IONOS als Smarthost

Diese Seite beschreibt eine wichtige Änderung des Mailversands über Server von IONOS zum 15. Jan 2024.

Damit der mögliche Missbrauch, den ich auf IONOS SMTPAUTH Fail beschrieben habe, hoffentlich unmöglich.

Bisheriger Betrieb

Wie ich auf der Seite IONOS SMTPAUTH Fail beschrieben hatte, konnte in der Vergangenheit ein Benutzer mit gültigen Zugangsdaten zu einem IONOS-Postfach jederzeit die Absenderadresse fälschen und Mails versenden. IONOS hat allein die gültige Authentifizierung des Absender genutzt, um die Legitimation für die Nutzung des SMTP-Relay-Service zu prüfen. IONOS hat aber nicht geprüft, ob der Benutzer überhaupt auch Besitzer dieser Mailadresse oder zumindest aus der SMTP-Domain gekommen ist, mit der er versendet hat.

Dieses offene Scheunentor erlaubte natürlich Missbrauch durch Phishing. Ich konnte mir eine Domain bei IONOS kaufen und dann mit der Absenderadresse eines anderen IONOS-Kunden Mails versenden, die von der Empfängerseite nicht mal als Fälschung einfach erkannt werden konnte, da der SPF-Eintrag ja auch noch gepasst hat.

Änderung zu 15. Jan 2024

Diese Verhalten ändert IONOS endlich nun zu 15. Januar 2024. IONOS gleicht die Absenderadresse eines per SMTP authentifizierten Benutzer mit den Accountdaten ab und erlaubt nur noch den Versand mit der primäre Adresse des Postfachs.

Um die Sicherheit für unsere Kunden zu erhöhen, deaktivieren wir ab dem 15.01.2024 auf unseren E-Mail-Servern den Versand mit alternativen oder leeren Absenderadressen. Danach können E-Mails nur noch versendet werden, wenn die Absenderadresse die gleiche Domain hat, wie die des benutzten E-Mail-Postfachs.
Quelle: Wichtige Änderung für das Versenden von E-Mails mit abweichender Absenderadresse (Für Mail Basic und Mail Business )
https://www.ionos.de/hilfe/index.php?id=5380

Früher stand da noch, dass man eine Absenderadresse nutzen muss, die zum Postfach gehört, was deutlich strenger wäre

ALTER TEXT:
Um die Sicherheit für unsere Kunden zu erhöhen, können Sie ab dem 15.01.2024 nur noch E-Mails über unsere Server senden, wenn Sie in Ihrem E-Mail-Programm, Ihrem E-Mail-Server, Ihrer Software oder in Ihrer E-Mail-App für den Versand von E-Mails eine Absenderadresse verwenden, die zu Ihrem Postfach gehört. Ab dem 15.01.2024 ist es nicht mehr möglich, E-Mails mit alternativen oder leeren Absendern über unsere Server zu versenden.

Die gleichen Anforderungen gibt es auch für Webserver, die bei IONOS laufen und über die IONOS-Mailserver z.B. von PHP-Formularen ihre Mails versenden:

E-Mails, die Sie über Ihren IONOS Webspace senden, erfordern ab dem 15.01.2024 eine Absenderadresse, die zu einer Domain Ihres IONOS Vertrages gehört. Der Versand mit alternativen oder leeren E-Mail-Absendern über IONOS Server ist ab diesem Zeitpunkt nicht mehr möglich. Dies betrifft alle Skripte, Apps und Programme die auf Ihrem Webspace eingesetzt werden.
Quelle: Kein Versand von E-Mails mit abweichender Absenderadresse (Für Shared Hosting Linux und Managed Server )
https://www.ionos.de/hilfe/index.php?id=5459

Bei Webservern gibt es aber wohl die Lockerung, dass nur die Domain passen muss. Allerdings sollten sie sich zweimal überlegen, mit einer Mailadresse zu senden, auf die der Empfänger nicht antworten kann. Das bedeutet für sie als Kunde von IONOS mit Postfächern bei IONOS:

