E-Mail Sender Reputation - Inside IONOS

Anmoderation hallo und herzlich willkommen bei inside jonos  mein Name ist Tilo Hertel Google und Yahoo haben   am 1.2.2024 eine neue Richtlinie eingeführt um den  Versand von Spammails besser bekämpfen zu können   so werden Versender von Massenmails per Definition  sind das alle die mehr als 5000 Mails pro Tag   versenden blockiert dies kann im E-Mail Marketing  für Versender von Newslettern zum Problem werden   was Google genau fordert welche Rolle jonos als  E-Mail Provider dabei spielt und was man unter   der absinder Reputation versteht all das erfahren  Sie in dieser Podcast Episode als Gäste begrüße   ich Mark ballerin er ist Senior antiapuse software  engineer und Hagen Engelmann head of productivity   development beide byi jonos hallo zusammen  wir haben das Thema ja schon in der Episode   SPF, DKIM & DMARC: Vorstellung der drei Verfahren 50 Jahre E-Mail mit dirhagen angerissen noch  mal kurz um unsere Zuhörer abzuholen es gibt   ja dreigängige Verfahren mit denen sich Spam  und fishingangriffe bekämpfen lassen kannst   du die vielleicht kurz vorstellen ja gerne  also Anfang kann man die ganze Sache mit   SPF SPF Records sind in einer Domain ein txt  recordintrag in dem enthalten ist von welchen   IP-Adressen bzw von welchen Adressen allgemein  eine Mail versendet werden kann damit kann der   Empfänger einer E-Mail indem er überprüft  von welcher Domain diese Adresse kommt über   den Eintrag in der Domain herausfinden ob der  Mailserver von dem er die Adresse bekommen hat   Teil des SPF Records ist und ist er dies dann kann  er sich zumindest sicher sein dass ein Server der   dazu berechtigt war von dieser Domain eine E-Mail  zu schicken oder mit diesem domainpart eine E-Mail   zu schicken diese Mail auch geschickt hat zweiter  Punkt DKIM record ist ein durchaus weiterführendes   Verfahren weil wir da mit Kryptografie arbeiten  und zwar arbeiten wir damit Signaturen das   bedeutet die Mail wird bevor der Server sie  versendet anhand eines privaten Schlüssels   der nur dem Server bekannt ist mit einer Signatur  versehen die auf dem Inhalt der Mail basiert diese   Signatur kann dann von der Gegenstelle anhand  eines öffentlichen Schlüssels der wiederum als   dekim Selektor in der Domain des domainparts  der E-Mailadresse enthalten ist geprüft werden   und diese Prüfung sollte positiv ausfallen wenn  die Signatur korrekt ist womit sichergestellt   ist dass der Server der die Mail versendet hat  eine valide Signatur dieser Mail erstellt hat   und diese Signatur stellt auch noch sicher dass  die Mail nicht verändert wurde auf dem Weg von   dem Mailserver zu dem empfangenden Mailserver als  drittes Kriterium gibt es dann DMark DMark ist im   Ende nur ein Format um eine Regel zu definieren  mit der Mails mit dem gegegenen Domain Part dem   mag ist ebenfalls an ein dnse-eintrag wie der  Empfangende Server diese Mails behand handeln   soll das heißt DMark nutzt sowohl SPF als auch  dekim wenn dekim da ist wird dekim genutzt nur   SPF da ist wird nur SPF genutzt wenn beides  da ist wird präferiert dekim genutzt damit   wird dann festgestellt wenn der Server valide  gewesen ist ist sowieso alles gut dann wird die   Mail angenommen wenn der Server aber nicht valide  gewesen ist kann man bestimmen wie der empfangene   Server damit reagieren soll entweder kann das  sofort zurückweisen er kann sie tendenziell in   den spam folder schieben oder er kann sie trot  trotzdem annehmen außerdem kann man im DMark   record noch definieren wie entsprechende Mails  an den Eigner der Domain oder den mailversender   Berichten sollen das heißt man kann sich  einen Bericht ausgeben lassen wer versucht   hat E-Mailadressen von mir zu spoofen also von  irgendeinem anderen Server unberechtigterweise   zu verschicken und da kann man dann entsprechenden  Report bekommen über DMark ganz grob sind das die   drei Möglichkeiten und diese Möglichkeiten die  gibt es schon seit längerem und jetzt ist eben   genau passiert was schon länger zu erwarten war um  einen verlässlicheren E-Mailversand zu ermöglichen   haben die größeren e-mailanbieter sich jetzt  darauf geeinigt dass es gewisse