Forum-Notificationmails landen im Spam (wegen Weiterleitung ohne ARC)

Schön, dass es funktioniert. Das ist aber halt z. B. schon unnötig. Einfach die Gmail-Adresse als Forenadresse nutzen und das würde es auch tun.

Eben genau das erschließt sich mir überhaupt nicht. Der einzige Anwendungsfall, der mir einfällt, wäre sowas wie: Ich habe einen eigenen Emailserver, vertraue aber der Stabilität nicht, daher hänge ich einen der großen Anbieter vorweg, und leite die Emails weiter. Dann verpasse ich nichts, wenn der Server mal offline ist.

Aber genau in dem Fall kann man eben einfach auf dem eigenen Server den weiterleitenden Server auf die weiße Liste setzen.

Von $kommerziellemAnbieterA zu $kommerziellemAnbieterB weiterzuleiten hat mMn wenig Sinn.

Aber genau da brauchst Du genau das nicht, da „die Großen“ (mir bekannten) seit Langem ARC implementiert haben.
Fehlendes ARC gibt es idR bei irgendwelchen Home-Servern oder irgegendwelchen „Mittelstands-IT“-Buden, die Wartungsstau haben. Und wo die Mail-Server erst komplett abbrennen müssen, bevor das mal wieder jemand länger als 10 Minuten „am Stück“ anfasst. Und die argumentieren dann auch gern damit, dass „es ja keine Pflicht sei“, so wie man vor 2-3 Jahren den Kunden noch eingeredet hat, dass man für Webseiten eigentlich gar kein HTTPS bräuchte. „Ist ja keine Pflicht. Und was soll schon passieren“

Wobei selbst dieser Fall nur mit einiger Fantasie vorstellbar ist, da laut RFC 2821 für mindestens 4-5 Tage versucht werden sollte eine E-Mail zuzustellen.

Es ist ein breaking change (etwas, was etwas vorher funktionales zerstört), diese Tatsache war vorher bekannt. Es dann nachher mit »wegen Weiterleitung ohne ARC« das auch noch als Schuld des Weiterleitenden darstellen zu wollen – entgegen der Mailversandrealität –, ist dreist. Auch einen Nicht-Standard bei den Nutzern nun vorauszusetzen, ist AFAIK beispiellos.

Fakt ist: funktionierende Weiterleitungen von Forums-Nutzern wurden mutwillig zerstört — diese Auswirkung war vorab klar und dennoch wurden die Einstellungen bewußt gewählt, ohne dies vorab zu kommunizieren.
Das kann Ede gerne auf Edes-Privat-Forum so machen; für forum.freifunk.net erwarte ich zumindest eine Vorab-Info mit Deadline, nicht ein »übrigens, das, worauf Ihr bislang vertraut habt, haben wir gerade absichtlich kaputt gemacht«. Auch die Nutzer haben ihre Zeit nicht gestohlen — genausowenig wie die Admins.

Sicher. Und wenn ab dem 25.05.18 nur noch Mails von/an europäische ccTLDs transportiert werden (wg. gTLD/ICANN/GDPR), so ist das auch nur eine kleine Änderung, die nur einen Prozentsatz der Forennutzer betrifft.

Fake News! SPF, genauer RFC 7208, ist »an Internet Standards Track document«. Dies gilt auch für DKIM aka RFC 6376.

Für DMARC, RFC 7489, hingegen gilt dies schon nicht mehr (»This document is not an Internet Standards Track specification; it is published for informational purposes.«); und ARC hat es bislang in mehreren Jahren nicht mal zum RFC geschafft, der aktuelle Draft expired wie gesagt im Oktober 2018.

Damit ist auch klar, daß man jenseits SPF & DKIM ein Minenfeld betritt und nur konservative Einstellungen vornimmt, sofern man diese Nicht-Standards überhaupt unterstützt — außer, man administriert seinen eigenen kleinen Mailserver, unter dessen obskuren Einstellungen keine Dritten leiden müssen.

Bemerkenswert, diese Arroganz. Ihr macht klammheimlich und bewußt eine Funktion des Forums gezielt für einige Nutzer kaputt – nach wie vor ohne explizite Aufstellung, warum welches gewählte Setting für welches Szenario alternativlos sei –, und dann sollen die Nutzer die Suppe auslöffeln und die Funkion umständich, jeder Betroffene für sich, irgendwie wiederherstellen. Das mag nicht die Intention gewesen sein; so kommt Dein »pfft, dann haben wir Weiterleitungen eben kaputt gemacht — sehe ich eh’ keinen Sinn drin« aber gerade hier an. Nur mal so als Feedback.

