Fragwürdiger Spam-Schutz von Microsoft

Beruf: Kunde IT-Spielzeug

Microsoft macht bei Geschäftskunden ("Microsoft 365") in Sachen E-Mail einen ganz guten Job. Es gibt genug an Microsoft (als Firma, als "Herkunftsland", als Betriebssystem-Plattform, kaufmännische "Unplanbarkeit"...) zu kritisieren, aber wenn man Exchange/Outlook nutzen will, ist MS365 technisch eine gute Wahl. 

Bei Privatkunden mit Marken wie live.com, Hotmail u.a. aber kann ich nur mit dem Kopf schütteln, warum Endkunden sowas nutzen.

Fragwürdige IP-Sippenhaft

Screenshot: Von der Support-Anfrage bis zur Abmahnung, egal wie man die Kontaktaufnahme versucht, Microsoft antwortet nicht mal

Bereits seit vielen Jahren ein Ärgernis: Microsoft sperrt gerne andere Provider aus und löscht Mails von dort, weil sie Spam vermuten.

Spam ist ein nerviges Thema für jeden Provider, und IP-Sperren von bösen Absendern sind ein probanes Mittel. Aber was ist ein böser Absender? Microsoft (und das kenne ich ansonsten nur von Verrückten wie UCE Protect - ein Thema für sich) hat da seine eigene Definition.

Aufgefallen ist das meinem Arbeitgeber (kleiner Provider), weil Server unserer TYPO3-Hosting-Plattform keine Mails mehr an hotmail-Kunden schicken konnten. Nun laufen auf dieser TYPO3-Plattform u.a. Bewerbungsformulare (und natürlich will man auch Bewerber haben, die bei hotmail Kunde sind), und die Leute erhalten dann auf ihre Bewerbung einfach keine Reaktion, weil Microsoft sie ablehnt. Und bei der Fehlersuche fiel auf, dass wir aus unserem Ticketsystem heraus auch keine Mails an Hotmail-Empfänger schicken können (ist lange nicht aufgefallen, da wir in erster Linie Geschäftskunden betreuen, die nutzen selten Hotmail).

Was ist der Grund? Wie gesagt, IP-Sperren sind legitim, wenn von dem Absender schon mal größere Mengen Spam kam. Im Bereich SharedHosting passiert sowas leider immer mal wieder - schlecht programmierte Kontaktformulare sind z.B. anfällig gegen Code Injections (das Prinzip habe ich in meinem Erklärbär-Bereich schon mal veranschaulicht) und beim Ausfüllen schickt man so huckepack noch ein paar tausend Spam-Mails mit, die das Kontaktformular netterweise gleich mit verarbeitet und verschickt. Im E-Mail-Umfeld sind per Trojaner geklaute SMTP-Zugangsdaten (und die werden dann aus dem Ausland missbraucht) leider auch Tagesgeschäft. Für beides hat man als Provider Gegenmaßnahmen und Früherkennung. Aber konkret die TYPO3-Plattform war bis dato absolut unauffällig (da gibt es selten bis gar keine unsaubere programmierten Kontaktformulare), und unser Ticketsystem (auf den überhaupt kein Kunde Zugriff hat) sowieso nicht.

Tatsächlich filtert Microsoft ohne konkreten Anlass bei uns. Nicht nur ein paar IP-Adressen, nicht mal nur unsere IP-Netze, sondern großflächig alles, was unser Rechenzentrums-Vermieter Plusserver so an IP-Netzen hat. Und nicht nur unseren, auch Hetzner, zwischendurch mal 1&1, ganze Hochschulen, wie hier beschrieben. Und filtern heißt, dass die Mails einfach nicht ankommen (sie werden aber nicht abgeblockt, d.h. wir haben keine Chance zu erkennen, dass es ein Problem gibt).

Und wir haben nicht nur keine Chance, das zu erkennen, wir können es auch nicht ändern. Einen "DeListing-Prozess" (wie er bei Blacklisten üblich ist) gibt es nicht. Versuche, mit Microsoft irgendwie in Kontakt zu geraten schlugen fehl (die Privatkunden-Sparte bietet einfach keinen Support an, der antworten würde. Und die Geschäftskunden-Sparte bzw. sogar unsere Partner-Managerin für uns als SPLA-Provider waren hilflos, sie haben mit Hotmail nichts zu tun). Selbst der letzte verzweifelte Schritt, eine Abmahnung an den Geschäftsführer von Microsoft Deutschland (Wettbewerbsverstoß nach UWG in Kombination mit Eingriff in den ausgeübten Gewerbebetrieb), blieb unbeantwortet. (Die Abmahnung gerichtlich weiter zu verfolgen war zu risikobehaftet - alleine die Frage, ob Microsoft Deutschland überhaupt der richtige Adressat ist, ist ja strittig).

Also bleiben Hotmail-Kunden weiterhin von Spam verschont, in dem Microsoft täglich tausende auch echte Mails löscht.

