Re: SPF-Filter-Wahnsinn bei gmx

[Juergen P. Meier]

Andreas Oehler <andreas...@gmx.de>:
> Ich bin Vorstandsmitglied in einem kleinen Verein. Wir haben eine
> Sammel-Adresse der Art aa...@verein-bbb.de , die schlicht eingehende Mails
> an die privaten Mailadressen der 4 Vorstandsmitglieder weiterleitet. Seit

Per Forward, also ledgilich mit einem neuen Envelope-Recipient, aber
orginal Absender?

> gestern nun lehnt meine private gmx-Adresse manche auf diesem Weg
> weitergleitete Mails ab:
>
>>andreas...@gmx.de ?????
>>(ultimately generated from aa...@verein-bbb.de) SMTP error from remote
>>mail server after MAIL FROM:<xxxxx...@web.de> SIZE=5972:
>>host mx00.emig.gmx.net [212.227.15.9]: 550-Requested action not taken:
>>mailbox unavailable 550-Reject due to SPF policy.

Ja, manch ein Domaininhaber behaelt sich vor, dass nur offiziell
per DNS bekanntgemachte Mailerserver autorisiert sind, Mails mit
Absender ihrer Domain zu erzeugen. Veroeffentlicht ueber SPF-Records.

GMX als Empfaenger wiederum setzt eine Policy (alt-deutsch: Richtlinie)
um, die solche Domaininhabervorgaben als SPAM-Filterkriterium anwendet
und weist im Auftrag des Empfaengers (den Auftrag dazu hast du durch
Einstellung deiner Spam-Filter bei GMX erteilt!) die weitergeleitete
Mail mit diesem Absender vom Vereins-Mailforwarder ab.

> Wenn der Absender mir die Mail direkt schickt, meckert gmx hingegen nicht.

Ach. Dann kommt die Mail ja auch von einem vom Domaininhaber dazu
autorisierten Mailsystem.

> DIe Mails wurden dabei ganz schlicht über smtp.web.de per Thunderbird
> abgeschickt.
>
> Was tun?

Entweder du schaltest die SPF-Filter fuer deine GMX-Mailbox ab (sofern
das geht), oder du schreibst den Absender beim weiterleiten um.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

[Thomas Hochstein]

Andreas Oehler schrieb:

> Was tun?

Beim Forwarding zumindest den Envelope umschreiben (SRS).

Wenn das nicht reicht - manchmal ist das leider auch so - muss auch
From: umgeschrieben werden. Darunter leiden derzeit Mailinglisten.

Oder die Vorstandsmitglieder sorgen dafür, dass ausdrücklich
erwünschte E-Mail an sie auch zugestellt wird. Technisch ist das kein
Problem, dafür eine Ausnahme zu machen, aber das gibt es natürlich
nicht im Massengeschäft und schon dreimal nicht kostenlos. Alternativ
reicht auch der Wechsel zu einem Anbieter, der nicht - oder anders -
filtert.

Grüße,
-thh

[Thomas Hochstein]

Andreas Oehler schrieb:

> Solche simple Mailverteiler gibt es aber doch Millionen-fach.

Freilich. Und sie funktionieren zunehmend nicht mehr.

Mailinglisten ohne weiteres übrigens auch nicht.

> Wenn man
> dann gerade die Kommunikation gmx/web-Absender zu gmx/Web-Empfänger (mit
> dazwischengeschaltetem Mailverteiler) verhindert, ist das doch ziemlich
> dämlich. Die wenigsten Spammer verwenden ja ohne Not gmx oder web.de
> Adressen. Man ärgert also in erster Linie die eingenen Kunden.

Jein. Man verhindert, dass man Spam mit gefälschtem Absender an eigene
Kunden zustellt. Das ist ja der Sinn der Sache. Und man verhindert
zugleich Absenderfälschungen.

Problematisch ist das nur dann, wenn weder der Absender noch der
Empfänger selbst ihre Konfiguration kontrollieren können, sondern
damit leben müssen, was ihr Anbieter für richtig hält.

Das ist aber, wie gesagt, keineswegs das eigentliche Problem. Dafür
gibt es (ich meine, seit mindestens 10 Jahren) SRS. Muss man halt
implementieren, wenn man Mails weiterleitet; Mailinglisten tun das
schon immer. Ist kein unvertretbarer Aufwand und hat keine negativen
Seiteneffekte.

