Ich stelle mal eine Information, die ein Leser aufgeworfen hat, hier im Blog ein. Wer auf eine Block-Liste bei spamhaus.org gerät, kann bei der Plattform ein "Delisting" beantragen. Derzeit scheint es aber arg lange zu dauern, bis diese Mails bearbeitet werden können.
Hintergrund spamhaus.org
Bei spamhaus.org handelt es sich um ein Projekt, welches sich der Bekämpfung von E-Mail-SPAM zum Ziel gesetzt hat. Laut Wikipedia sitzt das 1998 von Steve Linford gegründete Spamhaus-Projekt im Fürstentum Andorra. Das Projekt führt verschiedene Block-Listen, die E-Mail-Server abfragen können, um Spammer identifizieren und die Annahme entsprechender E-Mails ablehnen zu können. Gerät man mit einer IP bzw. Domain auf eine dieser Sperrlisten, ohne Spammer zu sein, werden Mails nicht mehr an alle Empfänger zugestellt (da auf dem annehmenden Server anhand der Block-List für den Empfang gesperrt). Der Administrator des Senders kann sich dann darum bemühen, aus der Sperrliste ausgetragen zu werden (Spamhaus erklärt es hier).
Delisting stark verzögert?
Blog-Leser Stefan hat mich heute per Mail kontaktiert, weil er in Probleme mit Spamhaus gelaufen ist. Dazu schrieb er mir, dass er eine kleine 5-Mann-Firma als Kunden habe, die einen Server bei Hetzner gebucht haben, dann aber mit der IP dieses Servers auf die Sperrliste beim spamhaus.org geraten sind.
Stefan wies mich in der Mail darauf hin, dass spamhaus.org selbst seit einigen Tagen schreibt, dass Anträge auf Delisting momentan verzögert bearbeitet würden.
Confirmation emails for some delisting requests are currently experiencing delays. We are working to resolve this as quickly as possible – we apologize for this inconvenience. Please review this page for an update on status.
Dies hält der Leser für eine eine Untertreibung sondergleichen. Wie bereits angerissen, ist die IP-Adresse eines Hetzner-Servers eines Kunden in den Sperrlisten von spamhaus.org gelandet. So etwas kann immer passieren.
Der Leser hatte ein Delisting beantragt, und der Server war einige Minuten später wieder freigeschaltet. Schlecht war, dass dieses Spiel noch zwei Mal passierte. Ab da muss der Administrator dann einen Grund gegenüber spamhaus.org angeben, warum die blockierte IP oder Domäne wieder freigeschaltet werden soll.
An dieser Stelle stellt sich für mich die Frage, warum der Hetzner-Server auf die Sperrliste bei spamhaus.org gerät.
Stefan schrieb mir, dass sich auf seinen Antrag tatsächlich ein Mensch gemeldet habe, der im Ticket anmerkte, das die HELO/EHLO-Identifizierung des SMTP-Servers nicht zum DNS und PTR passt. Das wurde vom Blog-Leser überprüft und als nicht stimmig erkannt, so seine Mitteilung. Der Leser hat dann den Test, den der spamhaus.org-Supporter vorgeschlagen hatte, durchgeführt. Alles sei grün und als in Ordnung angezeigt worden. Der Leser gibt an, dass die IP des Kunden auch auf keiner anderen Sperrliste eingetragen war.
Plötzlich sei die IP-Adresse auf der Sperrliste wieder "delisted" gewesen und die restliche Woche funktionierte alles wieder. Zum 30. Juni 2025 sei die Benachrichtigung gekommen, dass die IP-Adresse des Hetzner-Servers erneut auf der Sperrliste von spamhaus.org gelandet sei. Sprich: Es muss am Wochenende vor dem 30. Juni 2025 etwas passiert sein, was diesen Vorgang getriggert hat. Am Wochenende arbeitet aber niemand, beim Kunden und es werden keine E-Mails verschickt.
spamhaus.org macht "zu"
Wenn die Postfächer des Kunden nicht kompromittiert sind, kann die Sperre nicht durch Spam-Aufkommen oder ähnliches des Kunden veranlasst worden sein. Nun schreibt der spamhaus.org-Support:
Thank you for contacting Spamhaus Removals, There have been too many removal requests for this domain or IP. Please do not submit more, and allow time for the existing requests to be processed. Thank you for your patience!
Ist natürlich Scheibenkleister, wenn man davon ausgeht, dass der Hetzner-Server sauber ist und die IP unberechtigt gesperrt wurde. Obiger Text sieht wie eine Standardantwort aus und das Ticket wurde geschlossen. Am 30. Juni 2025 konnte die Firma nun keine Rechnungen mehr versenden.