Verpflichtung   geben muss der sicherstellen soll dass Anbieter  dazu gezwungen werden Mails entsprechend sicher   zu verschicken damit sie auf ihrer Seite eine  höhere Qualität sicherstellen können der Mails   die sie dann auch annehmen könnt ihr auch kurz  duf eingehen was so die Stärken und die Schwächen   Die Stärken und Schwächen von SPF, DKIM & DMARC dieser dre Verfahren sind ja also eine große  Schwäche von SPF ist dass es tatsächlich nicht die   Absenderadresse schützt die im Nutzer angezeigt  wird also es schützt die Adresse die die mailsf   unterander blüzt hab in der Kommunikation aber  diese Adresse die Mail Client angezeigt Service   oners.com ist tatsächlich nicht von SPF  geschützt und dekim wiederum erlaubt es   auch diese Adresse zu schützen das wird ein Teil  der Signaturen wenn sie nicht mehr stimmt dann   kann die Fälschung erkannt werden und demmark  letztendlich führt das Ganze zusammen weil   äer weiß jetzt z.B nicht der bekommt eine Mail von  service@onoscom und da ist jetzt kein dekimrekord   drin was macht der Empfänger jetzt früher gab  es keine DKIM Records er weiß nicht ist es jetzt   normal oder sollte da eigentlich einer da sein  und DMark kann dann Prüfer er guckt sich die dmar   Record von jonascom an und dmar sagt ihm dann dass  da so ein dekim da sein muss oder SPF da sein muss   also dekim SPF sind optionale Zusatzfunktionen D  sorgt dafür dass SPF und DKIM nicht mehr optional   sondern verbindlich sind wie spielt da jetzt diese  neue Richtlinie hinein könnt ihr das kurz erklären   Die neue Richtlinie von Google & Co und einordnen vielleicht du Mark ja deine große  Provider geht's letztendlich darum ihre Kunde   eine gute Spamfilter Erfahrung zu geben sie wollen  wissen welche Mail ist Spam welche ist kein Spam   Inhaltsfilter sind sehr aufwendig kommen an ihre  Grenze funktionieren auch nicht haben zu viele   pilerkennung in beide Richtungen und deswegen  ist die Idee halt man versucht die Reputation des   Senders zu ermitteln alsoonos.com guter Absender  oder nicht kann man auswert d man anguckt wie   reagiert die Leute wenn sie die Mail von eonos.com  bekommen lese sie die markieren Sie sie vielleicht   sogar als wichtig oder markieren Sie die als Spam  und lösche sie ungelesen und je nachdem verhalte   wird dann die Reputation dieser Domain besser  oder schlechter jetzt ist halt so ursprüngliche   mailprotokoll sind die absinder beliebig fälschbar  also wie Mail ursprünglich definiert wurde da kann   jeder Mailserver jeden Absender benutz da  gibt's keinerlei Einschränkungen und damit   ist halt auch nicht sinnvoll möglich jetzt den  Ruf von der Domain zu ermitteln wenn die jeder   fälschen kann daher der erste Schritt man  sorgt dafür dass diese Mail authentif iert   sein muss also der Absender beweist quasi dass er  wirklich diese Domain besitzt und dann kann man   im zweiten Schritt Reputation über diese Domain  bilden was machen jetzt diese Provider wenn sie   Was machen die Provider, wenn der E-Mail Absender nicht über die entsprechende Reputation verfügt? sagen dass die Reputation des e-mailabsenders  nicht gegeben ist werden die in Spam gefiltert   oder werden die überhaupt gar nicht angenommen  und nicht zugestellt da kann beides passieren   es hät von viele Dinge ab zum ein wenn man eine  Mail abweise will muss man das sofort tun also   man muss wirklich im maildialog sagen ich möchte  diese Mail nicht das heißt man muss diese ganze   Prüfungen die sind ziemlich aufwendig wieen  gesagt hat da ist Kryptographie involviert das   sind dnsabfrage involviert man muss das alles in  Echtzeit machen sind sie kundenbruchteile während   man mit dem anderen Mailserver redet das heißt  wenn jetzt durch die la z.B zu hoch ist oder   andere Situation dann kann man das nicht machen  dann muss man die Mail annhmen und wenn man das   getan hat ist man rechtlich verpflichtet dem  Kunde auch zuzustellen das heißt in manche   Fälle wird man das sofort abweisen in anderen  Fälle wird man als barkieren und was ist mit   5000 Mails pro Tag Policy? dieser 5000 Mails pro Tag grrenze die ich vorhin  erwähnt habe ja das war so ein grober Richtwert   also was ich jetzt erfahren habe