Das Problem ist, dass neuerdings teilweise auch der From:-Header
geprüft wird. Dann kann man nur noch weiterleiten (oder Mailinglisten
betreiben), wenn man den umschreibt oder neu setzt. Das ist unschön,
weil die E-Mail dann nicht mehr original ist. Aber so ist das Leben;
die großen Massenanbieter von E-Mail-Accounts verlangen das.

>> oder du schreibst den Absender beim weiterleiten um.
>

> Der Mailverteiler ist bei domain-factory.

Dann müssen die mindestens SRS implementieren. Mit Glück reicht das;
das Umschreiben des From: werden sie ziemlich sicher nicht anbieten.

> Weiß jemand wie man dort
> entsprechendes umkonfiguriert, so dass trotzdem bei den Empfängern ein
> einfaches "Reply" im MUA an den ursprünglichen Abender geht?

Nein. (Ich habe eher Zweifel, dass das angeboten wird.)

Alternativ könnte jedes Vorstandsmitglied einen Mailaccount bei
Domain-Factory nutzen; die "interne" Weiterleitung innerhalb des
Anbieters ist unproblematisch. Den muss man dann eben zusätzlich
abrufen, oder man sucht sich einen Anbieter, der ihn abruft und in
einem Postfach zusammenführt.

-thh
--
/'\ --- JOIN NOW! ---
\ / ASCII ribbon campaign
X against HTML
/ \ in mail and news

[David Seppi]

Thomas Hochstein schrieb:

> Jein. Man verhindert, dass man Spam mit gefälschtem Absender an eigene
> Kunden zustellt. Das ist ja der Sinn der Sache. Und man verhindert
> zugleich Absenderfälschungen.

Nur wenn man auf den From-Header genauso rigoros filtert.
Der typische Nutzer sieht ja sowieso nur den.

> Das ist aber, wie gesagt, keineswegs das eigentliche Problem. Dafür
> gibt es (ich meine, seit mindestens 10 Jahren) SRS. Muss man halt
> implementieren, wenn man Mails weiterleitet; Mailinglisten tun das
> schon immer.

Mailinglisten? SRS? Zumindest Mailman setzt als Envelope-From
normalerweise eine fixe Absenderadresse der Form
<Listennam...@tld.example>.

Das Nervige bei GMX ist, daß die die erzwungene SPF-Prüfung von heute
auf morgen ohne Vorwarnung an die Kunden aktiviert haben.

--
David Seppi
1220 Wien

[Juergen P. Meier]

David Seppi <dse...@a1.net>:

> Thomas Hochstein schrieb:
>
>> Jein. Man verhindert, dass man Spam mit gefälschtem Absender an eigene
>> Kunden zustellt. Das ist ja der Sinn der Sache. Und man verhindert
>> zugleich Absenderfälschungen.
>
> Nur wenn man auf den From-Header genauso rigoros filtert.

Wer auf den From:-Header irgendwelche SPF-Filter anwendet, gehoert
erschossen und danach auf Idioten-RBLs gesetzt.

> Das Nervige bei GMX ist, daß die die erzwungene SPF-Prüfung von heute
> auf morgen ohne Vorwarnung an die Kunden aktiviert haben.

Und (aus technischen Gruenden) ohne dass der Zahlende Kunde entcheiden
darf, ob er das will oder nicht.

Bei United Internet gilt wohl neuerdings: YDNGWYPF

[Paul Muster]

On 27.05.2016 09:06, Andreas Oehler wrote:

>> host mx00.emig.gmx.net [212.227.15.9]: 550-Requested action not taken:
>> mailbox unavailable 550-Reject due to SPF policy.

So, heute dann auch auf heise.de:

http://www.heise.de/newsticker/meldung/United-Internet-verschaerft-Spam-Bekaempfung-3225281.html


mfG Paul

[Eike Rathke]

* Andreas Oehler, 2016-05-27 07:06 UTC:

>>host mx00.emig.gmx.net [212.227.15.9]: 550-Requested action not taken:
>>mailbox unavailable 550-Reject due to SPF policy.