Der IT-Dienstleister hat dann dann nochmals ein Ticket beim spamhaus.org-Support aufgemacht. Die Antwort lautete:
Thank you for contacting Spamhaus Removals, The number of removals submitted have exceeded our threshold. Please do not submit more, and allow time for the existing requests to be processed. Thank you for your patience!
Damit ist der Betroffene durch spamhaus.org elegant ins Abseits manövriert worden. Der Leser schrieb, dass er keine Rückmeldung erhalten habe, was los ist. Es gebe auch keine Telefonnummer, keine E-Mail-Adresse für Kontaktanfragen. Der Leser schrieb: "Jeder Provider (z.B. GMX) nutzt diese RBL ohne Gegenkontrolle und löscht die Mails einfach. Das ist doch Wahnsinn. Bis jetzt ist die IP gesperrt."
Unterschiedliche Prüfergebnisse
Stefan schrieb, dass der Kunde mehrere Domains beim Provider habe, welche aber alle keinen Mail-Service nutzen. Der DNS-Eintrag für den PTR-Record sei korrekt, EHLO/HELO stimme, SPF stimme, DKIM stimme. Er hat mir dann folgenden Screenshot einer Prüfung mit AboutMy.email geschickt.
Sieht gut aus, wenn auch Yahoo- und Google-Kompatibilität bemängelt wird. Ich habe dann die URL des Servers bei diesem Dienst prüfen lassen und bekam die nachfolgende Anzeige.
Das sieht etwas anders aus und würde Probleme erklären. Ich habe den Leser kontaktiert und darauf hingewiesen. Die Antwort des Lesers war, dass der Prüfdienst AboutMy.email nichts moniert. Und es hieß: "Ja, es ist eine DMARC=none halt als Platzhalter aber das sollte eigentlich egal sein, selbst Google reicht das wenn man den Header prüft."
Hetzner hat laut Leser selbst auch ein Ticket geöffnet, aber bisher keine Antwort geliefert. Der Leser hat auf das allererste Ticket eine Antwort erhalten, welche ihn aber auch nicht weiterbringt:
Spamhaus observes 213.133.*.* hitting spam traps, in a fashion highly reminiscent to snowshoe spam operations abusing various larger cloud ISPs. The last detection occurred at 2025-07-01 00:1x UTC.
Der Leser schrieb als Antwort, das der Server 18 Domänen hostet (wobei nur 3 davon mailen) und es gestern 44 ausgehende E-Mails gab, das Ganze also lächerlich sei. Mir ging "Denkbar wäre auch noch, dass der Server mit der Domain irgendwie was eingefangen hat. " durch den Kopf, da dort einige Angebote gehostet sind. Der Ball liegt jetzt mal bei Hetzner, schrieb der Leser und ergänzte, dass man die Hauptdomäne weg migrieren könnte, die anderen leider nicht. Die Einstellungen haben sich seit Jahren nicht geändert, das Nutzerverhalten ebenso wenig.
Der wartet, was Hetzner noch schreibt. Mir selbst fehlen da die Erfahrung und die Zeit, alles final zu beurteilen (ich betreibe auch keine eigenen E-Mail-Server), stelle aber mal die Beschreibung des Falls online. Inzwischen hat ja das Schwarmwissen der Leserschaft noch Hinweise, was im Argen liegt, ergeben – ich habe daher die Kommentierung deaktiviert.
Ergänzende Hinweise zum Fall
An dieser Stelle mein Dank an das Schwarmwissen, wenn ich mir auch gewünscht hätte, dass der Kommentarstil an der einen oder anderen Stelle "smoother" rüber gekommen wäre. Der Leser schrieb mir am späten Abend des 4. Juli 2025 folgendes:
danke für die Info. Ich war etwas beschäftigt aber nach einigem hin und her hat mir dann doch ein Agent (der der Anfangs das mit dem EHLO/HELO geschrieben hat) gemeldet.
Ich habe das dann auch mit Hetzner kommuniziert. Am darauf folgenden Tag war das Listing dann kommentarlos entfernt.
Hetzner konnte auf dem Server nichts ungewöhnliches feststellen (wir haben da keinen Shellzugang, das ist nur Web/Mailserver).
Spamhaus schrieb dann eben von dem generischen Servernamen, und Hetzner sagt, dass sie den halt nicht anpassen können, wenn mehrere Domänen auf dem selben Host laufen (was ja auch klar ist).
Ich werde mal den DMARC rausnehmen, da hatten einige Kommentatoren recht. Ich werde es dann auch dabei belassen.
