Stoppseiten: Was passiert mit E-Mails?
Von Mattias Schlenker
DNS-basierte Internetsperren kinderpornografischer Inhalte galten bislang als der einzig praktikable Weg, ohne Verfassungsänderung schnell ein symbolträchtiges Sperrgesetz auf den Weg zu bringen: Befürworter des Gesetzes argumentieren, dass eine manipulierte Nameserver-Antwort noch in die Phase vor dem Kommunikationsaufbau fällt und deshalb keinen grundrechtsrelevanten Eingriff in die Kommunikation selbst darstellt.
Die Funktionsweise der im “Gesetz zur Bekämpfung der Kinderpornografie in Kommunikationsnetzen” geplanten Sperren ist am ehesten mit einer manipulierten Telefonauskunft zu vergleichen: Ruft ein Surfer eine Webseite auf, wird zunächst bei einem Nameserver die einem Hostnamen zugehörige IP-Adresse angefragt. Bei den hierzulande geplanten und in einigen skandinavischen Ländern umgesetzten Sperren liefert der – auf staatliches Geheiß – manipulierte Nameserver des Internetproviders einfach die IP-Adresse des “Stoppseitenservers”, der entweder beim BKA oder beim Provider stehen wird.
Bislang konzentriert sich die Debatte lediglich auf die Sperrung von Webseiten, fast jeder Diskussionsbeitrag und jedes Rechtsgutachten geht davon aus, dass der Anfrage an einen Nameserver zwangsläufig ein HTTP-Aufruf, also die Abfrage einer Webseite folgt.
Doch was geschieht, wenn die Anfrage an den Nameserver vorgenommen wird, um in der Folge eine E-Mail zustellen zu können?
Bei E-Mail folgt ein zweistufiges Auskunftsverfahren: Zunächst wird der Nameserver angefragt, welcher Host denn als Mail-Exchange zuständig ist. Bei “großen” Domains ist das oft ein separater Server (“mail.domain.xyz”, “mx.domain.xyz” o.ä.; feste Regeln für den Namen existieren nicht), bei “kleinen” Domains häufig “www.domain.xyz”.
In der zweiten Stufe – der Anfrage nach der IP-Adresse des so bekannt gewordenen Mail-Servers – wird folglich auch bei der Mail-Zustellung mit der IP-Adresse des “Stoppseitenservers” geantwortet: Es folgt der Zustellversuch nicht an den eigentlichen Nameserver, sondern an den “Stoppseitenserver”.
An dieser Stelle wird spannend, wie der “Stoppseitenserver” mit den Zustellversuchen umgeht: Die sauberste Konfiguration wäre wohl, einfach gar keine E-Mails anzunehmen oder durch die DNS-Sperren verursachte Fehlzustellungen korrekt als unzustellbar abzuweisen. In diesem günstigsten Fall findet nur ein kurzer Dialog zwischen Sender- und Empfänger-Mailserver statt, in dem lediglich die Absenderadresse mitgeteilt wird: Der “Stoppseitenserver” erfährt nichts vom Inhalt der Nachricht.
Denkbar wäre jedoch auch eine weit perfidere Konfiguration, bei der das Mailsystem des “Stoppseitenserver” einfach alle Nachrichten an die Domain der Sperrliste als vermeintlich zustellbar annimmt, vielleicht weiterleitet, aber für die Analyse durch die Polizeibehörden speichert. So gewonnene Informationen dürften für die Strafverfolger weit interessanter sein als die Webserverlogs der “Stoppseite”, aus denen bekanntlich nicht hervorgeht, ob ein Aufruf absichtlich oder zufällig erfolgt (beispielsweise weil eine Spam-Mail eine Grafik auf einem auf der Liste verzeichneten Server einbindet).
Bereits der schwächere Fall der Abweisung einer Nachricht als unzustellbar greift in das Fernmeldegeheimnis ein, weil hier die “näheren Umstände erfolgloser Verbindungsversuche” bekannt werden. Eingriffe der Strafverfolgungsbehörden in Telekommunikationsvorgänge sind jedoch nur auf richterliche Anordnung zulässig.
Doch gerade auf die richterliche Anordnung wird – vorgeblich aus Zeitgründen – verzichtet, lediglich ein verwaltungsrechtliches Einspruchsverfahren im Nachhinein ist vorgesehen. Während der Gesetzentwurf im Detail die Sperrung auf Ebene der Auflösung in IP-Adressen fordert und sich auf Telemedienangebote konzentriert, trifft er keine Aussage darüber, was mit versehentlich “fehlgeleiteter” E-Mail passieren soll.
