#Emailselfdefence

E-Mail-Selbstverteidigung

Die E-Mail hat unsere Gesellschaft wahrlich verändert. Durch sie hat sich eine schnelle
Kommunikation und Übermittlung von Daten, einen Austausch, welcher teilweise schon fast in Echtzeit erwünscht oder teilweise (leider) erwartet wird, ermöglicht.

Seit gut 20 Jahren, ist die E-Mail Massentauglich und wird seit dem rege genutzt.

Am Prinzip der Übermittlung selber hat sich einiges geändert:

Mail Submission

E-Mail Versand up to date

Man ist in den Ferien und der Mail Versand streikt mal wieder. Eine Fehlermeldung wie "relaying not allowed" wird ausgegeben. Seltsam, da der E-Mail Empfang nicht beeinträchtigt ist und das Senden doch zu Hause gerade noch funktioniert hat...

Zeit, um sich mal ein wenig Gedanken über den geänderten Mail Verkehr der letzten Jahre zu machen.

Der Grund und die Problematik

Jeder nervt sich über die wachsende Zahl an Mails welche einem zu günstigen Potenzmitteln oder zum schnellen Geld verhelfen wollen. Der gute alte Spam gehört zum Internet genauso dazu, wie sein Bruder Porno. Dies ist auch der Grund, warum der Mail Versand über die letzten Jahre immer restriktiver wurde.

Als konkretes Beispiel nehmen wir mal Swisscom mit ihrem Provider Bluewin.

Bluewin bietet gratis E-Mail Adressen an, die jeder via dem Service Package Light, lösen kann.

Jetzt muss wieder mal der bekannte Nigerian-Scam hinhalten. Ohne Vorurteil, war dies für Bluewin tatsächlich eines der grossen Probleme. Findige Geschäftsmänner nutzten natürlich diese gratis Bluewin Mail Adressen um ihre Mails zu verbreiten. Der Mail Server von Bluewin smtp.bluewin.ch akzeptierte frisch und fröhlich die Mails aus der ganzen Welt und lieferte diese weiter. -> open relay

Niemand, auch die Provider nicht, möchten diesen unnützen immensen Traffic.

Darum ging man über Anti Spam Massnahmen zu treffen. Eine davon ist, dass Mails nicht mehr einfach so von überall her ohne Authentifizierung akzeptiert werden.

So gibt es immer mehr Provider und Netzwerke welche den Traffic auf Port 25 filtern und deren eigene Mail Server, den Empfang auf Port 25 restriktiv handhaben.

Daraus ergibt sich für den nomadischen User aber durchaus ein Problem, welches ich in der Einleitung schon beschrieben habe. Statt hier das grosse Fragezeichen aufzusetzen oder einfach auf das Webmail zu verweisen, gibt es natürlich eine Lösung.

Mail Submission: Port 587 SMTPAUTH

Klickt man sich durch die Hilfeseiten der Provider, fällt auf, dass die Einrichtung des Mailversands via Port 25 mehr und mehr verschwindet und stattdessen auf Port 587 inkl. einer Authentifizierung verwiesen wird.

Einfach gesagt, ist der Teil eines Mail Servers welcher die Mails annimmt, also der Postausgangsserver, heutzutage ein Mail Submission Agent. Zu den 2 Hauptaufgaben dieses Servers zählen die Authentifizierung des Versenders und die Aufbereitung des Mails in ein Standard-konformes Format. Nachdem er dies gemacht hat liefert er das Mail an einen Mail Transfer Agent weiter, dieser kann der selbe Server oder sogar das selbe Programm sein.

Entgegen des konventionellen SMTP Mail Servers, welcher auf Port 25 horcht, nimmt der Mail Submission Agent die Mails von der ganzen Welt entgegen. Nicht ganz, aber mehr dazu noch später...

Es hat halt also schon seine Gründe, warum man auf den Hilfeseiten der Provider immer weniger vom Port 25 liest.
Global gesehen möchte auch kein Provider auf einer Blacklist landen. Damit dies nicht geschieht, müssen eben einige Konventionen eingehalten werden.

