DNS-Blacklisting: E-Mail-Verbot für Unschuldige
Abhilfe nicht immer einfach
Taucht die eigene IP-Adresse zu Recht oder zu Unrecht einmal auf Blacklisten auf, so ist eine Entfernung von allen Blacklisten schier unmöglich. Viele Blacklister erlauben gar keine Entfernung. Andere verlangen, dass der Provider die Entfernung veranlasst. Wieder andere fordern für die Entfernung eine "Gebühr", unabhängig davon, ob man zu Recht oder Unrecht auf die Blackliste gelangt ist.
Vorbildlich verhält sich hier der am weitaus häufigsten genutzte Blacklister Spamhaus.org. Eine einzelne IP-Adresse verschwindet nach wenigen Tagen von der Liste, wenn von ihr keine weiteren Spam-Mails mehr registriert werden. Aus gelisteten Bereichen kann man seine IP-Adresse per Web-Interface einfach entfernen lassen.
Erscheint die regelmäßige Überprüfung der Blacklisten und die Entfernung der eigenen IP-Adresse zu aufwendig, kann oftmals über den offiziellen SMTP-Server des Providers, der mit Authentifizierung abgesichert ist, geroutet werden.
Dabei gibt es allerdings Einschränkungen. Viele Tarife der Internetprovider beinhalten nur wenige E-Mail-Adressen, meist ausschließlich innerhalb einer Domain. Diese kann man fast nie automatisch in eine integrierte Lösung, zum Beispiel Microsoft Small Business Server, einbinden. Vielfach lässt der Provider nur die bei ihm bezogenen E-Mail-Adressen als Absender zu.
Bei der Wahl des Internet-Zugangsproviders sollte darauf geachtet werden, dass man Zugang zu einem SMTP-Server erhält, der auch für das Versenden von E-Mails verwendet werden kann, die als Absender jeden beliebigen Domainnamen akzeptieren, sofern sich der Benutzer korrekt authentifiziert hat. Dieser lässt sich dann als Smart-Host in den hauseigenen SMTP-Server eintragen.
Das ermöglicht Domains auf dem freien Markt zu registrieren. Es ist generell sinnvoller, seine Domains nicht bei seinem ISP zu registrieren, sondern bei einem unabhängigen Domain-Registrar, wie United-Domains, Dopoly oder Key-Systems. Die Kosten liegen dabei bei fünf bis zehn Euro pro Jahr für eine .de-Domain.
Der Internetzugangsmarkt kennzeichnet sich durch stetig fallende Preise. Bezieht man seine Domains nicht beim Zugangsanbieter, kann man flexibler agieren und den Zugang bei Bedarf wechseln. Kosten und administrativer Aufwand für den Transfer der eigenen Domains fallen in diesem Fall nicht an.
Bietet der eigene Provider keine Möglichkeit, seinen SMTP-Server mit eigenen Absenderadressen zu versehen, so können SMTP-Dienste von externen Anbietern, etwa Dnsmadeeasy, preiswert erworben werden.
Nicht ganz so kostengünstig ist die Anmietung eines eigenen Virtual-Unix-Hosts in einem Rechenzentrum. Knapp unter zehn Euro pro Monat kostet bei Hostern wie Hosteurope, Strato oder 1&1 ein virtueller Server. Die IP-Adressen kommen hier aus einem Pool, die nicht an Blacklisten-Anbieter als residential gemeldet werden. Sendet man nicht gerade Millionen E-Mails aus, so ist es äußerst unwahrscheinlich, dass man auf einer Blackliste erscheint.
Diese Variante hat den Vorteil, dass man den Server gleichzeitig als Backup MX oder Secondary-DNS-Server nutzen kann, wenn die eigene Internetverbindung ausgefallen ist. Allerdings muss hier einige Zeit in die Konfiguration investiert werden.
Inhalt
- Teil 1: DNS-Blacklisting: E-Mail-Verbot für Unschuldige
- Teil 2: Problematisches Policy-Based-Blacklisting
- Teil 3: Abhilfe nicht immer einfach
- Teil 4: Fazit
4 von 4 Lesern fanden diesen Artikel nützlich.