Kommentar von Peer Heinlein:
https://www.heinlein-support.de/blog/news/gmx-de-und-web-de-haben-mail-rejects-durch-spf/

Eike

--
OpenPGP/GnuPG encrypted mail preferred in all private communication.
Key "ID" 0x65632D3A - 2265 D7F3 A7B0 95CC 3918 630B 6A6C D5B7 6563 2D3A
Better use 64-bit 0x6A6CD5B765632D3A here is why: https://evil32.com/
Care about Free Software, support the FSFE https://fsfe.org/support/?erack
Use LibreOffice! https://www.libreoffice.org/

[David Seppi]

Juergen P. Meier schrieb:

> Wer auf den From:-Header irgendwelche SPF-Filter anwendet, gehoert
> erschossen und danach auf Idioten-RBLs gesetzt.

Eh. Ich schlage nicht vor das zu tun. Wenn man es aber nicht tut, dann
ist Otto-Normal-User sowieso nicht vor Adreßfälschung geschützt, da der
eh nur den From-Header sieht. Also braucht man so eine Filterung dem
Kunden nicht aufzwingen.

[David Seppi]

Andreas Oehler schrieb:

> Interessant für mich ist aber vor allem der Abschnitt "UPDATE" am Ende des
> Artikel. Erstaunlicherweise hat United Internet doch auf den breiten
> Protest reagiert und das Problem abgestellt. Allerdings haben sie nicht
> die harte Anwendung des SPF-Filter zurückgenommen sondern die SPF records
> für die Mail von den eigenen Domains "unschärfer" formuliert.

Ja, sie haben -all durch ~all ersetzt. Löst das Problem aber nicht.
Glücklicherweise war die Implementierung von SRS leichter als gedacht.
Sie umschreibt bei mir jetzt zwar alle envelope-froms eingehender Mails
(auch wenn nicht weitergeleitet wird), aber das soll mir egal sein.

[Thomas Hochstein]

David Seppi schrieb:

> Thomas Hochstein schrieb:

>> Das ist aber, wie gesagt, keineswegs das eigentliche Problem. Dafür
>> gibt es (ich meine, seit mindestens 10 Jahren) SRS. Muss man halt
>> implementieren, wenn man Mails weiterleitet; Mailinglisten tun das
>> schon immer.
>
> Mailinglisten? SRS? Zumindest Mailman setzt als Envelope-From
> normalerweise eine fixe Absenderadresse der Form
> <Listennam...@tld.example>.

Ka, klar, das ist kein SRS, kommt aber im Ergebnis aufs selbe raus:
anderer Envelope-From, der dafür sorgt, dass Bounces dennoch dort
landen, wo sie hinsollen (im Falle von Mailman bei ihm selbst zur
Verarbeitung, im Falle vom SRS beim ursprünglichen Envelope-From).

> Das Nervige bei GMX ist, daß die die erzwungene SPF-Prüfung von heute
> auf morgen ohne Vorwarnung an die Kunden aktiviert haben.

Was soll auch schon passieren? Es wird ja niemand SPF mit "fail" für
seine Domains konfiguriert haben, der das nicht auch durchsetzen will,
und heutzutage niemand mehr Weiterleitungen ohne SRS anbieten. :)

-thh

[Thomas Hochstein]

David Seppi schrieb:

> Glücklicherweise war die Implementierung von SRS leichter als gedacht.
> Sie umschreibt bei mir jetzt zwar alle envelope-froms eingehender Mails
> (auch wenn nicht weitergeleitet wird), aber das soll mir egal sein.

Wie hast Du's denn implementiert?

In <m5bm1d-...@news.muster.net> in de.comm.software.mailserver war
genau das die Frage ...

Grüße,
-thh

[Thomas Hochstein]

Juergen P. Meier schrieb:

> Wer auf den From:-Header irgendwelche SPF-Filter anwendet, gehoert
> erschossen und danach auf Idioten-RBLs gesetzt.

Ich war da etwas ungenau, weil ich nur den Effekt im Blick hatte,
mich aber nicht ausreichend mit den Hintergründen beschäftigte:

From:-Header muss man nicht wegen SPF, sondern wegen DMARC/DKIM
umschreiben.

