Erfahrungen mit SMTP-Relay-Anbietern

[Arno Welzel]

Nun habe ich wieder mal das Vergnügen gehabt, dass Mails bei GMail nicht
angenommen wurden, weil der versendende Server bei Google noch keine
ausreichende Reputation hat. Der Grund ist wohl, dass Google Mailserver
auch danach beurteilt, wieviele Mails von diesen Servern bereits an
GMail-Adressen zugestellt wurden und ob da viel Spam dabei war. Selbst
wenn man sonst alles korrekt macht - also SPF, DKIM und DMARC, eigene
IP-Adressen exklusiv nur für den MX usw. - wenn Google den Server noch
nicht kennt, wird er erstmal unabhängig vom Inhalt der E-Mails pauschal
blockiert und es gibt auch keine Möglichkeit, das zu ändern.

Die einzige Abhilfe, die ich bisher gefunden habe, stark vereinfacht:
man registriert sich bei einem SMTP-Relay-Anbieter einen Zugang und
konfiguriert im eigenen Mailserver einen Server des Anbieters als
Smarthost für die Mail-Auslieferung ein.

Momentan teste ich Sendgrid, konfiguriert als Smarthost für Postfix -
das scheint recht problemlos zu funktionieren, inkl. DKIM-Signatur für
die eigene Domain und auch kostenlos, wenn das Mailvolumen gering ist.
Und das Entscheidende: Mails, die so versendet werden, kommen auch bei
GMail-Adressen an.

Kennt jemand auch Anbieter in Deutschland, die auch bei GMail & Co. als
"vertrauenswürdig" akzeptiert sind und SMTP-Relays für fremde Domains
anbieten, ähnlich wie Sendgrid? Das Volumen wird wohl in der
Größenordnung 3000-5000 Mails im Monat sein. Es darf auch ruhig etwas
kosten.


--
Arno Welzel
https://arnowelzel.de
https://de-rec-fahrrad.de
http://fahrradzukunft.de

[Florian Weimer]

* Arno Welzel:

> Kennt jemand auch Anbieter in Deutschland, die auch bei GMail & Co. als
> "vertrauenswürdig" akzeptiert sind und SMTP-Relays für fremde Domains
> anbieten, ähnlich wie Sendgrid? Das Volumen wird wohl in der
> Größenordnung 3000-5000 Mails im Monat sein. Es darf auch ruhig etwas
> kosten.

Google bietet das an.

[Thomas Gohel]

Hallo Arno,

> Nun habe ich wieder mal das Vergnügen gehabt, dass Mails bei GMail
> nicht angenommen wurden, weil der versendende Server bei Google noch
> keine ausreichende Reputation hat.

Mhh, ich hatte bisher keine Probleme bei Google und mit Google-Nutzern.

Aus Spaß habe ich mir mal selbst erstmalig auf meine SmartPhone-Adresse
eine Mail geschickt, sie wurde klaglos angenommen und erschien auch drei
Minuten im Posteingang.

> Der Grund ist wohl, dass Google Mailserver auch danach beurteilt,
> wieviele Mails von diesen Servern bereits an GMail-Adressen zugestellt
> wurden und ob da viel Spam dabei war.

Mhhh, diese Probleme kenne ich bisher nur aus der Microsoft-Could-
Blase.

> Selbst wenn man sonst alles korrekt macht - also SPF, DKIM und
> DMARC, eigene IP-Adressen exklusiv nur für den MX usw. -

Ich habe hier nur SPF am Start, da DKIM mir schon aus Client-Sicht zu
viele Fehler liefert (lieder). Allerdings stimmt der rDNS-Eintrag und
ich nutze prinzipiell SSL mit einem zum Mailserver passenden Zertifikat
von LetsEncrypt.

> wenn Google den Server noch nicht kennt, wird er erstmal unabhängig
> vom Inhalt der E-Mails pauschal blockiert und es gibt auch keine
> Möglichkeit, das zu ändern.

Das Problem kenne ich nicht, sowohl damals mit Telefonica als Vorleister,
als auch jetzt mit einer T-IPv4.

> Die einzige Abhilfe, die ich bisher gefunden habe, stark vereinfacht:

Mhh, was passiert wenn Du von Google einen Schwung Mails auf Deinen
Server schickst? Steht da etwas in deren gesetzten Headern?

> man registriert sich bei einem SMTP-Relay-Anbieter

Das ist doch nur ein Hack. :-(

> Kennt jemand auch Anbieter in Deutschland, die auch bei GMail & Co.
> als "vertrauenswürdig" akzeptiert sind und SMTP-Relays für fremde
> Domains anbieten, ähnlich wie Sendgrid? Das Volumen wird wohl in der
> Größenordnung 3000-5000 Mails im Monat sein. Es darf auch ruhig etwas
> kosten.

4,95 + setzen eines eigenen Envelope-Headers?

PS: Wobei, ich glaube sie bieten den Tarif nur noch für Uralt-Kunden an.

Tschau,

--------------
/ h o m a s
--
Permanent Online Filter fuer: User ohne Realnamen im From:-Feld, Full-
quotes (zitieren des originalen Postings unter der eigenen Antwort),
Visitenkarten, HTML-Postings, Invalid- und ungueltige Email-Adressen

[Arno Welzel]

Thomas Gohel:

>
> Hallo Arno,
>
>> Nun habe ich wieder mal das Vergnügen gehabt, dass Mails bei GMail
>> nicht angenommen wurden, weil der versendende Server bei Google noch
>> keine ausreichende Reputation hat.
>
> Mhh, ich hatte bisher keine Probleme bei Google und mit Google-Nutzern.

Mit deinem eigenen Server?

> Aus Spaß habe ich mir mal selbst erstmalig auf meine SmartPhone-Adresse
> eine Mail geschickt, sie wurde klaglos angenommen und erschien auch drei
> Minuten im Posteingang.

Hier nicht. Google lehnte die Mails sofort ab, weil sie die IP-Adresse
nicht kennen. Nachdem den Versand auf Sendgrid als Relay umgestellt habe
(inkl. DKIM, SPF-Anpassung etc. pe pe), gingen die Mails sofort durch.

Nun aber wollte GMX die nicht mehr haben - was für ein Affentheater!

Also Transport Map in Postfix angepasst: an GMail bitte über Sendgrid
schicken und Rest direkt an den zuständigen MX.

[...]

>> Die einzige Abhilfe, die ich bisher gefunden habe, stark vereinfacht:
>
> Mhh, was passiert wenn Du von Google einen Schwung Mails auf Deinen
> Server schickst? Steht da etwas in deren gesetzten Headern?

Sie lehnen alle Mails mit Fehlermeldung ab. Die Meldung ist dann diese
hier (leicht gekürzt und anonymisiert):

550-5.7.1 [... ] Our system has detected that this message is
550-5.7.1 likely suspicious due to the very low reputation of the sending
550-5.7.1 domain. To best protect our users from spam, the message has been
550-5.7.1 blocked. Please visit
550 5.7.1 https://support.google.com/mail/answer/188131 for more
information.

>> man registriert sich bei einem SMTP-Relay-Anbieter
>
> Das ist doch nur ein Hack. :-(

Besser Lösungen nehme ich gerne an.

>> Kennt jemand auch Anbieter in Deutschland, die auch bei GMail & Co.
>> als "vertrauenswürdig" akzeptiert sind und SMTP-Relays für fremde
>> Domains anbieten, ähnlich wie Sendgrid? Das Volumen wird wohl in der
>> Größenordnung 3000-5000 Mails im Monat sein. Es darf auch ruhig etwas
>> kosten.
>
> 4,95 + setzen eines eigenen Envelope-Headers?
>
> PS: Wobei, ich glaube sie bieten den Tarif nur noch für Uralt-Kunden an.

Wer?

[Thomas Gohel]

Hallo Arno,

>>> Nun habe ich wieder mal das Vergnügen gehabt, dass Mails bei GMail
>>> nicht angenommen wurden, weil der versendende Server bei Google
>>> noch keine ausreichende Reputation hat.
>> Mhh, ich hatte bisher keine Probleme bei Google und mit
>> Google-Nutzern.
> Mit deinem eigenen Server?

Ja, also prinzipiell vergleichbar mit Deinem Mailserver. Web- und Mail-
Server IPs sind hier aber identisch.

> Hier nicht. Google lehnte die Mails sofort ab, weil sie die
> IP-Adresse nicht kennen.

Der für die Domain zuständige Mailserver ist "mail.0?0?.de", die SPFs
zeigen aber auf den MX von Sendgrid und Mailjet.

> Nun aber wollte GMX die nicht mehr haben - was für ein Affentheater!

Das wundert mich jetzt nicht, GMX prüft m.E. auf SPF ...

> Sie lehnen alle Mails mit Fehlermeldung ab. Die Meldung ist dann
> diese hier (leicht gekürzt und anonymisiert):

Handelt es sich um eine IPv4- oder IPv6-Fehlermeldung? Ansonsten würde
ich versuchsweise IPv6 komplett aus aller Config entfernen, damit der
MX komplett IPv4-only ist. Mein Bauch sagt, ich habe irgendwann etwas
zu dem Thema und GMail gelesen ...

Tschau,

--------------
/ h o m a s
--

Der neue Internet Trend: Abstossende Postings! Verfasse die Mail in
HTML, niemals mit Realnamen, haenge immer das Original-Posting als
Fullquote an die Antwort, signiere alles konsequent mit einer Visiten-
karte und Du wirst reichlich die diversen Filter begluecken. :-)))))))

[Arno Welzel]

Thomas Gohel:

>
> Hallo Arno,
>
>>>> Nun habe ich wieder mal das Vergnügen gehabt, dass Mails bei GMail
>>>> nicht angenommen wurden, weil der versendende Server bei Google
>>>> noch keine ausreichende Reputation hat.
>>> Mhh, ich hatte bisher keine Probleme bei Google und mit
>>> Google-Nutzern.
>> Mit deinem eigenen Server?
>
> Ja, also prinzipiell vergleichbar mit Deinem Mailserver. Web- und Mail-
> Server IPs sind hier aber identisch.
>
>> Hier nicht. Google lehnte die Mails sofort ab, weil sie die
>> IP-Adresse nicht kennen.
>
> Der für die Domain zuständige Mailserver ist "mail.0?0?.de", die SPFs
> zeigen aber auf den MX von Sendgrid und Mailjet.

Ja. Sendgrid und Mailjet sind aber nur zusätzlich drin, nicht exklusiv:

v=spf1 include:sendgrid.net include:spf.mailjet.com mx -all

>> Nun aber wollte GMX die nicht mehr haben - was für ein Affentheater!
>
> Das wundert mich jetzt nicht, GMX prüft m.E. auf SPF ...

GMX nimmt die Mails direkt vom Server ja sofort und ohne Probleme an.
Nur eben nicht dann, wenn sie von Sendgrid kommen. Da verschwinden sie
entweder einfach kommentarlos oder werden erst nach viele Stunden
ausgeliefert. Mails über Sendgrid an GMail gehen sofort durch.

