Freitag, 17. Januar 2025, 08:26
Die Ära der ix.dnsbl.manitu.net geht zu Ende
Es schmerzt (wirklich!) sehr, aber: Wir haben uns dazu entschieden, das Projekt ix.dnsbl.manitu.net zu beenden. Per sofort.
Es war ein langer Entscheidungsweg, mit vielen involvierten Personen, darunter Bert Ungerer, der Initiator von NixSpam und ehemaliger Mitarbeiter bei Heise, Marcel M., der einen eigenen Server für das Handling eingehender Spams bei uns im Rechenzentrum betrieb, Tilmann Wittenhost, "Nachfolger" von Bert Ungerer beim Heise-Verlag in Sachen NixSpam, und auf unserer Seite viele Anwälte und Berater.
Der Heise-Verlag hatte sich nach dem Weggang von Bert dazu entschieden, nicht mehr als Betreiber der Blacklist auftreten zu wollen.
Wir hatten versucht, eine Möglichkeit zu finden, dass wir der Betreiber sind - weniger technisch als juristisch. Aber nach endlosen Runden mit Anwälten und Beratern (und Versicherern) müssen wir abwinken: Das Risiko - und zwar nur das juristische - ist derart hoch, dass wir dieses Risiko nicht eingehen möchten und können. Immerhin war es ja ein non-profit-Projekt - dem stehen aber evtl. Konsequenzen ggü., angefangen von der EU-DSGVO über die NIS-2 bis hin zu evtl. Forderungen im Bereich von BGB/HGB.
Ich könnte es relativ gut auf den Punkt bringen: Solange Heise als Betreiber der Blacklist auftrat, war es eine relativ sichere Bank, denn vermutlich hätte es sich jeder zweimal überlegt, ob er sich mit denen anlegen will, z.B. wenn er auf der Blacklist gelandet ist. Das sähe, wären wir der Betreiber, sicher anders aus: Man stelle sich nur mal vor, ein Marktbegleiter wäre darauf. Dann kommen viele weitere §§ ins Spiel - non-profit hin oder her.
Bei diesem Punkt haben Anwälte und Versicherer abgewunken: Das Kosten-Risiko ist immens - bei 0 "Einnahmen".
Wir hatten kurz überlegt, ggf. eine eigene juristische Person daraus zu machen, aber auch das birgt Risiken und Kosten: Für solche Entities (z.B. eine eigene Blacklist-GmbH) müsste ja auch jemand als Geschäftsführer gerade stehen. Und da die NIS-2 ja eine persönliche Haftung vorsieht, will den Job vermutlich auch niemand machen wollen.
Wir haben uns daher dazu entschieden, die Blacklist ix.dnsbl.manitu.net aufzugeben. Mit Stand von gestern ist die Liste nicht mehr aktiv - genauer: Sie listet keinerlei Einträge mehr. Wir werden selbstverständlich die Vorschläge der RFC 6471 bzgl. einer Abschaltung umsetzen. Vorläufig sind erst einmal alle DNS-Slaves raus, der Master liefert nur noch eine leere Zone (ohne Heartbeat etc.).
Es tut beim Schreiben dieses Beitrags weh - denn wir und auch ich persönlich habe viel in das Projekt seit 2005 (!) inverstiert. Ich will gar nicht wissen, wie es sich für Bert anfühlen muss (und auch für Marcel, der immer mit seiner Seele dabei war).
Letztendlich fasse ich es einmal zusammen, wie ich es empfinde und was ich tief in mir drin darüber denke: Die Regelungs-Wut der EU sowie des Gesetzgebers im Allgemeinen war der einzige Grund für diese Entscheidung.
Es war ein langer Entscheidungsweg, mit vielen involvierten Personen, darunter Bert Ungerer, der Initiator von NixSpam und ehemaliger Mitarbeiter bei Heise, Marcel M., der einen eigenen Server für das Handling eingehender Spams bei uns im Rechenzentrum betrieb, Tilmann Wittenhost, "Nachfolger" von Bert Ungerer beim Heise-Verlag in Sachen NixSpam, und auf unserer Seite viele Anwälte und Berater.