Wird das Gesetz in seiner derzeit diskutierten Form Realität, dürften sich Strafverfolger und Gefahrenabwehrer bald über die neuen, einfachen Möglichkeiten der E-Mail-Überwachung per Sperrlisteneintrag freuen.
Mattias Schlenker ist Autor und EDV-Berater
http://blog.rootserverexperiment.de/
http://blog.mattiasschlenker.de/
Mail-Server haben aber in der Regel eher das Format "domain.xyz", als "www.domain.xyz" – schließlich steht das "www" ja gerade fürs Web und hat mit Mail erstmal gar nichts zu tun. "Vorkommen" kann die "www.domain.xyz"-Konfiguration natürlich trotzdem.
Soviel für heute zum Thema Korinthen kacken ;)
"Es wird jedoch der Tag kommen, da wir [...] dieses Grundgesetz gegen die verteidigen werden, die es angenommen haben." (Max Reimann)
@1, im Prinzip kann man einen beliebigen Rechnernamen als Mail-Exchange eintragen, beim Lawblog liegt dieser sogar in Florians Domäne:
;; ANSWER SECTION:
lawblog.de. 3590 IN MX 20 mailin.fholzhauer.de.
Bei vielen kleinen Domains zeigt der MX auf domain.xyz oder www_domain_xyz, mit der Struktur der Mailadressen hat das zunächst nix zu tun.
Frage an die Techniker: Wäre es an dieser Stelle nicht möglich (und konsequenter), wenn der manipulierte DNS-Server in einem solchen Fall zurückmeldet, es gäbe gar keinen E-Mail-Server? Dann würde dieses Problem gar nicht erst auftreten.
Aus meiner Sicht ist die Verhinderung des Zustandekommens einer Verbindung übrigens sehr wohl ein Eingriff in die Kommunikation.
Wenn kein MX record vorhanden ist wird gemaess RFC 2821 als Fallback an den A Record zugestellt, der wiederum zeigt dann auf den Stoppseiten Server.
Die technischen Details sind letztlich zweitrangig.
Wesentlich ist: Würde die Politik bei solchen Aktionen von vorneherein auf Fachleute (technische UND juristische) hören, dann würde der ganze Unsinn nie das Licht der Welt erblicken.
Darauf kommt es aber den Politikern nicht an. Insofern ist eine ausufernde technische Diskussion nur begrenzt hilfreich. Z. Bsp. das Argument, das DNS-Sperren kinderleicht zu umgehen sind ist nicht der Punkt, das gilt auch für Geschwindigkeitsbegrenzungen. Wichtig ist das die Maßnahme "Abfangen der Kommunikation nach einer geheimen Liste einer unkontrollierten Behörde" völlig unvereinbar mit dem Rechtsstaat ist.
Das die Politiker zu blöde sind, sich technisch sauber beraten zu lassen, ist nur ärgerlich. Das sie die Gestapo wiedererwecken wollen ist gefährlich.
@Mattias Schlenker: prima Anmerkung.
@1: Wenn schon KK, dann aber auch ganz: www ist einfach nur einer von vielen denkbaren Hostnamen. Das hat mit dem WWW erstmal nichts zu tun.
@4: Steht doch oben: "Die sauberste Konfiguration wäre wohl, einfach gar keine E-Mails anzunehmen"
Vorspiegeln, dass kein Eintrag im MX vorhanden ist, geht und wäre wohl die sauberste Lösung (allerdings ein ganz erheblicher Eingriff in die Grundrechte) allerdings mit dem Folgeproblem aus RfC 2821 Section 5: "The lookup first attempts to locate an MX record associated with the name. If a CNAME record is found instead, the resulting name is processed as if it were the initial name. If no MX records are found, but an A RR is found, the A RR is treated as if it was associated with an implicit MX RR, with a preference of 0, pointing to that host.".
Es müßte also wohl auch der A-Record abgeschaltet werden und in diesem Moment dürfte das Konzept komplett auseinanderbrechen.
Aber angesichts des "Sachverstandes" der Regierung zweifele ich, dass denen das Problem auch nur ansatzweise bewußt ist. Das ist sowas von unausgegoren…
Interessant ist in diesem Zusammenhang, dass die "Sperren" (bzw. das Abgreifen) von Emails viel effektiver ist als das Blocken von HTTP Requests.
Um einen ungefilterten Zugang ins Web zu bekommen, muss ich nur meinen lokalen DNS umstellen.
