Änderung der E-Mail-Prüfung bei United Internet (1&1, GMX und Web.de)
Veröffentlicht am 18.01.2017 von Marcel Kaufmann
In den vergangen Tagen haben Kunden vermehrt beobachtet, dass E-Mails, die über unser System an United Internet weitergeleitet werden, nicht mehr zugestellt werden können. Der Ursache dafür sind wir selbstverständlich nachgegangen und haben eine intensive Prüfung durch unser Abuse-Team veranlasst.Grund für die Ablehnung der Mails
Wir konnten bei unserer Analyse feststellen und auch heise.de berichtet, dass von United Internet (1&1, GMX und Web.de) eine Änderung bei der Prüfung von E-Mails durchgeführt wurde, sodass mittels SPF (Sender Policy Framework) eine Ablehnung (Reject) von weitergeleiteten E-Mails erfolgt. Diese Prüfung betrifft alle E-Mailadressen, die eine Weiterleitung auf eine 1&1-, GMX- oder Web.de-Adresse eingerichtet haben. Dabei prüft das empfangende System die Domain des Absenders in Verbindung mit der IP-Adresse des umleitenden Systems und stuft eine solche E-Mail bei der SPF-Prüfung als unautorisiert ein.
So sind alle Domainnamen betroffen, die in ihrem SPF-Record "-all" anstatt "~all" verwenden. Bei United Internet wurde bei allen Domainnamen der SPF-Record auf „-all“ gesetzt.
Was genau ist SPF (Sender Policy Framework) eigentlich?
Bei SPF handelt es sich um ein Framework, das entwickelt wurde, um das Fälschen von Absenderadressen in E-Mails zu verhindern. Dieses Verfahren wird durch den Inhaber der Domain im DNS (Domain Name Service) gesetzt. So wird bestimmt, welcher Rechner zum Versand von E-Mails unter dieser Domain berechtigt ist. Details dazu finden Sie hier:
www.wikipedia.de: Sender Policy Framework
Warum hat United Internet diese Änderung eingeführt?
Betrachtet man das Aufkommen der letzten Jahre, dann ist die Anzahl der Spam-Nachrichten bzw. des missbräuchlichen Versands von E-Mails kontinuierlich gestiegen. Um zukünftig DMARC (Domain-based Message Authentication, Reporting and Conformance) zu nutzen, ist es notwendig, die SPF-Einträge so zu beachten, wie sie auch durch den Domain-Inhaber gesetzt wurden. Letztlich wurde hier ein korrekter Schritt in die Richtung "aktuellem Stand der Technik" durchgeführt.
Könnte DomainFactory das Problem nicht mittels SRS (Sender Rewriting Scheme) lösen?
Prinzipiell ja, allerdings könnte der fehlerfreie Einsatz von SRS bei DomainFactory nicht gewährleistet werden, da SRS von der uns eingesetzte Software leider nicht produktiv freigegeben ist und nur eine experimentelle Unterstützung zur Verfügung steht.
Bei SRS handelt es sich um eine Methode, bei der der Absender einer E-Mail (Envelope Sender) so umgeschrieben wird, dass SPF (Sender Policy Framework) auch mit einer Umleitung von E-Mails funktionieren würde. Hier ist eine genaue Beschreibung von SRS:
www.wikipedia.de: Sender Rewriting Scheme
Welche Alternativen bestehen?
Es besteht die Möglichkeit, dass Sie die Forwarding-Adresse (Ziel @web.de, @gmx.de…) umstellen, und diese mittels POP3-Sammeldienst vom jeweiligen GMX / Web.de-Postfach aus abrufen lassen. Nach unserem Kenntnisstand werden jedoch nur alle 6 Stunden bei GMX und Web.de neue E-Mails abgerufen. Daher wäre es die beste Lösung, statt der Weiterleitungen direkt ein Postfach bei uns einzurichten und dieses abzurufen.
Update vom 3. Juni 2016
Aktuell sieht es so aus, als sei das Problem behoben. Unsere stichprobenartigen Prüfungen (DNS-Abfragen) haben ergeben, dass für den SPF-Eintrag bei Domains von United Internet nun ~all eingetragen ist, wodurch die Zustellung über Weiterleitungen wieder möglich ist.
Update vom 18. Januar 2017
Statt ~all wurde der Eintrag nun auf -all geändert, sodass die Weiterleitungen nicht mehr zugestellt werden.