kundenserver.de völlig ahnungslos?
Hanno Müller
> From: Abuse <ab...@kundenserver.de>
> Subject: Re: Spam: Für e-Mails verschicken Geld erhalten! (fwd)
>
> Guten Tag Herr Müller,
>
> der Kunde des Providers "Deutsche Telekom" hat widerrechtlich unseren
> SMTP-Server zu solch einer SPAM-Aktion missbraucht.
>
> Bitte wenden Sie sich daher an den zuständigen abuse desktop des
> Providers: ab...@t-ipnet.de
>
> Vielen Dank.
Einerseits freue ich mich, dass Schlund & Partner jetzt seit einiger Zeit
tatsächlich echte, lebende Menschen am Abuse-Desk hat.
Aber ist es denn für einen der größten Domain-Hoster Deutschlands so
schwer, den eigenen Mailserver gegen solchen Missbrauch zu schützen?
wunder sich
Hanno
--
A Cappella Pop Musik: http://www.sechsrichtige.de/cd.html
Andy Glaser
>
> > Date: Wed, 21 Aug 2002 11:45:16 +0200
> > From: Abuse <ab...@kundenserver.de>
> > Subject: Re: Spam: Für e-Mails verschicken Geld erhalten! (fwd)
> >
> > Guten Tag Herr Müller,
> >
> > der Kunde des Providers "Deutsche Telekom" hat widerrechtlich unseren
> > SMTP-Server zu solch einer SPAM-Aktion missbraucht.
> >
> > Bitte wenden Sie sich daher an den zuständigen abuse desktop des
> > Providers: ab...@t-ipnet.de
> >
> > Vielen Dank.
Genau die gleiche Antwort habe ich bekommen!
> Einerseits freue ich mich, dass Schlund & Partner jetzt seit einiger Zeit
> tatsächlich echte, lebende Menschen am Abuse-Desk hat.
>
> Aber ist es denn für einen der größten Domain-Hoster Deutschlands so
> schwer, den eigenen Mailserver gegen solchen Missbrauch zu schützen?
Das frage ich mich auch.
Wollten die nicht die offenen Relays schließen bzw. diese Server
abschalten?
Andy
Lars Bamberger
> Aber ist es denn für einen der größten Domain-Hoster Deutschlands so
> schwer, den eigenen Mailserver gegen solchen Missbrauch zu schützen?
Offensichtlich schon. Allerdings gibt es inzwischen auch
auth.mail.onlinehome.de.
Ein Bekannter von mir hat erst letzte Woche bei 1und1 gekündigt weil
seine Mails an eine Uni in den USA als Spam abgewiesen wurden. (über
mail.online.de versendet) Jetzt ist er bei AOL. Na klasse.
Lars
--
root@localhost newsmaster@localhost webmaster@localhost
Feed the SPAM-Bots!
Ralf Ramge
> Aber ist es denn für einen der größten Domain-Hoster Deutschlands so
> schwer, den eigenen Mailserver gegen solchen Missbrauch zu schützen?
Ich dachte, dort hätte man inzwischen auf SMTP Auth umgestellt und läßt
nur noch die internen Netze ohne Authentifizierung relayen? Oder war das
eine nur ansatzweise durchgezogene Sache?
--
Ralf Ramge, ralf....@ixpoint.de
iXpoint Informationssysteme GmbH, Rheinstr. 79a, 76275 Ettlingen, Germany
Tel.: ++49-7243-3775-0, Fax: ++49-7243-3775-77
Besim Karadeniz
Ralf Ramge wrote:
> Ich dachte, dort hätte man inzwischen auf SMTP Auth umgestellt und läßt
> nur noch die internen Netze ohne Authentifizierung relayen? Oder war das
> eine nur ansatzweise durchgezogene Sache?
Offensichtlich wird das wohl im größeren Zeitrahmen umgestellt. Wobei
ich nicht wirklich weiss, wieso das alles ein Problem sein soll, SMTP
Auth beherrscht nun wirklich jeder Popel-Mailclient und darüber
informieren kann man doch problemlos per Mailing an alle Kunden.
Demzufolge darf sich meines Erachtens nach der Betreiber auch nicht
darüber beschweren, wenn andere Leute ihren offenen Mailserver
mißbrauchen. Langsam wäre es mal dort zu überlegen, wie lange man der
Community noch auf die Nerven fallen will mit diesem Sicherheitsloch und
dem Theater drumherum.
Besim
--
Besim Karadeniz >> be...@netplanet.org >> PGP (RSA 2.048) 0x0E7E38B9
netplanet - Verstehen Sie mal das Internet! - http://www.netplanet.org/
"So ist die Welt, zwischen Micky Maus und Mazedonien."
--- Thomas Kausch, ZDF heute nacht
Jérôme Waibel
> Offensichtlich wird das wohl im größeren Zeitrahmen umgestellt. Wobei
> ich nicht wirklich weiss, wieso das alles ein Problem sein soll, SMTP
> Auth beherrscht nun wirklich jeder Popel-Mailclient und darüber
> informieren kann man doch problemlos per Mailing an alle Kunden.
[X] Du möchtest als 1st-Level-Hotliner arbeiten und die Trägheit der
Kunden kennenlernen, die ihr einmal eingerichtetes System nie wieder
anfassen wollen/können.
[X] Du möchtest als 1st-Level-Hotliner einigen Hunderttausend Kunden am
Telefon die Einrichtung von SMTP AUTH und den Sinn davon erklären.
[X] Du möchstest als 1st-Level-Hotliner die Beschimpfungen ertragen, wenn du
dem Kunden sagst, dass sein bisher (für ihn) so toll funktionierender
Mailversand aus (für ihn) seltsamen Gründen abgeklemmt wird.
[X] Nein, ich glaube du möchstest das nicht.
Realitycheck please. 1&1/Schlund hat einiges an Kunden, und Kunden sind
extrem träge. Da nützt so ein Mailing gar nix. Schau dir doch mal ein
beliebiges Apache-Log an und stelle fest, wie viele Leute noch Win95
oder einen uralten Explorer oder Netscape verwenden. Es ist nicht jeder
der Update-Fetischist den man gerne hätte. Viele (sehr viele!) Leute tun
sich schwer am Rechner und wollen ihr System am liebsten nie wieder
ändern, wenn es nach Tagen mal funktioniert. Die trauen sich auch nicht
ein simples Häkchen an der Auth-Checkbox im Outlook zu setzen.
> Demzufolge darf sich meines Erachtens nach der Betreiber auch nicht
> darüber beschweren, wenn andere Leute ihren offenen Mailserver
> mißbrauchen. Langsam wäre es mal dort zu überlegen, wie lange man der
> Community noch auf die Nerven fallen will mit diesem Sicherheitsloch und
> dem Theater drumherum.
Du darfst die Spamschleuder-IPs gerne blacklisten wie du willst. Um so mehr
Druck entsteht auf die trägen Kunden, und um so einfacher hat es 1&1 am Ende
dem Kunden gegenüber zu argumentieren, warum er umstellen soll.
PS: Bewerbungen als 1st-Level-Hotliner bitte an jo...@schlund.de :-)
--
Jerome Waibel (noch 15502 Tage zu leben)
http://www.schrom.de/ fon://0177/3373435
"Yes, they certainly know how to keep order..."
Besim Karadeniz
Jérôme Waibel wrote:
> [X] Du möchtest als 1st-Level-Hotliner arbeiten und die Trägheit der
> Kunden kennenlernen, die ihr einmal eingerichtetes System nie wieder
> anfassen wollen/können.
Bekanntes Problem, aber unumgänglich.
> [X] Du möchtest als 1st-Level-Hotliner einigen Hunderttausend Kunden am
> Telefon die Einrichtung von SMTP AUTH und den Sinn davon erklären.
Wie gesagt.. Kunden anschreiben ist der erste Schritt, viele lesen
tatsächlich noch ihre Mails.. dazu eine informierende Website mit
Schritt-für-Schritt-Anleitungen, Screenshots. Das funktioniert.
> [X] Du möchstest als 1st-Level-Hotliner die Beschimpfungen ertragen, wenn du
> dem Kunden sagst, dass sein bisher (für ihn) so toll funktionierender
> Mailversand aus (für ihn) seltsamen Gründen abgeklemmt wird.
im First Level Support kann man sich ein mimosenhaftes Leben nicht
erlauben. ;-)
> [X] Nein, ich glaube du möchstest das nicht.
Sorry, sie müssen. Sie landen permanent auf Shitlisten, sie sind dank
ihrer Kundengröße ein ernstes Problem.
> Realitycheck please. 1&1/Schlund hat einiges an Kunden, und Kunden sind
> extrem träge. Da nützt so ein Mailing gar nix. Schau dir doch mal ein
> beliebiges Apache-Log an und stelle fest, wie viele Leute noch Win95
> oder einen uralten Explorer oder Netscape verwenden. Es ist nicht jeder
> der Update-Fetischist den man gerne hätte. Viele (sehr viele!) Leute tun
> sich schwer am Rechner und wollen ihr System am liebsten nie wieder
> ändern, wenn es nach Tagen mal funktioniert. Die trauen sich auch nicht
> ein simples Häkchen an der Auth-Checkbox im Outlook zu setzen.
Wie gesagt, das sind Dinge, die man sich zu Anfang hätte überlegen
sollen. Aber es gibt unterm Strich keine Alternative, jeder Tag im
bisherigen Zustand macht das Problem nur noch größer.
> Du darfst die Spamschleuder-IPs gerne blacklisten wie du willst. Um so mehr
> Druck entsteht auf die trägen Kunden, und um so einfacher hat es 1&1 am Ende
> dem Kunden gegenüber zu argumentieren, warum er umstellen soll.
Wir dürfen nicht für unsere Kunden pauschal blacklisten, wir halten uns
an die hiesigen Gesetze, die uns das verbieten.
> PS: Bewerbungen als 1st-Level-Hotliner bitte an jo...@schlund.de :-)
Der First Level Support kann nur so gut sein wie der Second Level
Support. ;-)
Hanno Müller
> Realitycheck please.
Realitycheck zurück, da Du ja bei 1&1/Schlund arbeitest. Die Anzahl Eurer
Kunden rechtfertigt nicht Euer offenkundiges Ignorieren des Problems.
In diesem Fall: Offenbar hat einer Eurer Kunden via T-Online Dialin
gespammt. Die Antwort Eures Supports: Wenden Sie sich an T-Online, was
haben wir damit zu tun? Diese Antwort ist _falsch_.
Gruß,
Jérôme Waibel
> Wie gesagt.. Kunden anschreiben ist der erste Schritt, viele lesen
> tatsächlich noch ihre Mails.. dazu eine informierende Website mit
> Schritt-für-Schritt-Anleitungen, Screenshots. Das funktioniert.
Kunden anschreiben gabs schon (reißerischer Titel "Die 1&1 Antispam-
Initiative"), Screenshots gibts auch schon länger unter http://faq.puretec.de.
Quote der Umsteiger: mäßig.
> Wie gesagt, das sind Dinge, die man sich zu Anfang hätte überlegen
> sollen. Aber es gibt unterm Strich keine Alternative, jeder Tag im
> bisherigen Zustand macht das Problem nur noch größer.
Ich stimme dir zu, dieses Thema wurde leider etwas spät angegangen.
--
Jerome Waibel (noch 15502 Tage zu leben)
http://www.schrom.de/ fon://0177/3373435
"Have you, in fact, got any cheese here at all."
Jérôme Waibel
> In diesem Fall: Offenbar hat einer Eurer Kunden via T-Online Dialin
> gespammt. Die Antwort Eures Supports: Wenden Sie sich an T-Online, was
> haben wir damit zu tun? Diese Antwort ist _falsch_.
Moment, was jetzt: T-Online-Dialin oder T-Ipnet-Dialin (= z.B. 1&1-Einwahl)?
Wenn ersteres war es nicht unser Kunde. Wenn letzteres: Abuse für diese
Einwahlen macht tatsächlich die Telekom, 1&1 ist nur Reseller der Einwahl.
--
Jerome Waibel (noch 15502 Tage zu leben)
http://www.schrom.de/ fon://0177/3373435
Ralf Ramge
> Realitycheck please. 1&1/Schlund hat einiges an Kunden, und Kunden sind
> extrem träge. Da nützt so ein Mailing gar nix. Schau dir doch mal ein
Der Kunde ändert erst dann, wenn er ändern *muß*.
Es kann ja irgendwie nicht sein, daß der Provider die Schuld auf den
Kunden schiebt, der Kunde sagt sich "weshalb ändern, geht ja auch so"
und die ganze Sache bewegt sich im Kreis. Der einzige, welcher den
Kreis brechen kann und eigentlich auch dringendst sollte, ist 1&1.
Und das mit dem Supportaufwand ist ein Nullargument.
a) Eure FAQ existiert.
b) Ihr habt ja auch kein Problem damit, ständig neue Supportleistungen
ins Programm zu nehmen. Sei es Exklusiv-Server, Website Creator oder
sonstwas. Wieso auf einmal Angst wegen ein paar tausend Anfragen mit
Standardantworten?
Sorry, aber da muß der Support durch.
Das hört sich für mich alles so an, als ob irgendwo Marketingleute
bestimmen, was gemacht werden soll, die nur den Aktienkurs im Auge
und nur mangelhafte Ahnung von der Technik haben und natürlich auch
keine Rücksprache mit der Technik halten. Hauptsache, ja keinen Kunden
verschrecken oder gar zu Strato treiben?
Ganz zu schweigen davon, daß man in diese Situation erst gar
nicht hätte kommen dürfen - das wäre für einen einzelnen Admin schon
peinlich, für einen Provider dieser Größe ist es dies aber erst recht.
> Du darfst die Spamschleuder-IPs gerne blacklisten wie du willst. Um so mehr
> Druck entsteht auf die trägen Kunden, und um so einfacher hat es 1&1 am Ende
> dem Kunden gegenüber zu argumentieren, warum er umstellen soll.
Es entsteht überhaupt kein Druck auf den Kunden, sondern nur Druck auf
1&1, der an der Situation aber auch nichts ändert. Dem Kunden ist es
egal. Wenn es ihn zu arg nervt, kündigt er notfalls den Vertrag. Nur
machen das anscheinend nur noch nicht genug, damit das Marketing
versteht, daß auch ein Ruf wichtig ist. Unter Umständen sogar wichtiger,
als ein paar Pfennigkunden, die unbedingt eine Weiterleitung in die
andere Ecke des Netzes setzen aber trotzdem ihre Mail über 1&1 relayen
wollen.
Ralf Ramge
> Wenn ersteres war es nicht unser Kunde. Wenn letzteres: Abuse für diese
> Einwahlen macht tatsächlich die Telekom, 1&1 ist nur Reseller der Einwahl.
Ja, das ist richtig. Aber ihr seid letztlich ja doch die Betroffenen.
Eine entsprechende Weitergabe der Beschwerde an die Telekom dürfte hier
wohl schon angesichts eurer Existenz als direkter Kunde etwas mehr
bewirken als so ein simpler Verweis. Wäre vielleicht nützlich, hier eine
entsprechende Policy zu fahren. Ein Beschwerdemanagement hat 1&1
inzwischen ja (afaik), sollte daher wohl nicht das Problem sein.
Besim Karadeniz
Jérôme Waibel wrote:
> Kunden anschreiben gabs schon (reißerischer Titel "Die 1&1 Antispam-
> Initiative"), Screenshots gibts auch schon länger unter http://faq.puretec.de.
> Quote der Umsteiger: mäßig.
Reinknallen, reinknallen, reinknallen, dann umstellen, den Sumpf
abarbeiten und fertig.
> Ich stimme dir zu, dieses Thema wurde leider etwas spät angegangen.
"Etwas spät" ist nett gemeint... in anderen Umfeldern werden weit
größere Operationen innerhalb von wenigen Wochen durchgezogen und die
Thematik ist seit *Jahren* bekannt. Zu mal Mail nun wirklich nicht das
Problem ist, weil man es abrupt ausschalten kann. Schau dir mal
Problemfelder an, wo ein Dienst weiterhin funktioniert, man aber die
Kunden zu einem anderen Dienst zuführen möchte. *Da* dampft die Kacke
wirklich, wenn es um Geld geht. :-)
Axel Potthoff
die bemühen sich doch! Ab 1.9.2002 soll nur noch auth-smtp laufen.
Axel
Joern Abatz
>> In diesem Fall: Offenbar hat einer Eurer Kunden via T-Online Dialin
>> gespammt. Die Antwort Eures Supports: Wenden Sie sich an T-Online, was
>> haben wir damit zu tun? Diese Antwort ist _falsch_.
>
> Moment, was jetzt: T-Online-Dialin oder T-Ipnet-Dialin (= z.B.
> 1&1-Einwahl)?
>
> Wenn ersteres war es nicht unser Kunde. Wenn letzteres: Abuse für diese
> Einwahlen macht tatsächlich die Telekom, 1&1 ist nur Reseller der
> Einwahl.
Das verstehe ich nicht: Es kann doch jemand eine Arcor-Flatrate
haben, und trotzdem seine Domain und Emailadressen bei Euch haben,
und Euer Kunde sein?
Angenommen, der würde anfangen zu spammen, dann wären Arcor und
Ihr zuständig, und zwar beide. Der Mensch, der den Spam bekäme,
hätte kein Verständnis, wenn Ihr ihn an Arcor verweist. Der würde
erwarten, daß Ihr sagt: Danke für den Hinweis, wir kümmern uns drum,
und wenn Ihr dann gemeinsam mit Arcor etwas unternehmt.
Und der zweite Einwand: "1&1 ist nur Reseller", zieht auch nicht.
Vertragspartner des Kunden ist nicht die Telekom, sondern das seid
Ihr.
Jörn
Jérôme Waibel
> Der Kunde ändert erst dann, wenn er ändern *muß*.
Ja, leider.
> Es kann ja irgendwie nicht sein, daß der Provider die Schuld auf den
> Kunden schiebt, der Kunde sagt sich "weshalb ändern, geht ja auch so"
> und die ganze Sache bewegt sich im Kreis. Der einzige, welcher den
> Kreis brechen kann und eigentlich auch dringendst sollte, ist 1&1.
Bei 1&1 sitzen sicher nicht die Leute rum, drehen Däumchen und warten, bis
der allerallerletzte Kunde auf AUTH umgestellt hat.
Es tut sich ja schon was in Richtung Umstellung. Angesichts der Trägheit der
Massen leider nicht sehr schnell. Zugegebenermaßen gäbe es sicherlich auch
Mittel und wege dass es trotzdem noch schneller geht als es jetzt der Fall ist.
> b) Ihr habt ja auch kein Problem damit, ständig neue Supportleistungen
> ins Programm zu nehmen. Sei es Exklusiv-Server, Website Creator oder
> sonstwas. Wieso auf einmal Angst wegen ein paar tausend Anfragen mit
> Standardantworten?
Naja, ein paar Hundert Kunden die Exclusiv-Server haben oder WSC benutzen im
Vergleich zu ein paar Hunderttausend, die Mail benutzen. Da sind schon einige
Zehnerpotenzen an Supportaufwand dazwischen.
>> Du darfst die Spamschleuder-IPs gerne blacklisten wie du willst. Um so mehr
>> Druck entsteht auf die trägen Kunden, und um so einfacher hat es 1&1 am Ende
>> dem Kunden gegenüber zu argumentieren, warum er umstellen soll.