tatsächlich hat  diese policy in Teile schon vorher gegriffen und   teilweise greift sie jetzt auch noch nicht so  das ist mehr so ein Richtwert den sie genannt   habe generell sollte jeder der eine nennenswerte  Anzahl Mails versendet dafür Sorge dass er dekim   benutzt SPF benutzt und DMark policy für seine  Domain veröffentlicht du hast ja schon gesagt also   Welche Zielgruppe betrifft die Richtlinie? jeder der diese drei Verfahren nicht nutzt ist  davon betroffen aber welche Nutzer betrifft das   welche Zielgruppe ist davon betroffen eigentlich  ist jeder der eine Mailadresse unter einer eigenen   Domain hat davon betroffen und tatsächlich haben  wir auf jonos Seite darauf teilweise schon vorher   reagiert weil die zurückweisungsraten von unseren  Mailadressen von unseren Kunden ist schon über die   letzten Jahre hinweg im letzten Jahr massiv  nach oben gegangen was uns dazu gebracht hat   letztes Jahr jeden mit einem SPF record zu  versehen jeden Kunden wir haben den Kunden   SPF Records einfach gegeben und das hat auf der  Ebene schon mal die zurückweisungsrate deutlich   verringert und als nächsten Schritt haben wir  jetzt zwei weitere Dinge bei uns im Mailsystem   integriert erstens mal stellen wir jetzt  erzwungen sicher dass nur derjenige unter   einer fremden Mailadresse verschicken darf der  auch Eigentümer der entsprechenden Domain ist   das bedeutet wenn ich eine Domain besitze mit  einer Mailadresse mit einem Local Part beisp hagen.engelmann@meinedomain.de dann kann ich  unter franz@meinedomain.de schreiben obwohl   ich die Adresse Franz gar nicht besitze weil  wir davon ausgehen wenn ich meine domainde   besitze dann darf ich auch unter Fremden  Adressen versenden aber ich darf nicht unterhagen.engelmann@meineandereedomain.de  verschicken das war zwischenzeitlich theoretisch   möglich weil es ebeno in der Speck vorgesehen ist  und das haben wir jetzt vollständig verhindert und   gleichzeitig haben wir kurz nach auch eingeführt  dass jeder jonos Mailadresse von Kunden eine   entsprechende dekim signignatur erhält wer in  seine Domain reinguckt wird feststellen wir haben   nicht viele unterschiedliche dekim Signaturen für  jede Domain einzeln sondern wir haben uns dazu   entschieden eine Unternehmens dekim Signatur  einzuführen die wir dafür aber auch für den   Kunden und seine Domains automatisch mitpflegen  das heißt der DNS-Eintrag bekommt das und er   bekommt auch gleichzeitig dann den Mailserver der  tut es dann automatisch für ihn also das wir haben   da DKIM eingeführt das einzige was wir noch nicht  eingeführt haben tatsächlich ist DMark weil wir da   noch das Risiko sehen dass in sehr individuellen  Konfiguration der Kunden ein erzwungener DMark   record gegebenenfalls Probleme macht und wir im  Moment noch davon ausgehen dass Kunden die dann   wirklich Probleme bekommen weil sie kein DMark  record haben wo wir davon ausgehen dass das primär   die die ein höheres Aufkommen an Mails haben die  können sich dann den dar record sozusagen selber   nach Durchlesen der entsprechenden Anleitung  einrichten und das ist das was wir für unsere   Kunden jetzt eingeführt haben ich glaube das war  ja ein Beispiel für das Thema Spoofing könntest   Definition von Spoofing du es noch mal kurz definieren was Spoofing ist  boofing ist das was Mark eben angesprochen hat   es hat ja dann einen negativen Touch aber es ist  spezifikationskonform dass ich theoretisch unter   donaldtrump@whitehuse.gov von meinem ganz normalen  1 und1 Mail Account hagen.engelmann@meinedomain.de   verschicken dürfte was natürlich keiner will aber  glaube ich habe damals schon in Podcast gesagt gab   mal die goldene Zeiten des Internets hat jeder  jedem vertraut und aus diesen goldenen Zeiten   ist man aber nur bedingt wieder rausgekommen  weil wenn es einmal in der Welt war und in der   Spezifikation steht dann allen zu sagen jetzt  müssen wir das aber ab heute anders machen   das funktioniert nicht so einfach also hat man  weitere Sicherheitsmechanismen eingeführt eben   SPF dekim und jetzt als Zusammenführung der ganzen  Geschichte des DMark und damit versucht man diese   ursprünglichen Lücken in der Spezifikation eben  zu