Durch Zufall hat folgende E-Mail einen Umweg gemacht und erscheint nun hier:

---

Betreff: Technische Umsetzung Sperrung SMTP Port 25 - Studentenwohnheime

Sehr geehrter Herr Mittag,
sehr geehrtes Team der AG DSN,

nach Zustimmung des ZIH Lenkungsausschuß bzgl. Mailversand der Studentenwohnheime (Sperrung SMTP Port 25) und Ankündigung im Dezember 07 wird die Sperrung STMP Port 25 zum 9.01.08 realisiert.
Mailversand aus den Studentenwohnheimen ist damit nur noch über dem Mailserver des ZIH, den Mailserver der Fakultät Informatik und über registrierte Mailserver der Studentenwohnheime möglich.

Die Sperrung wird auf den entsprechenden Routern innerhalb des Campus-Netzes vom ZIH durchgeführt, indem die nicht zugelassene TCP-Verbindung über Port 25 gesperrt wird.
Somit ist auch ein hoher Schutz innerhalb des Campus-Netzes möglich.

Beste Neujahrsgrüße,
Jens Syckor

---

Soweit, so gut.
Nur:
1. Was bedeutet das für das Forschungsnetz und seine freie Nutzbarkeit?
2. Warum wurden die Nutzer nicht informiert resp. ist es nirgendwo dokumentiert?
3. Stimmt es, dass das ZIH einige Versäumnisse verzapft hat, die dazu führten, dass die Mailserver auf Blacklists großer Provider landeten und man nun auf diese Art&Weise die Konfigurations-Inkompetenz zu kompensieren versucht?

#a

Ich denke sogar, dass der Forschungsauftrag noch eher erfüllt wird, weil es den Wissenschaftlern wieder möglich ist, über das DFN zu kommunizieren. Ohne die Portsperrung landen täglich Mails von tausenden Wissenschaftlern im Spamordner anderer Wissenschaftler, nur weil irgendwelche Studenten sich im Uninetz einen Spam-Trojaner eingefangen haben.

Und ich wüsste nicht, warum es eine Masse an Ausnahmeanträgen für Port 25 geben sollte. An neuen Mailtechnologien für Port 25 werden die wenigsten im DFN Bereich der TUD arbeiten und Port 25 ist nunmal für Mail vorgesehen. Klar, dass es für den Zugriff auf web.de oder ähnlichem keine Ausnahmeregelung geben wird.

-

Dieser Beitrag wurde von Knurt: 14 Mar 2009, 19:27 bearbeitet

Wer seine Web.de Mails ueber den SMTP des ZIH rausschickt wird aber hoechstwahrscheinlich beim Empfaenger im Spam landen, da Spammer ihre Mails auch immer ueber fremde Mailserver verschicken, die nicht kontrollieren ob die Absenderadresse ueberhaupt von ihnen selbst betreut wird (siehe SPF).

Ja, das ist u.U. leider so, aber danach hatte ja keiner gefragt.

SPF ist nur eine Technologie, die gegen Spam genutzt werden kann. Um SPF sinnvoll zu implementieren, müssten eine große Menge von Mailservern darauf umgestellt werden und genau darin liegt das Problem. Es ist ein typisches Henne-und-Ei - problem. Verlässt man sich einzig auf SPF, werden die vielen tausend, Relay-Server ausgesperrt (die SPF nicht implementieren) und damit geht potenziell neben vielen Spam auch sehr viel Ham verloren und das kann sich kein großer Anbieter im Businessbereich leisten.

Nutzt man SPF aber nur als ein Kriterium zur Bewertung ob eine Mail Spam oder Ham ist, geht die Nutzbarkeit stark gegen null, da sich in solchen Fällen DNSRBLs (in denen eben die "bösen" Relays stehen, die ohne Authentifizierung relayen) viel besser eignen.

Fazit: Nutzt man den Uni-Mailserver zum Relayen, sollte das kein Problem darstellen. In meinem Nebenjob relayen wir auch über T-Online und haben keine Probleme, dass unsere Mails nicht ankommen würden.

Ich wage zu bezweifeln, dass überhaupt viele große wichtige Anbieter gibt (GMX, Strato), die sich auf SPF als einzige Technologie verlassen würden.

Den ganzen Sermon über die Einschränkung der Forschungsfreiheit halte ich für Quatsch. Nur wenn Port 25 gesperrt ist, wird die Welt nicht zusammenbrechen und falls man es wirklich für die Forschung (und nicht eben nur für die Bequemlichkeit das der Student sein Emailprogramm mit Standardeinstellungen versieht) braucht, kann man das sicherlich beantragen.

Sicherlich, verglichen mit anderen Internetprovidern, ist es schon eine Einschränkung, aber dem sollte man sich vor Augen halten, dass man für die Datendienste des DFN im Vergleich zur anderen freien Anbietern lächerlich wenig bezahlt.

Wenn einzelne Sektionen der AG DSN in der Lage waren die Sperrung anzukündigen, dann sehe ich das Versäumnis eher bei einzelnen Admins, als beim ZIH.

Letztendlich muss man eine Kosten/Nutzenabwägung machen und die sieht für mich so aus - wenn durch die Sperrung vom Port, der Versand von SPAM aus dem Uninetz massiv zurückgeht, dann ist damit der Uni und dem Netz mehr geholfen, als den Studenten, die einfach nur ihr Mailprogramm umstellen müssen.

C'ya,

Christian

Der Witz an SPF ist doch gerade, dass man kein Henne-Ei Problem hat. Der Besitzer einer Mailadresse (besser gesagt der Domain) gibt an, welche Server alles in seinem Namen Mails verschicken koennen. Der Empfaenger einer Mail kann dann beim Absender verifizieren, ob die Mail tatsaechlich aus seinem "Einflussbereich" stammt. Wenn der Absender dagegen kein SPF laufen hat, dann kann man einfach keine Aussage treffen und muss auf andere Techniken zum Spamschutz zurueckgreifen. Daraus ergibt sich keine Benachteiligung.

Okay, das hab ich dann etwas anders verstanden.

In der Tat scheint es so zu sein, dass GMX SPF bei seinen eigenen Domains einsetzt, man also bei SPF-fähigen Mailservern Probleme bekommt, wenn man GMX-Adressen relayt.

Ich denke aber trotzdem mal, dass die meisten Server auch diese Mail annehmen, da die Menge an SPF-fähigen Servern nicht so hoch ist und SPF alleine eben auch nicht der Weisheit letzter Schluss ist und man als Spammer natürlich auch selber sich für Spottpreise Domains beschaffen kann, die SPF-fähig sind.

Hier helfen dann doch wieder DNSRBLs.

Muss ich bei Gelegenheit einfach mal testen.

C'ya,

Christian

SPF ist doch Müll, es gibt einfach Standardfälle in denen SPF versagt (siehe Weiterleitung) und macht es somit für einen produktiven einsatz untauglich.

einfach nen EHLO, PTR check, dann noch gegen 2-3 blacklisten checken und das ganze dann gewichten und man ist 95% des spams los. (policyd-weight für postfix macht das).
natürlich ist das keine technik um spam präventiv zu verhindern, aber da gibt es für mich noch keine wirklich gute. meiner meinung nach gehen domainkeys aber eher in die richtige richtung

Ich habe auch nie behauptet, dass SPF allen Spam los wird. In Kombination mit anderen Verfahren denke ich aber schon, dass es ein guter Ansatz ist.