> Es entsteht überhaupt kein Druck auf den Kunden, sondern nur Druck auf
> 1&1, der an der Situation aber auch nichts ändert. Dem Kunden ist es
Doch, es würde z.B. den Technikern bei 1&1 helfen, auf die Marketingleute Druck
auszuüben. Wäre ja auch schon mal eine Hilfe.
Lass uns so einig werden: Du hast im Prinzip recht und 1&1 tut was, wenn auch
langsam.
--
Jerome Waibel (noch 15502 Tage zu leben)
http://www.schrom.de/ fon://0177/3373435
"Bruce here teaches classical philosophy."
Jérôme Waibel
> Das verstehe ich nicht: Es kann doch jemand eine Arcor-Flatrate
> haben, und trotzdem seine Domain und Emailadressen bei Euch haben,
> und Euer Kunde sein?
> Angenommen, der würde anfangen zu spammen, dann wären Arcor und
> Ihr zuständig, und zwar beide. Der Mensch, der den Spam bekäme,
> hätte kein Verständnis, wenn Ihr ihn an Arcor verweist. Der würde
> erwarten, daß Ihr sagt: Danke für den Hinweis, wir kümmern uns drum,
> und wenn Ihr dann gemeinsam mit Arcor etwas unternehmt.
Im konkreten Fall hatte ich den Eindruck, dass die Einwahl (bzw Einlieferung
der Mail bei kundenserver.de) über t-ipconnect erfolgte, also wahrscheinlich(!)
über einen 1&1-Zugang. Das "wahrscheinlich" zu verifizieren (also die Zuordnung
von IP+Einwahlzeitpunkt nach Reseller+Kunde) macht abuse@t-ipconnect.
--
Jerome Waibel (noch 15502 Tage zu leben)
http://www.schrom.de/ fon://0177/3373435
Michael Weber
"Jérôme Waibel" <sch...@gmx.de> schrieb:
> Naja, ein paar Hundert Kunden die Exclusiv-Server haben oder WSC benutzen
im
> Vergleich zu ein paar Hunderttausend, die Mail benutzen. Da sind schon
einige
> Zehnerpotenzen an Supportaufwand dazwischen.
Einigen sind vielleicht die Dimensionen nicht ganz klar um die es hier geht:
http://www.1und1.com/showpress.php3?id=presseartikel63
1&1 ist sicher nicht untätig, gut Ding braucht eben Weil'.
--
Michael (sich täglich frag warum den SPAM...äh...GMX-Account noch behalten)
Christian Holpert
>die bemühen sich doch! Ab 1.9.2002 soll nur noch auth-smtp laufen.
und um den Umstieg etwas zu forcieren haengt jetzt schon vor jedem auf
den nicht authentifizierenden Servern produzierten Bounce folgender
Disclaimer (unabhaengig vom Grund des bounces):
|-- DEUTSCH [english see below]----------------------------------------
|
|Diese Nachricht wurde automatisch erstellt.
|
|Eine E-Mail, die Sie geschickt haben, konnte nicht an alle
|Empfaenger zugestellt werden.
|
|Unten finden Sie die Adresse(n), die nicht zugestellt werden konnte(n)
|und die Begruendung des kontaktierten Mailservers.
|
|Sie haben die E-Mail ueber unser altes, ungesichertes Mail-Relay
|geschickt. Wenn die E-Mail aufgrund von RBL-Eintraegen (z. B.
|http://mail-abuse.org/) zurueckgewiesen wurde, verwenden Sie bitte
|unsere SMTP-Authentifizierung. Informationen, wie Sie Ihr
|Mail-Programm umstellen muessen, finden Sie in den FAQs oder
|kontaktieren Sie den technischen Support.
|
|-- ENGLISH -----------------------------------------------------------
[...]
Christian
--
Christian Holpert - chri...@holpert.de
Internet kostenlos mit XXL, Einwahlnummern und eine FAQ dazu:
http://www.internet-ortstarif.de
Daniel Fuchs
>
> Realitycheck please. 1&1/Schlund hat einiges an Kunden, und Kunden sind
> extrem träge. Da nützt so ein Mailing gar nix. Schau dir doch mal ein
> beliebiges Apache-Log an und stelle fest, wie viele Leute noch Win95
> oder einen uralten Explorer oder Netscape verwenden. Es ist nicht jeder
> der Update-Fetischist den man gerne hätte. Viele (sehr viele!) Leute tun
> sich schwer am Rechner und wollen ihr System am liebsten nie wieder
> ändern, wenn es nach Tagen mal funktioniert. Die trauen sich auch nicht
> ein simples Häkchen an der Auth-Checkbox im Outlook zu setzen.
Mal neugierhalber... Ist SMTP-Auth großartig anders als SMTP after
POP...?
Das geht ja mit meinem Uralt-Netscape (prima Mailprogramm) auch
wunderbar...
Daniel
Jérôme Waibel
> Mal neugierhalber... Ist SMTP-Auth großartig anders als SMTP after
> POP...?
Klar. Bei SMTP-Auth klingelt einer bei dir an der Tür, sagt "Ich bin der
Klaus", du kennst den Klaus und lässt ihn in deine Wohnung. Bei SMTP after POP
klopft jemand am Fenster, sagt "Ich bin der Klaus", und du lässt an deiner
Wohnungstür 2 Minuten lang jeden rein, die die gleiche Jacke wie Klaus trägt.
--
Jerome Waibel (noch 15502 Tage zu leben)
http://www.schrom.de/ fon://0177/3373435
"Aristotle, Aristotle was a bugger for the bottle..."
Daniel Fuchs
>
> Daniel Fuchs <dfu...@stud.uni-goettingen.de> wrote:
>
> > Mal neugierhalber... Ist SMTP-Auth großartig anders als SMTP after
> > POP...?
>
> Klar. Bei SMTP-Auth klingelt einer bei dir an der Tür, sagt "Ich bin der
> Klaus", du kennst den Klaus und lässt ihn in deine Wohnung. Bei SMTP after POP
> klopft jemand am Fenster, sagt "Ich bin der Klaus", und du lässt an deiner
> Wohnungstür 2 Minuten lang jeden rein, die die gleiche Jacke wie Klaus trägt.
>
Sehr hübsch veranschaulicht... Aber konkret, wofür steht dem Klaus seine
Jacke (Genitivus Niedersachsiensis) denn hier, für eine IP? Die gibt's
doch nur einmal...
Daniel
Jens Mander
> POP...?
> Das geht ja mit meinem Uralt-Netscape (prima Mailprogramm) auch
> wunderbar...
Ja das ist es durchaus. Bei SMTP AUTH wird nach EHLO eine Zeile der Art AUTH
PLAIN oder LOGIN gesendet, danach Benutzername und Passwort. Bei SMTP after
POP müssen lediglich die Mails in einem bestimmten Zeitraum vor dem Versand
von derselben IP-Adresse aus abgeholt werden; dass dies zum einen
unprofessionell und zum anderen eine unangemessene zusätzliche Belastung der
Mailserver darstellt muss hoffentlich nicht weiter ausgeführt werden. Soviel
zum (angerissenen) technischen Hintergrund, jetzt das Wesentliche:
Problem 1: SMTP AUTH wird von einiger (kommerzieller!) Mailsoftware - bspw.
Notus Lotes - nicht unterstützt. Den Leuten plausibel zu machen, dass Ihre
kostenpflichtige Software leider nicht auf der Höhe der Zeit und somit nicht
weiter einsatzfähig ist, dürfte nicht ganz ohne sein.
Problem 2: Eine direkte SMTP-Anbindung (oder von mir aus auch SMTP Queue)
ist ebenfalls nicht über SMTP AUTH realisierbar, da in hier keine POP-Boxen
existieren; Benutzername und Passwort einer POP-Box werden jedoch für die
Authentifizierung benötigt.
Du siehst, es ist alles nicht so baby-kacka-einfach wie es einige Leute hier
gerne hätten.
Hanno Müller
> eine IP? Die gibt's doch nur einmal...
Wird aber von Dail-Up Providern wie T-Online für den nächsten Kunden
recycelt. Wenn Du die Verbindung trennst, hat der nächste Kunde die IP, die
Du damit abgegeben hast (auch bei DSL).
Ein Missbrauch bei SMTP-after-Pop ist zwar schwierig, aber wenn Dein
Nachfolger ein Spammer ist, der danach zufällig gerade im after-Pop
Zeitfenster Deinen Mailserver findet, geht's ab. Aber wie gesagt: Diese
Gefahr ist eher gering.
Nebenbei:
Interessanter ist, dass ich als Dial-Up Kunde der Nachfolger von jemanden
werden kann, der vor mir unter dieser IP einen Tauschknoten in einem
P2P-Filesharing-Netz betrieben hatte. Dann wird mein Rechner mit zig
P2P-Requests beschossen, weil die anderen P2P-Nutzer in ihren Suchknoten
immer noch die Dateilisten meines Vorgängers haben. Habe von Leuten
gelesen, die behaupten, dass ihnen dadurch die komplette Bandbreite
ihres DSL-Zugangs zugebraten wurde...
Gruß,
Thomas Hochstein
> Mal neugierhalber... Ist SMTP-Auth großartig anders als SMTP after
> POP...?
Ja. SMTP-after-POP läßt sich weitgehend trivial implementieren; man
muß ja nur dafür sorgen, daß vor jedem Mailversand ein Mailabruf
stattfindet. Falls das Programm das nicht eingebaut hat, macht man das
eben mit minimalen Qualitätseinbußen selbst.
SMTP-Auth hingegen ist ein Protokoll, das entsprechend implementiert
werden muß.
> Das geht ja mit meinem Uralt-Netscape (prima Mailprogramm) auch
> wunderbar...
Das wundert mich nich. :-)
-thh
PS: Dafür ist auch der Sicherheitsgewinn je nach Implementation bei
SMTP-after-POP minimal.
--
FAQ der Newsgroup: http://home.snafu.de/laura/de.admin.net-abuse.mail.txt
Adreßfälscher-FAQ: http://www.gerlo.de/falsche-email-adressen.html
E-Mail-Header-FAQ: http://www.th-h.de/faq/headerfaq.html
Viren-/Würmer-FAQ: http://www.th-h.de/faq/hybris.html
Anders Henke
> Mal neugierhalber... Ist SMTP-Auth großartig anders als SMTP after
> POP...?
Ja.
Bei smtp-auth authentifiziert sich der MTA ueber ein "neues" smtp-Kommando,
bei smtp-after-pop soll der Server einfach davon ausgehen, dass eine
POP-abrufende IP in der naechsten halben Stunde auch ruhig relayen darf.
smtp-auth ist auch "erst" seit 1999 definiert und noch bis 2001
wurden disfunktionale smtp-auth-Clients (aka Outlook Express 4)
verteilt.
> Das geht ja mit meinem Uralt-Netscape (prima Mailprogramm) auch
> wunderbar...
Es gibt mehr Softwares als Netscape und Outlook - und spaetestens
wenn du $bekanntem dabei helfen willst und feststellst, dass er
seit Jahren mit seinem Pegasus 2 so zufrieden ist, dass er es seit
1998 nie upgedatet hat und dass dort natuerlich alle Dialoge
zum Thema smtp-auth komplett fehlen, merkst du das :-)
Anders
--
http://sysiphus.de/
Anders Henke
> "Jérôme Waibel" <sch...@gmx.de> schrieb:
>> Naja, ein paar Hundert Kunden die Exclusiv-Server haben oder WSC benutzen
> im
>> Vergleich zu ein paar Hunderttausend, die Mail benutzen. Da sind schon
> einige
>> Zehnerpotenzen an Supportaufwand dazwischen.
> Einigen sind vielleicht die Dimensionen nicht ganz klar um die es hier geht:
> http://www.1und1.com/showpress.php3?id=presseartikel63
Schlechtes Beispiel. Das zeigt in erster Linie eine Pressemitteilung
die jemand geschrieben hat, der den Unterschied zwischen "Mail verschicken"
und "Mail empfangen" nicht richtig auf die Reihe bekommen hat und
die einzelnen Punkte nicht klar argumentieren konnte.
Der wichtigeste Teil ist eher der letzte Absatz - da steht naemlich:
"Die 1&1-Gruppe ist mit 1,8 Millionen Kundenverträgen und über zwei
Millionen registrierten Domains ein führender Internet-Provider in
Europa. 1&1 ist auf den Märkten in Deutschland, Großbritannien und
Frankreich präsent und stellt Konsumenten, Gewerbetreibenden und
Freiberuflern ein umfassendes Spektrum ausgereifter Online-Anwendungen
zur Verfügung."
Sprich: man hat Millionen von Kunden in ganz Europa umzustellen.
Allein die Koordination "wie sagen wir's den Kunden" ueber die
drei Laender und hunderte von Resellern hinweg frisst enorm viel Zeit
und braucht sehr viel an Arbeit. Selbst wenn nur ein Promille
der Millionen von Kunden irgendwelche MTAs hat, bei der eine Umstellung
Spezialloesungen erfordert oder bei denen nach langer Recherche raus
ist, dass sie einfach nix mit smtp-auth koennen (wie z.B. Lotus Domino ...),
sind das ein paar Tausend Faelle, die die Hotlines "mal eben so nebenbei
abfackeln" sollten.
> 1&1 ist sicher nicht untätig, gut Ding braucht eben Weil'.
Es ist zuwenig Druck auf die Kunden da.
Die Technik drueckt zwar mit all ihren Mitteln herum
(sonst koennte ich mir z.B. die Fehlermessage aus
<0ej7mu4tdg403oldm...@4ax.com> oder den TXT-Eintrag
zu moutvdom.kundenserver.de kaum erklaeren), aber irgendwie scheint
das Marketing ausgesprochen schlechte Druck-Qualitaeten gegenueber
Bestandskunden zu besitzen :-)
Irgendwann wird auch das Marketing das ganze begreifen muessen.
In <pan.2002.08.21....@hugin.sweetapple.de> steht
z.B., wie jemand bei 1&1 gekuendigt und den Provider gewechselt hat,
weil er seine Mails an eine USA-Uni nicht mehr loswurde - noetig
waere es nicht gewesen, smtp-auth-Server gibt es bei 1&1 schliesslich
seit einem Jahr und darueber verschickte Mails nehmen sichere,
nicht geblacklistete Wege.
Entweder klappt da die Kundeninformation nicht gut genug oder das
Marketing zieht es vor, dies erst ueber die harte Tour (Kuendigungszahlen,
Aufarbeiten von Imageschaeden) mitzukriegen.
BTW: Eigentlich SEHR gute Kundendokumentation findet man auch unter
http://mailinfo.kundenserver.de/, wer "Outlook und Netscape reichen"
dachte, wird da eines besseren belehrt. Auch Verweise auf verschiedene
Unix-MTAs oder Seltsam-Faelle wie "Norton Antivirus 2000 als Mailrelay"
oder "in Mercur-Server ESMTP aktivieren, damit die smtp-auth-Optionen
konfigurierbar sind" stehen drin.
Und fuer Hardcore-Faelle gibt es da auch noch Links auf je ein
Programm fuer Windows (SMTPAuth) und MacOS (Baton), das als lokaler MTA
auf localhost Mails annimmt und per smtp-auth an das Providerrelay
weiterschickt; damit sollte man dann eigentlich auch die letzte Software
smtp-auth-faehig bekommen.
Anders
--
http://sysiphus.de/
Marc Haber
>Einerseits freue ich mich, dass Schlund & Partner jetzt seit einiger Zeit
>tatsächlich echte, lebende Menschen am Abuse-Desk hat.
>
>Aber ist es denn für einen der größten Domain-Hoster Deutschlands so
>schwer, den eigenen Mailserver gegen solchen Missbrauch zu schützen?
Warum postest Du das auch nach de.comm.software.mailserver?
Received:-Header des Spams? Ging es über die Spamschleuder?
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29
Nico Schumacher
>
> Wird aber von Dail-Up Providern wie T-Online für den nächsten Kunden
> recycelt. Wenn Du die Verbindung trennst, hat der nächste Kunde die IP, die
> Du damit abgegeben hast (auch bei DSL).
Ich frage mich die ganze Zeit was an: Nutze den SMTP-Server Deines
Einwahlproviders so schwierig ist ? HAt er keinen -> wechsel, gibt er
mir nciht die Moeglichkeit mit eigender Domain zu posten -> wechsel.
> Ein Missbrauch bei SMTP-after-Pop ist zwar schwierig, aber wenn Dein
> Nachfolger ein Spammer ist, der danach zufällig gerade im after-Pop
> Zeitfenster Deinen Mailserver findet, geht's ab. Aber wie gesagt: Diese
> Gefahr ist eher gering.
ACK.
> Nebenbei:
> Interessanter ist, dass ich als Dial-Up Kunde der Nachfolger von jemanden
> werden kann, der vor mir unter dieser IP einen Tauschknoten in einem
> P2P-Filesharing-Netz betrieben hatte. Dann wird mein Rechner mit zig
> P2P-Requests beschossen, weil die anderen P2P-Nutzer in ihren Suchknoten
> immer noch die Dateilisten meines Vorgängers haben. Habe von Leuten
> gelesen, die behaupten, dass ihnen dadurch die komplette Bandbreite
> ihres DSL-Zugangs zugebraten wurde...
NaJa, das nicht, aber ich hatte Firwalllogin mit Mailzustellung mal zum
testen auf meinem Homeserver aktiv, das wurde zum WE immer lustig. Man
waehlt sich Freitags ein und schon gehts los: Port 4465 "Angriffe" ich
hab den rechner dann spasseshalber mal online gehalten, bei
gleichbleibender IP bis Sonntag immer noch Konnektversuche
Nico
Hanno Müller
> Warum postest Du das auch nach de.comm.software.mailserver?
Weil das Schließen eines offenen Mailserver etwas ist, was die Leser von
de.comm.software.mailserver quasi als Hausaufgabe erledigen.
> Ging es über die Spamschleuder?
Ja. Der Spam wurde via kundenserver.de verschickt.
Thore Schmechtig
> Aber ist es denn für einen der größten Domain-Hoster Deutschlands so
> schwer, den eigenen Mailserver gegen solchen Missbrauch zu schützen?
Hey, 1&1 ist sich seit mindestens Sommer 2000 zu fein, einen Newsmaster
einzustellen. Der dortige Newsserver dümpelt führerlos vor sich hin,
wenn man diesbezüglich jemanden anschreibt, meldet sich nur ein (IMHO
ungewollt komischer) Autoresponder... :/
--
Und wech
Thore Schmechtig (star...@carcosa.de)
Hanno 'Rince' Wagner
In de.admin.net-abuse.mail Hanno M?ller <sockp...@hanno.de> wrote:
> Aber ist es denn für einen der größten Domain-Hoster Deutschlands so
> schwer, den eigenen Mailserver gegen solchen Missbrauch zu schützen?
Gegeben sei: Keine inhaltliche Zensur von Mails.
Aufgabenstellung: Verhindern Sie Spam bei gleichzeitiger Zulassung von
erwünschten und legalen Newslettern.
Viel Spaß
Ciao, Hanno
--
Anders Henke
> Marc Haber wrote:
>> Warum postest Du das auch nach de.comm.software.mailserver?
