Warum es keine gute Idee ist, den E-Mail-Absender zu fälschen

Ich habe in einem früheren Blog-Artikel ja schon einmal über das Ansetzungssystem des DFB für seine Schiedsrichter geschrieben. Da ich selbst einer dieser Schiedsrichter bin, bekomme ich regelmäßig E-Mails mit den Spielen, die ich in naher Zukunft zu leiten habe. Bisher wurden diese E-Mails immer mit der E-Mail-Adresse des Ansetzers als Absender versendet. Das hat sich nun geändert.

Bisher lief eine Ansetzung in etwa so ab. Der Ansetzer – meist selbst ein Schiedsrichter und Ehrenamtler, der sich um die Besetzung der Spiele verschiedener Staffeln in z. B. seinem Fußballkreis kümmert – öffnet in seinem Browser eine Website mit einer langen Liste an Spielen, die er besetzen muss und kann nun zu jedem dieser Spiele einen Schiedsrichter, der die Qualifikation für diese Spielklasse besitzt, auswählen. Dieser Schiedsrichter wird dann für das Spiel angesetzt. Das heißt er bekommt eine E-Mail mit allen nötigen Daten (und neuerdings vielleicht sogar eine Push-Benachrichtigung auf sein Smartphone) und wird z. B. auch auf fussball.de als Schiedsrichter für dieses Spiel angezeigt.

Was ganz praktisch war: Gab es Fragen zur Ansetzung oder mochte man das Spiel gar zurückgeben (z. B. aus Krankheitsgründen), dann reichte es bisher einfach auf Antworten zu klicken. Denn als Absender war die E-Mail-Adresse des Ansetzers angegeben. Also zum Beispiel heinz.seniorenansetzer@web.de.

Der Ansetzer hat natürlich nie sein E-Mail-Konto von web.de geöffnet und auch nicht irgendwie die Ansetzungssoftware mit seinem E-Mail-Konto verbunden. Das ganze funktioniert deswegen, weil man in E-Mails so ziemlich alles reinschreiben kann, was man möchte. Man könnte auch problemlos eine E-Mail von angela.merkel@bundesregierung.de versenden. Eine E-Mail ist aus technischer Sicht nicht viel mehr als ein Brief, auf den man ja auch einen beliebigen Absender eintragen kann.

Dieser Tatsache sind sich auch Spammer bewusst und fälschen Absenderadressen. Daher gehen immer mehr E-Mail-Provider dazu über E-Mails nicht mehr zuzustellen, in denen die Absenderadresse nicht mit der Adresse des Servers, der diese E-Mail zuzustellen versucht, übereinstimmt.

In unserem Fall werden E-Mails zum Beispiel von einem Server versendet, der mailout1.dfbnet.org heißt. Der Server hinter meinem E-Mail-Konto könnte nun überprüfen, ob die Adresse des Zustellers, in diesem Fall also mailout1.dfbnet.org, mit der Absenderadresse, web.de, übereinstimmt. Da sie das nicht tut, könnte der Server nun vermuten, dass es sich um Spam handelt und die Annahme der E-Mail verweigern.

Scheinbar war genau dies immer öfter der Fall, weswegen sich der DFB bzw. das Service-Team des DFBnet, dazu entschieden hat, E-Mails nun immer mit der Absenderadresse noreply@dfbnet.org zu versehen. Diese Absenderadresse passt nämlich auch wunderbar zu der Adresse des Mailservers (wir erinnern uns: mailout1.dfbnet.org).

Eine Möglichkeit trotzdem den richtigen Empfänger sicherzustellen, wäre das Setzen eines Reply-To-Headers. Über diese Angabe kann beim Versand einer E-Mail bereits eine Adresse gesetzt werden, die beim Klick auf Antworten statt der Absenderadresse genutzt werden soll. Auf meine Anfrage an den DFB warum kein entsprechender Header gesetzt wird, erklärt dieser, dass auch der Reply-To-Header von einigen E-Mail-Providern als Policy-Verstoß gewertet werde. So bleibt also wirklich nur die Möglichkeit sich selbst um den richtigen Empfänger zu kümmern. Dazu wird nun in jeder E-Mail auch deutlich hingewiesen:

#####################################################
Hinweis: Sollten Sie auf diese E-Mail antworten wollen, so ändern Sie bitte den Empfänger manuell von noreply@dfbnet.org auf:
„Schiedsrichteransetzer“ <schiriansetzer@provider.de>
#####################################################

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

This site uses Akismet to reduce spam. Learn how your comment data is processed.