ich will jetzt nicht behaupten, dass sich alle Emailserver gleich verhalten. Aber ein REJECT führt bei meinem Postfix dazu, dass die Email gleich abgelehnt wird und nicht ein Bounce generiert wird. Richtig ist aber, dass das REJECT an anderer Stelle im Dialog stattfindet, aber davon hat der Spammer kaum einen Erkenntnisgewinn. Er kann dann vermuten, dass die Adresse richtig ist, er aber als Spammer entlarvt wurde.
Sprich, bin ich einmal als “erfolgreich” getaggt, bleibt die Adresse das auch. Selbst wenn ich kein Sieve verwende, sondern die Mailadresse lösche und nach 365 Tagen wieder anlege, erhalte ich direkt wieder SPAM?
Dann wäre dennoch Sieve eine Lösung, mit entsprechenden Filtern auf bestimmte Stichworte?
Und ja, die Mailadresse war damals im Adobe Leak. Zwar nur dort, aber immerhin.
Ein Reject in einem Postfix-Filter wird synchron abgelehnt. Aber funktioniert das auch, nachdem Postfix die Mail an Dovecot übergeben hat?
Ist mir jedenfalls bei keinem Mail-Provider begegnet. Dort werden Sieve-Filter in i.d.R. erst nach Empfangsbestätigung ausgeführt.
Meinem Kenntnisstand nach verhält es sich wie folgt:
Wie @Joachim bereits angegemerkt hat, führt ein REJECT dazu, dass die E-Mail sofort und vor allen Filtern oder Spamerkennungssoftware abgelehnt wird. Damit hat der Betreiber des Mailservers die E-Mail nie erhalten.
Verwendet wird dies in der Regel dafür, E-Mail von dynamischen IP-Adressen, falsch konfigurierten Servern, nicht existierenden E-Mail-Adressen bei fehlender Wildcard-Konfiguration oder klar erkennbarem Spam aufgrund Versand von nicht zuständigen Servern usw. direkt abzuweisen.
Aus diesem Grund schreibt der oben zitierte Provider auch:
Der Mail-Provider kann nicht einfach nach gutdünken E-Mail erstmal annehmen, lesen und dann rejecten als wäre nichts gewesen. Der REJECT steht deshalb und ausschliesslich ganz am Anfang.
Wenn die E-Mail angenommen wurde, muss der Provider auch zustellen. Hierbei kann er natürlich die E-Mail als Spamverdacht taggen.
Soll eine E-Mail nach Annahme angelehnt werden, so ist dies Sache des Postfachbesitzers.
Dazu dient dann Discard.
Nach meinem Kenntnisstand und meinen Tests bei Mailbox.org verhält es sich anders.
Die Übergabe an Dovecot (wo der Sieve-Filter läuft) findet erst nach dem Queuing der Mail statt (also nachdem das smtpd-Modul bereits mit OK: queued geantwortet hat). Wenn Dovecot dann wegen eines Rejects mit einem 550-Fehler antwortet, kann Postfix die Mail nur noch bouncen.
Ich weiß nicht, ob man die Sieve-Filter nicht auch irgendwie früher in die Postfix-Prozess reinhacken kann. In der Praxis habe ich das noch nicht gesehen. Dann würde ein Reject eines Users u.U. aber zum Ablehnen der Mail für alle Empfänger (auf demselben Mailserver) führen.
Wenn man direkt die Virtual-Listen von Postfix konfigurieren kann, dann stimmt die Aussage von @Joachim natürlich. Nur das können die meisten User nicht.
Das verstehe ich jetzt nicht so recht, sehe aber auch unmittelbar keinen Widerspruch.
Die Konfigurationsmöglichkeiten und Verhalten von Postfix und Dovecot sind vielfältig und werden sicherlich unterschiedlich genutzt.
Der von mir geschilderte Sachverhalt ist auch kein Gesetz, sondern die nach meiner Erfahrung gängige Praxis bei diversen Providern aus den genannten Gründen.