Der Heise-Verlag hatte sich nach dem Weggang von Bert dazu entschieden, nicht mehr als Betreiber der Blacklist auftreten zu wollen.
Wir hatten versucht, eine Möglichkeit zu finden, dass wir der Betreiber sind - weniger technisch als juristisch. Aber nach endlosen Runden mit Anwälten und Beratern (und Versicherern) müssen wir abwinken: Das Risiko - und zwar nur das juristische - ist derart hoch, dass wir dieses Risiko nicht eingehen möchten und können. Immerhin war es ja ein non-profit-Projekt - dem stehen aber evtl. Konsequenzen ggü., angefangen von der EU-DSGVO über die NIS-2 bis hin zu evtl. Forderungen im Bereich von BGB/HGB.
Ich könnte es relativ gut auf den Punkt bringen: Solange Heise als Betreiber der Blacklist auftrat, war es eine relativ sichere Bank, denn vermutlich hätte es sich jeder zweimal überlegt, ob er sich mit denen anlegen will, z.B. wenn er auf der Blacklist gelandet ist. Das sähe, wären wir der Betreiber, sicher anders aus: Man stelle sich nur mal vor, ein Marktbegleiter wäre darauf. Dann kommen viele weitere §§ ins Spiel - non-profit hin oder her.
Bei diesem Punkt haben Anwälte und Versicherer abgewunken: Das Kosten-Risiko ist immens - bei 0 "Einnahmen".
Wir hatten kurz überlegt, ggf. eine eigene juristische Person daraus zu machen, aber auch das birgt Risiken und Kosten: Für solche Entities (z.B. eine eigene Blacklist-GmbH) müsste ja auch jemand als Geschäftsführer gerade stehen. Und da die NIS-2 ja eine persönliche Haftung vorsieht, will den Job vermutlich auch niemand machen wollen.
Wir haben uns daher dazu entschieden, die Blacklist ix.dnsbl.manitu.net aufzugeben. Mit Stand von gestern ist die Liste nicht mehr aktiv - genauer: Sie listet keinerlei Einträge mehr. Wir werden selbstverständlich die Vorschläge der RFC 6471 bzgl. einer Abschaltung umsetzen. Vorläufig sind erst einmal alle DNS-Slaves raus, der Master liefert nur noch eine leere Zone (ohne Heartbeat etc.).
Es tut beim Schreiben dieses Beitrags weh - denn wir und auch ich persönlich habe viel in das Projekt seit 2005 (!) inverstiert. Ich will gar nicht wissen, wie es sich für Bert anfühlen muss (und auch für Marcel, der immer mit seiner Seele dabei war).
Letztendlich fasse ich es einmal zusammen, wie ich es empfinde und was ich tief in mir drin darüber denke: Die Regelungs-Wut der EU sowie des Gesetzgebers im Allgemeinen war der einzige Grund für diese Entscheidung.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Thomas "Balu" Walter
Ihr habt nicht nur uns MailOPs viel Arbeit abgenommen, sondern auch unzählige Enduser vor Spam, Phishing und Co. geschützt.
Danke.
Jakob
Allen beteiligten vielen Dank!
Bastian
Trotz allem schönes Wochenende!
ARL
Ich kann deine Gründe allerdings gut verstehen, würde aber aus meiner Sicht nicht von allgemeiner Regelungswut, sondern der regulatorischen Bevorzugung bestimmter Geschäftsmodelle sprechen. DSGVO und NIS-2 sind im Grunde gut und wünschenswert, aber der relative Aufwand zur Umsetzung ist schlecht verteilt. NixSpam könnte man ja eigentlich als Infrastrukturbaustein für Schutz und Sicherheit sehen, und dann sollte es nicht um Risiken sondern um Förderung gehen.
Wie auch immer -- danke für die geleistetet Arbeit und Unterstützung!
Sarah
Vielen Dank für eure gute Arbeit über die ganzen Jahre, auf euch war Verlass.
