DSGVO: Datensatz aus RSPAMD entfernen

DarkTrinity

DarkTrinity

Member
Hallo liebe Community,

aufgrund der "tollen" DSGVO Verordnungen stelle ich mir die Frage, wie ich einen einzelnen Datensatz aus SPAMD entfernen kann. RSPAMD protolliert ja u.a. auch die Absenderadresse.

Wenn ich nun Absenderaddresse X aus meinem Datenbestand entfernen möchte/muss - wie stelle ich das an ? Es kann ja nicht sein daß man dann die komplette DB löschen muss

Danke & LG
 
Die Software wird aber von immer mehr Betreibern in einem sehr breiten Spektrum eingesetzt und dieses Spektrum wird immer breiter ^^ Dafür gibt es ja auch gute Gründe. RSPAMD selbst nicht zu verwenden sehe ich gerade deswegen ganz einfach nicht ein. Daher suche ich eine Lösung für dieses potentielle Problem und zwar bevor es mir auf die Füße fällt
 
Nach DSGVO benötigst Du zwingend zuerst die Zustimmung des Opfers zum Speichern seiner Daten, also noch bevor RSPAMD aktiv wird.
Wie stellst Du das denn sicher?

Spamfilter gehören in den Maailclient, nicht in den Mailserver. Das war schon immer so und das wird auch immer so sein!
 
Falsch.

RSPAMD dient in erster Linie der Sicherheit (Zweck der Verarbeitung persönlicher Daten), damit liegt ganz klar ein "begründetes Interesse" meinerseits vor. Ich muss dies nur schriftlich dokumentieren und als Information dem Verbraucher zugänglich machen. Das kann man über einen Link auf Website und der Emailsignatur.

Allerdings muss ich die Möglichkeit einräumen, diese Daten entfernen zu lassen. Wer das möchte schreibt mir eine Email. Dann muss ich löschen.

Zum Thema Spamfilter: RSPAMD ist mehr als ein Spamfilter, da auch auf infizierte Anhänge geprüft werden kann ;)

Ferner zitiere ich:
Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar.“
Click to expand...
Quelle: https://eventfaq.de/berechtigtes-interesse-dsgvo/
 
Last edited:
Spam ist nicht sicherheitsrelevant, war er noch nie, wird er nie sein.
Diese Masche funktioniert nicht, weder technisch noch juristisch...
 
DarkTrinity said:
ich denke auch nicht daß sich dies in irgendeinem standard (wie rfc oder ähnlichem) oder gesetzlich verfasst finden lässt ;)
Click to expand...
SMTP RFC: https://datatracker.ietf.org/doc/html/rfc5321#section-6.2 letzter Absatz erster Halbsatz:
Conversely, if a message is rejected because it is found to contain
hostile content (a decision that is outside the scope of an SMTP
server as defined in this document),
Click to expand...

Und rechtlich verbietet Dir unter Anderem das Fernmeldegeheimnis das Lesen, Auswerten, Manipulieren, etc. von Mails.
 
@Joe User Ich bin gespannt, ob alle Nutzer des Servers von DarkTrinity dem vertraglich vorher(!) zugstimmt haben, dass die Inhalte ihrer Mails gescannt und ausgewertet werden.
So nach dem Motto: "Hören Sie, das Öffnen Ihrer Umschläge und des Inhalt von Kleinsendungen in Ihren Paketen und das Inspizieren dient Alles Ihrer Sicherheit, es könnte ja eine Briefbombe darin versteckt sein."

@DarkTrinity Das Scannen von Mailbodies ist nicht über Berechtigtes Interesse der DSGVO erlaubt, das Telekommunikations-/Briefgeheimnis wiegt schwerer als die Interessen des Mailanbeiters. Und allgemeines, anlassloses Scannen und Erfassen ist sowieso verboten.
§ 2 Abs. 2 Nr. 1 Telekommunikationsgesetz (TKG) dient der Wahrung der Nutzer- und Verbraucherinteressen auf dem Gebiet der Telekommunikation und § 88 TKG insbesondere der Wahrung des Fernmeldegeheimnisses. Darüber hinaus enthalten die §§ 91-107 TKG zu beachtenden Datenschutzvorschriften.
Click to expand...
 
Last edited:
DarkTrinity said:
Wenn ich nun Absenderaddresse X aus meinem Datenbestand entfernen möchte/muss - wie stelle ich das an ? Es kann ja nicht sein daß man dann die komplette DB löschen muss
Click to expand...
Du kennst den Begriff der Datensparsamkeit, danach solltest du deine Tools aussuchen.
Wenn dein Tool zu viel speichert, verstößt das auch gegen diverse Teile der DSGVO & BDSG.
 
Last edited:
GwenDragon said:
@Joe User Ich bin gespannt, ob alle Nutzer des Servers von DarkTrinity dem vertraglich vorher(!) zugstimmt haben, dass die Inhalte ihrer Mails gescannt und ausgewertet werden.
So nach dem Motto: "Hören Sie, das Öffnen Ihrer Umschläge und des Inhalt von Kleinsendungen in Ihren Paketen und das Inspizieren dient Alles Ihrer Sicherheit, es könnte ja eine Briefbombe darin versteckt sein."