Das OK zu Queued ist nach meinem Verständnis nur ein Einreihen in Warteschlange zur weiteren Prüfung ob überhaupt angenommen werden kann. Das bezieht sich wohl auf eine hohe Zahl gleichzeitig eingehender E-Mail. Wahrscheinlicher ist es aber bereits eine Annahme weshalb
und damit nach meinem Verständnis eben keinen REJECT mehr sendet und stattdessen bounced.
Muss das im Detail bei Gelegenheit nochmal nachlesen.
Nein.
Ich verwende für REJECT die Headerchecks von Postfix und nicht Sieve, weil letzteres offensichtlich zu spät ist (und auch nicht einfacher zu konfigurieren ist).
Sieve erscheint mir damit auch ungeeignet, denn bei REJECT habe ich die Nachricht nie erhalten und nicht bloß ignoriert. Das macht vor Gericht einen Unterschied.
1 „Gefällt mir“
Erst einmal danke für den Tipp. Habe das jetzt bei meinem Provider lima-city.de ausprobiert und es klappt soweit ganz gut. Allerdings hätte ich eine Anmerkung und ein Problem.
Wenn ich Adressen wie banking-blabla@meine-domain.de generiere und generell akzeptiere, ist das recht einfach zu erraten und die Spammer können genau solche Adressen generieren. Dachte kurz, etwas beliebiges wie 7adn6l-blabla@meine-domain.de, wobei 7adn6l das Codewort für banking ist, könnte helfen. Aber auch das läßt sich ja irgendwie heraus bekommen, wenn mein Mailverkehr überwacht und analysiert wird. Richtig? Oder bin ich da zu besorgt?
Und jetzt mein Problem. Ich habe ein Postfach mein-name@meine-domain.de und nutze Catch-All um weitere Adressen wie post@meine-domain.de und mail@meine-domain.de abzufangen. Leider landen alle Mails an diese jetzt auch im Spam-Ordner. Ach so, ich lösche (noch) nicht, sondern leite erst einmal in den Spam-Ordner um. War eine gute Entscheidung, da sonst so einiges wohl schon weg wäre 
Aber zurück zum Thema. Wie muss die Regel für diesen Fall aussehen? Im Augenblick nutze ich wie empfohlen:
An: | trifft nicht Ausdruck zu | post@meine-domain.de
Übrigens habe ich das Problem mit dem “eigentlichen” Postfach nicht. Die Mails gehen mit der empfohlenen Regel durch:
An: | trifft nicht Ausdruck zu | mein-name@meine-domain.de
Viele Grüße
vermutlich ja.
wenn die Original-Sender kein DKIM verwenden, der weiterleitende DKIM entfernt, oder der empfangende Server hyperkritisch ist, dann muss man das erwarten. Hintergrunderläuterungen in Artikeln von mir. Du hast sogar Glück dass wohl keiner der Sender in der DMARC-Policy reject verwendet.
Je länger ich die Diskussionen hier verfolge, desto weniger erscheint es mir sinnvoll, einen Zwischenmailer zu verwenden, der den Stand-der-Technik nicht beherrscht. Keiner der drei von Mike vorgeschlagenen beherrscht den.
Kannst du das genauer erklären?
Stand der Technik ist, dass Weiterleiten kaputt ist. Peer Heinlein nannte SPF deswegen gar mal ”ein grundfalsches Konzept ohne Daseinsberechtigung” (Heinlein, Das Postfix-Buch, 3. Auflage, 2008 … lang, lang ist’s her…).
Stand der Technik ist, dass man beim Weiterleiten Adressen gemäß SRS umschreibt, was sowohl Addy.io als auch SimpleLogin beherrschen. Problem ist eher, dass viele Mailclients nicht wissen, damit sinnvoll umzugehen.
Aber ich benutze keinen Zwischenmailer, sondern hoste meine eigene Domain bei lima-city.de. Und bislang war ich auch immer zufrieden, was das mitgelieferte Mail-Paket angeht. Kann da Postfächer und Weiterleitungen definieren. Am Ende nutze ich ein Postfach, auf das ich alles andere dann auch weiterleite per *@meine-domain.de → mein-postfach@meine-domain.de. Eine Catch-All-Funktion gibt es nicht.
In diesem Postfach habe ich dann zusätzlich zum Spam-Filter ein Catch-All-Filter entsprechend Kochrezept angelegt, was aber leider nicht 100% funktioniert hat. Habe aber jetzt eine Lösung gefunden. Die einzelnen Filterregeln lassen sich weiter konfigurieren wenn man auf das Zahnrad klickt. Habe dort den “Modifikator” von “keine” zu “Adresse” bei den Regeln geändert, die nicht funktioniert habe und dann ging es. Die anderen Werte habe ich mir zwar auch angeschaut, da ich aber nicht genau verstehe, was ich da ändere lieber nicht angefaßt.
Vielleicht wäre es sinnvoll, diesen Fallstrick und die recht einfache Lösung im Beitrag kurz zu erwähnen.
Danke noch mal für den Beitrag.
Auch von mir vielen Dank für die Beiträge! Ich habe auch Anmerkungen dazu. Nummer 1:
Ich nutze sowohl “sprechende” Adressen wie banking-blabla@meine-domain.de als auch kryptische wie 7adn6l-blabla@meine-domain.de und sehe in beiden Varianten jeweils Vor- und Nachteile:
| Sprechende Adresse | Sprechende Adresse | Kryptische Adresse | Kryptische Adresse |
|---|---|---|---|
| Vorteile | Nachteile | Vorteile | Nachteile |
| Abfrage/Wiedergabe vergleichsweise leicht, zum Beispiel wenn bei Telefonaten die Daten zur Verfikation angegeben werden sollen oder in Situationen in denen Logindaten zurückgesetzt werden sollen | Mögliche Missverständnisse bei weniger oder gar nicht technisch affinen Leuten wie bei kryptischer Adresse, harmlose bis übertriebene Reaktionen („bank@maxmuster.de kann ja gar nicht sein, ich trage sie mal als maxmuster@bank.de ein“, „Ach, Sie arbeiten bei uns?“, „Ist das eine echte Adresse?“, „Bitte ändern Sie umgehend die Adresse, die steht ihnen nicht zu / ist unseriös / illegal / …“) | Sobald E-Mail-Adresse abhanden kommt oder irgendwo (öffentlich) auftaucht kann daraus keine Beziehung abgeleitet werden. | Mögliche Missverständnisse bei weniger oder gar nicht technisch affinen Leuten wie bei sprechender Adresse, möglicherweise mehr Zeit für Kommunikation nötig, auch um mögliche Verständnis-, Hör- und Tippfehler zu bereinigen oder von Anfang an zu vermeiden |
| Schnellere Erkennungsrate sobald E-Mail-Adresse in falschen Händen | Sobald E-Mail-Adresse abhanden kommt oder an einer Stelle (öffentlich) auftaucht ist die Beziehung offenkundig und Adresse eventuell nicht mehr zu gebrauchen, Risiko subjektiv/individuell | Als Adresse sind sehr viele Kombinationsmöglichkeiten auch bereits mit wenigen Zeichen (Buchstaben und/oder Zahlen) möglich | Ohne gutes Gedächtnis, Eselsbrücken oder Codes zusätzliche Dokumentation nötig, Mehraufwand subjektiv/individuell |
Nummer 2: Für wie sinnvoll haltet ihr es das eigentliche Postfach samt zugehöriger Adresse, welches per Catch-All alles einfangen soll eine untypische, vielleicht sogar nicht zu erratende Bezeichnung zu geben?
Wenn default nicht gerade vorgeschrieben wird, kommt es mir nicht so klug vor stattdessen info, office oder ähnliche zu verwenden. Eben weil die praktisch überdurchschnittlich oft in Verwendung sind und unerwünschte E-Mails selbst bei guten Filtern hier noch die höchste „Quote“ haben dürften durchzukommen.
Außerdem wird damit das Risiko minimiert durch versehentliche Antwort mit „verräterischer“ Identität die eigentliche(n) Adresse(n) preiszugeben. Zumal nicht überall Thunderbird sowie die Erweiterung zur Verfügung steht.