Viele Anbieter bieten übrigens auch eine verschlüsselte Mail Submission an. Im Normalfall auf Port 465.
Eine Lösung die ich bevorzuge. Mail Sicherheit erreicht man zwar nur indem man die Mails selber verschlüsselt. Aber mit einer verschlüsselten Verbindung zum Postausgangsserver sind die Mails zumindest bis zu diesem vor Zugriff geschützt. (Der MTA muss die Mail dann aber wieder entschlüsselt weitergeben)

Die Einstellungen von Bluewin findet man hier: http://www.swisscom.ch/de/res/hilfe/loesung/alle-server-einstellungen-fuer-mail-auf-dem-pc.html

Fallstrick IP Restriction

Jetzt kann man sich natürlich Fragen wozu das ganze gut sein soll? Ich kann mich ja auch bei einem gratis Mail Account mittels SMTPAUTH authentifizieren und meine Mails halt so ins System speisen...

Dem ist aber nicht ganz so :)

Der Grund der ganzen Übung ist, das man genau ermitteln kann oder sollte wer oder woher die Mails gekommen sind. In Zeiten von Vorratsdatenspeicherung trotzdem noch lange nicht überall einfach so zu ermitteln.

Habe ich als Kunde im Bündel mit einem DSL Anschluss eine Mail Adresse vom Provider bekommen, so bin ich diesem mit Wohnsitz usw. bekannt. Sende ich also mittels SMTPAUTH eine Mail von Honolulu aus, weiss dieser, dass mir generell zu vertrauen ist. Ansonsten, weiss der Provider ja wo mein Zuhause ist.

Habe ich hingegen ein gratis Mail Konto eröffnet, so liegt es im Ermessen des Providers ob er mir vertraut.

Im Falle von Bluewin ist dem nicht so. Solange ich nicht in irgendeiner Art eine Geschäftsbeziehung zu Swisscom habe, ist auf dem Mail Account die sogenannte IP Restriction aktiviert.

Ist diese IP Restriction aktiviert, kann ich von ausserhalb des Swisscom Netzes keine Mails via Mail Submission in das System speisen (ausgenommen ist der Mailversand innerhalb der Domain). Der Grund ist klar, ich bin nicht eindeutig identifizierbar. Innerhalb des Swisscom Netzes kommt der Provider aber zumindest problemlos an die Versender IP und kann umgehende Massnahmen ergreifen.

Es gibt 2 Möglichkeiten mit einer allenfalls aktiven IP Restriction umzugehen.

1. Ich verwende als Postausgangsserver den Mail Submission Agent meines Providers. Einem Mail Submission Agent ist die Absender Domain egal. Für den Provider der Absender Domain ist dies auch in Ordnung. Im Falle eines Spam Versandes, ist der andere Provider zuständig, da die Mail aus seinem System gekommen ist. (Zurückverfolgbarkeit, bzw der Server des Versenders wird geblockt. Es liegt also in seinem Interesse den Störenfried zu finden und zu unterbinden) "Der Internet Service Provider ist für das senden der Mail verantwortlich"
2. Ich melde mich beim Mailprovider und versuche die IP Restriction aufzuheben. Im Falle von Bluewin wird dies nur gewährt, falls man in irgendeiner Geschäftsbeziehung zu Bluewin oder Swisscom steht (Handy Vertrag usw.)

Zur Repetition: Die IP Restriction ist bei Bluewin nur aktiv, falls es sich um eine Mail Adresse aus dem Service Package light handelt und man keine Geschäftsbeziehung zu Swisscom hat. Alle anderen können ihre Mails via Mail Submission von überall her einspeisen.

Folgendes Beispiel erklärt die Verwendung eines gegenüber der Absenderdomain fremden MSA in Microsoft Outlook 2010.
Als MSA wird der Server von Gmail verwendet:

Man sieht das die Domain des Posteingangsservers (bluewin.ch) sich von der Domain des Postausgangsservers (googlemail.com) unterscheidet.

Unter den erweiterten Einstellungen müssen die Ports und die Art der Verschlüsselung angepasst werden.