MVP: 2013 – 2016
eine rbl wird von einem empfangenen System verwendet.
Dieses lehnt dann ggf. die Annahme ab.
Man kann also schon versenden.
ich weiß nicht warum das immer falsch dargestellt wird.
jede rbl macht nur Vorschläge, was ein Empfänger Sperren könnte oder abwerten.
Keine rbl sperrt irgendwas.
Das macht der Admin des Empfängers.
Für einen Laien sieht es dann u
U. so aus als würde er keine E-Mails versenden können.
Ein Problem kann sein, dass der Admin falsch bewertet.
Es kann geschickt sein, seinen outgoing E-Mail Server gegen ein paar rbl zu checken, weil manche Empfänger Systeme keine rejekt machen. sondern erstmal annehmen und später in der Kette einen bounce erzeugen, der dann an den gefälschten Absender geht, der von nichts weiß oder auf dem Rückweg zum tatsächlichen Absender verloren geht, weil der Einkäufer alle bounces im Spam sammelt.
Bitte den Artikel nochmal mit der korrekten Nomenklatur bearbeiten.
der Server, der als MX eingetragen ist muss keineswegs der outgoing sein.
Bei größeren Systemen wie hier kann es auch zu sippenhaft kommen. Die eigene IP kommt auf die rbl, weil der Nachbar Server spamt.
Auch kann es sein, das die E-Mail garnicht vom eigenen Mail System bearbeitet wurden, sondern der Server gerootet ist und einfach nur als Proxy genutzt wird..
iirc bietet Spamhaus.org mehrere Listen an. Es gibt also nicht "die" Sperrliste.
wenn es nur um 44 e-mails geht, könnte man mal nachgucken, welche rbl genau der Empfänger verwendet und ggf mal mit dem Admin zu sprechen, ob er Just diese Liste verwenden will.
Vielleicht ist sie garnicht zum blocken von Spam gedacht.
Ich lese da nur zen, ist das die rbl die die Empfänger der E-Mails benutzen?
und Zen enthält alles :
The blocklists covered through ZEN are:
Spamhaus Blocklist (SBL)
Combined Spam Sources blocklist (CSS)
Exploits Blocklist (XBL)
Policy Blocklist (PBL)
Due to its IP nature, ZEN does not provide any protection against malicious or suspicious domains.
Es wird also wohl keinen Admin geben, der diese Liste zum sperren von E-Mails nehmen wird, der nicht vollständig paranoid ist.
Es ist natürlich unschön in so einer Liste zu erscheinen, aber zur Fehler suche sollte man erst einmal gucken, welche der Grund RBLs den Eintrag erzeugt.
Gehe davon aus, das die rbl schon richtig sein wird. Die machen das sei bald 30 Jahren und haben an false positives kein Interesse.
zen.spamhaus.org funktioniert hier seit Jahren ganz gut. Es kommt halt auch drauf an was man für Zielvorgaben hat. Bei uns gilt lieber zu viel im Spam-Ordner als zu wenig. Und passen tut es eh nie, das liegt in der Natur der Sache.
Was immer mal wieder vorkommt, der ausgehende Exchange beim Sender fügt schon den Header X-SPAM-FLAG: YES ein. Da müsste dann wohl auch mal ein Fachmann vorbei schauen.
Alle (viele) Seiten auf einer IP können mit
urlscan.ip/ip/[IPv4 oder IPv6]
geprüft werden. Zumindest bis letztes Jahr war Hetzner durchaus beliebt bei Cyber-Kriminellen
https://mxtoolbox.com/emailhealth prüft hier IMHO "überkritisch".
Ein DMARC-Eintrag p=none ist zwar nicht optimal, aber auch nicht verboten. Google und Yahoo reicht das tatsächlich.
Nein, tur es nicht…
Es reicht nicht mehr. p=none = blacklist. So einfach ist das heute.
Nein, das stimmt nicht. Ist auch so der Vorschlag von Hetzner.
Klar kann es jeder Empfänger so handhaben, wie er lustig ist. DMARC hat ja keinen Gesetzesrang ;-)
Ich meine aber, dass man es trotzdem auch anders sehen kann:
https://www.nospamproxy.de/en/dmarc-policy-why-p-equals-none-is-a-bad-choice/
Zitat: "The p=none setting can actually be useful, for example in an introductory phase of DMARC. With p=none, problems can be identified without blocking emails"
der im Ticket anmerkte, das die HELO/EHLO-Identifizierung des SMTP-Servers nicht zum DNS und PTR passt
Wie soll Spamhaus das geprüft haben?