schließen ich würde jetzt als naiv bezeichnen   so bezeichnen es auch die Erfinder von damals dann  sagen wir naiv genau das finde ich finde ich sehr   Berechtigtes Kundeninteresse zu spoofen? gut ja weil wir es da in dem Vorgespräch schon  mal drüber hatten dass es ja auch ein berechtiges   Kundeninteresse daran gab eben zu spoofen klar  und das gibt's ja noch immer und das lassen wir   auch zu das ist ja genau das was ich sage wenn  ich z.B meine Domain habe meinedomain.de und   ich habe auf meinedomain.de nur die E-Mailadresse  hagen.engelmann und Franz meinedomain.de aber und   und vielleicht noch Admin ich habe vielleicht  trotzdem einen Shop und ich will als Shop   vielleicht auch mal eine Infomail verschicken  Info meedomainde muss ich dann ich will ja dann   keine neue E-Mailadresse info@mininedomain.de  erstellen weil eigentlich sollen die Mails von   info@ meedomain.de alle an eine Zentrale andere  Adresse gehen z.B admin@mininedomain.de damit   ich das tun kann und das ist ja ein berechtigtes  Interesse zu spoofen muss ich eben den Local Part   beliebig setzen können und das lassen wir jetzt  im Endeffekt auch in unserer Konfiguration zu   wenn ich aber z.B hagen.engelmann@web.de hab dann  erlauben wir nicht dass ich mit @web.de verschicke   um jetzt zu den M Media Kollegen zu gehen oder  bei der jonos gibt es noch immer online.de ich   will nicht irgendeine online den Local Part einer  onlinede Adresse einfach liiebig verändern können   weil damit kann ich wirklich Schaden anrichten  mit dem spoofen des local Parts einer von mir   Besessenen Domain gehen wir davon aus dass  der Vertrag nicht gehackt wurde oder die Mail   gehackt wurde dass man damit eben keinen Schaden  anrichtet sondern das im berechtigten Interesse   des Kunden ist auf dem local Part zu spoofen so  verhält sich auch mit anderen Mailadressen die   dem Kunden gehören tatsächlich also wir lassen  bei Webspaces z.B durchaus zu dass der Webspace   unter allen Domains verschickt die im Vertrag des  Webspaces sich befinden weil wir davon ausgehen   dass wenn ein Webspace eine Mail im Namen seines  Besitzers verschickt dann darf er das mit allen   Domains tun die der Besitzer besitzt also da  hat er auch ein berechtigtes Interesse dort   etwas zu spoofen aber eben nur wenn er ein aus  unserer Sicht berechtigtes Interesse dazu hat   Was müssen IONOS Kunden tun? Müssen Sie selbst tätig werden? noch mal zum rekapitulieren bei uns ist jetzt  auch dekim eingeführt das heißt für Kunden   von ionos hat diese neue Änderung wenn sie eben  eine größere Menge an E-Mails versenden möchten   werden die von von gmailadressen z.B angenommen  die Kunde müssen noch eine DMark policy für die   Domainen veröffentlichen das können wir nicht  für die Kunde machen weil wir nicht wissen wie   die Kunde noch Mails versendet die könnte noch  andere Dienstleister benutzen wie wenn wir jetzt   einzeitig eine DMark policy veröffentliche könnte  es sein dass wir diesen Versand stören würde das   muss man vielleicht noch ergänzen SPF ist nicht  auf einen E-Mail Provider beschränkt das heißt   man kann den SPF record den wir setzen auch so  erweitern dass man z.B ein Newsletter Versender   noch dazu nimmt und ein validen SPF record hat der  sowohl die jonos als auch den newslettervsender   mit einen beschließt das gilt auch für dekim man  kann dekim Selektoren mehrere definieren auf einer   Domain das heißt ich kann sagen die jonos hat ein  dekim selekor auf dieser Domain und der Newsletter   versendert auch ein dekim Selector auf dieser  Domain da wir aber nicht wissen wie der Kunde   die Mail neben uns benutzt können wir natürlich  SPF und dekim Records hinzufügen weil das sind   unsere Records da wissen wir was da reingehört  aber der DMark record dadurch dass er beides   zusammenfasst den können wir nicht einfach setzen  weil wir damit gegebenenfalls dem Kunden einfach   seine Konfiguration kaputt machen ja für SPF GT  es aber auch schon SPF müssen wir auch schon die   anderen Anbieter inkludieren weil der ist wirklich  der ist auch die Domain gesetzt genau genau aber   da gibt es ein Mechanismus für jetzt kommen wir  schon wieder ins Feld der domainmagie