Jörg Backschues
vielen lieben Dank für den Support über die ganzen Jahre hinweg.
Gruß Jörg
Patrick Cernko
Im Bezug auf die Gründe möchte ich mich meinem Vorredner "ARL" anschließen.
Auf weitere gute Zusammenarbeit!
Nick Lock
Helge
Vic.
Tschüss, und vielen Dank für den Fisch!
Michael
Heiko Schlichting
Keine Hektik - lasst uns nachdenken
wir haben von Heinlein über die Jahre immer unsere Unterstützung angeboten, so auch jetzt.
Bevor wir jetzt alle den Shutdown zelebrieren - lasst uns bitte erst in Ruhe schauen, ob nicht beispielsweise wir der neue juristische Träger sein können. Grundsätzlich haben wir schon ganz andere Sachen adoptiert.
Ein erstes Telefonat haben wir dazu bereits geführt und wir schauen uns das jetzt erstmal an.
Lieben Gruß
Peer
Jann
Markus
Thomas G.
Michael
=> ein bei den Kunden sehr beliebtes Feature, das Editieren der DNS-Zone per Webinterface, fällt ersatzlos weg, da wir den Server auslagern müssen.
Ich bin definitiv für Vorschriften zur Sicherheit, damit da keine Missverständnisse aufkommen. Ich bin mir sicher, wenn der waschechte Demokrat Wladimir seinen Leuten sagt, schaltet doch mal in D die Lichter aus, gehen sie an vielen Stellen aus. Wenn von den ganzen Hintertüren die da schon existieren durch die neuen Regeln auch nur ein paar gefunden werden, hat's schon geholfen. Aber wenn man dann liest, dass die staatliche IT ausgenommen wird und man selbst als Kleinstunternehmen mitmachen muss?
Also es tut mir echt leid, zu hören, dass dieser Service — den wir selbst auch nutz(t)en — eingestellt wird. Aber ich kann's verstehen.
Danke für die vielen Jahre, die er im Betrieb war.
Martin
John Doe
S
Inzwischen vergebe ich ganzen AS "Sonderpunkte", wenn es jemand mehr als 1x in meine normale Inbox schafft. Hier meine aktuelle Sammlung: https://pastebin.com/QbYcWBxv
Leider ist die EU nicht reformierbar. Hört man sich um, lässt kaum ein Mittelständler irgendwas Gutes an der Situation. Deutschland ist der kranke Mann in der Mitte Europas. Aber der Mehrheit der Wähler war es bisher einerlei, daß wenn der Unternehmer geht, der Wohlstand im Land mit verschwindet. Daß man politische Torheiten oder Übergriffigkeiten gnadenlos an der Wahlurne abstrafen muss. Sonst kommt irgendwann der Tag X und dann heisst es: Lernen durch Schmerz.
Rafael
Dann scheint es ja doch eher ein lokales Problem zu sein, wenn es andere Länder offensichtlich nicht krank macht.
Florian Sager
Ich frage mich, was die Regelungs-Wut der EU und unseres Staates einst zurückdrehen kann: dieser Klotz am Bein bremst zu viel aus.
Wir brauchen einen State-Reset; ich warte darauf.
johannes dannes
ich wage es nicht zu beurteilen wieso man da abgemahnt? verklagt? etc werden koennte? aber warum sollte das bei einem eigentuemer heiseverlag oder betreiber heiseverlag dann anders gewesen sein?
rechtsgeschichten sind doch echt zum haare raufen. grosse koennen sich in sicherheit wiegen aber kleine trauen sich dann nichts mehr
alles pervers die rechtswelt so scheint es. und das ist stand der soizalen gesellschaften in denen alle leben wollen? oder sollen....
wtf?
Klaus Thilman
vielen Dank für die jahrelange Arbeit. Ihr habt sehr geholfen, die SPAM-Flut einzudämmen, die nun zumindest bei uns seit 2 Tagen wieder ansteigt.
Natürlich kann ich eure Entscheidung nachvollziehen, auch wenn ich sie sehr bedaure.
