[Postfixbuch-users] T-Online whitelisten -- die Argumente

Frank Fiene ffiene at veka.com
Fr Sep 23 07:15:45 CEST 2011


OK, falls das unten wirklich echt sein sollte, kann ich nur sagen: Kann mal jemand den Telekomikern eins auf die Fresse geben?

Wir haben alle unsere Mailserver falsch konfiguriert! Und wir sollen gefälligst die Telekom informieren, wenn sie ihre Mails bei uns nicht mehr auskippen können. Damit machen die sich aber viele Freunde!

Ich kann gar nicht so viel essen wie ich ...



Die folgende Nachricht wird aktuell an T-Online-Kunden versandt:
----------------------------------------------------------------
Dass Sie Schwierigkeiten mit der Mailzustellung hatten, bedauern wir.
Es
gibt bei diesen Vorgängen aber nicht nur zwei Beteiligte, sondern
einen
dritten und dieser ist sogar der entscheidende: Der Betreiber des
Mailsystems, das die Annahme Ihrer E-Mails verweigert.

Falls dieser selbst unsere Mailsysteme für die Einlieferung
blockiert,
ohne uns zuvor auch nur ein einziges Mal angeschrieben zu haben, ohne
dass auch nur eine einzige Beschwerde vorlag, dann will dieser
Anbieter
offensichtlich nicht, dass legitime E-Mails zugestellt werden können. 
Wer hingegen fremdbestimmte Listen zum Blockieren verwendet, ohne die
Folgen der zwingend auftretenden "false positives" durch den Einsatz
einer Whitelist abzufedern, der nimmt - vielleicht ebenfalls
vorsätzlich
eher aber fahrlässig - in Kauf, dass ihn auch legitime E-Mails nicht
erreichen. 

Selbstverständlich sind wir darum bemüht, uns aus den Blacklists
wieder
austragen zu lassen, was uns bei der CBL und Spamhaus auch gelungen
ist.
(Tatsächlich bezeichnete Spamhaus die vorübergehende Listung unserer
Mailserver als fehlerhaft.) Das ist aber nicht bei allen Blacklist-
betreibern der Fall, insbesondere bei SpamCop stoßen wir auf
keinerlei
Gehör. Die Daten von SpamCop dienen u.a. wiederum als Basis für die
Reputation bei Senderbase. 

Eine Möglichkeit des Whitelistings für Mailserver größerer E-Mail-
und
Accessprovider hat der blockierende Provider offensichtlich nicht
vorgesehen, anderenfalls wäre dieses Problem nicht entstanden, denn
unsere Mailserver stehen bereits seit Jahren in der relevanten DNSWL
(siehe unten).

Die Konfiguration eines Mailservers ist jedoch alleinige
Angelegenheit
des Betreibers des jeweiligen Mailservers. Da können wir ihm nicht
hereinreden oder gar zu irgendetwas zwingen; auch dann nicht, wenn es
sich um eine offensichtliche Fehlkonfiguration handelt. 

Einige Anmerkungen zu unseren eigenen Systemen: Unsere Mailserver
werden
von einer zweistelligen Millionenanzahl von Kunden verwendet. Nach
zurückhaltenden Schätzungen sind etwa ein Prozent aller Endnutzer-
Rechner mit Schadsoftware verseucht. Da kann es leider nicht
ausbleiben,
dass über unsere Mailserver - genau wie auch über die Mailserver
anderer
großer E-Mail- und Access-Provider - ein gewisser Anteil "Spam"
versendet wird. 

Aktuelle Lage: Zurzeit werden täglich viele neue Phishing-
Seiten zum Nachteil unserer Kunden ins Netz gestellt und per
Spam - meist angebliche "Sicherheitsmitteilungen" von
T-Online
oder der Telekom - beworben. Hiermit schaffen es die Spammer
trotz der meist in krudem Deutsch verfassten Spam-Mails immer
wieder, sich erneut Zugriff zu Accounts einiger unserer
Kunden
zu verschaffen, wobei sie dann pro Account gleich eine oder
mehrere Homepages buchen und dann pro Homepage 10-100 E-Mail-
Konten anlegen. 

Wir haben in den letzten Wochen den jeweiligen Hosting-Provi-
dern und den Betreibern von Phishing-URL-Filtern Hunderte
solcher Seiten gemeldet. Noch weitaus höher ist die Anzahl
der
von uns gesperrten E-Mail-Accounts und Homepages. Aufgrund
der
derzeit epidemischen Verbreitung von abgephishten
t-online.de-
Zugangsdaten sind wir inzwischen dazu übergegangen, die
Sperren
ohne vorherige Warnung an den verantwortlichen
Account-Inhaber
zu setzen.

Aufgrund der mit dem Blacklisting durch einige Anbieter
verur-
sachten Problematik wurde diese Angelegenheit in die höheren
Etagen eskaliert. Daraufhin wurden verschiedene Maßnahmen
abge-
segnet, die es dieser Mafia deutlich erschwert, die
gestohlenen
Zugangsdaten weiterhin zu verwerten. Siehe hierzu auch den
Artikel http://ct.de/-1341226 im Heise-Newsticker.

