man bedim len?

UnLiebe FDP.
Es ist egal, ob der Dienstleister der die SPAM verschickt hat, Mist gebaut hat. Ihr habt es beauftragt, also seit ihr dafür auch verantwortlich. Verschont mich und andere mit eurer Abwimmelung an den Dienstleister Schober. Das ist eure Aufgabe, den von euch beauftragten Dienstleister zu befragen, denn ihr habt es eingebrockt.

Der Kampf gegen SPAM sollte dadurch geführt werden, das gegen die Auftraggeber vorgegangen wird. Nicht allein gegen die Erfüllungsgehilfen. Ich stehe noch immer dazu, was ich 2003 als allererste Maßnahem gegen SPAM aufführte: Anti-SPAM: Was kann man dagegen tun?

Alternative Organsisationelle und rechtliche Ansätze

Die nicht-technischen, das heißt politischen und juristischen Strategien gegen SPAM gehen im wesentlichen in eine Stoßrichtung: SPAM ist illegal.
Punkt.
Mehr ist es dann aber nicht.
Diesen Status haben wir jedoch schon lange. Es gibt kaum ein Land in der Industrieländer, wo SPAM noch erlaubt ist. Unterschiede gibt es jedoch in der Art der Abstufung darüber was SPAM ist und was so bezeichnet werden darf (!). Und natürlich in den möglichen Umfang der Strafen.

Weitere Handlungen Seitens von Politik und Wirtschaft liegen darin, sich gegenseitig über Ländergrenzen hinweg zu versichern und zu bereden, daß was getan werden muß.
(Wobei gleichzeitig von der Wirtschaft natürlich immer das “Aber” dabei ist, daß es nicht zu doll wird, schließlich ist ja “e-Marketing” seriös und müsse es bleiben und davon hingen ja wieder mal x-Tausend Arbeitsplätze ab.)

Ich denke, diese Ansätze haben sich weitgehend als unfruchtbar erwiesen: Innerhalb der letzten Monat hat sich das SPAM-Aufkommen weltweit vervielfacht.
Schärfere Gesetze und bessere Verfolgung der Verursacher von SPAM haben lediglich dazu geführt, daß diese ausgewichen sind auf sichere “Heimathäfen”, wo sie juristisch nicht angreifbar sind. Zudem wurden von SPAMer schärfere, aber gleichzeitig e-Marketing-freundliche Passagen missbraucht um juristisch gegen den Vorwurf ein SPAMer zu sein, anzugehen.
Wer heutzutage SPAM von einer großen deutschen Firma bekommt, wird dies kaum öffentlich so bezeichnen: Der anwaltliche Rückschlag würde nicht lange auf sich warten lassen.

Mein Ansatz und Vorschlag zur nicht-technischen Strategie gegen SPAM sieht sehr viel liberaler aus:

1. Es werden keine zusätzlichen Verbote benötigt. Stattdessen werden Betroffenen mehr Rechte eingeräumt, indem die Verantwortbarkeit in der Zustellungskette von SPAM erhöht wird.
   Wer ist Verantwortlich für SPAM (normale SPAM, nicht solche, die sich über Viren verbreitet):
   • Der SPAMer
   • Der beworbene Verkäufer
   • Der Hersteller des zu beworbenen Produkts
   • Serverbetreiber, die anonymen Zugang zu Mailserver erlauben
   • Alle weiteren Relayer, die den SPAM weitertragen

   Ein Empfänger von SPAM muss in der Lage bekommen, alle Verantwortlichen für SPAM zur Haftung heranzuziehen. Nicht nur denjenigen, der die SPAM verschickt.
   Der Schaden von SPAM sollte dabei auf die oben genannten Verantwortlichen verteilt werden. Wenn dabei eine Partei nicht greifbar ist, wird die Summe auf die anderen mit verteilt.
   Ich begründe dies ganz einfach mit dem Vergleich zum Auftragskiller. Dieser Auftragskiller verdient sicher sehr viel Geld und ist mit seinem Job vielleicht auch ganz gut.
   Aber der Auftraggeber ist verantwortlich dafür, daß diese Kreatur ihren Job gemacht hat. Und alle die mit geholfen haben und es zugelassen haben ebenso.

