprung in den Initialen des Spitznamens seines Unternehmensgründers, Oles Van Herman."
Quelle: https://de.wikipedia.org/wiki/OVH#Firma
um noch mehr Verwirrung zu stiften:
telekom.de und T-Online.de sind 2 unterschiedliche Veranstaltungen.
Die Domain T-Online.de hat derzeit für mich als nicht-Kunden keinen DKIM Eintrag,
ist also für den geschäftlichen Einsatz weniger gut geeignet und war es noch nie.
Man sieht das auch nur höchst selten in dem Bereich und wenn, bei 1-Personen-Firmen mit Küchentisch.
Daher sollte der MX für T-Online.de keine DKIM Prüfung machen.
telekom.de hat ca. 4 DKIM Records.
D.h. man kann die E-Mails von der Telekom mit DKIM prüfen und er wird es auch umgekehrt selbst machen.
Aber wer schreibt schon an @telekom.de oder als?
Dieser Thread beginnt mit
This is the mail system at host 12345.mail-out.ovh.net.
The mail system
: host mx00.t-online.de[123.45.678.9] said: 559 5.1.9 (DKIM reject DKIMr) Missing, invalid or non-matching DKIM signature (in reply to end of DATA command)
DKIM soll die Absender Domain prüfen.
Leider fehlt diese hier in der Fehlermeldung, aber
wenn ich AN name@t-online.de schreibe sollte es eh wurscht sein, ob bei meiner Domain ein DKIM-Eintrag klebt.
T-Online hat ja selbst keinen.
Warum T-Online hier meckert möge uns der hier lurkende T-Online- Mitarbeiter mitteilen. Wäre nett.
Der Frager könnte ein Mail-Programm nutzten das DKIM unterstützt. (mailchime etc.) Mit diesem kann er i.d.R. das Schlüssel paar erzeugen oder den privaten Key eintragen. (Ich würde den nicht gerne auf einem fremden Server erzeugen und lagern wollen.). Er könnte er es bei easyDMARC erzeugen ttps://easydmarc.com.
Er muss dann nur einen TXT-Record in den DNS seiner Domain schreiben. Dem DNS ist es wurscht was man da reinschreibt.
Der kennt nix von DKIM.
Solche TXT Records muss man auch für die Lizenzen mancher Produkte anlegen können. Z.B. für Atlassian, Cisco, Barcuda und viele anderen mehr. Die wollen u.U. einen Lizenz-Token im DNS sehen.
Wenn OVH das nicht zuließe hätte man wohl den falschen Provider gewählt, weil das wohl das mindeste ist.
Sie müssen keine spezielles Frontend für DKIM und SPF anbieten.
Natürlich muss man jetzt die E-Mail irgendwie über eine feste, öffentliche IP-Adresse im SPF und korrekten PTR und HELO zum MTA des Empfängers bringen.
Man kann mehrere DKIM-Einträge anlegen, wenn man halt mehrere Mail Programme zum versenden hat.
Alles kein WhooDoo.
Es gibt eine sehr schöne Anleitung, wie man das mit DKIM macht gibt es bei ionos.de.
Das ist mehr als ein Klick, wenn man einen billigen Tarif hat,ja.
Auch bei easydmarc ist das, auf englisch, beschrieben.
HTH
ttps://easydmarc.com/tools/dkim-lookup?domain=Telekom.de
ttps://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/dkim-domainkeys/
"Aber wer schreibt schon an @telekom.de"
Ich. Nicht täglich, aber viel öfter, als ich eigentlich Lust dazu habe. jfyi.
Achso, Du bist das :-)
Was eine rhetorische Frage ist steht bei Wikipedia m
Wenn es SPF gibt, kann man DKIM weglassen.
Geh davon aus, das die 5000er Grenze immer niedriger gesetzt werden wird. Die können das nicht von Heute auf morgen auf alle vorschreiben.
Dein Provider wird Dir ja wohl kaum untersagen, TXT records in Deinen DNS eintrag zu schreiben?
Wenn Dein Provider Dir nicht "den anerkannten Stand der Technik" bieten kann, solltest Du klagen, oder in wegen unlauteren Wettbewerbs bei der Wettbewerbszentrale in Bad Homburg melden (geht auf bei privaten Personen) oder wechseln.
Der wird vielleicht noch mehr Leichen im Keller haben.
Also dkim bei Microsoft geht zwar, aber was zum Teufel machen die da?
Geht es vielleicht noch irgendwie umständlicher?
Klar das viele Unternehmen sich DKIM sparen.
Funktioniert doch auch so.
Noch, ja. Ja,noch.