>> Sie lehnen alle Mails mit Fehlermeldung ab. Die Meldung ist dann
>> diese hier (leicht gekürzt und anonymisiert):
>
> Handelt es sich um eine IPv4- oder IPv6-Fehlermeldung? Ansonsten würde
> ich versuchsweise IPv6 komplett aus aller Config entfernen, damit der
> MX komplett IPv4-only ist. Mein Bauch sagt, ich habe irgendwann etwas
> zu dem Thema und GMail gelesen ...

Ok, das wäre noch ein Ansatzpunkt, wobei es aktuell nicht alle Domains
betrifft. GMail lehnt z.B. Mails von arnowelzel.de über den Server nicht
ab, obwohl das über den selben Server geht.

[Marc Haber]

Arno Welzel <use...@arnowelzel.de> wrote:
>550-5.7.1 [... ] Our system has detected that this message is
>550-5.7.1 likely suspicious due to the very low reputation of the sending
>550-5.7.1 domain. To best protect our users from spam, the message has been
>550-5.7.1 blocked. Please visit
>550 5.7.1 https://support.google.com/mail/answer/188131 for more
>information.

Ja, das Kartell der Großmailanbieter richtet mit seinen Spamfiltern
aktuell mehr Schaden an als alle Spammer zusammen ien 25 Jahren. Der
Betrieb eines eigenen Mailservers wird von Tag zu Tag schwieriger.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Arno Welzel]

Arno Welzel:

[...]

> GMX nimmt die Mails direkt vom Server ja sofort und ohne Probleme an.
> Nur eben nicht dann, wenn sie von Sendgrid kommen. Da verschwinden sie
> entweder einfach kommentarlos oder werden erst nach viele Stunden
> ausgeliefert. Mails über Sendgrid an GMail gehen sofort durch.

Ok, ich war wohl zu ungeduldig. Die Änderung im SPF, dass neben dem MX
der Domain auch die Regeln von sendgrid.net zu prüfen sind, war wohl bei
GMX noch nicht sichtbar.

Ich habe gerade nochmal einen Test mit Sendgrid gemacht, wo die Mails
jetzt auch bei GMX problemlos ankommen.

Aber nachdem es dafür keine Notwendigkeit gibt, belasse ich es erstmal
dabei, dass ich nur Mails an GMail über Sendgrid schicken lasse.

Zum Thema IPv6: nein, das ist meinem Fall nicht das Problem. Tatsächlich
gibt es einen korrekten AAAA-Record und PTR auch auf die IPv6-Adresse
des Mailservers - das war nämlich bei früheren Fehlerberichten dazu das
Problem, dass Leute schlicht diese Punkte vergessen haben.

Der Grund ist wohl wirklich, dass GMail eben Mails von ihnen unbekannten
Servern nicht haben will. Schön finde ich den Workaround mit
zusätzlichem Smarthost nicht - aber am Ende kommt es halt darauf an,
dass E-Mails auch ankommen. Da kann ich gegenüber meinen Nutzer nicht
damit argumentieren, dass GMail halt mistig ist.

[Thomas Gohel]

Hallo Arno,

> Zum Thema IPv6: nein, das ist meinem Fall nicht das Problem.
> Tatsächlich gibt es einen korrekten AAAA-Record und PTR auch auf die
> IPv6-Adresse des Mailservers

Doch, ich verorte das Problem durchaus bei IPv6, da Google bei IPv6
deutlich härtere Rules als Bedingung hat (persönliche Meinung: da
Blacklisting auf IPv6-Ebene komplizierter ist). Eine von den Bedingungen
ist ein valider DKIM-Header und diesen hast Du mir bisher in den zwei
Mails an mich nicht korrekt gesetzt (sagt jedenfalls mein TB).

Google behandelt m.E. unbekannte System erst einmal neutral, sofern die
IPs wohl nicht in den diversen RBLs bekannt sind, und dann bekommt der
sendene Server eine Reputation. Das kann vom allgemeinen verschieben
der Mail in den Spamordern sein, bis eben zum harten Rejecten oder
auch von der Freistellung, obwohl die Mail eindeutig spam zu sein
scheint.

> - das war nämlich bei früheren Fehlerberichten dazu das Problem, dass
> Leute schlicht diese Punkte vergessen haben.

AAAA-Record und rDNS-IPv6 stehen bei Google ganz oben in der "Must Have"-
Liste bei IPv6, ganzen unten steht dann valider SPF- oder DKIM-Eintrag.

> Der Grund ist wohl wirklich, dass GMail eben Mails von ihnen
> unbekannten Servern nicht haben will.

Dein Mailserver düfte doch Google schon lange bekannt sein, oder?

> Schön finde ich den Workaround mit zusätzlichem Smarthost nicht -

Bei ein wenig Surfen in den Google-FAQs ist mir aufgefallen, dass sich
ein Postmaster auch bei Google selbst mehr Reputation verschaffen kann,
sofern Du einen Google-Account besitzt und Zugriff auf den CNAME- und
TXT-Record Deiner Domain besitzt. Frage mich jetzt aber bitte nicht,
wie man bei Google durch die Stöckchen springt und was da im Endeffekt
bringt <g>.

> aber am Ende kommt es halt darauf an, dass E-Mails auch ankommen. Da
> kann ich gegenüber meinen Nutzer nicht damit argumentieren, dass GMail
> halt mistig ist.

Ehrlich gesagt: Es gibt schlimmere Honks als Betreiber (z.B. Microsoft).

[Arno Welzel]

Thomas Gohel:

>
> Hallo Arno,
>
>> Zum Thema IPv6: nein, das ist meinem Fall nicht das Problem.
>> Tatsächlich gibt es einen korrekten AAAA-Record und PTR auch auf die
>> IPv6-Adresse des Mailservers
>
> Doch, ich verorte das Problem durchaus bei IPv6, da Google bei IPv6
> deutlich härtere Rules als Bedingung hat (persönliche Meinung: da
> Blacklisting auf IPv6-Ebene komplizierter ist). Eine von den Bedingungen
> ist ein valider DKIM-Header und diesen hast Du mir bisher in den zwei
> Mails an mich nicht korrekt gesetzt (sagt jedenfalls mein TB).

Und meine Prüfungen sagen alle, dass er korrekt ist.

Konkret:

1) Mein TB mit DKIM Verifier -> OK
2) <http://dkimvalidator.com/> -> OK
3) <http://www.appmaildev.com/de/dkim> -> OK

Auf Wunsch zeige ich auch gerne nochmal Screenshots von den betreffenden
Test.

>> - das war nämlich bei früheren Fehlerberichten dazu das Problem, dass
>> Leute schlicht diese Punkte vergessen haben.
>
> AAAA-Record und rDNS-IPv6 stehen bei Google ganz oben in der "Must Have"-
> Liste bei IPv6, ganzen unten steht dann valider SPF- oder DKIM-Eintrag.
>
>> Der Grund ist wohl wirklich, dass GMail eben Mails von ihnen
>> unbekannten Servern nicht haben will.
>
> Dein Mailserver düfte doch Google schon lange bekannt sein, oder?

Mein Server schon - aber eben nicht für diese Domain, die erst seit ein
paar Tagen bei mir liegt.

>> Schön finde ich den Workaround mit zusätzlichem Smarthost nicht -
>
> Bei ein wenig Surfen in den Google-FAQs ist mir aufgefallen, dass sich
> ein Postmaster auch bei Google selbst mehr Reputation verschaffen kann,
> sofern Du einen Google-Account besitzt und Zugriff auf den CNAME- und
> TXT-Record Deiner Domain besitzt. Frage mich jetzt aber bitte nicht,
> wie man bei Google durch die Stöckchen springt und was da im Endeffekt
> bringt <g>.

Zumindest die Postmaster-Tools nutze ich schon - und da hat keine meiner
Domains irgendeine Beurteilung - einzig, die Domain, deren Mails nicht
von meinem Server aus angenommen werden, hat für genau den einen Tag, wo
ein erfolgloser Zustellversuch war, eben die "schlechte" Reputation,
allerdings nur für Domain, nicht für die IP-Adresse.

Die Mails, die seit dem über Sendgrid an Google gehen - für genau die
selbe Domain - wurden alle anstandslos angenommen. Offenbar gilt auch
da, wenn man nur Geld irgendwo reinwirft, geht letztlich alles. Denn
Sendgrid will natürlich ab einem gewissen Volumen auch Geld für ihre
Dienste haben.

>> aber am Ende kommt es halt darauf an, dass E-Mails auch ankommen. Da
>> kann ich gegenüber meinen Nutzer nicht damit argumentieren, dass GMail
>> halt mistig ist.
>
> Ehrlich gesagt: Es gibt schlimmere Honks als Betreiber (z.B. Microsoft).

Yep - Hotmail ist übel, ebenso wie Yahoo. Wundert mich, dass die
überhaupt noch Nutzer haben.

[Thomas Hochstein]

Arno Welzel schrieb:

> Nun habe ich wieder mal das Vergnügen gehabt, dass Mails bei GMail nicht
> angenommen wurden, weil der versendende Server bei Google noch keine
> ausreichende Reputation hat.

Diese Probleme kenne ich primär - auch in der Form von Mails, die
still und leise verschwinden - bei Einlieferung von ipv6-Adressen. Mit
ipv4-Adressen habe ich bisher weder bei meinen privaten Mails noch den
von mir betriebenen (kleinen und mittleren) Mailinglisten
Schwierigkeiten gehabt.

Erzwingt man die Mailauslieferung über eine ipv4-Adresse des sendenden
Servers, verschwinden die Probleme mit Google sofort. - Ich entsinne
mich daran, dass ich damals festgestellt habe, dass das kein singuläres
Problem wäre, das nur mich betrifft.

Wäre vielleicht einen Versuch wert.

-thh

[Andreas M. Kirchwitz]

Marc Haber <mh+usene...@zugschl.us> wrote:

> Arno Welzel <use...@arnowelzel.de> wrote:
>> 550-5.7.1 [... ] Our system has detected that this message is
>> 550-5.7.1 likely suspicious due to the very low reputation of the sending
>> 550-5.7.1 domain. To best protect our users from spam, the message has been
>> 550-5.7.1 blocked. Please visit
>> 550 5.7.1 https://support.google.com/mail/answer/188131 for more
>> information.
>
> Ja, das Kartell der Großmailanbieter richtet mit seinen Spamfiltern
> aktuell mehr Schaden an als alle Spammer zusammen ien 25 Jahren. Der
> Betrieb eines eigenen Mailservers wird von Tag zu Tag schwieriger.

Danke, das hast Du treffend auf den Punkt gebracht.

Spam-Filterung ist kein Hexenwerk und auch ohne massiven
Kollateralschaden machbar. Bei Giganten wie Google zieht auch nicht
die Ausrede, sie hätten keine Rechenkapazitäten für anständige Filter.

