đŸ Archived View for data.konfusator.de âș 2023-07-04_smtp_schmerzen.gmi captured on 2024-07-08 at 23:23:20. Gemini links have been rewritten to link to archived content
âŹ ïž Previous capture (2023-09-08)
-=-=-=-=-=-=-
SMTP ist ein wirkliches Urgestein des Internets - es war schon alt, als ich das erste Mal im Internet unterwegs war. Damals (Anfang der Neunziger) war noch RFC 821Âč aktuell, der tatsĂ€chlich aus dem November 1981 stammt. Es gibt mittlerweile zwei neue RFCs (2821ÂČ und 5321Âł), wobei selbst RFC 5321 bald seinen 15. Geburtstag feiert. Die gröĂeren Fortschritte beim Thema Email sind eher im Bereich der Verwaltung und Abholung der zugestellten Mails beim EmpfĂ€nger passiert â meine ersten Mails lagen noch im Spool-Verzeichnis der empfangenden Ultrix Maschine; dann folgten POP und IMAP fĂŒr Mail-Clients und schlieĂlich Web-Clients.
Das Grundprinzip bei SMTP blieb immer gleich: Eine Mail wird beim Server des Versenders eingeliefert, der stellt anhand der Adresse fest, an welchen Server gesendet werden soll und liefert die am zustĂ€ndigen Server ab. Das ist ein wesentlicher Unterschied zum Web und zu den gĂ€ngigen Instant-Messengern: Dort ist nur ein Server beteiligt, mit dem sich gegebenenfalls mehre Clients verbinden â eine Kommunikation zwischen Servern ist nicht vorgesehen (wenn man von der internen AblĂ€ufen des Anbieters absieht). FĂŒr den Anbieter ist das gut â er hat die komplette Kommunikation in der Hand. FĂŒr den Kunden ist das zwiespĂ€ltig: Einerseits ist es einfacher, weil es nur einen Ansprechpartner gibt, anderereseits ist er fĂŒr den entsprechenden Dienst vom Anbieter abhĂ€ngig.
Bei SMTP kommt ein wohlbekanntes Ărgernis hinzu: Spam und Phishing. Weil jeder Server aufsetzen kann auch jeder Mails einliefern, was in einer vernĂŒnftigen Welt ein guter Gedanke wĂ€re. Leider leben wir nicht in der besten aller Welten (sorry, Leibnitz), so dass bei einem offenen und kostenlosen System Leute auftauchen, die es zu ihrem Vorteil oder aus Zerstörungslust missbrauchen wollen. Sie liefern ĂŒber offene Relays (gibt es seit Jahren praktisch nicht mehr), nachlĂ€ssige Dienstleister (sendgrid zum Beispiel), gehackte Accounts oder eigene Mailserver nervige bis gefĂ€hrliche Mails ein. Der SMTP-Standard bietet dagegen wenig Schutz, und letztlich gibt es in einem verteilten System auch wenig Schutz. Mit Verfahren wie DKIM kann man beweisen, dass Mails wirklich von der angegebenen Domain stammen, mit DMARC kann man sogar sagen, dass unsignierte Mails verworfen werden sollen. Das bringt nur nichts, wenn man zum Beispiel eine DHL-Phishing-Kamnpagne auf dh1.pe laufen lĂ€sst (die eins erkannt? Unter bmi.bund.pe wurden munter falsche Meldungen zum Ukrainekrieg verbreitet â mit 1:1 geklautem Design von bmi.bund.deâŽ) und DMARC und DKIM ordentlich einrichtet. Technisch ist dann alles sauber. Auch gegen gehackte Accounts helfen weder SPF noch DKIM oder DMARC.
Damit landen wir beim wirklich unerquicklichen: Google und die domain reputation. Wenn Google der Ăberzeugung ist, dass die Reputation der absendenden Domain schlecht ist, dann weisen sie ab. Warum die Domain böse ist? Wird nicht verraten. Was man dagegen tun kann? Ein Formular ausfĂŒllen. »Please allow at least 2 weeks between submission for the changes, if any, to propagate«. Also praktisch nichts.
Was wirklich unangenehm ist: Das gilt dann nicht mehr nur fĂŒr Gmail, sondern auch fĂŒr alle Google Workspace Kunden mit eigener Domain, womit man echte Probleme hat â Google hat als Mailprovider einen geschĂ€tzten Anteil von knapp 20%; Microsoft kommt auf knapp 15%. Das ist fĂŒr ein verteiltes System ein enorm hoher Anteil, was eine beachtliche Marktmacht ist. Es fĂŒhlt sich so an als wĂŒrde diese Marktmacht genutzt um sie weiter zu erhöhen â als Google Kunde wĂ€re meine Reputation bei Google sicher höher.
âŽCorrectiv zu Fake Domains im Umfeld des Ukraine-Krieges â âbmi.bund.peâ
ââââââââââââââââââââââââ
2023-07-04T19:19+02:00