Forum-Notificationmails landen im Spam (wegen Weiterleitung ohne ARC)

Von meiner Seite aus sieht alles gut aus:

Authentication-Results: lnxs001.backschues.net;
	dkim=pass (2048-bit key) header.d=forum.freifunk.net

Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=2001:41d0:1:a31a::210; helo=mail.nadeshda.org; envelope-from=forum+verp-0417ca744d64fafe994802e2f1b44d49@forum.freifunk.net; receiver=meine@email.adresse

Was heißt den „überall“?

Ich meinte hier: Forum-Notificationmails landen im Spam (wegen Weiterleitung ohne ARC) - #29 von adorfer

Aber Andreas hatte es weiter oben schon erklärt.

Ernstgemeinte Frage: was machst Du mit dieser Einstellung bei Freifunk? Reminder: »Freifunk steht für freie Kommunikation in digitalen Datennetzen. Wir verstehen frei als öffentlich zugänglich, nicht kommerziell, im Besitz der Gemeinschaft und unzensiert.« Und: »Die Vision von freifunk ist die Verbreitung freier Netzwerke, die Demokratisierung der Kommunikationsmedien und die Förderung lokaler Sozialstrukturen.«

Es geht explizit nicht darum, anderen Leuten den Arsch nach Hause zu tragen und obskuren, eigenwilligen Regeln globaler Spieler zu folgen. Du willst Google nutzen? Dann lautet die Antwort: Fein, im Zweifel guck’ mal häufiger im Spam-Ordner nach, denn Google hält nichts von Fairplay oder Standards, sondern versucht, mit harten Bandagen, die eigenen Ziele durchzusetzen: »Mit Chrome 66 und 70 im April und Oktober entzieht Google gut hunderttausend der wichtigsten Domains das Vertrauen, falls diese sich keine neuen SSL-Zertifikate besorgen. Das Ganze ist eine Bestrafungsaktion gegen den Zertifikatsaussteller Symantec.« (Googles reichlich eigenwilliges Verhalten bei Maileinlieferung über IPv6 ist ein weiteres Feld, das den Rahmen hier sprengen würde.)

(Nota bene: ich verurteile Googles Vorgehen bzgl. Symantec nicht; so funktioniert die Geschäftswelt nun einmal. Es befremdet mich, daß Google damit so einfach durchkommt – insbesondere, daß Symantec nicht gegen Googles diskriminierendes Vorgehen klagte, sondern einfach den Geschäftsbereich verkaufte –, aber daran kann ich nichts ändern. Da bin ich genauso machtlos wie dermaleinst, wenn Google sich mit seiner Browsermacht z. B. gegen Let’s Encrypt wenden sollte.)

Mit »freier Kommunikation in digitalen Datennetzen«, mit »Demokratisierung der Kommunikationsmedien«, hat das Kuschen vor Google und das Wiedersetzen gegen RFC-Best-Practices jedenfalls nichts zu tun. Sechs, setzen.

Aber gucken wir uns doch die propagierte »Lösung« genauer an. Blind vertrauen kann, ja darf, man dem »ARC-Siegel« nicht, denn: »[…] ARC does not prevent a malicious actor from removing or creating new ARC Authentication Results headers or ARC Signatures.«

So, wie heute Spam hübsch DKIM-signiert und DMARC-aligned daherkommt, kann jeder Spammer über ARC die initiale Gültigkeit von DKIM & Co. vorgaukeln; der ARCende Mailserver zertifiziert, daß DMARC, DKIM & SPF bei ihm korrekt waren (wer Absender fälscht, frist auch kleine Kinder fälscht auch Authentifikationsmerkmale), nachprüfen kann das keiner mehr, da ja ARC gerade bedeutet, daß SPF/DKIM/DMARC nicht mehr passen, da ab ARCendem Mailserver $Dinge verändert wurden.

