Weiterleitungen und warum sie manchmal nicht funktionieren

    Seit 25 Jahren bieten wir in unseren Hosting-Produkten die Möglichkeit an, Ihre E-Mail-Adressen nicht nur mit einem eigenen Postfach zu nutzen, sondern auch einfach weiterzuleiten. An eine andere Mail-Adresse, die bei uns liegt, an eine dienstliche Mail-Adresse auf Ihrem eigenen Firmen-Mailserver, an Ihre dienstliche Mail-Adresse bei einem anderen Provider, oder auch einfach: An Ihre private Mail-Adresse bei z.B. GMX, GoogleMail oder wem auch immer.

    Aber: In den letzten Jahren funktioniert das leider immer schlechter. Und Besserung ist nicht in Sicht.

    Zwei Schritte zurück: Wie E-Mails eigentlich funktionieren

    Grundsätzlich ist eine Mail genauso fälschungssicher wie ein Brief. Nämlich gar nicht. Man kann problemlos "Christian Reuter" und "reuterc@drk.de" als Absender in seinem Mailprogramm konfigurieren, vielleicht noch eine passende E-Mail-Signatur einfügen und schon kann man im Namen des DRK-Generalsekretärs ungestört E-Mails verschicken.

    Das klingt erschreckend, geht aber bei der normalen Post auch: Drucken Sie sich ein Rotkreuz-Logo oben rechts auf's Briefpapier, darunter Anschrift usw. vom DRK-GS (der Styleguide sagt Ihnen, wie es aussehen sollte) und unterzeichnen Sie den Brief einfach mit "Herzliche Grüße, Ihr Christian Reuter". Mit ein bisschen Rechercheaufwand finden Sie auch z.B. in einem Transparenzbericht eine Vorlage für seine Unterschrift. Jetzt packen Sie das in einen neutralen weißen DIN C4 lang-Fensterumschlag, noch professioneller sieht es aus, wenn Sie bei der DRK Service GmbH noch schöne Rotkreuz-Umschläge kaufen.

    Ist das erlaubt? Nein, auf keinen Fall. Aber es ist in der realen Welt genauso möglich wie im Internet.

    Einen Schritt weiter vor: Wie SPF das verhindern soll

    Nachdem Spam-Versand auf der einen Seite, aber auch Betrug auf der anderen immer mehr wurde, wurden Techniken entwickelt, die derartige Absender-Fälschungen unterbinden sollen. Eine davon heißt SPF, eine andere DKIM.

    Bei SPF hinterlegt der Absender eine Liste von Mail-Servern, die befugt sind, Mails mit dieser Absenderdomain zu versenden. In der echten Welt würde das DRK-GS beispielsweise auf seiner Webseite einen Hinweis machen: "Post von uns ist nur authentisch, wenn sie einen der folgenden Poststempel trägt: Postfiliale 513 oder Postamt Berlin 45 oder Postamt Lichterfelde 1". 

    Und der Empfänger kann jetzt anhand des Poststempels (wenn es sowas noch gäbe) und der Liste des DRK-GS nachgucken, ob der Umschlag aus dem DRK-GS kommt. Und wenn nein, die Mail als mögliche Adressfälschung aussortieren, die Annahme verweigern oder das Ding einfach in den "vermutlich Werbung"-Stapel werfen.

    Das gleiche passiert bei SPF-Records auch. Kommt eine Mail an von reuterc@drk.de, dann kann der Empfänger-Mailserver gucken, welche Mailserver überhaupt im Namen des DRK-GS überhaupt Nachrichten verschicken dürfen. Wenn das passt, wird die Mail nicht automatisch als vertrauenswürdig eingestuft. Aber wenn das nicht passt, dann ist das zumindest schon mal sehr verdächtig.

    Eine andere Technik, mit der Adressfälschungen verhindert werden können, ist DKIM und DMARC. Ersteres ist für digitale Signaturen auf Mailserver-Ebene gedacht, letzteres ein Regelwerk zum Erzwingen von DKIM. Der Mailserver des DRK-GS kann die Mail von Herrn Reuter mit einer Signatur versehen und damit kann der Empfänger-Mailserver die Echtheit überprüfen. Im echten Leben wäre das vergleichbar mit einem Dienstsiegel, das die Poststelle des DRK-GS auf jeden verschlossenen Briefumschlag anbringt und die Poststelle auf Empfänger-Seite sieht dann "oh, der Briefumschlag wurde vom DRK-GS versiegelt, der kommt zuverlässig aus dem DRK-GS".  Auch diese Technik ist sinnvoll, hat aber mit unserem Problem hier gerade nichts zu tun.