Eine Zeitlang habe ich meine GMail-Adresse häufiger verwendet, vor
allem auf Reisen, weil die Verzahnung der Google-Dienste praktisch
ist und einem viel Arbeit abnimmt.

Doch schnell ist mir aufgefallen, dass Mail fehlt, insbesondere wenn
der Absender kein weltbekanntes Unternehmen gewesen ist. Solche Mail
befand sich meist im Spam-Ordner.

GMail setzt die Priorität ganz klar auf eine Zero-Spam-Policy für
die Inbox aller Kunden. Lieber 100 legitime Mail abweisen bzw. im
Spam-Folder versauern lassen, als 1 echten Spam durchlassen.

Ich bezweifle, dass der normale Kunde versteht, welch hohen Preis
er zahlt für den 100% spamfreien Posteingang.

*seufz* Andreas

[Andreas M. Kirchwitz]

Thomas Gohel <go...@basicguru.de> wrote:

> Ehrlich gesagt: Es gibt schlimmere Honks als Betreiber (z.B. Microsoft).

Google (GMail) ist der größte mir bekannte Mail-Nazi,
kein anderer Anbieter baut dermaßen viele Schikanen ein,
die gültigen und standardkonformen Mail-Verkehr behindern.

Mit Microsoft (office365.com) hatte ich beispielsweise noch nie
Kummer, und dort haben inzwischen viele Firmen ihre Mail liegen.
Damit will ich nicht sagen, dass office365.com tadellos wäre,
doch für die musste ich mich noch nie bewusst verrenken.

Manchmal wundere ich mich, wie Google jemals so groß werden konnte,
das lag jedenfalls definitiv nicht an der technischen Kompetenz der
Mitarbeiter dort.

*seufz* Andreas

[Arno Welzel]

Thomas Hochstein:

> Arno Welzel schrieb:
>
>> Nun habe ich wieder mal das Vergnügen gehabt, dass Mails bei GMail nicht
>> angenommen wurden, weil der versendende Server bei Google noch keine
>> ausreichende Reputation hat.

[...]

> Erzwingt man die Mailauslieferung über eine ipv4-Adresse des sendenden
> Servers, verschwinden die Probleme mit Google sofort. - Ich entsinne
> mich daran, dass ich damals festgestellt habe, dass das kein singuläres
> Problem wäre, das nur mich betrifft.

Ja - das ist jetzt nach diversen Experimenten mit Dienstleistern wie
Sendgrid hier auch die aktuelle Lösung. Ich wollte das ja erst nicht
glauben, da technisch bei mir eigentlich alles korrekt konfiguriert war.

Aber ich habe ich noch etwas gelernt: DKIM ist auch ein schwieriges
Geschäft. Bisher war ich zwar der Ansicht, dass die Kombination aus
OpenDKIM und Postfix hier gültige Signaturen erzeugt - vor Allem, da
sowohl Thunderbird als auch diverse Prüfdienste, wie
<http://dkimvalidator.com/> und <http://www.appmaildev.com/de/dkim> die
Korrektheit der Signaturen bestätigt haben - aber dann habe ich doch
noch einen Test gefunden, der ein Problem mit den Signaturen hatte.

Letztlich habe ich da erstmal aufgegeben und verzichte auf DKIM.

Der Mailserver nutzt jetzt nur noch IPv4 und der MX ist auch
entsprechend angepasst, dass er nur noch einen A- und keinen AAAA-Record
mehr hat.

Ergebnis: die vorher von GMail bemängelte Reputation der fraglichen
Domain ist nun kein Thema mehr. Mails landen zwar ggf. noch im
Spam-Ordner, aber sie werden zumindest angenommen und nicht schon beim
Zustellversuch abgelehnt. Google scheint dann auch das fehlende DKIM
nicht zu stören, da SPF und DMARC ja trotzdem vorhanden und gültig sind.

Danke Allen für die Hilfe!

[Arno Welzel]

Arno Welzel:

> Thomas Hochstein:
>
>> Arno Welzel schrieb:
>>
>>> Nun habe ich wieder mal das Vergnügen gehabt, dass Mails bei GMail nicht
>>> angenommen wurden, weil der versendende Server bei Google noch keine
>>> ausreichende Reputation hat.
[...]

> Letztlich habe ich da erstmal aufgegeben und verzichte auf DKIM.
>
> Der Mailserver nutzt jetzt nur noch IPv4 und der MX ist auch
> entsprechend angepasst, dass er nur noch einen A- und keinen AAAA-Record
> mehr hat.

[...]

Noch eine Anpassung:

Statt komplett auf IPv6 zu verzichten, gibt es jetzt explizit nur für
Google die Beschränkung auf IPv4. Am Ergebnis ändert sich dadurch
nichts, aber der MX ist auch weiterhin über IPv6 erreichbar (und hat
auch wieder einen AAAA-Record).

[Marc Haber]

Arno Welzel <use...@arnowelzel.de> wrote:
>Thomas Gohel:

>> Ehrlich gesagt: Es gibt schlimmere Honks als Betreiber (z.B. Microsoft).
>
>Yep - Hotmail ist übel, ebenso wie Yahoo. Wundert mich, dass die
>überhaupt noch Nutzer haben.

Die Microsoft-Cloud blacklistet nach Spamrats Dyna, da stehen so gut
wie alle großen Hosternetze für Rootserver Deutschlands drin, und
Microsoft hat durchaus auch kommerzielle Nutzer.

Das Kartell der großen Mailanbieter schottet sich ab. Ein großes
Intranet für Mail entsteht, und "wir" sind draußen.

[Marc Haber]

"Andreas M. Kirchwitz" <a...@spamfence.net> wrote:
>Doch schnell ist mir aufgefallen, dass Mail fehlt, insbesondere wenn
>der Absender kein weltbekanntes Unternehmen gewesen ist. Solche Mail
>befand sich meist im Spam-Ordner.

Ich habe auch schon Fälle gehabt (z.B. mein eigener Halbbruder), der
von mir eingelieferte und ordentlich angenommene Mail nichtmal im Spam
seines Gmail-Kontos fand.

>GMail setzt die Priorität ganz klar auf eine Zero-Spam-Policy für
>die Inbox aller Kunden. Lieber 100 legitime Mail abweisen bzw. im
>Spam-Folder versauern lassen, als 1 echten Spam durchlassen.

Genau.

>Ich bezweifle, dass der normale Kunde versteht, welch hohen Preis
>er zahlt für den 100% spamfreien Posteingang.

Natürlich nicht, das ist die Schuld des Absenders wenn eine Nachricht
nicht ankommt.

[Thomas Gohel]

Hallo Arno,

>> Doch, ich verorte das Problem durchaus bei IPv6, da Google bei IPv6
>> deutlich härtere Rules als Bedingung hat (persönliche Meinung: da
>> Blacklisting auf IPv6-Ebene komplizierter ist). Eine von den
>> Bedingungen ist ein valider DKIM-Header und diesen hast Du mir
>> bisher in den zwei Mails an mich nicht korrekt gesetzt (sagt
>> jedenfalls mein TB).
> Und meine Prüfungen sagen alle, dass er korrekt ist.
>
> Konkret:
>
> 1) Mein TB mit DKIM Verifier -> OK
> 2) <http://dkimvalidator.com/> -> OK
> 3) <http://www.appmaildev.com/de/dkim> -> OK
>
> Auf Wunsch zeige ich auch gerne nochmal Screenshots von den
> betreffenden Test.

Nein nicht nötig, ich glaube Dir völlig <g>. Mich würde aber wirklich
interessieren, ob das Problem am gefalteten References-Header liegt.

>> Dein Mailserver düfte doch Google schon lange bekannt sein, oder?
> Mein Server schon - aber eben nicht für diese Domain, die erst seit
> ein paar Tagen bei mir liegt.

Ärrg, das erklärt das Problem durchaus. Da hat sich also der alte
Besitzer der Domain die Reputation schon einmal "schön versaut".

> Zumindest die Postmaster-Tools nutze ich schon - und da hat keine
> meiner Domains irgendeine Beurteilung - einzig, die Domain, deren
> Mails nicht von meinem Server aus angenommen werden, hat für genau
> den einen Tag, wo ein erfolgloser Zustellversuch war, eben die
> "schlechte" Reputation, allerdings nur für Domain, nicht für die
> IP-Adresse.

Ok, danke für die Info.

> Yep - Hotmail ist übel, ebenso wie Yahoo. Wundert mich, dass die
> überhaupt noch Nutzer haben.

Ich habe einen Bekannten bei Yahoo, der schafft es kaum mir eine Mail
zu schreiben, da deren Server ständig in irgendwelchen Blacklisten
hängen. Trage ich den Block in die Whitlist ein, nehmen sie bei der
nächsten Mail eine IP aus einen anderen Block, die dann wieder in einer
Blacklist steht. Ich habe es mit Yahoo aufgegeben ...

Witz am Rande: Bei den Flickr-Mails funktioniert es ohne Probleme (also
doch ein End-User-Problem). 8-)

Tschau,

--------------
/ h o m a s
--

Kill-, Filter- und Scorefiles: Die modernen Schallschutzwaende des Usenet.

[Thomas Gohel]

Hallo Marc,

>> Thomas Gohel:
>>> Ehrlich gesagt: Es gibt schlimmere Honks als Betreiber (z.B.
>>> Microsoft).
>> Yep - Hotmail ist übel, ebenso wie Yahoo. Wundert mich, dass die
>> überhaupt noch Nutzer haben.
> Die Microsoft-Cloud blacklistet nach Spamrats Dyna,

... und zu über 95% kommt aus deren Cloud auch nur Spam. Es ist ganz
selten, dass ich etwas ernsthaftes aus deren Umfeld bekomme.

> da stehen so gut wie alle großen Hosternetze für Rootserver
> Deutschlands drin, und Microsoft hat durchaus auch kommerzielle
> Nutzer.

Du kannst Dich aber als System bei der Microsoft-Cloud auch selber
delisten und danach läuft der Versand in der Regel problemlos. Bei
meiner alten Telefonica-IP war das nötig, bei der neuen T-IP hat es
dagegen keine Probleme gegeben.

Tschau,

--------------
/ h o m a s
--

[Thomas Gohel]

Hallo Marc,

>> GMail setzt die Priorität ganz klar auf eine Zero-Spam-Policy für
>> die Inbox aller Kunden. Lieber 100 legitime Mail abweisen bzw. im
>> Spam-Folder versauern lassen, als 1 echten Spam durchlassen.
>>

>> Ich bezweifle, dass der normale Kunde versteht, welch hohen Preis
>> er zahlt für den 100% spamfreien Posteingang.
> Natürlich nicht, das ist die Schuld des Absenders wenn eine Nachricht
> nicht ankommt.

