Dies sollten Sie vermeiden:
- Ihre private E-Mail-Adresse überall, wo eine E-Mail-Adresse verlangt wird, angeben. Legen Sie sich eine Zweitadresse an, die Sie leicht (nach einigen Monaten, wenn sie vor Spam überläuft...) durch eine andere ersetzen können. Ihre Erstadresse sollten Sie nur Menschen geben, denen Sie vertrauen. In Foren/Newsgroups hat sie nichts zu suchen. Dies ist die E-Mail-Adress-Quelle Nummer 1!
- Zu kurze E-Mail-Adressen. Viele Spammer nehmen sich gebräuchliche E-Mail-Domains (yahoo.com, yahoo.de, hotmail.com, web.de etc.) und schicken ihren Müll an alle denkbaren E-Mail-Adressen mit bis zu x Zeichen. Bis zu einer Länge von über 10 Zeichen wird diese Methode wohl kaum angewandt, aber 5 oder 6 Buchstaben vor dem "@" können leicht von der Spam-Software erraten werden. Leider werden auch Telefonbuch-CDs nach Namen durchsucht und entsprechende E-Mail-Adressen generiert. So lässt sich die Adresse maximilian.schumacher@... ebenfalls leicht herausfinden. Man sollte also zu außergewöhnlichen Namen vor dem "@" tendieren, z.B. kuschelbaer77@... (lässt sich leider nicht immer machen, es gibt viele Leute, die gern ihren Namen als E-Mail-Adresse haben; ich zähle auch dazu).
- Jegliche Reaktion auf eine Spam-Mail zeigt dem Spammer, dass die ensprechende Mailbox auch benutzt wird (also keine "tote Mailbox", deren User das Passwort vergessen hat o.ä.). Am Ende von vielen Spam-Mails ist eine "Abmelde"-Möglichkeit vorgesehen. Diese sollte keinesfalls benutzt werden! Hiermit bestätigt man, dass man die unerwünschte Werbemail erhalten hat! Der Satz "This is not Spam" ist eine Lüge, genauso wie die Unsubscribe-Möglichkeit!
Hierzu habe ich einen Versuch gestartet. Ich habe eine nicht zu erratende E-Mail-Adresse mit 17 Zeichen vor dem "@" (mehr geht nicht bei GMX...) angelegt und diese in die in Spam-Mails angebotenen Abmeldeformulare eingetragen. Ergebnis: Plötzlich trudeln Spam-Mails ein!
- Auf Spam antworten (falls die Absenderadresse überhaupt stimmt). Der Absender ist in vielen Fällen gefälscht, unter Umständen erreicht man jemand Unschuldiges, dessen Adresse als Absenderadresse angegeben wurde. Wenn man Mails an die Absenderadresse schickt und glaubt, auf diese Weise das Mailaccount des Spammers zuzumüllen, handelt man sich womöglich Ärger ein...
Möglichkeiten, sich über Spam zu beschweren, gebe ich weiter unten.
- Es versteht sich von selbst, dass Sie kein Produkt auf der in Spam-Mails beworbenen Website kaufen dürfen! Spam wird solange verschickt, wie es sich lohnt. Leider lohnt es sich schon, wenn nur einer von 10000 kauft :-(
- Spam-Mails ohne weitere Sicherheitsvorkehrungen öffnen. Mehr als 99% aller Mails kann man an Hand des Absenders und des Betreffs als Spam bzw. nicht Spam erkennen und dann ggf. löschen (nur die Anti-Spam-Software leider noch nicht).
Gründe, die gegen das Öffnen sprechen:
- In HTML-Mails kann gefährlicher ausführbarer Code enthalten sein.
- Raffinierte Spammer bauen in jede Spam-Mail eine Referenz zu einem sichtbaren oder unsichtbaren Bild, das unter einer eindeutigen Adresse zu finden ist. Wird die entsprechende Adresse aufgerufen, ist dies eine Lesebestätigung und damit eine Validierung Ihrer E-Mail-Adresse!
