DeltaChat und Mailserver - false positives vermeiden

DeltaChat ist einer der klügsten Messenger, die es gibt. Er braucht keinen eigenen Server, keine eigene Infrastruktur - er nutzt E-Mail. Nachrichten gehen über SMTP und IMAP, sind Ende-zu-Ende-verschlüsselt, und sehen für die Infrastruktur aus wie ganz normale Mails.

Das ist seine Stärke. Es ist auch das, was CrowdSec verwirren kann.

Wie DeltaChat kommuniziert

DeltaChat verbindet sich mit hoher Frequenz per IMAP mit dem Mailserver - es überprüft ständig auf neue Nachrichten, um Echtzeit-Kommunikation zu simulieren. Aus Sicht eines Intrusion-Detection-Systems sieht das nach wiederholten Login-Versuchen aus einer möglicherweise unbekannten IP aus.

Wenn externe Nutzer DeltaChat mit einem selbst betriebenen Mailserver nutzen, kommen ihre Verbindungen aus IPs, die CrowdSec nicht kennt und die in keiner Whitelist stehen. Je nach Konfiguration kann das zu Blocks führen, die sich anfühlen wie ein Verbindungsproblem oder ein Server-Ausfall.

Diagnose

Der erste Schritt ist immer die Prüfung der aktiven Decisions. cscli decisions list zeigt alle aktuellen Bans. Wenn eine IP dort auftaucht, die einem bekannten Nutzer gehört, ist das ein false positive.

Hilfreich ist auch ein Blick auf die Alerts: cscli alerts list --since 5h zeigt, welches Szenario ausgelöst hat. Das Szenario postfix-non-smtp-command taucht auf, wenn ein Client eine SMTP-Verbindung mit einem unerwarteten Protokollbefehl beginnt, was bei bestimmten Mail-Client-Implementierungen vorkommen kann.

Lösung

Bekannte IPs oder IP-Ranges können in die CrowdSec-Whitelist aufgenommen werden. Für Heimnetz-Nutzer reicht oft die Angabe des heimischen Netzes. Für externe Nutzer ist die sauberere Lösung, den betroffenen Nutzern einen fixen IP-Bereich zuzuweisen oder einen dedizierten IMAP-Port zu nutzen, der weniger aggressiv überwacht wird.

Alternativ kann das verantwortliche Szenario für bestimmte IPs deaktiviert werden, wenn der Nutzerkreis überschaubar und bekannt ist.

Technischer Wert

Wer einen eigenen Mailserver betreibt und DeltaChat aktiv einsetzt, gewinnt vollständige Kontrolle über den Kommunikationskanal. Keine zentralen Server, kein Anbieter, der Metadaten sammelt. Die Kombination aus DeltaChat und Postfix/Dovecot ist einer der wenigen praktikablen Wege zu echter kommunikativer Selbstbestimmung.

Kaufmännischer Wert

Für Unternehmen, die intern auf DeltaChat setzen wollen, ist die Einrichtung überschaubar, aber die Sicherstellung, dass CrowdSec die eigenen Nutzer nicht blockiert, ist ein notwendiger Schritt. Eine gut konfigurierte Umgebung schützt vor externen Angreifern, ohne die eigenen Nutzer auszusperren. Dieser Balanceakt ist der eigentliche Wert einer durchdachten Security-Konfiguration.