Sagen wir es mal so: Wenn ich so sehe wie manche Anwender/Firmen/etc.
ihre Mails, im wahrsten Sinne des Wortes, in die Queue des Mailservers
"rotzen", dann wundert es mich nicht, wenn der Spamfilter eines Mail-
Anbieters diesen Datenmüll gleich wieder unkommentiert entsorgt. ;-)

Google sollte dann aber wenigstens so ehrlich sein und den Kram gleich
im SMTP-Dialog rejecten.

Tschau,

--------------
/ h o m a s
--

email : sup...@gohel.de / go...@basicguru.de (PGP-Key available)
www : http://www.gohel.de / http://www.pbhq.de (PowerBASIC)
filter: html-postings, fullquotes, no realnames & no valid adresses

[Stefan Froehlich]

On Mon, 28 May 2018 16:50:00 Thomas Gohel wrote:
> >> Thomas Gohel:

> > Die Microsoft-Cloud blacklistet nach Spamrats Dyna,

> ... und zu über 95% kommt aus deren Cloud auch nur Spam. Es ist
> ganz selten, dass ich etwas ernsthaftes aus deren Umfeld bekomme.

Ist übel, hilft aber halt auch nicht weiter, wenn man einen
Empfänger hat, der (womöglich gar aus strategischen Erwägungen
seines Unternehmens) dort drinnen hockt.

> Du kannst Dich aber als System bei der Microsoft-Cloud auch selber
> delisten und danach läuft der Versand in der Regel problemlos.

Wenn Du SNDS meinst: Bei mir ist das in der Regel ebenso problem-
wie nutzlos. Ich kann dort tun, was ich möchte, der Block dauert in
der Regel um die zwei Wochen und verschwindet dann ähnlich
unmotiviert, wie er gekommen ist.

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Eleganz ohne Grenzen - blubbern mit Stefan!
(Sloganizer)

[Thomas Gohel]

Hallo Stefan,

>> Du kannst Dich aber als System bei der Microsoft-Cloud auch selber
>> delisten und danach läuft der Versand in der Regel problemlos.
> Wenn Du SNDS meinst:

Keine Ahnung was das wieder ist ... ;-)

Im Rejected steht die Delist-URL und wenn man dann brav ein paar mal
durchs Fenster (*1) springt, dann klappt es wieder mit der MS-Cloud.

1) URL aufrufen, IP eingeben, irgendetwas mit Captchas, Token eingeben
der an die Postmaster-Adresse gesendet wird und noch irgendetwas ...

Tschau,

--------------
/ h o m a s
--

[Arno Welzel]

Stefan Froehlich:

> On Mon, 28 May 2018 16:50:00 Thomas Gohel wrote:

[...]

>> Du kannst Dich aber als System bei der Microsoft-Cloud auch selber
>> delisten und danach läuft der Versand in der Regel problemlos.
>
> Wenn Du SNDS meinst: Bei mir ist das in der Regel ebenso problem-
> wie nutzlos. Ich kann dort tun, was ich möchte, der Block dauert in
> der Regel um die zwei Wochen und verschwindet dann ähnlich
> unmotiviert, wie er gekommen ist.

Kann ich bestätigen.

[Andreas M. Kirchwitz]

Thomas Gohel <go...@basicguru.de> wrote:

> Sagen wir es mal so: Wenn ich so sehe wie manche Anwender/Firmen/etc.
> ihre Mails, im wahrsten Sinne des Wortes, in die Queue des Mailservers
> "rotzen", dann wundert es mich nicht, wenn der Spamfilter eines Mail-
> Anbieters diesen Datenmüll gleich wieder unkommentiert entsorgt. ;-)

Ich habe kein Problem damit, wenn Mailserver entgegen des früheren
Mottos keineswegs nachsichtig sind bei eingelieferter Mail, sondern
auf Einhaltung von Standards achten. Inzwischen ist es kein Hexenwerk
mehr, korrekte Mail zu erzeugen, das schaffen sogar die Spammer. :-)

Wenn jedoch IP-Ranges pauschal verdammt werden, habe ich Bauchschmerzen.
Mag schon sein, dass aus Dialup-Ranges oder von Mietserver-Farmen öfter
Spam kommt, aber dafür hat man ja schließlich einen Spam-Filter und
nicht nur eine reine Blacklist.

Vor allem in Mietserver-Farmen sitzen auch viele kleine Firmen,
die lobenswerterweise ihre Daten nicht in die "Cloud" packen,
sondern selbst versuchen, was auf die Beine zu stellen. Das mag
nicht immer perfekt sein und manchmal verflucht man sie für den
Schrott, den sie fabrizieren, aber diese zunehmende Zentralisierung
bei einer Handvoll großer Dienst-Anbieter finde ich mittlerweise
gefährlicher.

> Google sollte dann aber wenigstens so ehrlich sein und den Kram gleich
> im SMTP-Dialog rejecten.

Ja, das sollte inzwischen eigentlich selbstverständlich sein,
aber Google kriegt viele Selbstverständlichkeiten nicht gebacken.

Make Internet great again ... Andreas

[Marc Haber]

"Andreas M. Kirchwitz" <a...@spamfence.net> wrote:

>Vor allem in Mietserver-Farmen sitzen auch viele kleine Firmen,
>die lobenswerterweise ihre Daten nicht in die "Cloud" packen,
>sondern selbst versuchen, was auf die Beine zu stellen. Das mag
>nicht immer perfekt sein und manchmal verflucht man sie für den
>Schrott, den sie fabrizieren, aber diese zunehmende Zentralisierung
>bei einer Handvoll großer Dienst-Anbieter finde ich mittlerweise
>gefährlicher.

Das perverse daran ist, dass die Großanbieter Deinen Kunden ohne
weiteres sagen, dass die Mailprobleme schlagartig weg sind, wenn sie
mit ihrer Mail zu einem der Großanbieter umziehen. Und das ist der
Punkt, wo mit Nebenwirkungen schlechter Produkte auch noch Geschäft
gemacht wird.

[Richard Lechner]

Am Mon, 28 May 2018 22:23:59 +0000 schrieb Andreas M. Kirchwitz:

> Mag schon sein, dass aus Dialup-Ranges oder von Mietserver-Farmen öfter
> Spam kommt, aber dafür hat man ja schließlich einen Spam-Filter und
> nicht nur eine reine Blacklist.

Ich hatte letztens über 1400 gleichzeitige Verbindungen in der Teergrube
die alle mehrfachen Spam abliefern wollten. Der Exchange ginge bei solch
einer Last in die Knie denn der gekaufte Spamfilter nimmt erstmal alles
an und arbeitet sich daran ab. :-(

> Make Internet great again ... Andreas

Gibt zuviele Bulletproof hoster, ein Abrechnungssystem für Mails muss her!
1 Cent pro Mail und schon tragen sich viele Spamruns nicht mehr.

Alles andere hat nicht nur schlechten Wirkungsgrad sondern auch zuviele
Nebenwirkungen!

[Stefan Froehlich]

On Wed, 30 May 2018 10:27:48 Richard Lechner wrote:
> [...], ein Abrechnungssystem für Mails muss her!

> 1 Cent pro Mail und schon tragen sich viele Spamruns nicht mehr.

Und wie in etwa stellst Du Dir vor, dass ich für meine paar Dutzend
empfangenen Mails den 1 Cent/Mail von den einliefernden Servern
kassiere?

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Wie konnte man 2018 Jahre ohne Stefan wohl überleben.
(Sloganizer)

[Thomas Gohel]

Hallo Andreas,

>> Sagen wir es mal so: Wenn ich so sehe wie manche Anwender/Firmen/etc.
>> ihre Mails, im wahrsten Sinne des Wortes, in die Queue des Mailservers
>> "rotzen", dann wundert es mich nicht, wenn der Spamfilter eines Mail-
>> Anbieters diesen Datenmüll gleich wieder unkommentiert entsorgt. ;-)
> Ich habe kein Problem damit, wenn Mailserver entgegen des früheren
> Mottos keineswegs nachsichtig sind bei eingelieferter Mail, sondern
> auf Einhaltung von Standards achten. Inzwischen ist es kein Hexenwerk
> mehr, korrekte Mail zu erzeugen, das schaffen sogar die Spammer. :-)

Das Problem vieler (automatisierter) Firmen-Mails ist, dass diese in
der Zwischenzeit einfach nur noch technisch kaputt sind, während die
dazu passende Spam- oder Pishing-Mail im Ranking oft teils besser
abschneidet und sogar fehlerfrei dargestellt wird. Diese Entwicklung
empfinde ich als äusserst bedenklich.

> Wenn jedoch IP-Ranges pauschal verdammt werden, habe ich
> Bauchschmerzen.

Es gibt auch in Deutschland einige Anbieter (so z.B. Düsseldorfer Raum),
die sind völlig merkbefreit und bei mir zurecht auf Lebenszeit noch
tiefer als in einer RBL geerdet. Letztlich fallen aber immer wieder
die gleichen Patienten aus dem deutsprachigen Raum auf und wer seine
Kunden dauerhaft nicht im Griff hat, naja, es gibt Anbieter die haben
mit dieser Thematik wundersamerweise keine Probleme.

> Mag schon sein, dass aus Dialup-Ranges oder von Mietserver-Farmen
> öfter Spam kommt, aber dafür hat man ja schließlich einen Spam-Filter
> und nicht nur eine reine Blacklist.

Microsoft macht in jedem Fall von Dialup-Listen massiv und rigeros
Gebrauch. Wie Google das bewertet, keine Ahnung, vermutlich ein paar
Punkte in der Reputation.

Bei T-Online kannst Du nicht einmal ein paar Headerzeilen einer Pishing-
Mail zitieren und als Warnung weiterleiten, denn schon ist der Mailserver
im schlimmsten Fall für ein paar Stunden geerdet. Aber dafür gibt es
ein Mail-Siegel für Ham ...

> Vor allem in Mietserver-Farmen sitzen auch viele kleine Firmen,
> die lobenswerterweise ihre Daten nicht in die "Cloud" packen,
> sondern selbst versuchen, was auf die Beine zu stellen.

Das "versuchen" ist gefährlich und führt in Folge dazu, das z.B.
generische Mailserver-Domains & PTRs im Filter landen. Ich kenne
einige, die bekommen das Thema einfach nicht gebacken und wundern
sich dann über die Folgen.

> Das mag nicht immer perfekt sein und manchmal verflucht man sie für
> den Schrott, den sie fabrizieren, aber diese zunehmende Zentralisierung
> bei einer Handvoll großer Dienst-Anbieter finde ich mittlerweise
> gefährlicher.

Zum Glück gibt es ja noch genügend große Anbieter weltweit und auch
jede Menge Firmen mit eigene Infrastruktur, aber die Entwicklung ist
unübersehbar. Vielleicht platzt die Cloud-Blase auch einmal gründlich
und wenn es nur ein Sicherheits-Gau ist. 8-)

[Michael Unger]

On 2018-05-30 16:11, "Thomas Gohel" wrote:

> Das Problem vieler (automatisierter) Firmen-Mails ist, dass diese in
> der Zwischenzeit einfach nur noch technisch kaputt sind, während die
> dazu passende Spam- oder Pishing-Mail im Ranking oft teils besser
> abschneidet und sogar fehlerfrei dargestellt wird. Diese Entwicklung
> empfinde ich als äusserst bedenklich.