2. Es muss explizit erlaubt sein, Mails abzuweisen, wenn diese von Relayern kommt. Provider dürfen keine Angst haben, verklagt zu werden, wenn sie Mails von in Relaylisten geführten Servern ablehnen.
3. Jedem muss es möglich und erlaubt sein, einen Server darauf zu testen, ob er als Open-Relay dienen kann. (Das “Rütteln an der Haustür”). Wenn ein Server als Open-Relay nutzbar ist, kann dies bei entsprechenden Listen eingetragen werden; Wobei natürlich ein gewisses belegbares Meldeformat einzuhalten ist.
4. Die Nutzung, Veröffentlichung und Weiterverbreitung von Open-Relay-Listen, die dabei jedoch belegbare Daten enthält, muß jedem frei möglich sein. Eine Klage von Firmen, die durch einen belegbaren Eintrag ihren Ruf bedroht sehen, soll nicht zulassbar sein.
   Ebenso ist es jedem Bürger erlaubt, frei und medienunabhängig darauf hinzuweisen, wann welcher Server oder Dienst Open-Relay erlaubte.
5. Aufgrund der Tatsache dass Open-Relay-Listenbetreiber, die dies oft unendgeldlich und unterfinanziert machen, immer mehr zum Angriffspunkt von Verantwortlichen für SPAM geworden sind, sollten Open-Relay-Listen als Dienst auch von den jeweils zuständigen Behörden eines Landes betrieben werden. Alternativ sollten die Länder vorhandene Listen finanziell und/oder technisch unterstützen.

   Diese Dienste ermöglichen die unmittelbare Meldung von offenen Relay-Server, sowie das nachschlagen, wann welcher Server ein Open-Relay war oder ist und welche Firma oder welcher Betreiber hinter einem Server steht.
   (Dies wäre insofern auch von Bedeutung, als das damit Filtersoftware-Hersteller auch verlässlichere Listenbetreiber hätten. Bzw. die Dienste der Listenbetreiber nicht mehr von kommerziellen SPAM-Filter-Herstellern ohne finanziellen Ausgleich belastet werden.)

Diese Vorschläge führen zu keinem neuen Verbot, welches sich ohnehin nicht durchsetzen ließe. Stattdessen geben sie aber dem Markt und den Nutzern die Mittel (wieder) in die Hand, mit denen sie effektiver gegen SPAM-Verbreitung vorgehen können.
Auch dann, wenn sich der ursprüngliche Sender oder die ursprüngliche SPAM-Firma irgendwo im Ausland befindet.

Gerade dieser letzter Punkt ist bedeutend, da momentan die Verfolgung von SPAM meist an den Landesgrenzen aufhört. Zudem kann es auch bei einer weltweiten Verpönung und Verfolgung von SPAMern dazu kommen, dass sich sehr liberale Länder den interantionalen Gepflogenheiten entziehen. Insbesondere auch dann, wenn es sich um kleine Länder handelt, die dann entsprechend vom SPAMer entlöhnt werden.

Wenn stattdessen auch die überlieferer von SPAM zur Rechenschaft gezogen werden, kann dies nicht mehr passieren.

Der übliche Einwand, der hierzu kommt, ist das Postbeispiel: Ein Briefträger ist auch nicht verantwortlich für die Bombe, die er zuträgt.
Dieses ist jedoch ein falsches Beispiel.
Im Fall von SPAM werden Open-Relays oder offene Skripte benutzt um diese zu verbreiten. Auf das Post-Beispiel übertragen bedeutet dies nichts anders, als dass der Briefträger seine Post nicht mehr nur aus seinem Postamt oder den gelben Briefkästen holt, sondern daß ihm jeder Mensch (und selbst jemand, der vermummt ist, eine Bazooka auf den Rücken trägt, Granten und Messer um den Gürtel stecken hat, mit der linken Hand eine El-Quaida-Fahne schweckt und mit der rechten Hand eine entsicherte Uzi hält) unterwegs mal eben was in die offene Tasche stecken könnte und er dies dann zulässt und austrägt.

Es gibt sehr viele Methoden wie man das SPAM-Aufkommen, das einen erreicht, reduzieren kann.
Darunter auch der oft verwendete “Trick”, die EMail-Adresse, die ja im Impressum einer Website anzugeben ist, mittels HTML oder Images so zu verschlüsseln, daß die “dummen” SpamBots sie nicht finden oder interpretieren können.

Meines Erachtens ist diese Empfehlung etwas kurzsichtig.