Wenn man Spam-Mails öffnen möchte (z.B. um sich zu beschweren, siehe unten), dann niemals über den Browser (Webmail), sondern über ein E-Mail-Programm, für das in der Firewall nur die Ports 25 und 110 freigegeben sind. So verhindert man das Laden der Bilder, die das Mailprogramm über Port 80 oder Port 8080 lädt.
Für den Fall, dass ein Spammer auf die Idee kommt, seinen Bilderserver statt auf Port 80 auf Port 25 oder 110 laufen zu lassen, sollte man weiterhin nur Verbindungen zu den benutzten Mailservern (pop.web.de / mail.gmx.net / ...) erlauben.
Nachteil, aber auch eine Testmöglichkeit, ob diese Sperrung funktioniert, ist, dass Mails mit Referenzen auf remote liegende Bilder diese Bilder nicht anzeigen können.
Um Bilder in Newslettern o.ä. sichtbar zu machen, kann man zusätzlich die entsprechenden Hosts in der Firewall freigeben.
Anmerkung: Den Tip, lange Adressen zu verwenden, habe ich selbst nicht befolgt. Ich habe seit März 2000 die Adresse *****@web.de (viel zu kurz!!), die ich im Nachhinein nicht mehr ändern möchte, da sie einfach zu merken ist. Also ist Filtern angesagt... (siehe nächster Punkt)
|
Was man tun kann:
- Wie oben schon gesagt: Momentan ist Spam noch nicht gesetzlich verboten; es ist also Selbsthilfe angesagt.
Es empfiehlt sich der Einsatz eines Spam-Filters. WEB.DE und GMX bieten recht brauchbare, lernfähige, serverseitige Spam-Filter an. Die E-Mail-Provider haben das Problem erkannt und die meisten (hier seien repräsentativ neben den obigen zwei Hotmail und AOL genannt,) verfügen mittlerweile über solche Software.
Übrigens: Bei Hotmail funktioniert der oben angegebene Trick mit der Firewall leider nicht, da Hotmail-User ihre Mails über HTTP (also Port 80) abrufen müssen, und nicht über POP3. In so einem Fall muss der Port 80 doch wieder freigegeben werden, dann aber nur für den Hotmail-Mailserver, sonst ist der ganze Schutz dahin.
Es gibt mehrere Dienstleister (die teilweise auch in Spam-Mails beworben werden...), die einen Spam-freien Posteingang versprechen. Hierzu muss man sich auf der Webseite anmelden und diverse Angaben machen (unter anderem die POP3-/SMTP-Daten des Mailaccounts plus Passwort). Diesen Unternehmen traue ich nicht ganz über den Weg; schließlich können die alles mit meinem Mailaccount machen; das Filtern von Spam könnte nur ein Vorwand sein (habs halt nicht ausprobiert, aus gutem Grund) und ich kann mir nicht vorstellen, dass diese Filter viel besser funktionieren als die vom jeweiligen Mailprovider.
- Ich habe von einer Software (Name unbekannt) erfahren, die an die Versender von Spam Failure Notices schickt, so dass der Spammer glaubt, das E-Mail-Account existiere nicht mehr. Über diese Software weiß ich nicht viel. Ich frage mich lediglich, wie das Programm die entsprechende Adresse herausbekommt. Schließlich sind die Absenderadressen meistens gefälscht. Fraglich ist auch (so die failure Notice überhaupt beim Spammer ankommt und auch noch gelesen wird), ob er sich die Mühe macht und die Adresse aus seiner Datenbank löscht, denn diesen Vorgang kann man wohl kaum automatisieren.
- SpamGourmet bietet eine völlig andere Lösung zur Vermeidung von Spam: Wenn man sich dort angemeldet hat, gibt man seine E-Mail-Adresse an und kann sich für jeden Zweck (Newsletter/Webformular/...) eine eigene ("Wegwerf-")E-Mail-Adresse anlegen.
Für mich kommt SpamGourmet leider nicht in Frage, da ich, wie oben schon gesagt, meine (kurze) E-Mail-Adresse nicht aufgeben will. Und dass Spammer eine kurze E-Mail-Adresse erraten, kann auch SpamGourmet nicht verhindern :-( .