Newsletter von bislang eigentlich als seriös bekannten Firmen werden
nach meiner Erfahrung immer öfter über US-Anbieter versendet; dabei ist
der "text/plain"-Teil (vom "multipart/alternative") bestenfalls noch als
"rudimentär" zu bezeichnen. Manchmal enthält der gerade noch das
Impressum, manchmal auch zusätzlich diverse URLs, die man doch bitte
heftig beklickern möge; selbstredend führt _keiner_ dieser URLs zum
(vorgeblichen) Absender dieser Mails.

Beispiel ("Return-Path: <bou...@tripicchio.scnem.com>", Rohde&Schwarz,
München):

| [...]
| Falls Sie unsere E-Mail nicht oder nur teilweise lesen können,
| klicken Sie bitte hier.
| [...]

Als die den Newsletter noch selbst verschickt haben, war das _deutlich_
besser.

> [...]

Michael

[Marc Haber]

Thomas Gohel <go...@basicguru.de> wrote:
>Das "versuchen" ist gefährlich und führt in Folge dazu, das z.B.
>generische Mailserver-Domains & PTRs im Filter landen. Ich kenne
>einige, die bekommen das Thema einfach nicht gebacken und wundern
>sich dann über die Folgen.

Und dann gibt es natürlich noch solchen Unsinn wie Spamrats Dyna, der
einfach komplette Netzbereiche listet, in denen "zu viele" generische
reverse-DNS-Einträge drin sind, was natürlich auch diejenigen
erwischt, die wissen was sie tun und mit ihrem ordentlichen Server mit
ordentlichem, passenden Reverse DNS gleich mit listet.

Das ist in Ordnung (aber immer noch dumm), wenn man es als Input für
Scoring verwendet.

Aber völlig daneben, danach direkt zu blocken.

[Richard Lechner]

Am Wed, 30 May 2018 09:09:54 +0000 schrieb Stefan Froehlich:

> On Wed, 30 May 2018 10:27:48 Richard Lechner wrote:
>> [...], ein Abrechnungssystem für Mails muss her!
>> 1 Cent pro Mail und schon tragen sich viele Spamruns nicht mehr.
>
> Und wie in etwa stellst Du Dir vor, dass ich für meine paar Dutzend
> empfangenen Mails den 1 Cent/Mail von den einliefernden Servern
> kassiere?

Der Sender bezahlt via DNS, ist ja sowieso in use für alle möglichen
Checks beim Empfänger.
Das könnte man mit der räubersichen Erpressung bei den Fernsehgebühren
gegenrechen. Z.B.

Oder das fette Elend will ja eine Digitalsteuer, dafür wäre das auch gut.

[Thomas Hochstein]

Arno Welzel schrieb:

> Statt komplett auf IPv6 zu verzichten, gibt es jetzt explizit nur für
> Google die Beschränkung auf IPv4.

Ja, das habe ich bei mir exakt genauso gelöst.

Die einzige Änderung zur vorherigen Konfiguration ist die zwingende
Auslieferung an Google über ipv4.

Blogbeitrag dazu mit einer Lösung für Exim:
<https://netz-rettung-recht.de/archives/2033-Exim-Mailauslieferung-ueber-IPv4-erzwingen.html>

-thh

[Arno Welzel]

Thomas Hochstein:

Und hier für Postfix:
<https://blog.carl.pro/2016/02/prevent-postfix-smtp-from-contacting-google-mail-using-ipv6/>

[Peter J. Holzer]

On 2018-05-31 18:01, Richard Lechner <r.le...@gmx.net> wrote:
> Am Wed, 30 May 2018 09:09:54 +0000 schrieb Stefan Froehlich:
>> On Wed, 30 May 2018 10:27:48 Richard Lechner wrote:
>>> [...], ein Abrechnungssystem für Mails muss her!
>>> 1 Cent pro Mail und schon tragen sich viele Spamruns nicht mehr.
>>
>> Und wie in etwa stellst Du Dir vor, dass ich für meine paar Dutzend
>> empfangenen Mails den 1 Cent/Mail von den einliefernden Servern
>> kassiere?
>
> Der Sender bezahlt via DNS, ist ja sowieso in use für alle möglichen
> Checks beim Empfänger.

Wie bezahlt man via DNS?

hp


--
_ | Peter J. Holzer | Fluch der elektronischen Textverarbeitung:
|_|_) | | Man feilt solange an seinen Text um, bis
| | | h...@hjp.at | die Satzbestandteile des Satzes nicht mehr
__/ | http://www.hjp.at/ | zusammenpaßt. -- Ralph Babel

[Richard Lechner]

Am Tue, 19 Jun 2018 21:33:37 +0200 schrieb Peter J. Holzer:

>> Der Sender bezahlt via DNS, ist ja sowieso in use für alle möglichen
>> Checks beim Empfänger.
>
> Wie bezahlt man via DNS?

Man könnte das wie DNSSEC als Extension dazu bauen und es DNSPAY nennen.
Wenn die Kombination Domain+Sendeserver kein Guthaben hat kann entweder
der Provider die Kosten übernehmen oder die Mail wird abgelehnt.

Also im TXT wie bei SPF steht dann PAY=dnspay.provider.sample und dort
wird via kleiner Blockchain 1 Cent abgebucht.

1 Cent pro Mail macht bei 100 Mails gerade mal 1 Euro, das braucht dann
ein Monatsbudget von vielleicht 3 -5 Euro bei dem Normalnutzer, beim
Spammer mit 1.000.000 Mails wären das aber 10.000.- und die wird er mit
keinem Spamrun verdienen.
Wenn er den DNS hackt dann bezahlt eben sein Provider für ihn, das bringt
die an die Leine denn es gibt einfach zuviele bei denen Spammer gute
Kunden sind. Die kümmern sich einfach kaum um Beschwerden und sind aber
gleichzeitig zu groß um generell geblockt zu werden.

Die Haftung geht rauf bis zum Registrar, der bucht das Budget ins DNS
ein.
Wird der gehackt dann kümmert er sich wenigstens besser um seine Systeme
und hat ein Eigeninteresse sofort das Guthaben zu sperren, ist ja seine
eigenen Kohle die da weniger wird.

Im derzeitigen System fühlt sich keiner zuständig und manche Hoster
spammen seit Jahren ohne das denen die Leitung abgeklemmt wird. Im
Gegenteil haben die auch immer wieder neue IP-Netze. Oder sie
verschwinden gleich ganz hinter dem "Geschäftsmodell" von Cloudflare.

Ist ja jedem selber überlassen ob er es verwendet aber die derzeitigen
Mittel machen Mail total kaputt! So wie es jetzt ist ist es Kacke, jeder
fährt irgendwelche Strategien und andauernd soll man über irgendwelche
Stöckchen springen.

host mx01.XXXXXXX.XX[XXX.XXX.XXX.XXX] said: 550
Service unavailable; Client Host [XXX.XXX.XXX.XXX] blocked using
Trend Micro RBL+. Please see
http://www.mail-abuse.com/cgi-bin/lookup?ip_address=XXX.XXX.XXX.XXX
(in reply to RCPT TO command)

Das Mails nicht mehr ankommen wird zum Normalzustand weil sie irgendein
Filter frisst!

Die derzeitigen Bewertungsverfahren bringen alle nicht viel solange die
Hoster am Spam gut verdienen. SPF, DKIM, Blocklisten von irgendwelchen
Leuten und was es noch alles gibt, dazu noch jeder Hersteller seine
eigenen intransparenten Listen, das alles macht Mails unzuverlässig und
die Mailboxen voll. Genau die großen wie Gmail, Outlook, Yahoo und Co
drücken dabei ihre Regeln durch und sind gleichzeitig auch diejenigen wo
immer wieder Mails einfach ohne Fehlermeldung verschwinden.

Pay per delivery wäre die Lösung denn man könnte dem System auch
Reputation einbauen, Spamschleudern zahlen dann eben 5 oder 10 Cent pro
Mail. So kann man auf gewisse Hoster einen monetären Druck aufbauen sich
ihr Geschäft nicht von anderen bezahlen zu lassen.

Ich weiss die Newsletter! Ja wenn einer 2000 Newsletter raus sendet muss
er eben mit 20.- Euro Kosten rechnen. Wenn das in dem "Geschäft" nicht
drinnen ist dann ist es vielleicht besser der Strom würde erst gar nicht
verbraucht?
Die meisten News sind eh nur Werbung und davon gibt es das ganze Netz
voll, fast jede Seite ist vollgestopft mit blinkenden Werbebotschaften.

[David Seppi]

Richard Lechner schrieb:

> Die derzeitigen Bewertungsverfahren bringen alle nicht viel solange die
> Hoster am Spam gut verdienen.

Bei mir blockt Greylisting gefühlt 99,9% der Spammails.
Für den Rest ist dann auch kein Spamfilter mehr nötig.
False positives sind da nur bei einer haarsträubenden
Konfiguration auf Absenderseite möglich.

--
David Seppi
1220 Wien

[Richard Lechner]

Am Thu, 21 Jun 2018 09:06:00 +0000 schrieb David Seppi:

> Bei mir blockt Greylisting gefühlt 99,9% der Spammails.
> Für den Rest ist dann auch kein Spamfilter mehr nötig.
> False positives sind da nur bei einer haarsträubenden Konfiguration auf
> Absenderseite möglich.

Pauschales Greylisting frisst yahoo, outlook, amazon, gmail und all die
anderen die glauben man muss eine Mail innerhalb 10 Sekunden 2 mal um den
Globus jagen damit sie zugestellt wird.

Mir geht es um gesicherete Zustellung und nicht nur um weniger Spam, das
ergibt sich von alleine sobald der Verursacher die Kosten übernehmen muss!

Funktioniert der DNS funktioniert auch Abrechung und Email.

[David Seppi]

Richard Lechner schrieb:

> Pauschales Greylisting frisst yahoo, outlook, amazon, gmail und all die
> anderen die glauben man muss eine Mail innerhalb 10 Sekunden 2 mal um den
> Globus jagen damit sie zugestellt wird.

Deswegen macht zB milter-greylist eine SPF-Überprüfung und läßt bei
positiver Prüfung die Mails ungefiltert durch. (Dort bringt ja
Greylisting eh nichts.)

[Arno Welzel]

David Seppi:

> Richard Lechner schrieb:
>
>> Die derzeitigen Bewertungsverfahren bringen alle nicht viel solange die
>> Hoster am Spam gut verdienen.
>
> Bei mir blockt Greylisting gefühlt 99,9% der Spammails.

Bei mir nicht. Hier erledigt Greylisting vielleicht noch 20%.