Was mich auch noch interessiert ist Nummer 3: Wir sind noch relativ nah an der „Oberfläche“, oder? Wie wichtig ist es die Header (in Thunderbird heißen sie „Quelltexte“, glaube ich) noch mit in den Blick zu nehmen? Ist die Analyse durch uns, die wir uns schützen wollen in diesem Fall sinnvoll oder spielen die im Zusammenhang mit Handel/Missbrauch/Verknüpfung von Daten keine nennenswerte Rolle bei den Kriminellen/Organisationen?
warum verlinke ich oben meine Seite auf der Du den Stand der Technik finden kannst und schreibe oben wer was nicht erfüllt?
SPF ist mehrfach kaputt. DKIM nicht, oder nur wenn ein Empfänger die Nachricht modifiziert. SRS braucht es m.W. nicht zwingend oder nur wenn man die Nachrichten modifiziert oder der Empfänger im Spamfilter DKIM nicht beachtet. Möglicherweise fehlen noch ein paar Oder, weil viele ihre eigene Suppe kochen statt Standards zu befolgen.
Peer Heinlein hat sich wohl keine Mühe gemacht, bei der 3. Auflage Neuerungen wie DKIM einzuarbeiten.
auch lima-city.de beherrscht nach meinen Testergebnissen sendeseitig kein SMTP-DANE. Ob SPF, DKIM, DMARC empfangsseitig verwendet wird ist bisher unbekannt - kannst ja einen Test anstoßen.
hab vieles auch schon erlebt. Ich verwende sprechende, aber zunehmend kontextspezifische. Mir ist wichtig, dass ich Nachrichten anhand der Adresse schnell wiederfinden kann. Mit eigenem Emailserver und einem Senderelay-Programm kann ich die Adressen direkt in Thunderbird oder Outlook verwenden ohne erst einen Alias zu definieren.
Dass eine Adresse von Dritten geraten wurde ist mir noch nie vorgekommen. Spam erhalte ich auf den von Verivox geleakten Adressen und auf der Adresse die im Impressum steht (stehen muss).
Habe das gerade mal gecheckt, Spam kam heute nur an die in meinem Impressum stehende Adresse. Hatte die allerdings mit dem Kontaktformular verlinkt und dachte auch als Bild auf die Seite gestellt. Letzteres war leider nicht so ;-( Das werde ich dann mal ändern und die Adresse auch deaktivieren.
Mir ist noch etwas aufgefallen. Habe weitere Mailadressen bei verschiedenen Organisationen und die an meine private Mailbox weitergeleiteten Mails sind alle im Spam-Filter gelandet. Ist ja irgendwie auch logisch, denn die Empfängeradresse war ja eine andere. Habe die Domains jetzt auch freigeschaltet und zwar so, dass ich alle Adressen akzeptiere. Glaube da kam nie Spam rein. Falls doch muss ich da noch mal ran, allerdings dann nicht nur meine eigene Adresse freischalten, sondern auch die dort gehosteten Mailinglisten.
Was haltet ihr davon?:
- Man erstellt für jedes Login eine individuelle Adresse: zufällige-buchstaben-zahlenkombination.name-der-institution@meinedomain.de
- Dann erstellt man einen Filter “alles wird gelöscht, was nicht exakt dieser Adresse entspricht”.
- Diesen Filter muss man dann natürlich für jede Adresse individuell hinzufügen.
- Für spontane Adressen erstellt man einen Filter “zum Posteingang hinzufügen” für Adressen mit dem Schema spontan.name-der-institution@meinedomain.de und fügt somit alles hinzu, was mit “spontan” beginnt.
Ergibt eine solche Lösung Sinn oder ist das übertrieben oder zu viel des Guten? LG 
halte ich für sehr aufwändig und auf Basis meiner Erfahrungen für übertrieben.