1. Es gibt bereits SpamBots, die die üblichen HTML-Entities übersetzen. Ich erhalte nachweislich Spam an Mailadressen, die ich dadurch geschützt habe, daß das @-Zeichen als & #064; angegeben ist.
   (Für einen Programmierer mit nur etwa einer Woche Perlerfahrung wäre es ein 4-Zeiler solche Zeilen umzuwandeln.)
2. Derzeit arbeiten die Entwickler der SPAM-Software daran, die Bayes-/Content-Filter von Anti-Spam-Software auszutricksen. Man sieht dies an der SPAM-Mail, die meist am Ende des Quellcodes der SPAM irgendwelche nicht sinnvollen Wörter drin haben.
   Der programmiertechnische Aufwand, solche Content-Filterer auszutricksen ist weit höher, als ein SpamBot so zu erweitern, daß es auch verschlüsselte Mailadressen erkennt.
3. Die Erweiterung des Tricks mit JavaScript ist nicht empfehlbar, weil dies Leute mit alten Browsern oder Leuten Sehbeschränkungen, oder aber auch Gerätebrowser, wie Handys oder RSS-Reader vor Probleme stellen könnte.
   Aber selbst wenn: JavaScript wird bereits von einem Browser ausgeführt; Die Tools hierfür sind offen und es liegt in der Natur der Sprache, daß sie bekannt ist. Wieso sollte also ein SpamBot-Programmierer nicht in der Lage sein, JavaScript zu parsen?
4. Die Methode mit den Bildern: Die E-Mailadresse wird als Bild abgelegt oder Teile der Adresse als Bild.
   • Erste Methode: Die gesamte Adresse ist als Bild abgelegt.
     Nachteile: Ebenso wie bei JavaScript gibt es Probleme mit Leuten, die alternative Browser und Views auf die Seite haben.
     Vorteil: Die Meisten SpamBots schaffen es noch nicht.
     Aber: Wer Content-Filter austricksen kann, der muss selbst Ahnung von Content-Filtering haben. Es ist daher naheliegend, daß die Programmierer entsprechender Software auch Bildanalyse-Funktionen implementieren können und werden.
     Ich verweise hier auf den Kommerz: Für Strassenkarten-Hersteller wurde es zu einem wichtigen kommerziellen Aspekt, daß diese Software entwickelten, mit der sie geklaute und teilweise modifizierte Karten und Lagepläne im Netz aufspüren konnten.
     Bei SPAM geht es aber auch um Geld. Um viel Geld. Wenn also die Verbreitung dieser Form der Adressverschlüsselung zunimmt, werden auch die SPAMer totsicher Geld in die Entwicklung der entsprechenden Software setzen. Oder diese einfach aufkaufen von denselben Leuten, die Geld mit Abmahnungen für Kartennutzer machen.
   • Die Methode: Teiladresse plus Image
     Ich denke, diese Methode dürfte länger erfolgsversprechend sein um SpamBots zu behindern.
     Es ist ungleich komplexer Teilcodes aus verschiedenen teilen einer Seite zu analysieren, als jeweils zugehörige Teile. Erst recht, wenn der Content-Type wechselt.
     Aber auch und gerade diese Methode macht wieder alternativen Browsern Probleme.

Man muß hier mal, auch und gerade als Firma, den wirtschaftlichen Aspekt sehen: 15% aller Surfern haben, bewusst oder unbewusst, Sehfehler. 3% der Surfer haben dabei in D eine rot-grün-Schwäche.
Nur etwa 1% oder weniger (je nach Bekanntheit der Seite) der “Besucher” sind SpamBots.

In anderen Worten: Um 1% der Besucher an illegalen Taten abzuhalten, werden 15% der potentiellen Kunden behindert!

Fazit: Die Verwendung von Bildern zur Verbergung der Mailadresse ist Problembehaftet. Sie nützt vielleicht noch kurzfristig etwas, solange die SpamBot-Programmierer nicht nachgezogen haben. Aber die Probleme damit, daß man potentiell 15% der Besucher der Website behindert treten sofort auf und bleiben.
Ein anderer, eher peinlicher Aspekt: Was nutzt es denn bitte, wenn man die Adresse wunderbar versteckt, diese jedoch beim Registrar nachschlagbar ist, oder sie eine Form hat, die jeder Brute-Force-Algorithmus auch ohne SpamBot ausprobiert?

Meine Meinung:
Wer eine Adresse hat der Form

• vorname.nachname@domain,
• vorname@domain,
• nachname@domain
  oder
• RFC-Definiert@domain
  (RFC-Definiert sind: postmaster, webmaster, abuse und info?)

braucht garnicht erst zu obigen, problembehafteten Methoden greifen: Es nutzt nichts!

Es gibt genug Namenslisten im Netz um jeden möglichen Vor- und Nachnamen automatisch zu generieren. Dies können SPAM-Software-Programmierer auch nutzen.

Und selbst wenn man all das obige ausschließen kann: Können Sie darauf verzichten, Mail zu verwenden? In anderen Worten: Ihre Adresse irgendwo anzugeben?