> Für den Rest ist dann auch kein Spamfilter mehr nötig.

Hier schon.

[Arno Welzel]

Richard Lechner:

> Am Thu, 21 Jun 2018 09:06:00 +0000 schrieb David Seppi:
>
>> Bei mir blockt Greylisting gefühlt 99,9% der Spammails.
>> Für den Rest ist dann auch kein Spamfilter mehr nötig.
>> False positives sind da nur bei einer haarsträubenden Konfiguration auf
>> Absenderseite möglich.
>
> Pauschales Greylisting frisst yahoo, outlook, amazon, gmail und all die
> anderen die glauben man muss eine Mail innerhalb 10 Sekunden 2 mal um den
> Globus jagen damit sie zugestellt wird.

Deswegen gibt es auch Greylisting, dass nicht pauschal stattfindet:

<https://arnowelzel.de/greylisting-zur-spamvermeidung>

Abschnitt am Ende - "Selektives Greylisting".

> Mir geht es um gesicherete Zustellung und nicht nur um weniger Spam, das
> ergibt sich von alleine sobald der Verursacher die Kosten übernehmen muss!
>
> Funktioniert der DNS funktioniert auch Abrechung und Email.

Weil? Eine DNS-Abfrage alleine begründet noch keine Abrechnung.

[Richard Lechner]

Das wissen die Spammer aber auch schon längst!

[David Seppi]

Richard Lechner schrieb:

> Am Thu, 21 Jun 2018 10:57:51 +0000 schrieb David Seppi:

[...]

>> Deswegen macht zB milter-greylist eine SPF-Überprüfung und läßt bei
>> positiver Prüfung die Mails ungefiltert durch. (Dort bringt ja
>> Greylisting eh nichts.)
>
> Das wissen die Spammer aber auch schon längst!

Bringt ihnen aber nicht viel, da sie dann ja keine Bot-Netze mehr
benutzen und so viel leichter abgeklemmt werden können.

[Marc Haber]

Der Löwenanteil des Spams der noch durch meinen Spamfilter durchkommt,
kommt aus osteuropäischen Vserver-Farmen mit ordentlichem Hostnamen
und ordentlichem Reverse DNS, also ordentlich eingekauft in
bulletproof hosting, Beschwerde sinnlos.

[Thomas Gohel]

Hallo Marc,

> Der Löwenanteil des Spams der noch durch meinen Spamfilter
> durchkommt, kommt aus osteuropäischen Vserver-Farmen mit ordentlichem
> Hostnamen und ordentlichem Reverse DNS, also ordentlich eingekauft in
> bulletproof hosting, Beschwerde sinnlos.

Das sieht auf den ersten Blick nur so aus, als ob der Müll von dort
kommt. In Wirklichkeit kommt der ganze Unrat aus den MyLOC-Netzen
aus Düsseldorf. Seit die IP-Bereiche bei mir so langsam lebenslang
geerdet sind, herrscht hier auch Ruhe.

[Marc Haber]

Thomas Gohel <go...@basicguru.de> wrote:
>> Der Löwenanteil des Spams der noch durch meinen Spamfilter
>> durchkommt, kommt aus osteuropäischen Vserver-Farmen mit ordentlichem
>> Hostnamen und ordentlichem Reverse DNS, also ordentlich eingekauft in
>> bulletproof hosting, Beschwerde sinnlos.
>
>Das sieht auf den ersten Blick nur so aus, als ob der Müll von dort
>kommt.

Ich kann die Logs meines Mailservers und die Received:-Header schon
richtig interpretieren.

>In Wirklichkeit kommt der ganze Unrat aus den MyLOC-Netzen
>aus Düsseldorf.

Ja, die haben leider inzwischen auch eine hinreichend lange
Krankenakte.

[Sven Hartge]

Marc Haber <mh+usene...@zugschl.us> wrote:

> Thomas Gohel <go...@basicguru.de> wrote:

>> In Wirklichkeit kommt der ganze Unrat aus den MyLOC-Netzen aus
>> Düsseldorf.

> Ja, die haben leider inzwischen auch eine hinreichend lange
> Krankenakte.

Die Jungs haben die "Ehre" eine der sehr wenigen Netzbereiche zu sein,
die in meinem beruflich betriebenen SPAM-Filter ganz ganz vorne stehen.
Die SPAM/HAM-Ratio für das Netz wird nur noch von den Chinatnet-AS
übertroffen.

S°

--
Sigmentation fault. Core dumped.

[Richard Lechner]

Am Sat, 23 Jun 2018 17:41:14 +0000 schrieb David Seppi:

>> Das wissen die Spammer aber auch schon längst!
>
> Bringt ihnen aber nicht viel, da sie dann ja keine Bot-Netze mehr
> benutzen und so viel leichter abgeklemmt werden können.

Bei dir vielleicht! Bei mir sind das Hostingnetze von myLoc, HU, RO, BG,
RU, LT, ES, BZ, PE, BR, TR, IT, UA, EE und einige von den Großen (OVH
z.B.) wo es immer wieder vor kommt.
Dazu noch fast alle Netze aus Asien und die ganzen kleinen Hoster die
ihre Vserver automatisiert ausliefern.

Da nützt eine Beschwerde nichts wenn du mit Kreditkarte einen Vserver
bestellen kannst und sofort loslegen kannst! Die bereiten den DNS vor und
spielen ihre Spamschleudersoftware drauf und los gehts.
Was da derzeit jede Nacht und am Wochenende los ist ist irre. Morgens ist
das meistens schon vorbei aber die Mailboxen voll.

Paar Tage später kommen sie vom selben Hoster mit der nächsten VM daher.

Mit manuellen Sperrlisten ist man immer hinten dran und das ist viel
zuviel Aufwand nur für Mail. Außerdem hat das alles schon zuviele
Nebenwirkungen denn heute ist die Zustellung nicht mehr gesichert und
eine Fehlermeldung auch nicht!
Das Mail wird einfach oft irgendwo verschluckt und wer schaut bei
hunderten von Spams schon dauernd den Spamfolder durch.

DKIM und SPF ist für den Hugo solange es diese Provider und Registrare
gibt. Dazu noch die "privacy services" aus US (godaddy, cloudflare) und
schon wird das System unbrauchbar.

[Richard Lechner]

Am Sat, 23 Jun 2018 17:41:14 +0000 schrieb David Seppi:

>> Das wissen die Spammer aber auch schon längst!
>
> Bringt ihnen aber nicht viel, da sie dann ja keine Bot-Netze mehr
> benutzen und so viel leichter abgeklemmt werden können.

Start heute Morgen um 0:22 bis ich es um 06:08 geblockt habe, alle 2
Sekunden eine Mail. Rate mal von wem!

Domain ID:852276_COUA-DRS
Domain Name:PRISION.CO.UA
Created On:19-Jun-2018 13:01:50 UTC
Last Updated On:19-Jun-2018 13:02:02 UTC
Expiration Date:19-Jun-2019 13:01:50 UTC
Sponsoring Registrar:NIC.UA LLC (nic-mnt-cunic)
Status:ok
Registrant ID:NICUA1683552H79I-CUNIC
Registrant Name:<not disclosed>
Registrant Organization:<not disclosed>
Registrant Street1:<not disclosed>
Registrant Street2:<not disclosed>
Registrant Street3:<not disclosed>
Registrant City:<not disclosed>
Registrant State/Province:<not disclosed>
Registrant Postal Code:<not disclosed>
Registrant Country:<not disclosed>
Registrant Phone:<not disclosed>
Registrant Fax:<not disclosed>
Registrant Email:<not disclosed>

;; ANSWER SECTION:
prision.co.ua. 11341 IN TXT "v=spf1 mx a
ip4:46.20.46.216 ~all"

inetnum: 46.20.32.0 - 46.20.47.255
netname: DE-FASTIT-20100819
mnt-by: RIPE-NCC-HM-MNT
mnt-by: MYLOC-MNT
mnt-lower: MYLOC-MNT

Der Upstream von den myLoc Banditen fühlt sich natürlich nicht dafür
verantwortlich, den interessiert auch nur die Kohle.

Beschwerde sinnlos und Spamfilter voll mit Schrott. Zigtausend Mails und
ich darf das durchsuchen ob nicht auch wieder richtige Mails darunter
sind.

Dazu noch der ganze Müll von OVH's Failover IP's und schon vergeht die
Zeit im Flug. :-(

[Thomas Gohel]

Hallo Richard,

> Start heute Morgen um 0:22 bis ich es um 06:08 geblockt habe, alle 2
> Sekunden eine Mail. Rate mal von wem!
>
> Domain ID:852276_COUA-DRS
> Domain Name:PRISION.CO.UA

Lass mich raten:

mail.prision.co.ua ??

Eigentlich kann man alles getrost im HELO/EHLO mit "mail.*.co.ua" oder
"mail.*.biz.ua" getrost teeren und federn.

> inetnum: 46.20.32.0 - 46.20.47.255

Oh, den Bereich kannte ich noch nicht, kommt wahrscheinlich morgen ... ,-)

> Beschwerde sinnlos und Spamfilter voll mit Schrott. Zigtausend Mails
> und ich darf das durchsuchen ob nicht auch wieder richtige Mails
> darunter sind.

Was mich wirklich wundert, MyLOC steht nicht oft in einer RBL. Offen-
sichtlich ist der Spam sehr auf Deutschland abgepasst und umgeht damit
die größeren internationalen RBL-Projekte.

Tschau,

--------------
/ h o m a s
--

Der neue Internet Trend: Abstossende Postings! Verfasse die Mail in
HTML, niemals mit Realnamen, haenge immer das Original-Posting als
Fullquote an die Antwort, signiere alles konsequent mit einer Visiten-
karte und Du wirst reichlich die diversen Filter begluecken. :-)))))))

[Richard Lechner]

Am Mon, 25 Jun 2018 15:27:00 +0200 schrieb Thomas Gohel:

>> Domain ID:852276_COUA-DRS Domain Name:PRISION.CO.UA
>
> Lass mich raten:
>
> mail.prision.co.ua ??

Yes.

> Eigentlich kann man alles getrost im HELO/EHLO mit "mail.*.co.ua" oder
> "mail.*.biz.ua" getrost teeren und federn.

Naja das nützt mir nichts weil es schon geschehen ist und bein nächsten
Mal anders heissen wird.

>> inetnum: 46.20.32.0 - 46.20.47.255
>
> Oh, den Bereich kannte ich noch nicht, kommt wahrscheinlich morgen ...
> ,-)

Ja die haben dauernd neue Adressen! :-(

> Was mich wirklich wundert, MyLOC steht nicht oft in einer RBL. Offen-
> sichtlich ist der Spam sehr auf Deutschland abgepasst und umgeht damit
> die größeren internationalen RBL-Projekte.

Vermutlich weil sie die Adressen wechseln wie andere die Unterwäsche.
Also von denen habe ich schon einige Netze.