Heißt letzten Endes: jedes(!) Mailsystem im gesamten(!) Internet(!) müßte eine Black- – oder, da praktikabler – Whitelist manuell(!) führen, welchem Mailserver da draußen bei ARC wie getraut wird. Während Google jeder trauen wird (schon, um die eigenen Kunden nicht zu vergraulen — siehe referenzierter Beitrag) und Google aus mehreren Gründen diese Liste bzgl. der Mailserver Dritter automatisiert erstellen kann, sieht das bei verein-klein­kleckers­dor­fer-dorf­le.ben in beide Richtungen anders aus → Megafail bzgl. »Demokratisierung der Kommunikationsmedien«.

Schade, und befremdlich, daß man das *.freifunk.net-Admins erklären muß.

Inwiefern interessant in diesem Kontext? Es wird mit keiner Silbe die Stammtisch-Spezifikation »ARC« erwähnt — die Buchstabenkombination kommt außerhalb »DMARC« nicht vor. So blöd ist also selbst das BSI nicht ;)

Die einen nennen es »Duldung von Spammern«, die anderen »Datenunterdrückung«. Beide Seiten haben Recht — aus bestimmten Blickwinkeln. Nicht umsonst schreibt ja auch das BSI im verlinkten Text:

Das BSI empfiehlt darüber hinaus, den Kunden bereits im Rahmen des Ver­trags­ab­schlus­ses (z. B. über die AGB) auf die­se Vor­gehens­wei­se hin­zu­wei­sen und sich sein Ein­ver­ständ­nis da­mit be­stät­igen zu las­sen ([…]).

(Das auch @Arwed zur Kenntnis, der sich ja wunderte, »warum so eine Sache einer Diskussion im Vorfeld« bedürfe: Betreiber ändert etwas, was objektiv zustimmungspflichtig ist, da Mails flöten gehen …)

Auch interessant im Kontext (lies: viel Spaß bei der Implementation in Discourse):

Zur rechtlichen Absicherung sollte dem Kunden die Möglichkeit gegeben werden, durch die Voreinstellungen seines Postfaches selbst zu bestimmen, wie mit automatisiert als Spam identifizierten Mails zu verfahren ist.

Nichtzustellung von eMail, auch Beihilfe dazu, ist erst einmal Unterdrückung von Kommunikation, ohne jetzt das StGB hervorkramen zu wollen. Anti-Spam ist ein nice-to-have; wenn man sich dabei dann aber auf halbgare Pseudo­lösungen versteift, wird man Teil des Problems:

Ja.

Nein.

Das kann, ob der bekannten Nebenwirkungen, kein Ziel für einen Dienst unter .freifunk.net sein. Bewirb’ Dich bei Spamhaus und lebe Deine Anti-Spam-Fanta­sien dort aus. Hier sollte es heißen »Kommunikation trotz Spam«, nicht »keine Kommunikation wegen Spamgefahr«.

Nachweislich falsch. Die von »Freifunk-Admin-Autoritäten« (nicht mein Sprachgebrauch, aber im Mai sind Kampfbegriffe wohl en vogue) bewußt gewählten Einstellungen regulieren im Kontext den Informationsfluß per Mail:

Nachtrag:

Es ist nicht nur dkim, sondern wir haben auch eine vergleichsweise strikte Regelung im SPF gewählt.

Ja, es wurde »eine vergleichsweise strikte« Einstellung aktiv »gewählt«.

Gemeinnützige Freifunk- (Träger-) Vereine haben IIRC immer auch einen Bildungsauftrag. Wie wird dieser erfüllt, wenn man eben ausdrücklich nicht auf Marktmacht und Machtmißbrauch weniger »Global Player« hinweist, sondern diesen einfach in die Karten spielt? (Betrifft hier konkret den Förderverein als Domaingeber und den Freifunk Rheinland e. V. als Betreiber des Forums — wobei in Auftrag des letzteren die Forums-Admins agieren.)

Ich will niemanden, der sich hier dankenswerterweise in seiner Freizeit engagiert, an den Karren fahren, ans Bein pissen o. ä. Aber: ich vermisse hier massiv Fingerspitzengefühl. (forum.)freifunk.net ist nicht Eure private Spielwiese oder Euer Cluebat gegen das Spam-Gesocks da draußen. Was Ihr auf Euren privaten Karren, selbst in Euren Organisationen/Vereinen, treibt, ist mir egal. Aber forum.freifunk.net für diese Hexenjagd zu mißbrauchen, halte ich für falsch.

Es steht Dir frei, einen ISP aufzumachen, der GMX, »weil Schrott«, maßregelt. Oder dies auf Deinem eigenen Server zu tun.

Ich finde es falsch, gezielt Kommunikation zu unterdrücken — was hier getan wurde. Jeder ist allmächtig auf den eigenen Systemen — aber Policies von freifunk.net-Systemen sollten von der Freifunk-Vision geleitet werden, im konkreten Kontext also der »Aufklärung und Sensibilisierung zum Thema Kommunikations- und Informationsfreiheit«. Das ist aber das komplette Gegenteil dieser Moderatoren-Aussage:

Eine Diskussion, ob ein technisches Verfahren zur E-Mail Reputation standardisiert ist (also durch RFCs beschrieben) oder nicht (z.B. als Best Practice oder Draft), ist hinfällig. Wenn man seine E-Mails an die großen E-Mail Provider los werden will, muss man halt nach deren Regeln spielen.

Es ist genau die Aufgabe, auf eine solche Marktmacht, die ggf. auch zu Machtmißbrauch führt, hinzuweisen, und das geht keinesfalls, indem man sich den Vorgaben unterwirft. Und ja, dafür im Spam buddeln zu müssen, ist unbequem. (Wobei wiederum fraglich ist, ob Leute, die nur basierend auf einer Info-Mail im Forum interagieren, zur Zielgruppe des Forums gehören; per se eher nicht.)
Leute, genau darum geht es! Warum müßt Ihr im Spam-Ordern suchen – bei Google, aber eher nicht bei Eurem ISP-Mailaccount –, hmm? Auf welchem allgemein anerkannten Standard fußt Googles Spam-Einstufung? Oops.

Mein Punkt ist ja gerade:

D.h. wenn GMX irgendwelche Mails zu Unrecht als „Spamverdacht“ markiert, werde ich nicht rumlaufen und Freunde oder Forenbetreiber auffordern, ihre Mailserver an irgendwelche bescheuerten Vorgaben anzupassen. Und wenn ich mal selber einen Mailserver einrichte, werde ich das auch nicht tun.

Am liebsten hätte ich meinen eigenen Mailserver zu Hause auf ner Pi hinterm Freifunk-Router, IPv6-only! Und wenn mir dann irgendein GMX-Idiot dann sagt: „Deine Mails kommen bei mir nicht an.“, dann sage ich: „Weil du einen kaputten Mailanbieter hast, Pech gehabt, tschüß!“

Wie gesagt, ich habe die GMX-Adresse 20 Jahre, und einem geschenkten Gaul schaut man nicht ins Maul. Aber ich bin eben nicht bei diesem Anbieter, weil ich seine zweifelhafen Anti-Spam-Bemühungen zu schätzen wüsste.

Was hat denn jetzt Freifunk mit der Auslieferung von Foren E-Mails zu tun?

Mir gefallen die verschiedenen Verfahren zur E-Mail Reputation auch nicht immer. Aber man versucht halt Kompromisse zu finden, damit das Medium E-Mail nicht von Spam überflutet wird.

@jbacksch Ist das hier nicht DAS Freifunk Forum?
Keine der neu implementierten Techniken die hier Probleme verursachen verhindern Spam,
sie verifizieren lediglich den Absender und geben dem Empfänger Anweisungen wie mit Mails
verfahren werden soll, die nicht auf direkten Wege zu ihm gekommen sind.

Ich kann diese strikte SPF Einstellungen auch nicht nachvollziehen, denn Vorausgesetzt wird lediglich
das vorhanden sein eines SPF Eintrags.

Mal überlegen … Um welches Forum geht es doch gleich? Oh, klar, das Freifunk-Forum! (Da hätte er jetzt aber auch selbst …)

»Man« darf tun, was »man« will. Was für mailbox.org opportun ist, muß es allerdings nicht auch für freifunk.net sein.