> Weil das Schließen eines offenen Mailserver etwas ist, was die Leser von
> de.comm.software.mailserver quasi als Hausaufgabe erledigen.
Hmmmm.
Das Problem ist nicht Know-How, die smtp-auth-Server gibt es seit einer
halben Ewigkeit.
Insgesamt muss man da differenzieren: es gibt nicht den "Herrn 1&1",
der für alles zuständig ist und bei viel Arbeit auch noch den
Herrn Hochdruck ("wir arbeiten mit Hochdruck am Problem") dazunimmt,
sondern es gibt selbst bei duemmster Ansicht mehrere Gruppen.
-Techniker, die sichere Relayhosts zu betreiben wissen
-Hotliner, die die Kundenanfragen ausbaden duerfen
-Marketing, das den Umstieg den Kunden schmackhaft machen soll
Das sind drei Gruppen, die mit konkurrierenden Interessen (liegt in
der Natur der Sache) arbeiten:
-das Marketing moechte den Kunden ja nie etwas zumuten (koennte ja
jemand kuendigen) und schiebt alle unangenehmen Dinge so weit
wie moeglich vor sich her.
-die Hotline kennt ihre Lieblingskunden, die eine Umstellung nicht
auf die Reihe kriegen werden oder an denen sie sich den Mund fusselig reden,
dass z.B. ihr Nokia Communicator kein smtp-auth kann und eben Pech
gehabt hat.
-die Techniker wollen die alten Schleudern seit Jahren loswerden,
lassen die alten Schleudern mit Load > 5 vor sich hinkotzen und
verweisen jeden aufschlagenden Hotliner auf "nimm gefaelligst endlich
smtp-auth, die Rechner werden supportet und sind deutlich schneller".
Beim kleinen Provider um die Ecke kriegt man diese Gruppen oft in Form
von einer oder zwei Personen, da gibt es praktisch keine Diskussion um
die Dringlichkeit. Ab einer gewissen Firmengroesse wird das ganze immer
zu einem behaebigen Koloss, bei dem eine Wende in voller Fahrt leider
auch mit ein paar Kilometern Bremsweg verbunden ist, wenn man alle Gruppen
zufriedenstellen will. Natuerlich koennte man mal eben ein paar
Stahlschienen in den Motor werfen und darueber ein Stop erzwingen;
ob das wirklich eine gute Idee ist, steht auf 'nem anderen Blatt.
Fuer einige Leute geht die Umstellung nicht schnell genug, fuer andere
Leute geht es entschieden zu schnell.
Wenn mittendrin noch andere Probleme auftauchen, muessen diese auch
noch irgendwie transparent geloest werden; z.B. gibt es gerade ein paar
dsbl-unconfirmed-Listings zu allen per moutng.kundenserver.de
erreichbaren Rechnern, nach denen jemand auf seiner DSL-Leitung ein
offenes Relay betreibt und alle Mails per smtp-auth ueber 1&1 relayen
laesst. Relaykontrolle ausschliesslich per smtp-auth loest nicht alle
Probleme, sondern schafft auch neue.
>> Ging es über die Spamschleuder?
> Ja. Der Spam wurde via kundenserver.de verschickt.
Auf kundenserver.de hoert doch 80% vom ganzen Rechenzentrum,
bitte sei etwas genauer :-)
Ging es ueber die unter moutvdom.kundenserver.de erreichbaren Rechner
oder ueber die als moutng.kundenserver.de bekannten Rechner?
Die ersteren sind Outgoing der halboffenen Relays, zweitere
sind "trusted" (ip-verified oder smtp-auth, in jedem Fall eindeutig
trackbar).
Anders
--
http://sysiphus.de/
Anders Henke
> Dann muß 1&1 eben mehr Hotliner einstellen.
Afaik sind ein paar Hundert Hotliner beschaeftigt; natuerlich bringt
das nichts, wenn das Marketing "ein grosses Mailing gleichzeitig an alle"
herausbringt und daraufhin die Hotlines fuer zwei Wochen komplett
ueberlaufen sind.
Keine eingefuehrte Aenderung war bislang so einschneidend wie die
Umstellung auf smtp-auth - und das schlaegt entsprechend auch viel
staerker auf als alle vorher bekannten Faelle. E-Mail ist =das= Medium
und der meistgenannt Grund "warum bist du im Internet", entsprechend
sensibel reagieren viele Leute auch auf "bald geht E-Mail nicht mehr
wie gewohnt".
Wenn man Loadbalancing fuer Hotliner einfuehren koennte, waere das
kein Problem; also muss z.B. das Marketing lernen, bestimmte Mailings
nicht "an alle gleichzeitig", sondern z.B. in 100000er-Paeckchen zu
verschicken. Natuerlich lernt das Marketing das erst, nachdem die
Hotlines dreimal klinisch tot und ueberlastet waren.
Ja, das sind Fehler in der Organisation bei 1&1; in den letzten
Versuchen wurden diese Fehler aber immer geringfuegiger und persoenlich
hoffe ich immer noch, dass die ganz grossen Spamprobleme (halb-offene
Relays, Abusehandling, offene Kunden-Formmail-Skripte) aus dem
1&1-Rechenzentrum noch in diesem Jahr dauerhaft verschwunden sind.
Man ist auf gutem Weg dahin, aber Wunder sind nicht zu erwarten.
> Und wenn sie kein Geld haben, dann müssen sie die Preise erhöhen.
Im letzten Providertest hat die c't festgestellt, dass weder 1&1 noch
Strato in allen Bereichen die "Billigheimer" sind; da die Firmen auch
in der "Internetkrise" noch gut dastehen und Gewinn machen, duerfte
das Thema Geld kein Problem sein.
> Ich kriege das Kotzen, wenn Provider wie 1&1 mit absoluten Dumping-
> Pfennig-Preisen im großen Stil kunden werben und andere Provider ruinieren
> (die mehr Wert auf Qualität legen und daher mehr Geld brauchen),
> um anschließend genau dieses als "Argument" zu hören.
Aehem, 1&1 und Strato haben sich gegenseitig immer wieder im Preis unter- und
in Leistungen ueberboten, die "kleineren" Provider wurden in dem Kampf
eher ignoriert. Und wenn man sich die eingesetzte Technik genauer
anschaut, ist Qualitaet auch kein grossartiges Argument.
Der grosse Vorteil der kleinen Provider ist der persoenliche Draht: man
hat "den Admin" immer gleich am Telefon und bekommt auf individuelle Probleme
auch mal schnell eine nur fuer dich gebaute Trickserei geliefert. Dieser
persoenliche Draht macht deinen Job so abwechslungsreich, auf der
anderen Seite verhindert der "persoenliche Kontakt, immer erreichbar"
dass du mehr als x Kunden auf gleichbleibend hohem Standard bedienen kannst.
Wenn man als "Provider von nebenan" dann mehr Kunden halten moechte,
skaliert das ganze normalerweise linear auf maximal ein Dutzend
Leute, bevor man auf Kommunikationsprobleme stoesst. In jedem Fall
muessen die relativ wenigen Kunden aber deinen Lebensunterhalt
finanzieren - und das treibt deine Preise "hoch".
"Mehr Kunden" geht dann zumeist nur in "klassischen" Firmenstrukturen mit
strikter Aufgabentrennung; damit geht aber dann auch schnell der
"persoenliche Kontakt" verloren, der die kleinen Provider oft so
attraktiv macht.
"Viel mehr" geht dann erst mit weiter Automatisierung,
Abteilungsstrukturen und Hierachien bei praktisch komplettem Verzicht
auf den "persoenlichen Kontakt" - und das ist der Bereich, in dem sowohl
Strato wie auch 1&1 agieren. Es gibt da keinen individuellen Service und
wer "seinen persönlichen Berater" erwartet, hat ins Klo gegriffen.
Glaub's einfach: die Leute, die sich bei dir ueber "hohe Preise"
(der Leistung gerechte Preise) aufregen, beschweren sich bei 1&1
und Strato ueber "miesen Service und massive Inkompetenz" (Hotliner
springt nicht nach den Wuenschen und Vorstellungen des Kunden herum).
> Ihr macht einen ruinösen Preiskampf und anscheinend seid Ihr zu billig
> kalkuliert. Aber da ist es doch jetzt eine absolut übele Sache mit dieser
> Begründung jetzt auch noch die anderen Providern das ausbaden zu lassen
> und die dadurch entstehenden Schäden ihnen auch noch aufs Auge zu drücken!
Bitte blocke moutvdom.kundenserver.de mit einer eindeutigen
Errormessage:
"Ask support#purtec.de how to switch to smtp-auth. Don't bother me".
Zu erwartender Schaden an Unschuldigen: null.
Jeder wurde informiert und selbst in nanae werden "please take $moutvdom-ip
off any block list, it is my mail server"-Postings passend
(siehe <slrnajhb8j.s6n...@ixs.bb.bawue.de>) kommentiert und
mit harten Worten zurechtgewiesen.
> Erst darf ich mich durch Eure Billig-Preise ausstechen lassen, dann darf
> ich noch Euren Mist ausbaden eben weil ihr zu billig seid. Es kostet mich
> arbeit, meine Kunden gegen Eure Server zu schützen (und bislang habe ich
> auch schon weit über 100 1&1-Kunden (kostenlos) erklärt, was das Problem
> ist).
Du ahnst nicht, wie oft die 1&1-FAQs komplett gegrabbt und von einigen
Schwarzen Schafen unter den kleinen Providern mal eben nach etwas
search&replace als "unsere Kundendokumentation" verkauft wurden; Links
auf die allgemeineren Erklaerungen wie "Passwortschutz per .htaccess"
haben inzwischen auch Einzug in verschiedene Howtos und Linklisten
gehalten, so dass "die Allgemeinheit" durchaus auch immer mal wieder
von der (kostenlosen, oeffentlich einsehbaren) Arbeit der 1&1-Leute
profitiert. Es sind keine Welten, aber die FAQs wurden schon an vielen
Stellen gelobt und haben sich auch zu einem heimlichen Doku-Dauerbrenner
entwickelt, ohne dass sie grossartig vom Marketing ausgeschlachtet
werden.
> Und als Dank dafür wechseln Kunden noch zu 1&1 weil die so schön
> billig sind. Das ist doch widerlich.
Keine Sorge: die gleichen Kunden schreien dann quer in allen Newsgroups
ueber den "miesen Service bei 1&1", weil $hotliner nicht sofort ein globales
PHP-Update unter Einbeziehung von $x-mystic-library veranlasst, sondern
lediglich als Punkt auf die Wishlist fuer "wenn mal wieder was neu
gebaut wird und es geht" geworfen hat. Und eine Woche spaeter wollte
$hotliner nicht einmal direkt zu einem Admin durchstellen, um noch
einmal nachfragen zu koennen: absoluter Sauladen, gleich mal beim
Vorstand beschweren ...
Weder du noch 1&1 will ernsthaft diese Kunden.
Du moechtest Kunden, denen du jeden Tag aufs Neue deine Faehigkeiten
unter Beweis stellen und ihnen damit weiterhelfen kannst,
1&1 will Kunden, denen die eigene Auswahl von Fertigsuppen schmeckt.
Dass du als Gourmet-Koch andere Preise nehmen musst als der
Burger-King unter den Webhostern, dass aber auch verschiedene
Mahlzeiten zu erwarten sind, sollte jedem klar sein.
> Ich habe auch 1000 Kunden und bin alleine und kann/muß denen das täglich
> klarmachen. NA UND?! Und wenn Ihr mehr habt, dann habt Ihr mehr.
>
> Und wenn`s Euch zuviele sind, dann habt Ihr zuviele geworben, dann solltet
> Ihr aufhören neue zu schalten.
Rate mal, worauf Hotline und Technik keinen Einfluss haben: aufs
Marketing. Als Einzelkaempfer hast du volle Kontrolle ueber das,
was du anbieten moechtest und wie du es bewirbst.
In jedem Fall duerfte auch dir klar sein, dass bei dem Haufen an
FAQ-Eintraegen und Kundendoku zum Thema smtp-auth so ziemlich jeder
aus Hotline und Technik voll hinter einer Umstellung steht und
versucht im Rahmen seiner Möglichkeiten aufs Marketing einzuwirken
und jede einzelne Beschwerde ueber den Missstand so direkt wie moeglich
im Marketing statt nur in der Hotline aufschlagen zu lassen.
Auch das, was auf http://mailinfo.kundenserver.de/ zu finden ist
ist eine gute Quelle von Tricks, wie man selbst bei ganz obskuren
Clients immer noch irgendwie smtp-auth hinbekommt.
>> am liebsten nie wieder ändern, wenn es nach Tagen mal funktioniert.
>> Die trauen sich auch nicht ein simples Häkchen an der Auth-Checkbox
>> im Outlook zu setzen.
> NA UND? Dann müssen sich Leute dran gewöhnen! Andere leute haben sich auch
> an Asbest als Dämmstoff gewöhnt und komischerweise durften sie`s nicht
> weiter benutzen.
Ich hoffe, dass die Umstellung auf smtp-auth schneller vonstattengeht
und weniger Opfer fordert als den Ersatz von Asbest als Dämmstoff.
In letzterem Fall findet sich selbst Jahrzehnte nach dem Asbest-Skandal
heute immer wieder in irgendwelchen Schulen unter der Decke bröselender
Asbest, der doch langsam aber sicher dauerhaft krank macht.
Anders
--
http://sysiphus.de/
Hanno Foest
> Und Eure Systeme belasten das ganze Netz und schaffen irrsinnige Schäden,
> die andere auszubaden haben. KLEMMT SIE AB!
> Und wenn`s Chaos produziert: DANN DENKT MAL SCHARF NACH, WAS FALSCH WAR.
> Und wenn Ihr zuwenig Supporter habt: STELLT SIE EIN.
> Und wenn das Geld fehlt, DANN KALKULIERT BESSER.
> Und wenn`s Euch zu teuer wird: DANN GEHT GEFÄLLIGST PLEITE.
> Aber ihr könnt nicht das Internet Euren Mist ausbaden lassen, nur weil Ihr
> groß seid!
Danke für die klaren Worte. Das war sehr wohltuend.
Hanno
Hanno Müller
> In de.admin.net-abuse.mail Hanno Müller <sockp...@hanno.de> wrote:
>
>> Aber ist es denn für einen der größten Domain-Hoster Deutschlands so
>> schwer, den eigenen Mailserver gegen solchen Missbrauch zu schützen?
>
> Gegeben sei: Keine inhaltliche Zensur von Mails.
> Aufgabenstellung: Verhindern Sie Spam bei gleichzeitiger Zulassung von
> erwünschten und legalen Newslettern.
Ähm - Thema verfehlt: Ich habe mich nicht beschwert, dass der
Kundenserver.de-Mailserver es den eigenen Kunden erlaubt, Massenmails zu
verschicken.
Hier geht's darum, dass ich mich wegen eines Spams bei denen beschwert habe
und als Antwort kriege "wir sind nicht zuständig, wenden Sie sich bitte
an..."
Dazu: Wenn es nicht der eigene Kunde war, der diesen Spam verschickt hat,
dann ist der Mailserver unsicher. Das darf nicht sein.
Wenn es aber doch ein eigener Kunde war, der über einen Dialin-
Kooperationspartner surfte, dann müsste Schlund die Beschwerde
selbstständig weiterleiten.
Der Rest der Aufregung in diesem Thread (die ich übrigens auch zu
übertrieben finde - der Ton ist hier seit einigen Wochen ein wenig
ungemütlich geworden, einige der danam-Leser hier brauchen offenbar
dringend Urlaub ;-) bezieht sich ja in erster Linie darauf, dass ein
Schlund-Mitarbeiter hier schrieb, dass man das Problem zur Genüge kennt,
aber bewusst ignoriert hat. Dass man lange Zeit nichts dagegen unternommen
hat, weil das für die Kunden zu unbequem und zu viel Support-Aufwand
bedeutet. So eine Antwort finde ich dann doch sehr ärgerlich.
Bequemlichkeit vor Sicherheit ist für ISPs unprofessionell... Das ist wie
der Verzicht auf Schutzimpfung, weil man den eigenen Kindern keine Spritzen
zumuten will.
Natürlich habe ich mit meinem kleinen niedlichen Mailserver gut reden.
Trotzdem könnte ich mir so ein Verhalten gegenüber meinen Kunden nicht
leisten.
Aber das Thema ist für mich jetzt eh durch, da ich nun durch diesen Thread
erfahren habe, dass man jetzt tatsächlich etwas dagegen unternimmt. Damit
ist das eigentliche Problem erledigt.
Hanno Müller
> Der Rest der Aufregung in diesem Thread (die ich übrigens auch zu
> übertrieben finde - der Ton ist hier seit einigen Wochen ein wenig
> ungemütlich geworden, einige der danam-Leser hier brauchen offenbar
> dringend Urlaub ;-) bezieht sich ja in erster Linie darauf, dass ein
> Schlund-Mitarbeiter hier schrieb, dass man das Problem zur Genüge kennt,
> aber bewusst ignoriert hat. Dass man lange Zeit nichts dagegen unternommen
> hat, weil das für die Kunden zu unbequem und zu viel Support-Aufwand
> bedeutet. So eine Antwort finde ich dann doch sehr ärgerlich.
Nicht nur ich: <umam99h...@corp.supernews.com>
Anders Henke
> Nicht nur ich: <umam99h...@corp.supernews.com>
Seufz.
Hast du dir mal angeschaut, worum es wirklich geht?
Es geht um die gesicherten, getrackten Outgoing-Hosts des
Schlund-Mailsystems, die auch zum Versand von Mail verwendet werden,
die ueber die Webserver authentifiziert werden. Wenn auf einem Webserver
eine Mail verschickt wird, geht sie ueber einen dieser Rechner ins Netz.
Die Haelfte der Rechner sind nun bei formmail.relays.monkeys.com gelistet.
monkeys.com gibt folgende Unlist-Kriterien:
-zahle $250 Pfand, dann nehmen wir dich runter. Wenn deine Kisten im
folgenden Jahr nie mehr auch nur ein exploitetes Formmail haben,
bekommst du das Geld zurueckerstattet, ansonsten wirst du sofort
wieder gelistet.
-wechsle IPs und sorge dafuer, dass die Formmails nicht exploitet
werden koennen. Wir nehmen deine IPs nicht runter.
Insbesondere der zweite Punkt "wechsle IPs" wird von anderen RBLs als
Betrugsversuch gesehen, allein daher verbietet es sich schon.
Und wer bei 1,8 Mio Kunden ernsthaft garantieren will, dass sich
keine einzige Kopie eines formmail-artigen Skripts befindet,
ist verrueckt.
Vor zehn Jahren habe ich den vermutlich letzten Provider gesehen, der
das garantieren konnte: jedes Skript musste per Mail eingeschickt werden,
wurde reviewed und erst danach auf den Server gepackt. Kunden hatten
keinen CGI-Zugriff.
Inzwischen hat jeder Webspace-Provider das Formmail-Problem, allein
schon die Quartalsuebersicht von Securityfocus listet formmail-Exploits
gleich hinter Nimda- und Code-Red-Angriffen:
http://www.securityfocus.com/corporate/research/top10attacks_q1_2002.shtml
Monkeys.com listet die Haelfte der Outgoing-Hosts des GESICHERTEN
Mailsystems, d.h. genau der Server, die z.B. auch smtp-auth-Mails
verschicken. Nicht die betroffenen Webserver, sondern die zentrale
Infrastruktur des gesicherten Mailsystems.