[Thomas Gohel]

Hallo Richard,

>>> inetnum: 46.20.32.0 - 46.20.47.255
>> Oh, den Bereich kannte ich noch nicht, kommt wahrscheinlich morgen

> Ja die haben dauernd neue Adressen! :-(

IMHO besitzt MyLOC nur reichlich Mini-Netze und keinen größeren
Adressblock. Ich hatte mir mal die Mühe gemacht und eine deutsche
Seite gefunden, die die IP-Bereiche der deutschen Provider auflistet.
Die IP-Bereiche von MyLOC waren völlig zersplittert.

>> Was mich wirklich wundert, MyLOC steht nicht oft in einer RBL.
>> Offen- sichtlich ist der Spam sehr auf Deutschland abgepasst und
>> umgeht damit die größeren internationalen RBL-Projekte.
> Vermutlich weil sie die Adressen wechseln wie andere die Unterwäsche.
> Also von denen habe ich schon einige Netze.

Das glaube ich nicht, da sie vermutlich ausreichend eigene IPs besitzen.

Wenn MyLOC der Meinung ist, dass ich auch den Rest ihres Netzes lebens-
lang erden soll, dann mögen sie mir aus diesem IP-Bereich einfach nur
eine einzige Spam schicken, den Rest arbeitet ein Script für mich
auf.

Das läuft hier in der Zwischenzeit genauso wie die jahrelangen AUTH-
Versuche aus China auf bestimmte, noch nie verwendete, Mailadressen.

Tschau,

--------------
/ h o m a s
--

Permanent Online Filter fuer: User ohne Realnamen im From:-Feld, Full-
quotes (zitieren des originalen Postings unter der eigenen Antwort),
Visitenkarten, HTML-Postings, Invalid- und ungueltige Email-Adressen

[Richard Lechner]

Am Mon, 25 Jun 2018 18:53:00 +0200 schrieb Thomas Gohel:

> Wenn MyLOC der Meinung ist, dass ich auch den Rest ihres Netzes lebens-
> lang erden soll, dann mögen sie mir aus diesem IP-Bereich einfach nur
> eine einzige Spam schicken, den Rest arbeitet ein Script für mich auf.
>
> Das läuft hier in der Zwischenzeit genauso wie die jahrelangen AUTH-
> Versuche aus China auf bestimmte, noch nie verwendete, Mailadressen.

AUTH erledigt Fail2ban auf manchen Servern aber bei anderen geht das
nicht. Ich habe auch jeden Tag false positive Mails in der Quarantäne und
da würde dein Script ziemliche Probleme verursachen, ganz davon abgesehen
das es auch Bezahlsoftware gibt und nicht nur Postfix & Co.

Der Spamfilter ist auch Löhnware aber leider bewegt sich der Hersteller
nicht wirklich, Tips aus der Praxis sind dort unerwünscht. :-(
Die "Intelligenz" Spams als Kriterium selber zu nutzen fehlt dem völlig,
so kann ein Host mir die ganze Nacht Müll rein kippen und der Mailserver
füllt brav den Spamfolder auf.
Auch mit Spamtraps kann er nichts anfangen, ich kann nur mit eigenen
Regeln den X-Score erhöhen oder die Mail löschen aber die nächste Mail
von dem Sendeserver nimmt er trotzdem!
Mein Vorschlag 'ein Spamtrap Treffer führt zur IP Sperre für 1 -2
Stunden' kann der Hersteller nicht umsetzen, leider.

Das ganze Teather würde man sich mit 1 Cent pro Mail sparen, das trifft
die Verursacher (Spammer und Bulletproof Hoster) da wo es weh tut!

[Thomas Gohel]

Hallo Richard,

>> Das läuft hier in der Zwischenzeit genauso wie die jahrelangen AUTH-
>> Versuche aus China auf bestimmte, noch nie verwendete, Mailadressen.
> AUTH erledigt Fail2ban auf manchen Servern aber bei anderen geht das
> nicht. Ich habe auch jeden Tag false positive Mails in der Quarantäne
> und da würde dein Script ziemliche Probleme verursachen,

Das ist hier bei mir eine ganz spezielle Sache. Die verwendete Mail-
Adresse hat hier noch nie existiert, aber trotzdem versuchen Bots
seit ca 10 Jahren diesen Account via SMTP zu hacken. Letztes Jahr sind
die Versuche aus chinesischen Netzen massiv angestiegen, worauf ich
mir nach ein paar Monaten ein Script geschrieben habe, das die
kompletten Netze blockt. Danach war für 3 Wochen komplett Ruhe und
dann switchte das Bot-Netz innerhalb Chinas. Nach einer Woche hatte
ich auch diese Netze geerdet und seit über einem halben Jahr ist
endgültig Ruhe. Laut Logfile laufen die Versuche aber ungehindert
weiter ...

> Mein Vorschlag 'ein Spamtrap Treffer führt zur IP Sperre für 1 -2
> Stunden' kann der Hersteller nicht umsetzen, leider.

Shorttime-Blacklisting habe ich hier, aber MyLoc hat sich heute gerade
wieder ein gesamtes Netz geerdet. Mal sehen wann ich alle Netze von
denen versenkt habe ... 8-)

[Jan Bruns]

Arno Welzel:

> Der Grund ist wohl wirklich, dass GMail eben Mails von ihnen unbekannten
> Servern nicht haben will. Schön finde ich den Workaround mit
> zusätzlichem Smarthost nicht - aber am Ende kommt es halt darauf an,
> dass E-Mails auch ankommen. Da kann ich gegenüber meinen Nutzer nicht
> damit argumentieren, dass GMail halt mistig ist.

Jo. Erst grosse Userscharen an sich reissen, und dann plötzlich keinen
Bock mehr haben, sich um Wartung zu kümmern. Klasse sowas. Aber machen ja
inzwischen alle so, anscheinend.

Gruss

Jan Bruns

[Jan Bruns]

Thomas Hochstein:

> Erzwingt man die Mailauslieferung über eine ipv4-Adresse des sendenden
> Servers, verschwinden die Probleme mit Google sofort. - Ich entsinne
> mich daran, dass ich damals festgestellt habe, dass das kein singuläres
> Problem wäre, das nur mich betrifft.

Nö, das ist gelogen.

Gruss

Jan Bruns

[Marc Haber]

Das hat nichts mit mangelnder Wartung zu tun, das verkaufen die ihren
Usern als Spamfilter. Schließlich ist es überlebenswichtig, dass ja
kein Spam aus Versehen doch ausgeliefert wird. So lange die Testmails
ankommen, ist es dem Enduser ja völlig egal, wieviele legitime Mail
ihm vorenthalten wird, hauptsache es kommt kein Spam an.

Grüße
Marc, der diese Probleme zunehmend auch im geschäftlichen Verkehr hat

[Jörg Tewes]

Marc Haber schrieb:

> Jan Bruns <eb...@abnuto.de> wrote:
>>Arno Welzel:
>>> Der Grund ist wohl wirklich, dass GMail eben Mails von ihnen unbekannten
>>> Servern nicht haben will. Schön finde ich den Workaround mit
>>> zusätzlichem Smarthost nicht - aber am Ende kommt es halt darauf an,
>>> dass E-Mails auch ankommen. Da kann ich gegenüber meinen Nutzer nicht
>>> damit argumentieren, dass GMail halt mistig ist.
>>
>>Jo. Erst grosse Userscharen an sich reissen, und dann plötzlich keinen
>>Bock mehr haben, sich um Wartung zu kümmern. Klasse sowas. Aber machen ja
>>inzwischen alle so, anscheinend.
>
> Das hat nichts mit mangelnder Wartung zu tun, das verkaufen die ihren
> Usern als Spamfilter. Schließlich ist es überlebenswichtig, dass ja
> kein Spam aus Versehen doch ausgeliefert wird. So lange die Testmails
> ankommen, ist es dem Enduser ja völlig egal, wieviele legitime Mail
> ihm vorenthalten wird, hauptsache es kommt kein Spam an.

Das ist tatsächlich so, falls es von dir irgendwie sarkastisch gemein
gewesen sein sollte. Ich habe etliche User die sich beschweren wenn
mal wieder eine Welle an Spam kommt. Das es keinen 100%igen Spamschutz
gibt kapieren die meisten einfach nicht.


Bye Jörg

--
Nichts auf der Welt ist so gerecht verteilt wie der Verstand.
Denn jedermann ist überzeugt, daß er genug davon habe.
(René Descartes)

[Thomas Hochstein]

Jan Bruns schrieb:

Es ist eine für meinen Fall zutreffend Beobachtung, und es gibt
Berichte derjenigen, die vergleichbare Beobachtungen gemacht haben -
ich habe das ja nicht deshalb ausprobiert, weil gerade die Mondphase
auffällig war.

"Gelogen" ist das also jedenfalls nicht, und für meinen Fall trifft es
weiterhin zu: das zuvor bestehende Problem besteht nicht mehr.

[Florian Weimer]

* Jan Bruns:

Das mag vielleicht aus Sicht von Google-Technikern so erscheinen, aber
der Rest der Welt stellt fest, daß Google IPv6 offensichtlich nicht
ordentlich umsetzen kann und ergreift Gegenmaßnahmen.

[Arno Welzel]

Jan Bruns:

Meine Lösung war am Ende, die Zustellung an GMail nur über IPv4
durchzuführen. Dann sind die Spamfilter weit weniger aggressiv.

[Arno Welzel]

Jan Bruns:

Hat bei mir aber auf Anhieb funktioniert.

IPv6 - Mail praktisch unzustellbar
IPv4 - keine Probleme

[Marc Haber]

Arno Welzel <use...@arnowelzel.de> wrote:
>Jan Bruns:
>> Thomas Hochstein:
>>> Erzwingt man die Mailauslieferung über eine ipv4-Adresse des sendenden
>>> Servers, verschwinden die Probleme mit Google sofort. - Ich entsinne
>>> mich daran, dass ich damals festgestellt habe, dass das kein singuläres
>>> Problem wäre, das nur mich betrifft.
>>
>> Nö, das ist gelogen.
>
>Hat bei mir aber auf Anhieb funktioniert.
>
>IPv6 - Mail praktisch unzustellbar
>IPv4 - keine Probleme

Als IPv6-Evangelist kann ich mir die Standardlösung ("irgendwas
funktioniert mit IPv6 nicht auf Anhieb perfekt - ABSCHALTEN!") nicht
leisten. Und will das auch nicht.

Grüße
Marc

[David Seppi]

Arno Welzel schrieb:

> Jan Bruns:
>
>>
>> Thomas Hochstein:
>>
>>> Erzwingt man die Mailauslieferung über eine ipv4-Adresse des sendenden
>>> Servers, verschwinden die Probleme mit Google sofort. - Ich entsinne
>>> mich daran, dass ich damals festgestellt habe, dass das kein singuläres
>>> Problem wäre, das nur mich betrifft.
>>
>> Nö, das ist gelogen.
>
> Hat bei mir aber auf Anhieb funktioniert.

