mailbox.org akzeptiert gefälschte Mails trotz SPF-Fail, DKIM-Fail, DMARC-Fail und reject Policy
Nachdem ich meine zweite Mail-Adresse (bar@bar.de) von einem anderen Anbieter zu mailbox.org migriert habe, habe ich danach testweise eine Mail von dem alten Anbieter an meine Haupt-Adresse bei mailbox.org (bar.de@foo.de) geschickt. Da der alte Anbieter nicht mehr autorisiert ist, Mails für bar.de zu verschicken, sollte mailbox.org diese Mail abweisen.
Zu meiner Überraschung hat mailbox.org diese Mail fröhlich angenommen trotz SPF-Fail, DKIM-Fail, DMARC-Fail und reject Policy, nicht als Spam markiert und in die Inbox gelegt.
SPF für bar.de:
v=spf1 include:mailbox.org -allDas -all weist den empfangenden Mailserver an, alles was nicht von mailbox.org kommt strikt zu verweigern.
Der DKIM-Selektor des alten Anbieters existiert auf bar.de nicht mehr.
DMARC für bar.de:
v=DMARC1; p=reject; pct=100; sp=reject; adkim=s; aspf=sHier bedeutet p=reject, dass die Mail schon während der SMTP-Transaktion abgewiesen werden soll, wenn DKIM oder SPF nicht gültig sind bzw. nicht zum Absender passen.
mailbox.org scheint das auch alles richtig zu validieren:
Authentication-Results: incoming_mbo;
dkim=none ("invalid DKIM record") header.d=bar.de header.s=alteranbieter header.b="XXXX/XXX";
dmarc=fail reason="No valid SPF" header.from=bar.de (policy=reject);
spf=fail (incoming_mbo: domain of bar@bar.de does not designate xxx.xxx.xxx.xxx as permitted sender) smtp.mailfrom=bar@bar.de Obwohl hier offenbar alle Alarmglocken angegangen sind, landet diese Mail trotzdem in der Inbox.
Warum?
Ich habe das gleiche Problem 
Hallo,
vielen Dank für Ihre Nachricht. Wir leiten das an unsere Administratoren weiter und schreiben Ihnen, sobald wir mehr Informationen haben.
Mit herzlichen Grüßen
Ihr mailbox.org Team
---
Ein paar nützliche Links:
Hallo,
vielen Dank für Ihre Nachricht. Wir leiten das an unsere Administratoren weiter und schreiben Ihnen, sobald wir mehr Informationen haben.
Mit herzlichen Grüßen
Ihr mailbox.org Team
---
Ein paar nützliche Links:
Hallo,
gibt es hierzu was neues?
Habe gerade bei mir das gleiche Problem festgestellt
DMARC gibt reject vor E-Mail wir aber Zugestellt.
Hallo,
gibt es hierzu was neues?
Habe gerade bei mir das gleiche Problem festgestellt
DMARC gibt reject vor E-Mail wir aber Zugestellt.
Möglicherweise hat es mit der Einstellung unter https://manage.mailbox.org/index.php?p=account_spam_settings zu tun?
Dort habe ich eingestellt, dass Spam-Mails nicht abgelehnt werden sollen, sondern markiert und in einen Spam-Ordner gelegt werden sollen. Die Standard-Einstellung ist offenbar, dass Mails mit Spam-Verdacht sofort abgelehnt wird.
Man sollte hier aber unterscheiden zwischen Spam-Verdacht aufgrund des Inhalts und technisch eindeutig nicht zulässigen Emails aufgrund der SPF/DKIM/DMARC-Regeln. Spam möchte ich nicht hart ablehnen, weil es immer wieder false positives gibt. Eindeutig unzulässige Emails sollten aber ungeachtet jeglicher Spam-Einstellungen hart abgelehnt werden.
Möglicherweise hat es mit der Einstellung unter https://manage.mailbox.org/index.php?p=account_spam_settings zu tun?
Dort habe ich eingestellt, dass Spam-Mails nicht abgelehnt werden sollen, sondern markiert und in einen Spam-Ordner gelegt werden sollen. Die Standard-Einstellung ist offenbar, dass Mails mit Spam-Verdacht sofort abgelehnt wird.
Man sollte hier aber unterscheiden zwischen Spam-Verdacht aufgrund des Inhalts und technisch eindeutig nicht zulässigen Emails aufgrund der SPF/DKIM/DMARC-Regeln. Spam möchte ich nicht hart ablehnen, weil es immer wieder false positives gibt. Eindeutig unzulässige Emails sollten aber ungeachtet jeglicher Spam-Einstellungen hart abgelehnt werden.