man kann   also bei dekim Selektoren die heiß nicht umsonst  Selektoren das sind nämlich dedizierte Einträge   für jeden Anbieter SPF ist auch so ein unschöne  Spezifikation da gibt es immer nur einen Eintrag   und das ist ein txt record und wie der Name txt  sagt das ist irgendein riesen String und da gibt   es aber zum Glück eine Möglichkeit den zu merchen  das nennt sich dann Domain Connect merge das heißt   wenn ich ein txt record von Anbieter a für SPF  hab und ein von Anbieter B für SPF hab kann ich   die zu einem neuen Eintrag zusammen chen dafür  gibt's ein Standard wie das funktioniert und das   funktioniert eigentlich auch den mir bekannten  Fällen wenn es richtig gemacht wird immer also   das heißt das ist kompliziert also sollte man  sich tatsächlich dann lieber durchlesen also   wie ein Domain Connect funktioniert wie ein Merch  von den SPF eininträgen funktioniert dafür gibt's   offizielle Spezifikation was ein DCIM Selector ist  und wie der funktioniert gibt's auch öffentliche   Spezifikation auch ganz wichtig zu wissen wir  müssen den selber verwalten den DKIM Selector   weil wir müssen uns offen halten dass wir auch  den Schlüssel verändern können also wir signieren   mit einem privaten Schlüssel und dieser private  Schlüssel könnte ja aus irgendwelchen Gründen   kompromittiert werden oder wir stellen in zwei  Jahren fest das Verfahren was wir zum Signieren   verwenden ist nicht mehr als sicher das heißt  wir müssen das Verfahren dann wechseln und dann   müssen wir auch die Möglichkeit haben einen  neuen Schlüssel einzufügen wird auch wieder   sehr schnell kompliziert wenn man sich das  durchliest weil eigentlich darf man dann den   alten Schlüssel nicht wegwerfen weil wenn man den  alten Schlüssel wegwirft werden die alten Mails   auf einmal ungültig weil die haben ja dann keine  valide Signatur mehr es kein dnse-intrag mehr gibt   also das ganze Thema wird schnell sehr komplex und  deshalb ist es tatsächlich wahrscheinlich für die   meisten Kunden attraktiv dass es der Anbieter  für sie macht und sie sich nicht selber da drum   kümmern weil es sonst schnell Komplex wird ihr  habt es ja schon ein bisschen ausgeführt aber   Welche Rolle haben wir aus E-Mail-Provider bei der Implementierung der Verfahren welche Rolle nehmen wir als Webhosting Anbieter  bei so einer Implementierung von z.B DKIM ein also   bei SPF müssen wir nicht viel tun wir müssen  einfach unsere Kunde erklären wie man das im   DNS einstellt bei DKIM muss unser Mailsystem diese  Signatur durchführen das kannst jetzt seit einiger   Zeit das heißt wir haben ein Schlüsselpaar  erstellt ein privater Schlüssel steckt unser   Mailsystem ein öffentlicher Schlüssel steckt  in unserem DNS alle unsere Kunde können diesen   dnsreord bei sich einbinden und dann muss halt  unser Mailsystem diese signaturarbeit bei jedem   Versand durchführen gleichzeitig muss unser  Mailsystem und dann kommen wir schnell in das   Aufgabengebiet auch vom Mark muss dann natürlich  auch die Möglichkeit haben daran Überprüfung   durchzuführen und wir nutzen das natürlich  dann nicht nur google nutzt das um eine bessere   zustellungsqualität zu gewährleisten sondern wir  nutzen das natürlich auch intensiv um eine bessere   zustellungsqualität zu gewährleisten Fell auch ein  wichtiger Punkt also die Frage ja wer muss demmark   benutzen da ist die Regel Großversender wobei das  eine fließende Definition ist und die wird auch   immer weiter angezogen werde aber was sollte e die  Frage stellen wer sollte DMark setze und da lautet   die Antwort im Prinzip jeder der es kann weil  umgekehrt führt das auch zu besserer zustelleung   wir haben das selber jetzt gesehen mit unserer  Online de domomain bei google kann man z.B nur die   Beste reputationsstufe erreichen wenn man DMark  hat also selbst dann wenn man wenig versendet und   möglichst gute Zustellung erreichen will sollte  man das alles implementieren also gerade wenn man   Rechnung versendet oder irgendwelche wirklich für  kundenrelevanten Mails sollte man sich überlegen   dann ein DMark Eintrag zu erzeugen und da ist  es aber tatsächlich auch nicht so da wird man   jetzt erwarten der muss jetzt möglichst