Mailprogramme greifen auf Domain von Absender zu …

uelef

Aktives Mitglied
Thread Starter
Dabei seit
08.12.2006
Beiträge
269
Reaktionspunkte
113
Ich habe da mal eine Frage: Ich nutze seit langem Little Snitch, um mal zu sehen, wohin meine Programme Daten senden … Mir ist aufgefallen, dass bestimmte Mailprogramme (Postbox oder das heute mal ausprobierte eM Client) beim Abrufen von IMAP-Mails immer auch ein Verbindung zur Domain des Absenders herstellen wollen: t-online, web.de, gmx.de - aber auch zu privaten Domains. Ich frage mich, was das soll … Was wird denn da abgefragt? Grundsätzlich funktionieren die Mailprogramme auch (und Mails werden auch angezeigt), wenn ich die Domains dann über Little Snitch blockiere … Aber es nervt natürlich etwas, wenn ich bei jeder neuen Domain bei einer Mail den Provider blockieren muss (gut, geht sicher auch anders mit einer generellen Regel und Ausnahmen).
Kann mir jemand sagen, warum Mailprogramme auf die Absender-Domain zugreifen wollen?
Viele Grüße
Ulf
 
Mir würde da spontan der Check auf Echtheit der Absenderadresse einfallen. Die kann nämlich auch gefälscht sein....
 
  • Gefällt mir
Reaktionen: lisanet und dg2rbf
Lesebestätigung angefordert?
 
Welcher Port wird denn abgefragt?
Zur Echtheit muss man ja den DNS Eintrag abfragen.
 
Hier mal ein Beispiel …
 

Anhänge

  • Beispiel.jpg
    Beispiel.jpg
    122,3 KB · Aufrufe: 110
HTTP? Kann es sein, dass einige dieser fraglichen Emails in HTML sind und Content des Absenders nachladen?
Mail -> Darstellung -> Email -> reine Datei

Schau mal ob du da sowas drin hast: <=img src="http://domain.des.absenders.de....
 
Zuletzt bearbeitet von einem Moderator:
  • Gefällt mir
Reaktionen: BalthasarBux, dg2rbf und iMaxer
Es geht dabei immer um www.xxx.de unter http, Port 80. Aber da sind eben keine Bilder in der Mail, sondern es werden immer die Domains abgefragt …
 
Zuletzt bearbeitet von einem Moderator:
  • Gefällt mir
Reaktionen: dg2rbf
Ich verwende auch eM-Client (auch wenn ich gerade versuche die Funktionalität in Apple Mail zu erreichen).

eM-Client lädt im Hintergrund die Absender-Logo`s nach. Also das kleine Kontakt-Bildchen sofern kein anderes definiert wurde. Vermutlich ist dass der Grund für die Abfrage. Ich glaube zwar das man das abstellen kann, aber ehrlich gesagt finde ich das praktisch. Das ist nämlich für mich der erste Check ob die Mail wirklich vom Absender stammt. Ausserdem siehts gut aus als gar keine oder nur Buchstaben Kontakt-Infos.

VG
 
Ja, das wird es wohl sein.
https://de.emclient.com/blog/avatare-201

Allerdings führt die Anzeige des Favicons als Beleg für Authenzität zu einem Trugschluss.
Das Programm läd im Falle eines gefälschten From-Headers das passende Favicon der echten Webseite herunter.
 
So wie das aussieht ist das SPF, Sender Policy Framework.

Lies mal hier -> https://de.wikipedia.org/wiki/Sender_Policy_Framework

Insoweit würde ich die Anfragen nicht blocken, da du dadurch eine mögliche Spamabwehr / Erkennen gefälschter Mailadressen verhinderst.
 
  • Gefällt mir
Reaktionen: thorstenhirsch
Also, es sind wohl in der Tat die Avatare (Gravatare), die eM Client da zu laden versucht (und Postbox auch) … Scheint also harmlos zu sein.

P. S (out of topic).: Ich habe mir jetzt mal eM Client angeschaut (in der neuen Betaversion), aber ich finde es doch etwas unübersichtlich. Ich glaube, ich bleibe bei Apples Mails (privat) und Postbox (beruflich) …
 
Ich denke bei sowas in erster Linie immer an Tracking-Pixel, die gerne zum Sammeln von Daten eingebaut werden. Für sowas werden dann Verbindungen aufgebaut.
 
Bei Tracking Pixeln muss aber ein spezielles Pixel geladen werden, dass serverseitig mit der Emailadresse verknüpft ist.

Wenn das Emailprogramm die verbindung aufbaut wird das ein "anonymer" zugriff sein.
 
SPF steht im DNS TXT Record.
Weiß nicht, ob DKIM und Konsorten irgendwas auf Webseiten zum nachladen haben.

Nein. DKIM und DMARC nutzen auch jeweils einen TXT Record. Außerdem ist der MTA der, der die DKIM Signatur validiert (also die DNS Recordabfrage macht). Nicht der MUA.

DMARC gibt quasi "nur" im TXT Record eine Policy an: SPF oder DKIM, oder beides, was passiert bei Fehlern, und ob man als Domaininhalber Reporting über Fehlschläge will, oder nicht.
 
Insoweit würde ich die Anfragen nicht blocken, da du dadurch eine mögliche Spamabwehr / Erkennen gefälschter Mailadressen verhinderst.

Wird nicht der SPF sein. Der wird auch vom MTA ausgeführt, und der MTA trägt ein "Received-SPF"-Feld mit dem Resultat der Validierung in den Header für die downstream Agents ein. Davon abgesehen ist es wie oben schon erwähnt ein DNS Record.

Ich z.B. filtere auf die SPF, DKIM-Resultate in procmail.
 
  • Gefällt mir
Reaktionen: thorstenhirsch
Zurück
Oben Unten