Aber wie auch immer.
Um der Diskussion um die Möglichkeit der Verbergung von Adressen eine neue Möglichkeit zu geben, die für Spamer noch etwas problematischer als Bilder + Text sind und ohne dabei potentiell 15% meiner Besucher abzuweisen:

Nutzen Sie CSS-Layers.

Mit CSS-Layer kann man pixelgenau definieren, wo ein Text erscheint. Im Quellcode kann dies dann so aussehen:

<div style="visibility : hidden;">
aetschibaetsch
<div style="visibility : visible;
position: absolute; top: 10em; left: 12em;">@</div>
example.org
</div>
<div style="position: absolute; top: 10em; left: 13em;">

   xwolf.de
</div>
<div style="position: absolute; top: 10em; left: 1em;">
Hier meine Adresse:
</div>
<div style="position: absolute; top: 10em; left: 10em;">
  xwolf
</div>

Natürlich kann man die jeweiligen div-Bereiche kreuz und quer übers Dokument verteilen. (Damit der alte NS4 keine Probleme macht bei der Anzeige, kann man mit CSS ein Workaround machen).

Das schöne dabei ist: Der SpamBot wird in den meisten Fällen als Adresse aetschibaetsch@example.org
erkennen, so er denn CSS kann. (Wenn er kein CSS kann, sieht der gar keine sinnvolle Adresse).
Es ist aber unwahrscheinlich, dass er beim Finden einer Adresse dann auch noch nachprüft, was andere Teile des Codes an Positionieren machen.

Noch schöner bei dieser Methode: Sie hält sich an Standards und ist etwas zugänglicher als Bilder für Leute mit Farbschwächen. Leute mit Sehschwächen oder alternative Browser werden daher kaum behindert. Lediglich Blinde werden wahrscheinlich Probleme haben, wenn die Braille-Software nicht fähig ist auf die Positionen von Text einzugehen.

Aber auch dieses Verfahren ist früher oder später angreifbar.
Genauso wie auch JavaScript wird CSS parsbar. Der Aufwand für die Entwicklung eines SpamBot wird zwar höher, aber nicht unmöglich:

Es reicht für den SpamBot nicht mehr einfach nur mit LWP::UserAgent die Seite zu diggen und mit HTML::Parse (und entsprechende JavaScript-Parsmodule, die es auch schon bei CPAN gibt) und CSS-Parser die Seite zu analysieren. Der SpamBot müsste ein Schritt weitergehen und die Seite so optisch simulieren, wie ein echter Browser.

Und dies ist im Bereich der Spammer schon längst umgesetzt.
Es gibt ja diese SPAM, wo um Suchmaschineoptimierung geworben wird und wo dann in der Mail ein “Screenshot” der eigenen Seite enthalten ist.
Die Erstellung dieses Screenshots wäre dann wieder die Lösung für SPAMer um sich aller Probleme durch obige Verbergungsverfahren zu entledigen. Anstelle den Code zu analysieren, wird ein Screenshot genommen und dieser dann analysiert und geparst…

Und dagegen würde dann kein Verfahren mehr helfen.

Das Fazit, welches übrigens auch für die Medienindustrie gilt, heißt also:

Alles was du sehen kannst, kannst du auch lesen, speichern, analysieren und damit auch nutzen.

von Gregor Longariva

Jeder der eine EMail Adresse besitzt kennt das Problem: Regelmäßig kommen EMails herein mit denen man nichts anfangen kann und die fuer Produkte und/oder Dienstleitungen werben die einen nicht interessieren. Mails, die man eigentlich nicht will und noch viel weniger angefordert hat.
Gemeinhin werden solche unverlangten Mails als “SPAM” bezeichnet. Solche Mails koennen nicht nur lästig sondern durchaus auch noch sehr kostenintensiv sein. Mal abgesehen von der erhöhten Online Zeit von Privatpersonen steigt das Volumen der Übertragung bei Providern oder Firmen.