Verständlich daher alle Versuche, über technische Methoden zu einer Eindämmung der Seuche zu gelangen.
Leider scheint allen Verwendern von Blacklists entgangen zu sein, dass das Unterdrücken einer E-Mail schlicht rechtswidrig, in den meisten Fällen sogar strafbar ist, denn E-Mails unterfallen dem Postgeheimnis. Wer sich die dreisten Methoden daher nicht gefallen lassen will, der sollte es einfach mit einer Strafanzeige versuchen und zwar gegen Provider und Admin gleichermaßen. Das ist allemal wirkungsvoller, als sich "nur" zu beschweren.
Erst wenn man sie komplett annimmt und DANN verwirft/nicht zustellt hat man ein Problem mit dem Gesetz.
Für gewöhnlich unterscheidet man 3 verschieden Arten im Rahmen der Nutzung von RBLs. Die RBls können beim Eingang einer Mail nahezu in Echtzeit über das DNS-Protokoll auswerten und bei positivem Ergebnis die Annahme der Mail verweigern (1), die Annahme der Mail verzögern (Teergrube, Greylisting)(2) oder die Mail so markieren, dass sie ohne großen Aufwand vom Empfänger gefiltert werden kann (3).
In der Tat handelt es sich nicht um einen Straftatbestand, wenn man die Annahme der E-Mail verweigert. Damit hat man aber noch lange nicht alle Probleme aus der Welt geschaffen.
Was eine "Spam-Mail", also eine unerbetene Werbe-E-Mail ist, entscheidet ausschließlich der Empfänger und nicht eine Liste. Zudem ist das Risiko nicht unerheblich, dass bei berechtigten Massenversendungen "Unschuldige" geblacklistet werden und deren E-Mails nicht zugestellt werden. Das birgt sowohl für das versendende Unternehmen wie auch für den potentiellen Empfänger rechtliche Risiken mit sich.
Einen schönen Abend noch!
und wie???
Es gibt nicht eine UCEPROTECT Liste, sondern 3 verschiedene "Härtegrade" bei uns Level genannt.
Dies ermöglicht unseren Usern zu wählen wie "hart" sie blocken möchten.
Hierbei listet Level 1 ausschließlich IP's die direkt in Spammings verwickelt waren. Die Wahrscheinlichkeit, damit "Unschuldige" zu sperren geht gegen 0.
Richtig ist, daß Level 2 komplette Allokationen listet, wenn innerhalb von 7 eine bestimmte Anzahl an Spams aus diesen Netzen überschritten wird.
Seien wir mal realistisch:
Sofern der Provider auch nur halbwegs auf Zack ist, sollte es nicht möglich sein, daß aus 256 IP's innerhalb von 7 Tagen mehr als 5 wegen Spam auffallen.
Wenn dies doch passiert, dann bedeutet dies fast immer, daß der Provider total versagt hat.
Seriöse Provider wie etwa AOL oder das DFN schaffen es, daß von etwas über 6 bzw. 8 Millionen IP's nur etwa 50 bzw 20 pro Woche bei uns wegen Abuse auffallen.
Verglichen damit sind ACROR und Hansenet absolute Spammerhaeven, bei denen von 2,8 bwz. 1,7 Mio IP's pro Woche immerhin zwischen 12000 und 15000 wegen Abuse auffallen.
Der Kunde ist für die Wahl seines Providers selbst verantwortlich.
Wer nur aufs Geld und nicht auf den Service schaut, kann schnell Schiffbruch erleiden.
Wenn derartige Leute in einer Eskalationsliste landen sind sie nicht "unschuldig".
Sie supporten schließlich den globalen Spam, indem sie einen Provider bezahlen, der gegen Spam nicht mit der gebotenen Konsequenz vorgeht.
Konsequentz bedeutet ganz selbstverständlich, daß der Provider ein paar Präventivmaßnahmen implementiert.
Provider die das begriffen und umgesetzt haben, hatten mit UCEPROTECT noch nie Probleme, sondern einen Partner der ihnen auf Wunsch auch beratend zur Seite stand.