Bei Mails muss aber mein SMTP-Server umkonfiguriert werden. D.h. im Zweifeln sendet GMX dann die Mail an das BKA…
Also ich finde die Betrachtung wenig differenziert.
- Der Gesetzentwurf fordert DNS-Blocking (oder -Spoofing) als Minimallösung.
- Otto N.s E-Mail-Client wendet sich normalerweise an "seinen" SMTP-Server (der normalerweise auch von seinem ISP betrieben wird). Wie dieser sich an den SMTP-Server des Empfängers wendet (d.h. dessen MX auflöst), bleibt also i.d.R. auch dem ISP überlassen, das Stopschild wird also nicht zwangsläufig aufgesucht.
- Eine Überprüfung der Empfängeradresse findet (bei obiger Konstellation) erst *nach* der Übermittlung der gesamten Nachricht statt.
- [Die "Stopschild-Server" sollten von vornherein bei den ISPs gehostet werden.]
- Eine Abfrage des MX-Records muß nicht notwendigerweise auf den "Stopschildserver" umgeleitet bzw. verfälscht werden (zumindest sofern dieser eine andere IP-Adresse hat).
…
Bei anderen Diensten treten natürlich in der Tat (andere) Probleme auf.
Aber darüber machen sich unsere Polit-Komiker auch [noch] keine Gedanken:
"Im Hinblick auf die derzeit nicht abschätzbaren Auswirkungen und Gesetzesfolgen erscheint es notwendig, daß die Anwendung des Gesetzes durch die Bundesregierung evaluiert wird." (BT-Drs. 16/12850) — Learning by doing oder Trial & Error
Johannes S.: Nö, Sie können Ihre E-Mails auch direkt beim Ziel-SMTP-Server einwerfen. Das einzige Problem dabei ist, dass Spam-Filter heutzutage extrem sensibel sind und Ihre E-Mails insbesondere dann, wenn Sie von einem Host hinter ein dynamischen IP-Adresse zugestellt werden in die Tonne kloppen oder gar nicht erst annehmen. Technisch gesehen ist SMTP aber schon immer so flexibel gewesen. Es ist nur eine Frage der Spam-Policies. Tatsächlich ist gerade diese Zentralisierung als Folge der Spam-Bekämpfung ein bitter Beigeschmack jeder sauberen Inbox. Alles hat eben seinen Preis. Sie wissen ja, wer Sicherheit gegen Freiheit eintauscht, verliert am Ende beides.
Besserwisser: Ich nenne das eher "Learning by screwing".
Werden denn die Provider durch den Gesetzentwurf überhaupt gezwungen, den MX-Record anzutasten?
Wenn für eine Domain nur ein A-Record existiert, der zur Stopseite umgeleitet wird, könnten die Provider auch von sich aus einen MX-Record erzeugen, der auf den richtigen Mailserver verweist.
@10, Besserwisser:
- Der aktuelle Gesetzesentwurf sieht tatsächlich ein beim Provider gehostetes "Telemedienangebot" vor, überlässt aber alle Details der Ausgestaltung dem BKA, konkretisiert Zugriff und sonstige Dienste nicht.
- Zur Frage, wer auflöst: Gerade kleinere Provider dürften für ihre DSL-Kunden und die eigenen SMTP-Systeme die gleichen (also die manipulierten) Mailserver verwenden.
- Es gibt da draßen einige kleine Firmen, die ihr Mailsystem auf einer kleinen Appliance hinter einem DSL-Anschluss hosten und dadurch fast zwangsläufig auch für den MTA den manipulierten DNS nutzen, 11/Platzbiber geht auf diese Problematik gesondert ein.
Also bei der Youporn-Sperre durch Arcor haben die MX-Records afair auf localhost gezeigt, was zu lustigen postfix-Meldungen auf mail-relays führt: Record loops back to myself! Hatte ich mal bei einem Spammer.
Damit wird die Mail an den postmaster geleitet. Auf jedem der Relays. Nun obliegt es also am postmaster, die mail zu verwerfen, weiterzuleiten, etc, und zunächst herauszubekommen, was eigentlich los ist.
Wie sie es auch machen, es gibt keine saubere Lösung, es sei denn sie kopieren die original-Records aus der Zone. Das müsste über das hacken eines Caching NS machbar sein, der für bestimmt Records (A) immer seine lokale DB benutzt und nicht den Original NS anfragt.