Das betrifft aber keine Weiterleitungen, sondern "nur" Mailinglisten,
die bspw. im Subject ein Tag setzen oder einen Footer anhängen.

[Juergen P. Meier]

Thomas Hochstein <t...@inter.net>:

>> Das Nervige bei GMX ist, daß die die erzwungene SPF-Prüfung von heute
>> auf morgen ohne Vorwarnung an die Kunden aktiviert haben.
>
> Was soll auch schon passieren? Es wird ja niemand SPF mit "fail" für
> seine Domains konfiguriert haben, der das nicht auch durchsetzen will,
> und heutzutage niemand mehr Weiterleitungen ohne SRS anbieten. :)

Perfiede daran ist ja auch, dass United Internet fuer iher Domains
(GMX und Web.de) selbst recht schnell von "-all" auf "~all" umgestellt
haben...

[David Seppi]

Thomas Hochstein schrieb:

> David Seppi schrieb:
>
>> Glücklicherweise war die Implementierung von SRS leichter als gedacht.
>> Sie umschreibt bei mir jetzt zwar alle envelope-froms eingehender Mails
>> (auch wenn nicht weitergeleitet wird), aber das soll mir egal sein.
>
> Wie hast Du's denn implementiert?

Mit postsrsd[1]. Anleitung siehe z.B. [2].

> In <m5bm1d-...@news.muster.net> in de.comm.software.mailserver war
> genau das die Frage ...

Ja, aber bezogen auf Exim. Die von mir implementierte Lösung ist leider
Postfix-spezifisch - mit Exim kenne ich mich leider nicht aus.

[1] https://github.com/roehling/postsrsd
[2] https://www.mind-it.info/2014/02/22/forward-postfix-spf-srs/

[David Seppi]

Juergen P. Meier schrieb:

> Perfiede daran ist ja auch, dass United Internet fuer iher Domains
> (GMX und Web.de) selbst recht schnell von "-all" auf "~all" umgestellt
> haben...

Ja - *nachdem* Beschwerden kamen.

[Marc Haber]

Es ist halt wichtig, dass bloß kein Spam in der Mailbox ankommt;
darauf gucken die Tester von der Presse und die Leute reden am
Stammtisch darüber.

Dass man legitime Mail nicht mehr zuverlässig bekommt, mei, egal.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Marc Haber]

dse...@a1.net (David Seppi) wrote:
>Thomas Hochstein schrieb:
>
>> David Seppi schrieb:
>>
>>> Glücklicherweise war die Implementierung von SRS leichter als gedacht.
>>> Sie umschreibt bei mir jetzt zwar alle envelope-froms eingehender Mails
>>> (auch wenn nicht weitergeleitet wird), aber das soll mir egal sein.
>>
>> Wie hast Du's denn implementiert?
>
>Mit postsrsd[1]. Anleitung siehe z.B. [2].

Ich werde nie verstehen, warum postfix von allen Leuten als überlegen
angesehen wird, wenn man schon für so triviale Dinge einen externen
Daemon braucht, der wieder gezielt ausfallen kann etc bla.

Ganz so schlecht ist exims Konzept mit der vollständig eingerichteten
Küche wohl doch nicht.

[Sven Hartge]

Marc Haber <mh+usene...@zugschl.us> wrote:
> dse...@a1.net (David Seppi) wrote:
>>Thomas Hochstein schrieb:
>>
>>> David Seppi schrieb:
>>>
>>>> Glücklicherweise war die Implementierung von SRS leichter als gedacht.
>>>> Sie umschreibt bei mir jetzt zwar alle envelope-froms eingehender Mails
>>>> (auch wenn nicht weitergeleitet wird), aber das soll mir egal sein.
>>>
>>> Wie hast Du's denn implementiert?
>>
>>Mit postsrsd[1]. Anleitung siehe z.B. [2].

> Ich werde nie verstehen, warum postfix von allen Leuten als überlegen
> angesehen wird, wenn man schon für so triviale Dinge einen externen
> Daemon braucht, der wieder gezielt ausfallen kann etc bla.

> Ganz so schlecht ist exims Konzept mit der vollständig eingerichteten
> Küche wohl doch nicht.

Der Komplettheithalber werfe ich daher einmal
http://www.infradead.org/rpr.html in den Raum

S°


--
Sigmentation fault. Core dumped.

