Forum-Notificationmails landen im Spam (wegen Weiterleitung ohne ARC)

Folks,

„Mißtraue Autoritäten – fördere Dezentralisierung.“ (Punkt 3, Hackerehtik).

ist’s absurder, dass

• Freifunker Mühe investieren, um mit autoritären Datenkranken compliance zu haben?
• Oder, dass wir darüber diskutieren, wie Freifunk-Admin-Autoritäten den Infomationsfluss per Mail regulieren, indem sie Forwards via SPF-Softfail als Spam markieren?

Wie dem auch sei - ein guter Tag seinen Forums-Account zu killen :-).
fup2 wlantalk@freifunk.net (http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net)

Gruß, yanosz

Ziel ist, dass möglichst viele Mails erfolgreich zugestellt werden können.
Und gleichzeitig es Spammern so schwer gemacht wird wie möglich.
(Denn wenn alle auf dem Standpunkt stünden „ich muss gar nichts“, dann haben wir wieder die Zuständ von vor 10 Jahren)

Es gehört schon einige Dialektik dazu, Duldung von Spammern oder gar Blockade von Antispam-Praktiken als Netzaktivismus zu verkaufen und den Kampf dagegen als „Compliance mit authoritären Datenkraken“ zu brandmarken.

Aus diesem Grund sollte man von der Verwendung der großen E-Mail Provider ja Abstand nehmen.

Nicht „Freifunk-Admin-Autoritäten“ regulieren den Informationsfluss per Mail, sondern die großen E-Mail Provider.

Freifunk ist für jeden da. Dazu gehören auch Neulinge, die ihre E-Mail-Adresse noch bei einem großen Anbieter haben und vielleicht nicht regelmäßig in den Spamordner schauen. Wenn da E-Mails des Forums nicht zuverlässig zugestellt werden, dann ist das meiner Ansicht nach ein größeres Problem als wenn einige Mitglieder ihre E-Mail-Adresse ändern oder ihre spezielle Setups anpassen müssen.

Gibt’s ne Statistik wie viele den Bouncen??

Was die jeweiligen Empfänger tun, wenn spf/dkim failed, das liegt an den globalen Einstellungen und (bei ordentlichen Providern) an den Whitelisten der Mailboxbesitzenden und/oder wie die ihre UserInnen-spezifischen (Antispam-)Regeln eingestellt haben.
(Sollte ja eigentlich einstellbar sein. Und sei es, dass man eine .procmailrc oder ein MultiSieve-File editieren darf)

Fazit: nur zwei Mails softfail, dort wegen „ARC&Co schief gelaufen“, alle anderen zwar spf-fail, aber ARC&Co OK.

Und zur konkreten Frage: xml-file von Google für 24 Stunden
(IP-Adressen der betroffenen Server auf dem letzten Block ausmaskiert, bis auf den derzeitigen MX. E-Mail-Adressen oder Login-Namen sind darin NICHT sichtbar.)

grafik909×220 14.6 KB

p.S. ich habe mal nachgeschaut.
ersteres ist ein AWS-ähnlicher Host, der schon ein paar Hits auf dem Kerbholz hat:

Zweiter ist ebenfalls vermutlich shared hosting

Im ersten Bild war der Zensor pinkeln

hups… gefixt.

Es gibt Foren, da möchte man seine reguläre E-Mail-Adresse nicht angeben.

Oder umgekehrt: Jemand hat seit Jahren eine Adresse beim großen Anbieter und baut sich auf dem eigenen Server Weiterleitungen per /etc/aliases dorthin, um mehr Adressen zu haben. Das ist viel einfacher als sich z.B. einen eigenen IMAP-Server zu bauen.

Auch das macht Sinn, z.B. als Übergangslösung, wenn man den Anbieter wechseln will.

Falsch, ich nutze GMX, weil es kostenlos ist und weil ich die selbe Adresse nun schon seit ca. 20 Jahren dort habe. Das sind die einzigen Gründe.

Den Spamfilter habe ich deaktiviert, weil er jede Menge False Positives aussortiert hat und weil ich als User nicht nachvollziehen kann, warum diese Nachrichten in den Spam-Ordner geworfen wurden. Die Emails bekommen einfach irgendwelche kryptischen Header „X-GMX-Antispam“ und „X-UI-Filterresults:“ verpasst, und das wars. Konfigurieren kann man als GMX-User den Spamfilter nicht, nur das Aussortieren deaktivieren.

Manche Mails kommen auch gar nicht bei mir nicht an, z.B. Mails von dynamischen Adressen, ohne dass ich das als User irgendwo konfigurieren kann. Auch Mails von IPv6-only Mailservern kommen nicht an, weil GMX offenbar IPv6 nicht gebacken bekommt.

Mir ist als User klar, dass GMX großer Schrott ist, und früher oder später möchte ich gerne meine E-Mails selber empfangen. Ich finde es politisch falsch, auf solche Schrott-Provider beim Senden von Mails Rücksicht nehmen zu wollen.

Dann bleiben immernoch die obigen Möglichkeiten b), c) und d) aus obiger Auswahl, um das Problem zu umschiffen, wenn man den intermediate Server nicht nachrüsten kann/darf/möchte.

zwar habe ich beruflich bedingt von dem allen Ahnung, aber das einzige auf was ich aus Zeitgründen hier kurz eingehen möchte:

Warum wird der Vorschlag ignoriert, SPF auf „?all“ zu setzen?

Weil das das Scoring senkt bei Spamassasin&Co.
Also in Konsequenz die Wahrscheinlichkeit steigert, mit solchen Massenmails (wie ein Forum-Bot sie verschickt) als False-Positive im Spamverdacht bei $MASSENPROVIDER zu landen.

