Änderung der E-Mail-Prüfung bei United Internet (1&1, GMX und Web.de)

In den vergangen Tagen haben Kunden vermehrt beobachtet, dass E-Mails, die über unser System an United Internet weitergeleitet werden, nicht mehr zugestellt werden können. Der Ursache dafür sind wir selbstverständlich nachgegangen und haben eine intensive Prüfung durch unser Abuse-Team veranlasst.

Grund für die Ablehnung der Mails

Wir konnten bei unserer Analyse feststellen und auch heise.de berichtet, dass von United Internet (1&1, GMX und Web.de) eine Änderung bei der Prüfung von E-Mails durchgeführt wurde, sodass mittels SPF (Sender Policy Framework) eine Ablehnung (Reject) von weitergeleiteten E-Mails erfolgt. Diese Prüfung betrifft alle E-Mailadressen, die eine Weiterleitung auf eine 1&1-, GMX- oder Web.de-Adresse eingerichtet haben. Dabei prüft das empfangende System die Domain des Absenders in Verbindung mit der IP-Adresse des umleitenden Systems und stuft eine solche E-Mail bei der SPF-Prüfung als unautorisiert ein.

So sind alle Domainnamen betroffen, die in ihrem SPF-Record „-all“ anstatt „~all“ verwenden. Bei United Internet wurde bei allen Domainnamen der SPF-Record auf „-all“ gesetzt.

Erklärung zum Problem beim Versand an United Interet mit SPF

Was genau ist SPF (Sender Policy Framework) eigentlich?

Bei SPF handelt es sich um ein Framework, das entwickelt wurde, um das Fälschen von Absenderadressen in E-Mails zu verhindern. Dieses Verfahren wird durch den Inhaber der Domain im DNS (Domain Name Service) gesetzt. So wird bestimmt, welcher Rechner zum Versand von E-Mails unter dieser Domain berechtigt ist. Details dazu finden Sie hier:
www.wikipedia.de: Sender Policy Framework

Warum hat United Internet diese Änderung eingeführt?

Betrachtet man das Aufkommen der letzten Jahre, dann ist die Anzahl der Spam-Nachrichten bzw. des missbräuchlichen Versands von E-Mails kontinuierlich gestiegen. Um zukünftig DMARC (Domain-based Message Authentication, Reporting and Conformance) zu nutzen, ist es notwendig, die SPF-Einträge so zu beachten, wie sie auch durch den Domain-Inhaber gesetzt wurden. Letztlich wurde hier ein korrekter Schritt in die Richtung „aktuellem Stand der Technik“ durchgeführt.

Könnte DomainFactory das Problem nicht mittels SRS (Sender Rewriting Scheme) lösen?

Prinzipiell ja, allerdings könnte der fehlerfreie Einsatz von SRS bei DomainFactory nicht gewährleistet werden, da SRS von der uns eingesetzte Software leider nicht produktiv freigegeben ist und nur eine experimentelle Unterstützung zur Verfügung steht.

Bei SRS handelt es sich um eine Methode, bei der der Absender einer E-Mail (Envelope Sender) so umgeschrieben wird, dass SPF (Sender Policy Framework) auch mit einer Umleitung von E-Mails funktionieren würde. Hier ist eine genaue Beschreibung von SRS:
www.wikipedia.de: Sender Rewriting Scheme

Welche Alternativen bestehen?

Es besteht die Möglichkeit, dass Sie die Forwarding-Adresse (Ziel @web.de, @gmx.de…) umstellen, und diese mittels POP3-Sammeldienst vom jeweiligen GMX / Web.de-Postfach aus abrufen lassen. Nach unserem Kenntnisstand werden jedoch nur alle 6 Stunden bei GMX und Web.de neue E-Mails abgerufen. Daher wäre es die beste Lösung, statt der Weiterleitungen direkt ein Postfach bei uns einzurichten und dieses abzurufen.

Update vom 3. Juni 2016

Aktuell sieht es so aus, als sei das Problem behoben. Unsere stichprobenartigen Prüfungen (DNS-Abfragen) haben ergeben, dass für den SPF-Eintrag bei Domains von United Internet nun ~all eingetragen ist, wodurch die Zustellung über Weiterleitungen wieder möglich ist.

Update vom 18. Januar 2017

Statt ~all wurde der Eintrag nun auf -all geändert, sodass die Weiterleitungen nicht mehr zugestellt werden.