Gibt es hierzu nach über 4 Monaten mal ein Update von Mailbox.org? Es ist mir unerklärlich, wie so ein fundamentale Mail-Technik bei einem Mail-Anbieter, der auch noch mit "Spamfreiheit" und "Sicherheitsexperten" wirbt, so lange ignoriert wird. Wie kann es sein, dass man im Jahre 2025 grundlegende Techniken wie SPF, DKIM und DMARC nicht beherrscht und das nicht behoben wird?
Bekommt ihr das bis Jahresanfang auf die Kette oder muss ich mir einen anderen Anbieter suchen?
Vor einer Weile habe ich versucht das Thema selbst in die Hand zu nehmen und für den häufigsten Spam eigene Reject-Regeln eingestellt. Das führt nun dazu, dass ich den Spam von do-not-answer@mailbox.org zugeschickt bekomme, weil die Spammer meine eigene Adresse als Absender verwenden und Mailbox.org die Bounce Mails dann an mich schickt. Extrem nervig.
Gibt es hierzu nach über 4 Monaten mal ein Update von Mailbox.org? Es ist mir unerklärlich, wie so ein fundamentale Mail-Technik bei einem Mail-Anbieter, der auch noch mit "Spamfreiheit" und "Sicherheitsexperten" wirbt, so lange ignoriert wird. Wie kann es sein, dass man im Jahre 2025 grundlegende Techniken wie SPF, DKIM und DMARC nicht beherrscht und das nicht behoben wird?
Bekommt ihr das bis Jahresanfang auf die Kette oder muss ich mir einen anderen Anbieter suchen?
Vor einer Weile habe ich versucht das Thema selbst in die Hand zu nehmen und für den häufigsten Spam eigene Reject-Regeln eingestellt. Das führt nun dazu, dass ich den Spam von do-not-answer@mailbox.org zugeschickt bekomme, weil die Spammer meine eigene Adresse als Absender verwenden und Mailbox.org die Bounce Mails dann an mich schickt. Extrem nervig.
Warum kommt hier seit Monaten gar keine Rückmeldung seitens Mailbox? Jedenfalls mal ab und zu ein Update dass man noch an dem Problem dran ist. Aber keinerlei Kommunikation seit Monaten bei so einem Thema ist schon ein bisschen Schwach
Warum kommt hier seit Monaten gar keine Rückmeldung seitens Mailbox? Jedenfalls mal ab und zu ein Update dass man noch an dem Problem dran ist. Aber keinerlei Kommunikation seit Monaten bei so einem Thema ist schon ein bisschen Schwach
Hallo,
leider können wir Ihnen derzeit noch keine neuen Informationen zu diesem Vorgang mitteilen. Unsere Consultants arbeiten weiterhin an Ihrem Anliegen, haben jedoch momentan ein sehr hohes Arbeitsaufkommen. Wir bitten Sie daher noch um etwas Geduld und versichern Ihnen, dass wir Sie umgehend informieren, sobald es Neuigkeiten gibt.
Mit herzlichen Grüßen
Ihr mailbox Team
---
Ein paar nützliche Links:
Hallo,
leider können wir Ihnen derzeit noch keine neuen Informationen zu diesem Vorgang mitteilen. Unsere Consultants arbeiten weiterhin an Ihrem Anliegen, haben jedoch momentan ein sehr hohes Arbeitsaufkommen. Wir bitten Sie daher noch um etwas Geduld und versichern Ihnen, dass wir Sie umgehend informieren, sobald es Neuigkeiten gibt.
Mit herzlichen Grüßen
Ihr mailbox Team
---
Ein paar nützliche Links:
Nachdem wieder ein paar Monate vergangen sind.
Gibt es hier einen aktuellen Stand zu?
Nachdem wieder ein paar Monate vergangen sind.
Gibt es hier einen aktuellen Stand zu?
Wenn die Consultants einen zu hohen Workload haben und nach Monaten keine Neuigkeiten berichten können, möchte man den Kunden damit sagen, dass sie zu viele sind? Diese Haltung führt dazu, dass ich mir die Verlängerung des seit mehr als 2 Jahren bestehenden Familien Accounts sehr genau überlegen muss.
Wenn die Consultants einen zu hohen Workload haben und nach Monaten keine Neuigkeiten berichten können, möchte man den Kunden damit sagen, dass sie zu viele sind? Diese Haltung führt dazu, dass ich mir die Verlängerung des seit mehr als 2 Jahren bestehenden Familien Accounts sehr genau überlegen muss.
