Paranoide Freemailer

GMX scheint besonders paranoiden Zeitgenossen zu empfehlen sein. Nicht nur, dass er schon seit Jahren eMails, die z. B. von @aol.com kommen ablehnt, wenn diese über eine Verteilerliste weitergeleitet wurden (etwas das schon 1980 jedem im Internet bekannt gewesen sein dürfte, nur hat sich das bis GMX anscheinend bis heute nicht rumgesprochen). Nein, inzwischen kann man bei GMX anscheinend besonders paranoide Einstellungen vornehmen.

Sie sind so paranoid, dass eigentlich nur noch SPAMmer diese vollkommen aus dem Gleis geratenen Checks überwinden können.

Effekt ist, dass GMX eigentlich jede eMail zurückweist. Das ist natürlich besondes hervorragend, wenn man auf eine Antwort zu warten scheint. Hier ein entsprechender Vorfall:

von          Valentin Hilbig <webmaster@20k.de>


an           J.B. <*@gmx.de>	 


datum        03.09.2007 14:48	 


betreff      Re: Auth-o-mat	 


gesendet von googlemail.com	 





Hallo,





Zu den Fragen siehe unten:





Am 02.09.07 schrieb J.B. <*@gmx.de>:


> Hallo Herr Hilbig,


>


> Ich habe folgende Fragen zu google.auth-o-mat.com, das sie auf


> daten-speicherung.de erwähnt haben:





daten-speicherung.de kannte ich bisher nicht, eine Listung dort kommt


also nicht von mir.  Gegen eine solche Listung habe ich allerdings


auch nichts einzuwenden.








> 1. Die Übertragung erfolgt per SSL, der Suchstring wird aber als


> ULR-Parameter übergeben. Gehe ich recht in der Annahme, dass die URL


> unverschlüsselt übertragen wird und die Verschlüsselung somit nur mäßig viel


> nützt?





Bei SSL wird die gesamte Kommunikation mit dem Server verschlüsselt.


Das bedeutet, dass alle Inhalte, und dazu gehört ebenfalls das URL,


vom Browser verschlüsselt übertragen werden.





Das einzige, was evtl. zwischengeschaltete SSL-Proxies sehen können


ist ein "CONNECT proxy.auth-o-mat.com:443".  Dies stellt aber keine


Einschränkung dar sondern ist erwünscht, so dass Unternehmen, deren


Policy ein Zugriff auf Google nicht erlauben wollen (weshalb auch


immer) dies an dem Connect erkennen und unterbinden können.  Die


Surfinhalte kann man so aber nicht einschränken oder ausforschen.





Von meinem Server aber gehen die Daten unverschlüsselt zu Google


weiter, da Google IMHO kein SSL beim Query implementiert hat.  Dass


die Daten sowieso einen Weg lang unverschlüsselt übertragen werden,


somit jemand anderes als Google (z. B. mein ISP) diese Daten abfangen


kann, sehe ich nicht als Problem an, da es anders nicht zu


bewerkstelligen ist.





Was ich erreichen will, nämlich dass z. B. mein Kunde bei dem ich


gerade sitze, nicht auf meine Suche zugreifen kann (weil ich z. B.


gerade privates erledigen muss was bei Consultants wie mir nicht


anders geht) habe ich somit erreicht.








> 2. Bitte schalten Sie doch das Logging ab oder anonymisieren Sie die Logs


> wenigstens, wenn Sie die Daten unbedingt brauchen. Anonymisieren Sie die


> IPs, dann halte ich den Dienst für uneingeschränkt empfehlenswert. Oder


> beschränken Sie die Speicherung notfalls auf 1 oder 2 Tage.





