Es begann mit einem Alarm am Nachmittag: Jemand missbrauchte das Anmeldeformular unserer Sites als Spam-Schleuder – der Einmalcode-Versand ließ sich auf beliebige Adressen feuern. Die KI baute binnen einer Stunde Mengenbegrenzungen ein (pro Absender-Adresse gab es sie schon, pro Aufrufer und insgesamt fehlten sie). Doch der eigentliche Schaden kam mit Verzögerung: Microsoft sperrte kurz darauf meine persönliche Absenderadresse für ausgehende Mails – die Adresse, über die bis dahin auch die Anmeldecodes liefen. Meine wichtigste Mail-Adresse, kaltgestellt durch den Missbrauch meiner eigenen Anmeldeseite.
Der Plan war schnell klar: Der automatische Versand zieht um auf eine eigene Adresse, noreply@carecom.de, sauber getrennt von meinem Postfach. Die KI kannte die Handgriffe – neues Postfach, Berechtigung für die Versand-Anwendung, Einstellungen auf den Servern. Und dann ging trotzdem nichts.
Zwei Fallen, die niemand sieht
Falle eins steckte im Kleingedruckten von Microsoft 365: Neue Postfächer kommen mit deaktiviertem SMTP-Versandweg zur Welt, und dieser Schalter blockiert vor jeder Berechtigungsprüfung – die korrekt eingerichtete Erlaubnis lief ins Leere. Im Protokoll stand die Wahrheit nackt: „535 5.7.139 Authentication unsuccessful, SmtpClientAuthentication is disabled“. Ein einziger Verwaltungsbefehl später lief der Versand – und meine persönliche Adresse bekam denselben Schalter in Gegenrichtung: für Programme explizit gesperrt. Aus dem Vorfall wurde eine Härtung.
Falle zwei zeigte sich erst, als die erste Mail der neuen Adresse ankam – im Spam-Ordner. Die KI prüfte die drei DNS-Einträge, mit denen eine Domain beweist, wer in ihrem Namen senden darf: SPF in Ordnung, DKIM-Signatur in Ordnung, aber die DMARC-Richtlinie – der Eintrag, der Empfängern sagt, wie streng sie prüfen sollen – antwortete mit falschem Inhalt. Statt einer Richtlinie kamen die Texteinträge der Hauptdomain zurück.
Des Rätsels Lösung, gefunden über einen Blick in die DNS-Verwaltung: „Es ist also kein verirrter _dmarc-Eintrag, sondern ein Wildcard-CNAME – der fängt jeden Subdomain-Namen ab, der keinen eigenen Eintrag hat.“ Ein einziger, Jahre alter Platzhalter-Eintrag (*.carecom.de zeigt auf die Hauptdomain) beantwortete jede Anfrage nach nicht existierenden Unteradressen – auch die der Spam-Filter nach der DMARC-Richtlinie. Für jeden Prüfer sah es so aus, als gäbe es eine Antwort, nur eben die falsche. Der Fix war chirurgisch: ein expliziter Eintrag genau für _dmarc – der sticht den Platzhalter aus, ohne ihn anzurühren. Und weil solche Einträge bis zu 24 Stunden in Zwischenspeichern leben, prüfte die KI das Ergebnis direkt beim zuständigen Nameserver statt über einen öffentlichen Auflöser: Richtlinie live.
Drei Domains grün – und die Stolperer im Protokoll
Am Ende des Nachmittags sendeten drei Site-Domains mit vollständiger Authentifizierung – geprüft, nicht vermutet. Gesamtzeit vom Missbrauchs-Alarm bis „alles grün“: dreieinhalb Stunden, inklusive aller Wartefenster.
Die Stolperer gehören ins Protokoll. Die KI hatte beim Umzug anfangs erklärt, DNS-Arbeit sei nicht nötig – zwei Stunden später war DNS genau das Problem. Sie verirrte sich in Microsofts Objekt-ID-Dickicht („Das war denke ich alles unnötig“, mein Fazit zu diesem Umweg). Und sie ordnete einmal einen alten Fehlversuch als neuen Test ein – „Du hast völlig recht – ich hatte das falsch eingeordnet.“ Nichts davon war schlimm; alles davon wäre unbemerkt geblieben, wenn niemand mitgedacht hätte.
Die Mitnahme für Deine eigene Domain: Ein „funktioniert bei mir“ ist bei E-Mail wenig wert – ob Deine Mails ankommen, entscheiden drei öffentliche DNS-Einträge, die Du in Minuten prüfen lassen kannst. Und falls in Deiner DNS-Zone ein alter Wildcard-Eintrag wohnt: Er antwortet auch dort, wo Du nie eine Antwort vorgesehen hast.
/compact – das Wichtigste, wenn der Kontext knapp ist:
Ein missbrauchtes Anmeldeformular führte zur Sperrung der persönlichen Absenderadresse; der Umzug auf noreply@ lief in zwei unsichtbare Fallen: den standardmäßig deaktivierten SMTP-Schalter neuer Microsoft-365-Postfächer (blockiert vor jeder Berechtigung, Fehler 535 5.7.139) und einen Jahre alten Wildcard-DNS-Eintrag, der die DMARC-Abfrage mit falschem Inhalt beantwortete – Mails landeten im Spam. Fix: ein Verwaltungsbefehl plus ein expliziter _dmarc-Eintrag, der den Platzhalter aussticht; Verifikation direkt am autoritativen Nameserver. Drei Domains in dreieinhalb Stunden auf Grün – mit offen protokollierten KI-Irrwegen (DNS erst für unnötig erklärt, ID-Verwirrung, Zeit-Fehlzuordnung).