Das Problem

Man stelle sich also die Kosten eines grossen Internet Providers vor mit tausenden von Kunden die mehrfach täglich SPAM Mails bekommen. Dabei liegt die Schuld sehr oft sogar bei den Providern selber.
Oder besser gesagt bei den Administratoren von Mailservern. Denn nur falsch konfigurierte Mailserver machen das Versenden von SPAM erst möglich. Das im Internet generell zum Mailtransport verwendete Protokoll (SMTP – Simple Mail Transfer Protocol) baut auf “gute Nachbarschaft” auf. Man hat einen Server der dazu da ist, Mails von einem Client anzunehmen und diese dann an den Ziel-Mailserver weiterzuleiten. Die Intelligenz zum Versenden der Mails liegt also nicht in den Mailclients sondern nur im Server. Nun sieht das SMTP Protokoll aber keinerlei Authentifizierung vor. Es gibt zwar Erweiterungen von SMTP aber aus Kompatibilitaetsgründen werden die nur sehr sporadisch eingesetzt. Das bedeutet, dass jeder x-beliebige Rechner seine Mails üer einen SMTP Mailserver versenden kann (und darf). Auch sind in den Spezifikationen des Protokolls keinerlei Restriktionen vorgesehen von wem der Mailserver Mails empfängt bzw. welche er bearbeitet und welche nicht.

Was kann man tun?

Theoretisch geht das sogar so weit, daß der Mailserver gutmütigerweise die Mails die nicht fuer einen seiner Klienten ist, sogar brav wieder weiterleitet. Und genau dies öffnet Tür und Tor den SPAMmern. Sie suchen sich eine EMail Adresse aus (die gar nicht existieren muss), setzten diese als Absender und leiten nun die Werbemail an einen solchen Mailserver. Dieser stellt sie dann zu und der arme Empfänger kann mit der Mail nichts weiter machen als sie wegzuschmeißen. Der Absender ist falsch (oder nicht existent) und der Rechner von dem die Mail urspruenglich abgesandt wurde ist vermutlich irgendein Dialin-Rechner von denen es weltweit Millionen gibt. Deshalb bieten die modernen Mailserver (etwa sendmail, Postfix oder QMail) Mechanismen um dem vorzubeugen. So kann man z.B. einschränken, wer über den Server Mails versenden darf (etwa nur das eigene Subnetz oder ausgesuchte Systeme). Außerdem gibt es sogar die Möglichkeit einzuschränken, von wem Mails ANGENOMMEN werden. Es gibt einige Initiativen die online sogenannte “Black-Lists” zur Verfügung stellen. In diesen Listen stehen – immer wieder neu aktualisiert – Rechner über die SPAM Mails versandt werden. Der Mailserver schaut nun nach, ob der Absenderechner der Mail in so einer Liste steht. Wenn ja, verweigert er die Annahme der Mail – egal fuer wen die bestimmt ist. Nun, das mag im ersten Moment vielleicht etwas übertrieben hart klingen, da durchaus auch wichtige Mails so nicht angenommen werden. Wenn aber der Benutzer nicht mehr in der Lage ist Mails zu versenden, wird er sich dann (hoffentlich) bei seinem Mailadministrator beschweren. Denn daß sein Mailserver auch SPAM Mails akzeptiert liegt einzig und allein am Mailadministrator. Und somit ist eine reelle Chance gegeben, dass über den so ausgeübten Druck der Mailadmin seinen Mailserver “SPAM-sicher” konfiguriert.
Tatsächlich findet man mittlerweile immer weniger “grosse” Mailserver die SPAM Relay erlauben. Dafür kommen immer mehr kleine Firmen und Privatpersonen ins Netz die auch ihre eigenen Mailserver haben, die aber aus Unwissenheit, aus Unkenntnis oder aus Schlamperei unsicher konfiguriert sind. Deshalb kann man nur jedem raten, der sich einen Mailserver aufsetzt, sich mit der Materie zu beschäftigen und seinen eigenen Server entsprechend zu konfigurieren. Zauberei ist es keine…

Aus eigener Erfahrung kann ich sagen, dass ein gut konfigurierter Mailserver mit Echtzeit Blacklist System und SPAM Abwehr auf der einen Seite etwa 30% von SPAM Mails an die eigenen Benutzer abwehren kann. Versuche über den eigenen Server zu relayen werden abgeblockt.
Immerhin machen diese auch etwa 15% des täglichen Mailtraffics aus: Auf 100 empfangenen/weitergeleiteten Mails kommen 15 SPAM versuche – je nach Bekanntheitsgrad des Mailservers. Man kann also eine ganze Menge sowohl fuer die eigenen Benutzer als auch für die Netzcommunity im Allgemeinen bewirken. Und manchmal – nur manchmal – helfen sogar Beschwerden an die SPAMmer direkt. Allerdings nicht als betroffener “kleiner” Benutzer. Aber in der Rolle als Netz/Mail/Sicherheitsadministrators hat man gute Chancen. Schliesslich fürchten alle SPAMmer, dass sie in die BlackLists eingetragen werden. Und sehr oft können dann überhaupt keine Mails mehr versendet werden… :-)