Die Regelungswut von EU und DE macht zusätzlich Angst. Schon, weil die "Alternativen" eben keine "Alternative" sind.
Frank Engler
Ein großer Hoster fällt nun einmal unter die genannten Regeln, das aber mit jedem Geschäftsbereich.
Eine wirklich unabhängige juristische Person für die Blacklist unterfällt weder NIS2 noch ist sie mit potentiellen Spammen Im Wettbewerb. Und die DSGVO verhindert eine solche Blacklist genau gar nicht.
Es ist OK, das Projekt nicht weiter betreiben und auch nicht in andere Hände geben zu wollen. Und niemand hat irgendeinen Anspruch auf eine andere Entscheidung. Aber bitte bleiben Sie ehrlich, nicht der Gesetzgeber hat diese Entscheidung erzwungen, Sie haben diese getroffen (und durch die kurze Frist - wie soll sich z.B. eine Betreibergenossenschaft rechtzeitig konstituieren - möglicherweise erzwungen).
J. E.
Ohne die Beweggründe von Herrn Schmitt zu kennen, kann ich dazu mal meinen Senf geben, und dieser ist "vom Fach". Ich arbeite bei einer Datenschutzaufsichtsbehörde in Deutschland (ich sage nicht in welcher - nur nicht im Saarland, so viel sei verraten).
Eine DNS basierte Blacklist ist sehr wohl ein Datenschutzthema. Denn wie jeder weiß, ist eine IP-Adresse ein personenbezogenes Datum i.S. der DSGVO.
Einmal davon ausgehend, dass die Wikipedia-Beiträge und sonstigen Informationen zu DNSBLs stimmen, landen auf solchen Blacklists auch IP-Adressen von E-Mails, die an sog. "Spam traps" geschickt werden. Und diese sind nicht selten ehemalige legitime E-Mail-Adressen und/oder Domains. Wenn also der Absender selbst einen Mailserver mit fester IP-Adresse betreibt und diese darauf landet, wäre der Datenschutz tangiert, wenn nicht gar verletzt.
Ein schneller Blick in unseren internen System zeigt mir, dass es noch keine Referenzentscheidung zu solch einem Thema gibt - und sicherlich steht und fällt das mit der Arbeit meiner Kolegen und Koleginnen je nach Bundesland (um nicht zu sagen "je nach Sichtweise").
Ich möchte aber betonen... und zum Glück liest mein Arbeitgeber nicht mit... ich weiß aus beruflicher Praxis heraus wie sehr Vorgänge zwischen uns und Firmen dort zu einem Aufwand führen. Selbst wenn ein förmliche Untersuchung zu keinem Ergebnis führt - die Gegenseite - also die Firmen - haben enormen Stress, Kosten in Form von eigenem Personal und meist externen Anwälten. Zugegeben ist das oft auch ein Druckmittel in der Praxis seitens Beschwerdestellern - eine Untersuchung führt nicht zu einem Bussgeld oder einer Verwarnung - aber zu "Stress". Der Hebel ist hier groß.
Eine solche Blacklist ist m.E.n. nicht frei von Bedenken und würde sicherlich zu einem genau zu untersuchenden Vorgang führen. Mit Arbeit auf allen Seiten.
Zum Thema NIS2 - da bin ich nur semi vom Fach, da ich nur eine juristische Teilausbildung habe - aber auch das dürfte ja Berührungspunkte mit der DSGVO haben - Stichwort TOM. Wer würde wie sicherstellen, dass auf der Blacklist nicht das "halbe Internet" gelistet wird? Wie wäre ggf. beim Einsatz der Blacklist die Folgeabschätzung seitens der Nutzer? Wie sehen ggf. AVV aus wenn nötig? Fragen über Fragen.
Daher für Frank Egler: Das ist keineswegs so einfach. Und meine 2 cents: Ich finde, die DSGVO hat eine gute Idee, doch sie ist in ihrer Umsetzung total an einem fairen Ausgleich zwischen Firmen und Betroffenen vorbei. Stichwort "Kirche im Dorf lassen" oder "leben und leben lassen" - das sieht mein Chef nicht deckungsgleich aber ähnlich. Leider "müssen" wir unseren Job in engen Grenzen machen und können nicht immer mit einem geschlossenen Auge arbeiten...