@DarkTrinity Das Scannen von Mailbodies ist nicht über Berechtigtes Interesse der DSGVO erlaubt, das Telekommunikations-/Briefgeheimnis wiegt schwerer als die Interessen des Mailanbeiters. Und allgemeines, anlassloses Scannen und Erfassen ist sowieso verboten.
Click to expand...
Der Body wird ja auch nicht gescannt.

Lediglich die Daten im Mail Header werden geprüft und eventuell der Dateianhang auf Viren untersucht.

Das ist wahrscheinlich so wie mit der IP-Adresse die von Apache für einen bestimmten Zeitraum in den Logs gespeichert wird.
Ohne derartige Protokolle wäre eine Firewall oder ein Dienst wie fail2ban völlig sinnfrei und kaum zu betreiben.

Beides sind aber auch nur verbindungs- bzw transportdaten.

Vorab wird das nicht bestätigt werden können, aber es ist eben sicherheitsrelevant.

Egal ob du auf die Telekom, Vodafone, Google GMX oder was weiß ich wen guckst. Überall werden Mails auch serverseitig auf Sicherheit geprüft
 
Sicherheitsrelevant für dich als Anbieter? Deinem Server passiert nichts, wenn adere verseuchte Mails bekommen, es sein denn dein "Virenscanner" hat eine Lücke wie öfters schon gesehen, dann ist dein Server durch dein Tool unsicher geworden.

Für mich sind Anhänge nämlich Teile des Mails (Body) und nicht des Headers (Mail-Envelope).
Ein Anhang ist nur einzusehen, wenn das Mail geöffnet wird, das darfst du nicht ohne Einverständnis des Besitzers.
Da ein HTML-Mail auch als Anhang mit gesendet wird, nun ja, den prüfts du dann auch?

Na, ist mir auch egal. Ich bin raus aus der Diskussion.
Dein Anwalt für Internet- & Medienrecht wird dich bessere beraten haben.
 
Last edited:
Wenn der Einsatz dieser Software wirklich von bis z nicht legal ist dann frage ich mich ernsthaft wieso sie so gehypt und überall empfohlen wird - du dich nicht auch ?

Amavis scannt übrigens auch die Anhänge in Mails da kräht kein Hahn nach
 
DarkTrinity said:
Der Body wird ja auch nicht gescannt.

Lediglich die Daten im Mail Header werden geprüft und eventuell der Dateianhang auf Viren untersucht.
Click to expand...
Es gibt technisch übrigens keine "Anhänge" bei Mails, das ist lediglich ein kosmetisches Feature Deines Mailclients. "Anhänge" gehören zum Body (DATA) und somit muss Dein Virenscanner gesetzwidrig die Mail lesen, sonst könnte er gar nicht wissen, wo der "Anhang" beginnt und endet.
Nachzulesen im weiter oben bereits von mir zitierten RFC.

DarkTrinity said:
Egal ob du auf die Telekom, Vodafone, Google GMX oder was weiß ich wen guckst. Überall werden Mails auch serverseitig auf Sicherheit geprüft
Click to expand...
Nein, werden sie nicht. Quelle?

DarkTrinity said:
Wenn der Einsatz dieser Software wirklich von bis z nicht legal ist dann frage ich mich ernsthaft wieso sie so gehypt und überall empfohlen wird - du dich nicht auch ?
Click to expand...
Der Einsatz dieser Software mag ja in anderen Ländern ausserhalb der EU legal sein, in der EU und insbesondere in DE ist sie es jedenfalls nicht.

DarkTrinity said:
Amavis scannt übrigens auch die Anhänge in Mails da kräht kein Hahn nach
Click to expand...
Doch, auch da wird gekräht.

DarkTrinity said:
meine eigentliche Frage war ja wie ich einen einzelnen Datensatz entfernen kann.
Click to expand...
Genauso, wie er auch dort eingepflegt wird. Datenbanken funktionieren da alle gleich...
 
Ich arbeite nicht erst seit gestern in der EDV und ich weiß dass antisem Gateways absolut üblich sind. Mein Arbeitgeber benutzt z.b Sophos. Dort werden E-Mails also sogar in einem externen dienst gescannt

Millionen andere Firmen machen das auch. Weil es richtig ist den User zu schützen
 
Nur weil etwas "üblich" erscheint, weil es vorgeblich "millionen" Andere auch machen, ist es nicht automatisch legal.
Wenn dem so wäre, dann wären Falschparken, Koksen und Steuerhinterziehung auch legal, sind sie aber nicht...

Rechtlich legal ist es ausschliesslich nur dann, wenn beide Seiten (Absender und Empfänger) dem vorher schriftlich zugestimmt haben, oder es gesetzlich vorgeschrieben und/oder richterlich angeordnet ist.

Hint: Eine Mail ist rechtlich einem Brief gleichgestellt, es gelten also die gleichen Rechte und Pflichten...
 