Wenn sich monkeys.com dazu entschliesst, Kolleteralschaden im
Bereich von 50% aller authentifizierten, trackbaren, bei Abuse
schnell und sicher gehandelten Mails hinzunehmen, obwohl stark
gegen jede Form von Mailabuse gearbeitet wird und dabei natuerlich
auch der Austausch exploitbarer Formmail-Revisionen beachtet werden,
ist das einfach unverantwortlich.
Abuse#kundenserver.de ist inzwischen z.B. soweit, dass Abusemails
teilweise binnen weniger Minuten beantwortet und Kunden gelartet
werden koennen.
Kunden werden angeschrieben, Alternativen aufgezeigt und der Umstieg
auf sichere Alternativen umfangreich supportet. Dies kann aber prinzipbedingt
nicht verhindern, dass ein gestern aufgespieltes Formail 1.6 nicht doch zum
Spammen benutzt wird (was z.B. letzte Woche der Fall war).
(Fehler-)kompatible Formmail-Skripte aus anderer Quelle gibt es
auch zu Genuge, so dass ein Scannen nach den Matt-Wright-Sicherheitsloechern
mit Zusatzfunktion nicht reichen kann, um Missbrauch 100%ig auszuschliessen.
Monkeys.com fordert dazu auf, jegliche Instanz von /cgi-bin/formmail.*
zu loeschen und die Kunden "aufschlagen" zu lassen; wuerde man dem folgen,
koennte man sich gleich vor Gericht versammeln, weil man mutwillig
Kundendaten veraendert oder auch mal gesicherte, unschuldige Skripte
getroffen hat.
Im Vergleich zu z.B. verwundbaren IIS-Installationen oder offenen
Mailrelays auf Dialups sind 3670/2,5 Mio=0,14% exploitbarer Formmails
meiner Meinung nach auch Spitzenwerte.
Es wird auch daran gearbeitet, dies auf Null herunterzufahren, aber eben
in organisierter Art und Weise statt per Holzhammer. Dass es aber dauerhaft
auf Null bleiben wird, ist unmoeglich zu garantieren (und genau darauf
zielt monkeys ja ab).
Moege jeder fuer sich entscheiden, ob formmail.relays.monkeys.com
eine gut administrierte Blacklist und ein Listing der betroffenen
Mailserver wirklich ok ist.
Zum administrativen Listing von segfault.monkeys.com: Monkeys.com hat
ausdruecklich klargestellt, keine Form von Kommunikation zu wuenschen.
Dementsprechend wurde genau diesem nachgekommen und dies sichergestellt.
Anders
--
http://sysiphus.de/
Anders Henke
> Nun -- das Thema ist ja nicht neu. Schon im Dezember/Januar hatte ich für
> ein Buchprojekt Kontakt mit denen und es wurde EXAKT das gleiche erzählt,
> wie heute -- immerhin 8 Monate später. Immer das gleiche: Jaja, wir sind
> dabei, sind so viele, geht nicht alles auf einmal, blablabla.
> Ich denke, 8 Monate sind eine Zeit wo man das schafft. Außer ein paar
> Rundmails und (endlich) der Einführung von SMTP-AUTH-Servern hat sich in
> diesem Dreivierteljahr nicht viel getan.
Es hat sich soweit eine Menge getan als dass heute fast ein Drittel
aller Relay-Mails ueber die auth-Server gehen.
Sobald 50% erreicht sind, werden die restlichen Kunden angeschrieben und
die alten Kisten abgeschaltet. Und das kann meiner Meinung nach durchaus
noch in diesem Jahr passieren, fuer Schlund-Kunden ist es in
den naechsten Tagen wohl schon soweit.
> Verzeiht mir, aber wenn ich jetzt Sprüche höre wie "bis Jahresende, wir
> sind gerade dabei" dann glaube ich das solange nicht, bis sich endlich was
> *richtig* tut.
Wunder dauern leider immer etwas laenger.
> Entschuldigt, aber seid wann gibt es SPAM?
> Seid wann gibt es POP-before-SMTP?
Das willst du nicht auf einem verteilten Mailsystem
einsetzen, du generierst da nur einen SPOF.
Ein Dutzend POP-Server muessen SOFORT eine Datenbank fuettern,
aus der die Relayhosts dann ihre Access-IPs ziehen. Crasht
die Datenbank, ist das gesamte Mailrelay im Eimer. Ganz abgesehen davon,
dass auch nur ein ungeschickter Lock in der Datenbank-Engine ausreicht,
damit Kunden eben nicht in der gleichen Sekunde, sondern erst drei
Sekunden nach dem POP-Abruf relayen koennen.
smtp-after-pop ist in verteilten Systemen immer wieder ein Problem.
Die grossen Freemail-Anbieter beweisen es dir taeglich aufs neue.
Das will keiner haben, bei dem Mail ueber mehr als zwei Rechner geht.
> Seid wann gibt es SMTP-AUTH?
April 1999.
> Wieso wurden auch im letzten Jahr Neukunden nicht sofort
> zwangsweise auf SMTP-AUTH gestellt?
Weil Microsoft Outlook Express 4 verbrochen hat, das von sich behauptet,
smtp-auth zu koennen, aber irgendwie RFC2554 doch recht eigenwillig
interpretiert.
Geruechteweise wird dieser Client von vielen Leuten verwendet,
netterweise beschert Microsoft diesen Leuten aber auch regelmaessig
Updates, so dass OE4 inzwischen kein Thema mehr ist.
> Neukunden auf den Relayservern zu blocken *IST* möglich.
Afaik wurde es mit Hinweis abgelehnt, dass die Implementation dafuer
in voller Tragweite (mit Usererweiterungen und Tests) ca 3 Monate
Realzeit brauchen wuerde und man bis dahin sowieso umgestellt haette.
Leider hat man die Traegheit der Kunden unterschaetzt.
Die Entwicklungszeit waere wirklich sehr aergerlich gewesen, da parallel
eine neue Mailsoftware in Entwicklung ist und man die 3 Monate lieber
in die Entwicklung z.B. fehlertoleranter, verteilter Storagesysteme
steckt, mit der sich andere, viel weltlichere Probleme loesen lassen.
Fuer 1&1 steht ein RZ-Umzug an, bei dem natuerlich der Anspruch gestellt
wird, dass alle Dienste jederzeit verfuegbar sind. Auch Mailstorage.
>> Aehem, 1&1 und Strato haben sich gegenseitig immer wieder im Preis
>> unter- und in Leistungen ueberboten, die "kleineren" Provider wurden
>> in dem Kampf eher ignoriert. Und wenn man sich die eingesetzte
> Ja, aber damit diktieren Sie zumindest indirekt den Preis im Gesamtmarkt.
> Natürlich kann man teurer sein -- aber auch nur bis zu einem gewissen
> Grad.
Ein Bekannter hat einen Server bei einem Provider laufen, der ihm
45 EUR pro GB berechnet Und er schaetzt den Service so, dass er da
auch mit seinen primaeren Sachen bleiben moechte.
Ich weiss nicht, wo da ein Problem sein muesste.
You get what you pay for: wer mehr ausgibt, bekommt mehr Service.
Wer Service erwartet, muss einfach auch mehr Geld ausgeben.
Wer dazu nicht bereit ist, hat verloren.
> Nur: *ICH* habe Mehrarbeit um meine Kunden zu schützen. Diese mistigen
> Mailserver machen mir Arbeit und kosten meine Zeit, die ich auch gerne mal
> im Freibad verbringen würde. Stattdessen schlägt man sich hier rum und
> beantwortet 1&1-Kunden noch ihre Probleme, weil die sonst der JPBerlin die
> Schuld geben ("die zensieren!") und ich deshalb gezwungen bin zu antworten
> (und aus Freundlichkeit...).
Ich habe auch X Leuten erklaert wie sie ihre offenes Relay dichtmachen,
warum ihr offener Proxy so ein Problem ist und auch oft genug
geholfen, beim Dichtmach-Versuch kaputtkonfigurierte MX-Hosts
("auf dem MX nur noch authentifizierte Mail anehmen") wieder
zu fixen oder warum es eine schlechte Idee ist, selbst ein offenes Relay
zu betreiben dass dann per smtp-auth oder sogar nur per port-forwarder
alles ueber das Relay ihres Providers rauszuschicken.
Kommt natuerlich auch alles der Allgemeinheit zugute,
geht auch eine Menge Zeit bei drauf und wird irgendwie doch
alles von deinem Lieblingsschmarotz-Provider bezahlt.
>> Rate mal, worauf Hotline und Technik keinen Einfluss haben: aufs
>> Marketing.
> Ist das ein Grund oder eine Entschuldigung? Nein.
Weder noch. Es ist ein Hinweis darauf, welcher Teil erst lernen musste,
dass man mit der Nummer auf Dauer nicht weit kommt.
Dummerweise macht dieser Teil Oeffentlichkeitsarbeit und Kundenkontakte,
daher ist man in der Technik bei allem Engagement etwas aufgeschmissen.
> Es bleibt also die Erkenntnis: Hier geht wird Profit rücksichtslos auf dem
> Rücken des Netzes gemacht.
Wenn du das so siehst, ist das natuerlich deine Meinung.
Ich kenne halt die andere Seite und sehe, wie viel gegen Spam
gemacht wird und wie engagiert z.B. die FAQ-Redakteure sich
tagelang die Finger wund schreiben, die Admins immer neue
Tools gegen Netzabuse entwickeln oder das Abusedesk-Team zwar
immer noch lernt, aber dennoch immer wieder schnell und zielsicher
spamvertizete Sachen sperrt oder Spammer kuendigt.
> Wenn Kunden durch die Umstellung kündigen, dann ist das Pech.
Nein, dann ist das ok.
Jeder verdient die Kunden, die er sich angelacht hat.
Wenn jemand es nicht auf die Reihe bekommt, in einem Dialog ein Kreuz
zu machen und stattdessen ernsthaft ein offenes China-Relay in
seinem Outlook eintraegt und seinen Provider wechselt, ist
es mir nicht um denjenigen schade.
>> Ich hoffe, dass die Umstellung auf smtp-auth schneller vonstattengeht
>> und weniger Opfer fordert als den Ersatz von Asbest als Dämmstoff.
> Wie hoch war nochmal der jährliche geschätzte SPAM-Schaden in Europa?
> (Alleine ich habe in den letzten vier Jahren Schätzungsweise rund 8.000
> Euro alleine an Traffickosten für SPAM ausgeben müssen. Da wäre jedes Jahr
> eine elegante Luxus-Kreuzfahrt. Und das, obwohl wir so restriktiv und hart
> SPAM blocken, wie nur irgendwie möglich! Nur ist man auch machtlos, wenn
> man selbst als Absender genutzt wird. Von dem Wert der Arbeitszeit mal
> ganz zu schweigen.)
Bei so ziemlich jedem Provider gehen 20-30% der Ressourcen im Mailsystem
fuer Spam drauf, bei bestimmten Anbietern wie Hotmail oder GMX (welches
ja auch wiederum zu 1&1 gehoert) sind die Quoten noch deutlich hoeher.
Auf der ISPCON (eine Konferenz hauptsaechlich kleiner Provider) wurde
sogar die These aufgestellt, dass viele "dahingegangene" ISPs ohne Spam
heute noch am Leben waeren.
Du bist nicht der einzige und allein schon aus wirtschaftlichen Gruenden
koennte es sich fuer viele rechnen, gegen Spam zu agieren. Wahrscheinlich
hat sich das aber noch keiner genau ausgerechnet.
Der groesste Nutzen gegen Spam ist es aber, Spam so zu verteuern, dass
es sich nicht mehr lohnt. Und daran wird ja auch gearbeitet.
Anders
PS: Ich arbeite zwar bei Schlund (steht afaik auch irgendwo auf meiner
Homepage ...), dies ist aber meine persoenliche Sicht der Dinge aus
meiner Ecke. Moege keiner diese als offizielles Statment von
Schlund/1&1 interpretieren.
--
http://sysiphus.de/
Hanno Müller
> Seufz.
Ihr solltet wohl besser ein wenig Schadensbegrenzung in nanae betreiben:
<3D6621C0...@nerc.ac.uk.loopback>
Gruß,
Hanno
Ralf Ramge
> Ein Dutzend POP-Server muessen SOFORT eine Datenbank fuettern,
> aus der die Relayhosts dann ihre Access-IPs ziehen. Crasht
> die Datenbank, ist das gesamte Mailrelay im Eimer. Ganz abgesehen davon,
> dass auch nur ein ungeschickter Lock in der Datenbank-Engine ausreicht,
> damit Kunden eben nicht in der gleichen Sekunde, sondern erst drei
> Sekunden nach dem POP-Abruf relayen koennen.
> smtp-after-pop ist in verteilten Systemen immer wieder ein Problem.
> Die grossen Freemail-Anbieter beweisen es dir taeglich aufs neue.
> Das will keiner haben, bei dem Mail ueber mehr als zwei Rechner geht.
Hmmmm ... mir hat vor ca. 2-3 Monaten mal jemand von 1&1, der in der
Hierarchie nicht grade ganz unten steht, mal die Auskunft erteilt, daß
man dies marketingtechnisch nicht möchte. Grund: Es soll den Kunden
möglich sein, bei 1&1 nur eine Weiterleitung zu einem anderen Provider
zu setzen, dort per POP3 zu holen und ihre Mail dann trotzdem über
die Maschinen in Karlsruhe zu relayen. Ich nehme mal an, damit der DAU
seinen Absender passend zur Domain behalten darf. Von Problemen mit der
Technik war da nicht die Rede.
> > Wieso wurden auch im letzten Jahr Neukunden nicht sofort
> > zwangsweise auf SMTP-AUTH gestellt?
>
> Weil Microsoft Outlook Express 4 verbrochen hat, das von sich behauptet,
> smtp-auth zu koennen, aber irgendwie RFC2554 doch recht eigenwillig
> interpretiert.
> Geruechteweise wird dieser Client von vielen Leuten verwendet,
> netterweise beschert Microsoft diesen Leuten aber auch regelmaessig
> Updates, so dass OE4 inzwischen kein Thema mehr ist.
Dann macht es bitte JETZT.
Oder will man bei 1&1 damit warten, bis in ein paar Wochen der Umzug des RZ
anrollt und man dann einen neuen Grund hat, auf den man nächsten Sommer zeigen
kann?
> > Neukunden auf den Relayservern zu blocken *IST* möglich.
>
> Afaik wurde es mit Hinweis abgelehnt, dass die Implementation dafuer
> in voller Tragweite (mit Usererweiterungen und Tests) ca 3 Monate
> Realzeit brauchen wuerde und man bis dahin sowieso umgestellt haette.
> Leider hat man die Traegheit der Kunden unterschaetzt.
Und? Das ist alleine ein Problem von 1&1 und nicht das des Netzes.
Ich hoffe, derjenige, der das verbockt hat, ist nicht mehr im Kreis der
Entscheidungsträger.
> Ich habe auch X Leuten erklaert wie sie ihre offenes Relay dichtmachen,
> warum ihr offener Proxy so ein Problem ist und auch oft genug
> geholfen, beim Dichtmach-Versuch kaputtkonfigurierte MX-Hosts
> ("auf dem MX nur noch authentifizierte Mail anehmen") wieder
> zu fixen oder warum es eine schlechte Idee ist, selbst ein offenes Relay
> zu betreiben dass dann per smtp-auth oder sogar nur per port-forwarder
> alles ueber das Relay ihres Providers rauszuschicken.
Toll, sollen wir jetzt 1&1 das Lametta umhängen? Der Mehrheit der
Leidtragenden wäre es wohl lieber, wenn man bei 1&1 anstelle sich
supportmäßig aufzuopfern das tun würde, was von seriösen Providern
erwartet werden kann: "Du hast ein offenes Relay? Fixe das bis Termin x
oder Du wirst abgeklemmt." Und das dann natürlich auch tun.
Klar, daß das nicht durchsetzbar ist, solange jeder grinsend sagen kann,
man möge sich doch bitte erstmal an die eigene Nase fassen.
> >> Rate mal, worauf Hotline und Technik keinen Einfluss haben: aufs
> >> Marketing.
>
> > Ist das ein Grund oder eine Entschuldigung? Nein.
>
> Weder noch. Es ist ein Hinweis darauf, welcher Teil erst lernen musste,
> dass man mit der Nummer auf Dauer nicht weit kommt.
> Dummerweise macht dieser Teil Oeffentlichkeitsarbeit und Kundenkontakte,
> daher ist man in der Technik bei allem Engagement etwas aufgeschmissen.
Reagieren die Verantwortlichen denn wenigstens auf den Heise-Ticker?
Falls ja, sollten sie sich mal darüber Gedanken machen, wessen Kopf
rollen sollte, wenn das Thema mal dort auftaucht. Falls nicht, sind die
Jobs falsch besetzt, schlimmstenfalls bis in die höchsten Etagen.
Wobei mir dieser Gedanke nichtmal als unwahrscheinlich erscheint, wenn
ich an die Anfangszeit von S&P zurückdenke und mich daran erinnere, daß
man sich schon dort vor allem als Spammerdomain einen Namen zu machen
wollen schien.
> Ich kenne halt die andere Seite und sehe, wie viel gegen Spam
> gemacht wird
Wenn das das gleiche ist, was man außerhalb des externen Netzes sieht,
kann es so viel ja nicht sein.
Sicher, die Umstellung auf SMTP Auth läuft. Aber sie war eine schwere
Geburt, so schwer, daß es 1&1 peinlich sein sollte. Und wenn das im
gleichen Tempo so weitergeht wie bisher, na dann gute Nacht.
> und wie engagiert z.B. die FAQ-Redakteure sich
> tagelang die Finger wund schreiben, die Admins immer neue
> Tools gegen Netzabuse entwickeln oder das Abusedesk-Team zwar
> immer noch lernt, aber dennoch immer wieder schnell und zielsicher
> spamvertizete Sachen sperrt oder Spammer kuendigt.
Das ist alles Herumgedoktere an den Symptomen, nicht an der Ursache.
> > Wenn Kunden durch die Umstellung kündigen, dann ist das Pech.
>
> Nein, dann ist das ok.
> Jeder verdient die Kunden, die er sich angelacht hat.
Hart formuliert: Eine Firma, die ihr Marketing auf den DAU von der
Straße ausrichtet, muß auch damit leben können, diesen DAU als Kunden
zu haben und supporten zu müssen.
Verdient 1&1 an solchen Leuten überhaupt was? Der Supportaufwand ist
doch eh nicht zu rechtfertigen (ganz zu schweigen von der Investition
in den Kunden. Man muß kein Mathegenie sein um auszurechnen, wie lange
1&1 einen Kunden bei der Stange halten muß, bis ein Root-Server auch nur
die Anschaffungskosten eingefahren hat). Hier geht's doch nicht um
irgendwelche technischen und kapazitären Probleme, vielmehr ist die
Penisverlängerung im direkten Vergleich zu Strato doch wichtiger als
ein seriöser Betrieb.