Ich sehe das ähnlich problematisch. Das sind sicherheitsrelevante Features. Da muss an sich drauf verlassen können, dass diese funktionieren.
Edit: Wobei ich aber auch sagen muss, dass zb Fastmail auch meine DMARC Einstellungen mit einer globalen Fastmail policy overruled hat um sicherzustellen, dass keine Mails verloren gehen. Habe ich bei einer Anfrage vom Support so erläutert bekommen. Man wolle den Kunden vor zu harten Settings schützen und die Zustellung sicherstellen.
Ich sehe das ähnlich problematisch. Das sind sicherheitsrelevante Features. Da muss an sich drauf verlassen können, dass diese funktionieren.
Edit: Wobei ich aber auch sagen muss, dass zb Fastmail auch meine DMARC Einstellungen mit einer globalen Fastmail policy overruled hat um sicherzustellen, dass keine Mails verloren gehen. Habe ich bei einer Anfrage vom Support so erläutert bekommen. Man wolle den Kunden vor zu harten Settings schützen und die Zustellung sicherstellen.
Man kann sich dafür einfach eine Regel bauen:
Header Authentication-Results enthält dmarc=fail spf=fail etc.
Man sollte jedoch vorsichtig sein. Es ist gut möglich ein spf=fail und dkim=pass und dmarc=pass zu bekommen, etwa bei Weiterleitungen oder Relays. Amazon-Marketplace Mails habe bei mir oft/immer ein spf=fail aber dmarc=pass.
Man kann sich dafür einfach eine Regel bauen:
Header Authentication-Results enthält dmarc=fail spf=fail etc.
Man sollte jedoch vorsichtig sein. Es ist gut möglich ein spf=fail und dkim=pass und dmarc=pass zu bekommen, etwa bei Weiterleitungen oder Relays. Amazon-Marketplace Mails habe bei mir oft/immer ein spf=fail aber dmarc=pass.
Ich dachte eben ich hab was verpasst. Aber es stimmt: Offensichtlich gespoofte Mails werden einfach zugestellt:
Das hätte ich bei mailbox.org jetzt nicht erwartet. Wieso ist das so? Und wann ändert sich das?Ich dachte eben ich hab was verpasst. Aber es stimmt: Offensichtlich gespoofte Mails werden einfach zugestellt:
Das hätte ich bei mailbox.org jetzt nicht erwartet. Wieso ist das so? Und wann ändert sich das?Mir ist das auch aufgefallen, nach dem ich fast auf eine gute gemachte Phishing mail reingefallen bin, die in meine Inbox ausgeliefert wurde. Nach einem Blick in die Header war klar, dass dies niemals hätte passieren dürfen. Den Support darauf angesprochen habe ich diese Aussage bekommen:
> Wir haben die von Ihnen gemeldeten Spam-Nachrichten überprüft und unser System entsprechend angelernt, um zukünftige ähnliche Nachrichten besser erkennen und filtern zu können.
Ich habe dann freundlich darauf hingewiesen, dass hier nichts "angelernt" werden sollte, da der Mailserver klar dazu angewiesen ist, die Mail abzuweisen und der Spam Filter erst gar nicht aktiv werden sollte. Daraufhin bekam ich das:
> Ja, das ist ein längeres Thema. Derzeit bewerten wir dies nur mit Punkten. Würden wir dies strikt und pauschal umsetzen, würde dies zu Problemen mit verschiedenen Verteilerlisten und Ähnlichem führen. Die DMARC p=reject steht jedoch auf unsere Road-map für die bevorstehende Modernisierung unserer Mail-infrastruktur.
Habe dann nach einem Zeitplan gefragt und diese wie ich finde sehr peinlich Antwort bekommen:
> Nein, gibt es nicht. Da dies ein mitunter langwieriger und komplexer Prozess ist, kann ich Sie nicht über die Entwicklung auf dem Laufenden halten.
Ich finde so eine Aussage mehr als bedenklich. Beim BSI ist DMARC als "erfüllt" ausgewiesen (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/E-Mail-Sicherheit/E-Mail-Checker/Anbieter-Check/mailbox/mailbox.html), was aber ja tatsächlich gar nicht stimmt. Auch finde ich den Verweis auf einen "langwierigen und komplexen Prozess" für ein Unternehmen, das Email als Kerngeschäft betreibt, um einen seit mind. 10 Jahren etablierten Standard umzusetzen, sehr erschreckend.