Marcel Kaufmann

Über den Autor

Marcel Kaufmann

Teamleiter PremiumVIP Individual

20 Kommentare


  • Oliver S.
    Oliver S. - 2. Juni 2016 um 16:24

    Ich fasse mal zusammen, was ich verstanden habe.
    Lösung A:
    – Ich ändere den Forwarder bei df in ein Postfach um
    – Ich übernehme im df Postfach die Weiterleitungen an alle Teilnehmer ein, die nicht bei United Internet sind
    – Ich richte bei gmx ein Postfach ein. Dort hole ich per Sammeldienst die Mails aus dem df Postfach ab und lösche diese bei Abholung im df Postfach
    – Ich richte im gmx Postfach einen Filter ein, der auf den Sammeldienst reagiert und damit eine Weiterleitung an alle Teilnehmer macht, welche bei United Internet sind.
    – Ich lösche im kurzen Intervall die Mails im gmx Postfach

    => Die Unterscheidung welche Adressen noch zu United Internet gehören wird schon schwieriger (Mailadressen von separaten Domains bei UI).
    => Nachteil (Neben dem Aufwand): Der genannte Intervall von 6 Stunden lässt keine vernünftige Kommunikation über eine Verteilergruppe zu

    Lösung B:
    – Ich richte für alle Teilnehmer meines Verteilers jeweils ein Postfach ein
    – Ich nenne jedem Teilnehmer die Zugangsdaten zu seinem Postfach bei meiner df Domäne
    – Ich verbrauche Platz in meiner Domäne, damit ich eine Weiterleitung machen kann
    => Ich bin mir sicher, dass ich hier (Lösung B) etwas falsch verstanden habe, nur was?

    • Andreas G.
      Andreas G. - 2. Juni 2016 um 19:38

      Ich weiß jetzt nicht welche Möglichkeiten für Filter bei Domainfactory bestehen aber kann man nicht einfach statt einen Verteiler mit einer direkten Weiterleitung ein Postfach einrichten mit einem Filter der die Weiterleitung macht ?

      SPF überprüft nicht wirklich den Absender der in der Mail steht sondern den Absender der vom Mailserver weiter gegeben wird. Darum könnte ein Filter im Postfach funktionieren da der Mailserver dann mit seinem eigenen Hostnamen als Absender arbeitet.

      • Robert
        Robert - 3. Juni 2016 um 08:44

        Das wäre eine Möglichkeit, die klappen könnte. Außerdem gibt es ja bei df die Möglichkeit, in einem Postfach eine Regel zu definieren und die Aktion „um eine bestimmte Kopfzeile und entsprechendem Eintrag erweitert werden“ zu nutzen. Vielleicht lässt sich hier eine SPF-verträgliche Änderung vornehmen?

        Aber wie im Kommentar weiter unten beschrieben scheint UI die Änderung abgeschwächt zu haben, die Weiterleitungen scheinen (vorerst) wieder zu funktionieren.

      • Oliver S.
        Oliver S. - 3. Juni 2016 um 08:56

        Ich hatte bislang bereits mit df-Postfach + Filter/Regel zur Weiterleitung gearbeitet und genau das hat nun nicht mehr geklappt. Soll ja angeblich nun wieder funktionieren … nur wie lange?

  • rabe
    rabe - 2. Juni 2016 um 16:59

    DMARC ist bei df noch nicht implementiert. Gibt es Planungen hierzu?
    Im Übrigen braucht man für DMARC zwar einen SPF-Eintrag, dieser kann aber ?all oder ~all lauten. Dann wird für DMARC im Prinzip nur DKIM genutzt.

    • Andreas G.
      Andreas G. - 2. Juni 2016 um 19:41

      Stimmt aber leider gibt es viele die -all nutzen ohne genau zu wissen was die Probleme von SPF sind.

      Übrigens haben sich sowohl GMX als Web.de wohl dazu durch gerungen das ganze etwas abzuschwächen da sie bei sich aus -all ein ~all gemacht haben.

      • Robert
        Robert - 3. Juni 2016 um 08:40

        Ich habe gestern Abend auch festgestellt, dass die „normalen“ Weiterleitungen wieder zu funktionieren scheinen. Hast du hierzu eine Quelle, vielleicht eine Mitteilung von UI oder so?

      • Anna
        Anna - 3. Juni 2016 um 09:13

        Ja, scheinbar wurden die SPF-Einträge wieder auf ~all geändert. Wir haben den Blogartikel aktualisiert.

      • rabe
        rabe - 3. Juni 2016 um 09:19

        Das mit ~all habe ich gestern hier auch schon behauptet. Wenn man mal im Netz sucht, ist es aber wohl tatsächlich so, dass gmx/web.de schon lange Jahre ein -all hatten und vor ein paar Tagen einfach die harte SPF-Prüfung (!) auf ihren Server eingeschaltet haben. Anstatt die Prüfung nun wieder auszuschalten, haben sie ~all bei ihren eigenen Domains gesetzt, so dass Mails von diesen Mailadressen durch die nach wie vor aktive Prüfung aber nun nicht mehr abgewiesen werden.

