Normalerweise arbeitet die E-Mail-Komponente von iCloud zufriedenstellend: Per Push erhalten iPhones, iPads und die Apple Watch automatisch neue Nachrichten und auch der (leider nicht konfigurierbare) Spam-Schutz funktioniert zuverlässiger als die meisten anderen Lösungen am Markt. Über iCloud+ erhält der Nutzer zusätzliche Features wie zum Beispiel Wegwerf-Adressen, iCloud Private Relay und eine eigene E-Mail-Domain.


Viele Klagen über Spam
Seit einer Woche jedoch melden diverse Nutzer über Social Media und in Foren ein stark erhöhtes Spam-Aufkommen an iCloud-E-Mail-Adressen. Auffällig ist hierbei, dass es sich um "gängigen" Spam handelt, welcher normalerweise von Spam-Filtern einfach identifiziert wird: Bei einer Gewinnbenachrichtigung, die zwingend erforderliche Konto-Entsperrung oder das versäumte Paket arbeiten Spam-Filter normalerweise sehr zuverlässig.

Auch ist auffällig, dass iCloud Mail diese E-Mails selbst durchlässt, obwohl gängige Verifizierungsmethoden in diesen E-Mails, wie beispielsweise DKIM oder SPF, vollständig fehlen oder nicht korrekt sind. Dies sollte im Normalfall dazu führen, dass iCloud Mail die Nachrichten nicht zustellt oder als Spam markiert.

Verifizierung fehlerhaft
Ende letzter Woche machten wir in der MTN-Redaktion und bei Synium eine merkwürdige Entdeckung: Nachrichten unserer Domains "syniumsoftware.com" und "mactechnews.de" wurden von iCloud abgewiesen. Die Ablehnungsnachricht des iCloud-Mailservers verriet, dass der Apple-Dienst der Auffassung ist, dass unsere Nachrichten mit nicht validen DKIM-Schlüsseln signiert seien – oder dass die DNS-Einträge unserer Domains die eigenen Mail-Server nicht über einen SPF-Eintrag zum Senden autorisieren.

DKIM? SPF?
Kurzer Kontext: DKIM (DomainKeys Identified Mail) dient dazu, dass eine Nachricht mit einem Schlüssel versehen ist, sodass festgestellt werden kann, dass zumindest dem Mailserver (nicht einer konkreten Person) gestattet ist, von einer bestimmten Domain E-Mails zu senden. SPF (Sender Policy Framework) ist ein einfacher Eintrag im DNS-System, welche IP-Adressen E-Mails von dieser Domain senden dürfen. Ein DMARC-Eintrag (Domain-based Message Authentication, Reporting and Conformance) im DNS-System dient dazu, einen Mail-Server anzuweisen, wie mit einer Mail von dieser Domain zu verfahren ist, wenn SPF und DKIM nicht validiert werden können.

iCloud weist korrekte E-Mails ab
Ende letzter Woche begann iCloud, von uns gesendete und korrekt signierte E-Mails abzuweisen. Eine Überprüfung unserer E-Mail-Konfiguration ergab jedoch, dass die ausgehenden E-Mails komplett valide waren und DKIM- wie auch SPF-Überprüfungen bestehen sollten – nur iCloud war offenbar anderer Auffassung. Verwunderlich hierbei, dass iCloud manchmal den SPF-Eintrag korrekt erkannte, die DKIM-Signatur aber abwies. Bei einem erneuten Versuch war ohne Änderung der Konfiguration die DKIM-Signatur urplötzlich gültig, jedoch der Mail-Server via SPF nicht autorisiert.

Zeitlicher Zusammenhang
Apple behob das Problem innerhalb eines halben Tages – und E-Mails von unseren Mail-Servern erreichten wieder die Posteingänge von Kunden und Lesern. Merkwürdigerweise fällt dies genau mit dem Aufkommen der ersten Berichte zusammen, in welchen iCloud-Nutzer über ein deutlich erhöhtes Spam-Aufkommen klagten. Es ist also sehr wahrscheinlich, dass Apple etwas am eigenen E-Mail-System und am Spam-Filter veränderte – und dies offenbar nicht zum gewünschten Ergebnis führte. Aktuell scheint iCloud DKIM wie auch SPF nicht mehr als Spam-Merkmal (korrekt oder vollständig) einzubeziehen.

Wenig Handlungsspielraum
Aktuell haben iCloud-Nutzer nicht viele Möglichkeiten – abgesehen vom Aufsetzen eines eigenen Spam-Schutzes. Da Apple mittlerweile sicher von diesem ärgerlichen Problem informiert ist, kann man damit rechnen, dass der Konzern das Problem bald behebt und der iCloud-Spam-Filter wieder korrekt arbeitet.