Mir ist das auch aufgefallen, nach dem ich fast auf eine gute gemachte Phishing mail reingefallen bin, die in meine Inbox ausgeliefert wurde. Nach einem Blick in die Header war klar, dass dies niemals hätte passieren dürfen. Den Support darauf angesprochen habe ich diese Aussage bekommen:
> Wir haben die von Ihnen gemeldeten Spam-Nachrichten überprüft und unser System entsprechend angelernt, um zukünftige ähnliche Nachrichten besser erkennen und filtern zu können.
Ich habe dann freundlich darauf hingewiesen, dass hier nichts "angelernt" werden sollte, da der Mailserver klar dazu angewiesen ist, die Mail abzuweisen und der Spam Filter erst gar nicht aktiv werden sollte. Daraufhin bekam ich das:
> Ja, das ist ein längeres Thema. Derzeit bewerten wir dies nur mit Punkten. Würden wir dies strikt und pauschal umsetzen, würde dies zu Problemen mit verschiedenen Verteilerlisten und Ähnlichem führen. Die DMARC p=reject steht jedoch auf unsere Road-map für die bevorstehende Modernisierung unserer Mail-infrastruktur.
Habe dann nach einem Zeitplan gefragt und diese wie ich finde sehr peinlich Antwort bekommen:
> Nein, gibt es nicht. Da dies ein mitunter langwieriger und komplexer Prozess ist, kann ich Sie nicht über die Entwicklung auf dem Laufenden halten.
Ich finde so eine Aussage mehr als bedenklich. Beim BSI ist DMARC als "erfüllt" ausgewiesen (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/E-Mail-Sicherheit/E-Mail-Checker/Anbieter-Check/mailbox/mailbox.html), was aber ja tatsächlich gar nicht stimmt. Auch finde ich den Verweis auf einen "langwierigen und komplexen Prozess" für ein Unternehmen, das Email als Kerngeschäft betreibt, um einen seit mind. 10 Jahren etablierten Standard umzusetzen, sehr erschreckend.
Man sollte oben anfangen zu lesen. Hat sich erledigt. => Eintrag gelöscht.
Man sollte oben anfangen zu lesen. Hat sich erledigt. => Eintrag gelöscht.
Aktuell bin ich dabei zu testen ob Mailbox.org für mich als Alternative zu anderen Anbietern funktionieren könnte.
Ich bin fast vom Stuhl gefallen, nachdem ich gesehen habe das eine Firma die aktiv mit Sicherheit wirbt, sowas wie SPF Hardfails und DMARC Policys bei eingehenden E-Mails scheinbar keiner Beachtung schenkt.
Natürlich können fehlerhafte Implementierungen vorkommen. Dass dieser Fehler jedoch nach neun Monaten noch immer nicht behoben wurde, ist für einen Anbieter, der Kunden-Mailboxen bereitstellt und dies als Teil seines Kerngeschäfts betreibt, aus meiner Sicht grob fahrlässig.
Vielleicht nochmal weniger technisch formuliert:
Jeder kann den Kunden bei Mailbox.org E-Mails von z.B. noreply@mailbox.org, service@paypal.de usw. schicken, diese werden einfach zugestellt und sehen im Posteigang wie echte E-Mails aus. Normalerweise gibt es technische Maßnahmen die entsprechende E-Mails direkt blockiert oder hinreichend markiert sollten.
Aktuell bin ich dabei zu testen ob Mailbox.org für mich als Alternative zu anderen Anbietern funktionieren könnte.
Ich bin fast vom Stuhl gefallen, nachdem ich gesehen habe das eine Firma die aktiv mit Sicherheit wirbt, sowas wie SPF Hardfails und DMARC Policys bei eingehenden E-Mails scheinbar keiner Beachtung schenkt.
Natürlich können fehlerhafte Implementierungen vorkommen. Dass dieser Fehler jedoch nach neun Monaten noch immer nicht behoben wurde, ist für einen Anbieter, der Kunden-Mailboxen bereitstellt und dies als Teil seines Kerngeschäfts betreibt, aus meiner Sicht grob fahrlässig.
Vielleicht nochmal weniger technisch formuliert:
Jeder kann den Kunden bei Mailbox.org E-Mails von z.B. noreply@mailbox.org, service@paypal.de usw. schicken, diese werden einfach zugestellt und sehen im Posteigang wie echte E-Mails aus. Normalerweise gibt es technische Maßnahmen die entsprechende E-Mails direkt blockiert oder hinreichend markiert sollten.
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.