  • Sie müssen als Postfachbenutzer eine Adresse aus ihrer Domain verwenden
    Sie können aber weiterhin "jede " Mailadresse aus ihrer Domain verwenden und sich also auch als Geschäftsführer o.ä. ausgeben. Ich bin mal gespant, ob IONOS im Zuge als Header auch das reale Postfach addiert, damit man bei Missbrauch den Urheber feststellen kann.
  • Sie können als WebApplikation nur noch mit einer ihrer Domains senden
    Auch hier müssen Sie ggfls. ihre Konfiguration anpassen.
  • POP3-Sammler beim Versand
    Wenn Sie immer noch Mails per POP3 einsammeln, um diese einem internen Mailserver zuzuleiten, dann funktioniert der Empfang weiter.
  • Kein Relay für Mailserver
    Wenn ihr interne Mailserver heute alle Mails mit einem generischen Konto an IONOS zur Weiterleitung ins Internet sendet, dann wird dies ab 15.1 nicht mehr funktionieren. Ihr Server müsse für jede Mail passend zur Absenderadresse sich auch per SMTP mit den dazugehörigen Anmeldedaten authentifizieren. Das ist mit Exchange nicht möglich.
  • Skripte, Scan2Mail-Geräte etc.
    Wenn Sie heute mit lokalen Diensten Mails über IONOS ans Internet senden, dann muss auch hier der Absender zum Anmeldekonto passen. Dis ist nicht erforderlich, wenn der Empfänger bei IONOS selbst ist und Sie die Mail anonym einliefern. Dann müssen Sie aber den Spamfilter überwinden

Betroffen sind also alle Privatanwender und Kleingewerbetreibende, die mit mehreren Absenderadressen arbeiten und alle Firmen, die einen eigenen Mailserver mit SMTP-Versand über IONOS als Smarthost verwenden. Letztere müssen sich entweder einen anderen Smarthost suchen oder direkt per SMTP ins Internet versenden, was aber speziell mit "dynamischen IP-Adressen" nicht immer möglich ist.

  • Keine Meldung an Kunden
    Ich betreibe selbst noch Domains bei IONOS, auch wenn ich die MSXFAQ schon länger zu HostEurope umgezogen habe (Siehe MSXFAQ Offline Apr/Mai 2020). Dennoch wurde ich auf den Change durch einen Leser der MSXFAQ hingewiesen. In meinem Postfach oder Kundenportal habe ich bislang keinen Hinweis auf den Change in ca. 7 Wochen) gefunden. Vieleicht liegt das aber auch daran, dass ich dieses eigentlich missbräuchliche Verhalten auch nicht nutzen und IONOS nur die Kunden anschreibt, die betroffen sind. Technisch möglich ist das ja, dem Nutzer eine entsprechende Mails ins IONOS-Postfach zu legen
  • SPF
    Denken Sie daran, dass Sie bei einem direkten Versand per SMTP ggfls. ihren SPF-Eintrag aktualisieren müssen. Bislang könnten dort die Mailserver von IONS als "legitime Versender" enthalten sein und dort müssen Sie dann natürlich ihren eigenen Server mit statischer IP-Adresse oder einen anderen Mailrelay eintragen.

Wer heute noch Mail über IONOS als Relay versendet, und der Mailserver sich mit einem Konto anmeldet, wird ab 15. Jan 2024 die Mails nicht mehr versenden können. Sie merken das an der Fehlermeldung: "Sender address is not allowed."

Mir hätte es genügt, wenn IONOS beim Absender nur geprüft hätte, ob es die SMTP-Adresse bei dem Kunden gibt oder die Domain zum Kunden passt. Dann wäre der Smarthost-Betrieb oder der Versand mit einer Alias-Adresse weiter möglich gewesen und Missbrauch auf die Domain und damit im Verantwortungsbereich des Domaininhabers geblieben. Da IONOS aber kein Messagetracking oder Einlieferungsprotokoll wie Exchange Online hat, wäre die Suche nach dem Täter natürlich knifflig geworden.

Lösungswege

Ich vermute einmal, dass IONOS diese Meldung direkt beim SMTP-Versand nach dem "MAIL FROM" generiert und nicht erst die Mail annimmt um dann einen Unzustellbarkeit zu erstellen. Es hängt also von ihrem Mailprogram ab, wie es darauf reagiert.

