DNS-Blacklisting sperrt immer mehr Firmen-Mailserver vom E-Mail-Verkehr aus. Oft erfolgt nicht einmal eine Rückmeldung, dass E-Mails grundlos gefiltert werden. ZDNet erläutert, wie man sein Unternehmen dagegen schützt.
Ein Mittel gegen Spam ist das sogenannte DNS-Blacklisting. Dabei werden IP-Adressen von Spammern gesammelt und in eine schwarze Liste eingetragen. Mailserver können diese Listen in Echtzeit per DNS abfragen und Mails von diesen IP-Adressen zurückweisen.
Dies ist vom Prinzip her eine gute Idee. Obwohl Spam damit nicht gestoppt werden kann, bietet es eine wirkungsvolle Einschränkung und reduziert das Spam-Aufkommen erheblich. Doch die neuere gängige Praxis beim Blacklisting führt dazu, dass viele Internet-Nutzer ohne jede Spam-Absicht vom E-Mail-Verkehr ausgeschlossen werden.
Betroffen sind vor allem kleine und mittlere Unternehmen, die eine integrierte Serverlösung verwenden, beispielsweise Microsoft Small Business Server[1] oder Communigate[2]. Eine Internet-Anbindung im Bereich höherer DSL-Geschwindigkeiten ist für KMUs meist ausreichend. Die eigene Domain und die notwendige feste IP-Adresse sind in vielen Small-Business-Tarifen der Internetprovider bereits enthalten.
Jedoch häufen sich immer mehr Fälle, dass E-Mails ohne jegliche Spam-Charakteristik vom Mailer des Empfängers zurückgewiesen oder ohne weiteren Kommentar ins Null-Device verschoben werden. Grund dafür sind hunderte von Blacklistern, deren Methoden teilweise an Sippenhaft oder Kollektivstrafen erinnern.Während in der Vergangenheit nur einzelne IP-Adressen gelistet wurden, erfassen viele Blacklister nunmehr häufig ganze Bereiche. Gelangt der eigene Mailserver mehr oder weniger zufällig in so einen Bereich, wird es unmöglich, E-Mails an viele Domains zu verschicken.
Viele Blacklister, etwa Spamhaus.org[3], vertreten die Meinung, dass grundsätzlich alle dynamischen IP-Adressräume gelistet werden sollten, da ein hoher Anteil von Spam-Mails durch typische Home-User versendet wird, die ohnehin keinen eigenen Mail-Server betreiben. Hobbyisten, die dies trotzdem möchten, müssen sich dann den Luxus einer festen IP-Adresse leisten.
Dies ist vom Grundsatz her nicht falsch, jedoch besteht keine Möglichkeit, realistisch einzuschätzen, ob eine IP-Adresse dynamisch oder statisch ist. Viele Internetprovider sind wegen der knappen IPv4-Adressen gezwungen, mit ihren Pools zu haushalten. Wählt ein Kunde einen Tarif mit fester IP-Adresse oder bucht sie als Option hinzu, erhält er oft eine Adresse aus demselben Pool, den der Provider seinen Kunden mit dynamischer Adresse zuteilt.
Unter anderem lassen GMX, Hotmail und Web.de keine Mails von vermeintlich dynamischen IP-Adressen zu. Gleiches gilt auch für Firmenadressen, wie Microsoft.com.
Noch rigoroser geht es beim Blacklister Uceprotect[4] zu. Hier erfolgt keine Klärung mit den Providern, ob ein IP-Adresspool dynamisch oder statisch ist. Sobald Spam von fünf IP-Adressen aus einem 24-Bit-Adressraum eingeht, wird der gesamte Adressraum gelistet.
Wer das Pech hat, dass mindestens fünf seiner IP-Nachbarn Spammer sind, muss leider auf den Versand von E-Mails an Empfänger, die an Uceprotect angeschlossen sind, verzichten. Um das Problem zu lösen, empfiehlt Uceprotect[5], sich beim Provider zu beschweren und zu verlangen, in ein spamfreies 24-Bit-Subnetz verlegt zu werden. Schließlich bezahle man den Provider für den einwandfreien Zugang zum Internet.
Schlüssig ist diese Argumentation kaum. Im Endeffekt führt der Betreiber der Empfängerdomain die E-Mail-Sperre auf Empfehlung des Blacklisters durch. Der Provider stellt den Zugang zum Internet ohne Einschränkung zur Verfügung.
Viele Blacklister, wie Spamhaus.org oder Dbsl.org[6], erlauben die sofortige Entfernung jeder IP-Adresse aus der Blacklist per Web-Interface. Doch der Nutzen ist beschränkt, da es zu viele Blacklister gibt. Bei Dnsstuff.com[7] kann man die eigene IP-Adresse gegen die wichtigsten davon testen. Jedoch gibt es wesentlich mehr Blacklister als die derzeit 105 bei Dnstuff.com aufgeführten.Taucht die eigene IP-Adresse zu Recht oder zu Unrecht einmal auf Blacklisten auf, so ist eine Entfernung von allen Blacklisten schier unmöglich. Viele Blacklister erlauben gar keine Entfernung. Andere verlangen, dass der Provider die Entfernung veranlasst. Wieder andere fordern für die Entfernung eine "Gebühr", unabhängig davon, ob man zu Recht oder Unrecht auf die Blackliste gelangt ist.