> Wenn jemand es nicht auf die Reihe bekommt, in einem Dialog ein Kreuz
> zu machen und stattdessen ernsthaft ein offenes China-Relay in
> seinem Outlook eintraegt und seinen Provider wechselt, ist
> es mir nicht um denjenigen schade.
Dir bestimmt nicht. Dem Marketing schon, spätestens wenn die Aktie droht
ansatzweise einzuknicken.
> Der groesste Nutzen gegen Spam ist es aber, Spam so zu verteuern, dass
> es sich nicht mehr lohnt. Und daran wird ja auch gearbeitet.
Die Frage ist nicht, ob daran gearbeitet wird. Sondern vielmehr, wie
lange noch.
Wahrscheinlich noch ewig, da würde ich drauf wetten. Und auf ewig mit
den gleichen Argumenten. Wohingegen Marketingmüll wie @-domains in der Regel
ruckzuck durchgezogen sind - aber damit lassen sich ja noch mehr DAU's
ködern, mit einem geschlossenen Relay vergrault man sie ja nur.
--
Ralf Ramge, ralf....@ixpoint.de
iXpoint Informationssysteme GmbH, Rheinstr. 79a, 76275 Ettlingen, Germany
Tel.: ++49-7243-3775-0, Fax: ++49-7243-3775-77
Anders Henke
> Hmmmm ... mir hat vor ca. 2-3 Monaten mal jemand von 1&1, der in der
> Hierarchie nicht grade ganz unten steht, mal die Auskunft erteilt, daß
> man dies marketingtechnisch nicht möchte.
Kann ich mir gut vorstellen. Vor drei Jahren waren Marketing und
Technik rein raeumlich mehrere hundert Kilometer auseinander.
> Grund: Es soll den Kunden möglich sein, bei 1&1 nur eine Weiterleitung
> zu einem anderen Provider zu setzen, dort per POP3 zu holen und ihre
> Mail dann trotzdem über die Maschinen in Karlsruhe zu relayen.
> Ich nehme mal an, damit der DAU seinen Absender passend zur Domain
> behalten darf. Von Problemen mit der Technik war da nicht die Rede.
Schau dir die aktuelle Realitaet an:
Kunden werden konsequent auf smtp-auth getreten.
Als Zugangsdaten fuer smtp-auth gelten Login/Passwort eines in dem
gleichen Paket gehosteten POP3-Accounts.
Wer "Umleitung-only" machen will, soll seine Mail auch da eintueten,
wo er sie schliesslich abholt.
>> > Wieso wurden auch im letzten Jahr Neukunden nicht sofort
>> > zwangsweise auf SMTP-AUTH gestellt?
>>
>> Weil Microsoft Outlook Express 4 verbrochen hat, das von sich behauptet,
>> smtp-auth zu koennen, aber irgendwie RFC2554 doch recht eigenwillig
>> interpretiert.
>> Geruechteweise wird dieser Client von vielen Leuten verwendet,
>> netterweise beschert Microsoft diesen Leuten aber auch regelmaessig
>> Updates, so dass OE4 inzwischen kein Thema mehr ist.
> Dann macht es bitte JETZT.
Finaler Termin fuer Umschaltung von smtp.kundenserver.de auf smtp-auth ist
der 1.9.2002 (es gab einen Monat extra, weil viele Reseller im Sommer
verpennt haben ihre Endkunden auf letzter Strecke zu informieren).
Reicht dir das als Termin aus?
(Achtung: smtp.kundenserver.de != smtp.purtec.de)
> Oder will man bei 1&1 damit warten, bis in ein paar Wochen der Umzug
> des RZ anrollt und man dann einen neuen Grund hat, auf den man
> nächsten Sommer zeigen kann?
RZ-Umzug und smtp-auth haben untereinander keine Abhaengigkeiten.
Die Technik fuer smtp-auth steht seit ueber einem Jahr und "gibt kein
halboffenes Relay mehr" besteht aus ein paar DNS-Updates und dem
Durchtrennen des Stromkabels einiger Rechner.
Der RZ-Umzug ist auch in viele kleine Einheiten aufgeteilt, die
voneinander unabhaengig laufen, d.h. Verzug an einer Stelle bedeutet
nicht, dass der Rest deswegen blockiert wird.
Selbst, wenn also jemand noetig waere, um irgendwo den grossen Hebel
umzulegen, koennte man diesen problemlos dafuer abstellen.
Von Seiten der Technik gibt es keine Gruende, nicht sofort umzustellen.
> Dir bestimmt nicht. Dem Marketing schon, spätestens wenn die Aktie droht
> ansatzweise einzuknicken.
Es gibt gute Aktien und es gibt gute Firmen, aber das eine hat mit dem
anderen oft nicht viel zu tun.
> Die Frage ist nicht, ob daran gearbeitet wird. Sondern vielmehr, wie
> lange noch.
Bis der letzte Spammer vertrieben ist. Nein, nicht der letzte bei
Schlund gehostete Spammer, sondern der letzte Spammer, der irgendwie
fuer Missmut unter unseren Kunden sorgen koennte.
Ja, es wird auf eine halbe Ewigkeit hin an der allgemeinen Eindaemmung
von Spam gearbeitet.
Anders
--
http://sysiphus.de/
Anders Henke
> Anders Henke wrote:
>> Seufz.
> Ihr solltet wohl besser ein wenig Schadensbegrenzung in nanae betreiben:
> <3D6621C0...@nerc.ac.uk.loopback>
Da hat jemand den falschen Textblock kopiert, im Hotlinetool steht
in etwa "Kunde zum 1. Mal verwarnt".
Beim Kunden handelt es sich um jemanden, der auf einem Rootserver
Provider werden will und einer seiner Hostingkunden hat gespammt.
Entsprechend wurde die Anzahl der Beschwerden an den Kunden
weitergegeben und ihm empfohlen, seinen Kunden gleich rauszuwerfen.
Im Wiederholungsfall wird ueblicherweise dem Rootserver der Access
gesperrt und der Vertrag gekuendigt.
Anders
--
http://sysiphus.de/
Marc Haber
>Marc Haber wrote:
>> Warum postest Du das auch nach de.comm.software.mailserver?
>
>Weil das Schließen eines offenen Mailserver etwas ist, was die Leser von
>de.comm.software.mailserver quasi als Hausaufgabe erledigen.
Schlund hat ganz sicher kein technisches Problem, die Mailserver zu
sichern. Das ist ein soziales Problem mit der Unfähigkeit der Kunden.
>> Ging es über die Spamschleuder?
>
>Ja. Der Spam wurde via kundenserver.de verschickt.
Die Spamschleuder ist ein ganz kleiner Teil von kundenserver.de. Bitte
genauere Header.
Marc Haber
>Jérôme Waibel wrote:
>> Realitycheck please.
>
>Realitycheck zurück, da Du ja bei 1&1/Schlund arbeitest. Die Anzahl Eurer
>Kunden rechtfertigt nicht Euer offenkundiges Ignorieren des Problems.
Das Problem wird nicht ignoriert. Man arbeitet daran.
>In diesem Fall: Offenbar hat einer Eurer Kunden via T-Online Dialin
>gespammt. Die Antwort Eures Supports: Wenden Sie sich an T-Online, was
>haben wir damit zu tun? Diese Antwort ist _falsch_.
Insbesondere, weil T-Online sagen wird, dass sich der Beschwerdeführer
bitte an Schlund wenden möchte.
Marc Langer
> [X] Du möchtest als 1st-Level-Hotliner einigen Hunderttausend Kunden am
> Telefon die Einrichtung von SMTP AUTH und den Sinn davon erklären.
>
> [X] Du möchstest als 1st-Level-Hotliner die Beschimpfungen ertragen, wenn du
> dem Kunden sagst, dass sein bisher (für ihn) so toll funktionierender
> Mailversand aus (für ihn) seltsamen Gründen abgeklemmt wird.
Eine Sache wundert mich gerade:
250-mrelayng0.kundenserver.de Hello marclanger.de [80.130.157.72]
250-SIZE 20971520
250-PIPELINING
250-AUTH PLAIN LOGIN
250 HELP
Ich finde da keine "AUTH=PLAIN LOGIN" Zeile, ohne die meinen
Erfahrungen nach manche Outlook-Versionen ziemliche Probleme haben,
sich korrekt zu authentifizieren. Wie erklärt ihr *das* den Kunden?
Mir war es da lieber, dieses Verhalten in Exim reinzupatchen.
Marc
Anders Henke
> Ich finde da keine "AUTH=PLAIN LOGIN" Zeile, ohne die meinen
> Erfahrungen nach manche Outlook-Versionen ziemliche Probleme haben,
> sich korrekt zu authentifizieren. Wie erklärt ihr *das* den Kunden?
Update auf neues Outlook Express machen. Gibt wahrscheinlich auch
von Microsoft genuegend Advisories, warum man dringend auf irgendeine
andere Version updaten sollte.
Es betrifft nur alte Versionen von Outlook Express 4, Outlook selbst
ist afaik in der Beziehung bugfrei.
> Mir war es da lieber, dieses Verhalten in Exim reinzupatchen.
Philip Hazel hat da meiner Meinung nach vollkommen recht, wenn er sich
nicht einem einzelnen MS-Fehler einer laengst veralteten Softwareversion
beugt.
Viel wichtiger ist es endlich etwas zu ersinnen, wie man Leuten
beibringen kann, dass ein Rechner prinzipiell TLS machen koennte,
aber leider das Zertifikat auf einen Hostnamen bindet und sie
deshalb ggf. von ihrem MTA Mecker kassieren koennten, wenn sie
zufaellig einen Hostnamen aus einem halben Dutzend anderer
verwendet haben, deren Namen eben auf den gleichen Host aufloesen.
Anders
--
http://sysiphus.de/
Jens Mander
> gespammt. Die Antwort Eures Supports: Wenden Sie sich an T-Online, was
Wenn es gar so offenbar wäre würde es kein Problem darstellen. Was es leider
nicht ist. Bitte beweise mir das Gegenteil.
Marc Langer
[AUTH= Bug]
> Es betrifft nur alte Versionen von Outlook Express 4, Outlook selbst
> ist afaik in der Beziehung bugfrei.
Ich habe das auch schon mit Outlook 97 oder 2000 erlebt, da sah es
allerdings so aus, dass es "manchmal" funktionierte.
> Philip Hazel hat da meiner Meinung nach vollkommen recht, wenn er sich
> nicht einem einzelnen MS-Fehler einer laengst veralteten Softwareversion
> beugt.
Allerdings ist das nicht so... dazu gab es kürzlich mal eine Mali von
mir auf exim-users. Das Verfahren ist prä-RFC und von Netscape
ersonnen.
Marc
Anders Henke
>> Philip Hazel hat da meiner Meinung nach vollkommen recht, wenn er sich
>> nicht einem einzelnen MS-Fehler einer laengst veralteten Softwareversion
>> beugt.
> Allerdings ist das nicht so... dazu gab es kürzlich mal eine Mali von
> mir auf exim-users. Das Verfahren ist prä-RFC und von Netscape
> ersonnen.
SMTP-Auth ist durch RFC 2554 eindeutig von J. Myers (Netscape)
definiert worden. Die RFCs sind das beste, was man noch als gemeinen
"Standard" ansehen kann, also sollte man sich auch daran halten koennen.
Microsoft hat es in spaeteren Versionen ja auch hinbekommen, warum also
soll man sich eines fruehen Fehlers beugen?
Ganz abgesehen davon: Microsoft hat wahrscheinlich auch ohne AUTH=LOGIN
genuegend Argumente aka Security-Fixes auf der Hand, warum man ein
2 Jahre altes Outlook Express mindestens updaten sollte.
Anders
--
http://sysiphus.de/
Marc Langer
> Ganz abgesehen davon: Microsoft hat wahrscheinlich auch ohne AUTH=LOGIN
> genuegend Argumente aka Security-Fixes auf der Hand, warum man ein
> 2 Jahre altes Outlook Express mindestens updaten sollte.
Wie in diesem Thread schon erwähnt wurde: Das kümmert die trägen Kunden
aber alles nicht. Genauso wie ein anderer Kunde mir keine Ruhe ließ,
bis ich die Apache/mod_ssl Konfiguration so hingebogen hatte, dass
sämtliche Bugs in alten 40- und 56bit-Internet Explorer Versionen
im Zusammenhang mit 128bit SSL-Zertifikaten umgangen waren. Da war
die Argumentation genauso: "Ich kann doch von unseren Kunden nicht
verlangen, dass sie ihren IE 4.0, der bei Windows 98 dabei war,
updaten, nur um bei uns was bestellen zu können"
Marc
Dominik Ruf
> [X] Du möchtest als 1st-Level-Hotliner arbeiten und die Trägheit der
> Kunden kennenlernen, die ihr einmal eingerichtetes System nie wieder
> anfassen wollen/können.
[x] Ich arbeite bereits in einer Support-Abteilung. ;-)
> [X] Du möchtest als 1st-Level-Hotliner einigen Hunderttausend Kunden am
> Telefon die Einrichtung von SMTP AUTH und den Sinn davon erklären.
Moment mal. Wegen oben und als Kunde von 1&1 weiss ich, dass es für
soetwas Textbausteine gibt, die ich schon mehr als einmal gesehen
habe - leider hatten sie fast nie auf mein Problem gepasst, aber das
ist ein anderes Thema.
Für das Telefon gibt es meines Wissen doch nur die 0190er Nummer
für 1,86 EUR/min. Ich sehe nicht, wo das Problem ist, für teures
Geld dieselben Fragen mehrmals zu beantworten.
> [X] Du möchstest als 1st-Level-Hotliner die Beschimpfungen ertragen, wenn du
> dem Kunden sagst, dass sein bisher (für ihn) so toll funktionierender
> Mailversand aus (für ihn) seltsamen Gründen abgeklemmt wird.
Ich ertrage auch ab und an Beschimpfungen. Aber s.o. es sind die
Kunden und sie zahlen Geld dafür. Wer mit dieser und anderen Situationen
nicht umgehen kann, sollte IMHO lieber nicht im Support arbeiten,
denn das gehört nunmal dazu - genauso, wie die überwiegende Mehrheit,
die sich freudig bedankt und zufrieden ist (sofern man gute Arbeit
leistet).
> PS: Bewerbungen als 1st-Level-Hotliner bitte an jo...@schlund.de :-)
Ich wünsche euch (und mir als Kunde) ja, dass sich auf
diese Anzeige möglichst viele fähige Leute bei euch bewerben. :-)
Grüsse, Dominik, sich nach der richtigen Gruppe für dieses Thema fragend
Anders Henke
> Am 24 Aug 2002 11:14:54 GMT schrieb Anders Henke:
>> Ganz abgesehen davon: Microsoft hat wahrscheinlich auch ohne AUTH=LOGIN
>> genuegend Argumente aka Security-Fixes auf der Hand, warum man ein
>> 2 Jahre altes Outlook Express mindestens updaten sollte.
> Wie in diesem Thread schon erwähnt wurde: Das kümmert die trägen Kunden
> aber alles nicht.
Wie ebenfalls in diesem Thread erwaehnt wurde: sobald die 50%-Quote
erreicht ist (steht derzeit zwischen 25% und 30%), wird fuer alle umgestellt.
Ab dem Moment haben diese Kunden realistisch nur noch die Wahl
-ueber ihren Einwahlprovider oder
-per smtp-auth ueber ihren Webspaceprovider
ihre Mails loszuwerden.
Obwohl mir einige (wenige) Leute bekannt sind, die sich von irgendwelchen
Semi-Spammer-Webseiten "freie Mailserver" (gleich neben "freien Newsservern")
besorgt haben und nun halt ueber irgendeine Kiste in China ihre Mails
gelegentlich loswerden. Gelegentlich halt auch mit 20 Stunden Maillaufzeit,
aber "es geht".
> Genauso wie ein anderer Kunde mir keine Ruhe ließ,
> bis ich die Apache/mod_ssl Konfiguration so hingebogen hatte, dass
> sämtliche Bugs in alten 40- und 56bit-Internet Explorer Versionen
> im Zusammenhang mit 128bit SSL-Zertifikaten umgangen waren.
SSLv2 gegen SSLv3 ist mit dem IE ohnehin immer so ein Thema, irgendwie
scheinen mod_ssl und alte IE da verschiedene Meinungen zu haben und sich
nur auf SSLv2 einigen zu wollen.
> Da war die Argumentation genauso: "Ich kann doch von unseren Kunden nicht
> verlangen, dass sie ihren IE 4.0, der bei Windows 98 dabei war,
> updaten, nur um bei uns was bestellen zu können"
Hier ist die Situation umgekehrt: es gibt keinen potentiellen
Zwischenschritt (ausser bei "richtigen", technik-anonymen Resellern, die
wiederum liegen aber nicht bei 1&1, sondern bei Schlund und bekommen dort
zum 1.9. die Umstellung serviert).
Anders
--
http://sysiphus.de/
Marc Haber
>anders...@sysiphus.de schrieb am 23.08.02
>zu "Re: kundenserver.de v?llig ahnungslos?"...
>> Vor zehn Jahren habe ich den vermutlich letzten Provider gesehen, der
>> das garantieren konnte: jedes Skript musste per Mail eingeschickt
>> werden, wurde reviewed und erst danach auf den Server gepackt. Kunden
>> hatten keinen CGI-Zugriff.
>
>
>So arbeitet die JPBerlin noch heute - seit 10 Jahren und heute immernoch.
>
>Kein User hat Zugriff auf cgi-bin, alle Scripte sind entweder zentral von
>uns installiert und gepflegt (und multiuserfähig), oder aber Kundenscripte
>werden erst nach persönlicher Analyse auf den Server gepackt und
>installiert.
Und Ihr habt noch Kunden? Vermutlich seid ihr auch noch teuer?
Wie macht ihr das?
>> Inzwischen hat jeder Webspace-Provider das Formmail-Problem, allein
>> schon die Quartalsuebersicht von Securityfocus listet
>> formmail-Exploits gleich hinter Nimda- und Code-Red-Angriffen:
>> http://www.securityfocus.com/corporate/research/top10attacks_q1_2002.
>> shtml
>
>Egal wie groß die Server sind, ein wöchentlicher Lauf eines Scriptes, daß
>nach formmail.pl forstet und über ein grep o.ä. die Versionsnummer des
>Scriptes (oder andere Merkmale) prüft, ist möglich. Es reicht ja sogar nur
>cgi-bin und nur nach diesem Namen durchzusuchen.
Das nützt nichts, wenn Idioten hergehen, das Script verändern, alle
Zeilenumbrüche und Kommentare rauswerfen (läuft dann ja schneller),
die Versionsnummer ändern (dann wird's ja nicht exploited) oder gar
ihren eigenen Copyrightvermerk hinschreiben.
Du kannst zwar solche Formmails erkennen, aber Du wirst immer
hinterherrennen. Und das ist bei zweieinhalb Millionen Präsenzen nicht
wirklich einfach.
>Und wenn jetzt jemand sagt, dann würden die Kunden beginnen das Script
>umzubenennen: Ja, prima. Auch das hilft ja schon!
Neuen Dateinamen? Wo denkst Du hin!
>> Quelle gibt es auch zu Genuge, so dass ein Scannen nach den
>> Matt-Wright-Sicherheitsloechern mit Zusatzfunktion nicht reichen
>> kann, um Missbrauch 100%ig auszuschliessen.