Der Absenden den SMTP Server leitet das Protokoll mit einem helo ein. Der empfangenen sollende antwortet.
Das ist aber der Server eines Kunden, der die Rechnung bekommen soll.
der wird die rbl von Spamhaus abfragen. das ist eine simple DNS Abfrage. Woher soll Spamhaus wissen ob der Server richtig antwortet? In dem er einen SMTP Dialog mit der IP macht?
Das war aber der outgoing Server.
Der muß gar keine E-Mails annehmen…
Man ist sich einig, das ein outgoing SMTP Server eine korrekte vorwärts und rückwärts Auflösung hat.
Es kann allerdings Probleme geben, wenn der Server mehrere Namen hat und nur der erstere Eintrag geprüft wird…
Die IP von …xx.at ergibt
***.***-server.de
Das passt natürlich nicht.
Aber das wird jetzt zu viel.
Ja, das war es dann auch. Ich habe dann noch ein Update bekommen das Spamhaus es nicht gefällt das der PTR nicht zum Helo passt. Hetzner kann dies auch nicht einstellen, da es halt nur eine IP und einen PTR für den dediXX.your-server.de gibt. War nie ein Problem.
Seit dem delisting läuft es vorerst, mal sehen was noch kommt.
Kein DMARC einsetzen bzw. nicht wissen, wozu das da ist und sich dann über Snowshoe-Spam wundern? Und dann den generischen yoursever Namen als Hostnamen nutzen? Mein Gott!
Ich kann dazu nur sagen: Wer nicht weiß, wie Mailserver im Netz betrieben werden, sollte besser auch keinen betreiben, vor allem keinen mit Kunden.
Das Netz reinigt sich manchmal ganz von selbst…
jup
ich wollte es nicht so direkt sagen.
ich hab mal ein nmap auf diesen host 213.133.*.* gemacht, muss ich da noch was sagen?
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
80/tcp open http
110/tcp open pop3
143/tcp open imap
222/tcp open rsh-spx
443/tcp open https
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
5432/tcp open postgresql
Kostenloser Service-Tip von mir: Nimm den Server vom Netz!
Dieser wird sehr wahrscheinlich nicht mehr Dir gehören…
… ja und dann einen Linux Grund Kurs machen.
Das Internet ist toll. aber man bekommt auf so einer Schulung Infos, die man nie allein gefunden hatten.
manchmal hilft auch schon ein netstat -ant
und man wundert sich, wieso da tausende Verbindungen offen sind. BTST.
aber die Kiste wird gerootet sein.
Platten ausbauen(lassen?)
Image für Forensic anfertigen.
Wenn root kit gefunden, die Kunden informieren.
Hetzner bitten die neuen Platten neu einzurichten.
Wie schon oben beschrieben ist es ein Angebot von Hetzner, die verwalten den Server, wir haben darauf keinen Shellzugriff oder ähnliches. Darauf laufen Webseiten samt Datenbanken und die Mailboxen.
dann muß man sich einen eigenen Mail Out besorgen oder wie denkt Hetzner sich das?
Wie kommt denn der SMTP Server auf das Teil?
Soll der nur E-Mails empfangen?
Ah, mein Lieblingsposter der die Weisheit ja…. na, lassen wir das.
Den Server betreibt Hetzner. Dmarc wird so vorgeschlagen wenn man ihn setzen möchte, ist ja auch nix schlimmes dabei. Gibt ja auch viele Server mit SPF "?all" welche ja eigentlich auch nutzlos sind. Im Endeffekt entscheidet ja der Empfänger wie er darauf reagieren möchte.
hab mir erst jetzt mal das Ticket von spamhaus.org angesehen.
Alle Achtung, Respekt.
Spamhaus.org hat sich redlich Mühe gegeben, dem User zu helfen und die Ursache zu beschreiben.
(das ist das DNS und rDNS nicht konsistent sind. Hintergrund ist, das öfter mal Server vergessen werden. Die stehen dann mit einem generischen Namen leicht übernehmbar halb offen im Netz Rum. Werden sie geknackt ist es i.d.R. nicht möglich, auch den DNS zu ändern und so kann man sie leicht blocken, denn niemand wird einen genetischen Namen verwenden der ihm ändern darf.
Es müsste jetzt gesehen werden, was der weitere Grund zur Listung war. Entweder weil die IP bekannt ist für Cloud oder weil ein Email über die IP an eine Trap geliefert wurde. Im letzteren Falle würde ich mal in die gelben Seiten schauen und professionelle Hilfe holen.