Zum Kommentar von Dr. Wolfgang Hackenberg möchte ich folgendes anmerken:
Das Internet ist ein Netzwerk der Netzwerke. Damit es funktioniert, müssen die einzelnen Netze (Provider und deren User) die Regeln der guten Nachbarschaft einhalten.
Sie müssen dafür sorgen, daß andere Netze durch Sie und Ihre User nicht mehr als vermeidbar belästigt werden.
Wenn Teilnehmer glauben, sich an diese Regeln nicht halten zu müssen, düfen sie sich nicht wundern, wenn sie von der Netzgemeinschaft bzw. dem Teil der derartige Blacklisten nutzt, ausgeschlossen werden.
Sie haben (auch wenn Sie sich das vielleicht wünschen) keinen Rechtsanspruch darauf, daß andere Netze mit Ihnen kommunizieren.
Auch Sie haben das Recht, Ihre Netzwerke gegen Angriffe und Störungen zu verteidigen, und ich vermute das machen Sie auch (Oder verwenden Sie keine Firewall?).
Genauso wenig wie ich Sie verklagen kann, daß ich nicht auf alle Ihre Daten zugreifen kann, können Sie mich nicht verklagen, wenn ich (aus welchen Gründen auch immer) entscheiden sollte, auf meinem Server keine Mail von Ihnen anzunehmen.
UCEPROTECT dokumentiert die Policies aller Listing Levels sehr deutlich.
Es muß also davon ausgegangen werden, daß Leute, die Level 2 oder gar 3 einsetzen, ganz genau wissen, was sie da machen.
Was sollen wir machen? Wir versenden einmal im Jahr unseren Jahresbericht an alle 600 Korrespondenten und ein bis zweimal im Jahr nochmal an ca. 70 Korrespondenten in einer Region eine Einladung zu einem Regionaltreffen.
Von dem Jargon unter Fachleuten wie UCEPROTECT zu dem Thema Spamen verwendet verstehen wir nur Bahnhof. Wir können uns keinen professionellen Webmaster leisten.
Leider zeugt die UCEPROTECT-Homepage davon, dass dieser Betreiber an konstruktiven Lösungen nicht interessiert ist. Das Kontaktformular funktioniert nicht, das Impressum fehlt.
Die Idee mag gut gewesen sein, aber man merkt dem Projekt doch deutlich einen gewissen Amateur-Status an, weshalb ich von der RBL nur abraten kann.
Das bedeutet, sowohl Listings und Eskalationen wie auch die kostenlosen Delistings und Deeskalationen verlaufen vollautomatisch.
Die Blacklisten des Projektes werden kostenlos angeboten, und dürfen sowohl privat als auch kommerziell ohne jede Einschränkung genutzt werden.
Wirklich interessant ist immer mit welcher Selbstverständlichkeit die Leute von uns für ein kostenloses Produkt auch noch kostenlosen Support erwarten.
Weder wir noch unsere Anwender haben die Zeit noch die Muße am Tag einigen Tausend DAU's zu erklären, wie man verhindert, daß der eigene Rechner von Trojans infiziert wird, die ihn zum Teil eines Botnetzwerkes machen.
Es ist auch nicht unser Job "Möchtegern Administratoren" zu erklären, wie man Firewalls so konfiguriert, daß eventuell infizierte PC'c innerhalb einer Firma dann eben nicht die IP des Mailrelays in Blacklisten befördern.
Aus genau diesen Gründen kann man uns über unser Kontaktformular nur dann kontaktieren, wenn man eben NICHT bei uns gelistet ist.
Wir schießen auch nicht übers Ziel hinaus, sondern wir haben die Policies unserer Listen im Juli 2007 letztmalig und noch dazu für damalige Verhältnisse sehr großzügig geändert.
So ähnlich wie es für Autos Grenzwerte für Abgase gibt, haben wir für
Provider eben Grenzwerte für Spammer festgesetzt die sie einhalten müssen,
wenn Sie den Standards von uns und den Usern, die auf allen unseren Levels
blocken, genügen wollen.
