Öffentliche Überlegungen zu E-Mail der zweiten Generation

 (gabrielsieben.tech)
14 Punkte von GN⁺ 2024-05-19 | 8 Kommentare | Auf WhatsApp teilen

Note: Dieser Text ist lediglich eine Sammlung meiner Gedanken. Ich habe nicht tief darüber nachgedacht, und es ist nicht nötig, das für eine gute Idee zu halten. Bitte mit möglichst niedrigen Erwartungen lesen.

Probleme von E-Mail

  • Viele alte Technologien sind immer noch im Einsatz, aber E-Mail nervt mich jedes Mal, wenn ich sie benutze.
  • Aus Sicht der Nutzer funktioniert E-Mail ziemlich gut. Gelegentlich wird zu viel Spam verschickt, aber E-Mail ist alt, zuverlässig, leicht zu verstehen und relativ einfach zu durchsuchen.
  • Das Backend von E-Mail ist jedoch ein Chaos.

Probleme des E-Mail-Backends

  • Für viele E-Mail-Funktionen gibt es keine klare Spezifikation. Zum Beispiel ist nicht klar, ob eine Antwort oberhalb oder unterhalb der ursprünglichen Nachricht stehen soll.
  • Es ist nicht klar, welches HTML in E-Mails verwendet werden darf. Microsoft Outlook missbraucht dabei mitunter den HTML-Renderer von Microsoft Word.
  • Auch wie E-Mails verschlüsselt werden sollen, ist nicht klar. Es wurde zwar OpenPGP erfunden, aber es wurde kaum genutzt und hat große Schwächen.
  • Die Echtheit von E-Mails ließ sich nicht immer überprüfen. Deshalb wurde SPF erfunden, aber SPF hat nicht alle Probleme gelöst. Deshalb wurde DKIM erfunden, aber DKIM hat ebenfalls nicht alle Probleme gelöst. Deshalb wurde DMARC erfunden, aber da DKIM selbst große Schwächen hat, wird auch DMARC umgangen.
  • Mit BIMI wurde eine weitere Schicht hinzugefügt, die ebenfalls von DMARC abhängt, DMARC wiederum von DKIM, und DKIM hat Schwächen.
  • Selbst dort, wo DMARC vorhanden ist, sind 68,2 % der Einträge auf p=none gesetzt. Das bedeutet, dass DMARC im Grunde nichts tut.
  • All das zusammen mit aggressiven Anti-Spam-Richtlinien macht selbstgehostete E-Mail sehr schwierig.
  • Und schließlich gibt es noch das Management der IP-Reputation. Manche IP-Adressen sind „sauberer“ als andere, besonders in gemeinsam genutzten Systemen wie SendGrid oder AWS SES. Das erschwert die Registrierung von Bulk-Mail-Konten und führt oft dazu, dass legitime E-Mails als Spam eingestuft werden.

Hypothese zu E-Mail der zweiten Generation

  • Ein neuer DNS-Record MX2 wird eingeführt. Die meisten E-Mail-Dienste hätten dann sowohl MX2- als auch MX-Records. Alte Dienste hätten nur MX.
  • Wenn ein 20 Jahre alter E-Mail-Client versucht, eine Nachricht zu senden, sucht er den MX-Record und verschickt die Nachricht. Moderne Clients würden MX2 sehen und darüber senden.
  • E-Mail-Dienste, die MX2 implementieren, veröffentlichen ein Stichtagsdatum und klassifizieren ab diesem Datum alle Nachrichten, die über den MX-Record gesendet werden, automatisch als Spam.

Prioritäten für E-Mail der zweiten Generation

  1. Eine standardisierte HTML-Spezifikation für E-Mail sowie eine Compliance-Test-Suite bereitstellen.
  2. Header für Präferenzen bei E-Mail-Threads oder andere E-Mail-bezogene Einstellungen bereitstellen.
  3. Neben der HTML-Ansicht auch eine reine Textkopie ohne HTML bereitstellen.
  4. Jeder MX2-Record muss einen öffentlichen Schlüssel enthalten.
  5. Einen Hash erzeugen, ihn verschlüsseln und zum Header hinzufügen, um Echtheit und Integrität der E-Mail zu überprüfen.
  6. SPF, DKIM und DMARC abschaffen und alles über einen einzigen MX2-Record standardisieren, um selbstgehostete E-Mail-Stacks zu vereinfachen.
  7. E-Mail für Domains statt für IP-Adressen authentifizieren.
  8. Clients, die MX2 implementieren, könnten ein neues Verschlüsselungsschema wählen, das OpenPGP ersetzt.

Weitere Gedanken

  • Es braucht eine Möglichkeit, große Dateien zu teilen.
  • Ohne Beteiligung von Google und Microsoft wird MX2 niemals Realität werden.
  • Man könnte auch erwägen, SMTP durch HTTP mit einer standardisierten REST API und JSON-Body zu ersetzen.
  • Schon die Verwendung von HTML könnte umstritten sein. E-Mail wurde ursprünglich nicht für HTML entworfen.
  • Es gibt hier die Chance, neue Standards strikt durchzusetzen.

Meinung von GN⁺

  • Der Versuch, die Komplexität und Sicherheitsprobleme des E-Mail-Systems zu lösen, ist sehr interessant. Insbesondere der Vorschlag einer neuen Methode, um Echtheit und Integrität von E-Mails sicherzustellen, könnte nützlich sein.
  • Die Einführung eines neuen Standards ist jedoch äußerst schwierig. Vor allem die Beteiligung großer Akteure wie Google und Microsoft ist unverzichtbar.
  • Die Kontroverse rund um die Verwendung von HTML besteht weiterhin. Um Sicherheitsprobleme zu lösen, sollte man andere Markup-Sprachen in Betracht ziehen.
  • Eine strikte Durchsetzung neuer Standards wäre ideal, dürfte in der Praxis aber schwierig sein. Es braucht zusätzliche Mechanismen, um Standard-Drift und Implementierungsfehler zu verhindern.
  • Die Zentralisierung des E-Mail-Systems könnte die Einführung eines neuen Standards erleichtern, zugleich aber die Abhängigkeit von bestimmten Unternehmen erhöhen.