Nähere Informationen liefert der Provider. Im Falle einer IMAPS Verwendung bei Bluewin wäre dies Port 993 und eine SSL Verschlüsselung.

Bei Googlemail speziell ist, dass der Standardport 587 mit der Verschlüsselung TLS Verwendung findet!

Da sich die Authentifizierung vom Posteingangsserver unterscheidet, müssen die entsprechenden Zugangsdaten für den Postausgangsserver hier angegeben werden. Das Beispiel zeigt die Anmeldung an ein Gmail Konto. Die Domain beim Benutzernamen müsste man in diesem Fall (gMail) nicht unbedingt angeben. Dies dient nur der Veranschaulichung, auch wenn es hier natürlich auch mit Domain funktioniert ;)

Das man jetzt Angst haben muss, dass Mails in einem System hängen bleiben, da sich die Absenderdomain von der Serverdomain unterscheidet, sind unbegründet. Allfällige Server wären entgegen der gängigen Praxis falsch konfiguriert. Es gibt User welche seit Jahren für alle Absender den gleichen Mail Submission Agent benutzen, welche noch nie so einer Situation begegnet sind.

Port 25 Redirect Network anti spam

Eine weiter Massnahme zur Minderung des Spam Verkehrs, ist der sogenannte Port 25 redirect.

Bei Bluewin ist ein Mail Proxy aktiv, welcher alle Mails welche über Port 25 versendet werden nach Spam Inhalten untersucht. Wer also Mails via gmx usw. und Port 25 versendet, wird gescannt. Für den Provider ist dies kein Problem. Die Mail an sich ist ja nicht verschlüsselt, höchstens der Inhalt.

Momentan ist dieser Mail Proxy nur auf PPP terminierten Anschlüssen der Swisscom aktiv (ADSL). Hat man eine DHCP Terminierung, (VDSL) ist die technische Unterstützung noch nicht so weit. Aber, diese wird kommen! Ab dem 19.06.2013 wird der Port 25 Proxy sukzessive auf allen Anschlüssen aufgeschaltet.

Wer diesen Blog gelesen hat, sollte aber ready sein :)

Ob der Port 25 redirect aktiv ist, lässt sich mit einer Telnet Sitzung auf den Mail Server via Port 25 prüfen. Ist der Port 25 redirect aktiv, wird auf jeden Fall der Mail Proxy von Swisscom antworten! :)

Ja aber was heisst jetzt das?

1. Das Senden von Mails über Port 25 funktioniert immer noch, ist aber aus den hier genannten Gründen nicht zu empfehlen.
2. Bei sämtlichen Mails via Port 25 wird der Inhalt bereits beim Access Provider analysiert. Hast du was dagegen, musst du den Inhalt verschlüsseln.
3. Der Mail Versand via Port 25 UND AUTHENTIFIZIERUNG ist nicht mehr möglich! Klar. Der Mail Proxy von Swisscom kann und darf die Zugangsdaten des fremden Accounts nicht kennen! Er wäre ein Man in the middle. Auch wenn die beiden Themen keinen direkten Zusammenhang haben. Wie lautet die Lösung? Richtig, Mail Submission Port 587 :)
4. Falls man den Port 25 für andere Services benutzt, so würden diese geblockt werden. In solch einem Fall kann man den redirect aufheben. Ich hoffe aber man macht dies nicht, nur weil man die Thematik nicht verstanden hat!

Zugegeben, das ist schon ganz schön trockene Materie. Aber der Support Grund Nummer 1, ist nicht gerade leicht erklärt.

E-Mail Archivierung

E-Mail Archivierung mit MailStore Home

Vertrauen ist gut - Backup ist besser!  

Wer kennt das nicht? Diverse Mail Konten, bei verschiedenen Anbietern, aber keine zentrale Ordnung.

IMAP macht es einfach auf der ganzen Welt, auf verschiedenen Devices ständig die eigenen Mails zur Verfügung zu haben. Bei richtiger Konfiguration sämtliche Ordner, inkl. der gesendeten Mails, egal von welchem Gerät aus! Doch im Gegensatz zu einer Verwaltung mittels POP3 findet kein eigentlicher Download statt. Die Mails werden auf dem Server behalten und auch dort verwaltet. Was auf der einen Seite ein riesiger Vorteil ist, kann auf der anderen Seite aber auch ein ungutes Gefühl hinterlassen.