Mit dem signieren der DNS-(Root)zonen ist das gesamte Modell übrigens hinfällig. Derzeit weigern sich die USA die Kontrolle über die Schlüssel herauszugeben, auch mit Hinweis auf solche Staaten wie Deutschland, die die Meinungsfreiheit der amerik. Verfassung nicht umsetzen.
Im Fall von signierten Zonen sagt der Resolver in meinem Rechner nämlich, dass er keinen validen Eintrag findet. Also kein Stoppschild.
Der Betreiber des Nameservers wird sich auf jeden Fall wundern, warum aus Deutschland plötzlich nur noch von einer handvoll IP's (den Sperrservern) die Anfragen kommen, und die Anfragen für A-Records auf Null zurückgehen. (bind und rrdtool malen da schöne Statistiken)
Auf jeden Fall wird der Anbieter vorgewarnt.
Zurück zur Mail:
a) den Port schliessen
Mail bleibt beim Zusteller in der Queue, bis der server (je nach Konfiguration erst nach einer Woche) festellt geht nicht und zurückschickt.
b) den Port mit einem Fake-MTA bestücken, der alle mails
ablehnt.
Entweder durch einen 400'er Fehler temporär?
=> Siehe a – der Server wird es immer wieder versuchen.
Oder durch einen 500'er permanenten Fehler?
=> Der Absender geht davon aus, die Adresse sei falsch.
c) Mit Weiterleitung an das ursprüngliche Ziel?!
Geht teschnisch nicht, ohne eine Spamschleuder zu bauen, weil sie
in dem Moment Relaying für diese Domains erlauben – man müsste die Sperrliste als Provider also zusätzlich in ein Virtual Mail-Setup mit einbauen.
In diesem Fall wundert sich der Empfänger natürlich zusätzlich zu den ausbleibenden DNS-Anfragen auch. dass alle Mails nur noch von den Sperrservern eingeliefert werden, ohne dass diese sich möglicherweise in den Header schreiben.
Denn die Sperrserver werden mit sicherheit keine Received by Stoppserver01 – Zeile in die Mailheader einfügen.
Ausserdem kennen sie die tatsächlich vorhandenen Empfänger nicht, so dass sie erst Recipient verification machen müssten. In jedem Fall würden sie die Mails aber zwischenspeichern müssen, da sie erst nach Auswertung des To-Envelopes entscheiden können, wohin die Mail soll.
Schliesslich: Wer sagt mir denn, dass in der DNS-Zone der gestoppten Domain überhaupt valide MX-Records stehen? Vielleicht zeigt der ja schon ins nirvana – und dann?
Was passiert mit den nicht zustellbaren Emails? Bouncen an den möglicherweise gefälschten Empfänger? (SPAM)
Bouncen an den Absender, "Hello, this is stoppserver01, the following message could not be delivered"?
Letzlich: Debugging ist damit unmöglich, als nicht-Jurist stelle ich mir das zu bewerten zumindest als Herausforderung vor.
Technisch: Chaos³
Florian
@6 TheDoctor
>Das die Politiker zu blöde sind, sich technisch sauber beraten zu lassen, ist nur ärgerlich. Das sie die Gestapo wiedererwecken wollen ist gefährlich.
Falsch, meiner Meinung nach sind die Politiker nicht blöde. Denn sie wissen genau,was sie tun.
Ob sich diese Politiker noch den Rechtsstaat verteidigen, oder ihn durch einen Präventivstaat (Prantl) ersetzen wollen, in dem jeder präventiv weggesperrt werden kann, ist allerdings die Frage.
Vielleicht sollten wir wenn das Gesetz wirklich kommt gemeinsam nach Berlin ziehen und die Regierung stürzen. Solange wir das noch dürfen…
Jetzt wirds höchste Zeit im Freundes- und Bekanntenkreis Verschlüsselung flächendeckend einzuführen.
@15. GxS:
Volle Kanne wie vdL ins technische Messer zu laufen ist schon blöde.
Nichtsdestotrotz haben sie aber Recht, auf strategischer Ebene wissen einige von ihnen (Schäuble, Merkel), was sie tun.
Mir kommt es genau auf diese strategische Ebene an.
Sich an den technischen Details abzuarbeiten ist nicht zielführend, die rechtspolitschen Grundfehler müssen das Ziel sein.
Meiner Kenntnis nach (bin aber kein Jurist) müsste die strafrechtliche Verwertung von E-Mail-Verkehr ähnlich wie die Zuordnung von IP-Adressen zu Personen schwierig sein, da das SMT-Protokoll keine Autentifizierung vorsieht. D.h. jeder kann in jedermanns Namen Emails schreiben (Kenntnisse jenseits des Email-Clients vorausgesetzt).