  • Interner Mailserver
    Ein eigener Server, z.B. SMTP-SendConnector eines Exchange Servers, wird die Mail nicht versenden können und selbst eine Unzustellbarkeit an den Absender generieren. Der Anwender kann seine Mail also noch zum eigenen Mailserver übertragen aber bekommt nach kurzer Zeit eine Rückantwort vom eigenen Mailserver. Er muss dann natürlich seine Konfiguration anpassen, dass er die Mails direkt zu IONOS mit den passenden Anmeldedaten sendet und die Mail noch einmal senden. Das ist natürlich der nächste Sargnagel für den selbst betrieben Server.
    Als kleine Firma können Sie weiter bei IONOS bleiben aber sollten dann ihre Clients alle per IMAP/SMTP mit dem Postfach bei IONOS verbinden oder sie nutzen einen anderen Smarthost
  • Catchall
    Wenn Sie bei IONOS ein "Catchall"-Postfach betreiben, in welches alle Mails einer Domain zur Abholung durch einen POP3Sammler abgelegt werden, dann wird es allerdings knifflig, da Sie dann pro Mailadresse gar kein Postfach mit Anmeldung nutzen können. Dann bleibt nur der Weg über einen anderen Smarthost oder Direktversand
  • Thunderbird und Co
    Wen Sie heute schon keinen eigenen Mailserver haben aber mit ihrem Mailclient mehrere Postfächer parallel abrufen und mit unterschiedlichen Absenderadressen versenden, dann müssen Sie nun auch darauf achten, dass jedes Postfach eine eigene "Versandkonfiguration" hat. Ansonsten bekommt ihr Client die Mail nicht versendet und wird ihnen einen Fehler anzeigen.
    Wer heute bei IONOS ein Postfach nutzt aber mehrere Alias/Weiterleitungen eingerichtet hat, wird nun für jeden Alias ein eigenes Postfach mit Zugangsdaten bei IONOS und auf dem Client einrichten müssen.

Richten Sie sich daher schon einmal auf etwas Arbeit nach dem 15. Jan 2024 ein, wenn sie die Änderungen nicht schon vorher umsetzen.

Anderer Smarthost

Nirgendwo steht, dass Sie die Mailserver von IONOS zum Versand nutzen müssen. Natürlich ist dies erst einmal naheliegend und hat zudem den Vorteil, dass die Mail an ihren Büronachbarn spätestens bei IONOS wieder "lokal" zugestellt werden. Sie können aber auch andere Dienstleister nutzen, die bislang eher ihre Dienste zum Massenversand von Newslettern anbieten. Die meisten dieser Dienste erlauben aber auch einen Smarthost-Betrieb. So könnt ihr interne Exchange Server dann diesen Service mit Authentifizierung nutzen, um wieder mit beliebigen Adressen aus ihrer Domain zu versenden. Hier eine nicht repräsentative Auswahl:

Diese ganzen Provider versprechen gegen Geld, dass Sie die Mails von ihrem lokalen Server annehmen und möglichst zuverlässig auch an die Ziele zustellen. Da ist auch durchaus etwas dran, denn als SMTP-Relay können Sie die Mail z.B. per DKIM signieren und haben oft Vereinbarungen mit Providern hinsichtlich Allow-Listen und Deny-Listen. Während ihr eigener Mailserver hinter einer dynamischen IP-Adresse ohne DKIM, ARC, TLS etc. immer weniger gut Mails aufgrund von Spamfiltern zustellen kann, kann das über solche kommerziellen Relays weiter gelingen.

Vielleicht bietet ihnen ja auch ihr Internet Zugangsprovider der nicht mit dem Postfachprovider identisch sein muss, einen Smarthost zum Versand an, bei dem sie die Absenderadresse frei wählen können.

Der Versand ist dabei ja unabhängig vom Empfang. Wer keinen eigenen Mailserver betreibt, kann natürlich bei IONOS bleiben, wenn er für jede genutzte Mailadresse ein eigenes IONOS-Postfach mit Zugangsdaten anlegen und im Client entsprechend konfiguriert.

Umzug zu Exchange Online

Heute sollten Sie als Firma entweder den Mailbetrieb komplett "as a Service" einkaufen, wobei das bei einer reinen Nutzung für Mail weiterhin IONOS sein kann. Wer mehr Funktionen braucht, wird sich bei Microsoft 365 oder anderen Cloud-Diensten umschauen und die Postfächer einfach umziehen. Das ist über eine IMAP-Migration in Richtung Exchange Online sehr einfach und relativ schnell möglich.