Ich versuche gerade zu verstehen, warum bei SPF fast überall „fail“ steht. Eigentlich sieht unser SPF-Eintrag doch gut aus, oder?

$ dig forum.freifunk.net txt +short
"v=spf1 a mx a:forum.freifunk.net a:mail.freifunk-rheinland.net a:mail.nadeshda.org a:mail2.nadeshda.de ip4:51.255.233.210 ip6:2001:41d0:1:a31a::210 ~all"
"google-site-verification=G7dexqMbg_rGEhyxrfAB6aiMBBXu9n0t_IIfJca7_yA"

Fail, weil ein anderer als einer der angegeben Hosts eingeliefert hat.
Entweder, weil weitergeleitet, dann wird nach dem ARC geschaut.
(das Resultat ist in obiger zweiter Spalte)

Oder es ist schlicht wirklich Spam mit gefälschtem Absender.

Ich habe mit SPF auch so meine Probleme.

Aber die großen E-Mail Provider haben nun einmal die SPF „Regeln“ so definiert.

Von meiner Seite aus sieht alles gut aus:

Authentication-Results: lnxs001.backschues.net;
	dkim=pass (2048-bit key) header.d=forum.freifunk.net

Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=2001:41d0:1:a31a::210; helo=mail.nadeshda.org; envelope-from=forum+verp-0417ca744d64fafe994802e2f1b44d49@forum.freifunk.net; receiver=meine@email.adresse

Was heißt den „überall“?

Ich meinte hier: Forum-Notificationmails landen im Spam (wegen Weiterleitung ohne ARC) - #29 von adorfer

Aber Andreas hatte es weiter oben schon erklärt.

Ernstgemeinte Frage: was machst Du mit dieser Einstellung bei Freifunk? Reminder: »Freifunk steht für freie Kommunikation in digitalen Datennetzen. Wir verstehen frei als öffentlich zugänglich, nicht kommerziell, im Besitz der Gemeinschaft und unzensiert.« Und: »Die Vision von freifunk ist die Verbreitung freier Netzwerke, die Demokratisierung der Kommunikationsmedien und die Förderung lokaler Sozialstrukturen.«

Es geht explizit nicht darum, anderen Leuten den Arsch nach Hause zu tragen und obskuren, eigenwilligen Regeln globaler Spieler zu folgen. Du willst Google nutzen? Dann lautet die Antwort: Fein, im Zweifel guck’ mal häufiger im Spam-Ordner nach, denn Google hält nichts von Fairplay oder Standards, sondern versucht, mit harten Bandagen, die eigenen Ziele durchzusetzen: »Mit Chrome 66 und 70 im April und Oktober entzieht Google gut hunderttausend der wichtigsten Domains das Vertrauen, falls diese sich keine neuen SSL-Zertifikate besorgen. Das Ganze ist eine Bestrafungsaktion gegen den Zertifikatsaussteller Symantec.« (Googles reichlich eigenwilliges Verhalten bei Maileinlieferung über IPv6 ist ein weiteres Feld, das den Rahmen hier sprengen würde.)

(Nota bene: ich verurteile Googles Vorgehen bzgl. Symantec nicht; so funktioniert die Geschäftswelt nun einmal. Es befremdet mich, daß Google damit so einfach durchkommt – insbesondere, daß Symantec nicht gegen Googles diskriminierendes Vorgehen klagte, sondern einfach den Geschäftsbereich verkaufte –, aber daran kann ich nichts ändern. Da bin ich genauso machtlos wie dermaleinst, wenn Google sich mit seiner Browsermacht z. B. gegen Let’s Encrypt wenden sollte.)

Mit »freier Kommunikation in digitalen Datennetzen«, mit »Demokratisierung der Kommunikationsmedien«, hat das Kuschen vor Google und das Wiedersetzen gegen RFC-Best-Practices jedenfalls nichts zu tun. Sechs, setzen.

Aber gucken wir uns doch die propagierte »Lösung« genauer an. Blind vertrauen kann, ja darf, man dem »ARC-Siegel« nicht, denn: »[…] ARC does not prevent a malicious actor from removing or creating new ARC Authentication Results headers or ARC Signatures.«

So, wie heute Spam hübsch DKIM-signiert und DMARC-aligned daherkommt, kann jeder Spammer über ARC die initiale Gültigkeit von DKIM & Co. vorgaukeln; der ARCende Mailserver zertifiziert, daß DMARC, DKIM & SPF bei ihm korrekt waren (wer Absender fälscht, frist auch kleine Kinder fälscht auch Authentifikationsmerkmale), nachprüfen kann das keiner mehr, da ja ARC gerade bedeutet, daß SPF/DKIM/DMARC nicht mehr passen, da ab ARCendem Mailserver $Dinge verändert wurden.

Heißt letzten Endes: jedes(!) Mailsystem im gesamten(!) Internet(!) müßte eine Black- – oder, da praktikabler – Whitelist manuell(!) führen, welchem Mailserver da draußen bei ARC wie getraut wird. Während Google jeder trauen wird (schon, um die eigenen Kunden nicht zu vergraulen — siehe referenzierter Beitrag) und Google aus mehreren Gründen diese Liste bzgl. der Mailserver Dritter automatisiert erstellen kann, sieht das bei verein-klein­kleckers­dor­fer-dorf­le.ben in beide Richtungen anders aus → Megafail bzgl. »Demokratisierung der Kommunikationsmedien«.

Schade, und befremdlich, daß man das *.freifunk.net-Admins erklären muß.