Und viele Kunden werden sie nicht haben, die nur eine Gmail T-Online Adresse haben.
What?
https://www.deskmodder.de/blog/2023/12/06/t-online-mail-empfangsprobleme/
ich meinte, wer eine T-Online-Adresse hat, hat auch eine 2. Email Adresse.
Und anstatt sich bei T-Online zu beschweren, nimmt man halt die andere Adresse. Geschenkter Gaul und so.
(frag nicht wer da das "Gmail" reingeschrieben hat. Vermutlich mein Gboard oder Bard)..
Eigentlich bezog sich das auf das Thema DKIM und Microsoft?
Eigentlich bezog es auf DKIM und Telekom, obwohl es um DKIM und T-Online ging.
Eigentlich auch darum, das behauptet wurde, das eine DKIM nutzlos sei, und das stand auch noch in dem Teil den Günter geschrieben hatte, obwohl er nur da eine wenig kompetente Person zitierte.
Dann ging es eigentlich darum, warum Google eigentlich auf DKIM künftig bestehen wird, und ob T-Online nicht aus dem gleichen Grund unzuverlässige Provider blockt.
Dann ergab sich, das es vielleicht doch sinnvoll wäre, DKIM zu aktivieren, weil man damit echte Bounces von Spammer Fakes unterscheiden kann.
Dann zeigte sich, das sehr sehr viele Microsoft Postfächer, keinen DKIM Eintrag haben.
Es fragte sich "Warum".
Weil es sehr kompliziert ist, diesen bei MS anzulegen.
ich glaube ich habe alles erfasst, wie wir hier her gekommen sind.
Dabei hat sich ein weiteres, starkes Argument für DKIM ergeben, das man eigentlich wieder E-Mails direkt annehmen könnte, wenn diese mit DKIM gesichert sind…
Der Thread ist aber sehr lang, stimmt.
Aber wenn der dazuführt das es ein paar mehr Systeme gibt, die DKIM machen, weil deren Admins eingesehen haben, dass DKIM sinnvoll ist hat es sich gelohnt.
Mir ging es um die Aussage von dir „ Also dkim bei Microsoft geht zwar, aber was zum Teufel machen die da?"
Ich finde das gar nicht kompliziert. Man muss es aktivieren und zwei DNS (CNAME) Einträge bei seiner Domänen Anbieter hinterlegen, wenn man die Domäne nicht bei MS verwalten lässt. Viel Optimierungspotential sehe ich da nicht, da Header und DNS zusammenpassen muss.
Im Gegenteil, das mit CNAME ist ziemlich clever.
Und eben wegen der zusätzlichen DNS Einträge kann Microsoft das nicht einfach selbstständig aktivieren.
Mal abgesehen davon, dass ich auch MX, SPF sowie weitere Einträge hinterlegen muss, damit man Microsoft 365 Dienste nutzen kann. Da sollte die beiden zusätzlichen CNAMEs jetzt nicht das Problem sein.
Einfacher geht es nur, wenn die Inhalte der Domäne durch MS365 verwaltet werden (NS Einträge auf Microsoft DNS). Dann setzt Microsoft die CNAME selbstständig bei Aktivierung. Microsoft ist aber eben kein Domänenanbieter (wie bspw OVH).
Ich verstehe also die Kritik nicht.
ach so. Im Prinzip ist es einfach, ja.
Ich war vorher auf ner Anleitungsseite von MS, wo das Einrichten extrem aufwändig aussah. Mit Kombo boxen und so weiter.
Hab das nicht getaggt. Sorry, war spät.
Ich bin selber davon betroffen und eigentlich bleibt OVH Nutzern nur auf E-Mail Pro oder Exchange bei OVH umzusteigen oder sich einen anderen Anbieter zu suchen.
Nach längerer Diskussion mit dem Support ist klar: OVH ist sich keinerlei Schuld bewusst. Man soll auf T-Online einwirken das Sie die Sperre wieder aufheben.
Hier ein Auszug aus dem Support Chat:
"As we indicated, this is not an OVHcloud problem, you can send to any other domain and you will see that it works normally. It is the destination provider who requires DKIM which, although it is a correct security method, filters the emails in a very restrictive way.
If you want you can contact that provider for more information, as we indicated, in Exchange this option is enabled if you want you can consider setting it, but, unfortunately, we can not tell you more in this regard as your service works normally, just not with that provider because the destination server has a configuration not compatible with your current service.
It is not a question of selling you any kind of product, we only inform you about the possibility of configuring it on more advanced services and what causes the error.
Thank you for your understanding. "
Das Bedeutet für mich alle Produkte bei OVH zu canceln.