>
>Statt 0% wären aber 95% schonmal äußerst wünschenswert.
Schlund hat nach eigenen Aussagen dreieinhalbtausend exploitable
(nicht exploited!) Präsenzen. Vor dem Hintergrund der zweieinhalb
Millionen Präsenzen überhaupt ist das _DEUTLICH_ mehr als 95 %.
>Man kann AGBs sicher so gestalten (und ich habe
>keinen Zweifel daran, daß sie es bei 1&1 auch sind), daß im Falle von
>Störungen des Netzbetriebes oder der Gefährdung der Sicherheit auch
>entsprechende Gegenmaßnahmen erlaubt sind.
Das Problem sind die Altverträge, die zu einem Punkt geschlossen
wurden, als das noch nicht in den AGB stand. Leichen im Keller hat man
immer.
>Und gesicherte/unschuldige Scripte: Auch dagegen kann man sich leicht
>schützen. Ein paar markante Zeilen mit Versionsnummern greppen oder ggf.
>eine Prüfsumme wären doch mal was.
Das ist nichttrivial, siehe oben. Die Dummheit der User ist
erschreckend.
Anders Henke
> Egal wie groß die Server sind, ein wöchentlicher Lauf eines Scriptes, daß
> nach formmail.pl forstet und über ein grep o.ä. die Versionsnummer des
> Scriptes (oder andere Merkmale) prüft, ist möglich. Es reicht ja sogar nur
> cgi-bin und nur nach diesem Namen durchzusuchen.
Peer, genau das wird doch alles gemacht. Bislang wurde gescannt und das
Zeug zum Supportchef geschickt, der das dann seinen Leuten zum
Abklappern und Mailing-Rausschicken weitergeben durfte. Den daraus
resultierenden Erfolg kann man leider nur schwer kontrollieren.
Inzwischen wird stuendlich gescannt, per chmod 0000 deaktiviert und
ebenso ein Infotext gleich danebengelegt.
> Und wenn jetzt jemand sagt, dann würden die Kunden beginnen das Script
> umzubenennen: Ja, prima. Auch das hilft ja schon!
Es hilft gegen 99% der Formmail-Spammer. Dummerweise sind 1% Fehlerquote
immer noch ein paar tausend Mails, die unsere Rechner verlassen.
Bei uns ist mod_speling aktiv; einige Spammer werten dessen Daten
wohl auch aus, so dass ein "formail2.pl" genauso exploitet werden kann.
Ich habe auch schon exploitete "formmail.php" gefunden, die lediglich
ein paar MW-kompatible Variablennamen hatten, das zumindest darauf
hin, dass die Spammer weitere Wege beschreiten.
>> Quelle gibt es auch zu Genuge, so dass ein Scannen nach den
>> Matt-Wright-Sicherheitsloechern mit Zusatzfunktion nicht reichen
>> kann, um Missbrauch 100%ig auszuschliessen.
> Statt 0% wären aber 95% schonmal äußerst wünschenswert.
Die Quote ist bereits deutlich hoeher; leider reicht das eben nicht.
> Nur weil ein Einbrecher IMMER irgendwann mal ins Museum einsteigt wird die
> Mona Lisa trotzdem geschützt. Komisch, ne? 100% Schutz gibt`s nie.
Das ist einigen Leuten leider nicht beizubringen, sonst wuerden diese
Diskussion und das Monkeys-Listing gar nicht erst existieren.
> Und gesicherte/unschuldige Scripte: Auch dagegen kann man sich leicht
> schützen. Ein paar markante Zeilen mit Versionsnummern greppen oder ggf.
> eine Prüfsumme wären doch mal was.
Ich habe gestern per Logfile versucht, mal ein paar vom Scanner
uebersehene, exploitete Reste aufzutreiben, um diese dann naeher
zu untersuchen:
-alle Kommentarzeilen rausgestrippt.
-eine "uebersetzte" Variante, bei der keine einzige Kommentarzeile
mehr stimmte und nicht einmal das "Created" noch matchte.
-ein 100%-Clone, bei dem der Copyright-Header komplett ersetzt und
der Code durch einen Beautifyer gezogen wurde.
-eine bislang unbekannte Version 1.5, bei der Matt Wright noch
eine andere Mailadresse hatte als die in der verbreiteten 1.5
(mattw#misha.net statt mattw#worldwidemart.com).
Mit Pruefsummen und Versionsnummern ist da praktisch nichts zu holen.
Die andere Variante waere "nach Perl-Code scannen".
Dummerweise werden z.B. Matt Wright's Scripte gerne von Perl-Einsteigern
zum Lernmaterial genutzt, so dass sich die gleichen Codebestandteile
auch in unschuldigen oder anderweitig gesicherten Scripten wiederfinden
lassen.
Die letzte Variante waere "ein paar Mio HTTP-Requests losschicken" und
versuchen, die Dinger "live" zu exploiten. Nicht wirklich lustig ...
Einen verwendeten Scanner findest du unter ftp://sysiphus.de/suche_formail.sh;
er sollte fuer dich auch einfach zu lesen sein.
Anders
--
http://sysiphus.de/
Rainer Zocholl
>>> Quelle gibt es auch zu Genuge, so dass ein Scannen nach den
>>> Matt-Wright-Sicherheitsloechern mit Zusatzfunktion nicht reichen
>>> kann, um Missbrauch 100%ig auszuschliessen.
>>
>>Statt 0% wären aber 95% schonmal äußerst wünschenswert.
>Schlund hat nach eigenen Aussagen dreieinhalbtausend exploitable
>(nicht exploited!) Präsenzen. Vor dem Hintergrund der zweieinhalb
>Millionen Präsenzen überhaupt ist das _DEUTLICH_ mehr als 95 %.
Du bist doch kein Marketingler oder 0190-Spamer die
ja immer Probleme mit der %-Rechnung haben ;-)
Also bitte vergleiche nicht Birnen mit Äpfeln.
Du darfst die Anzahl der exploitable scripte doch nur
nur mit der Anzahl der Domains die überhaupt cgi-bin benutzen
vergleichen.
Und das sind vermutlich weit weit weniger als "alle".
>>Man kann AGBs sicher so gestalten (und ich habe
>>keinen Zweifel daran, daß sie es bei 1&1 auch sind), daß im Falle von
>>Störungen des Netzbetriebes oder der Gefährdung der Sicherheit auch
>>entsprechende Gegenmaßnahmen erlaubt sind.
>Das Problem sind die Altverträge, die zu einem Punkt geschlossen
>wurden, als das noch nicht in den AGB stand. Leichen im Keller hat man
>immer.
Und?
Wissen die Kunden das?
Man schickt den Kunden die neuen AGBs zu, räumt dem Kunden ein
"Sonderkündigungsrecht" ein und gut ist.
Banken, Versicherungen und Telcos machen das regelmässig so,
ohne das ihnen die -zufriedenen- Kunden scharenweise davon laufen
üwrdern.
Oder ist der Service/Leistung wirklich so mies, das sie Schiss haben,
das zuviele Kunden das "Sonderkündigungsrecht" wahrnehmen?
(schlafene Hunde wecken)
Oder sind ihnen die 56c Porto schon zuviel?
Und warum muss das der Rest des Netzes diese Geldgier/diesen
Geld-Mangel ausbaden?
Es macht keinen Spass jeden 2. Sonntag Tonnen von mit
formmail-spam-bounces vollgekotzten Logfiles zu entsorgen
oder die Rules so zu erweitern, damit der normale Mailverkehr
möglich bleibt.
Anders Henke
> Und warum muss das der Rest des Netzes diese Geldgier/diesen
> Geld-Mangel ausbaden?
In "wir scannen nach den Dingern und versuchen friedlich zusammen mit
den Kunden die Probleme zu loesen statt auf Verdacht hin auf den
Daten des Kunden herumzutrampeln und die Website kaputtzumachen" kann
ich keine Geldgier entdecken, ich nenne das "verantwortungsvolles Handeln".
Moege sich jeder dazu seine eigene Meinung bilden.
Wenn ich nur eine Handvoll Kunden haette, wuerde ich es mir auch
leisten den einen Kunden auflaufen zu lassen. Wenn ich aber in der
Situation wuesste, dass das formmail da zum Versand von
Online-Bestellungen genutzt wird und da Schadensersatz-Forderungen
kommen koennten, wuerde ich mich auch bei wenigen Kunden davor hueten,
die Dinger einfach so zu entsorgen.
> Es macht keinen Spass jeden 2. Sonntag Tonnen von mit
> formmail-spam-bounces vollgekotzten Logfiles zu entsorgen
> oder die Rules so zu erweitern, damit der normale Mailverkehr
> möglich bleibt.
Deswegen wird auch viel dagegen gemacht.
Leider nicht genug, um jede Form von Formmail-Exploit zu verhindern;
aber das ist auch bei der Groesse illusorisch.
Und wenn zwei grosse Exploit-Runs innerhalb von 14 Tagen vorkommen
(obwohl das vorherige Jahr sehr ruhig war), gewinnt man leider
ein gewisse Beachtung, die einen als Techniker doch dazu zwingen kann,
den Kram sehr hart in der Hotline aufschlagen und dort auch ausbaden
zu lassen: ftp://sysiphus.de/suche_formmail.sh.
Anders
--
http://sysiphus.de/
Ralph Angenendt
> Anders Henke <anders...@sysiphus.de> schrieb:
>> smtp-after-pop ist in verteilten Systemen immer wieder ein Problem.
>> Die grossen Freemail-Anbieter beweisen es dir taeglich aufs neue.
>> Das will keiner haben, bei dem Mail ueber mehr als zwei Rechner geht.
>
> Hmmmm ... mir hat vor ca. 2-3 Monaten mal jemand von 1&1, der in der
> Hierarchie nicht grade ganz unten steht, mal die Auskunft erteilt, daß
> man dies marketingtechnisch nicht möchte. Grund: Es soll den Kunden
> möglich sein, bei 1&1 nur eine Weiterleitung zu einem anderen Provider
> zu setzen, dort per POP3 zu holen und ihre Mail dann trotzdem über
> die Maschinen in Karlsruhe zu relayen. Ich nehme mal an, damit der DAU
> seinen Absender passend zur Domain behalten darf. Von Problemen mit der
> Technik war da nicht die Rede.
So ein Schwachsinn. Nur Idiotenprovider wie web.de und GMX.de schreiben
dem Kunden vor, welchen "From: " er in seine Mail stecken darf. Normale
Zugangsprovider erlauben ihren Kunden jeden Absender den sie wollen (so
dieser gültig ist), selbst bei T-Online kann ich das mittlerweile
wählen.
Wenn dem so wäre (was ich nicht glaube), wäre das die beschissenste
Ausrede, Mail nicht "sicher" zu machen, die ich je gehört habe.
Ralph
--
My tapeworm tells me where to go
-- System of a down
Frank 'Kelshon' Schmidt
[GMX]
> [...] schreiben dem Kunden vor, welchen "From: " er in seine Mail
> stecken darf.
Nein.
'From:' ist frei wählbar, sofern das '!MAIL FROM:' dem
Vorgeschriebenen/Erwarteten entspricht.
Frank
--
absence of evidence is no evidence of absence
Marc Haber
>'From:' ist frei wählbar, sofern das '!MAIL FROM:' dem
>Vorgeschriebenen/Erwarteten entspricht.
Was völliger Blödsinn ist.
Frank 'Kelshon' Schmidt
Ralph Angenendt
> Marc Haber <mh+use...@zugschlus.de> :
>
>> Was völliger Blödsinn ist.
>
> -v please
Weil ich (wenn das als Spammerabwehr dienen soll) das "MAIL-FROM"
genauso einfach fälschen kann wie den Rest. Entweder kann ich IP-basiert
authentifizieren oder ich kann per Username/Passwort authentifizieren.
Alles andere ist völliger Blödsinn.
Ralph
--
Pull that tapeworm out of my ass
Frank 'Kelshon' Schmidt
> Weil ich (wenn das als Spammerabwehr dienen soll) das
> "MAIL-FROM" genauso einfach fälschen kann wie den Rest.
Grundsätzlich: Zustimmung.
Ich hatte jedoch nur darauf hingewiesen, daß deine Angabe
| [...] schreiben dem Kunden vor, welchen "From: " er in seine
| Mail stecken darf.
nicht den Tatsachen entspricht.
Bodo Eggert
> Weil ich (wenn das als Spammerabwehr dienen soll) das "MAIL-FROM"
> genauso einfach fälschen kann wie den Rest.
Du mußt aber das zur IP freigeschaltete FROM: erraten.
Auf diese Weise ist SMTP-after-POP ausreichend sicher.
--
Nothing is faster than the speed of light...
To prove this to yourself, try opening the refrigerator door before
the light comes on.
Andreas M. Kirchwitz
>> Weil ich (wenn das als Spammerabwehr dienen soll) das "MAIL-FROM"
>> genauso einfach fälschen kann wie den Rest.
>
> Du mußt aber das zur IP freigeschaltete FROM: erraten.
> Auf diese Weise ist SMTP-after-POP ausreichend sicher.
SMTP-after-POP läßt prinzipiell eine Lücke für Spammer.
Es ist nicht nötig, so eine Lücke zu lassen, da seriöse
Provider ihre Kunden per IP (sofern möglich) oder per
SMTP-Auth eindeutig identifizieren.
SMTP-after-POP wird nur von unseriösen Providern verwendet.
Dabei ist es egal als wie "unwahrscheinlich" sie den Mißbrauch
schönreden. Warum etwas "unwahrscheinlich" gestalten, wenn man
das Einfallstor zuverlässig schließen kann?
Grüße, Andreas
Youssarian
[Ralph Angenendt]
["Mail From: ... " vorgeschrieben]
>>> Was völliger Blödsinn ist.
>> -v please
> Weil ich (wenn das als Spammerabwehr dienen soll) das "MAIL-FROM"
> genauso einfach fälschen kann wie den Rest.
Willst Du mit diesem in diesem Zusammenhang sinnlosen Einwand jetz davon
ablenken, datte nich gewusst hast, dat man den From bei GMX beliebich
setzen kann?
> Entweder kann ich IP-basiert authentifizieren oder ich kann per
> Username/Passwort authentifizieren.
> Alles andere ist völliger Blödsinn.
Nein, mindestens die Bounces landen im "richtigen" Postfach. Und bei
Missbrauch weiß der Empfänger (oder kann es jedenfalls wissen), welches
Postfach dem Übeltäter tatsächlich gehört.
Nebenbei: Dat es ausgerechnet in *dieser* Gruppe soviele Hardliner gibt,
die sich gegen Restriktionen von Providern aufregen, die dem Abuse-
Handling sehr entgegenkommen, überrascht mich seit Jahr und Tach immer
wieder.
Youssarian
--
end
Wenn de nur *diesen* Satz lesen kannst, lies auch
http://www.wschmidhuber.de/oeprob/index.html
Wolfgang Jaeth
Andreas M. Kirchwitz schrieb in Nachricht ...
>
>SMTP-after-POP wird nur von unseriösen Providern verwendet.
Deiner Auffassung nach waren also früher mal *alle* Provider unseriös?
[dsf 4.6]
Wolfgang
--
Ralf Ramge
> im Zusammenhang mit 128bit SSL-Zertifikaten umgangen waren. Da war
> die Argumentation genauso: "Ich kann doch von unseren Kunden nicht
> verlangen, dass sie ihren IE 4.0, der bei Windows 98 dabei war,
> updaten, nur um bei uns was bestellen zu können"
*Seufz* Irgendwie tun mir die Admins und Supporter ja auch leid.
Normalerweise wäre die Standardantwort ja sowas wie "Kein Problem,
wir machen's und schicken Ihnen eine entsprechende Rechnung", solange
man sich in der AGB bei kommerziellen Kunden nicht selbst ans Messer liefert ...
Mich wundert's wirklich, daß sich 1&1 aus wirtschaftlicher Sicht
derartige Geschenke noch leisten kann. Dito für Visitenkartenkunden,
die im Monat mehr Aufwnad an Support bekommen als sie in Jahren
bezahlen. Da schwebt bei mir immer ein wenig die Angst mit, daß da
irgendwann mal über Nacht dann Leute auf der Straße stehen könnten.
--
Ralf Ramge, ralf....@ixpoint.de
iXpoint Informationssysteme GmbH, Rheinstr. 79a, 76275 Ettlingen, Germany
Tel.: ++49-7243-3775-0, Fax: ++49-7243-3775-77
Ralf Ramge
> > Hmmmm ... mir hat vor ca. 2-3 Monaten mal jemand von 1&1, der in der
> > Hierarchie nicht grade ganz unten steht, mal die Auskunft erteilt, daß
> > man dies marketingtechnisch nicht möchte.
>
> Kann ich mir gut vorstellen. Vor drei Jahren waren Marketing und
> Technik rein raeumlich mehrere hundert Kilometer auseinander.
Öööhm, ich schrieb *Monate*, nicht *Jahre* ;-) Genauer gesagt war das
einer jener heißen Tage, an welchen zu bewundern war, wie ein Klimagerät
vom Rasensprenger betreut wird. Und räumliche Trennung war auch nicht
so arg, das war direkt vor der Treppe zur RZ-Kellertür ;-) Ist ja auch
egal, ich musste grade nur etwas grinsen, als ich Deine Antwort gelesen
habe.
> Wer "Umleitung-only" machen will, soll seine Mail auch da eintueten,
> wo er sie schliesslich abholt.
Hoffen wir mal, daß das nicht nur die Technik so sieht, sondern auch
diejenigen, die die Anweisungen geben. Ich nehme an, Du kannst meine
diesbezügliche Befürchtung nachvollziehen :-)
> Finaler Termin fuer Umschaltung von smtp.kundenserver.de auf smtp-auth ist
> der 1.9.2002 (es gab einen Monat extra, weil viele Reseller im Sommer
> verpennt haben ihre Endkunden auf letzter Strecke zu informieren).
> Reicht dir das als Termin aus?
Jepp, auf jeden Fall. Mir ist nach mehr als einem halben Jahrzehnt Ärger
mit der Spamschleuder *jeder* Termin recht. Wobei er mir von offizieller
Seite natürlich lieber wäre, aber zumindest denke ich mal, daß jetzt
zumindest intern bei euch entsprechender Druck gemacht wird.
> (Achtung: smtp.kundenserver.de != smtp.purtec.de)
Oh, das ist eine andere Maschine? Gleich mal schauen ...
> > Oder will man bei 1&1 damit warten, bis in ein paar Wochen der Umzug
> > des RZ anrollt und man dann einen neuen Grund hat, auf den man
> > nächsten Sommer zeigen kann?
>
> RZ-Umzug und smtp-auth haben untereinander keine Abhaengigkeiten.
Doch. Nicht ausreichend vorhandenes Personal, was inzwischen ja sogar
die Spatzen von den Dächern pfeifen ;-)
> Von Seiten der Technik gibt es keine Gruende, nicht sofort umzustellen.
Okay, danke. Dann wird man ja bald sehen, wie gut 1&1 organisiert ist
:-)
Danke für die Mühe und Aussagen, Anders.
Frank Ellermann
> SMTP-after-POP wird nur von unseriösen Providern verwendet.