Datenschutz? Fernmeldegeheimnis? Nö

Aber es wird noch schlimmer - IP-/Spam-Filterung ist jetzt nichts, wo man sich als Provider aufregen muss.

Interessanter ist eine weitere Funktion, Microsoft nennt sie "Junk Mail Reporting" (JMR) und beschreibt sie wie folgt

Aus diesem Grund haben wir einige Dienste entwickelt, die es Internetdienstanbietern ermöglichen, weitere Kenntnisse über die Art von Datenverkehr zu erlangen, der aus ihren Netzwerken stammt und Outlook.com-Kunden erreicht. Internetdienstanbieter können diese Daten anschließend nutzen, um Missbrauch (Junk-E-Mail, Phishing usw.) in ihren Netzwerken zu stoppen. Dadurch lassen sich ihre Gesamtkosten senken und ihre Zuverlässigkeit proaktiv erhöhen.

Klingt toll. Wie sieht das in der Praxis aus?

Ein Hotmail-Kunde erhält eine Mail, die als Spam eingestuft wird. Scheinbar genügt es, wenn der Anwender diese Einstufung "bestätigt". Wenn die Mail jetzt z.B. in einem Ordner "Junk-Mail" landet, der Anwender sie sieht, zur Kenntnis nimmt und löscht (z.B. weil es keine Spam-Mail war, aber er den Inhalt soweit erledigt hat und die Mail weder Antwort noch Aufbewahrung benötigt), dann sieht sich Microsoft in seiner Einstufung bestätigt. Jetzt wird diese Mail mit Inhalt und Original-Headern an den zuständigen Provider geschickt. Die Idee dahinter ist, dass der Provider sich dann ja kümmern kann, damit aus seinem Netz heraus kein weiterer Spam verschickt wird.

Soweit schön und gut.

Problem 1: Das betrifft nicht nur Spam-Mails. Ich habe keine Ahnung, wann Microsoft entscheidet, dass sie die JMR-Mail verschicken. Aber wie beschrieben, vielleicht genügt ein fehlender Klick auf "das war kein Spam", und Microsoft fühlt sich bestätigt und verschickt auch echte Mails an den Provider, obwohl die ihn gar nichts angehen. 

Problem 2: Im Falle von Weiterleitungen gilt der weiterleitende Provider als "Verursacher". Das heißt: Wenn ich eine Mail-Adresse z.B. @vollzeitnerd.de einrichte und an meine private Hotmail-Adresse (so ich eine hätte) weiterleite, und jemand schickt Spam an die Vollzeitnerd-Adresse, dann hält Microsoft also den Provider, bei dem vollzeitnerd.de liegt, für den Spamer und schickt dort auch seine JMR-Mail hin. Das ist nachvollziehbar, aber im Ernst: Was sollen wir damit? Die Weiterleitung erfolgte im Kundenauftrag (und selbst bei Spam-Mails: Wenn der Kunde entscheidet, dass er auch Mails, die wir selbst für Spam halten, weitergeleitet haben möchte, dann müssen wir das zunächst mal tun). 

Problem 3: Ich habe keine Ahnung, wie Microsoft den Empfänger der JMR-Mail ermittelt. Naheliegend wäre, im WHOIS der IP-Adresse (in Deutschland also beim RIPE) nachzugucken, wer der Administrator bzw. besser noch der abuse-Kontakt dieses IP-Netzes ist. Dann würde die Mail z.B. bei unserem Hostmaster-Eingangstor landen. Denkbar wäre auch, dass sie irgendwo (Kunden- oder Provider-Domain) z.B. die security.txt (RFC 9116) abfragen. Oder oder oder. Machen sie aber alles nicht, statt dessen haben sie eine allgemeine Mail-Adresse ausgemacht, die natürlich an völlig falscher Stelle landet.

Problem 4: Der Empfänger versteht anfangs nicht mal, was er da bekommt. Die Mail sieht nämlich erstmal so aus (alle Inhalte und Header sind zwecks Analyse erhalten geblieben), als wäre sie einfach nur fehlgeleitet. Lediglich an 2-3 Stellen kann man überhaupt erkennen, dass sie von Microsoft selbst stammt:

X-Receiver: allgemeine-Kontaktadresse-meines-Providers
X-Sender: staff@hotmail.com
X-Hmxmroriginalrecipient: <mailadresse-des-hotmail-kunden@outlook.de>
X-MS-Exchange-Eopdirect: true

Und nur eine Google-Recherche nach "X-Sender: staff@hotmail.com" führt dann dazu, dass man auf irgendwelchen Blogs von Microsofts toller Erfindung des JunkMailReportings erfährt.

Und so bekommen wir Mails, die gar nicht an uns adressiert sind. Mal mit Bewerbungen drin, mal mit Fahraufträgen (Krankentransport-Dienstleister oder Taxiunternehmen), mal mit Rückfragen zu Bestellungen. Von unterschiedlichen Absendern (die davon nichts wissen), an unterschiedliche Empfänger (die allesamt Weiterleitungen an ihre Hotmail-Adresse haben und dadurch das Problem auslösen). Und die landen bei uns im ersten Vertriebs-Eingangstor, also bei Leuten, die den Inhalt der Mail genau gar nichts angeht.