J. E.
r_nuwieder
Ich setze 50 Euro darauf, dass keine Aufsichtsbehörde das Faß für einen solchen Quatsch aufmacht und das Risiko eingeht sich vor dem VG eine böse Klatsche zu fangen.
Manuel Schmitt
John Doe
Das wir massiv (seit Jahren schon) attackiert werden, sollte bekannt sein und auch die bisherigen Resultate daraus ... kommt es noch dicker steht alles still.
Eine Regierung sollte in der Lage sein diese Situation zu erkennen und zu entscheiden was in dem Moment Priorität hat, der Datenschutz oder der Schutz der digitalen Infrastruktur.
Ohne diese wäre diese ganze Datenschutz Krake ohnehin obsolet und die Datenschützer arbeitslos.
Andreas E.
Schade, dass ein weiterer Betrieb rechtlich zu unsicher ist. Danke für nichts - liebe EU !
Chris
Zugegeben, in der Vergangenheit hat er sich anders als andere Unternehmen verhalten, dennoch ist er erst mal Voreingenommen in seinem Bereich und argumentiert natürlich für sich. Ein Hr. Heinlein sieht das dann doch anders und mahnt zur Ruhe.
Ein weiterer Punkt: Bisher wurde, so verstehe ich das, die Infrastruktur (=Kosten) von Manitu betrieben und nur der Name kam von Heise. Optimale Voraussetzungen also. Diese Situation wurde von Heise aus freien Stücken beendet. Eine Begründung gibt es bisher nicht. Hätte man ja weiterlaufen lassen können.
Dritter und letzter Punkt: Selbst wenn die Regeln der EU nicht wären, bleibt der Punkt mit dem Mitbewerber, der auf der Liste landen und klagen könnte. Am Wettbewerbsrecht kann die EU wohl wenig ändern.
Anderer Chris
John Doe
Gut, in Friedenzeiten ist die EU Abteilung für Datenschutz sicherlich eine gute Sache, aber in diesem Cyberwar leider eher ein Super Gau.
Man kann hier nicht Regulierungen pauschal anwenden z.b. Shop oder Seitenbetreiber mit ISP und Organisationen die der IT Sicherheit dienen in einen Topf werfen. Es muß eine Möglichkeit offen gehalten werden IT Infrastruktur vor Angriffen schützen zu können. Daher wäre es momentan sinnvoller, Leute die zum Schutz beitragen zu unterstützen als diese mit Regulierungen zu verunsichern und zum aufgeben zu bewegen.
In einem Verteidigunsfall würde die EU doch sicherlich nicht beschließen auch Soldaten mit Platzpatronen an die Front schicken.
Demian
Vielen Dank dafür!
Krille
Wir haben damals beim Aufbau des Projektes so viele Mails analsyiert und auch mit dem ASSP so viele Daten gesammelt, um das in Schwung zu bekommen.
Naja, ich hab ja eh nur noch meinen privaten Senioren-Server. Keiner meiner Ex-Kollegen hat noch einen am Start, die verstecken sich alle hinter Google, M$ & Co.
Another one bites the dust.
Danke für 20 Jahre stabilen Service!
Krille
H., Stefan
Es macht mittlerweile wenig Sinn Projekte wie NixSPAM, DNS, E-mail der Hosting auf Ehremämter, Sponsoren oder Engagment von Einzelnen mit viel gutem Willen aufzustellen. Das führt exakt in die Situation, die ihr gerade erlebt, also Rechtsunischerheit und Verantowrtungsdiffusion. Dazu kommt, DKIM, SPF, DNSSEC und Audits uvam. machen Sinn - wenn man das einmal organisiert hat, ist es ein Selbstläufer, es braucht eben einen organisatorischen und technischen Rahmen.
JPKessler
nur mal so
Also jetzt wieder der EU die Alleinschuld zuzuschieben greift deutlich zu kurz.