strickt  sein also sollte man sich auch mal nachlesen was   bei DMAX so alles geht ich habe es ja eben ganz  kurz dargestellt welche Stufen man hat aber da ist   Google schon aktuell noch damit zufrieden dass man  relativ relaxierten dmar Eintrag hat hauptsache   man hat ein ja aber das haben sie gesagt werden  sie ändern also man sollte nicht mit dieser non   Arbeit non sagt im Prinzip prüf es bitte aber wenn  es nicht passt mach trotzdem weiter dann gibt's   der nächste Eintrag der nennt sich Quentin der  sagt im Prinzip prüfe es und wenn es nicht passt   Stelle die Mail in das beim Ordner zu und dann  gibt's noch den reject Einrag der sagt prüfe es   und wenn es nicht passt len ab aber der Empfänger  kann natürlich das auswerte wie es will also viele   Empfänger werden z.B reject nicht umsetze die wden  statt desser quarantin durchführen sind sie auch   dran das zu verändern auch wir Arbeit daran dr in  Zukunft in Zukunft wird reject eher durchgesetzt   aber gen ell sollte man tatsächlich mindestens  quarentin benutzen n kann man am Anfang benutzen   vor allem wenn man halt ein kompliziertere  Versand hat von mehrer Anbieter kann am Anfang   n veröffentlichen dann kann man testen ob alles  funktioniert und wenn man sicher ist das alles   funktioniert kann man es auf quarantine oder  reject upgradeen quasi kann man das bei uns   Gibt es konkrete Hilfe bei IONOS, um DMARC zu implementieren? auf den hilfeiten nachlesen wie man DMark für sich  als mittelständische Unternehmen selbst einrichten   kann oder na ja die Frage ist ob man sich schon  mal mit dem Controlpanel und seinen dnsinträgen   beschäftigt hat tatsächlich für SPF bieten wir  glaube ich jetzt schon per Default ein Eintrag   den man einfach anklicken kann setz mir mal den  SPF einintrag für jonos für DMark tatsächlich   bieten wir das noch nicht aber auf der Seite  steht zumindest welcher String da eingetragen   werden muss und am Ende muss man auf das richtige  Feld klicken dem ein entsprechenden Namen geben   und dann den String einfügen und wir schreiben  auch auf jeden Fall auf unserer Webseite schon   die verschiedenen Strings also interessanterweise  hat ich jetzt schon die ersten Kunden die haben   sich gewundert dass Ihre Mails nicht zugestellt  werden weil sie reject dann gleich mal als policy   reinkopiert haben die haben schon den richtig  String kopiert aber gleich mal das strickteste   genommen und dann kann es tatsächlich Probleme  geben hat ja Mark gerade ausgeführt also man   sollte vielleicht mal mit non anfangen und  dann mal gucken wie es läuft und dann auf   quarantine hochgehen und dann reject machen aber  da gibt es Hilfeseiten und wir sind bei uns im   Produktmanagement tatsächlich auch mit dem schon  im Gespräch ob man da noch mal eine Vereinfachung   auch herbeiführt nach dem Motto es gibt dann  schon ein vorgefertigtes template was ich in DNS   Einstellung bei uns einklicken kann und was dann  Hal eine Policy halt setzt wahrscheinlich müssen   wir uns noch entscheiden was da die ult policy  ist ich würde tendieren dazu dass quantine als   Default policy vielleicht machen und weil sowohl  non als auch reject ist vielleicht ein wenig zu   relaxiert oder etwas zu hart ja wie gesagt non  sollte man nur in der Testphase benutzen das wird   in Zukunft bei Google nicht mehr ausreicher und  bei der anderen wahrscheinlich auch nicht Quentin   wird auf absehbare Zeit ausreicher es heißt dass  der Idealzustand reject wäre aber es gibt aktuell   keine Pläne reject zu erzwingen das wird Kunden ja  jetzt nicht betreffen aber was passiert wenn dekim   Was passiert, wenn SPF und DKIM nicht eingerichtet werden? überhaupt nicht eingerichtet wird da passieren  verschiedene Dinge es ist relativ diffus was   passiert es ist ein reputationssystem das heißt  das ist jetzt nicht ja nein sondern eine Abstufung   und ich weiß z.B von große Anbieter die haben  z.B unterschiedliche Spamfilter Konfigurationen   wenn die jetzt sehen es kommt eine Domain mit  hervorragender Reputation alles ist signiert   dann arbeitet dieser Spamfilter sehr entspannt  und lässt viel durch kommt jetzt eine Domain   mit schlechter Reputation arbeitet do strenger