    (Der Vollständigkeit halber noch eine Stufe weiter: Wenn auch Christian Reuter ein eigenes Siegel hat, könnte er damit seinen eigenen Brief auch noch mal signieren. S/MIME oder früher auch recht verbreitet PGP wären mögliche Techniken hierfür. Dann können die Poststellen untereinander sicherstellen, dass durch den versiegelten Umschlag der Brief auch wirklich unverändert vom DRK-GS beim Ihnen als Empfänger angekommen ist. Und durch das persönliche Siegel unter dem eigentlichen Brief wiederum können Sie als Empfänger auch sicherstellen, dass der Brief auch wirklich von Christian Reuter ist).

    Aber wir schweifen ab, wir bleiben bei SPF, der bloßen Zuordnung "ob das Absender-Postamt plausibel ist".

    Kommen wir zum aktuellen Problem: SPF und Weiterleitungen

    Wenn Sie Ihre E-Mail-Adressen jetzt über uns verwalten, aber sich z.B. an Ihre private GMail-Adresse weiterleiten, dann passiert folgendes:

    Beispiel 1: Sie bekommen eine Mail vom DRK-GS, der Generalsekretär schreibt Ihnen wirklich. Die Mail kommt bei uns an, wir leiten sie an GMail weiter. Wir nehmen sozusagen den Brief aus Berlin, kleben ein neues Adressetikett auf, frankieren ihn neu und schicken ihn an GMail weiter. 

    Zuerst gucken wir, ob die Mail wohl augenscheinlich okay ist oder Spam. Wir sehen den Absender ("drk.de"), wir sehen den Absender-Mailserver (z.B. Microsoft 365-Plattform), wir sehen den SPF-Record (da steht drin, dass das DRK-GS auch mit MS365 arbeitet), sieht gut aus, wir lassen die Mail durch und danach leiten wir sie weiter. (Dieser Vorgang spielt für unser Problem keine Rolle, darum lassen wir den bei den folgenden Beispielen einfach weg). 

    Auch der Google-Mailserver wird das jetzt prüfen. Er sieht den Absender ("drk.de"), er sieht den Absender-Mailserver (einer von D&T Internet), und er sieht den SPF-Record (da steht zufälligerweise u.a. auch drin, dass das DRK-GS auch mit uns arbeitet), sieht gut aus, die Mail geht durch.


    Beispiel 2: Sie bekommen eine Mail vom Bundesgeschäftsführer des MHD. Die Mail landet bei uns, wir leiten sie an GMail weiter. 

    GMail sieht eine Mail, sieht den Absender ("malteser.de"), sieht den Absender-Mailserver (einer von D&T Internet), aber für malteser.de gibt es keinen SPF-Record. Also auch keine Liste der Mailserver, die der MHD nutzt. Und wenn GMail nicht weiß, welche Postämter der MDH nutzt, gehen sie erstmal davon aus, dass ein Brief abgestempelt in unserem Kölner Postamt wohl okay sein wird, die Mail geht durch.


    Beispiel 3: Sie bekommen eine Mail vom Chef der Diakonie. Auch die leiten wir an GMail weiter.

    GMail sieht den Absender ("diakonie.de"), sieht den Absender-Mailserver (wieder einer von uns), sieht auch den SPF-Eintrag für "diakonie.de" (da stehen ein Dutzend Mailserver drin, unserer natürlich nicht, weil wir mit der Diakonie nichts zu tun haben). Da steht aber auch drin "~all", und das heißt soviel wie "diese Liste kann unvollständig sein". Und weil sie unvollständig ist, denkt sich GMail nix böses dabei, dass die Mail von unserem Postamt abgestempelt wurde und die Mail geht durch.


    Beispiel 4: Sie bekommen eine Mail von der Caritas, auch die leiten wir weiter.

    Die Caritas hat in ihrem SPF-Eintrag aber "-all" stehen, das heißt so viel wie "Diese Liste ist abschließend". Und wenn GMail nun sieht, dass die Mail von uns stammt, wir aber in der Liste der Caritas-Mailserver nicht drin stehen, dann geht GMail von einer Adressfälschung aus (weil wir nicht befugt sind, Mails mit Absender caritas.de zu verschicken) und die Mail wird als Spam aussortiert oder abgelehnt, jedenfalls kommt sie nicht bei Ihnen an.