Verwandte Beiträge

8 Kommentare

 
cometkim 2024-05-20

Zumindest bei den Verbesserungen beim Rendering haben Google und Microsoft bereits investiert … beide haben am AMP-Email-Projekt mitgewirkt und es unterstützt.
 
coremaker 2024-05-20

Es ist gut, Datenstandards wie JSON zu schaffen.
Da dabei aber auch die Rendering-Spezifikation mitdiskutiert werden müsste, scheint es nicht einfach zu sein.

War der Grund für die Wahl von HTML nicht auch, beim Rendering-Standard von HTML+CSS mitzufahren?
 
ldmsys 2024-05-19

Wie die anderen oben schon anhand extremer Beispiele wie Shop Mail erläutert haben: Ich persönlich sehe es sehr skeptisch, ein bereits gut funktionierendes Protokoll offen als "deprecated" einzustufen und nur noch einen neuen, damit inkompatiblen Protokollstandard kompatibel zu machen.
 
unsure4000 2024-05-19
  1. Alle MX2-Records müssen einen öffentlichen Schlüssel enthalten.
    Das erscheint mir etwas seltsam, denn ich vermute, dass die Dienstanbieter diesen öffentlichen Schlüssel nicht als den vom Nutzer eingereichten öffentlichen Schlüssel verwenden würden, sondern als einen, den sie selbst erstellt haben...
 
iolothebard 2024-05-19

Also haben wir Ssapmail entwickelt … (Hm? Nein, das ist es nicht …)
 
2024-05-19
[Dieser Kommentar wurde ausgeblendet.]
 
xguru 2024-05-19

Das E-Mail-System ist zwar bequem und gut, aber ich denke wirklich, dass schrittweise Verbesserungen des Protokolls nötig sind.
Auch in einigen Jahrzehnten noch auf diese Weise zu arbeiten, ist irgendwie …
 
GN⁺ 2024-05-19
Hacker-News-Meinung

Zusammenfassung ausgewählter Hacker-News-Kommentare

  • Komplexität und Interoperabilität des E-Mail-Systems

    • Basierend auf Erfahrungen beim Betrieb von Internet-E-Mail-Diensten ist das E-Mail-System komplex, wird aber allgemein genutzt und ist hervorragend interoperabel.
    • Die Einführung eines neuen Systems hat es schwer, mit den enormen F&E-Investitionen in bestehende Systeme zu konkurrieren.
    • Wer ein neues E-Mail-System vorschlagen will, sollte dies besser bei Gremien wie der IETF oder M3AAWG tun.

  • Mehrdeutigkeiten und Probleme von E-Mail

    • Verwirrung kann entstehen, wenn E-Mail-Header doppelte oder widersprüchliche Werte enthalten.
    • Es gibt verschiedene Probleme, etwa wenn Header, die nur ASCII enthalten sollten, 8-Bit-Werte enthalten.
    • Auch die Art, wie E-Mail-Threads verwaltet werden, ist nicht standardisiert und verursacht Probleme.

  • Das Zentralisierungsproblem von E-Mail

    • Eine Zentralisierung von E-Mail ist nicht wünschenswert. Unternehmen handeln wahrscheinlich eher zu ihrem eigenen Vorteil als zum Besten der Menschheit.
    • Selbst gehostete E-Mail ist nicht schwierig und lässt sich über vertrauenswürdige Anbieter leicht hosten.

  • Probleme mit HTML-E-Mails

    • HTML-E-Mails können Probleme wie Phishing und Betrug verursachen.
    • Wenn man E-Mail neu entwerfen würde, sollte man HTML ausschließen und stattdessen ein Format wie Markdown verwenden.

  • Warum die Asynchronität von E-Mail erhalten bleiben muss

    • E-Mail sollte asynchron bleiben; sie ist die letzte technische Verteidigungslinie gegen 24/7-Arbeit.
    • Das ist der Grund, warum Menschen keine besseren Systeme übernehmen.

  • Die Schwierigkeit, E-Mail-Server zu betreiben

    • Der Betrieb von E-Mail-Servern wird immer schwieriger, weil die Anforderungen großer Anbieter erfüllt werden müssen.
    • Kleine Server werden von großen Anbietern oder Spammern verdrängt.

  • Die Definition legitimer E-Mail

    • Was als legitime E-Mail gilt, ist subjektiv. Spam ruiniert das Internet, und es braucht eine Methode, um zur Verhinderung Kosten aufzuerlegen.

  • Die Notwendigkeit, das E-Mail-System zu verbessern

    • Selbst wenn man das E-Mail-System neu entwerfen würde, wäre es wünschenswert, das aktuelle System beizubehalten und schrittweise zu verbessern.
    • Es braucht moderne Verschlüsselungssysteme und ein System zur Authentifizierung von Absendern.

  • Checkliste zur Spam-Prävention

    • Zur Verhinderung von Spam sind einige Anpassungen an der Implementierung nötig.
    • Mail-Forwarder und SMTP-Server sollten so früh wie möglich weiterleiten, und Spam-Filterung sollte auf SMTP-Ebene durch Ablehnung erfolgen.

Checkliste mit Ideen zur Spam-Prävention