und  kommt jetzt eine Domain die nicht authentifiziert   ist also wo ich nicht weiß ob die wirklich vom  echten domainenher versendet wurde dann arbeitet   der spemfilter auch sehr streng also man wird  dann halt sehen dass die Quote der Mails die   im Spamordner landet höher ist bzw man wird es  nicht sehen sondern es wird einfach passieren   man bekommt ja keine Rückmeldung dazu das heißt  wenn man möchte dass seine Mails möglichst gut   zugestellt werde sollte man wirklich immer alle  authentifizierungsmaßnahmen nutz die geh und   natürlich auch die offensichtliche policies beacht  und Richtlinen Empfehlungen wie man sauber Mails   versendet wenn man über die Spamfilter sich  da unterhält dann wird's schnell auch deshalb   diffus weil da die viel beschworene ai da auch  teilweise drin werkelt oder irgendwelche eii   Mechanismen und man geht sehr schnell hin und  geht immer strickter auf den Inhalt zurück der   Mail also wenn ich ich von dem guten Reputation  von guten Versender komme dann guckt man sich   natürlich den Inhalt auf ganz offensichtliche  fishing Inhalte oder so vielleicht mal durch aber   man wird die Mail eigentlich im generellen Falle  durchlassen wenn irgendwas verdächtiges im Inhalt   ist und leider weiß man nicht was verdächtig ist  weil dafür benutzen sie ja ai Methoden und wenn   das alle wüssten wüssten ja auch die Fischer  was Sie tun müssen also die böswillige Mails   schreiben ja also das heißt wenn irgendwas  verdächtig in der Mail erscheint dann kommt   sofort in den Spamordner wenn es keine besonders  gute Reputation hat und das ist halt genau die   Sache und es wird immer strickter je schlechter  die Reputation sozusagen von der versendenden   Domain ist wenn man z.B ein Virus versendet wird  das immer abgelehnt werd egal wie gut Reputation   ist verschicke ich jetzt eine Mail hallo wie  geht's dir ist so mittel drin wir wahrscheinlich   ankommen auch bei Mittler reputation schicke  ich jetzt sowas wie eine Rechnung dann wird's   schon schwieriger Rechnungen können gefälscht sein  die kommt je wahrscheinlich an dass du besser die   Reputation ist also muss immer eine abwäungssache  je strickter je schlechter die Reputation und am   Ende spricht ja auch nichts dagegen ist gut hängt  davon ab was man für ein Anbieter hat aber ich   glaube es gibt kaum noch Anbieter die keine dekim  signignaturen zulassen knifflig wird's eben immer   wenn ich meinen eigenen Mailserver betreibe aber  das ist immer so wenn man eigene Infrastruktur   betreibt wird es heute nicht einfacher und  das sind nicht nur die Sicherheitslücken das   sind eben auch solche Sicherheits relevanten  Konfiguration die dann gemacht werden müssen   da muss man sich angucken wie man Signaturen  einrichtet wie man private und public Keys   macht das kann man auch machen wenn man sich mit  dem Thema auskennt aber tatsächlich werden es die   wenigsten Mittelständler Lust da drauf haben sie  auch neben ihrem täglichen Geschäft auch noch mit   diesem Ding auseinanderzusetzen vielleicht jetzt  noch eine Frage wie wird diese absenderreputation   Wie wird die E-Mail Sender Reputation bestimmt? Lässt sie sich beeinflussen? bestimmt oder kann man die selbst beeinflussen  wie sie bestimmt wird WN einem die Anbieter nie   verratet das sind die bestgehütete Geheimnisse  man kann es beein Flüsse in der man nicht spamt   inem man sauber seine Adresse pflegt indem man  seine Mails gut gestaltet D man auf Feedback   der Empfänger hört und das ernst nimmt und so  weiter ganz wichtiger Punkt an der Stelle was   oft vergesse der Diskussion gerade Google die Woll  auch dass man sogenannten List unubscribe headder   einbaut das heißt man baut ein mailhader ein List  un subscribe da steht D eine URL drin und wenn   jetzt z.B google sagt du hast eine gute Reputation  es klickt aber trotzdem jemand auf spammelder dann   sagt Google nicht okay spamt sonderne frage  sie dann im webmelder wollen Sie sich diesen   Newsletter abmelden der Header ist sicher also der  kann nicht versehentlich ausgelöst werden es gibt   ja das Problem dass wenn man z.B ein onelick an  subscribe headter in Mailbody einbaut dann kommt   z.B irgendwie ein Virenscanner