Was wenn der Anbieter ein Datenfiasko erleidet, oder wahrscheinlicher, man selber auf einem der Geräte wichtige Mails für immer löscht?

Kein Problem! Als komfortable Backup Lösung und ein wenig mehr, bietet sich das für Privatanwender kostenlose MailStore Home an.

Wer ein Microsoft Windows ab Version XP zur Verfügung hat, geht einfach auf die Seite des Hersteller und lädt sich das aktuellste Paket runter.

http://www.mailstore.com/de/mailstore-home.aspx

Nach erfolgreicher Installation öffnet sich die Hauptseite von MailStore Home.

Hier kann man sein eigenes Branding in Form eines Logos und des Namens tätigen.

Mails archivieren

Um ein Mailkonto hinzuzufügen bieten sich mehrere Wege an. Selbstverständlich lässt sich MailStore auch bei einer Verwendung von POP3 benutzen. So könnte man einfach sein Mailprogramm aus der Auswahl nehmen und dessen Ordner würden gespeichert werden.

Ich füge aber ein IMAP Konto hinzu. Im konkreten Fall ein Gmail Konto.

Dazu geht man auf der Hauptseite einfach auf E-Mails archivieren und unter Profil erstellen drückt man den Button, Erweitert. Selbsterklärend sind die folgenden Schritte, abhängig welche Art von Konto man erstellt.

Für Mails eines Anbieters wie zB Bluewin würde man IMAP wählen, vorzugsweise mit Verschlüsselung!

Nach erfolgreicher Integration eines Mail Kontos, steht dieses unter denn gespeicherten Profilen zur Verfügung. Ein Doppelklick darauf startet die Archivierung! Beim ersten mal dauert dies je nach Menge der Mails eine gewisse Zeit lang. Folgende Archivierungen laufen aber wesentlich schneller ab. MailStore arbeitet hier Inkrementell.

Ist die Archivierung abgeschlossen hat man auf der Hauptseite eine Übersicht der Anzahl Mails und der Gesammtgrösse des Archivs.

Mails exportieren

MailStore bietet die Funktion Mails eines Kontos auf ein anderes zu transferieren. Am einfachsten arbeitet man auch hier mit IMAP. Die Zugangsdaten des Quellen Kontos und die des Zielkontos genügen um den Vorgang mit einem Doppelklick zu starten. Als Alternative kann man die Mails auch via Exchange oder SMTP transferieren.

Datensicherung

MailStore macht es einfach Mails zu archivieren. Nun macht es zum Abschluss noch Sinn eine Datensicherung dieser Mails zu machen. Dazu gibt man beim Punkt Datensicherung auf HDD/USB und gibt einen Zielort ein. Krönung dieses Vorgangs wäre es nun, diesen Ordner noch in ein Online Backup, zB das von Swisscom zu integrieren. So ist Datenverlust bei fleissiger Archivierung eigentlich fast ausgeschlossen :)

Wo zum T#$¨^! ist schon wieder dieses Mail?

Wer mit IMAP und Outlook arbeitet kennt das Problem. Die Suche von Mails in Outlook beschränkt sich bei IMAP auf das jeweilige Konto und dessen Ordner. Wer also nicht genau weiss wo dieses Mail steckt, sucht uU. die Nadel im Heuhaufen.

Aber auch hier bietet MailStore die Lösung. Die Suche von MailStore findet im ganzen Archiv statt. Egal unter welchem Konto und in welchem IMAP Ordner, dass Mail wir innert Sekunden gefunden. Gerade diese Funktion ist für mich einfach Gold wert. Ist das Mail gefunden, lässt es sich auch mit einem Programm wie Thunderbird oder Outlook aus MailStore aus öffnen, um zB eine Antwort zu senden.

Ich hoffe ihr findet an diesem super Stück Software auch so viel gefallen wie ich. Und möge es noch lange gratis bleiben :D