DNS-Blocklisten spielen bei der Abwehr von Spam-Mails eine immer größere Rolle. Neben anderen hat sich die Non-Profit-Organisation "Open Relay Database" (ORDB) der Pflege einer solchen Liste verschrieben: Sie testet SMTP-Server mit einem automatisierten Verfahren darauf hin, ob sie von nicht authentifizierten Gegenstellen Mails annehmen und an die Zieladresse weiterleiten. Tun sie das, gelten sie als so genannte "offene Relays" und damit als Spammer-freundlich. Die Folge: Sie werden in die ORDB-Blacklist aufgenommen.


In der Nacht von Sonntag auf Montag dieser Woche nun nahm ORDB die SMTP-Server des E-Mail-Services GMX unter die Lupe. Dem ORDB-System gelang es, ohne Authentifizierung Nachrichten über mail.gmx.net abzusetzen, wenn es bestimmte Absender-Adressen angab. Es ist eher unwahrscheinlich, dass Spammer diese Lücke schon entdeckt und für ihre Zwecke genutzt haben. Dessen ungeachtet waren damit die ORDB-Kriterien für ein offenes Relay erfüllt -- die auf mail.gmx.net auflösenden IP-Adressen wanderten sofort in die Blacklist.

Für die GMX-Kunden hatte dieser kleine Eintrag unmittelbare Folgen. Sehr viele Mail-Provider nutzen die ORDB-Blacklist, um Nachrichten von SMTP-Servern, die in der Open Relay Database gelistet sind, zurückzuweisen. GMX-Kunden war es plötzlich nicht mehr möglich, Kunden dieser Provider Mails zu schicken -- sie konnten plötzlich einen Teil des Internet nicht mehr per E-Mail erreichen. Gerade die ORDB-Blacklist gilt als recht zuverlässig und wird sehr oft genutzt. So ist sie beispielsweise in der Standardkonfiguration des beliebten Anti-Spam-Tools Spam Assassin eingebunden.

Für GMX, das gerade durch die Implementierung eines umfangreichen Spam-Schutzes für die Kunden auf sich aufmerksam gemacht hat, ist die Angelegenheit recht peinlich. Als der Fall in den Usenet-Foren publik wurde, ergoss sich schnell Häme über das Unternehmen.

Gegenüber heise online machte GMX-Produkt-Manager Thomas Röder keinen Hehl daraus, dass er auf ORDB nicht gut zu sprechen ist. Es sei sehr schwer gewesen, auf einem unbürokratischen Weg dafür zu sorgen, schnell wieder von der Liste genommen zu werden: "Alle Versuche der raschen, direkten Kontaktaufnahme seitens GMX scheiterten an der Anonymität, in die sich ORDB hüllt." Der angebotene Weg über das Kontaktformular habe sich als langsam erwiesen. Mittlerweile ist GMX nach einem erneuten ORDB-Test wieder von der Blacklist verschwunden.

Röder äußerte Zweifel am Sinn der Testkriterien: "ORDB hatte für den Open-Relay-Check zwei GMX-Adressen verwendet, die nicht auf SMTP-Auth konfiguriert waren." In der eigenen Open-Relay-Definition beschreibe ORDB ein solches System aber als einen Mail-Server, der Nachrichten weiterleite, "bei denen weder der Sender noch der Empfänger ein lokaler Nutzer ist". In den von ORDB dokumentierten Fällen habe es sich aber eindeutig um "local user" gehandelt.

Der Fall dokumentiert, dass sich die Betreiber der DNS-Blacklists eine große Verantwortung aufbürden. Ein Eintrag kann ein Mail-System über Nacht unbrauchbar machen. Für Röder ist die Sache klar: "GMX muss nach diesen Erfahrungen leider vor der vorbehaltlosen Verwendung von automatisch generierten Blocklisten warnen, insbesondere, wenn kein direkter Support geboten wird." (hob/c't)

Kann man das, was da steht, auch auf Deutsch bekommen?

Kurz gefasst:

Die Mailserver von GMX erlaubten Fremden Mails über die GMX-MailServer unter Angabe einer Fantasie-Adresse zu versenden. Damit ist es möglich unerkannt Spam zu verbreiten.

Die ORDB testet Mail-Server und setzt solche Mailserver auf eine Blacklist. Viele Firmen greifen auf diese Liste zwecks Spam-Schutz zu. Dadurch waren für Tage alle GMX-Mails in diesen Firmen als Spam gekennzeichnet und kamen so nie an.

Und was hat das jetzt für Auswirkungen/Konsequenzen?

Mittlerweile keine mehr, da GMX nachgebessert hat. Ansonsten hätte es als Auswirkung gehabt, dass Deine Mails nicht mehr überall angekommen wären. Allerdings ist es fraglich, ob es Dich persönlich getroffen hätte.

Komischerweise sind die Spam-Mails in keinster WEise weniger geworden.

Es geht nicht um die eingehenden sondern um die ausgehenden Mails. Vor eingehendem Spam sind wir dadurch nicht geschützt.

Na ja, bei irgendwem oder irgendwas müssen die Spam-Mails ja auch ausgehen.

Das is doch blödsinn, ich hab bis jetzt wirklich im Grunde noch keinen Mailserver gefunden den man nicht dazu bringen kann anonyme mails zu senden. Aber wozu der aufwand ? Ist doch viel leichter einen eigenen Mailserver zu verwenden, der stellt wenigstens keine dummen Fragen. Nur ein Beispiel, oder man erstellt sich einfach 101 gefakten Account bei den Freemail anbietern....

Ein richtigen SChutz Spam zu verbreiten aufzubauen ist schwierig und einfach ganze E-Mail Provider mehr oder weniger abzuschieben kann ja auch nicht Sinn der Sache sein.

Yep, ich halte NGO's auch fuer eine recht gute Sache ... auf der anderen Seite mit den Jobs anderer Leute aufgrund von solchen Standards zu spielen, sollte man das Testverfahren (oder aber das Procedere in auf die Schwarze Liste zu schicken) wohl doch etwas 'anders' gestalten ... ach ... und im 'zu Tode' pruefen kenn ich mich aus. So gut KANN niemand sein, das man ihn mit einer Masse an Pruefungen nicht kaputt bekommt, man muss also mit den Ergebnissen verantwortlich umgehen.

Ist aber eine delikate Sache, z. B. beim NCAP - Test werden nun doch auch recht 'einfache' Sicherheitsmassnahmen mit Punkten bewertet ... die gerade deutsche Hersteller in die fuenf - Sterne Klasse befoerdert haben. Das ist dann auch wieder Murks !

Jeck this out: http://www.euroncap.com/index.htm