[Postfixbuch-users] ich bin sprachlos CT AUsgabe 22 S. 152 ff

[Stefan Schmidt]

On Tuesday 16 October 2007 10:53:14 Uwe Driessen wrote:
> Stefan Schmidt schrieb:
> > Nein. Ein User kann auf genau dem Server, für den er einen
> > Useraccount hat, mit beliebiger Absenderadresse Mails verschicken.
> > Das ist kein offenes Relay. Ärgerlich kann es werden, wenn daraus
> > Bounces entstehen. Aber ein kurzer Blick ins Log sagt dir, wer es
> > war. Wenn es viele sind, weil jemand z.B. einen Punkt in seiner
> > Absenderadresse vergessen hat, sagt mal als Admin Bescheid. Wenn es
> > viele unterschiedliche Absenderadressen sind, mit denen der User
> > Schindluder betreibt, dann ist der Account gesperrt oder was eben
> > sonst im Vertrag für den Fall von Missbrauch steht.
>
> Macht zusätzliche Arbeit die im Massengeschäft keiner bereit ist zu
> zahlen. Ich bin keinen Uni und Gäste innerhalb einer geschlossenen
> Usergruppe gibt es nicht. Wenn ich einen Account einrichte kann ich
> auch die Mailadressen reinschreiben die dazu gehören.

Das klappt solange, wie du kein Relaying deiner Kunden über deine Server 
erlaubst. Wenn du es doch tust, dann hast du sofort Verwaltungsaufwand, 
wenn der Kunde auf seinem Mailserver einen zusätzlichen Alias 
einrichtet.

> > Ein Beispiel aus der Praxis, eine Universität im Norden: 1500 User,
> > Professoren, Mitarbeiter, Studenten. Noch was? Ach ja: Gäste!
> > Gäste bekommen keinen Mailadresse, sie haben ja eine zu Hause. Sie
> > bekommen aber einen Account. Damit können sie Mails über der
> > Universitätsmailserver relayen, denn Port 25 ist ausgangseitig an
> > der Uni-Firewall für alle anderen Rechner geblockt. Sie können
> > Mails verschicken, ohne dafür eine Mailadresse der Universität zu
> > haben.
>
> Warum werden die User eingeschränkt und der Port 25 gesperrt? (nur
> Port 25?) Mehr Freiheit ?

Es gibt bei uns jede Menge Rechner, die mehr oder weniger 
selbstverwaltet sind. Da kann schon mal ein Virus auftauchen. Und um 
der Verbreitung der Viren durch Mails einen Riegel vorzuschieben, geht 
SMTP auswärt nur über den MX. Das können Viren i.A nicht alleine.

> Man kann nicht auf der einen Seite sagen man schränkt keine
> Kommunikation ein und sperrt auf der anderen Seite für die Nutzung
> Ports.
> Ich sage nicht das es eine Adresse des Servers sein muß nur das
> sichergestellt wird das nur über vorhandene Mailadressen versendet
> wird.

Beim Server stimme ich dir zu, die Mailadressen kannst du aber nicht 
prüfen - nicht im Sinne von dürfen, sondern im Sinne einer beweisbaeren 
Aussage.

> Das vermeidet dann auch die Bounces die evtl. erst Stunden oder auch
> Tage  später eintreffen weil der Admin noch keine Zeit hatte das
> ganze raus zu picken.

Klar, aber der Admin sollte sich schon um die Logs kümmern, mindestens 
um Statistiken. Wenn da grosse Zahlen drin sind, die da nicht erwartet 
werden, genauer nachsehen.

> > Missbrauch fängt bei Böswilligkeit an, nicht bei mündigen Users,
> > die arbeiten wollen.
>
> Die böswilligen sind auch mündig! Und sie arbeiten meistens noch
> einen Tick mehr wie alle anderen.

Von vorn herein herrscht aber auch in Deutschland erst mal eine 
Unschuldsvermutung. Bis zum Beweis des Gegenteils haben meine User die 
Freiheit, Mails mit belibiger Absenderadresse mit Hilfe ihrer 
Accountdaten zu versenden.

> > Wer gegen die Nutzungsbedingungen verstösst, fliegt raus.
> > (Mir ist hinterbracht worden, dass das an der obigen Beispiel-Uni
> > schon vorgekommen ist.)
>
> Wann sind die rausgeflogen? Warum sind die rausgeflogen? Doch erst
> nachdem der Schaden da war sowohl für den Ruf der Uni als
> unbeteiligte Dritte belästigt.

Natürlich. Warum? Weil die Nutzungsbedingungen so sind.

> Wenn ich aber mit einfachen mittel von
> vorneherein Fehler und missbrauch, zumindest in dem Bereich für den
> ich zuständig bin, eingrenzen kann dann tue ich das z.B. werden Mails
> mit ÄÖÜß in den Mailadressen direkt bei der Einlieferung abgelehnt,
> da kann ich machen was ich will die gehen nirgends hin.

Es ist immer einfacher, eine technische Lösung für ein soziales Problem 
zu finden. Nur schränkt genau das die Freiheit ein. Eben genau die 
Freiheit des Nächsten - des redlichen Users.

> Freiheit haben die User mit den Mailadressen die auf dem Server
> hinterlegt sind, mit imap,pop3 und Webinterface sind also weltweit zu
> nutzen sogar aus einem Uninetz heraus, dafür kann man auch sorgen.
> Was hat das mit einer Einschränkung der Nutzung zu tun wenn
> verhindert wird das nicht auf dem Account eingetragene Mailadressen
> benutzt werden, er kann Sie ja auch eintragen.

Der User kann sie selbst eintragen? Wie stellst du dann sicher, dass es 
eine existierende Adresse ist? Oder trifft das nur auf Adressen deines 
Mailservers zu?

> Bei einer Uni kann ich noch
> nachvollziehen das es da egal ist wer da mit was sendet aber ich kann
> es auch bei den Großen Maildiensten nachvollziehen das die auch aus
> Kostengründen sagen relay bitte über den wo du auch gehostet bist.

Natürlich. Nutzungsbedingungen. Arcor - um mal wieder auf den 
ct'-Aufhänger zurück zu kommen - macht genau das. Es geht auch anders, 
und das wollte der Autor des Artikels sagen. An der Stelle bist du 
aufgesprungen. Das ist dein gutes Recht, du darfst deine Server so 
konfigurieren und deinen Usern das vorschreiben, aber du kannst nicht 
verlangen, dass es alle anderen Serverbetreiber auch so tun.

> Keiner wird von einer "normalen" Nutzung des Mediums Mail abgehalten.

Was ist "normal"? Wenn ich eine dyndns.org-Mailadresse habe, die auch zu 
Hause auf dem Server aufläuft? Wenn ich meine dyndns.org-Mails auch 
versenden will? Dann will ich einen Mailprovider, der von mir aus die 
Domain itzifritzi42.de hält, der es mir aber auch ermöglicht, Mails zu 
verschicken, die die Absenderadresse 
irgendwas at hannebambel5678345.dyndns.org haben.

> Evtl. sollten wir für den Vergleich mal nicht die Post sondern die
> Telefonie benutzen. Diese Kommunikationsart kommt der E-mail im
> Betrieb an Restriktionen schon näher.

Nur dann, wenn Email nach deinen Vorstellungen limitiert wird. Sonst 
sind wir dem Briefpostverkehr deutlich näher.

Stefan

PS: die obigen Adressen sind frei erfunden. 
-- 
Stefan Schmidt
Network Manager

Jacobs University Bremen gGmbH
Campus Ring 1 | 28759 Bremen | Germany

Commercial registry: Amtsgericht Bremen, HRB 18117
CEO: Prof. Dr. Joachim Treusch
Chairman Board of Governors: Prof. Dr. Theodor Berchem