1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Internetstörungen: Nutzer…

IPv4/IPv6 Gateways auf Blacklisten

Das Wochenende ist fast schon da. Zeit für Quatsch!
  1. Thema

Neues Thema Ansicht wechseln


  1. IPv4/IPv6 Gateways auf Blacklisten

    Autor: phade 04.01.21 - 13:22

    Hi,

    ich versuche schon lange ein Problem mit dem "Kundensupport" bei Vodafone zu lösen.

    Neuere Kunden bekommen ja kein natives IPv4 mehr, die IPv4-Adressen sind rar.
    Also gehen immer mehr Kunden über Vodafones IPv4/IPv6 Gateways und bündeln sich dort, wenn Sie eMail über Mailserver von anderen Providern schicken wollen, die nur IPv4 verstehen.

    Da Vodafone aber offensichtlich sich nicht um spammende Kunden im eigenesnNetz (sei es absichtlich oder gehakt) kümmert, landen die IPv4-Adressen der Gateways immer häufiger auf Blacklisten, die bei den Mailservern anderer Provider dann zur Spamabwehr genutzt werden.

    Benutzt man nun selbst gerade ein Vodafone-Gateway, das mal wieder gelistet ist, werden von manchen Providern, die selbst auf dem Submission-Port Blacklisten nutzen, eingehende eMails komplett abgewiesen und man kann eMails gar nicht mehr versenden.

    Wenn der Kunden noch beim Zugang IPv4-Adressen bekommt, ist das Problem zumeist zu lösen, wenn der Kunde sich ausloggt und eine neue IPv4 bekommt, bei den Gateways nutzt diese kaum noch etwas, weil die Gateways fast alle gelistet sind.

    Dieser Fakt überfordert offensichtlich die Support-Mitarbeiter bei Vodafone soweit, dass nicht einmal das Problem verstanden wird.

    Man könnte natürlich sagen, dass eMail-Provider auf dem Submissionport gar keine Blacklisten nutzen und jede Mail von einem Kunden annehmen sollen, wenn er per SMTP-Authorization autorisiert ist, aber da Vodafones Netz ziemlich spambotverseucht ist, kann ich das schon verstehen, wenn manche eMail-Provider eMail von gelisteten IPs gar nicht verbreiten wollen, damit deren eigene Mailserver nicht selbst auf Blacklisten landen und somit dann deren eigene Kunden ein Problem bekommen.

    Für mich liegt das Problem bei Vodafone.

    Was ist eigentlich so schwer daran, eMails von den eigenen Einwahlkunden durch einen Antispamscanner zu jagen und den Kunden dann zu informieren oder sogar zu sperren ?
    Macht die Telekom ja auch.

  2. Re: IPv4/IPv6 Gateways auf Blacklisten

    Autor: fanreisender 04.01.21 - 13:59

    Einverstanden, was die Problembeschreibung betrifft. Geht nicht nur um email.

    Aber besteht die richtige Lösung nicht darin, endlich konsequent IPv6 einzusetzen? Auf Kundenseite funktioniert das mittlerweile wunderbar. Es gab mal Schwierigkeiten mit den Nameservern in Sachen IPv6, aber das ist seit mindestens einem Jahr gegessen.

    Die Anbieter von email-Servern sollten das doch mittlerweile hinbekommen. Auch mit Dual-Stack.

    Ich weiß schon, es klemmt. Selbst bei den Großen.

  3. Re: IPv4/IPv6 Gateways auf Blacklisten

    Autor: rubberduck09 04.01.21 - 14:22

    Und warum nutzt du zum Mail versenden nicht wie es sich gehört den SMTP-SASL Service deines Mail Providers?

    Mails von Heimanschlüssen aus direkt zustellen geht doch schon seit >10 Jahren nicht mehr. Zumindest nicht an Mailserver die von Fachleuten betrieben werden.

  4. Re: IPv4/IPv6 Gateways auf Blacklisten

    Autor: fanreisender 04.01.21 - 14:25

    Doch, das geht. Es sind aber in der Tat einige Kopfstände zu bewerkstelligen, um das hinzubekommen.
    Aus nachvollziehbaren Gründen ...

  5. Re: IPv4/IPv6 Gateways auf Blacklisten

    Autor: rubberduck09 04.01.21 - 14:32

    Welche Kopfstände denn bitte?

    Weil der Heimserver das nicht kann? Postfix kann das schon ewig seine Mails per smtp-sasl beim Provider-Mailserver einzuliefern.

    Fritz!Boxen könnens auch wenn diese StatusMails verschicken wollen. Ist Stand der Technik.

    Wer Uralt-Hardware hat möge sich bitte einen Raspberry Pi oder so hinstellen der als Gateway dient und Mails dann sauber beim Provider einliefert. So mache ich das auch mit meinem MFP der eben auch kein SASL kann. Alles kein Hexenwerk.

  6. Re: IPv4/IPv6 Gateways auf Blacklisten

    Autor: phade 04.01.21 - 14:40

    rubberduck09 schrieb:
    --------------------------------------------------------------------------------
    > Und warum nutzt du zum Mail versenden nicht wie es sich gehört den
    > SMTP-SASL Service deines Mail Providers?
    >
    > Mails von Heimanschlüssen aus direkt zustellen geht doch schon seit >10
    > Jahren nicht mehr. Zumindest nicht an Mailserver die von Fachleuten
    > betrieben werden.

    Geht nicht um mich, sondern um meine Kunden, die ich supporte und die gerne mal irgendeinen "Provider" (oft mal ein Agenturserver oder sowas bei einem Massenhoster) nutzen, die eben noch kein IPv6 haben (weil die Agenturen wiederum keine Ahnung von Administration haben oder der Hoster es nicht anbietet) und dann nur einen SASL-Submission-Port anbieten, der auch Blacklisten nutzt.

    Der Agentur kann ich lange sagen, dass die IPv6 auf Ihrem Server einbauen sollen, da kommt zumeist eben genau der nicht unberechtigte Hinweis, dass es der Hoster gar nicht unterstützt oder das es gar keine IPv6-Blacklisten gibt und sie sich (berechtigt) schützen wollen.

    Da tauchen nunmal immer häufiger die Gateways von Vodafone und DG auf.
    Das Problem ist weder, dass IPv6 nicht genügend umgesetzt ist (warum sollte man auch, wenn der Hoster genügend IPv4-Adressen hat) noch dass nicht SASL angeboten wird.

    Das Problem ist, dass man eigentlich auch SASL per Blacklist schützen muss, damit man nicht selbst zur Spamschleuder wird und dass es Vodafone und DG und viele anderen Zugangsprovider nicht interressiert, wieviel Spam und Viren die ins Netz lassen und die ihre gebotteten Kunden in keinster Weise vom Netz aussperren.

    Es wäre doch so einfach:
    - jeder Zugangsprovider bietet auch eMailadressen an
    - es ist wahrscheinlich, dass z.B. ein Vodafone-Zugangkunde auch Spam und Viren an Vodafoneadressen schickt, wenn er gebottet ist
    - dort scannen die Zugangsprovider ja eingehende eMails für Ihre Kunden auf Spam und Viren
    - tauchen dort jetzt Spam und Viren auf, die von den eigenen IP-Ranges stammen ...

    ... kann man den eigenen Kunden informieren, umlenken und/oder sperren, wenn er wiederholt auffällt.

    Dazu bräuchte man nicht mal die Internetzugänge selbst scannen, sondern nur das analysieren, was man sowieso schon macht.

    Die Internetzugänge in Deutschland wären schonmal botfrei, wenn sowas Pflicht wäre.
    Und andere, die SASL für Ihre Kunden anbieten, könnten die dann auch (weiterhin) mit Blacklisten schützen.



    1 mal bearbeitet, zuletzt am 04.01.21 14:42 durch phade.

  7. Re: IPv4/IPv6 Gateways auf Blacklisten

    Autor: Pornstar 04.01.21 - 14:58

    Wenn ich Vodafone wäre und deine Kunden, die Agenturen privatkundenanschlüsse hätten, würde ich ebenfalls deren Leitung "sabotieren" ein privatkundenanschluss hat für geschäftliches nicht eingesetzt zu werden. Wenn die Kunden einen Geschäftskundenanschluss hätten so wie sie es haben sollten, hätte man auch keine Probleme mit aftr Gateways, da ausschließlich dual Stack oder öffentliche ipv4 geschaltet wird.

  8. Re: IPv4/IPv6 Gateways auf Blacklisten

    Autor: rubberduck09 04.01.21 - 14:59

    Das heisst deine Kunden verwenden unfähige Mail-Provider.

    Denn klar hat man Blacklisting auf allen Einfallwegen für SPAM - aber SASL-Auth gehört _VOR_ das Blacklisting und nicht dahinter.

    CGNAT Gateways als auch bekannte "Privatkunden"-Segmente sind eigentlich überall geblacklistet.

  9. Re: IPv4/IPv6 Gateways auf Blacklisten

    Autor: PHPGangsta 05.01.21 - 10:33

    rubberduck09 schrieb:
    --------------------------------------------------------------------------------
    > Das heisst deine Kunden verwenden unfähige Mail-Provider.
    >
    > Denn klar hat man Blacklisting auf allen Einfallwegen für SPAM - aber
    > SASL-Auth gehört _VOR_ das Blacklisting und nicht dahinter.
    Auch VOR SASL-Auth gehört ein Schutz, um nämlich Brute-Forces zu verhindern. Wenn eine IP-Adresse 1000 Mal pro Sekunde irgendwelche Passwörter ausprobiert, dann sperrt der Mail-Provider diese IP-Adresse irgendwann zum Schutz seiner Systeme. Wenn das nun eine CGNAT-IP ist, dann leiden Tausende andere Nutzer darunter als Kollateralschaden.

    Wie löst man das Problem nun als Provider? Sperrt man angreifende IP-Adressen nicht, und lässt Tausende von Brute-Force-Versuchen pro Sekunde einfach zu? Oder sperrt man die IP wegen Angriffen? Beides ist irgendwie uncool. Hast du eine andere Lösung?

    > CGNAT Gateways als auch bekannte "Privatkunden"-Segmente sind eigentlich
    > überall geblacklistet.
    Und genau das ist das Problem, das der Thread-Ersteller hier anspricht. Immer mehr CGNAT führt zu immer mehr Konzentration von Traffic (aus Sicht der Dienste-Anbieter), und es gibt immer mehr Kollateralschäden durch die IP-Sperrungen (weil auch immer mehr Bots hinter den CGNATs stecken zusammen mit den legitimen Nutzern).

    Webserver sind nicht ganz so stark betroffen, da man mit Captchas versuchen kann, die Brute-Forces zu stoppen. Aber bei SMTP und IMAP etc. gibt es sowas nicht. Bei SMTP siehst du nur: Von einer IP-Adresse kommen 1001 Login-Versuche. 1000 davon sind Brute-Forces, und 1 legitimer Kunde ist dabei. Diesen einen legitimen Kunden kannst du technisch aber nicht rausfiltern, weil die Loginversuche alle gleich aussehen.

  10. Re: IPv4/IPv6 Gateways auf Blacklisten

    Autor: rubberduck09 05.01.21 - 14:18

    PHPGangsta schrieb:
    --------------------------------------------------------------------------------
    > rubberduck09 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Das heisst deine Kunden verwenden unfähige Mail-Provider.
    > >
    > > Denn klar hat man Blacklisting auf allen Einfallwegen für SPAM - aber
    > > SASL-Auth gehört _VOR_ das Blacklisting und nicht dahinter.
    > Auch VOR SASL-Auth gehört ein Schutz, um nämlich Brute-Forces zu
    > verhindern. Wenn eine IP-Adresse 1000 Mal pro Sekunde irgendwelche
    > Passwörter ausprobiert, dann sperrt der Mail-Provider diese IP-Adresse
    > irgendwann zum Schutz seiner Systeme. Wenn das nun eine CGNAT-IP ist, dann
    > leiden Tausende andere Nutzer darunter als Kollateralschaden.

    Das macht bei mir schlicht Fail2Ban

    > Wie löst man das Problem nun als Provider? Sperrt man angreifende
    > IP-Adressen nicht, und lässt Tausende von Brute-Force-Versuchen pro Sekunde
    > einfach zu? Oder sperrt man die IP wegen Angriffen? Beides ist irgendwie
    > uncool. Hast du eine andere Lösung?

    Nein - aber Fail2Ban ist ja nur temporär - idr. wenige Stunden. Und nur bei IPv4 + NAT ein Problem.

    > > CGNAT Gateways als auch bekannte "Privatkunden"-Segmente sind eigentlich
    > > überall geblacklistet.
    > Und genau das ist das Problem, das der Thread-Ersteller hier anspricht.
    > Immer mehr CGNAT führt zu immer mehr Konzentration von Traffic (aus Sicht
    > der Dienste-Anbieter), und es gibt immer mehr Kollateralschäden durch die
    > IP-Sperrungen (weil auch immer mehr Bots hinter den CGNATs stecken zusammen
    > mit den legitimen Nutzern).

    Das gehört aber den Providern um die Ohren gehauen und nicht den Mailserver-Betreibern.
    IPv6 umschifft das Problem recht elegant solange hier nicht auch NAT kommt.

    > Webserver sind nicht ganz so stark betroffen, da man mit Captchas versuchen
    > kann, die Brute-Forces zu stoppen. Aber bei SMTP und IMAP etc. gibt es
    > sowas nicht. Bei SMTP siehst du nur: Von einer IP-Adresse kommen 1001
    > Login-Versuche. 1000 davon sind Brute-Forces, und 1 legitimer Kunde ist
    > dabei. Diesen einen legitimen Kunden kannst du technisch aber nicht
    > rausfiltern, weil die Loginversuche alle gleich aussehen.

    Korrekt - IPv6 ist die Lösung.

  11. Re: IPv4/IPv6 Gateways auf Blacklisten

    Autor: linux.exe 11.01.21 - 15:58

    Ist ja nicht so dass Vodafone keine Businessanschlüsse anbietet, kostet nicht viel mehr und hat echtes Dualstack.
    Sorry, aber das ist ein reines Geschäftskunden Problem, Leute im HomeOffice am Privatanschluss sollen dann halt VPN nutzen.
    Privat nutzt man eh den Webmailer, Gmail, Apple Mail und sonstiges auf dem Device.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Stuttgart
  2. Kreis Paderborn, Paderborn
  3. Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe
  4. Knappschaft Kliniken Service GmbH, Bottrop

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Anno 1800 für 26,99€, Railway Empire für 14,99€, Code Vein für 16,99€)
  2. 119,90€ (Bestpreis mit Amazon)
  3. (AMD Ryzen 9 5950X + Radeon RX 6900 XT)
  4. (u. a. TU7199 58 Zoll für 559€, Q80T QLED 49 Zoll für 859€, TU7199 75 Zoll für 899€, Q60T...


Haben wir etwas übersehen?

E-Mail an news@golem.de