Eine Ausnahme sollten digital signierte Emails darstellen, aber da kenne ich die Rechtslage nicht.
Dennoch kann natürlich der Mailtext (sofern nicht verschlüsselt) ggf. mitgelesen werden, was "ungut" ist.
@18, TheDoctor:
Um den Irrwitz der Gesetzesfolgen zu beschreiben kommt man um die Technik nicht herum. In der Beziehung scheinen wirklich einige nicht zu wissen, was sie tun.
Verhältnismäßigkeit läßt sich ohne Kenntnis der Tragweite nicht einschätzen.
Die rein juristischen Fehler lassen wir dem BVerfG als Futter :)
Was passiert eigentlich, jemand spammails verschickt, die im Prinzip als payload 'nur' das Stoppschild in der Mail einbetten, so dass dieses beim Betrachten geladen wird ?
Oder jemand anfängt, gezielt Mails mit gefälschtem (aber existenten) Absender zu verschicken ?
@21, Patient:
Zitat:
Um den Irrwitz der Gesetzesfolgen zu beschreiben kommt man um die Technik nicht herum. In der Beziehung scheinen wirklich einige nicht zu wissen, was sie tun.
Verhältnismäßigkeit läßt sich ohne Kenntnis der Tragweite nicht einschätzen.
/Zitat
Jo, schon richtig.
Aber die technische Bewertung ist nicht der Kern der Sache, die Grundrechtsverletzungen sind das wichtige.
Extrembeispiel:
Eine durch ein Gericht abgesicherte Sperre eines exakt und nachvollziehbar identifizierten Webangebotes in den USA, das gezeichnete Pornographie enthält, die dem Anschein nach Kinder darstellt (in den USA legal, hier strafbar) KÖNNTE grundrechtskonform sein. Hier kann das Angebot auch nicht entfernt werden, es ist in den USA ja legal.
Das dieses Beispiel die Idiotie der Bestrafung opferloser Verbrechen und von Moraljustitz unmittelbar offenlegt steht auf einem anderen Blatt. Das war zwar schon immer so, aber das Internet als erstes wirklich GLOBALES Informationsmedium legt das Problem schonungslos offen.
Heise liest mit:
heise.de/newsticker/Web-S...-53–/meldung/140340
Achtung: Im Link werden mal wieder die zwei Dashes vor /meldung durch einen ersetzt! :-(
Für Tipp-Faule: http://petitionsforum.de/viewtopic.php?id=639
@23, TheDoctor:
"Aber durch die Zeichnung werden die Leute [die ständig zufällig darauf stoßen] doch angefixt! Wir brauchen die Sperren zur Prävention!"
(Fiktives Zitat Ende)
… irgendwie hatte ich doch vor ein paar Tagen schonmal ein deja vu,
als 1&1 plötzlich beschlossen hat, die MX-Records von yahoo.com zu verbiegen…
Siehe auch: http://www.idioten-notschlachten.de/blog/?p=136
Inzwischen scheint's wieder korrigiert zu sein.
Der Witz ist nämlich, daß Spamfilter-Techniken bei der Zieladresse bereits dafür sorgen werden, daß das völlig in die Binsen geht, weil nämlich SPF und Domainkeys nicht mehr richtig funktionieren…
@26, Ursula von den Laien:
Völlig spassfrei:
DAS ist die Begründung für die Bestrafung opferloser Verbrechen, genau das und nichts anderes.
Mit gleichem Recht könnte man das Ansehen eines Tatorts, in dem jemand sichtbar umgebracht wird, verbieten.
Das ist nicht lustig.
DNS-Sklave: Einfach den Teil zwischen newsticker/ und /meldung wegschlumpfen!
So: http://www.heise.de/newsticker/meldung/140340
Das Abweisen greift nicht unbedingt ein.. ein abweisen kann man auf verschiedenen Wege machen.. einmal einen Mail Server aufestellen, und diesen so konfigurieren dass er den Mailserver des Kundenproviders eine Fehlermeldung gibt …
oder
eben keinen Aufstellen.. der Mailsver probiert den mx unter der IP zu erreichen und erreicht ihn eben nicht.. nach ein paar Versuchen gibt der Mail Server auf und der Kunde erhält von seinen Anbieter ein "unzustellbar" zurück (Domain nicht erreichbar z.b)
oder …
einfach keinen mx Eintrag zurückschicken oder die z.b 127.0.0.1 …
Von daher … änder aber nix dass die sperren eh probleme machen
Da hat sich ein kleiner Fehler in Absatz 6 des Artikels eingeschlichen.. Hier mal der Patch dafür ;)
- Es folgt der Zustellversuch nicht an den eigentlichen Nameserver, sondern an den “Stoppseitenserver”."