Was sagt der Gesetzgeber dazu? Fangen wir mal einfach an:

Grundgesetz für die Bundesrepublik Deutschland, Art 10 

(1) Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.

(2) Beschränkungen dürfen nur auf Grund eines Gesetzes angeordnet werden. (..)

Das Fernmeldegeheimnis (dem unterliegen nach ständiger Rechtsprechung auch E-Mails) umfasst einerseits den Mail-Inhalt, andererseits auch die Header, zumindest soweit sie für die Kommunikation wichtig sind (also wer hat mit wem wann geschrieben).

Mit viel gutem Willen wäre es akzeptabel, dass Provider untereinander Header zwecks Fehlersuche (dazu würde ich auch Spam-Vermeidung) austauschen, sofern dadurch das Fernmeldegeheimnix gewahrt bleibt. Also: Wenn Hotmail uns eine Message-ID schicken würde (anhand derer wir die Mail bei uns finden), wäre das für mein Rechtsverständnis in Ordnung. Dass wir anhand dieser Message-ID auch den Kommunikationsfluss bei uns in den Logfiles finden (und damit auch nachlesen können, wer mit wem geschrieben hat), ist Teil der Fehlersuche. Und die Leute bei uns, die auf derartige Logfiles Zugriff haben, sind auch speziell in Sachen Fernmeldegeheimnis/Datenschutz sensibilisiert und unterwiesen.

Was schon nicht mehr geht, ist, unnötige Metadaten der Kommunikation (Absender/Empfänger/Datum) ungefragt und an eine unbekannte Gegenstelle (wie gesagt, der Empfänger war nicht mal unser Hostmaster-/Abuse-Eingangstor, sondern die 08/15-Kontaktadresse des Vertriebs, von der man gar nicht weiß, ob man da überhaupt den zuständigen Server-Administrator erreicht) zu schicken. Vom Inhalt, der hier ohne Not offengelegt wird. ganz zu schweigen.

Wem das Grundgesetz noch nicht reicht, der werfe einen Blick in die Datenschutz-Grundverordnung:

Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz");

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; 

(..)

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung 

Personenbezogene Daten haben wir gleich mehrere - die Kontaktdaten (Mail-Adresse und meistens ja auch Signatur) des Absenders, die Mail-Adresse des Empfängers und, wenn da z.B. Taxifahrten oder ähnliches disponiert werden, auch die des Fahrgastes. Ich denke nicht, dass es "nach Treu und Glauben und in einer für die betroffenen Person nachvollziehbar" ist, wenn die Mail einfach an irgend einen fremden Dritten geschickt wird, sondern im Gegenteil, das dürfte genau die unbefugte/unrechtmäßige Verarbeitung sein, vor der zu schützen ist.

Glauben ist nicht wissen, darum noch ein anderer Artikel:

 

Art. 6 Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags (..) erforderlich (..)

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (..)

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen (..) zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt (..)

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (..)

Ist alles nicht der Fall. Bedingung a würde voraussetzen, dass der/die AbsenderIn einer Mail eingewilligt hat, dass der Inhalt der Mail an Vertriebspersonen irgend eines Internet-Providers (der nur mittelbar was mit der Mailkommunikation zu tun hat) offengelegt wird - sicherlich nicht. Über Bedingungen b bis e brauchen wir gar nicht nachdenken. Und eine Bekämpfung von Spam als berechtigtes Interesse nach Bedingung f anzusehen wäre denkbar, aber hier überwiegt ganz klar das Grundgesetz.

Dass hier gegen Gesetze verstoßen wird, ist meines Erachtens unstrittig. Die Frage ist jetzt noch: Von wem eigentlich? Durch "Microsoft" als Synonym für den Betreiber von hotmail, live.com, outlook.com usw. -> wer das ist, darf man sich selbst recherchieren), ja klar.

Aber meines Erachtens auch durch den Kunden, der seine Mails von @kundendomain an die private-Mitarbeiteradresse@hotmail weiterleitet, denn der ist für die DSGVO-konforme Verarbeitung der Daten verantwortlich.  

Und der Microsoft-Kunde direkt auch noch. Zumindest, wenn er dienstliche Anliegen über seine Mail-Adresse laufen lässt (für rein private Mails greift die DSGVO nicht) ist er für die DSGVO-konforme Verarbeitung mit-verantwortlich. Und der Verstoß gegen das Fernmeldegeheimnis greift auch bei privaten Mails - ab Kenntnis der Funktion Junk Mail Reporting dürfte der Microsoft-Kunde also, wenn er diese Mail-Adresse weiter nutzt, auch die Gesetzesverstöße aktiv dulden.

Darum wäre mein Rat: Finger weg von privaten Microsoft-Maildiensten wie Hotmail, live.com, outlook.com o.ä.

Mit deutscher Gesetzgebung m.E. nicht zu vereinbaren

Feedback