Beispiele aus der Praxis

In einem konkreten Fall meldete unser Mailserver:

From: MAILER-DAEMON@mail.softbaer.de (Mail Delivery System)
To: postmaster@mail.softbaer.de (Postmaster)
Subject: SMTP server: errors from unknown[XXX.XXX.XXX.XXX]
Date: Thu, 26 Apr 2001 13:24:13 +0200 (CEST)
Transcript of session follows.
Out: 220 grizzly.softbaer.de ESMTP -SB cryptographic (e)SMTP @4.37-1+
In:  HELO SOME.DOMAIN.TLD
Out: 250 grizzly.softbaer.de
In:  MAIL FROM:<YYYYYYYYY@DOMAIN.TLD>
Out: 250 Ok
In:  RCPT TO:<XXXXXX@softbaer.de>
Out: 554 Service unavailable; [XXX.XXX.XXX.XXX] blocked using
relays.mail-abuse.org
In:  RSET
Out: 250 Ok
In:  QUIT
Out: 221 Bye
No message was collected successfully.

Aus Gründen der Kundenfreundlichkeit sollte man an dieser Stelle ggf. überlegen ob man den Sender “YYYYYYYYY@DOMAIN.TLD” darüber informiert. Schließlich ist dieser ja nicht Schuld daram, daß der Administrator unachtsam war.
Als professioneller Provider, der halt mehr Wert auf Service, als auf knackige Marketingworte legt, wird man sich auch dadurch etwas auszeichnen.
Wie auch immer, da in diesen Fall die Adresse des Absenders echt erschien und DOMAIN.TLD zu der IP-Adresse passte, wurde dann folgende E-Mail von Softbaer zurückgesandt:

Sehr geehrte Frau YYYYYYYYYYY Anbei die Fehlermeldung die ich als Mailadministrator bekommen habe. Sie haben versucht Herrn XXXXXXXXXX eine Mail zu schicken. Leider ist Ihre Domaene/Ihr Mailserver irgendwie in die internationale SPAM Blacklist geraten. Das heisst, dass Ihr Mailserver fehlkonfiguriert ist und jemand ueber Ihren Mailserver sogenannte SPAM Mails (unaufgeforderte Werbemails) versandt hat. Jeder Mailserver sollte so konfiguriert sein, dass NUR authorisierte Leute Mails darueber abwickeln koennen. Nachdem SPAM Mails auch ziemlichen wirtschaft- lichen Schaden anrichten hat man beschlossen, sogenannte “open SPAM relay hosts” (das sind Rechner, ueber die unerlaubte SPAM Mails versandt werden koennen – also fuer SPAM “offen” sind wie Ihr Mailserver) in Schwarze Listen einzutragen. Wird nun so ein fehlkonfigurierter Mailserver bekannt, wird der zustaendige Mailadministrator aufgefordert das Problem zu beheben. Geschieht das nicht innerhalb gewisser Zeit wird der Server auf die Schwarze Liste eingetragen. Um die eigenen Mitarbeiter oder Kunden vor SPAM Mails und anderem zu schuetzen, benutzen viele Mailadministratoren diese Listen und verweigern die Annahme von Mails die von Servern kommen die auf der Liste stehen. Ein sinnvolle und vor allem sehr effiziente Methode. Ihr Mailserver ist scheunentorweit offen fuer SPAM Mails. Anbei auch eine Session mit der ich es ausprobiert habe (Ihr Mailadministrator wird damit sicher etwas anfangen koennen). Bitte melden Sie die fehlkonfiguration Ihrem Mailadministrator umgehen. Ich vermute naemlich, dass Ihre Firma auch Probleme mit anderen Adressen beim versenden von Mails hat… Wenn das Problem behoben ist und Ihr Mailserver richtig konfiguriert ist, sollte sich Ihr Mailadministrator darum kuemmern, dass Ihre Domaene von den Schwarzen Listen genommen wird. Danach koennen Sie auch an unsere Mailserver wieder ganz normal Mails schicken. Das Problem betrifft Sie nicht direkt (ausser vielleicht dass Sie an uns keine Mails absetzen koennen) sondern Ihren Mailadministrator. Bitte setzen Sie ihn davon in Kenntnis damit dieser das Problem loesen kann.