+ Es folgt der Zustellversuch nicht an den eigentlichen Mailserver, sondern an den “Stoppseitenserver”."
@18 TheDoctor
>Volle Kanne wie vdL ins technische Messer zu laufen ist schon blöde.
Deswegen war sie ja auch so sauer auf das Gutachten des wissenschaftlichen Dienstes des Bundestages ("unterirdisch"),
danach konnte sie schlecht die Ahnungslose mimen…
(und als pädophil diffamieren kann sie den Dienst des Bundestages auch nicht…)
@30: keinen mx Eintrag zurückschicken wäre nicht gut, weil dann nach RfC 2821 auf A-RR zurückgegriffen wird (und das dürfte wohl der auf die Stopp-Seite verbogene sein…). localhost dürfte wohl sinnvoller sein (wobei ich da momentan die Nebenwirkungen noch nicht überschaue).
@all: Hier sind ja einige interessante Argumente zusammengekommen, die auch auf Unsauberkeiten in meiner Argumentation hinweisen. So z.B. der Einwand, dass die Mailsysteme der Provider andere Nameserver benutzen können. Tatsächlich sind reine Hostinganbieter damit außen vor, bei Anbietern, die sowohl Hosting als auch Zugänge anbieten, ist die Frage dagegen schwieriger zu beantworten. Der Gesetzentwurf schafft hier jedenfalls keine Klarheit.
Sehr gut gefallen hat mir Florians Detailanalyse, die jeden technisch versierten Leser zum Schluss bringen dürfte, dass Sperransätze, die an Punkten der Infrastruktur ansetzen, an denen sonst nur Unrechtsregime und Kriminelle drehen in großem Stil eingesetzt, massive Kollateralschäden für bürgerliche Rechte drohen.
@17, Alex: Verschlüsselung hilft nur bedingt — Sender und Empfänger einer Mail sind bekannt, der Inhalt der Kommunikation ist oft nur zweitrangig, wenn es um das Ausforschen von Beziehungsgeflechten geht.
Unterdessen fordern einige CDU-Politiker bereits die Blockade "auf der Ebene der Internetprotokoll-Adressen als Mindestmaßnahme", wohl ohne zu wissen, dass damit im ungünstigsten Fall sämtliche Dienste von 50.000 Domains vom Netz genommen werden können — derart viele Domains auf einer Maschine dürften beim Shared Hosting nicht ungewöhnlich sein.
@24, Der DNSSEC-Brief hat noch nicht die große Runde gemacht und ist sehr optimistisch formuliert (was eine zügige Implementierung angeht). Es freut mich daher besonders, dass Detlef Borchers auf meinen Brief und nicht den korrespondierenden Heise-Artikel vom März verlinkt.
@34
Aber was würde dagegen sprechen (lassen wir politik und sinn oder unsinn der Sache ansich mal weg) , wenn der mx eintrag auf die Stopp Seite läuft? Wenn dort kein Mail Exchange Server installiert ist läuft doch das ganze ins leere .. Der Mailprovider probiert es ein paar mal .. und gibt auf.. und schickt die Mail dann als unzustellbar zurück (zwar nicht der richtige Grund .. aber ok). Und hierbei werden auch keine Informationen zum Absender geloggt.. wie auch.. die Mail wird ja gar nicht angenommen.
Ich denke das ist eher das geringste Problem mit den Mails.. schlimmer sind da schon die vielen anderen Seiten die bei dns vermutlich dann mit gesperrt werden.. Foren .. blogs und co..
@Mattias Schlenker: <a href="http://www.freepatentsonline.com/EP0111186.html">Verwerfen des Schlosses</a> meint folgendes:
"Wird nun bei einem sachgerecht verschlossenen Sicherheitsabschluss, beispielsweise bei einer Panzertür, das Kombinationsschloss im Sinne der Dekodierung der in beliebiger Winkelposition zueinander stehenden Kodierscheiben betätigt, so ist dies nichts anderes als ein gezieltes Ordnen der Positionen aller Entriegelungsstellen auf der Kodierscheibe. Wird dieses Ordnen rezeptgemäss durchgeführt und der Schlossmechanismus durch "innere" Entriegelung zur Oeffnung betätigbar, so wird oder ist vorderhand die zum Oeffnen bewirkte Ordnung der Kodierscheiben gleichsam eingefroren. Dieser Zustand hebt sich nach Wiederverschliessen der Tür nicht einfach auf, die Aufhebung der Ordnung muss ganz gezielt vorgenommen werden, und der Fachmann spricht dabei von Codeverwerfung. Das Verwerfen des Codes darf, was in der Praxis leider doch oft geschieht, nicht vergessen werden; denn bei geordneten Kodierscheiben lässt sich die mittels Riegeln fest verschlossene Tür ohne weiteres wieder öffnen."