[David Seppi]

Marc Haber schrieb:

> Ich werde nie verstehen, warum postfix von allen Leuten als überlegen
> angesehen wird, wenn man schon für so triviale Dinge einen externen
> Daemon braucht, der wieder gezielt ausfallen kann etc bla.

Postfix ist doch sowieso modular. Ob da jetzt ein postfix-eigener Dienst
als eigener Prozeß läuft oder ein externer ist dann auch nicht mehr
viel Unterscbied.

[Holger Korn]

Am 07.06.2016 um 07:14 schrieb Marc Haber:

> Es ist halt wichtig, dass bloß kein Spam in der Mailbox ankommt;
> darauf gucken die Tester von der Presse und die Leute reden am
> Stammtisch darüber.
>
> Dass man legitime Mail nicht mehr zuverlässig bekommt, mei, egal.

ich bin positiv überrascht. obwohl ich persönlich derzeit kein zahlender
Kunde bin kommt eine Antwort auf meine Frage. okay: nicht zeitnah, aber
immerhin.

hier ein wesentlicher teil der Antwort:
##
Wir haben eine Umstellung für WEB.DE und GMX vorgenommen, sodass die
E-Mails, die abgelehnt wurden, nun wieder zugestellt werden.

Sie erhalten für diese E-Mails keinen MailerDaemon mehr.

Bitte beachten Sie, dass wir weiterhin einen SPF-Check durchführen.

Dies bedeutet, dass wir uns an die SPF Policy der Absender-Domain halten
und es somit bei anderen Domains durchaus zu einem Bounce (Fehlermeldung
per E-Mail) kommen kann.

Unsere Systeme prüfen bei der E-Mail-Annahme, ob für die Absenderdomain
vom Inhaber der Domain eine Richtlinie existiert, die Auskunft darüber
gibt, über welche E-Mail-Server betreffende E-Mails versandt werden
dürfen und wie mit E-Mails verfahren werden soll, die dieser Richtlinie
nicht entsprechen.
Für diese Prüfung wird das SPF-Verfahren genutzt (siehe auch
https://de.wikipedia.org/wiki/Sender_Policy_Framework).

Grund für die Ablehnung ist hier somit, dass die betreffende E-Mail über
einen anderen Server versandt wurde, als es laut dem SPF-Eintrag des
Domaininhabers erlaubt ist.
Dies ist üblicherweise ein Hinweis dafür, dass die Absenderangabe
gefälscht ist und es sich um Spam/Phishing handelt.

Wenn Sie E-Mails an Ihr Postfach weiterleiten lassen, so kann es jedoch
vorkommen, dass eine erwünschte E-Mail von unseren Systemen abgelehnt
wird, weil der Server der die E-Mail weiterleitet nicht vom
Domaininhaber als berechtigtes System vorgesehen ist.
Dieser Konfigurationsfehler bei der Weiterleitung kann durch den
Anbieter des weiterleitenden Postfachs z.B. durch den Einsatz der SRS
Technik gelöst werden.

Alternativ empfehlen wir Ihnen statt der Weiterleitung die Einrichtung
eines Sammeldienstes den wir in unseren Postfächern anbieten.
##





--
]_[ ]_/
]olger ]o\rn spu...@gmx.de
Nur wer Dinge verspricht, die in ihrem Kern auch rechtschaffen sind,
wird sein Wort letztlich auch halten können. Nur wer sich auf eine Weise
aufführt, die in ihrem Kern den guten Sitten nahe kommt, wird Schmach
und Spott von sich fern halten können. Nur wer nach seiner Heirat
trotzdem nicht den Draht zu seinem Elternhaus verliert, ist es wert als
Familienmensch geachtet zu werden. Konfuzius

[Sven Hartge]

Holger Korn <spu...@gmx.de> wrote:

>[Zitat Mail von GMX]

>| Alternativ empfehlen wir Ihnen statt der Weiterleitung die Einrichtung
>| eines Sammeldienstes den wir in unseren Postfächern anbieten.

Und welcher damit in so ziemlich 100% der Quell-Dienste eine Verletzung
der AGB darstellen dürfte.