ruft den auf um  die URL zu prüfen und löst dadurch ein subscribe   aus das kann bei diesem headter nicht passieren  da wird immer postrequest gemacht das macht kein   wuscanner das sind die Best practisesmer quasi  Einhalt soll die ganz generelle Großversender Best   Practises saubere Adressliste saubere Inhalte auf  die kundeückmeldung hche nicht an Leute schicke   die keine Mails Woller und so weiter gerade wenn  man vor massenmailversand zu machen historisch   gesehen machen das ja einige Kunden sehr gerne  über Ihren Webspace die haben da ein Skript am   laufen und dann werden da Newsletter versendet und  tatsächlich da gilt genau dasselbe wie ich vorher   gesagt habe mit der komplexen Konfiguration  des eigenen mailsers wenn man seinen eigenen   Newsletter designt und den über seinen eigenen  Webspace z.B versendet weil man da vielleicht   eine entsprechende Applikation am laufen hat  dann kann man das machen das wird in Zukunft   aber nicht besser und da kann man sich natürlich  newsletter service von der jonos holen der kostet   dann zwar Geld aber dafür kümmern die sich darum  dass ein unsubscribe Button gibt die wissen wie   die zustellungsraten von der Mails vom Design sind  die geben Unterstützung die Newsletter Mail so zu   designen dass sie hoffentlich nicht rejected  werden natürlich keine vollständige Sicherheit   aber die Wahrscheinlichkeit dass zumindest die  Newsletter zugestellt werden sind höher wenn man   eine Rechnung verschickt klar da kommt man nicht  drum herum dass man das meistens über seine eigene   Infrastruktur macht da bieten man noch keinen  Service aber gerade solche massenmailversand   der wird wahrscheinlich ohne professionelle  Hilfe immer schwieriger werden auf lange Sicht   und jetzt würde ich noch mal zum Schluss gern so  auf die andere Seite wechseln zu mir als E-Mail   Wird das Postfach für E-Mail Empfänger durch die Maßnahmen sicherer? Empfänger wird dadurch das Postfach sicherer  also dass ich mich weniger Gefahren aussetze da   die eben vorher rausgefiltert werden oder sollte  man dann noch weiter so auf der Hut sein auf der   Hut sein muss man noch diese Verfahren können  nur eine exakt gefälschte Domain verhindern   also wir können verhindern dass z.B jemand als  ionosde verschickt wir können nicht verhindern   dass jemand als ionos bsicherheit.de verschickt  oder als account sicherheit.de oder irgendsowas   diese Mails sind immer noch möglich in Zukunft  wie gesagt wollle die Anbieter forsieren dass   alle Domains authentifiziert sind das heißt wenn  jetzt eine neue fishing Domain auftaucht würde die   wahrscheinlich initial eine schlechte Reputation  bekommen das heißt aber trotzdem dass einige   Nutzer diese Mails sehen werde bevor das dann klar  wird dass es eine bösartige Domain ist also da   ändert sich nur bedingt was dran und was man  auch nicht unterschätzen darf natürlich kann   auch immer gehackt werden ja genau also jeder  kann gehackt werden und wenn mein Mail Account   gehackt ist dann können über mein Mail Account von  meiner Domain auch bösartige Mails an meine Kunden   rausgehen und wenn du jetzt Kunde bist dann bist  du trotzdem derjenige der noch mal hätte drauf   gucken sollen ob die Rechnung dann auch wirklich  valider erscheint oder nicht also es entbindet   einen nicht vollständig von der Verpflichtung  weil eingeführt und verschärft wurde das ganze   ja unter anderem auch deshalb weil man eben  feststellt dass das Aufkommen immer größer wird   und je größer das Aufkommen ist und je geringer  der Aufwand für diejenigen die böswillig sind   ist desto eher kommen eben auch Mails bei einem  durch aber trotz alledem gerade wenn wir es jetzt   wieder verschärfen weren wir wahrscheinlich wieder  eine gebenbewegung gesehen dass die böswilligen   Versender dann irgendwie andere Lösung finden  mir fällt jetzt zwar gerade spontan nichts ein   aber die sind ja auch immer sehr kreativ und  da kann man sich bestimmt Sachen jetzt schon   vorstellen ja es gibt schon ansetze aber ja der  magk weiß da bestimmt mehr weil seine Expertise   ist aber ich kann es mir nicht anders vorstellen  es ist ja immer eine gegenbew vielen Dank für das Gespräch