Doch ganz einfach, gelle?
@KaiBerlin: Danke, ich werde es nachtragen — sofern Du das nicht per Kommentarfunktion selbst erledigst.
@allothers: Es geht um den Zettelklotz: blog.mattiasschlenker.de/...nser-land-vertraut-ihnen/
@Mattias Schlenker: Hab ich ja versucht, aber das Captcha liebt mich nicht.
@allothers: Es handelt sich um jene hochbrisanten Papiere des Bundesamtes für Verfassungsschutz, die Matthias zugespielt wurden. In ihnen geht es um die Sicherung von Verschlußsachen, den Konkurrenzkampf der Dienste in Europa und um das fragile Verhältnis von Verfassungsschutz und Demokratie.
Merke: Es gibt keine befreundeten Dienste sondern nur befreundete Länder.
Any questions?
Wilde Spekulationen….
Dabei ist es klar: Der MX einer Domain, die auf den Stoppserver umgeleitet wird, wird doch nicht angefaßt. Es wird doch nur der A-Record verbogen. Das bedeutet, dass die Mail denselben Weg nimmt wie bisher.
Sonderfall: Ein Mailserver hostet auch Seiten, die gesperrt werden sollen. Wird dann der A-Record verbogen, werden die Mails nicht mehr korrekt zugestellt. Nur werden BKA und Konsorten den Teufel tun, diese Mails anzunehmen, und sollten die Stoppserver von den Providern betrieben werden, werden diese tunlichst ebenfalls die Finger von den Mails lassen. Schließlich ist es ja möglich (und sehr wahrscheinlich), dass der Mailserver Mails für Domains empfängt, die nicht gesperrt sind.
Wer nun Verschwörung wittert, dem kann man nur sagen: Zu spät. Wenn sich das BKA für Mails interessiert, bekommt es die viel einfacher, zuindest wenn der Empfänger in DE sitzt. Sitzt er nicht hier und der Versender auch nicht, ist das BKA nicht involviert(!). Sitzt nur der Versender hier, und wird bereits konkret ermittelt, bekommt das BKA ebenfalls die Mails ohne große Probleme. Naja, einen Richter müssen sie (noch) überzeugen. Eine Erlaubnis für das Abfangen von Mails mit so viel Kollateralschaden gibt hoffentlich kein Richter.
Von daher zeigt der Artikel nur, dass sich jemand Gedanken macht, die sich die Politiker sowieso nicht machen werden, weil sie überhaupt nicht wissen, wovon wir hier reden. Und das war genau das Problem.
@40:
> Wer nun Verschwörung wittert, dem kann man nur sagen: Zu
> spät. Wenn sich das BKA für Mails interessiert, bekommt es
> die viel einfacher, zuindest wenn der Empfänger in DE sitzt.
Nö. So einfach kommt das BKA (oder wer auch immer) nie wieder an Mails, die an "KiPo" (oder Raubkopie/Warez/…, halt böse[TM]) Domains gesendet werden. Denn …
> Schließlich ist es ja möglich (und sehr wahrscheinlich),
> dass der Mailserver Mails für Domains empfängt, die nicht
> gesperrt sind.
… das greift hier meiner Meinung nach gar nicht. Wenn eine MX Abfrage kommt, wird die genauso umgebogen wie beim A-Record auch. In dem Fall wird als MX bspw. einfach mail.rollis-und-zensursels-stoppserver.de zurückgegeben. Alles andere wäre auch ziemlich dümmlich (natürlich davon abgesehen, dass der Plan von Rolli und der Zensursel meiner bescheidenen Meinung nach eh absolut dämlich ist und lediglich von abgrundtiefem Unwissen und einer extrem gesteigerten Profilierungssucht zeugt, was selbstverständlich auch für die "Nachzügler" [Ja, Netzsperren, super, da simmer dabei, ...] gilt)
Im Endeffekt wird es wohl so kommen, dass jegliche DNS Abfrage auf die "Zieldomains" umgebogen wird. Wenn schon, dann richtig.