Vorbildlich verhält sich hier der am weitaus häufigsten genutzte Blacklister Spamhaus.org. Eine einzelne IP-Adresse verschwindet nach wenigen Tagen von der Liste, wenn von ihr keine weiteren Spam-Mails mehr registriert werden. Aus gelisteten Bereichen kann man seine IP-Adresse per Web-Interface einfach entfernen lassen.
Erscheint die regelmäßige Überprüfung der Blacklisten und die Entfernung der eigenen IP-Adresse zu aufwendig, kann oftmals über den offiziellen SMTP-Server des Providers, der mit Authentifizierung abgesichert ist, geroutet werden.
Dabei gibt es allerdings Einschränkungen. Viele Tarife der Internetprovider beinhalten nur wenige E-Mail-Adressen, meist ausschließlich innerhalb einer Domain. Diese kann man fast nie automatisch in eine integrierte Lösung, zum Beispiel Microsoft Small Business Server, einbinden. Vielfach lässt der Provider nur die bei ihm bezogenen E-Mail-Adressen als Absender zu.
Bei der Wahl des Internet-Zugangsproviders sollte darauf geachtet werden, dass man Zugang zu einem SMTP-Server erhält, der auch für das Versenden von E-Mails verwendet werden kann, die als Absender jeden beliebigen Domainnamen akzeptieren, sofern sich der Benutzer korrekt authentifiziert hat. Dieser lässt sich dann als Smart-Host in den hauseigenen SMTP-Server eintragen.
Das ermöglicht Domains auf dem freien Markt zu registrieren. Es ist generell sinnvoller, seine Domains nicht bei seinem ISP zu registrieren, sondern bei einem unabhängigen Domain-Registrar, wie United-Domains[8], Dopoly[9] oder Key-Systems[10]. Die Kosten liegen dabei bei fünf bis zehn Euro pro Jahr für eine .de-Domain.
Der Internetzugangsmarkt kennzeichnet sich durch stetig fallende Preise. Bezieht man seine Domains nicht beim Zugangsanbieter, kann man flexibler agieren und den Zugang bei Bedarf wechseln. Kosten und administrativer Aufwand für den Transfer der eigenen Domains fallen in diesem Fall nicht an.
Bietet der eigene Provider keine Möglichkeit, seinen SMTP-Server mit eigenen Absenderadressen zu versehen, so können SMTP-Dienste von externen Anbietern, etwa Dnsmadeeasy[11], preiswert erworben werden.
Nicht ganz so kostengünstig ist die Anmietung eines eigenen Virtual-Unix-Hosts in einem Rechenzentrum. Knapp unter zehn Euro pro Monat kostet bei Hostern wie Hosteurope[12], Strato[13] oder 1&1[14] ein virtueller Server. Die IP-Adressen kommen hier aus einem Pool, die nicht an Blacklisten-Anbieter als residential gemeldet werden. Sendet man nicht gerade Millionen E-Mails aus, so ist es äußerst unwahrscheinlich, dass man auf einer Blackliste erscheint.
Diese Variante hat den Vorteil, dass man den Server gleichzeitig als Backup MX[15] oder Secondary-DNS-Server nutzen kann, wenn die eigene Internetverbindung ausgefallen ist. Allerdings muss hier einige Zeit in die Konfiguration investiert werden.Blacklisting ist vom Prinzip her eine wirkungsvolle Methode, um Spam deutlich einzuschränken und den Spammern das Leben schwerer zu machen. Wird Spam bereits durch eine DNS-Abfrage abgefangen, so kann man den eigenen Spamfilter deutlich entlasten und die Ressourcen produktiver einsetzen.
Problematisch ist jedoch die pauschale Listung von IP-Adressbereichen, die auch von E-Mail-Absendern ohne jede Spam-Absicht genutzt werden. Hier besteht die Gefahr, dass man sehr schnell mit dem hauseigenen Mailserver auf eine oder mehrere Blacklisten gerät. Eine Kontrolle und die Entfernung sind außerordentlich schwierig.
Das liegt an der großen Anzahl von Blacklistern. Es ist nicht nachzuvollziehen, welche Blacklisten-Provider von den Empfänger-Domains verwendet werden. Gäbe es nur wenige, so könnte man sein Anliegen leicht vorbringen und sich von den Blacklisten entfernen lassen.
Die meisten Blacklister sind sich der Problematik durchaus bewusst und weisen auf ihren Webseiten darauf hin, dass sie selbst keine E-Mails blockieren, sondern nur Listen zur Verfügung stellen, die von anderen genutzt werden.
Die Betreiber von E-Mail-Servern machen wiederum geltend, dass sie nur diejenigen E-Mails sperren, die von einer IP-Adresse kommen, die ein renommierter Blacklister identifiziert hat.
Am Ende wird jedoch die E-Mail nicht zugestellt. In vielen Fällen erfolgt nicht einmal eine Rückmeldung an den Absender. Diese Rückmeldung ist jedoch technisch leicht möglich, ohne weiteren Spam durch Backscatter[16] zu erzeugen.
Wirkungsvolles Spam-Filtering muss immer so gestaltet sein, dass der freie E-Mail-Verkehr von jedem Sender zu jedem Empfänger stets gewährleistet ist. Mit den derzeit eingesetzten Methoden der pauschalen Filterung ist dies jedoch leider nicht der Fall.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/