Da ich ein wenig Angst vor Deinen 08/15-Lösungen habe, möchte ich darauf eigentlich gar nicht weiter eingehen, aber vielleicht soviel: manchen Account hat man einfach zwangsweise, weil man eine Dienstleistung gekauft hat, und kundenfreundlich, wie manche Anbieter sind, nehmen sie einem die Last ab, eine Zielmailadresse anzugeben und schicken wichtige, vertragsrelevante Dinge an jene Zwangsmailbox. Da kann man dann händisch nachzugucken vergessen, eine Weiterleitung einrichten oder – weil das sicherer ist – einen Sammeldienst beauftragen.

Aber ja, im Grunde ist eMail-Weiterleitung im Forums-Mail-Fall vermeidbar; wenn man das aber nicht mehr unterstützen möchte, ist dennoch der Ablauf »Information vor Umsetzung«, das ist hier nicht erfolgt.

Steile These. Privat mache ich SPF; DKIM schon nicht mehr, weil mir das nicht hinreichend zielführend scheint (Oversigning, Subject-Änderungen z. B. durch Mailinglisten, …). ARC im Draft-Zustand, davon würde ich auch beruflich die Finger lassen — was es nicht mal zum RFC geschafft hat, hat auf professionell betriebenen Systemen nichts verloren. (Daß Google das schon implementiert hat, liegt aus meiner Sicht in der Miturheberschaft Googles; hier versucht G wieder einmal, über die normative Kraft des Faktischen, Fakten in seinen Sinne zu schaffen.)

Erm, ja; aber wenn Dein Mailserver, so wie meiner , sehr innovative Tests macht, und die Mails z. B. vom Bundestag mit 5xx ableht, weil diese von apache@bundestag.de kommen, der MX für bundestag.de aber Mails an apache@bundestag.de nicht annimmt (mit 5xx-Code; sender-adress verification ist ein sehr schöner Test mit, leider, hohem Mißbrauch­potential), dann nützt Dir die Haltezeit nix, denn bei 5xx geht die Mail direkt zurück an den Absender (oder auch nicht, denn mein Mailer hat die Annahme ja gerade verweigert, weil eine Fehlermail nicht an den angeblichen Absender geschickt werden könnte).

Andreas hat den Mailempfang für viele repariert, weil wegen der fehlenden Absicherungen die Mails bei vielen im Spam-Ordner gelandet sind. Dass dein Spezialfall dabei kaputt gegangen ist, ist unschön aber wohl nicht zu vermeiden.

Im Forum kannst du jede beliebige Adresse angeben. Tausch einfach die Forenadresse durch die Zieladresse aus, dann sollte für dich alles wieder laufen.

Eine Diskussion, ob ein technisches Verfahren zur E-Mail Reputation standardisiert ist (also durch RFCs beschrieben) oder nicht (z.B. als Best Practice oder Draft), ist hinfällig. Wenn man seine E-Mails an die großen E-Mail Provider los werden will, muss man halt nach deren Regeln spielen. Auf „altbackene“ Konfigurationen wird keine Rücksicht genommen.

Auch mir sind mache Verfahren suspekt, aber ich möchte auch, dass meine E-Mails beim Empfänger sicher ankommen. Und genau dieses Ziel sollten wir auch mit den Notification E-Mails verfolgen.

Noch ein kleines Update:

Interessant sind auch die Empfehlungen des BSI.

Folks,

„Mißtraue Autoritäten – fördere Dezentralisierung.“ (Punkt 3, Hackerehtik).

ist’s absurder, dass

• Freifunker Mühe investieren, um mit autoritären Datenkranken compliance zu haben?
• Oder, dass wir darüber diskutieren, wie Freifunk-Admin-Autoritäten den Infomationsfluss per Mail regulieren, indem sie Forwards via SPF-Softfail als Spam markieren?

Wie dem auch sei - ein guter Tag seinen Forums-Account zu killen :-).
fup2 wlantalk@freifunk.net (http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net)

Gruß, yanosz

Ziel ist, dass möglichst viele Mails erfolgreich zugestellt werden können.
Und gleichzeitig es Spammern so schwer gemacht wird wie möglich.
(Denn wenn alle auf dem Standpunkt stünden „ich muss gar nichts“, dann haben wir wieder die Zuständ von vor 10 Jahren)

Es gehört schon einige Dialektik dazu, Duldung von Spammern oder gar Blockade von Antispam-Praktiken als Netzaktivismus zu verkaufen und den Kampf dagegen als „Compliance mit authoritären Datenkraken“ zu brandmarken.

