Nicht viele Unternehmen verwenden UCEPROTECT (und schon gar nicht Anbieter wie Google oder Microsoft), so dass Sie höchstwahrscheinlich durch einen Blacklist-Scan auf dieses Problem aufmerksam gemacht wurden, und nicht, weil Ihre E-Mails zurückgewiesen wurden. In den meisten Fällen können Sie den Eintrag einfach ignorieren, da er keine Auswirkungen auf Ihren Server hat.

Dennoch möchten wir die Situation mit dieser Blacklist etwas näher erläutern. Auch wenn UCEPROTECT eine kleine Blacklist ist, hat sie doch einen recht hohen Bekanntheitsgrad. Sie verfolgt eine sehr aggressive Listungspolitik und erhebt Gebühren für die Express-Entfernung von Einträgen.

Um zu verstehen, warum UCEPROTECT so viele Einträge hat, ist es notwendig, sich ihre Kriterien etwas genauer anzusehen. Wenn Sie lediglich wissen möchten, was dies für Sie bedeutet, können Sie den folgenden technischen Teil überspringen.

———- Technische Informationen ———-

UCEPROTECT ist eine DNS-basierte Blacklist, die von jedem Mailserver verwendet werden kann, um E-Mails zu filtern oder sogar ganz abzulehnen. Sie hat drei verschiedene Stufen/Levels, die geprüft werden können:

Level 1: Listet einzelne IPs auf, die beim Versenden von E-Mails an Spamtraps oder bei Netzwerkmissbrauch beobachtet wurden. Diese werden 7 Tage nach dem letzten Impact automatisch aus der Liste entfernt. (Impact = ein Spamtrap-Treffer oder ein Netzwerkmissbrauch-Treffer).

Level 2: Listet ein /24 Netz (mit 256 IPs) auf, wenn es 4 oder mehr Impacts von IPs innerhalb dieses Bereichs gab, oder bis zu ein /15 Netz (mit 130.072 IPs) auf, wenn es 141 oder mehr Impacts von IPs innerhalb dieses Bereichs gab.

Level 3: Listet alle IPs aus einem einzelnen Netzwerk (ASN) auf, wenn eine bestimmte Anzahl an Impacts in diesem Netzwerk aufgetreten sind. Diese Anzahl richtet sich nach der Gesamtzahl der IPs des Netzes.

Anfang 2021 wurden die Kriterien sowohl für Level 2 als auch für Level 3 geändert. In beiden Fällen haben die Änderungen dazu geführt, dass viel mehr Bereiche und ganze Netze aufgelistet wurden.

Quelle: http://www.uceprotect.net/de/index.php?m=12&s=0

* Kriterien für Level 2

Für Level 2 waren die Kriterien früher, dass 5 oder mehr einzelne IPs, die auf Level 1 aufgelistet sind, eine /24 Level 2 Listing verursachen würden. Am 8. Februar 2021 wurde das geändert zu 4 oder mehr Impacts. Dies bedeutet, dass eine einzelne IP, die 4 E-Mails an Spamtraps gesendet hat, dazu führen kann, dass die gesamte /24, zu der sie gehört, auf Level 2 gelistet wird.

Aufgrund dieser Änderung gibt es viel mehr /24 Netzen und sogar einige /16 und /15 Netzen, die auf Level 2 gelistet sind, und es ist viel schwieriger, dies zu verhindern.

* Kriterien für Level 3

In der Vergangenheit wurde eine Listung in Level 3 vorgenommen, wenn 0,2 % oder mehr aller IPs aus einem Netzwerk auf Level 1 gelistet wurden. Dies bedeutete, dass es nur wenige Level 3 Listungen gab. Am 18. Januar 2021 wurde diese Richtlinie auf 0,02 % geändert (eine zehnfache Verringerung der Anzahl der IPs, die eine Listung auf Level 3 verursacht). Aufgrund dieser Änderung wurde plötzlich eine große Anzahl an Unternehmen, darunter viele unserer Mitbewerber, auf Level 3 gelistet.

Das sorgte natürlich für einen ziemlichen Aufruhr in der Webhosting- und Anti-Abuse-Community. Am 8. Februar 2021 beschloss UCEPROTECT, die Kriterien für Level 3 erneut zu ändern. Die wichtigen Kennzahlen sind nun die Impacts. Wenn es mehr Impacts als 0,05 % der gesamten IPs gibt, wird das gesamte Netzwerk auf Level 3 gelistet.

Als Referenz kann die vollständige Liste von Netzwerken/Firmen die auf Level 3 stehen hier eingesehen werden:

http://www.uceprotect.net/de/l3charts.php

UCEPROTECT gibt selbst zu, dass Level 3 „drakonisch“ ist und „kann möglicher Weise Kollateralschäden anrichten, wenn Sie sie als Blocker benutzen“. Deshalb wird empfohlen, dies im Rahmen eines Scoring-Systems zu verwenden und E-Mails nicht direkt abzulehnen.

Quelle: http://www.uceprotect.net/de/index.php?m=3&s=5

———- Auswirkungen für uns ———-

Aufgrund der oben erläuterten technischen Informationen kann eine einzige IP dazu führen, dass ein ganzes /15 Netz (mit 131.072 IPs) auf Level 2 auf die Blacklist gesetzt wird. Tatsächlich kann eine Handvoll IPs mit vielen Impacts dazu führen, dass unser gesamtes Netzwerk (mit knapp 3 Millionen IPs) auf Level 3 auf die Blacklist gesetzt wird. Das ist etwas, was wir gesehen haben, und es zeigt, wie kaputt das System ist. Die Anzahl der False Positives ist erstaunlich.

Wir überwachen UCEPROTECT täglich und ergreifen Maßnahmen gegen IPs, die mehrfach gelistet sind. Wir haben jedoch öfters beobachtet, dass UCEPROTECT weiterhin Impacts von IPs feststellt, obwohl diese gesperrt wurden und kein Netzwerkverkehr auf ihnen stattfindet. Dies sollte nicht möglich sein.

Im Gegensatz zu den meisten anderen Blacklists, bei denen IPs nach ein paar Stunden oder Tagen automatisch ausgetragen werden, oder bei denen IPs manuell ausgetragen werden können, werden IPs bei UCEPROTECT eine ganze Woche lang nach ihrer letzten Impact gelistet. Das bedeutet, dass es einzelne Einträge gibt, die längst gelöst sind, aber immer noch Auswirkungen auf Level 2- und Level 3-Listungen haben. Die einzige Möglichkeit, IPs früher auszutragen, besteht darin, UCEPROTECT für ein Express-Delisting zu bezahlen. Jedoch können wir ein solches System nicht guten Gewissens unterstützen.

Die drei oben genannten Probleme bedeuten, dass wir nicht garantieren können, dass IPs nicht als Teil einer größeren Netz auf Level 2, oder als Teil unseres gesamten Netzwerks auf Level 3 gelistet werden. Das bedeutet auch, dass wir keine einfache oder schnelle Lösung anbieten können.

Nicht viele Firmen oder Mailserver verwenden UCEPROTECT. Wenn Sie jedoch Probleme mit der Ablehnung Ihrer E-Mails haben, wenden Sie sich bitte auf anderem Wege an diese Empfänger und informieren Sie sie über die geänderten Kriterien für Level 2 und 3 und die Empfehlung von UCEPROTECT selbst, Level 2 oder 3 nicht zur vollständigen Ablehnung von E-Mails zu verwenden.