Kategorien
Blog

1&1 nochmal

Drei Wochen nach der Lösung des kleinen Mailproblems mit 1&1 hat sich jetzt ein „ZyanKlee“ mit einem Kommentar und einem verlinkten Blogartikel gemeldet. Das ist deshalb bemerkenswert, weil er beim Kommentieren von einem Rechner aus dem 1&1-Netz kam.

Er kommentiert hier:

Auf meinem Blog habe ich die Gründe für die Änderungen von 1&1 mal zusammen gefasst. Ich denke, man kann 1&1 keinen Vorwurf machen, wenn sie von anderen Admins erwarten, dass diese die MailServer und DNS-Zonen entsprechend der gültigen RFC konfigurieren, oder?

…und schreibt in seinem Blogartikel:

In vielen Fällen konnte der 1&1-Support den Leuten weiterhelfen: SPF korrekt(!) konfigurieren und / oder den MX record der Absender-Domain auf einen A record zeigen lassen – niemals auf einen CNAME.

Dass die Konfiguration mit dem MX-Record, der auf einen CNAME-Record zeigt, falsch ist, darüber besteht kein Zweifel.

Leider zeigte sich der 1&1-Support mir gegenüber überhaupt nicht hilfreich, und die (ja neu eingeführten) Anforderungen an die DNS-Einstellungen waren auch nicht Dokumentiert. Man hätte ja auch das konkrete Problem in die Fehlermeldung schreiben können, so wie diese Seite es verspricht (auf genau der Seite hat 1&1 übrigens inzwischen die DNS-Anforderungen gut verständlich dokumentiert — das war vor drei Wochen noch nicht so, aber besser spät als nie).

Dann schreibt er weiter:

Mailserver die CNAMEs als MX records akzeptieren verhalten sich nicht RFC-konform und sollten korrigiert oder korrekt konfiguriert werden.

… und das halte ich für falsch. Der Abschnitt 2.3.5 in RFC5321, der Formvorschriften für einen „Domain Name“ macht, impliziert IMHO nicht, dass deren Einhaltung beim Empfang einer Mail zu überprüfen ist; es handelt sich hierbei vielmehr um eine reine Antispam-Maßnahme (mit derselben Argumentation müsste man sonst auch alle Mails mit von Outlook oder Exchange verkorkstem Header-Encoding verwerfen).

Einer der Grundsätze, auf denen die Internetprotokolle aufbauen lautet schließlich „be conservative in what you send, be liberal in what you receive„. Das wird leider viel zu oft vergessen.

Von dentaku

Site Reliability Engineer, Internet-Ureinwohner, Infrastrukturbetreiber, halb 23-Nerd halb 42-Nerd, links, gesichtsblind.

Schreibt mit "obwaltendem selbstironischem Blick auf alles Expertentum" (Süddeutsche Zeitung)

2 Antworten auf „1&1 nochmal“

Hi,
danke für deine Antwort. Ich denke dass Grundsätze dann überarbeitet werden sollten, wenn man merkt, dass sie so nicht funktionieren bzw zu legere Auslegungen zu Misbräuchen führen.
IMHO ist der Grundsatz „be conservative in what you send, be liberal in what you recieve“ also vollkommen outdated, seit das Email-Konzept derart misbraucht wird. Man muss es natürlich nicht übertreiben, aber das ist hier meiner Ansicht nach auch nicht passiert.

CNAMEs haben aber noch einen anderen entscheidenden Nachteil: Die Last der DNS-Requests erhöht sich im Vergleich zu einem A oder AAAA record auf das Doppelte. Bei einer Anfrage auf einen A record wird automatisch der MX zurück gegeben, während bei einer Abfrage eines CNAMEs zuerst die Domain des Alias zurück gegeben und danach eine zweite Anfrage auf diesen (hoffentlich dann) A record abgesetzt wird.

Das mag für Unternehmen oder Privatpersonen mit 10-5000 Emails am Tag keine Rolle spielen. In dem Moment aber, in dem täglich mehrere Millionen Emails zugestellt werden sollen, ist das nicht mehr so lustig.

Meine privaten Systeme liegen in etwa bei 100 Emails pro Tag. Das sind allerdings nur die tatsächlich angenommenen und zugestellten. Täglich lehnt mein Mailserver ca 20000 Requests ab. Angenommen 1&1 hat ein ähnliches Verhältnis … gut, du kannst dir selber ausrechnen, wieviele Requests es ausmachen würde, wenn nur 10% der Mailserver CNAMEs statt A records im MX angeben würden.

Wenn es bei mir so aussehen würde, wäre auch ich hinterher, dass mehr Admins die CNAMEs in die Tonne kippen und vernünftige A oder AAAA records nehmen.

Ich gebe dir Recht: Bessere Kommunikation hätte geholfen. Der Support ist mit solch tiefgreifenden technischen Fragen vermutlich schlichtweg überfordert.

Der Unterschied zwischen Outlook-/Exchange-Headern und CNAME-MXen ist meiner Ansicht nach a) die Menge an Betroffenen und b) die Möglichkeiten der Betroffenen etwas daran zu ändern.
Das rechtfertigt nicht die Unfähigkeit von M$ sich an vorgegbene Standards zu halten, aber viele Exchange- und Outlook-Nutzer haben keine Wahl. Bei den MX Entries sind Admins gefragt.

Vielleicht sollten wir fähigen Admins aufhören uns die Augen aus zu hacken, weil wir auf verschiedene Arten versuchen die Spamflut einzudämmen, sondern gemeinsam am selben Strang ziehen. 1&1 geht einen Schritt vor – ein mutiger Schritt wie man an den Prügeln sieht, die sie kassieren – vielleicht sollten wir diesen Vorstoß nutzen und unsere MTAs auch so konfigurieren, dass auf korrekte MX-Einträge geprüft wird?
Und wenn wir dabei sind, könnten wir die Header auf korrektes Encoding überprüfen lassen 😉 Für ein schöneres und saubereres Internet.

Grüße,

Zyan K Lee

Ich glaube, wir sind in den Meinungen garnicht so weit auseinander:

An der Änderung bei 1&1 kritisiere ich nämlich nur, dass sie nicht angekündigt war und erst mit mehrwöchiger Verspätung dokumentiert worden ist — sowas kann man nicht machen, wenn man einer der größten Mailhoster Deutschlands ist. Das ist sonst eine völlig plausible Anti-Spam-Maßnahme.

An Deinem Artikel widerum hatte ich hauptsächlich die Aussage kritisiert, alle Mailserver, die die korrekte Konfiguration der Absendeadresse (sprich: die Beantwortbarkeit der Mail) nicht überprüfen seien eigentlich „kaputt“ und müssten korrigiert werden.

Sonst bin ich im großen und ganzen Deiner Meinung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert