Bounce-Verbot für Bundes-Mailserver

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält seit einiger Zeit Organisationen des Bundes dazu an, das Versenden von E-Mails mit Unzustellbarkeitsbenachrichtigungen abzuschalten. Solche "Bounces" haben anscheinend des Öfteren dazu geführt, dass Systeme des Informationsverbundes Bonn-Berlin (IVBB) auf großen Antispam-Blacklists aufgetaucht sind, was wiederum IVBB-Anwendern den Mailversand erschwert hat. Die Aufforderung des BSI zeigt mittlerweile Wirkung: Mailserver zahlreicher Ministerien, Bundesbehörden und Parlamentsangehöriger nehmen zwar sämtliche E-Mails an, informieren den Absender im Fehlerfall aber nicht.

Laut dem Internet-Standard für E-Mail (SMTP, RFCs 821 und 2821) müssen Mailserver, die eine E-Mail angenommen haben, deren Absender informieren, wenn das Weiterleiten oder Zustellen nicht funktioniert – aus welchem Grund auch immer. Doch die Absenderadresse ist meist gefälscht, nämlich im Fall von Viren und Spam. Fehlerbenachrichtigungen (non-delivery reports, NDRs) gehen daher häufig an bis dahin Unbeteiligte, die mit dem Versenden der ursprünglichen Spam-Mail nichts zu tun haben – mit den nicht nur vom BSI beklagten Folgen.

Aus diesem Dilemma lassen sich Mailserver nur dann standard- und rechtskonform befreien, wenn sie schon während des SMTP-Dialogs untersuchen, ob der Adressat überhaupt existiert und ob es sich bei der anstehenden E-Mail nicht um Spam oder Malware handelt. Gibt es den Empfänger nicht oder ist der Inhalt unerwünscht, kann der Server einfach die Annahme verweigern und braucht dann keinen NDR an eine Adresse von zweifelhafter Authentizität zu versenden. Das scheint jedoch nicht so einfach realisierbar zu sein. So ist es in gewachsenen Infrastrukturen durchaus nicht selbstverständlich, dass der zuständige Mailserver alle möglichen Adressaten auf nachgelagerten Systemen kennt. Und viele Postmaster befürchten Lastprobleme, wenn der Eingangs-Server bereits während des SMTP-Dialogs quasi in Echtzeit die rechenintensive Spam- und Virenfilterung bewerkstelligen soll.

Das bloße Abschalten der NDRs mindert nun zwar die Symptome ungeeigneter Konfigurationen, macht es jedoch zur Glückssache, dass ein Absender erfährt, ob seine Mail angekommen ist. Die Große Koalition ist in dieser Hinsicht zwiegespalten: Während die Mailserver von cducsu-fraktion.de alles zu schlucken scheinen, nehmen diejenigen für spdfraktion.de falsch adressierte Mails gar nicht erst an. Das gilt auch für bundestag.de. Die Ländervertretung hingegen gehört zur Gruppe der schwarzen Informationslöcher: E-Mails an Empfänger in der Domain bundesrat.de erleiden ein unbekanntes Schicksal, wie auch ans Bundesministerium für Bildung und Forschung (bmbf.de). Das BSI selbst gehört ebenso zur Gruppe der NDR-Verweigerer wie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (bfdi.bund.de).

Das BSI selbst scheint die Maßnahme eher als notwendige Aktualisierung des Mailprotokolls anzusehen denn als zweifelhafte Beschneidung. Gegenüber iX erklärte Pressesprecher Matthias Gärtner, dass die RFC-Standards zu einem Zeitpunkt entstanden seien, als Spam noch keine Rolle spielte. Durch die Umsetzung der Empfehlung werde vermieden, dass eine Behörde Fehlermeldungen an gefälschte Absenderangaben in Spam-Mails verschicke, was die betroffenen Bürger irritiere, und dass eine Behörde fälschlicherweise auf eine Blacklist gesetzt werde. (un)