Es ist jetzt 2 Wochen her, als ich einen DNS-Eintrag für viele meiner Domains hinzugefügt habe:

$ host -t txt _dmarc.mthie.com
_dmarc.mthie.com descriptive text "v=DMARC1\; p=reject\; rua=mailto:antispam@mthie.com"

Was macht dieser Eintrag genau?

Empfängt ein Mailserver mit DMARC-Unterstützung eine E-Mail von der Domain mthie.com, prüft es die SPF- und DKIM-DNS-Einträge der Domain und schaut, ob der sendende Server auf die SPF-Einträge passt und ob die DKIM-Signatur korrekt sind und verarbeitet die Mail dann entsprechend der DMARC-Regeln.

Reichen die SPF- und DKIM-Einträge nicht aus?

Nunja, mehr oder weniger. Hat man nur SPF und DKIM, werden Mail entsprechend mit Punkten im Spam-Ranking versehen und ab einem bestimmten Wert als Spam markiert und wegsortiert oder bei manchen Servern direkt abgelehnt. Mit DMARC widerum kann man als Domaininhaber selbst bestimmen, was passieren soll. Es geht ja nicht um Mails, die man selbst verschickt, sondern die andere im Namen der Domain versenden.

Ich kann selbst bestimmen, ob die invaliden Mails erstmal nur im Spam des Empfängers landen oder direkt auf SMTP-Ebene abgelehnt werden sollen. Dies kann man sogar anfangs prozentual festlegen, da man sich bei einer Migration nicht immer ganz sicher ist, ob man auch alle Server im SPF-Eintrag hat oder ob alle Server korrekte Signaturen mitgenerieren.

Schickt also ein Spammer im Namen meiner Domain Spam, bekomme ich bei invaliden Empfängern keine Fehlermail mehr, die eh im Spam-Folder landet, sondern der spammende Server wird seine Mail gar nicht erst los.

Woher weiss man jetzt, ob das alles so klappt?

Was ich ganz smart finde: unterstützende Server können einem Reports schicken, wieviele Mails von welchen Servern abgelehnt oder im Zweifel angenommen wurden und bisher hab ich von Microsoft- als auch Google-Servern reichlich Feedback bekommen. Das sieht dann so aus:

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>noreply-dmarc-support@google.com</email>
    <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
    <report_id>12441399634249292487</report_id>
    <date_range>
      <begin>1455148800</begin>
      <end>1455235199</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>mthie.com</domain>
    <adkim>r</adkim>
    <aspf>r</aspf>
    <p>reject</p>
    <sp>reject</sp>
    <pct>100</pct>
  </policy_published>
  <record>
    <row>
      <source_ip>123.17.108.44</source_ip>
      <count>2</count>
      <policy_evaluated>
        <disposition>reject</disposition>
        <dkim>fail</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>mthie.com</header_from>
    </identifiers>
    <auth_results>
      <spf>
        <domain>mthie.com</domain>
        <result>none</result>
      </spf>
    </auth_results>
  </record>
</feedback>

Und nu?

Und nu wäre es voll schnafte, wenn diese DMARC-Sache sich verbreiten würde und es mehr Mailserver-Admins gäbe, die diese Unterstützung einbauen würden, vor allem die E-Mail-Made-In-Germany-Hansel, denn damit wären die großen in Deutschland vertretenen Mailer schon mal abgedeckt. Wie das Ganze funktioniert, kann man sich auf DMARC.org anschauen.

Vor einigen Wochen hat Google angekündigt, https-Seiten bevorzugen zu wollen. Soweit so gut, aber wie steht es denn um die Webseiten, die in Deutschland mit den meisten Traffic abbekommen, also die üblichen News-Seiten?

Jetzt fragen sich wahrscheinlich viele: “Warum müssen die denn https unterstützen?” Dazu hat Golem.de vor über einem Jahr mal eine Quasi-FAQ gebastelt.