Es ist richtig, dass die Maschine mitloggt und somit auch die


Query-URLs aufzeichnet.  Dies tue ich übrigens nicht mit bösen


Hintergedanken, sondern aufgrund ganz pragmatischen Überlegungen


heraus, denn ich verfüge überhaupt nicht über die Zeit mich damit zu


befassen, was andere Leute mit den von mir zur Verfügung gestellten


Services alles so für Schabernack treiben:





- Die Dienste auf der Maschine sind für mich experimentell.  Wer sie


nutzt muss sich also der Tatsache bewusst sein, dass ich sie jederzeit


abschalten oder einschränken kann.  Dies ist z. B. mit


https://proxy.auth-o-mat.com/ geschehen da dieser Service überrannt


wurde.  Da alles experimentell ist habe ich einfach nicht die Zeit,


das Logging entsprechend umzubauen (siehe dazu auch weiter unten).





- Die Dienste die ich anbiete wenden sich nicht direkt an die


Öffentlichkeit, sondern sollen mir und meinen Bekannten (aber auch


allen anderen) in bestimmten Situationen helfen.  Da die Maschine


nicht über freien Traffic verfügt (allerdings kam ich bisher nicht


einmal in die Nähe des Freitraffics) *wünsche* ich sogar keine


allgemeine Freigabe des Dienstes.  Das Abschalten und eine "generelle


Empfehlung" meines Services würde somit bedeuten, dass die Maschine


überrannt wird.  Das hatte ich in letzter Zeit öfters, und musste


Gegenmaßnahmen ergreifen (siehe oben und z. B.


http://i2p.tin0.de/blocked.php , das ist allerdings nur die erste


Stufe.  Leute mit Kabelanschluss und einem schnellen Rechner wissen


oft gar nicht, was sie auslösen wenn sie die Parameter vom Downloader


auf das Maximum drehen).





- Die Maschine ist ein dedizierter Server der mich ca. 10 EUR/Monat


kostet (leider kommt man an so etwas nur sehr selten).  Die


Leistungsklasse entspricht einem mittleren Server von 2001.  Die


Maschine ist deshalb überhaupt nicht in der Lage, eine hohe Last zu


verarbeiten.  Bei ca. 100 parallelen Verbindungen ist das Ende der


Fahnenstange erreicht.  Und angesichts dessen, was auf der Kiste so


alles aufgeschaltet ist und von anderen wohl gerne frei genutzt würde,


hätte meine Kiste weniger Überlebenschancen als ein Tropfen Wasser in


einer Sonne.  Den finanziellen Aufwand, etwas "vernünftiges" zu


leisten, kann ich derzeit einfach nicht erbringen.  Deshalb auch der


"experimentelle" Status.  Nur soviel dazu:  Selbst wenn ich 20 bestens


ausgestattete Flat-Server zur Verfügung hätte, es würde nicht einmal


ansatzweise ausreichen.





- Auf der Maschine laufen auch einige andere Proxies zum


Reinschnuppern in Anonymität und freie Netze (z. B.


http://i2p.tin0.de/ ).  Ich *will* diese Dienste nicht gefährden, z.


B. indem jemand bei mir KiPo bei Google sucht und - wie auch immer -


jemand mich anschwärzt.  In diesem Fall möchte ich - auch nach 2


Jahren noch - mit dem Finger in die richtige nächste Richtung zeigen


können, und daran soll dann auch kein Zweifel aufkommen.  Das Logging


gefährdet die Dienste in keiner Weise, da es sich nur um


"Reinschnupperaktionen" handeln soll und nicht um irgendwelche Dienste


mit extrem hoher Sicherheit.  Die Leute die ich kenne vertrauen mir so


weit, dass ich mit den Möglichkeiten die mir die Services bieten (z.


B. mitlesen) keinen Schindluder betreibe.





- Ich bin IT-Consultant unter anderem im Internetbereich.  In sofern


sind die Informationen, die die Maschine sammelt, für mich


unersetzlich.  Leider habe ich keine Zeit, die Informationen bereits


heute schon so ordentlich aufzubereiten (zu anonymisieren), dass ich


in der Lage wäre, diese für Fälle (von denen ich derzeit keine Ahnung


habe ob sie überhaupt jemals stattfinden) brauchbar wären wenn ich sie


benötige.  Aus diesem Grunde wäre ein Löschen der Daten und der damit


für mich möglichen Erfahrung absolut kontraproduktiv.





- Was nützt es Leuten eine Aussage wie "ja, ich habe das Logging


abgeschaltet"?  Das kann keiner überprüfen!  Und selbst wenn dann


jemand gegen mich klagen würde, weil ich gesagt habe, dass ich es


abgeschaltet habe obwohl ich das nicht tat, könnte ich mich immer mit


einem technischen Irrtum rausreden.  Somit bin ich lieber ehrlich und


sage:  Ja, ich logge, und ich ändere das auch nicht.  Ich werde aber


sicher niemanden jemals anschwärzen, so lange jeder den Service weise


und leise nutzt ;)





Ja, ich kenne das Datenschutzgesetz ziemlich gut, und es liegt mir am


Herzen.  Nach dem Datenschutzgesetz darf ich - genau genommen -das


Logging gar nicht vornehmen, da es ohne Veranlassung geschieht.  Würde


ich die Dienste professionell kostenlos anbieten dürfte ich also (vom


Datenschutzgesetz her, mit den neuen Überwachungsgesetz habe ich mich


indes noch nicht befasst) gar nicht mitloggen!  Deshalb biete ich die


Dienste auch nicht professionell an, sondern betreibe sie im


experimentellen Status (und den kann ich einem Experten auch jederzeit


klar und einfach nachweisen, niemand kann von den Hacks die ich da


betreibe behaupten, sie wären professionell.  Allerdings deklassiert


das ebenso schätzungsweise 80% des Webs, darunter zahlreiche


Web2.0-Firmen, und selbst Größen wie Yahoo, denn dort läuft ähnlicher


nichtprofessioneller Murx) für mich und meine Bekannten (die ich


darüber aufkläre).  Wer die Dienste dann trotzdem nutzt tut dies eben


auf eigene Gefahr.





Würde ich es professionell tun müsste ich mich zuerst mit einem Anwalt


beraten (das ist inzwischen in Deutschland leider so).  Da ich aber


keine Veranlassung habe mich geschäftlich detailliert mit solchen


Services auseinanderzusetzen (da sie mir derzeit keine


Geschäftsgrundlage ermöglichen) fehlt mir jede anwaltliche Betreuung,


also kann der Service den experimentellen Status auch nicht verlassen.





Ich bin eben keine Firma wie Google und habe somit für rechtliche


Streitigkeiten weder Zeit noch Geld übrig.  Alles was ich habe ist


eine private Rechtschutzversicherung (von der ich nicht einmal weiß,


ob diese in solch einem Fall greifen würde) und viele Ideen (von denen


ich als Einzelkämpfer nur einen kleinen Bruchteil umsetzen kann).





So Zusatzdienste wie google.auth-o-mat.com oder proxy.auth-o-mat.com


auf meiner Maschine habe ich deshalb auch niemals aktiv "beworben".


Oft habe ich sie nur schnell mal hingebastelt um z. B. im Heise-Forum


zu zeigen, wie einfach das ist.  Mich überrascht immer wieder, wie


sich diese Dienste herumsprechen, was für mich ein Indiz ist, wie


nötig sie offensichtlich sind.  Und das bewegt mich dazu, diese


Dienste *nicht* abzuschalten wenn es mir möglich ist.





Aber leider fehlen mir die Mittel, der gesamten Nachfrage auch nur


ansatzweise zu begegnen.





> Viele Grüße


>


> J.B.





PS:





Dieser Text ist deshalb so lang da er dazu dient, meine Gedanken zu


diesem Thema zu ordnen.  Ich würde diese eMail gerne (ggf. ohne


Nahmensnennung) in mein CMS (http://hydra.geht.net/tino ) übernehmen.


Dies tue ich aber (in der Regel) nur mit Erlaubnis.





Umgekehrt gilt: Meine hier getroffenen Aussagen dürfen gerne


veröffentlicht werden so lange dadurch meine Aussagen nicht verzerrt


dargestellt werden.  Über einen entsprechenden Hinweis dass


veröffentlicht wurde wäre ich dankbar, dies ist aber nicht


erforderlich.





--


-Tino


Valentin Hilbig; Am Sportfeld 5; 86482 Aystetten; Germany


Tel. +49 821 4865787; USt-IdNr. DE219734816


http://valentin.hilbig.de/


http://permalink.de/tino/impressum

Was auffällt:

Da ich denjenigen nicht per eMail erreichen kann habe ich mir die Freiheit genommen, den Text hier zu veröffentlichen. Der Name wurde von mir entsprechend verändert um keine Rückschlüsse auf den Fragenden zu ermöglichen
Er siezt ärks. Hinweis: Im Internet stellt das "Sie" die erste Beleidigungsform dar. Zumindest bis 1992 war dies uneingeschränkt im Internet bekannt. Als dann aber die Firmen unverantwortlich in das Internet drängten wurde diese Tatsache leider den Neulingen im Internet nicht mitgeteilt. Und da bekanntlich inzwischen Lesen im Internet out ist (man klickt nur noch auf bunte Icons) wird dieses Wissen aussterben. So lange ich existiere werde ich aber die Traditionen des Internets hochhalten und respektieren.

Tja, und das war, was ich daraufhin bekam:

This is an automatically generated Delivery Status Notification





Delivery to the following recipient failed permanently:





    *@gmx.de





Technical details of permanent failure:


PERM_FAILURE: SMTP Error (state 13): 550-5.1.1 {mx095} <*@gmx.de>... Sorry, your envelope sender has been denied: The recipient


550 5.1.1 does not want to receive mail from your address. ( http://portal.gmx.net/serverrules )





  ----- Original message -----

Dies passierte mit allen Varianten, die ich versucht habe:

Senden der eMail von Google aus mit webmaster@20k.de
Senden mit meinem echten Google-Mail-Absender
Senden als webmaster@20k.de von der Maschine aus, die auch der MX von 20k.de ist.

Was ich aber nicht getan habe:

Den Envelope-Sender und den From auf webmaster@20k.de einzustellen. Das machen nämlich eigentlich nur SPAMmer, und ich bin keiner.

Fazit:

Wer keine eMail will, der bekommt auch keine.

Manche Paranoia ist ja ganz gut, manche ganz unterhaltsam, aber zu viel davon finde ich ist krank ;)

Und noch ein Tipp:

Meidet GMX

Sie wissen nicht, was sie da tun. Solche Möglichkeiten den Leuten auch nur in die Hand zu geben ist, um es mit den Worten von Dr. Seltsam zu sagen, unverantwortlicher. Nein, nicht den Kunden gegenüber, sondern dem Rest des Internets.

Warum? Hat sich vielleicht nicht rumgesprochen, aber im Internet geht es um gegenseitige Erreichbarkeit. Das war schon immer so, und wird auch immer so bleiben. Wer das nicht kapiert, der macht alles mögliche, nur kein Internet. GMX gehört anscheinend zu diesen Nichtcheckern.

Ist nicht mein Problem, ich werde wohl aufhören, an GMX-Empfänger eMails zu versenden. Die Firma macht einfach zu viele Probleme. Die Leute sollen halt zu vernünftigen Firmen wechseln, web.de ist da schon viel besser (nur IMHO zu teuer).

Ich empfehle Gmail, damit meine ich googlemail und nicht diesen Cybersquatter unter gmail.de. Er ist es in meinen Augen auch dann, wenn er die früheren Rechte an diesem Namen hatte. Im Internet wird mit den Füßen abgestimmt und nicht mit der WIPO. Das war schon immer so, und wird auch immer so sein. Und wer das nicht wahr haben will, der hat im Internet schlicht nichts verloren.

-Tino