    • Marcel
      Marcel - 3. Juni 2016 um 11:38

      Hallo rabe,

      durch DMARC wird SPF und DKIM verwendet. Der Typ vom SPF ist hierbei nicht relevant, es wird jedoch benötigt, wie Sie bereits mitgeteilt haben.

      Die Umsetzung von DMARC ist geplant, allerdings kann derzeit noch kein Zeitpunkt genannt werden, bis wann dies zur Verfügung gestellt werden kann. Der Grund dafür ist, dass noch einige Anpassungen im System durchgeführt werden müssen. Sobald sich dazu was ergibt, werden wir entsprechend informieren.

      • Stefan F
        Stefan F - 20. April 2017 um 23:36

        Ist denn abzusehen wann es Neuigkeiten bzgl DMARC geben wird?

  • Sepp
    Sepp - 3. Juni 2016 um 09:35

    Hallo Herr Kaufmann,

    herzlichen Dank für diesen technisch fundierten Beitrag. Der Heise Artikel, welchen ich gestern dazu gelesen habe und den sie auch verlinkt haben, war leider sehr nebulös gehalten.

    Gruß,
    Stepp

    • Marcel
      Marcel - 3. Juni 2016 um 11:21

      Hallo Sepp,

      keine Ursache!

      Es freut mich sehr, dass Ihnen und auch anderen der Beitrag weitergeholfen hat.

      • Andreas D. | ad1601com
        Andreas D. | ad1601com - 8. Juni 2016 um 12:31

        Auch von meiner Seite Danke für Ihre Ausführungen Hr. Kaufmann!

  • Florian W.
    Florian W. - 3. Juni 2016 um 20:55

    Wenn die Weiterleitungen bei dF dazu genutzt wurden, eingehende Mails an div. Postfächer zu verteilen (z.B. anfrage@firma.at geht automatisch an a@gmx.at, b@gmx.at, c@web.de, d@anderefirma.at), würde eine Mailingliste (Mailman bei dF) das Problem lösen? Oder sind Mailinglisten auch von dem Problem betroffen?

  • Stefan
    Stefan - 5. Juni 2016 um 14:10

    Es ist schade, dass solche Anbieter wie United Internet immer meinen ihre Raketentechnologie ausrollen zu müssen, und andere Anbieter wie dF müssen den Mist dann ausbaden.

    Ich hoffe, dass die nächsten Geistesblitze von United Internet in Zukunft ausbleiben werden.

    • Michael
      Michael - 5. Juni 2016 um 16:16

      Man MUSS es ja nicht ausbaden. Wenn man Person xy keine Mails mehr schicken kann, halt der auf anderem Wege dies Mitteilen und der / die soll sich an seinen / ihren Anbieter wenden.
      Ist der Grund warum ich wieder bei DF bin. Hier wird sich um die Probleme der Leute gekümmert und man kriegt keine Filter vorgeschrieben die zentral für alle Kunden gelten. Auch gegen den Willen einzelner Kunden.

  • Oliver T.
    Oliver T. - 6. Juni 2016 um 11:21

    Gibt es dazu neue Updates? Das Problem scheint nämlich noch nicht gelöst zu sein. Mails von meiner Firmenadresse (via Outlook und Exchange von MS gehostet) werden nach einem Forward von DF an eine gmx Adresse auch heute (6.6) mit einem „550-Reject due to SPF policy“ zurückgeschickt.

    Wird weiterhin die Einrichtung das POP3-Sammeldienst empfohlen (um vielleicht auch zukünftig auf der sicheren Seite zu sein)?

    • Nils Dornblut
      Nils Dornblut - 6. Juni 2016 um 22:01

      Wie sind denn die SPF-Einträge der Firmendomain? Wenn hier unsere Server nicht als versendende Server erlaubt sind, dann sortiert GMX das aus, weil diese Prüfung entsprechend noch aktiv ist bei web.de/GMX usw. Hier wurden die SPF-Einträge der Domains von United Internet geändert auf ~all, aber die neu eingeführte Überprüfung ist dort weiterhin aktiv. Hier würden wir dann den Sammeldienst oder einfach nur direkt ein Postfach bei uns empfehlen.

  • Anonymous
    Anonymous - 16. Januar 2017 um 13:50

    Problem scheint wieder akkut zu sein – aktueller GMX SPF-Record:
    v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 ip4:212.227.126.128/25 ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:74.208.4.192/26 ip4:82.165.159.0/24 ip4:217.72.207.0/27 -all