Denkbar ist aber auch viel wenn der Tag lang ist …
A-Records und MX – Records haben nicht zwingend miteinander zu tun.
Es ist ohne weiteres möglich MX (Mail eXange) Angaben zu machen die mit der Domain absolut nichts zu tun haben. Jeder Registrar bietet das mittlerweile an.
Wer wirklich Wert auf seine Daten legt, Abmahner aus dem Weg gehen will, sucht sich ohnehin einen Anbieter aus der Nicht-EU.
Ich selber habe in den letzten drei Jahren meine Internetaktivitäten in die USA (guter ping) verlegt und bin damit mehr als zufrieden. Dort zwingt mich niemand ein Impressum zu schalten, und wenn ich über bestimmte Firmen bloge, dann muss ich keine Angst mehr haben, nächsten Tag einen Brief von RA vorzufinden mit Klageandrohung. Zudem kündigt der Hoster nicht einfach meinen Vertrag – ist mit dreimal hier in Deutschland passiert – nur weil der Hoster keine Lust hat, als 'Mitstörer' in die Haftung zu kommen.
Die Mails hat die Regierung doch glatt vergessen. Die werden wie bisher an den Empfänger weitergeleitet, der dadurch sein "Geschäft" weiterbetreiben kann, auch wenn die Webseite das STOP-Schild zeigt…
Der Eintrag bringt einen interessanten Gedanken auf, ist aber technisch laienhaft geschrieben.
Rechtlich laienhaft ist er zudem, schliesslich gibt es zum Abfangen von eMails eine einschlägige Rechtsprechung.
Folgendes Zitat von Dorothee Bär (CSU) zum Scheitern des Initiativantrags einiger SPD-Mitglieder gegen den Gesetzentwurf der Bundesregierung zur Bekämpfung der Kinderpornographie im Internet fand ich auf der Webseite <a href="http://www.csu.de/partei/unsere_politik/familie_frauen/kinder_jugend/16561095.htm" rel="nofollow">http://www.csu.de/partei/unsere_politik/familie_frauen/kinder_jugend/16561095.htm</a>:
"[...]Die SPD wäre dadurch Gefahr gelaufen, Straftaten im Internet Vorschub zu leisten, von der Vergewaltigung und Erniedrigung kleiner Kinder bis hin zu Urheberrechtsverletzungen in breitestem Ausmaß gegenüber Künstlern und Kreativen."
Man beachte die Steigerung!
Die Lösung dieses Problems ist trivial:
Man klemmt die DNS-Server der Provider, die mit gefälschten Antworten auf die Stopseite umleiten, selbst vom DNS ab. Denn auch DNS-Server der Provider müssen selbst fragen, wo sie etwas finden.
So wie man einem unzuverlässigen Zusteller mit hohem Schwund keine Post mehr übergibt, so gibt man unzuverlässigen DNS-Servern keine Daten mehr. Sie werden damit komplett funktionsunfähig.
das ist nur ein Test, da es mir nicht gelingt, eine andere Meldung (Zensurgesetz) kommentieren…
Komisch, das ZugErschwG vom 16.6 mag mich nicht und meine Meinung:
Gesetzgebungskompetenz:
Stellungnahme aus aus der Expertenanhörung.
bundestag.de/ausschuesse/...llungnahmen/16_9_1554.pdf
oder
bundestag.de/ausschuesse/...llungnahmen/16_9_1546.pdf
ab Seite 20
Die wissen also, was sie tun…
P.S. @Maschinenraum: wie lange wird man eigentlich gesperrt, wenn man sich bei der Adresse vertippt?
Zuerst kam die Meldung, dass ich den Beitrag schonmal verschickt habe, andere Postings von mir wurden aber auch nicht akzeptiert
@58: Das ist ein relativ intelligentes Spamerkennungssystem. Und eine IP-Adresse, die sechs Mal versucht, einen nahezu gleichen Kommentar loszuwerden, der wird natürlich mit entsprechend hoher Sperre bedacht, logischerweise. In Zukunft einfach etwas Geduld, das wird dann in den nächsten Stunden manuell freigegeben bzw moderiert.
Mehrfach das gleiche Kommentar abgeben führt höchstens dazu, dass die IP-Adresse von Akismet als Robot erkannt wird, und dann so ziemlich jedes WordPress-Weblog da draussen Sie als Spammer identifizieren wird, da Akismet hier einen zentralen Ansatz benutzt.
@ 59
Danke für die Info