  1. Microsoft 365 Tenant beantragen und Domain registrieren
    Das ist in der Regel innerhalb weniger Minuten gemacht und sie aktivieren entweder eine Trial-Lizenz oder kaufen gleich z.B. die erforderlichen Exchange Pläne oder vielleicht Microsoft 365 Business-Pläne. Wenn Sie heute einen "scharfen" SPF-Record haben, dann müssen Sie den "Include" für Office 365 addieren. Den MX-Record sollten Sie jetzt noch nicht ändern.
  2. Benutzer mit Kennwort anlegen
    Wer ein lokales AD hat, dann dazu AzureAD Cloud Sync nutzen. Sie können die Benutzer natürlich auch von Hand anlegen oder aus einer CSV-Datei importieren.
  3. Lizenz (Übergangsweise auch Trial) zuweisen und Postfach konfigurieren
    Damit gibt es ein leeres und direkt zum Versand nutzbares Postfach. Sie können ihren Mailclient also schon so konfigurieren, dass er das neue Exchange Online Postfach zum Versand nutzt.
    Achtung: Mails an ihre Kollegen landen schon im Exchange Online Postfach. Alle Mitarbeiter sollten als möglichst schnell auch das Exchange Online Postfach per OWA, Outlook, ActiveSync oder IMAP zumindest parallel mitlesen.
  4. Mailrouting
    Danach können Sie auch den MX-Record auf Exchange Online verweisen lassen. Wenn Sie etwas Zeit haben, können sie noch DKIM konfigurieren, über Transportregeln die Pflichtangaben (Disclaimer) anfügen lassen etc., was IONOS immer noch nicht angeboten hat.
  5. Datenmigration
    Übertragen Sie dann die Daten aus dem IONOS-Postfach direkt per IMAP zu Exchange Online (Siehe IMAP4 Migration mit Exchange Online). Natürlich können Sie es auch dem Benutzer überlassen, seine Mails per "Drag and Drop" umzuziehen.
  6. 3d Party Systeme
    Sofern Sie Scan2Mail u.a. Systeme nutzen, müssen Sie hier ggfls. auch noch einmal die Konfiguration anpassen.

Der ganze Prozess (ohne die Migration ) kann in wenigen Stunden umgesetzt sein, so dass sie nach kurzer Zeit neue Mails in Exchange Online erhalten und über Exchange Online auch versenden können. Exchange erlaubt sogar den Versand mit einer sekundären Adresse aber natürlich muss jeder Absender auch gültig sein.

Endlich!

Ich finde den Wechsel der "Versandbedingungen" von IONOS überfällt. Die bisherige Konfiguration, bei der jeder authentifizierte Benutzer mit einer beliebigen bei IONOS gehosteten Domain senden konnte, war hochgradig problematisch, wie sie weiter unten noch einmal nachlesen können. Endlich passt IONOS diese Einstellung an, auch wenn es den ein oder anderen mittleren Kunden erwischen dürfte. Eine Schuld würde ich hier aber eher bei den Kunden sehen, die einen eigenen Mailserver hinter einem POP3-Sammler verstecken. Das ist keine adäquate Nutzung von Mail im Internet und und war maximal in der Anfangszeit mit Wählverbindungen ein Notbehelf.

Alternativen gibt es zuhauf, indem Sie auf den eigenen Mailserver komplett verzichten und IONOS, Exchange Online oder andere Dienstleister nutzen. Wer weiter einen eigenen Mailserver nutzt, kann mit einer statischen IP-Adresse die Mails selbst senden und empfangen. Hier wäre aber zu überlegen, ob vielleicht ein cloudbasierter Spamfilter (z.B. NoSpamProxy o.ä.) die logische Fortsetzung für den Betrieb eines lokalen Mailservers ist, der nicht selbst versenden kann oder darf. Es geht ja primär um den ausgehenden Versand. Der Empfang wäre ja weiter ins IONOS-Postfach möglich.

Nun wäre es nur noch nett, wenn IONOS Server auch gleich eine DKIM-Signatur anbringen, wo denn der Absender jetzt auch feststeht.

Weitere Links