Mail-Rejects durch SPF-Anpassung bei United Internet

In den letzten Tagen haben wir und vor allem unsere Kunden festgestellt, dass weitergeleitete E-Mails an GMX bzw. Web.de nicht zugestellt werden konnten. In der Folge haben wir eine Vielzahl von Anrufen und E-Mails erhalten.

Grund für die Ablehnung der E-Mails

Eine detaillierte Recherche und letztendlich ein Beitrag auf Heise hat gezeigt, dass United Internet verschärfte Spam-Maßnahmen eingeführt hat, die zur Ablehnung von weitergeleiteten E-Mails an eine 1und1-, GMX- oder Web.de-Adresse führte. Die Änderungen wurden am sog. Sender Policy Framework (SPF) vorgenommen. Betroffen sind alle Domainnamen, die im jeweiligen SPF-Eintrag „-all“ anstatt „~all“ verwenden.

Was ist SPF?

Das Sender Policy Framework soll verhindern, dass Spam mit gefälschten Absendern versendet wird. Hierzu wird über einen DNS-Eintrag in der Domain festgelegt, welche Mailserver ausgehende E-Mails versenden dürfen. Typischerweise listet ein SPF-Eintrag also alle zugelassenen Netzbereiche auf, über welche E-Mails versendet werden dürfen und enthält zusätzliche Anweisungen, wie mit E-Mails verfahren wird, die über andere Mailserver versendet werden. So lautet der SPF-Eintrag von Campusspeicher beispielsweise:

v=spf1 mx a a:mx.campusspeicher.de ~all

Der Eintrag bedeutet: E-Mails dürfen über den Mailserver „mx.campusspeicher.de“ verschickt werden, alle andere Mailserver sollten nicht über diese Domain versenden. Allerdings erfolgt mit diesem Eintrag auch keine Blockierung der E-Mail, sondern nur ein negatives Scoring bei einem Spam-Filter.

Warum hat United Internet dieses Änderung vorgenommen?

Angesichts der Tatsache, dass immer wieder Spam mit gefälschten Absendern versendet wird, scheint SPF eine runde Sache. Doch in der Vergangenheit hat diese Technik auch zu viel Kritik geführt. So kann z.B. nicht immer genau festgelegt werden, über welchen Mailserver eine ausgehende E-Mail versendet wird. Die Folge kann im schlimmsten Fall Mailverlust bedeutet. Sollten Sie SPF daher nutzen, empfehlen wir Ihnen den Eintrag auf „~all“ abzumildern. Ansonsten werden weitergeleitete E-Mails an GMX und Co. ab sofort blockiert.

Übrigens: Campusspeicher erstellt seit einigen Monaten standardmäßig für neue Domains einen SFP-Eintrag. Allerdings verwenden wir ebenfalls den Eintrag „~all“, um solche Probleme zu vermeiden.