Ohne Infos zu den involvierten Domains lässt sich da so ziemlich gar nix zu beitragen. In dem Fall wäre wohl ein Servicekontakt an DATEVnet der effizienteste Weg. Der Text aus dem NDR enthält auch nix Brauchbares. Im NDR müsste irgendwo noch etwas in Form von "maildomain.datevnet.de is rejecting with 550 5.x.y <Text>" enthalten sein.

Generell legt der Absender seine DMARC Policy fest und DATEV wertet diese entsprechend aus.

Option 1) Auf Seiten der Absender wurde DMARC implementiert / angepasst oder die Mailsysteme wurden angepasst, dass SPF und/oder DKIM nicht mehr passten

Option 2) Es gab ein Problem auf der Seite der DATEV beim Auswerten der DMARC Policy

Wenn beim privaten Konto Anpassungen am SPF geholfen haben, spricht es aber für Option 1. Auch hier wäre es spannend zu wissen, was geändert worden ist, damit es wieder funktioniert.

Danke. Ich bin leider nur Steuerberater und tiefergehende Kenntnisse bei dieser Technik habe ich nicht. Das "SPF" musste auf eine andere Voreinstellung beim Provider (hier Strato) geändert werden. Von "keine Strato-SPF Regel" auf "Standard Strato Mailserver". 

Ich hatte gehofft, dass es bei DATEV/DATEVnet irgendwelche Änderungen bei den DMARC Policys gab oder das andere auch diese Probleme hatten.

Immerhin werden die meisten Email-Absender, die uns anschreiben davon noch weniger Ahnung haben. 

SK wurde eröffnet.
 

"DMARC Policy" (bzw. auch SPF / DKIM) ist halt Sache des Absenders. Der gibt vor, was der Empfänger machen soll (, sofern dieser DMARC halt auch auswertet).

Strato setzt (AFAIK) im Default seit ~2022 eine DMARC Policy mit "p=reject". Wenn dann halt was nicht passt und der Empfänger das auswertet, liegt das Ergebnis eben auf der Hand.

---

@Neu_hier  schrieb:

Danke. Ich bin leider nur Steuerberater und tiefergehende Kenntnisse bei dieser Technik habe ich nicht.
 

---

Witzigerweise gibt es Leute die "diese Technik" wiederum beruflich machen. Die haben dann (vermutlich) auch seltenst tiefergehende Kenntnisse im Bereich der Steuern "und so". 😉

Evtl. hilft das Video ein wenig im Bereich DMARC: https://www.youtube.com/watch?v=lIEdecdrJW8

BTW.: Das klingt evtl. hart, aber wer seine E-Mails und E-Mail-Reputation ernst nimmt, hat diese halt definitiv nicht bei Strato und Co. liegen. 🙂

Dazu gibt es übrigens auch ein BSI Papier: ACS - Allianz für Cyber-Sicherheit - ACS - Upgrade für die E-Mail-Sicherheit

Da es bis vorgestern alles lief (ich konnte von meiner Privatmail alles auf die Geschäftmail senden), muss ja auf irgendeiner Seite irgendwas gestern geändert worden sein. Insoweit meine Logik.

Nach meinen Recherchen (KI) soll es daran gelegen haben, dass DATEVnet die Sicherheitseinstellungen erhöht hat (kann auch falsch sein).

Es ist auch meine Logik, dass es irgendwie nicht sein kann, dass ich via DATEVnet nur Mails empfange, deren Absender sich tiefgreifend mit den EInstellungen bei Ihren Providern befassen. Das mag zwar technisch erklärbar sein, aber praktisch aus meiner Sicht nicht.

Klar gibt es Spezialisten für die Technik, dieses Forum ist aber nun einmal in erster Linie ein Forum der Steuerberater (das ich im übrigen auch mitbezahle - Genossenschaft).
 

Die Meinung darf ruhig hart sein, aber leider ein Satz ohne Erläuterung. Wissen Sie etwas, dann sagen Sie es frei heraus, ich bin dankbar für die ungeschminkte Wahrheit.

Was ist das Problem mit Strato?

Im übrigen ist unsere Geschäftsemail/Webhosting auch bei Strato - und DATEV hat diese ohne jegliche Warnung im DATEvnet/Outlook integriert.

Gerade da unsere Geschäftsmail (auch) über DATEV läuft, war ich der Ansicht, dass es keine Reputationsschaden gäbe? Lässt mich DATEV hier irgendwo auflaufen? Ich gehe davon aus, dass via DATEVnet hier trotz Strato-Mail entsprechen professionell "umgeroutet" wird (MX.Record?).

Aber davon ab, es geht mir hier in erster Linie um die diversen Absender, die uns erreichen wollen. Da kann ich nicht sagen, hey legt euch mal bessere Provider zu......

Hallo @janm,

natürlich kann der Sendende SPF, DKIM und DMARC-Policies u.a. setzen, um den ordnungsgemäßen Gebrauch der eigenen MailDomain zu unterstützen.

Denke aber schon, dass auch der Empfänger regeln kann, ob E-Mails mit fehlerhaften Prüfergebnissen oder fehlenden Sicherheitsmerkmalen abgelehnt werden?! Und hier könnte ich mir wiederum durchaus vorstellen, dass Datev oder ein dafür zuständiger Partner bestimmte Eingangskriterien verschärft hat.

Viele Grüße

---

@janm schrieb:
[...]
... wenn man das BSI PDF liest und sich das Video anschaut. Am Ende ist das "Warum?" halt recht schnell technisch.
[...]