Bei mir auch. Ich habe sogar IPv6 in Postfix generell deaktiviert,
um keine Liste von Ausnahmen pflegen zu müssen.
Probleme durch diese Lösung: null.

[Arno Welzel]

Marc Haber:

> Arno Welzel <use...@arnowelzel.de> wrote:
>> Jan Bruns:
>>> Thomas Hochstein:
>>>> Erzwingt man die Mailauslieferung über eine ipv4-Adresse des sendenden
>>>> Servers, verschwinden die Probleme mit Google sofort. - Ich entsinne
>>>> mich daran, dass ich damals festgestellt habe, dass das kein singuläres
>>>> Problem wäre, das nur mich betrifft.
>>>
>>> Nö, das ist gelogen.
>>
>> Hat bei mir aber auf Anhieb funktioniert.
>>
>> IPv6 - Mail praktisch unzustellbar
>> IPv4 - keine Probleme
>
> Als IPv6-Evangelist kann ich mir die Standardlösung ("irgendwas
> funktioniert mit IPv6 nicht auf Anhieb perfekt - ABSCHALTEN!") nicht
> leisten. Und will das auch nicht.

Darum geht es aber nicht. Ich rede von eine Lösung, die explizit und
ausschließlich die Mailzustellung an GMail über IPv4 ausführt, weil bei
GMail Einlieferungen über IPv6 faktisch kaputt ist.

Selbstverständlich läuft *ALLES* andere auf dem Server weiterhin auch
über IPv6.

[Arno Welzel]

David Seppi:

> Arno Welzel schrieb:
>
>> Jan Bruns:
>>
>>>
>>> Thomas Hochstein:
>>>
>>>> Erzwingt man die Mailauslieferung über eine ipv4-Adresse des sendenden
>>>> Servers, verschwinden die Probleme mit Google sofort. - Ich entsinne
>>>> mich daran, dass ich damals festgestellt habe, dass das kein singuläres
>>>> Problem wäre, das nur mich betrifft.
>>>
>>> Nö, das ist gelogen.
>>
>> Hat bei mir aber auf Anhieb funktioniert.
>
> Bei mir auch. Ich habe sogar IPv6 in Postfix generell deaktiviert,
> um keine Liste von Ausnahmen pflegen zu müssen.

Bisher ist GMail die einzige Ausnahme. Sonst habe ich bisher keine
Probleme mit IPv6.

[Sven Hartge]

Jörg Tewes <jogi...@gmx.net> wrote:
> Marc Haber schrieb:

>> Das hat nichts mit mangelnder Wartung zu tun, das verkaufen die ihren
>> Usern als Spamfilter. Schließlich ist es überlebenswichtig, dass ja
>> kein Spam aus Versehen doch ausgeliefert wird. So lange die Testmails
>> ankommen, ist es dem Enduser ja völlig egal, wieviele legitime Mail
>> ihm vorenthalten wird, hauptsache es kommt kein Spam an.

> Das ist tatsächlich so, falls es von dir irgendwie sarkastisch gemein
> gewesen sein sollte. Ich habe etliche User die sich beschweren wenn
> mal wieder eine Welle an Spam kommt. Das es keinen 100%igen Spamschutz
> gibt kapieren die meisten einfach nicht.

Meiner Erfahrung nach sind die Benutzer, die sich Beschweren, wenn mal
eine SPAM-Mail durchkommt auch exakt die gleichen Benutzer, wenn
legitime Mail durch die verschärften Einstellungen des Filters, die sie
selbst (gegen meine Empfehlung) vorgenommen haben, abgelehnt wird.

[Marc Haber]

dse...@a1.net (David Seppi) wrote:
>Bei mir auch. Ich habe sogar IPv6 in Postfix generell deaktiviert,
>um keine Liste von Ausnahmen pflegen zu müssen.
>Probleme durch diese Lösung: null.

Bis Du mal Mails an eine Domain ausliefern möchtest, deren MX nur per
IPv6 erreichbar sein wird. Wenn sich das Großproviderkartell weiterhin
so erfolgreich gegen den Rest der Welt abschottet, wird dieser Tag nie
kommen, weil niemand mehr eigene Mailserver betreiben wird, der nicht
zum Großproviderkartell gehört.

[Ralph Aichinger]

Arno Welzel <use...@arnowelzel.de> wrote:
> Darum geht es aber nicht. Ich rede von eine Lösung, die explizit und
> ausschließlich die Mailzustellung an GMail über IPv4 ausführt, weil bei
> GMail Einlieferungen über IPv6 faktisch kaputt ist.

Ich kann das so nicht bestätigen. Ich habe meinen privaten SMTP-Server
so eingestellt, daß er IPv6 macht, und habe keinerlei Probleme damit
zu Google zuzustellen oder umgekehrt Mail zu empfangen (ich schicke
relativ viel Mail hin und her).

/ralph
--
-----------------------------------------------------------------------------
https://aisg.at
ausserirdische sind gesund

[David Seppi]

Marc Haber schrieb:

> Bis Du mal Mails an eine Domain ausliefern möchtest, deren MX nur per
> IPv6 erreichbar sein wird.

Bis dahin sollten Googles IPv6-Probleme ja behoben sein.
Derzeit betreibt man IPv6-only-MXe nur dann, wenn man an einer
zuverlässigen Zustellung nicht interessiert ist.

[Arno Welzel]

Ralph Aichinger:

> Arno Welzel <use...@arnowelzel.de> wrote:
>> Darum geht es aber nicht. Ich rede von eine Lösung, die explizit und
>> ausschließlich die Mailzustellung an GMail über IPv4 ausführt, weil bei
>> GMail Einlieferungen über IPv6 faktisch kaputt ist.
>
> Ich kann das so nicht bestätigen. Ich habe meinen privaten SMTP-Server
> so eingestellt, daß er IPv6 macht, und habe keinerlei Probleme damit
> zu Google zuzustellen oder umgekehrt Mail zu empfangen (ich schicke
> relativ viel Mail hin und her).

Empfangen ist auch kein Problem, aber senden über IPv6. Und da bin ich
nicht nach meinen Recherchen auch nicht allein.

Und ja - ich habe SPF, DMARC etc. konfiguriert, weil das bei IPv4 auch
schon nötig war.

[Thomas Hochstein]

Florian Weimer schrieb:

> der Rest der Welt stellt fest, daß Google IPv6 offensichtlich nicht
> ordentlich umsetzen kann und ergreift Gegenmaßnahmen.

So weit würde ich gar nicht gehen; die Überlegung, über ipv6
eingelieferte Mails deutlich schärfer zu filtern, ist so dumm nicht.
ipv4-Adressen kann man nicht unbegrenzt "verbrennen"; daher greifen
Filter, die massive Spam-Quellen oder IP-Adressen mit schlechter
Reputation blocken, einigermaßen zuverlässig. Mit ipv6 wird das
vermutlich kaum skalieren.

-thh

[Thomas Hochstein]

Marc Haber schrieb:

> Als IPv6-Evangelist kann ich mir die Standardlösung ("irgendwas
> funktioniert mit IPv6 nicht auf Anhieb perfekt - ABSCHALTEN!") nicht
> leisten.

Ich sehe kein Problem darin, ausschließlich Mail an Google nur über
ipv4 auszuliefern. Du wirst ja auch Ziele, die nur per ip4 erreichbar
sind (soll es ja noch geben) auf eben diese Weise ansprechen.

[Marc Haber]

Man filtert praktischerweise auf das /64.

[Marc Haber]

Das sind aber Ziele, die durch Fehlen eines AAAA-Records kundtun, dass
sie kein IPv6 können. Google _kann_ IPv6.

[Florian Weimer]

* Marc Haber:

> Thomas Hochstein <t...@inter.net> wrote:
>>Marc Haber schrieb:
>>> Als IPv6-Evangelist kann ich mir die Standardlösung ("irgendwas
>>> funktioniert mit IPv6 nicht auf Anhieb perfekt - ABSCHALTEN!") nicht
>>> leisten.
>>
>>Ich sehe kein Problem darin, ausschließlich Mail an Google nur über
>>ipv4 auszuliefern. Du wirst ja auch Ziele, die nur per ip4 erreichbar
>>sind (soll es ja noch geben) auf eben diese Weise ansprechen.
>
> Das sind aber Ziele, die durch Fehlen eines AAAA-Records kundtun, dass
> sie kein IPv6 können. Google _kann_ IPv6.

Aber offensichtlich kommt ihre Software damit nicht klar.

[Florian Weimer]

* Thomas Hochstein:

Ich mache schon lange nicht mehr Spam-Bekämpfung, aber das scheint mir
doch eher fragwürdig zu sein. Hängt die Reputation nicht (auch) an der
Absender-Domain? Mit SPF läßt sich immerhin die Zuordung der
einlieferenden IP(v6)-Adresse zur Absender-Domain prüfen.

Wenn man als Empfänger unsicher ist, kann man auch die Einlieferung
über IPv4 statt über IPv6 mehr oder weniger erzwingen.

Andere Anbieter bekommen das auch hin.

[David Seppi]

Marc Haber schrieb:

> Thomas Hochstein <t...@inter.net> wrote:
[...]

>>ipv4-Adressen kann man nicht unbegrenzt "verbrennen"; daher greifen
>>Filter, die massive Spam-Quellen oder IP-Adressen mit schlechter
>>Reputation blocken, einigermaßen zuverlässig. Mit ipv6 wird das
>>vermutlich kaum skalieren.
>
> Man filtert praktischerweise auf das /64.

Auch /64er-Netze gibt es deutlich mehr als IPv4-Adressen. 2^64 >> 2^32
Thomas' Argument dürfte also auch dann zutreffen.

[Thomas Hochstein]

Marc Haber schrieb:

> Thomas Hochstein <t...@inter.net> wrote:

>> Ich sehe kein Problem darin, ausschließlich Mail an Google nur über
>> ipv4 auszuliefern. Du wirst ja auch Ziele, die nur per ip4 erreichbar
>> sind (soll es ja noch geben) auf eben diese Weise ansprechen.
>
> Das sind aber Ziele, die durch Fehlen eines AAAA-Records kundtun, dass
> sie kein IPv6 können. Google _kann_ IPv6.

Die Maileinlieferung über ipv6 ist jedenfalls problematisch. Wenn Du
es auf andere Weise hinbekommst, dort Mail loszuwerden, umso besser
für Dich; wenn nicht, ist es sinnvoller, sie über ipv4 loszuwerden als
dogmatisch zu sein.

[Marc Haber]

Dennoch wird man da besser sortieren können, weil der systematischer
vergebene Adressraum nicht so über zerklüftet ist und auch nie sein
wird.

[David Seppi]

Marc Haber schrieb:

> Dennoch wird man da besser sortieren können, weil der systematischer
> vergebene Adressraum nicht so über zerklüftet ist und auch nie sein
> wird.

Stimmt allerdings.