 Beispielsitzung: Mail von irgendwem and irgendjemand wird akzeptiert und
 versandt

 luyanta 14:20 [~]> telnet DOMAIN.TLD smtp
 Trying XXX.XXX.XXX.XXX...
 Connected to DOMAIN.TLD.
 Escape character is '^]'.
 220 DOMAIN.TLD Lotus SMTP MTA Service Ready
 helo nobody
 250 DOMAIN.TLD
 mail from: nobody@nowhere.com
 250 OK
 rcpt to: longariva@softbaer.de
 250 OK
 data
 354 Enter Mail, end by a line with only '.'
 Subject: SPAM Mail
 Dies ist eine Testmail
 .
 250 Message received OK.
 quit
 221 GoodBye
 Connection closed by foreign host.

Weiterführende Links

• Mail Abuse Prevention System (MAPS)
• Doku zu Postfix und UCE/SPAM
• Tips zu sendmail
• Teergrube – auch eine Möglichkeit SPAMmer abzuschrecken
• SPAMCOP Net
• Wie man chinesische SPAM filtert

Nun, jeder der sich im Web rumtreibt kennt das Problem: in zunehmenden Maße füllt sich die eigene Mailbox mit sogenannten SPAM Mails – unangeforderte Werbemails.
Es steckt ein riesiger (und wohl auch lukrativer) Markt dahinter.

Ich persönlich habe nicht nur einmal SPAM von SPAM Firmen bekommen die anboten, sounsoviel Tausende oder Millionen Mails für soundsoviel Dollar zu versenden. Die Rechnung ist einfach: Wenn ich 1 Million Mails verschicke und auch nur 10% der Empfänger auf die Mail eingehen und z.B. eine Seite von mir besuchen auf der ich Webebanner geschaltet habe – 10.000 Hits ist keine ganz schlechte Sache und bringt mir mehr als ich für die SPAM Mails gezahlt habe (die sind nämlich gar nicht so teuer). Geht es dann auch noch um ein echtes Produkt mit Gewinn sehe ich eigentlich schon ein daß es sich rentiert.
Allerdings darf man auch nicht vergessen, daß solche Aktionen mit teilweise gewaltigem Imageverlust einhergehen. Ich (und ich denke mal das geht vielen anderen genauso) werde nie bei einer Firma kaufen, von der ich SPAM bekommen habe. Sicher, manche mögen das anders sehen – das ist aber eine persönliche Entscheidung.

Fakt ist aber, das SPAM Mails lästig sind und unter Umständen sogar teuer sein können. Nicht nur unbedingt für den Empfänger sondern hauptsächlich für die “offenen” (falsch konfigurierten) Mailserver ueber die SPAM abgesetzt wird. Denn SPAM Mails haben die Eigenschaft, daß sie ganz selten mit echten Absender Adressen versandt haben. Also wird im Netz nach einem Mailserver gesucht, der auch das versenden von “fremden” EMails zulässt.
Nun, man könnte argumentieren, daß das wohl das Problem der Sys/Mailadmins sei wenn sie es nicht schaffen wuerden, den Mailserver “richtig” zu konfigurieren. Und es mag auch durchaus so sein. Allerdings – es gibt derer zuviele. Sehr oft (zu oft) werden solche wichtigen Systeme von Leuten ohne das entsprechende Wissen betreut oder die Problematik wird einfach ignoriert. Und Mailsysteme sind viel zu kompliziert und benötig eine enorme Flexibilitaet als daß die Hersteller von vornherein gewisse Aktionen unterbinden könnten. Der Schwarze Peter liegt eindeutig bei den Sysadmins.
Allerdings gibt es auch auf der Benutzerseite einige Regeln die man befolgen kann und das SPAM aufkommen womoeglich reduzieren kann. Hier einige Tips:

• Viele “EMail Address Hunter” von SPAM Firmen suchen auf den Webseiten nach EMail Adressen. Der Trick ist einfach: auf nahezu JEDER Website steht irgendwo eine EMail Adresse eines Verantwortlichen, eines Autors, einer Kontaktperson oder woher man weiterführende Informationen bekommen kann. Ein automatisierter Robot sucht in den Seiten nach “mailto:xxx@xxx” und schon hat man eine (in der Regel funktionierende) Adresse. Erstaunlich ist aber, daß die wenigsten Suchrobots mit HTML Tags umgehen können. Ein Trick könnte also sein, die EMail Adresse in HTML Code zu verstecken. Das könnte dann in etwa folgendermassen aussehen: Anstatt:

      mailto:clueless@newbie.com

  Könnte man schreiben:

      mailto:clueless@newbie.com

  …was nach außen hin dasselbe ist aber von den (meisten) Suchrobots nicht gefunden wird.

