GMX landete auf Open-Relay-Blacklist
Die SMTP-Server von GMX waren für über einen Tag in der ORDB-Blacklist verzeichnet -- mit unangenehmen Folgen für die Kunden.
DNS-Blocklisten spielen bei der Abwehr von Spam-Mails eine immer größere Rolle. Neben anderen hat sich die Non-Profit-Organisation "Open Relay Database" (ORDB) der Pflege einer solchen Liste verschrieben: Sie testet SMTP-Server mit einem automatisierten Verfahren darauf hin, ob sie von nicht authentifizierten Gegenstellen Mails annehmen und an die Zieladresse weiterleiten. Tun sie das, gelten sie als so genannte "offene Relays" und damit als Spammer-freundlich. Die Folge: Sie werden in die ORDB-Blacklist aufgenommen.
In der Nacht von Sonntag auf Montag dieser Woche nun nahm ORDB die SMTP-Server des E-Mail-Services GMX unter die Lupe. Dem ORDB-System gelang es, ohne Authentifizierung Nachrichten über mail.gmx.net abzusetzen, wenn es bestimmte Absender-Adressen angab. Es ist eher unwahrscheinlich, dass Spammer diese Lücke schon entdeckt und für ihre Zwecke genutzt haben. Dessen ungeachtet waren damit die ORDB-Kriterien für ein offenes Relay erfüllt -- die auf mail.gmx.net auflösenden IP-Adressen wanderten sofort in die Blacklist.
Für die GMX-Kunden hatte dieser kleine Eintrag unmittelbare Folgen. Sehr viele Mail-Provider nutzen die ORDB-Blacklist, um Nachrichten von SMTP-Servern, die in der Open Relay Database gelistet sind, zurückzuweisen. GMX-Kunden war es plötzlich nicht mehr möglich, Kunden dieser Provider Mails zu schicken -- sie konnten plötzlich einen Teil des Internet nicht mehr per E-Mail erreichen. Gerade die ORDB-Blacklist gilt als recht zuverlässig und wird sehr oft genutzt. So ist sie beispielsweise in der Standardkonfiguration des beliebten Anti-Spam-Tools Spam Assassin eingebunden.
Für GMX, das gerade durch die Implementierung eines umfangreichen Spam-Schutzes für die Kunden auf sich aufmerksam gemacht hat, ist die Angelegenheit recht peinlich. Als der Fall in den Usenet-Foren publik wurde, ergoss sich schnell Häme über das Unternehmen.
Gegenüber heise online machte GMX-Produkt-Manager Thomas Röder keinen Hehl daraus, dass er auf ORDB nicht gut zu sprechen ist. Es sei sehr schwer gewesen, auf einem unbürokratischen Weg dafür zu sorgen, schnell wieder von der Liste genommen zu werden: "Alle Versuche der raschen, direkten Kontaktaufnahme seitens GMX scheiterten an der Anonymität, in die sich ORDB hüllt." Der angebotene Weg über das Kontaktformular habe sich als langsam erwiesen. Mittlerweile ist GMX nach einem erneuten ORDB-Test wieder von der Blacklist verschwunden.
Röder äußerte Zweifel am Sinn der Testkriterien: "ORDB hatte für den Open-Relay-Check zwei GMX-Adressen verwendet, die nicht auf SMTP-Auth konfiguriert waren." In der eigenen Open-Relay-Definition beschreibe ORDB ein solches System aber als einen Mail-Server, der Nachrichten weiterleite, "bei denen weder der Sender noch der Empfänger ein lokaler Nutzer ist". In den von ORDB dokumentierten Fällen habe es sich aber eindeutig um "local user" gehandelt.
Der Fall dokumentiert, dass sich die Betreiber der DNS-Blacklists eine große Verantwortung aufbürden. Ein Eintrag kann ein Mail-System über Nacht unbrauchbar machen. Für Röder ist die Sache klar: "GMX muss nach diesen Erfahrungen leider vor der vorbehaltlosen Verwendung von automatisch generierten Blocklisten warnen, insbesondere, wenn kein direkter Support geboten wird." (hob)