Die Idee von SpamGourmet finde ich allerdings sehr gut, und wenn damit jemandem geholfen ist: Glückwunsch... Also ruhig mal ausprobieren. Der Service ist kostenlos; und SpamGourmet sind, soweit ich weiß, die einzigen, die gern Spam bekommen (um den Müll dann sofort zu löschen *G*)
|
Wie man sich beschwert (nur für Freaks :) ):
- Über den Nutzen von Beschwerden über Spam-Mails herrscht Uneinigkeit. Ich habe schon Massen von Beschwerden verschickt, und siehe da: die Websites waren irgendwann nicht mehr erreichbar. Leider kann ich nicht herausfinden, ob ich daran "schuld" bin. Vielleicht haben die Provider selbst herausgefunden, was der spammende Homepage-Betreiber tut.... Oder die Spammer beugen dem vor und nehmen ihre Seite selbst nach ein paar Wochen offline.
Jedenfalls macht es unheimlich Spaß nach ein paar Tagen nochmal vorbeizuschauen und festzustellen, dass die betreffende Seite nicht mehr da ist. *g*
Ich glaube auch keinesfalls, dass wegen einer einzelnen Spam-Beschwerde hart durchgegriffen wird. Also müssen wohl alle anpacken ;-)
(Mit etwas Übung braucht man pro Spam-Mail-Beschwerde im Schnitt nicht mal 1 Minute...)
- Ganz wichtig:
Wenn Sie sich beschweren wollen, kommen Sie nicht daran vorbei, die Mail zu öffnen (zumindest mit den mir bekannten E-Mail-Clients). Oben ist erklärt, unter welchen Sicherheitsmaßnahmen dies geschehen sollte, nämlich Personal-Firewall-Regeln anzulegen. Im Hintergrund sollte außerdem ein Anti-Virus-Programm laufen, welches verdächtigen Code (-> HTML-Mails!) sofort meldet.
- Beschweren beim Hoster o.ä.: Es ist davon auszugehen, dass Spammer nur Websites bewerben, wenn sie daraus einen Profit erwarten. Also beschwere ich mich einerseits beim Webhoster, oder, wenn z.B. eine 0190-Telefonnummer beworben wird, bei dem dafür zuständigen Provider. Mehr dazu später. Selten wird in der Mail nur eine E-Mail-Adresse zur Kontaktaufnahme aufgeführt. In diesem Fall wende ich mich an den zuständigen Mailprovider, der dann hoffentlich das betreffende Account zumacht (dann können sie die Bestellungen nicht mehr abrufen *g*).
Um an die Internetadresse, die beworben wird, zu kommen, muss man in der Mail nach einem Link suchen. Bei HTML-Mails findet man die entsprechende Adresse mit der Funktion "Quelltext anzeigen". Direkt im Mailtext steht dann nicht selten nur der Text "Click here" oder statt dieses Textes eine falsche Adresse, um uns auf eine falsche Fährte zu locken. Im Quelltext sucht man beispielsweise nach dem Text "href". Dann sollte man so etwas finden: <A href="http://...">Click here</A>. Die gesuchte Adresse ist nun zwischen dem http:// und dem Anführungszeichen. In Nur-Text-Mails findet man diese Adresse direkt im Mailtext.
Vorsicht:
- Der betreffende Host steht nicht unbedingt direkt hinter dem http://. Es ist auf das Zeichen "@" zu achten. Der Link http://microsoft.com/downloads@spamhost.com führt beispielsweise nicht zu Microsoft, sondern zu der Domain spamhost.com!
- Steht am Ende der Adresse eine verdächtige Nummer/Zeichenfolge, könnte diese Ihre E-Mail-Adresse eindeutig identifizieren, d.h. diese Adresse sollte nicht aufgerufen werden! Um im Zweifelsfall herauszufinden, wohin ein Link führt, sollte diese Nummer einfach weggelassen werden.