Durch die wachsende Zahl an Autos wurde die Schadstoffbelastung immer höher,
und durch die wachsende Anzahl an Daus mit Internetanschluß die Zahl der
Spambots. Die Analogie ist die gleiche.
So ähnlich wie es politisch unsinnig wäre, die Grenzwerte für
Umweltschadstoffe zu erhöhen und das Umweltproblem als erledigt zu
betrachten, wäre es das komplett falsche Signal, wenn wir jetzt die Policies
für die Levels 2 und 3 aufweichen würden, nur weil es am rosa Lack des
größten deutschen Providers ein paar unschöne Kratzer hinterläßt, wenn man
so offen wie wir kommuniziert, daß besagter Provider ganz offensichtlich noch immer nicht verstanden hat, daß man gegen Spammer mit aller Härte durchgreifen muß.
Wir hätten außerdem ein Glaubwürdigkeitsproblem, wenn wir beispielsweise TTNET (Türkei) wegen 15000 Spambots komplett im Level 3 listen, aber gleichzeitig vor 120000 Spambots die in den Netzen der DTAG (Deutschland) zwischen Weihnachten 2009 und Dreikönigstag 2010 aktiv waren, die Augen verschließen würden.
Selbst danach hat die DTAG noch fast einen Monat und etliche Beschwerden wütender Kunden gebraucht, um mit Hängen und Würgen bis ganz knapp unter die Listinggrenze für Level 3 zu rutschen.
Es liegt außerhalb unseres Einflußbereiches, ob Anwender unsere Listen so wie von uns empfohlen oder anderweitig verwenden.
Die Leute müssen kapieren, daß man den eigenen Provider nerven muß, wenn dessen Netzwerke im Level 2 oder gar der ganze Provider im Level 3 landet.
Warum sollten wir uns mit den Endkunden solchen Provider auf Diskussionen die zu nichts führen einlassen?
Das einzige was wirkt ist, wenn solche Kunden ihrem Provider auf die Füße oder in den Hintern treten.
Da immer wieder auch den dummen Spruch mit dem Impressum zu hören bekommen:
An unserem alten Standort in Deutschland waren wir aufgrund akuter Gefährdungen gemäß §20(5)BDSG sowie §35(5)BDSG nicht zur Veröffentlichung unserer Daten verpflichtet.
An unserem neuen Standort gibt es keine Impressumspflicht.
Würden wir freiwillig ein Impressum angeben, würden wir Spammer und Spamsupporter lediglich dazu ermutigen, gegen uns mit fraglichen juristischen Mitteln vorzugehen, wie sie es auch gegen Spamhaus getan haben.
Würden sich unsere Anwender daran stören, daß wir kein Impressum angeben, bräuchten wir uns über unsere Listings wohl kaum zu unterhalten.
Damit wären wir endgültig beim Punkt.
Wir veröffentlichen unsere Listen für unsere sehr dankbaren Anwender.
Potentielle UCEPROTECT-Anwender haben üblicher Weise einige Dinge gemeinsam:
1. Ihre Rechner wurden noch nie von Viren, Würmern oder Trojanern infiziert.
2. Sie haben umfangreiche Sicherheitsmaßnahmen installiert.
3. Sie suchen sich Provider, die gegen Abuser knallhart vorgehen.
4. Sie haben verstanden, daß man Spam nicht mit halbherzigen Methoden ausrotten kan.
Diese Leute können uns jederzeit kontaktieren und wir sind gerne für sie da.
Wir und unsere Anwender sind zufrieden mit UCEPROTECT-Network so wie es ist.
Wer nicht damit zufrieden ist muß unsere Listen nicht einsetzen, wir zwingen niemanden dazu.
Wir sind ein kleiner gemeinnütziger Verein in München mit ca. 600 Korrespondenten deutschlandweit. Einmal im Jahr verschicken wir per Sammelemail einen Jahresbericht an unsere Korrepondenten und ein oder zweimal im Jahr eine Einladung zu einem regionalen Begegnungstag. Das betrifft jeweils etwa 70 Korrepondenten.