2 „Gefällt mir“
Mir ist gerade etwas aufgefallen, dass das zu vielen false positives führen könnte. Ich bin mit meiner Hauptadresse auf diversen Mailinglisten angemeldet. Wenn die Mails ankommen, dann ist die Empfängeradresse i.d.R. der Name der Mailingliste, in der dann natürlich auch nicht mein Domainname auftaucht, was dazu führt, dass all diese Mails im Spamfilter landen. Das trifft auch auf Mails zu, die ein Absender an sich selbst schickt und die Empfänger im BCC versteckt. Auch da geht die Mail nicht an “mich”. Wie müßte eine Regel aussehen, die diese Fälle mit abdeckt? Der Name meiner Mailbox-Adresse steht in all diesen Mails immer in der zweiten Zeile des Quelltextes, den ich mir in Kmail anschaue, unter “Delivered-To:”, was ich in den Filter-Regeln nicht auswählen kann.
Und ein weiterer Fall mit falschem Ergebnis ist mir untergekommen. Wenn ein Absender meinen Namen und ein richtige Adresse in <> in die An-Zeile setzt, landen die Mails auch im Spam-Ordner.
Spam hat selten etwas damit zu tun, ob die To:-Adresse im Nachrichtenkopf mit der Empfängeradresse übereinstimmt. Schau bitte erstmal in den Nachrichtenkopf. Dort findet sich normalerweise ein Hinweis warum die Nachricht als Spam klassifiziert wurde und ggfs. auch welche Authentifizierung gescheitert ist.
Ich denke hier liegt ein Missverständnis vor. In einem vorangegangenen Post hatte ich ja geschrieben, dass ich die auszusortierenden Mails nicht löschen, sondern in die Spam-Ordner verschieben lasse. Zum Glück, denn ansonsten wäre eine Reihe wichtiger Mails verloren gegangen.
Worauf ich hinaus wollte, es gibt eine Reihe von False Positives, also Mails, die berechtigter Weise an meine offiziellen und im Catch-All-Filter freigeschalteten Mailadressen geschickt werden, aber trotzdem aussortiert werden. Die mir aufgefallenen Fälle hatte ich kurz umrissen. Bislang sind es folgende:
- Mailinglisten: denn i.d.R. taucht dort im An-Feld nicht meine Mailadresse auf, sondern die der Liste oder deren Name
- wenn meine Adresse nicht im An-Feld, sondern im BCC gelistet wurde
- wenn im An-Feld nicht nur meine Mail-Adresse auftaucht, sondern diese in <> neben einem Kommentar - oft meinem Namen - steht
Sicher gibt es noch mehr solcher Fälle. Das wird sich in der Testphase dann irgendwann zeigen.
Meine Frage war, wie ich diese Mails trotzdem durchlassen kann. Dafür müsste eine weitere Filterregel her, aber wie soll die lauten? Diese müsste überprüfen, ob die Mails an eine der für das An-Feld freigeschalteten Adressen ging. Im Quelltext der Mail tauchen diese immer unter “X-Envelope-To:” auf. Ob das aber das entscheidende Feld ist, weiß ich nicht. Und wie filtere ich danach? Bei den Filterregeln wird das Feld nicht angeboten.
P.S. Was ich im vorhergehenden Post bzgl. “Delivered-To:” geschrieben habe ist offensichtlich Quatsch, weil das ja das Postfach ist, wo alles, also auch die nicht erwünschten Mails, hingehen.
Zu kompliziert.
Eine eindeutige Adresse pro Dienst schützt bereits vor Tracking. Beim Übertragen an Datenhehler wie Google Analytics wird die Adresse gehasht, so dass hinterher keine Rückschlüsse auf die Adresse möglich sind - außer, ob sie noch bei anderen Diensten genutzt wird.
Gegen Phishing müsstest du leicht erkennen können, ob dir zufällige Buchstabenfolge korrekt ist. Das wirst du vermutlich nie prüfen, bringt also keinen Mehrwert.
Gegen Identitätsdiebstahl hilft es nicht, weil für ein Passwort-Reset o.ä. braucht ein Angreifer Zugriff auf deinen Mailaccount. Hat er den, findet er dort ggf. auch Mails, die die geheime/zufällige Mailadresse enthalten.