Wenn Ihre E-Mails abgewiesen werden, werden Sie bei den
Betrei-
bern dieser unzureichend administrierten Mailsysteme - wenn
Sie
diese überhaupt erreichen - vermutlich genausoviel erreichen
wie wir: Nämlich nichts. Sie sollten aber diejenigen, die Sie
auf anderen Wegen kontaktieren müssen, unbedingt auf dieses
Problem hinweisen, damit diese sich an ihren Support wenden
können. Die betroffenen Empfänger haben einen größeren
Einfluss
auf die eigene E-Mail-Administration als Außenstehende und
eine
sachverständige Administration wird dann auch darauf
reagieren.
Die folgenden Ausführungen mögen als Argumentation hilfreich
sein. 

Allein die t-online.de-Nutzer dürften geschätzt bis zu 15 mio. Nutzer
umfassen, hinzu kommen noch die eine oder andere Million von
Geschäfts- 
kunden mit ebensovielen eigenen Domains. Wer die Annahme der
legitimen
E-Mails eines derart großen Potentials verweigert, dem droht der
Verlust
des E-Mail-Kontaktes zu Kunden, Geschäftspartnern und Mitarbeitern. 

Wenn jemandem eine IP-Adresse als legitimer Mailserver bekannt ist
und
er zum zuständigen Postmaster jederzeit Kontakt aufnehmen kann, würde
er
solche IP-Adressen allenfalls in einem außergewöhnlichen Notfall
sperren. 

An diese Maxime halten wir uns selbstverständlich auch. Es passiert
immer wieder einmal, dass ein Provider Zielscheibe einer größer
angelegten Attacke ist, sodass über dessen System zeitweise mehr Spam
als das übliche "Rauschen" versendet wird. Wer dann - auch noch
vollautomatisiert und ohne manuelle Korrekturmöglichkeit -
"gnadenlos"
(vielleicht besser "gedankenlos") sperrt, leistet einen größeren
Beitrag
zu Zerstörung des Mediums E-Mail als die Kriminellen, derentwegen man
zu
solchen Maßnahmen greifen muss. (Dass Sperren auf IP-Ebene innerhalb
gewisser Grenzen unverzichtbar sind, ist natürlich unbestritten.) 

Wir betreiben - wie oben ausgeführt - ein strenges Abuse-Management.
Sofern jemand von einem unserer Mailserver aus dem unten genannten
Bereich E-Mails empfangen hat, die zu beanstanden wären, sollte
dieser
jene E-Mails bitte mit vollständigem Header an abuse at t-online.de
senden
und unser Abuse-Team wird umgehend entsprechende Maßnahmen ergreifen. 
Unsere an externe Systeme zustellenden Mailserver befinden sich
allesamt
im Netz 194.25.134.0 - 194.25.134.255 (DTOS-ULM-001|194.25.134.0/24)
(http://postmaster.t-online.de/technische-informationen/id_16818628)
und
sind zudem auch in den DNS Whitelists unter
http://www.dnswl.org/search.pl?s=1972 und
http://dnswl.inps.de/query.cgi
eingetragen. Es ist immer eine gute Idee, bei Nutzung einer oder gar
mehrerer "Blacklists" auch eine "Whitelist" einzusetzen. 

Mit freundlichen Grüßen
t-online.de Postmaster
Products & Innovation
Deutsche Telekom AG
T-Online-Allee 1
D-64295 Darmstadt
E-Mail postmaster at t-online.de
----------------------------------------------------------------
Am 20.09.2011 um 16:10 schrieb Peer Heinlein:

> 
> Moin,
> 
> da ich pro Tag 'n Dutzend Anfragen dazu kriege, wie man sich denn am 
> besten verhalten soll:
> 
> Auf
> 
> http://www.heinlein-support.de/blog/news/mailserver-von-t-online-auf-
> rbl-von-spamcop-geblacklisted
> 
> haben wir mal ein bißchen Hintegründe, aber auch die Argumente für oder 
> gegen ein T-Online-Whitelisting zusammengetragen.
> 
> Sollte auch geeignet sein, um das ggf. an allzu wutschnaubende Kunden 
> weiterzuleiten und als Argumentationsgrundlage herzuhalten.
> 
> Schönen Gruß aus Braunschweig,
> 
> Peer
> 
> 
> 
> 
> -- 
> Besuchen Sie uns auf der IT-Security-Messe "it-sa 2011"! 
> 11.-13. Oktober 2011, Nürnberg, Stand 472
> 
> Heinlein Professional Linux Support GmbH
> Linux: Akademie - Support - Hosting
> 
> http://www.heinlein-support.de
> Tel: 030 / 40 50 51 - 0
> Fax: 030 / 40 50 51 - 19
> 
> Zwangsangaben lt. §35a GmbHG:
> HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein  -- Sitz: Berlin
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Frank Fiene / IT-Services
Internet Services / IT-Security
Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com
PGP-ID: 20419C64
PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD  EAB5 BBB4 435F 2041 9C64

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster




Mehr Informationen über die Mailingliste Postfixbuch-users