• Ein grosses Problem (und eine nahezu unerschoepfliche Quelle von EMail Adressen) sind Postings in Newsgruppen (dem Usenet). Jedes Posting enthaelt in der Regel die eigene EMail Adresse. Eine Moeglichkeit waere, daß man die Adresse verschleiert – so daß sie automatisiert nicht verwendebar ist aber ein Mensch die korrekte Adresse deduzieren kann. Ein Beispiel könnte sein:

      clueless(at)newbie.com
      clueless at newbie dot com

  Moechte jemand jetzt eine Mail schreiben sollte es für ihn kein groesseres Problem sein, die korrekte Adresse herauszufinden. Allerdings setzen die meisten Programme zum Lesen von Newsgruppen automatisch die eigene Adresse – etwa Netscape. In Newsgruppen gibt es keine Alternative als eine falsche oder verschleierte EMail Adresse anzugeben.
  Und daß gerade Usenet als Quelle herangezogen wird kann ich persoenlich bestätigen: nach jedem Posting das ich in Vergangenheit gemacht habe ist die Anzahl meiner SPAM Mails gestiegen

• Manche SPAMmer sind so dumm und verwenden die Mailinformationen aus den DNS Registrierungseintraegen. Dies sind aber in der Regel Leute, die sich sehr wohl mit Netztechnologie auskennen und ziemlich empfindlich auf SPAM reagieren… Dagegen MACHEN kann man nichts – die EMail Adressen in den DNS Eintragen muessen korrekt sein…
• Man kann auch lokale Mailfilter einsetzen und einfach das SPAM Aufkommen ignorieren. Da ich auf Microsoft Betriebssystemen ziemlich unbewandert bin kenne ich kein Produkt, welches sowas auf Windows macht. Auf Unix gibt es ‘procmail’ – ein MDA (Mail Delivery Agent), welcher sehr detailliert konfiguriert und angepasst werden kann. Eine Einführung in procmail wuerde hier zu weit führen – nur so viel: procmail benutzt Reguläre Ausdrücke (Regular Expressions) als Filtermöglichkeiten bevor Mails in die eigene lokale Mailbox geschrieben werden. Man kann also so nach und nach eine Liste (es gibt im Netz auch fertige) von Adressen, Hosts oder Worten erstellen. auf die procmail reagiert und die Mails dann löscht oder in eine spezielle Mailbox schiebt. Persönlich benutze ich diese Methode schon sehr lange und habe ziemlich gute Erfahrungen gemacht. Ab und zu baue ich neue Regeln/ Ausdruecke ein und ab und zu landet auch eine nicht-SPAM-Mail in meinem SPAM Folder weil sie irgendwelche “Reizworte” enthaelt welche ich definiert habe. Aus diesem Grund lösche ich die die Mails auch nicht sondern schiebe sie in einen eigenen Folder in den ich ab und zu mal reinsehe (und der erstaunlich voll ist von Mails von denen ich froh bin nie damit belästigt worden zu sein.Beispiel einer typischen Procmail-Konfigurationsdatei:

   JUNKFOOD= ~/Mail/junkmails
  
   :0
   * ^Subject.*(Credit|Guaranteed|FOR ONLY|choice|advertisement|Earn|Marketing|
       cash|sex|drugs|money|investigate|junk|commerce|business|FREE|Join|
       \$\$ Make Mega Money now.*|Get the MONEY You Need.*|
       Guaranteed Top 20 Search Engine Ranking|Bulk Email Software \*New Technology\*|
       Is Your Web Site A Secret|Can't Find Your Web Site|Free Bulk Email|
       Email your AD to 57 MILLION People ONLY \$99)
    {
      	:0:
         	$JUNKFOOD
    }
   :0:
   /mail/userXX

• Es gibt verschiedene Mechanismen auf (Mail)Serverseite mit denen man effizient sowohl das versenden von SPAM als auch seine Benutzer vor SPAM schuetzen kann. Aber dies ist ein anderes Thema und vielleicht werde ich auch darueber mal ein paar Tips zusammensuchen.

Noch ein Wort zum Schluss: die rechliche Grundlage für SPAM ist meistens ziemlich schwammig. In Deutschland ist SPAM eigentlich nicht erlaubt – in den USA bedingt. Rechtlich wird man gegen SPAMmer nicht weiterkommen. Auch helfen keine Beschwerdemails (zumindest nicht direkt an die SPAMmer) oder sonstiges. SPAMmer schicken Millionen von Mails raus und bekommen mindestens 5% wieder als Beschwerde oder sonstwas zurück. Die werden alle ignoriert. Als “kleiner” Benutzer hat men leider keine wirkliche Handhabe außer sich selbst zu schützen oder seinen Sysadmin zu bitten, ihm zu helfen…