Was haben wir da für Möglichkeiten?

Seite ganz normal über https aufrufbar (die Seite stellt alle Inhalte auch über https bereit)

  • Spiegel Online (leider werden alte Verschlüsselungsmechanismen verwendet, das könnte mal jemand aktualisieren)
  • N-TV (leider werden alte Verschlüsselungsmechanismen verwendet, das könnte mal jemand aktualisieren)

Seite leitet auf HTTP um (hier fanden sich die meisten Webseiten)

Was an diesen Seiten so schlimm ist: Sie nutzen ihr Potential nicht aus. Viele von ihnen bieten einen Login für ihre Benutzer. Meist wird der Login auch über https geregelt, aber die Inhalte inkl. der Cookies zur Authentifizierung werden unverschlüsselt übertragen. Oft lässt sich so auch Session-Hijacking betreiben.

Seite liefert ein fremdes Zertifikat (hier passiert es oft, dass das Zertifikat des CDN-Providers ausgespielt wird, weil man z.B. mit Akamai nach einem Monat intensiver HTTPS-Nutzung direkt Insolvenz beantragen kann)

Meine Einstellung dazu: Wenn ich so viel Traffic habe, sollte ich so viel Geld mit dieser Website verdienen, um die Bereitstellung über HTTPS einrichten zu können.

Seite akzeptiert keine HTTPS-Verbindung (Der Browser liefert eine Fehlermeldung, weil die Connection gar nicht aufgebaut werden kann)

Sehr konsequent bei der Abendzeitung ist, dass sie sogar ihre Kundendaten unverschlüsselt verschicken, während das Abendblatt wenigstens noch HTTPS beim Abo-Service und im Shop anbietet. Warum sie dann nicht gleich den Rest auch in HTTPS anbieten, wissen wohl nur die Götter, an die ich nicht glaube.

Man kennt die Predigten der letzten 5 Jahre: “Liebe Entwickler, entwickelt doch alles bitte Mobile First, dann ist die Desktop-Variante ja das kleinste Problem!”. Und das nur, weil es viel zu teuer und aufwändig war, 2 Versionen einer Website zu bauen.

Und was ist daraus geworden? Wenn ich mir das so angucke ist inzwischen ein Mobile Only entstanden, weil Firmen weiterhin zu geizig sind, 2 Versionen von etwas zu bauen.

Konkretes Beispiel: Ich war immer ein Freund davon, in meinem Kalender entsprechende Einträge für die Müllabfuhr zu haben. Wäre schon gut, wenn im Sommer die Suppe am unteren Ende der Tonne nicht noch weitere 2 Wochen vor sich hinsiecht. Dafür bot mir die Pinneberger Abfallgesellschaft die Möglichkeit, ein iCal-File runterzuladen. Feine Sache, die Datenbank haben die eh, einfach mal eben generieren lassen, da sich so eine Datenbank wahrscheinlich von der Struktur nicht allzu oft ändert, kann man sowas auch jahrelang weiterverwenden. Alle glücklich.

Ab diesem Jahr allerdings prangt da so ein Text auf der Service-Seite:

An Ihre Abfuhrtermine erinnern lassen - nur noch per App

… Leider werden diese Dateien immer weniger nachgefragt und der Aufwand sie für Orte und in den großen Orten auch für alle Straßen zu generieren ist so groß, dass wir Ihnen diese Arbeit nicht mehr abnehmen können und Sie bitten anhand der Abfuhrpläne, diese Kalendereinträge selber zu erstellen.

Sollten Sie ein Smartphone oder Iphone besitzen, dann sollten Sie sich unsere Abfallapp runterladen und sich über diesen Weg erinnern lassen, Ihren Behälter rechtzeitig rauszustellen!