Im ersten Fall wären saubere DNS Einträge hilfreich.
Auch könnte ein only Out smart Host hilfreich sein, der alle E-Mails macht und nur das.
Kannst du ja gerne Hetzner schreiben, die betreiben den Server. Über den Dmarc können wir gerne streiten. GMX/Gmail und Exchange Online haben damit aber keine Probleme.
Spamhaus hat genau geschrieben was das Problem ist.
Ich gebe ja zu, dass ich von Antworten einer Hot Line nicht viel erwarte, aber die hier war brauchbar.
Anyway:
Spamhaus weiß genau was sie tun.
Und das ein wiederfrei schalten immer komplizierter wird zwingt den Admin wirklich mal den Fehler bei sich zu suchen.
Das er bemängelt, das der helo nicht passt ist zum Vorteil des Betreibers. Denn es gibt natürlich auch SMTP Server, die keine eMails von solchen Servern annehmen. (ohne eine rbl zunutzen) Dann würde nur diese eine Rechnung nicht angenommen werden.
All die unnötig zum Internet offenen Ports sind dann von hetzner zu verantworten?
(wer braucht einen SQL Server der direkt im Internet steht? Da gibt es keine Oberfläche um das Abzuschalten?
Ich schliesse mich jetzt nicht den "Knüppel-Hauern" an.
Zu den Server-Namen wurde ja schon was geschrieben. DMARC p=none geht nicht mehr. Zahlreiche Provider setzen das voraus. Wenn nicht aktiv -> Blacklist.
Du würdest Dir das Leben auch etwas vereinfachen, wenn Du rua und ruf konfigurieren würdest, dann gäbe es nämlich aussagekräftige Rückmeldungen. pct=50. Warum? Warum nur jede zweite mail?
Hi, war so der Vorschlag. Ich werde den Dmarc mal rausnehmen, ist vielleicht tatsächlich besser. Bei "none" ist der pct-Wert egal, er wird eh nicht ausgewertet. Kein RUA weil es eigentlich nicht geprüft wird, deshalb auch als "Platzhalter" none.
Zum Hintergrund, es ist eine 3-Personenfirma mit eben 18 Domänen, meist Weiterleitungen für geparkte Domains.
Die Kommentare sind ja wieder herzallerliebst. Wenn doch alle mal so schlau wie Thomas Jacobs wären, seine Kunden können sich glücklich schätzen….
Man braucht sich bald nicht mehr zu wundern, wenn hier niemand mehr um Hilfe bittet.
Muss diese deutsche Art sein, alle im Lehrerton zu belehren.
"Jeder Provider (z.B. GMX) nutzt diese RBL ohne Gegenkontrolle und löscht die Mails einfach." hier wird ggf. eine Straftat unterstellt, und stellt damit ggf. selbst eine Straftat dar.
i.d.R. wird abgelehnt oder angenommen ggf. als Spam, aber nicht gelöscht!
Wenn die Email (bounce) nicht zurück kommt zum Absender läuft was falsch und gehört erst recht auf solche Listen und sollte keine Server betreiben.
SPF hat die 2 IP´s doppelt und dreifach, das "a" und "mx" kann man sich also sparen.
Die IP steht laut Spamhaus schon seit 2 Tagen nicht mehr auf der Liste.
IP und dedi43.your-server.de sehen aktuell aber passend aus.
Und wie andere geschrieben haben, setze DMARC zumindest auf quarantine, dann sollten die zumindest nur als Spam gewertet aber zumindest angenommen werden, wenn Mails keine Signatur haben von deinem Server.
Google und Yahoo verlangen es aktuell bei Massenversand ab 5000 Mails oder so, dennoch sollte man hier nicht unnötig ein Risiko eingehen, wenn man möchte dass Mails ankommen.
Wenn man bei ist kann man sich ggf. auch eine DMARC Auswertung machen z.B. mit dem webtool "liuch/dmarc-srg" von hithub.
Also .. einfach bei Hetzner eine neue IP kaufen. Kostet 1-2EUR pro Monat. Und gut ist, bis die andere Delisted ist.
Andere IP ist ja nicht mehr nötig aktuell, und wenn es wieder vor kommt, und es ne geteilte IP ist, kann es jederzeit wieder dazu kommen wenn da ein anderer Kunde nicht ganz konform unterwegs ist. Eher dann anderes Produkt wo man IP exklusiv hat.
Geteilte IPs bei Hetzner?
Ahja und DMARC Reporting aktivieren. Das zeigt ganz gut welche Mails so im Umlauf sind , eventuell gibt es ja von einer unerwarteten Seite Probleme.