Hogwash. Exakt wie von Bodo beschrieben macht es ein von mir
genutzter E-Mail-Provider, und wer es da schafft, mit meinem
From und meiner (alten) dyn. IP binnen 10 Minuten nach meiner
Verbindungstrennung reinzukommen, der erraet auch Passworte
oder spammt gleich per Telekinese.
Bye, Frank
Joern Abatz
> SMTP-after-POP läßt prinzipiell eine Lücke für Spammer. Es ist nicht
> nötig, so eine Lücke zu lassen, da seriöse Provider ihre Kunden per IP
> (sofern möglich) oder per SMTP-Auth eindeutig identifizieren.
>
> SMTP-after-POP wird nur von unseriösen Providern verwendet. Dabei ist es
> egal als wie "unwahrscheinlich" sie den Mißbrauch schönreden. Warum
> etwas "unwahrscheinlich" gestalten, wenn man das Einfallstor zuverlässig
> schließen kann?
Ich finde eher diesen ganzen Subthread etwas unseriös.
Meiner Meinung nach handelt es sich um Prinzipienreiterei, nichts
weiter. Die angebliche "Lücke" existiert schon Jahre, und ich kann
mich natürlich jetzt irren, aber ich wüßte nicht, daß es je einen
Exploit gegeben hätte (falls doch: Quelle bitte).
Auf der anderen Seite wird aber - noch auf absehbare Zeit - ein
Provider, der SMTP ohne AUTH plötzlich abschaltet, wahrscheinlich
genauso plötzlich die Mehrheit seiner Kunden verlieren. (Als Folge
wird er übrigens die Mehrheit seiner Admins entlassen müssen, ich
hoffe, es trifft dann die richtigen.)
Jörn
Michael van Elst
>On Tue, 27 Aug 2002 00:40:57 +0200, Andreas M. Kirchwitz wrote:
>> SMTP-after-POP wird nur von unseriösen Providern verwendet. Dabei ist es
>> egal als wie "unwahrscheinlich" sie den Mißbrauch schönreden. Warum
>> etwas "unwahrscheinlich" gestalten, wenn man das Einfallstor zuverlässig
>> schließen kann?
>Ich finde eher diesen ganzen Subthread etwas unseriös.
Das liegt wohl daran, dass das Wort 'serioes' nur im kleinkindschen
Sinne eines 'Iiih! Baeh! Der stinkt!' benutzt wird.
ObTopic:
Die kleine Luecke des SMTP-after-POP (ein Spammer nutzt zeitweise
die IP eines Kunden, der sich vorher autorisiert hat) ist wirklich klein,
geradezu winzig.
Die grosse Luecke (Kunde betreibt offenes Relay, offenen Proxy oder hat
sich Spam-Trojaner eingefangen und benutzt Provider als Smarthost)
existiert dagegen in verschaerfter, zeitlich unbegrenzter Form
bei SMTP-AUTH.
Joern Abatz
> Die grosse Luecke (Kunde betreibt offenes Relay, offenen Proxy oder hat
> sich Spam-Trojaner eingefangen und benutzt Provider als Smarthost)
> existiert dagegen in verschaerfter, zeitlich unbegrenzter Form bei
> SMTP-AUTH.
Ack.
Andreas M. Kirchwitz
>>SMTP-after-POP wird nur von unseriösen Providern verwendet.
>
> Deiner Auffassung nach waren also früher mal *alle* Provider unseriös?
Nein, denn nicht alle Provider haben/hatten SMTP-after-POP im Angebot.
Jeder Kunde muss selbst entscheiden, ob es ihm seine Bequemlichkeit
wert ist, zu einem Provider zu gehen, der Spammern unnötigerweise so
eine Hintertür läßt.
Natürlich ist SMTP-after-POP immer noch millionenfach besser als
die offenen Relays von beispielsweise k*nd*ns*rv*r.de, aber solche
Provider, deren Erfolg darauf basiert, die Zerstörung des Netzes
billigend in Kauf zu nehmen (Open Relay? Weil's einfacher für die
Kunden ist! Abuse-Bearbeitung? Wieso - klicken Sie doch auf den
"Remove"-Link, wenn sie Spam bekommen haben!), sollten ohnehin
indiskutabel sein für jeden, der ein Gewissen hat.
Grüße, Andreas
Andreas M. Kirchwitz
> Auf der anderen Seite wird aber - noch auf absehbare Zeit - ein
> Provider, der SMTP ohne AUTH plötzlich abschaltet, wahrscheinlich
> genauso plötzlich die Mehrheit seiner Kunden verlieren. (Als Folge
> wird er übrigens die Mehrheit seiner Admins entlassen müssen, ich
> hoffe, es trifft dann die richtigen.)
Tut mir leid, wenn ich Dich enttäuschen muss - nicht alle Kunden
sind so doof, daß sie SMTP-after-POP fordern, wenn's auch bessere
Methoden gibt.
Es gibt Provider, die verdienen damit ihr Geld, daß sie Kunden
weltweit Zugriff auf ihre Services auf Basis von z.B. NNTP-Auth
und SMTP-Auth gewähren.
Ich finde es eher traurig, daß Du Leuten der Verlust ihres Jobs
wünschst, nur weil sie keine Spammer unterstützen wollen.
Wir sind hier in de.admin.net-abuse.mail, aber wenn man den Leuten
ihre Bequemlichkeit wegnimmt, ist Spam plötzlich völllig okay.
Vielleicht haben die meisten Leute hier den Spam verdient, den sie
bekommen ...
*seufz* ... Andreas
Ralph Angenendt
> begin format.com
> [Ralph Angenendt]
> ["Mail From: ... " vorgeschrieben]
>> genauso einfach fälschen kann wie den Rest.
>
> Willst Du mit diesem in diesem Zusammenhang sinnlosen Einwand jetz davon
> ablenken, datte nich gewusst hast, dat man den From bei GMX beliebich
> setzen kann?
Klar. Als ich das letzte Mal GMX als SMTP-Server genutzt habe, war dem
noch so. Alte Hasslieben sterben langsam ...
>> Entweder kann ich IP-basiert authentifizieren oder ich kann per
>> Username/Passwort authentifizieren.
>> Alles andere ist völliger Blödsinn.
>
> Nein, mindestens die Bounces landen im "richtigen" Postfach. Und bei
> Missbrauch weiß der Empfänger (oder kann es jedenfalls wissen), welches
> Postfach dem Übeltäter tatsächlich gehört.
Wenn es mitgeloggt würde sicherlich. Mail von Februar (sollte sich da
was geändert haben, habe ich mich natürlich geirrt):
Received: (qmail 22788 invoked by uid 0); 5 Feb 2002 10:14:27 -0000
Received: from port-212-202-173-193.reverse.qdsl-home.de (HELO
localhost.localdomain) (212.202.173.193)
by mail.gmx.net (mp010-rz3) with SMTP; 5 Feb 2002 10:14:27 -0000
(Hässlicher Zeilenumbruch von mir).
Ich finde da keinen Hinweis auf den Gegner.
> Nebenbei: Dat es ausgerechnet in *dieser* Gruppe soviele Hardliner gibt,
> die sich gegen Restriktionen von Providern aufregen, die dem Abuse-
> Handling sehr entgegenkommen, überrascht mich seit Jahr und Tach immer
> wieder.
Bessere Alternativen existieren (SMTP AUTH) - und wie gesagt, ich sehe
in Mails, die über GMX verschickt werden keinen Hinweis auf den
Envelope-From. Und von der Qualität der abuse-Abteilung bei GMX konnte
ich mich bisher auch noch nicht wirklich überzeugen.
Ralph Angenendt
>
> Andreas M. Kirchwitz schrieb in Nachricht ...
>>
>>SMTP-after-POP wird nur von unseriösen Providern verwendet.
>
> Deiner Auffassung nach waren also früher mal *alle* Provider unseriös?
Schwachfug. *Früher* hat man die Mails über seinen Zugangsprovider
verschickt - und der konnte das ganze über die Einwahl-IP-Adressen
zuordnen. *GANZ* früher konnte man ruhig ein offenes Relay betreiben, da
sich die Netizen zu benehmen wussten ...
Bettina Fink
>> SMTP-after-POP wird nur von unseriösen Providern verwendet. Dabei ist es
>> egal als wie "unwahrscheinlich" sie den Mißbrauch schönreden. Warum
>> etwas "unwahrscheinlich" gestalten, wenn man das Einfallstor zuverlässig
>> schließen kann?
>
> Ich finde eher diesen ganzen Subthread etwas unseriös.
Und ich finde Leute unseriös, die Role-Accounts für private Sachen
zweckentfremden und so das System von RFC 2142 aufweichen/unter-
wandern.
Anders Henke
> Öööhm, ich schrieb *Monate*, nicht *Jahre* ;-) Genauer gesagt war das
> einer jener heißen Tage, an welchen zu bewundern war, wie ein Klimagerät
> vom Rasensprenger betreut wird.
Wenn die Aussenaggregrate von sich aus nicht mehr die Waerme an die
Umgebungsluft abgeben koennen, muss man sich halt etwas einfallen lassen
statt das gleiche Pech wie Arcor zu erleiden (afaik an genau dem Tag waren
denen ihre Klimaanlagen zusammengebrochen).
> Und räumliche Trennung war auch nicht so arg, das war direkt vor der
> Treppe zur RZ-Kellertür ;-)
Da wiederum treiben sich Marketingleute nur extrem selten herum,
insbesondere "hohe" Marketingleute sind da afaik noch nie gesichtet
worden; dafuer zu dem Zeitpunkt viel Mailsupport auf Raucherpause und
inzwischen ist daneben das Buero vom RZ-Betrieb zu finden.
>> (Achtung: smtp.kundenserver.de != smtp.purtec.de)
> Oh, das ist eine andere Maschine? Gleich mal schauen ...
Ja, aufgrund verschiedener Umstell-Mentalitaeten und damit moeglicher
Termine.
Die Schlund-Reseller nehmen ihre Kunden einzeln an der Hand und
stellen um - allerdings eben nicht gerade waehrend der Sommerferien.
Die 1&1-Kunden sind dem gegenueber natuerlich eher auf sich gestellt
(bzw. eben von sich aus aktiv werden, um Hilfe zu bekommen) oder
schmeissen den "1&1-Werbemuell" schnell weg, in dem sie gebeten werden
diese Umstellung zu machen.
smtp.kundenserver.de verschickt seit einigen Wochen auch jeden Tag an eine
unique, gekuerzte Liste von aktuellen Absenderadressen Mails nach dem Motto
"Sie haben noch die alte Kiste benutzt, bitte umstellen". Outgoing ist es
der gleiche Maschinenpool, aber die Incoming-IPs sind fruehzeitig getrennt
worden, um dann am Stichtag per "IPs auf anderen Maschinen hochfahren und
per DNS-Update obsolet machen" einen direkten Umzug zu ermoeglichen.
>> > Oder will man bei 1&1 damit warten, bis in ein paar Wochen der Umzug
>> > des RZ anrollt und man dann einen neuen Grund hat, auf den man
>> > nächsten Sommer zeigen kann?
>>
>> RZ-Umzug und smtp-auth haben untereinander keine Abhaengigkeiten.
> Doch. Nicht ausreichend vorhandenes Personal, was inzwischen ja sogar
> die Spatzen von den Dächern pfeifen ;-)
Gerade in den letzten Monaten sind in einigen Firmen viele faehige Leute
arbeitslos geworden, so dass =das= nicht immer ein Argument sein kann.
Der RZ-Umzug ist viel logistische Arbeit und weniger organisatorische
(diese Sachen werden durch die verwendeten Techniken bestimmt), smtp-auth
ist hauptsaechlich "Kunden darauf zwingen" und liegt damit auch
ausserhalb der Technik. Die Technik kann zwar gezielt alte Systeme nicht
weiter supporten, z.B. Restriktionen (z.B. Ratelimits) schaffen, Dauerload
von 7-8 ignorieren oder errmsg_text definieren, aber dadurch kriegen die
wenigsten mit, was sie machen sollten.
>> Von Seiten der Technik gibt es keine Gruende, nicht sofort umzustellen.
> Okay, danke. Dann wird man ja bald sehen, wie gut 1&1 organisiert ist
> :-)
Moment, das sind wieder zwei verschiedene Dinge :->
Anders
--
http://sysiphus.de/
Anders Henke
> Die grosse Luecke (Kunde betreibt offenes Relay, offenen Proxy oder hat
> sich Spam-Trojaner eingefangen und benutzt Provider als Smarthost)
> existiert dagegen in verschaerfter, zeitlich unbegrenzter Form
> bei SMTP-AUTH.
Hmmm. Ich kenne auch einen Fall, bei dem Kunde ein offenes Relay mit
Address-Rewriting auf seine Domain betrieb und das per Smarthost
weiterschickte (spammer schickt Mail als bl...@hotmail.com rein, geht als
bl...@meinedomain.de an ISP raus).
Ebenso hatte ich mal den Fall, dass ein Kunde einen Portforwarder
auf Port 25 seiner Einwahl-IP hatte und Forwarder-Ziel der Relayhost
seines Einwahlproviders war - und damit "direkten" Missbrauch
des Relayhosts aus einem "trusted"-Netz ermoeglichte.
Die Chancen fuer den Provider so etwas wie die Auth-Weiterleitung oder die
oberen beiden Faelle zu erkennen sind aber praktisch Null, dennoch passieren
sie oft genug, um z.B. ein "unconfirmed"-Listing bei dsbl zu kassieren.
Aber wer verwendet schon unconfirmed ... genug, damit es bei grossen Providern
innerhalb eines Tages aufschlaegt und man sich mit einer Art von Problemen
beschaeftigen muss, die der Allgemeinheit nahezu unbekannt zu sein scheinen.
Anders
--
http://sysiphus.de/
Anders Henke
> mh+use...@zugschlus.de schrieb am 25.08.02
> zu "Re: kundenserver.de v?llig ahnungslos?"...
>> Das nützt nichts, wenn Idioten hergehen, das Script verändern, alle
>> Zeilenumbrüche und Kommentare rauswerfen (läuft dann ja schneller),
>> die Versionsnummer ändern (dann wird's ja nicht exploited) oder gar
>> ihren eigenen Copyrightvermerk hinschreiben.
> Natürlich, aber wieviele machen das? Du wirst mir kaum erzählen, daß das
> alle so machen.
Ich habe gestern die Zeit gefunden, den Formmail-Scanner von
Signatur-Scan auf "unklare Faelle auch per curl test-exploiten"
erweitert habe. Gab rund 2000 weitere Positiv-Befunde (und eine
dreimal so hohe Scanzeit).
Gerade hierzulande ist es SEHR verbreitet, das formmail zu "uebersetzen"
und viele verschiedene Agenturen haben sich damit schon ihr Geld
verdient, Kommentare rauszustrippen und ein eigenes (c) drueberzupappen.
Einige bieten es sogar als "eigenes" Tool als Referenz ihrer Arbeit
zum Download auf ihrer Website an - womit sich das Problem noch
verschaerft, weil die Nutzer selbst beim Wissen ueber das schlechte
MW-Formmail nicht ahnen, was sie sich da installiert haben.
> Du tust jetzt so, als ob alle Eure Nutzer jetzt plötzlich die Bastel-
> Cracks wären, die hier Euren Scriptschutz aushacken.
Bitte langsam.
Marc arbeitet zwar bei einem ISP in Karlsruhe (toplink-plannet), aber ausser
von SAGE-Treffen hat er afaik nicht wirklich was mit 1&1-Leuten zu tun.
Marc ist afaik auch derjenige, der in den letzten Jahren einer der lautesten
Schlund-Gegner ueberhaupt war und seine negative Meinung auch nur
aufgrund von positiven Aktionen in Richtung "neutral" aenderte, insofern
solltest du ihn vielleicht nicht gerade als Schlundie ansprechen :-)
>> Du kannst zwar solche Formmails erkennen, aber Du wirst immer
>> hinterherrennen. Und das ist bei zweieinhalb Millionen Präsenzen
>> nicht wirklich einfach.
> Ja, darum lassen wir 4.000 erkannte Scripte lieber auch gleich noch
> liegen.
Oft genug ist bestaetigt worden, dass diese Kunden per Mailing informiert
und nachgefasst werden, damit die Sites nicht gleich kaputtgehen und man
das Problem ruhig und zivilisiert angehen kann, wie man es von jedem
verantwortungsvoll handelndem Geschaeftspartner erwarten kann.
Nun haben wir eben auf allgemeines Geheiss die Holzhammermethode
angewandt und nun schreien entsprechend viele Kunden auch nach Rechtsanwalt
und Schadensersatz, weil ihre tollen Bestellformulare nicht mehr tun.
Ich hoffe, du bist nun zufrieden.
Anders
--
http://sysiphus.de/
Anders Henke
>> Die letzte Variante waere "ein paar Mio HTTP-Requests losschicken"
>> und versuchen, die Dinger "live" zu exploiten. Nicht wirklich lustig
>> ...
> Aber innerhalb des LANs auch nicht wirklich das Problem.
Das Problem ist nicht irgendwie Bandbreite, sondern dass ein paar greps
schneller gemacht sind als komplette HTTP-Requests durchzufuehren und
deren Ergebnis (Mail wirklich verschickt) zu pruefen.
Ohne den http-Teil ist der Scanner in wenigen Minuten auf einer
Maschine durch, mit http ist locker eine Viertelstunde schnell herum.
Und wenn der Scanner stuendlich laeuft, ist das halt auch auf Dauer
eine "unnoetige" Last fuer den Webserver und es nur eine Frage der Zeit,
bis sich Leute ueber "schlechte Performance" beschweren, weil neben
diesem Scanner noch 20 aehnliche Tools in kurzen oder sogar minuetlichen
Cron-Intervallen laufen.
Anders
--
http://sysiphus.de/
Joern Abatz
> > Auf der anderen Seite wird aber - noch auf absehbare Zeit - ein
> > Provider, der SMTP ohne AUTH plötzlich abschaltet, wahrscheinlich
> > genauso plötzlich die Mehrheit seiner Kunden verlieren. (Als Folge
> > wird er übrigens die Mehrheit seiner Admins entlassen müssen, ich
> > hoffe, es trifft dann die richtigen.)
>
> Tut mir leid, wenn ich Dich enttäuschen muss - nicht alle Kunden sind so
> doof, daß sie SMTP-after-POP fordern, wenn's auch bessere Methoden gibt.
Danke, das kam ja wie aufs Stichwort, ein prima Beispiel.
Es gibt tatsächlich Admins bei Providern, die haben ein
Problem damit, andere Menschen zu respektieren. Ein Kunde
ist niemals "doof", auch wenn er etwas möchte, was dem Admin
nicht paßt.
Nicht der Kunde ist dazu da, die Wünsche des Admins zu
erfüllen, sondern umgekehrt. Denn der Kunde zahlt, und der
Admin steckt es ein. Dafür schuldet er eine Gegenleistung.
Und die schuldet er nicht seinen eigenen hohen Idealen,
sondern dem Kunden.
Also: Wenn der Kunde pfeift, hat der Admin zu springen. Wer
ein Problem damit hat, muß sich einen Job suchen, wo keine
Kunden gebraucht werden: Beamter.