Aus diesem Grund sollte man von der Verwendung der großen E-Mail Provider ja Abstand nehmen.

Nicht „Freifunk-Admin-Autoritäten“ regulieren den Informationsfluss per Mail, sondern die großen E-Mail Provider.

Freifunk ist für jeden da. Dazu gehören auch Neulinge, die ihre E-Mail-Adresse noch bei einem großen Anbieter haben und vielleicht nicht regelmäßig in den Spamordner schauen. Wenn da E-Mails des Forums nicht zuverlässig zugestellt werden, dann ist das meiner Ansicht nach ein größeres Problem als wenn einige Mitglieder ihre E-Mail-Adresse ändern oder ihre spezielle Setups anpassen müssen.

Gibt’s ne Statistik wie viele den Bouncen??

Was die jeweiligen Empfänger tun, wenn spf/dkim failed, das liegt an den globalen Einstellungen und (bei ordentlichen Providern) an den Whitelisten der Mailboxbesitzenden und/oder wie die ihre UserInnen-spezifischen (Antispam-)Regeln eingestellt haben.
(Sollte ja eigentlich einstellbar sein. Und sei es, dass man eine .procmailrc oder ein MultiSieve-File editieren darf)

Fazit: nur zwei Mails softfail, dort wegen „ARC&Co schief gelaufen“, alle anderen zwar spf-fail, aber ARC&Co OK.

Und zur konkreten Frage: xml-file von Google für 24 Stunden
(IP-Adressen der betroffenen Server auf dem letzten Block ausmaskiert, bis auf den derzeitigen MX. E-Mail-Adressen oder Login-Namen sind darin NICHT sichtbar.)

grafik909×220 14.6 KB

p.S. ich habe mal nachgeschaut.
ersteres ist ein AWS-ähnlicher Host, der schon ein paar Hits auf dem Kerbholz hat:

Zweiter ist ebenfalls vermutlich shared hosting

Im ersten Bild war der Zensor pinkeln

hups… gefixt.

Es gibt Foren, da möchte man seine reguläre E-Mail-Adresse nicht angeben.

Oder umgekehrt: Jemand hat seit Jahren eine Adresse beim großen Anbieter und baut sich auf dem eigenen Server Weiterleitungen per /etc/aliases dorthin, um mehr Adressen zu haben. Das ist viel einfacher als sich z.B. einen eigenen IMAP-Server zu bauen.

Auch das macht Sinn, z.B. als Übergangslösung, wenn man den Anbieter wechseln will.

Falsch, ich nutze GMX, weil es kostenlos ist und weil ich die selbe Adresse nun schon seit ca. 20 Jahren dort habe. Das sind die einzigen Gründe.

Den Spamfilter habe ich deaktiviert, weil er jede Menge False Positives aussortiert hat und weil ich als User nicht nachvollziehen kann, warum diese Nachrichten in den Spam-Ordner geworfen wurden. Die Emails bekommen einfach irgendwelche kryptischen Header „X-GMX-Antispam“ und „X-UI-Filterresults:“ verpasst, und das wars. Konfigurieren kann man als GMX-User den Spamfilter nicht, nur das Aussortieren deaktivieren.

Manche Mails kommen auch gar nicht bei mir nicht an, z.B. Mails von dynamischen Adressen, ohne dass ich das als User irgendwo konfigurieren kann. Auch Mails von IPv6-only Mailservern kommen nicht an, weil GMX offenbar IPv6 nicht gebacken bekommt.

Mir ist als User klar, dass GMX großer Schrott ist, und früher oder später möchte ich gerne meine E-Mails selber empfangen. Ich finde es politisch falsch, auf solche Schrott-Provider beim Senden von Mails Rücksicht nehmen zu wollen.

Dann bleiben immernoch die obigen Möglichkeiten b), c) und d) aus obiger Auswahl, um das Problem zu umschiffen, wenn man den intermediate Server nicht nachrüsten kann/darf/möchte.

zwar habe ich beruflich bedingt von dem allen Ahnung, aber das einzige auf was ich aus Zeitgründen hier kurz eingehen möchte:

Warum wird der Vorschlag ignoriert, SPF auf „?all“ zu setzen?