Als wir die Nachricht von UCEPROTECT über die Blackliste bekamen fand ich das sehr anständig, dass uns jemand sagte, dass wir überhaupt geblacklisted wurden.
Es gab in dieser Nachricht auch ein Antwortformular. Damit glaubten wir könnten wir leicht den Irrtum beheben, zumal die IP Nummer, die in dem email von UCEPROTECT als unsere genannt wurde, gar nicht unsere IP Nummer war. Umso grösser war unsere Enttäuschung als nach dem Abschicken unserer Nachricht an UCEPROTECT die lapidare Antwort kam: "mit spammers korrepondieren wir nicht".
Was uns wundert ist auch die Tatsache, dass man sich gegen Bezahlung eines Geldbetrages von der Blackliste eher als sonst entfernen lassen kann. Das sieht eher nach Abzocke aus.
Von der genauen Erklärung in der Nachricht von UCEPROTECT ebenso wie von den Leserbeitträgen zu Ihrem Artikel verstehen wir nur Bahnhof. Wir können uns keinen hauptamtlichen Webmaster leisten.
Müssen uns scheinbar deswegen alles gefallen lassen.
Da hat ein kleiner gemeinnütziger Verein zwar keine Möglichkeit einen Administrator zu beschäftigen, glaubt aber trotzdem ein eigenes Mailrelay betreiben zu müssen.
Es darf wohl nicht verwundern, daß dieses unfachgerecht betreute Mailrelay früher oder später für Spamming mißbraucht wird.
Das Internet ist kein sicherer Hafen.
Es liegt in Ihrer Verantwortung, Ihren Anschluß und alle darüber verfügbaren Services so zu sichern, daß sie nicht durch unbefugte Dritte mißbraucht werden können.
Wenn Sie diese Pflicht vernachlässigen, sind Sie nicht "UNSCHULDIG", sondern Sie haben verschuldet, daß Ihr Anschluß zum Spammen mißbraucht wurde.
Unsere Listen laufen zu 99% auf Autopilot.
Wenn unser System einen oder zwei Tage keinen Spam von Ihrer IP sieht, bedeutet dies gar nichts. Ihre Maschine könnte weiterhin Spammen und lediglich gerade keine Fallen bei unserem Projekt treffen.
Sehen Sie sich einmal die teilweise mehrere Seiten langen Historys von spammenden IP's bei den Blacklisten an, die z.B. nach 24 Stunden entlisten.
7 Tage ohne daß wir Spam von Ihnen sehen sind zwar immer noch kein Beweis, aber zumindest ein Indiz dafür, daß Sie Ihre Maschine gesichert haben.
Deshalb wurde dieser Wert als Zeitpunkt für automatische Entfernungen festgesetzt.
Hierzu sind keine zusätzlichen Arbeitskräfte erforderlich, deswegen sind diese Delistings nach 7 Tagen auch kostenlos.
Im Gegensatz dazu müßten wir Personal vorhalten, um Sie manuell zu entlisten.
Zusätzliches Personal verursacht zusätzliche Kosten, welche weder wir noch unsere Benutzer tragen möchten.
Uns und unseren Usern ist es nämlich egal, ob Sie die vollen 7 Tage gelistet bleiben oder nicht.
Sie und Ihr gemeinnütziger Verein haben uns leider auch nicht angeboten, kostenlos rund um die Uhr die IP's anderer "Experten" zu entlisten.
Dies ist der Grund warum wir Expressdelistings an studentische Aushilfskräfte "outsourced" haben.
Wenn Ihnen um 3:XX Uhr Nachts einfällt, daß Sie jetzt eben sofort entlistet werden möchten (irgendwo auf der Welt ist es immer gerade 3:XX Uhr Nachts) dann müssen Sie eben für diesen EXTRASERVICE bezahlen.
Wenn jetzt also jemandem einfällt er müsse sofort entlistet werden, dann kann er über unsere Website einen Auftrag zur sofortigen Entfernung geben und der Student, welcher zu dieser Zeit Entlistungsbereitschaft hat, ist dann gerne behilflich...
Sollten Sie auch so machen:
Wenn Sie sich keinen hauptbeuflichen Administrator für Ihren Server leisten können, fragen Sie doch mal einen Informatikstudenten ...