Joe User said:
Es gibt technisch übrigens keine "Anhänge" bei Mails, das ist lediglich ein kosmetisches Feature Deines Mailclients. "Anhänge" gehören zum Body (DATA) und somit muss Dein Virenscanner gesetzwidrig die Mail lesen, sonst könnte er gar nicht wissen, wo der "Anhang" beginnt und endet.
Click to expand...
Joe User said:
Rechtlich legal ist es ausschliesslich nur dann, wenn beide Seiten (Absender und Empfänger) dem vorher schriftlich zugestimmt haben
Click to expand...
Wie kommst du darauf dass Absender und Empfänger zustimmen müssen dass der Empfänger seine privaten Daten an einen Auftragsdatenverarbeiter nach DSGVO auslagert? Darüber braucht er den Absender auch gar nicht zu informieren da das Schriftstück nach Eingang sein Privatbesitz ist. Du kannst nicht sowohl nach TKG und DSGVO nach Empfang gleichzeitig argumentieren da es getrennte Bereiche des Lebenszyklus der Email sind.
Der Empfänger muss "lediglich" dafür Sorge tragen dass der von ihm beauftrage Auftragsdatenverarbeiter sowohl nach DSGVO rechtens ist als auch alle aus der DSGVO abzuleitenden Rechte durchführen kann.

Für den Telemedienbetrieber leitet sich meines Erachtens lediglich die Pflicht ab, den Empfänger aktiv in die Einwilligung einer Antispam-Lösung ein zu binden. Wenn er selber das Kästchen "Antispam aktivieren" klickt, ist die Diskussion gegessen.
Meine generelle Prozedur war in der Vergangenheit:
- Hochwahrscheinlicher Spam auf Header-Basis/Absender-Basis (DNSBL, Postgrey, ...) wird abgelehnt
- Antispam ist auf Wunsch des Benutzers aktiv, damit ist das Einverständnis gegeben
- Wahrscheinlicher Spam wird markiert zugestellt
- Der Benutzer kann den Spam entweder nach Junk sortieren oder löschen lassen

Joe User said:
Eine Mail ist rechtlich einem Brief gleichgestellt, es gelten also die gleichen Rechte und Pflichten...
Click to expand...
Na dann versuch mal per Email rechtsgültig bspw. ein Mietverhältnis zu kündigen.


Joe User said:
Es gibt technisch übrigens keine "Anhänge" bei Mails, das ist lediglich ein kosmetisches Feature Deines Mailclients. "Anhänge" gehören zum Body (DATA) und somit muss Dein Virenscanner gesetzwidrig die Mail lesen
Click to expand...
RFC 2183 ist anderer Meinung. Klar, es gehört alles zu Header oder Data aber das Konzept eines Attachment gibt es sehr wohl bei Emails.
Dass man dazu den Body interpretieren muss bleibt aber in jedem Fall wahr.

DarkTrinity said:
Wenn ich nun Absenderaddresse X aus meinem Datenbestand entfernen möchte/muss - wie stelle ich das an ?
Click to expand...
Reden wir hier über Clickhouse oder welcher Teil von Rspamd? Aus jeder Datenbank kann man immer einzelne Datensätze entfernen, die Frage ist nur wie :)


Joe User said:
Der Einsatz dieser Software mag ja in anderen Ländern ausserhalb der EU legal sein, in der EU und insbesondere in DE ist sie es jedenfalls nicht.
Click to expand...
Wie wir alle Wissen ist DSGVO ein komplett zahnloser Tiger der seine karies/lobby-zerfressene Zahnreste lediglich gegen kleinere Betriebe einsetzt weil Google, Amazon, Microsoft und Co ihn auslachen. Nicht vergessen, nach DSGVO sollte weder Google noch Microsoft noch existieren :)
 
d4f said:
Wie kommst du darauf dass Absender und Empfänger zustimmen müssen dass der Empfänger seine privaten Daten an einen Auftragsdatenverarbeiter nach DSGVO auslagert?
Click to expand...
Lies den Kontext meiner Aussage nochmal. Es ging nicht ums Outsourcen der Auftragsdatenverarbeitung, sondern es ging ums Lesen der Mail.

d4f said:
Darüber braucht er den Absender auch gar nicht zu informieren da das Schriftstück nach Eingang sein Privatbesitz ist.
Click to expand...
Falsch, es ist nicht plötzlich der Privatbesitz des Empfängers, das verhindert schon allein das Urheberrecht.

d4f said:
Du kannst nicht sowohl nach TKG und DSGVO nach Empfang gleichzeitig argumentieren da es getrennte Bereiche des Lebenszyklus der Email sind.
Click to expand...
Aha? Das wäre mir neu...

d4f said:
Na dann versuch mal per Email rechtsgültig bspw. ein Mietverhältnis zu kündigen.
Click to expand...
Wenn es vom BGB oder per Vertrag nicht anders vorgeschrieben ist, dann spätestens per DE-Mail oder Gerichtsbeschluss.

Ansonsten wie immer ACK ;)
 
You must log in or register to reply here.
Back
Top