Bitte was? Moment mal! Es gibt weiterhin eine Datenbank (Oh Gott, bitte sagt mir, dass niemand von denen auf die Idee gekommen ist, die Daten hart in die App reinzucoden!) und ab sofort kann man aus dieser Datenbank nicht mehr automatisch Daten exportieren? Und jetzt kommt ja der Witz an der Sache: Auf Android legt die App einen Kalender an, der die Abfuhrtermine beinhaltet. Aber man schmeißt diese nicht in einen der Kalender, die man eh schon zur Auswahl hat. Nein, es wird ein App-Specific-Kalender angelegt, der nicht repliziert werden kann.

Ist es sehr schwer zu kapieren, dass nicht jeder Mensch alles nur am Handy machen kann und will? Ich benutze WhatsApp nicht, weil es ein Stück-Smartphone-Software ist und die Weboberfläche eine aktive Handy-Kommunikation voraussetzt und auch meine Termine will ich auf keinen Fall nur auf meinem Mobiltelefon verwalten. Wer denkt sich sowas aus? Denken die Entwickler wirklich in so kleinen Dimensionen? Wie soll ich mir mit solch einem Humbug z.B. eine Mailnotification bauen? Wenn mein Telefon verschwunden ist, muss ich alles wieder neu einrichten und noch einen Download-Count für eine schlecht designte App generieren?

So funktioniert Mobile First nicht!

Im Normalfall kommen pro Tag mehrere hundert Spam-Mails in meinem Spam-Ordner an. Manchmal auch ein paar False Positives, aber das sind eher maximal 1-2 im Monat und selbst auf die kann man verzichten. Doch gestern fand ich folgende Einstellung im Google Apps Admin Interface:

Und siehe da, die Menge reduziert sich gleich mal auf 4-5 Mails am Tag.

Der Nachteil: alle Mailserver, die kein TLS können, bekommen eine Fehlermeldung. Meine persönliche Meinung: Pech gehabt, wenn man sich nicht weiter entwickelt, möchte ich keine Mails von euch! Alle großen Mailprovider unterstützen TLS ohne Probleme.

Über ein halbes Jahr ist es jetzt her, dass mir ein Zahn gezogen wurde. Im Anschluss daran durfte ich 3 Tage keine Milchprodukte zu mir nehmen oder Tabak rauchen (mach ich eh nicht) und was eben alles noch so verboten ist - darunter auch Koffein.

Nun wissen die geneigten Leser ja, dass ich früher mal locker 2-10 Red Bull am Tag vernichtet habe und entsprechend hart waren auch die 2 Tage Kopfschmerzen nach Beginn des Verbots, aber als ich dann am 4. Tag eigentlich wieder hätte weitermachen dürfen, dachte ich mir: "Wenn ich schon mal die Kopfschmerzen hinter mir habe, kann ich es auch gleich bleiben lassen". Und dies hab ich dann auch einfach weiter durchgezogen. Keine Energy-Drinks mehr, Kaffee war sowieso seit 15 Jahren kein Fall mehr für mich und auch keine schwarzen Tees etc.

Tagsüber und zu Hause gibt es jetzt nur noch Wasser, wenn ich mal im Restaurant bin gerne eine Fanta, aber auch Cola ist komplett aus meinem Speiseplan verschwunden.

Auswirkungen

  • ich schlafe irgendwie besser, bin nicht ständig übermüdet
  • ich fühle mich irgendwie gesünder, wahrscheinlich reine Einbildung
  • mein Magen rebelliert nicht mehr ständig gegen mich
  • angeblich bin ich netter geworden, was ich allerdings abstreite und was bestimmt nix mit der Koffein-Sache zu tun hat
  • ich habe Konzentrationsprobleme - wo ich mich früher wirklich reinsteigern konnte, bin ich heute eher sehr oberflächlich

Der letzte Punkt stört mich persönlich wirklich enorm. Ich würde fast sogar soweit gehen zu behaupten, dass ich ohne Koffein ein schlechterer Programmierer bin. Ich werde dies die nächsten Monate aber weiter beobachten.

1