Wenn der Kunde bequemen Zugriff ohne Spam wünscht, dann ist
der Admin derjenige, der dafür zu sorgen hat. Also soll er mal
anfangen, sein Geld wert zu sein und sich was einfallen lassen...
> Ich finde es eher traurig, daß Du Leuten der Verlust ihres Jobs
> wünschst, nur weil sie keine Spammer unterstützen wollen.
>...
> Wir sind hier in de.admin.net-abuse.mail, aber wenn man den Leuten ihre
> Bequemlichkeit wegnimmt, ist Spam plötzlich völllig okay. Vielleicht
> haben die meisten Leute hier den Spam verdient, den sie bekommen ...
>...
> *seufz*
... und aufhören herumzujaulen.
Jörn
Joern Abatz
>> Ich finde eher diesen ganzen Subthread etwas unseriös.
>
> Und ich finde Leute unseriös, die Role-Accounts für private Sachen
> zweckentfremden und so das System von RFC 2142 aufweichen/unter-
> wandern.
Ich vermute, das sollte wohl ein besonders elegant formulierter,
persönlicher Angriff werden?
Dann erklär mal, was Du eigentlich meinst, so verkürzt wie Du Dich
ausdrückst, verstehe ich das nämlich nicht.
Jörn
Frank 'Kelshon' Schmidt
> Dann erklär mal, was Du eigentlich meinst,
Bettina hat dir die Informationsquelle RFC 2142 genannt, also
lies ihn dir durch und verlange nicht, daß man dir alles vorkaut.
Hint:
Gemeint war dein localpart "news".
Marc Haber
>Marc arbeitet zwar bei einem ISP in Karlsruhe (toplink-plannet), aber ausser
>von SAGE-Treffen hat er afaik nicht wirklich was mit 1&1-Leuten zu tun.
Richtig.
>Marc ist afaik auch derjenige, der in den letzten Jahren einer der lautesten
>Schlund-Gegner ueberhaupt war und seine negative Meinung auch nur
>aufgrund von positiven Aktionen in Richtung "neutral" aenderte,
Korrekt. Es tut sich was, und das sollte man unterstützen.
>insofern solltest du ihn vielleicht nicht gerade als Schlundie ansprechen :-)
Man hat mich weder bestochen noch gefoltert. Man hat nur begonnen, auf
complaints zu reagieren. Das macht Schlund besser als manche
/19-Klitsche, und ich bin bereit, das zu honorieren.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29
Joern Abatz
> Oft genug ist bestaetigt worden, dass diese Kunden per Mailing
> informiert und nachgefasst werden, damit die Sites nicht gleich
> kaputtgehen und man das Problem ruhig und zivilisiert angehen kann, wie
> man es von jedem verantwortungsvoll handelndem Geschaeftspartner
> erwarten kann.
Richtig. Und so funktioniert es auch.
> Nun haben wir eben auf allgemeines Geheiss die Holzhammermethode
> angewandt und nun schreien entsprechend viele Kunden auch nach
> Rechtsanwalt und Schadensersatz, weil ihre tollen Bestellformulare nicht
> mehr tun.
Ich glaube, da haben sich in Wirklichkeit einige übereifrige
Zeitgenossen gegenseitig hochgeschaukelt. Man sollte das zur
Kenntnis nehmen, aber sich nicht allzusehr beeindrucken lassen.
Auch bei einem schlechten Formmail-Skript handelt es sich nur
zum Teil um ein technisches Problem. Mindestens zur Hälfte ist
es auch immer ein menschliches Problem, z.B. hat jemand irgend
etwas nicht gewußt, oder ist auf einen "Experten" hereingefallen.
Am besten klärt man so etwas immer telefonisch. Die meisten
Menschen sind vernünftigen Argumenten am Telefon leichter
zugänglich als per Mail, Brief oder Fax. Es hängt damit zusammen,
daß der Klang der menschlichen Stimme so etwas wie "Vertrauen"
besser transportiert als ein Stück Papier es kann.
Der telefonische Weg ist zwar langsam, aber es ist trotzdem
der effektivste, und eigentlich sogar der schnellste Weg.
Und bei der angespannten wirtschaftlichen Lage sollte eigentlich
sowieso jeder möglichst vermeiden, daß z.B. Verträge aus rein
menschlichem Ärger heraus gekündigt werden.
Jörn
Alexander Stielau
Vielleicht machst Du mal deine Hausaufgaben, bevor Du in einer
Admin-Gruppe rumdröhnst.
Bettina hat Dir die wesentlichen Bestandteile ihrer Kritik, die ich
übrigens teile, mitgeteilt. Lesen mußt Du schon selbst.
Aleks
Alexander Stielau
> Also: Wenn der Kunde pfeift, hat der Admin zu springen. Wer
> ein Problem damit hat, muß sich einen Job suchen, wo keine
> Kunden gebraucht werden: Beamter.
Davon träumst Du, oder?
Die Kunden, die wir haben, sind sehr zufrieden damit, daß wir eben
nicht stumpf machen, was der Kunde will (weil der Kunde in der Regel
nicht weiß, was er sich damit einbrocken würde), sondern dem Kunden
klar machen, daß er genau das nicht will, und welche sinnvollen
Alternativen es gibt.
Im übrigen nennt sich der Posten ohne Kunden nicht Beamter, sondern
interne IT.
Aleks
Klaus Hoeppner
>> Und ich finde Leute unseriös, die Role-Accounts für private Sachen
>> zweckentfremden und so das System von RFC 2142 aufweichen/unter-
>> wandern.
> ausdrückst, verstehe ich das nämlich nicht.
Woran hapert es denn bei dir?
Was ein Role Account ist?
Was ein RFC ist?
Wo man RFC 2142 findet?
Dass RFCs in englisch sind?
Am Herauslesen, dass news@domain ein Role Account ist?
Am "Interessiert mich alles nicht"?
AM "Ich bezahle fuer meinen Zugang, da muss ich nicht lesen"?
Klaus
Joern Abatz
>> Dann erklär mal, was Du eigentlich meinst,
>
> Bettina hat dir die Informationsquelle RFC 2142 genannt, also lies ihn
> dir durch und verlange nicht, daß man dir alles vorkaut.
Warum sollte ich das tun?
So könntest Du vielleicht argumentieren, wenn ich eine FAQ
gestellt hätte, und die Antwort wäre - etwas kurz, aber noch
üblich - gewesen: "RFC soundso".
Aber in diesem Falle war das "RFC soundso" nicht eine verkürzte
Hilfe, sondern ein geringschätziger Kommentar.
Also ist die Antwort "-v" (in lang) völlig ok, und Dein dummer
kleiner Einwand war daneben ;-)
Jörn
Joern Abatz
>> Also: Wenn der Kunde pfeift, hat der Admin zu springen. Wer ein Problem
>> damit hat, muß sich einen Job suchen, wo keine Kunden gebraucht werden:
>> Beamter.
>
> Davon träumst Du, oder?
Ich habe mit Absicht übertrieben. Ich erklärs gleich.
> Die Kunden, die wir haben, sind sehr zufrieden damit, daß wir eben nicht
> stumpf machen, was der Kunde will (weil der Kunde in der Regel nicht
> weiß, was er sich damit einbrocken würde), sondern dem Kunden klar
> machen, daß er genau das nicht will, und welche sinnvollen Alternativen
> es gibt.
Das finde ich so völlig in Ordnung. Auch ich mache meistens nicht
das, was der Kunde _sagt_ sondern das, was der Kunde _meint_. Die
Kunst besteht darin, überhaupt zu verstehen, was er meint. Und dazu
ist es unbedingt nötig, dem Kunden gegenüber eine bestimmte
Einstellung zu haben, und die lautet (ungefähr):
"Der Kunde ist ein vernünftiger Mensch, der mich bezahlt,
damit ich seine Wünsche zufriedenstelle."
Hier ist in der Diskussion mehrmals die Rede gewesen von "trägen
Kunden", von Kunden, die "getreten" werden müssen, usw. Und das
verrät eine falsche Einstellung. Solche Ausdrücke kommen einem
gar nicht erst in den Sinn, wenn man erstmal gelernt hat, Kunden
mit dem gleichen Respekt zu begegnen, wie man ihn selbst auch
erwartet.
Ich spreche jetzt nicht von "professioneller Freundlichkeit",
das ist vermutlich genau das, was einige praktizieren, und es
ist kontraproduktiv. "Professionelle Freundlichkeit" bedeutet
nämlich, daß man sich verstellt, und als Ausgleich braucht man
irgend eine Art von Forum, den Pausenraum, das kleine Gespräch
an den Schreibtisch gelehnt, oder auch diese Gruppe, wo man
den angestauten Dampf mal wieder ablassen kann. Und da kommen
dann eben so Ausdrücke wie "Kunde muß getreten werden".
Ich spreche davon, daß man mit dem Kunden kein "Rollenspiel"
spielt, sondern "man selbst" ist, und daß man nicht darauf
hereinfällt, jemanden für dumm zu halten, bloß weil er die
die Fachausdrücke nicht beherrscht. Und daß man nicht darauf
hereinfällt, sich selbst für besser zu halten, bloß weil man
ein anderes Fachgebiet beherrscht.
(Und im übrigen treten die wirklich guten Leute meistens den
Kunden gegenüber mit Bescheidenheit und innerer Sicherheit
auf. Das Problem mit überheblichem Auftreten haben nur die,
die in Wirklichkeit eigentlich Versager sind, oder sehr jung.)
> Im übrigen nennt sich der Posten ohne Kunden nicht Beamter,
> sondern interne IT.
Ich ahne es: Da hat man es statt mit "Kunden" mit "Mitarbeitern"
zu tun, und wenn man die schurigelt, können sie sich nicht wehren,
die zahlen nämlich nicht, die werden bezahlt.
Da tun sich ja wieder Abgründe auf :-)
Jörn
______________________________________________________________________
Posted Via Uncensored-News.Com - Still Only $9.95 - http://www.uncensored-news.com
<><><><><><><> The Worlds Uncensored News Source <><><><><><><><>
Wolfgang Jaeth
Andreas M. Kirchwitz schrieb in Nachricht ...
>
>die offenen Relays von beispielsweise k*nd*ns*rv*r.de, aber solche
>Provider, deren Erfolg darauf basiert, die Zerstörung des Netzes
>billigend in Kauf zu nehmen (Open Relay? Weil's einfacher für die
>Kunden ist! Abuse-Bearbeitung? Wieso - klicken Sie doch auf den
>"Remove"-Link, wenn sie Spam bekommen haben!), sollten ohnehin
>indiskutabel sein für jeden, der ein Gewissen hat.
Hmm, was hat das noch mit gmx zu tun (denn um *den* ging es ursprünglich)?
Wolf 'oder ist jetzt blindes Provider-Bashing angesagt?' gang
--
Wolfgang Jaeth
Joern Abatz schrieb in Nachricht ...
>
>Nicht der Kunde ist dazu da, die Wünsche des Admins zu
>erfüllen, sondern umgekehrt.
Im Rahmen seiner Verantwortung, ja.
>Denn der Kunde zahlt, und der
>Admin steckt es ein. Dafür schuldet er eine Gegenleistung.
>Und die schuldet er nicht seinen eigenen hohen Idealen,
>sondern dem Kunden.
Im Rahmen seiner Verantwortung, ja.
>Also: Wenn der Kunde pfeift, hat der Admin zu springen.
Und wenn er mit der Peitsche herumspielen [tm] will? Oder Spammen? Und
betrügen? Da überall soll der Admin springen? Irgendwie hab ich da eine
andere Vorstellung von dem Beruf ...
Wolfgang
--
Andreas Barth
> On Tue, 27 Aug 2002 16:41:30 +0200, Frank 'Kelshon' Schmidt wrote:
>>> Dann erklär mal, was Du eigentlich meinst,
>> Bettina hat dir die Informationsquelle RFC 2142 genannt, also lies ihn
>> dir durch und verlange nicht, daß man dir alles vorkaut.
> Warum sollte ich das tun?
Weil es wenig Sinn hat, wenn Dir hier dieser RFC nochmal vorgelesen
wird.
> Aber in diesem Falle war das "RFC soundso" nicht eine verkürzte
> Hilfe, sondern ein geringschätziger Kommentar.
Bettinas Anmerkung war bereits in ihrem ursprünglichen Posting, und
das war nicht geringschätzig.
Grüße,
Andi
--
PGP 1024/89FB5CE5 DC F1 85 6D A6 45 9C 0F 3B BE F1 D0 C5 D1 D9 0C
die Weltherrschaft erringen Ziel des Spiels "Risiko" 1976
die Welt zu befreien ... und 1990.
Joern Abatz
Das scheinen mir alles Beispiele zu sein, wo technische Mittel
an ihrer Grenze sind, und wo die Provider den Spam nur bekämpfen
können, wenn sie von möglichst vielen Kunden dabei unterstützt
werden, und zwar möglichst von denen, die auch detaillierte
Informationen liefern können und sich nicht nur beschweren.
Die sich z.B. mal die Mühe machen, die Rejects aus ihren Logdateien
rauszusammeln und nach "Mustern" zu suchen, die sich wiederholen,
und wenn sie etwas finden, den entsprechenden Provider anmailen.
Auf die Weise kann man z.B. die Spammer manchmal schon "im Vorfeld"
erwischen, wenn sie noch dabei sind, nach offenen Proxies zu suchen.
Jörn
Jost Krieger
> Das finde ich so völlig in Ordnung. Auch ich mache meistens nicht
> das, was der Kunde _sagt_ sondern das, was der Kunde _meint_. Die
> Kunst besteht darin, überhaupt zu verstehen, was er meint. Und dazu
> ist es unbedingt nötig, dem Kunden gegenüber eine bestimmte
> Einstellung zu haben, und die lautet (ungefähr):
>
> "Der Kunde ist ein vernünftiger Mensch, der mich bezahlt,
> damit ich seine Wünsche zufriedenstelle."
Problem Nr. 1: Der Kunde bezahlt natürlich meist nicht den Admin ...
(Wirkliches) Problem Nr. 2: Nicht alle Kunden sind "vernünftige Menschen".
Man sollte stets mit dieser Einstellung beginnen, aber wenn die Fakten
das Gegenteil beweisen ...
Ich habe natürlich gut reden, denn unsere "Kunden" zahlen nicht.
> Hier ist in der Diskussion mehrmals die Rede gewesen von "trägen
> Kunden", von Kunden, die "getreten" werden müssen, usw. Und das
> verrät eine falsche Einstellung. Solche Ausdrücke kommen einem
> gar nicht erst in den Sinn, wenn man erstmal gelernt hat, Kunden
> mit dem gleichen Respekt zu begegnen, wie man ihn selbst auch
> erwartet.
Was für Ausdrücke kommen dir denn in den Sinn, wenn Kunden sich
weigern, Hilfe anzunehmen? Ich hab' ja nur ca. 35000 und bin immer
froh über die, die sich nicht persönlich rühren (obwohl viele
eigentlich Hilfe brauchten). Aber die, die immer wieder mit dem
gleichen Problem kommen, bringen mir nach einiger Zeit schon
Verzweiflung (ja, *nachdem* man die eigenen Fehler betrachtet hat).
> Ich spreche jetzt nicht von "professioneller Freundlichkeit",
> das ist vermutlich genau das, was einige praktizieren, und es
> ist kontraproduktiv. "Professionelle Freundlichkeit" bedeutet
> nämlich, daß man sich verstellt, und als Ausgleich braucht man
> irgend eine Art von Forum, den Pausenraum, das kleine Gespräch
> an den Schreibtisch gelehnt, oder auch diese Gruppe, wo man
> den angestauten Dampf mal wieder ablassen kann. Und da kommen
> dann eben so Ausdrücke wie "Kunde muß getreten werden".
In den geschilderten Fällen ziehe ich aber "professionelle
Freundlichkeit" immer noch dem Anschreien vor, das dann "unverstellt"
wäre.
> Ich spreche davon, daß man mit dem Kunden kein "Rollenspiel"
> spielt, sondern "man selbst" ist, und daß man nicht darauf
> hereinfällt, jemanden für dumm zu halten, bloß weil er die
> die Fachausdrücke nicht beherrscht. Und daß man nicht darauf
> hereinfällt, sich selbst für besser zu halten, bloß weil man
> ein anderes Fachgebiet beherrscht.
Alles richtig, "dumm" ist ein dummes Wort :-) Viele sind uninformiert,
aber wie nennt man die, die dabei gleichzeitig ignorant und arrogant
sind? (ignorant=nicht wissen wollen, IIRC)
Gruß Jost |8-))
Frank Ellermann
> Bei GMX ist es nach meiner Erfahrung (alte Sicherheitsein-
> stellung bzw. besser wohl eher keine) absolut kein Problem
> einen gerade offenen "Smtp After Pop" Zugang zu finden.
Das mag so sein, aber hat IMHO nix mit dem von Bodo genauer
beschriebenen Verfahren zu tun: Nur der zur POP-Box passende
Absender wird akzeptiert, und das maximal 10 Minuten nach dem
letzten POP QUIT.
Bitte wie willst Du das schaffen, IP und passenden Absender
zu erraten, und das in einem nicht vorhersehbaren Zeitfenster
von 10 Minuten ?
JFTR: Ich rede nicht von GMX. Ich rede von einem regionalen
Anbieter, der hier IIRC noch nie (18 Monate) "angeklagt" war.
Ich sag auch nix gegen bessere Verfahren. Ich sag nur, dass
ihr spinnt, wenn ihr das unter "genauso wie open relay" bucht:
bei Absenderpruefung stimmt das nicht. Oder es sollte mir mal
wer ganz langsam erklaeren, und zwar so, dass ich es schaffe,
unberechtigt Mail zu versenden.
Bye, Frank
Joern Abatz
On Tue, 27 Aug 2002 14:30:04 +0200, Bettina Fink wrote:
On Tue, 27 Aug 2002 19:49:46 +0200, Andreas Barth wrote:
> Deine Email-Adresse gefällt uns nicht
Aber sonst ist noch alles gesund, gell.
Selbst wenn Euer RFC bereits "Standard" wäre, müßtet Ihr
trotzdem begründen können, welche Sicherheitslücken oder
Fehlfunktionen meine Adresse nun wirklich auslösen kann.
Das könnt Ihr aber nicht. Denn dummerweise steht in RFC
2142 genau das Gegenteil drin:
> 9. SECURITY CONSIDERATIONS
>
> Denial of service attacks (flooding a mailbox with junk) will be
> easier after this document becomes a standard, since more systems
> will support the same set of mailbox names.
Euer RFC ist zwar eine Erleichterung für Admins, die viel
herumkommen, aber auch eine Erleichterung für Spammer.
Keine so richtig gute Idee zum gegenwärtigen Zeitpunkt.
Und sowas empfehlt Ihr ausgerechnet in dieser Gruppe.
Wißt Ihr, was ich glaube:
Ihr habt das nicht gewußt.Ihr habt nämlich RFC 2142 in
Wirklichkeit noch nie selber gelesen, Ihr habt nur in
irgend einer Schulung mal davon reden hören, gell ;-)
Jörn
Marc Haber
>Selbst wenn Euer RFC bereits "Standard" wäre, müßtet Ihr
>trotzdem begründen können, welche Sicherheitslücken oder
>Fehlfunktionen meine Adresse nun wirklich auslösen kann.
Soziale Fehlfunktionen.
*PLONK*