Mein Arbeitgeber z.B. verbietet in der Nutzungsordnung explizit solche
Sammeldienste, da hierbei die Nutzerkennung und -Passwort einem Dritten
offenbart werden muss.

[Thomas Hochstein]

Marc Haber schrieb:

> Es ist halt wichtig, dass bloß kein Spam in der Mailbox ankommt;
> darauf gucken die Tester von der Presse und die Leute reden am
> Stammtisch darüber.

Das ist ja nun auch recht einfach festzustellen.

> Dass man legitime Mail nicht mehr zuverlässig bekommt, mei, egal.

Das bemerkt man schlicht nicht (so schnell).

Die wenigsten Leute, die E-Mail wirklich benutzen, rufen vorher oder
hinterher an, um eine Mail anzukündigen oder sich zu erkundigen, ob
sie auch angekommen ist. Und das mit den Bounces ist auch so eine
Sache: die Chance ist nicht schlecht, dass der Absender entweder nicht
versteht, worum es geht, oder das System dort so verkorkst ist, dass
Bounces nicht auslieferbar sind.

-thh

[Thomas Hochstein]

David Seppi schrieb:

> Thomas Hochstein schrieb:
>> David Seppi schrieb:
>>> Glücklicherweise war die Implementierung von SRS leichter als gedacht.
>>> Sie umschreibt bei mir jetzt zwar alle envelope-froms eingehender Mails
>>> (auch wenn nicht weitergeleitet wird), aber das soll mir egal sein.
>> Wie hast Du's denn implementiert?
>
> Mit postsrsd[1]. Anleitung siehe z.B. [2].

> [1] https://github.com/roehling/postsrsd
> [2] https://www.mind-it.info/2014/02/22/forward-postfix-spf-srs/

Danke! - Das notiere ich mir mal für meinen nächsten
Linksammlungs-Blogpost, vielleicht hilft's ja jemandem ...

-thh

[Marc Haber]

Eklig. Aber wohl nicht anders zu handhaben.

[Sven Hartge]

Thomas Hochstein <t...@inter.net> wrote:

> Die wenigsten Leute, die E-Mail wirklich benutzen, rufen vorher oder
> hinterher an, um eine Mail anzukündigen oder sich zu erkundigen, ob
> sie auch angekommen ist. Und das mit den Bounces ist auch so eine
> Sache: die Chance ist nicht schlecht, dass der Absender entweder nicht
> versteht, worum es geht, oder das System dort so verkorkst ist, dass
> Bounces nicht auslieferbar sind.

Meine persönliche Erfahrung ist, dass außer den Leuten, die schon in
1998 Mail gemacht haben, kaum einer überhaupt noch weiß, mit einem
Bounce etwas anzufangen, selbst wenn dieser bei in-house Empfängern
sogar lokalisiert ist.

Wir leben in einer Zeit, in der man auf die Frage "Wie ist deine
Mail-Adresse?" die Antwort bekommt "Habe ich nicht, ich bin auf
Facebook."

[David Seppi]

Sven Hartge schrieb:

> Meine persönliche Erfahrung ist, dass außer den Leuten, die schon in
> 1998 Mail gemacht haben, kaum einer überhaupt noch weiß, mit einem
> Bounce etwas anzufangen, selbst wenn dieser bei in-house Empfängern
> sogar lokalisiert ist.

Kann das an der Sprache liegen? Können Leute mit englischer
Muttersprache besser damit umgehen? Der Inhalt ist ja eigentlich klar
verständlich und offensichtlich.

[Sven Hartge]

Wie gesagt: Wenn der lokal erzeugte Bounce für eine lokale Adresse ist,
dann ist dieser Bounce auf Deutsch.

Hat auch nichts am Verständnis der Benutzer geändert.

[David Seppi]

Sven Hartge schrieb:

> Wie gesagt: Wenn der lokal erzeugte Bounce für eine lokale Adresse ist,
> dann ist dieser Bounce auf Deutsch.

*Kopfklatsch*
Ich habe irgendwie "lokalisiert" mit "personalisiert" verdreht.

Dann ist das ähnlich seltsam wie die Leute, die einfache Hinweise auf
Fahrkartenautomaten nicht verstehen. (Damit meine ich jetzt ausdrücklich
keine komplizierten Tarifsysteme.)