---

... stimmt 😅

... in diesem Zusammenhang hat mich allerdings die Aussage irritiert :

"Hacker setzten DMARC auch ein"

... ich war nämlich bisher der Meinung, dass Hacker nur an Euro oder Dollar interessiert sind  😎😅

---

@Nutzer_8888  schrieb:

 

Denke aber schon, dass auch der Empfänger regeln kann, ob E-Mails mit fehlerhaften Prüfergebnissen oder fehlenden Sicherheitsmerkmalen abgelehnt werden?! Und hier könnte ich mir wiederum durchaus vorstellen, dass Datev oder ein dafür zuständiger Partner bestimmte Eingangskriterien verschärft hat.

---

Der Absender gibt an, was mit der Mail passieren soll. Der Empfänger setzt um. Natürlich kann jetzt wieder jemand auf der Seite des Empfängers anfangen und Ausnahmen bauen. Das ist aber vollkommen am Sinn vorbei.

Warum setzt der Absender denn bitte ein "p=reject", wenn er dann am Ende bei einem Empfänger, der es umsetzt wieder darum bittet, die Prüfung für ihn auszusetzen?

Am Ende ist das ein Thema, wo man sich auf der sendenden Seite mit befassen muss. Möglicherweise ist die Zeit von "Ich miete mir eine Domäne und alles funktioniert automagisch" einfach vorbei. Das "E-Mail" im A*sch ist und die Technik dahinter ganz grob in den 80ern/90ern stecken geblieben ist, dürfte jeder schon gemerkt haben. Bspw. hier (Beispiele für suspekte, gefährliche, aber gut geta... - DATEV-Community - 332296) geht es ja auch in die Richtung. SPF, DKIM, DMARC, (MTA-STS, DANE) sind halt (weitere) Versuche, "E-Mail" "zu retten".

In 3, 2, 1 kommt Geschrei wie schlimm M365 / Exchange online ist und die DSGVO Keule oder der Cloud Act kommen. Man schaue sich Exchange online an und was da "wie simpel" zu implementieren ist: Exchange online - SMTP DANE mit DNSSEC (Inbound) - Jans Cloud

---

@janm schrieb: Der Absender gibt an, was mit der Mail passieren soll. Der Empfänger setzt um. Natürlich kann jetzt wieder jemand auf der Seite des Empfängers anfangen und Ausnahmen bauen. Das ist aber vollkommen am Sinn vorbei.

---

Naja, denke schon, dass es verschiedene Motivationen auf Senderseite (Schutz vor Missbrauch der eigenen Mail-Domain) und Empfängerseite (Schutz vor jeglicher Art von Schadsoftware bzw. schädlichen Links) gibt, die es rechtfertigen nicht nur dem Sender die Definition der Annahme oder Ablehnung von Mails zu überlassen.

Das "E-Mail" im A*sch ist und die Technik dahinter ganz grob in den 80ern/90ern stecken geblieben ist, dürfte jeder schon gemerkt haben.

Wie auch immer die Mail eingeschätzt wird, wird sie doch bis auf Weiteres ein wichtiger Kommunikationsträger bleiben. Technische Maßnahmen zur Erhöhung der Vertraulichkeit, Authentizität und Reduktion von Missbrauch sind hier m.E. schon gerechtfertigt. Und ja, es werden wohl immer Risiken verbleiben - die aber letztlich in gewissem Maß mit jedem elektronischen Datenaustausch verbunden sind.

Viele Grüße

---

@Nutzer_8888  schrieb:

---

@janm schrieb: Der Absender gibt an, was mit der Mail passieren soll. Der Empfänger setzt um. Natürlich kann jetzt wieder jemand auf der Seite des Empfängers anfangen und Ausnahmen bauen. Das ist aber vollkommen am Sinn vorbei.

---

Naja, denke schon, dass es verschiedene Motivationen auf Senderseite (Schutz vor Missbrauch der eigenen Mail-Domain) und Empfängerseite (Schutz vor jeglicher Art von Schadsoftware bzw. schädlichen Links) gibt, die es rechtfertigen nicht nur dem Sender die Definition der Annahme oder Ablehnung von Mails zu überlassen.

---

Der Absender sagt, wenn du eine E-Mail von "meiner Domain" bekommst und diese nicht über einen von mir autorisierten Server kommt, dann lehne diese doch bitte ab. Als Absender habe ich da ein recht großes Interesse dran. Wenn mich das als Empfänger nicht kümmert, zwingt mich halt auch niemand, die Mail abzulehnen (, sofern ich die volle Kontroller über die genutzten Mailserver auf meiner Seite habe).

Beide Seiten haben da sicher großes Interesse und hier ging es initial nicht primär um die Möglichkeiten des Absenders die Mail-Annahme zu definieren, sondern um die Tatsache, dass Mails nicht ankamen. Und hier kann eben auch ein empfängerseitiger Filter (in diesem Falle dann z.B. von Datev) wirksam werden.

Die Senderseitigen Einstellungen sind hier ja gut beleuchtet worden (und vielleicht auch die auslösende Ursache des Problems gewesen), es wäre aber auch wichtig zu wissen, ob die Datev (betreiben ja den Mail-Server und ggf. auch Folgeprogramme) z.B. für Nutzer des Exchange-Moduls für SmartIT hier Mails unter bestimmten Bedingungen ablehnt (z.B. wenn SPF oder DKIM nicht vorhanden ist oder fehlschlägt und dabei ggf. auch strenger vorgeht, als vom Sender empfohlen) und hier ggf. Verschärfungen eingeführt hat.

Viele Grüße und schönes 🌞 WE 🙂!