... vielleicht fällt Ihr Server dann ja künfig weniger wegen Spamming auf...
Von uceprotect's Machenschaften Betroffene haben das von niemandem unterdrückbare Recht, den Verdacht dass uceprotect ein Scammer sein könnte, beim BKA in Wiesbaden zu melden. Die sind von Berufs wegen verpflichtet, der Sache nachzugehen. Dieses Recht wird auch durch Nötigungsandrohungen von uceprotect nicht außer Kraft gesetzt.
Warum?
Na dann nennen Sie mir doch mal ein Gesetz gegen das UCEPROTECT verstoßen hätte?
Und genau damit wären wir beim Thema:
Leute wie Sie, die keinen Plan von Blocklisten, Rechten und Gesetzen haben geben neunmalkluge Ratschläge statt ihr Gehirn einzuschalten, und zu versuchen herauszufinden was das Problem ist und wie man es abstellen könnte.
UCEPROTECT veröffentlicht wahrheitsgemäße Informationen über Mißstände im Internet. Das fällt unter den Begriff Pressefreiheit.
Wir blocken somit auch gar nichts. Das machen die Systeme, die unsere Listen als Abweisungskriterium einsetzen.
Das Problem bei Listings im UCEPROTECT-Level 1 ist, daß der betreffende Systembetreiber eben ohne geeignete Sicherungsmaßnahmen online gegangen ist und sein System direkt in Abuse verstrickt war.
Das ist vergleichbar wie wenn Sie leichtfertig Schulden machen und anschließend in der Schufa gelistet werden.
Der einzige Unterschied ist, daß Sie bei der Schufa nicht innerhalb von 7 Tagen automatisch gelöscht werden, nachdem sie Ihre Schulden bezahlt haben, und Sie haben schon gar keine Möglichkeit, die Sache noch zu beschleunigen wie bei uns.
Wenn Sie dagegen von UCEPROTECT-Level 2 beeinträchtigt sind, dann bedeutet dies, daß Ihr Provider entweder zu dumm ist, Allokationen per BGP vernünftig in Homeuser und Geschäftskunden zu unterteilen oder eben nur viel zu langsam um Abuser zeitnah abzuklemmen.
Sie haben sich Ihren Provider aber selbst ausgesucht, genau wie Sie sich ausgesucht haben, wo Sie wohnen.
Haben Sie jemals etwas von Basel II gehört?
Es ist im Geschäftsleben üblich, daß man Ihre Kreditwürdigkeit auch danach beurteilt, wo Sie wohnen und was es dort für ein Umfeld gibt.
Nichts anderes macht UCEPROTECT-Level 2, halt nur mit IP-Adressen statt mit Straßen und Hausnummern.
Last not least UCEPROTECT-Level 3:
Wissen Sie was ein Glasscherbenviertel ist?
Wenn Sie also (nur weil Wohnungen dort besonders billig sind) freiwillig in einen solchen Stadtteil ziehen, in dem man nach Einbruch der Dunkelheit nicht mehr auf die Straße gehen kann ohne überfallen zu werden, dann ist dies ebenfalls Ihr Problem.
Wenn also Ihr Provider was seine User betrifft mehr auf Quantität als auf Qualität achtet und deshalb billig aber unfähig ist die nötigen Sicherungsmaßnahmen gegen Botnetze umzusetzen, dann ist es alleine Ihr Problem wenn Sie von Systemen, die UCEPROTECT-Level 3 als Abweisungskriterium einsetzen geblockt werden.
Was ist an diesen Dingen so furchtbar schwer zu verstehen?
Eine Strafbarkeit ergibt sich aus der Tatsache, Mißstände zu veröffentlichen schon gar nicht.
Es ist aber bezeichnend, daß Leute wie Sie Unschuldige also uns bezichtigen Straftaten zu begehen und nach dem BKA schreien.
Sie können nur froh sein, daß Sie 1933 noch nicht gelebt haben.
Sie hätten einen der besten Schüler von Dr. Josef Goebbels abgegeben.