    Jetzt haben Sie nicht nur das Problem verstanden, sondern sehen auch (darum der Aufwand mit den vier Beispielen), warum es eben manchmal geht und manchmal nicht. (Und um es noch komplizierter zu machen: Wenn die Caritas nun ihrerseits DKIM nutzt und damit die Briefumschläge mit einem "Caritas-Dienstsiegel" versiegelt, dann könnte GMail auch denken "okay, der SPF-Eintrag stimmt nicht. Aber es ist eine Weiterleitung, und es ist von der Caritas versiegelt, es scheint doch okay zu sein" und evtl. die Mail trotzdem durchlassen. Sie als Empfänger bekommen davon aber nichts mit, warum es manchmal geht und manchmal nicht).

    Abhilfe: Keine bis wenig

    Es gibt zwei Ansätze:

    1. Auf Ihrem (endgültigen) Mailserver können Sie ggf. eine Regel einrichten, dass Sie unseren Mailservern vertrauen (obwohl wir die SPF-Prüfung nicht bestehen). Wenn Sie wissen, dass all Ihre Post in Köln umetikettiert wird, dann ist es ja durchaus schlau, dass Sie Ihrer eigenen Poststelle sagen "alles, was Kölner Poststempel hat, ist seriös". Das setzt aber voraus, dass Sie Einfluss auf die Konfiguration Ihres Mailservers haben, sie brauchen dazu eine Whitelist auf die IP-Netze 85.14.209.0/24 und 2001:4ba0:92c1:9d::/64 und wenn Sie Rotkreuz-Kunde sind und ein DRKCMS nutzen, am besten auch auf 80.82.221.192/27.  Bei einem eigenen Server ist das einfacher, bei einem anderen Provider wie GMail ist das leider aussichtslos. 

    2. Je nach dem, wie Sie die E-Mails bei uns verwalten, können Sie ein paar Dinge optimieren. 

    a) Nutzen Sie die alte Mail-Plattform und haben Sie da die Weiterleitung über die "Adressen" (Kundenmenü -> Produkte -> E-Mail -> Konfiguration -> bei Ihrer Domain auf "Administration" klicken -> Adressen) gelöst, also sehen links Ihre bei uns betriebene Mail-Adresse und rechts das Weiterleitungsziel? Dann kann es helfen, das statt dessen über ein Postfach mit Weiterleitungs-Regel zu lösen:
    - Legen Sie dazu ein Postfach an (innerhalb der Mail-Administration unter "Postfächer")
    - Legen Sie für dieses Postfach zwei eine Filterregeln an (innerhalb der Mail-Administration unter "Filterregeln"):
      Position 10, Beschreibung "Spam löschen", Bedingung "Erreichte Spam-Punktzahl: 3", Aktion: Keine, Nachricht im Postfach belassen: Nein
      Position 20, Beschreibung "Weiterleitung", Bedingung keine, Aktion: Weiterleiten an <Ihre Ziel-Mailadresse>, Nachricht im Postfach belassen: Nein
      Bei Weiterleitung an mehrere Ziele machen Sie folgende weitere Regeln:
      Position 15, Beschreibung "Weiterleitung", Bedingung keine, Aktion: Weiterleiten an <anderer Empfänger>, Nachricht im Postfach belassen: Ja
    - Gehen Sie zu der Mail-Adresse (innerhalb der Mail-Administration unter "Adressen") und klicken dort auf "Empfänger"
    - Jetzt wählen Sie das Postfach als zusätzlichen Empfänger aus und löschen danach den/die ursprünglichen Empfänger

    Durch die Umstellung auf Weiterleitungen ist in den Mail-Headern erkennbar, dass es sich um eine Weiterleitung handelt und in wessen Auftrag. Je nach dem, wie der Empfänger-Mailserver konfiguriert ist, kann das die Zustellzuverlässigkeit erhöhen.


    b) Wenn Sie bereits mit Filterregeln arbeiten: Stellen Sie auf unsere neue Mail-Plattform "Mailcow" um, wie das geht haben wir unter https://www.dt-internet.de/hilfe im Bereich "Mailcow" in einem Hilfeartikel beschrieben. Aber: Die Umstellung ist ein größeres Thema, weil sie alle Mail-Adressen dieser Domain betrifft.

    c) Wenn Sie mit einem individuellen Mailprodukt (z.B. KIVO) von uns arbeiten, wenden Sie sich bitte an den Support, wir gucken uns die Detailkonfiguration gerne an

    d) Wenn Sie bereits auf Mailcow arbeiten und das Problem weiterhin auftritt: Es gibt ggf. Mailcow-Einstellungen ("SRS", eine Technik extra für diesen Zweck), die wir manuell für Sie vornehmen können. Diese ist aber konfigurations-intensiv, kostenpflichtig und lohnt sich nur bei größeren E-Mail-Aufkommen, wobei da der erste Schritt (Whitelist beim Ziel-Mailserver) meistens schlauer ist.

    Veröffentlicht: