Internet-Law

Onlinerecht und Bürgerrechte 2.0

31.7.09

Netzsperren: Was passiert eigentlich mit den Mails?

Im Zusammenhang mit der Diskussion um die Netzsperren wurde bislang wenig darüber gesprochen, was mit den E-Mails passiert, die an den Inhaber einer gesperrten Domain gerichtet sind. Kommen diese Mails weiterhin beim Empfänger an, werden sie unterdrückt und landen auf dem Stopp-Server oder werden sie gar an das BKA weitergeleitet?

ZDNet hat in einer Bildergallerie (Bild 8), die erläutern soll, wie die DNS-Zensur funktioniert, dargestellt, dass alle Mails, die an die gesperrte Domain gerichtet sind, an das BKA weitergeleitet werden (sollen).

Diese Vorgehensweise entspräche freilich keinesfalls der gesetzlichen Regelung, die eine Weiterleitung von E-Mails an das BKA nicht vorsieht.

Das Beispiel von ZDNet geht freilich davon aus, dass die sog. MX Einträge, die ausschließlich den Mailverkehr betreffen, ebenfalls verändert werden und anschließend sogar eine Weiterleitung an das BKA erfolgt.

Auch wenn das von den Providern nicht so implementiert wird, wie von ZDNet unterstellt, bleibt die Frage, was mit den E-Mails geschieht.

Die Düsseldorfer Sperrverfügungen aus dem Jahre 2002 haben gezeigt, dass die DNS-Sperre praktisch oftmals tatsächlich dazu führt, dass auch keine E-Mails mehr ankommen.

Nachdem wir es hier zudem auch mit einem technisch geheimen Prozedere zu tun haben, wird man vermutlich erst von Betroffenen erfahren, ob die Mails weiterhin durchkommen oder nicht. Bleibt zu hoffen, dass das BKA die gesetzlich vorgesehene Information des betroffenen Diensteanbieters nach § 1 Abs. 3 ZugerschwG nicht über diesen Kanal vornimmt.

Zu Risiken und Nebenwirkungen fragen Sie das BKA (besser nicht).

posted by Stadler at 10:45  

4 Comments

  1. Nachdem die Netzsperren für Zugangsprovider gelten, d.h. nur die DNS Server für die DSL- und Modemeinwahl betroffen sind, würde ich sagen, bei E-Mails passiert nichts weiter, außer jemand betreibt einen Mailserver über seine Einwahlverbindung. Das ist oft der Fall bei Unternehmen, die einen Exchange-server in-house hosten, in Verbindung mit einer Standleitung oder fester IP. Bei Mailservern, die beim Hosting-Provider im Rechenzentrum stehen sind es zumeist andere Nameserver, diese sind von dem Zensur-Gesetz soweit ich weiß nicht betroffen. Kommunikation zwischen Mailservern dürfte also in der Regel nicht umgeleitet werden. Wenn der Zugangsanbieter auch Webhoster ist, wie z.B. 1und1, könnte es aber dennoch der Fall sein, dies müsste man aber nachfragen.

    Comment by Anonymous — 31.07, 2009 @ 11:51

  2. Die "Sperre" funktioniert als ein verfälschter DNS record. Wenn der ursprüngliche Eintrag einen dedizierten MX record hatte, passiert mit E-Mails gar nichts, die werden weiterhin an den zuständigen Mailserver gesendet. Nur wenn der "gesperrte" FQDN keinen MX, sondern nur einen A record hatte und dieser auf das "Stoppschild" umgeleitet wird, dann würden Mails an den Stoppschildserver geroutet. Wenn dort kein Mailserver läuft, werden sie abgewiesen.

    Vermeiden kann man das, indem beim Einrichten der "Sperre" der alte Eintrag in einen MX record umgewandelt wird und ein neuer A record auf das Stoppschild verweist.

    Comment by Marc B. — 31.07, 2009 @ 11:59

  3. Man muss nicht den MX-Eintrag manipulieren, um Mails umzuleiten.

    Eine Domain muss keinen MX-Eintrag haben, in diesem Fall würden die Mails einfach an den "normalen" Eintrag zugestellt ("A-Record", das ist der Server der aufgerufen wird, wenn man "internet-law.de" aufruft, ohne z.B. "www" davor). Domains ohne MX-Eintrag sind nicht die Regel, aber auch nicht besonders selten.

    Das wäre allerdings nicht der Server des BKA, weil das Stoppschild sollen ja die Provider betreiben(?). Dort würden Mails nur angenommen werden, wenn der Provider auf seinem Stoppschildserver auch einen Mailserver betreiben würde. Dieser Mailserver müsste so konfiguriert sein, dass er Mails für fremde Domains (eine beliebige von der Sperrliste wäre für ihn erst mal eine fremde) annehmen würde. Kluge Provider werden dort einfach keinen Mailserver betreiben…

    Falls kein Mailserver betrieben wird, hat der Provider auch kein allzu aussagekräftiges Protokoll über Mailversuche.

    Falls ein Mailserver betrieben wird, hat er mindestens ein Protokoll über Mailversuche von Absenderadresse und Zieladresse.

    Falls der Mailserver die Mails auch annimmt, hat der Betreiber natürlich alles.

    @anonym (1) Grosse Provider sind nicht nur Einwahlprovider, sondern bieten auch Hosting an. Ich glaube nicht, dass die ihre DNS-Infrastruktur zweigleisig fahren werden. Man müsste dann die Hosting-DNS-Server gegen die eigenen Einwahlkunden absichern…

    Comment by maxb — 31.07, 2009 @ 12:12

  4. Das Thema wurde auch schon in einem Gastbeitrag von Mattias Schlenker bei LawBlog (mit zahlreichen Kommentaren) diskutiert (12.06.09).

    Comment by Ursula von den Laien — 9.08, 2009 @ 01:16

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.