Hat man den Zielhost ermittelt, kann man nun den Weg dorthin verfolgen lassen. Beispielsweise geht das auf samspade.org. Dort trägt (Copy & Paste) man den Host in das Traceroute-Feld ein und klickt auf "Traceroute". Nun werden die IP-Adressen aller Router, die auf dem Weg dorthin durchlaufen werden, angezeigt. Die letzte IP-Adresse gehört zum gesuchten Host. Um die richtige IP-Adresse herauszufinden, braucht man etwas Gefühl für die Sache. Meistens ist die letzte die gesuchte. Nicht selten werden mehrere Router mit ähnlichen IP-Adressen (beginnend mit den gleichen Zahlen) durchlaufen. In diesem Fall gehören sie wahrscheinlich dem selben Provider, dann ist es egal, welche man nimmt.
Die IP-Adresse trägt man bei Geektools* ein und erhält auf der folgenden Seite meistens einen Hinweis "Send abuse/Spam reports to abuse@....". An diese E-Mail-Adresse wird die Spam-Mail (inklusive Header) weitergeleitet. Wie man an den Header kommt, erkläre ich im nächsten Abschnitt.
Wie eine Beschwerdemail ungefähr aussieht (die Provider können ja nichts dafür, daher ist Höflichkeit angebracht):
"The following Spam mail was sent from the IP address ...... and refers to http://...
Please take appropriate action against the spammer to make sure this will not happen again. Thank you.
Header:
[Headerdaten]
Original Message:
[Text der ursprünglichen E-Mail (der Spam-Mail)]"
Wird eine 0190er-Telefon-/Fax-Nummer beworben, kann man die RegTP zu Rate ziehen. Dort erhält man den Namen des Rufnummernproviders, und bei diesem kann man sich unter Angabe der 0190er-Telefonnummer über den Kunden beschweren.
- Beschweren beim Internet Service Provider des Spammers: Nicht selten hat der Spammer bei dem Betreiber des Mailservers gar kein E-Mail-Konto, sondern er benutzt den Server, weil der Betreiber diesen nicht gegen Spammerattacken geschützt hat. Solche Server nennt man Open-Relay-Server. In beiden Fällen findet man im Header der Mail normalerweise die IP-Adresse des Senders. Wird der Spam dagegen z.B. über MSN Webmail verschickt, ist die IP-Adresse des Senders nicht ausfindig zu machen. In diesem Fall findet man im Header die IP-Adresse von MSN, dann bringen Beschwerden eher nichts, denn bestenfalls macht MSN dann das betreffende Account dicht.
Die IP-Adresse gibt man ebenfalls bei Geektools* ein und erhält so eine Beschwerdeadresse. Diese kann man als 2. Empfänger (neben der Adresse des Hosters) in die Mail mit o.a. Text eintragen.
Es ist etwas knifflig, die IP-Adresse des Absenders aus dem Header zu lesen. Spammer fälschen gern Header-Zeilen, die einem die Identifizierung erschweren. Es gibt Gesetzesentwürfe, die das Fälschen von E-Mailkopfzeilen unter Strafe stellen. Leider wird es noch eine Zeit dauern, bis man gegen Kopfzeilenfälscher vorgehen kann...
Lesen und interpretieren von Mailheadern: (Hier sind IP- und E-Mail-Adressen aus Datenschutzgründen abgeändert, ich weiß, dass es keine IP-Adressen mit einer 256 gibt *g*.)
Der Header ist nur das in normaler Schrift. Das kursive sind die Erläuterungen (die ich absichtlich kurz gehalten habe; die nicht kommentierten Zeilen sind weniger wichtig, meistens auch selbsterklärend).-
Hier eine Nicht-Spam-Mail:
Received: from [256.113.160.14] (helo=mail.o2.co.uk) Die zweite (und letzte) Received-Zeile: Von einem Computer namens mail.o2.co.uk (siehe nächste Received-Zeile!) und der IP-Adresse 256.113.160.14 kam eine Mail...
by mx07.web.de with esmtp (WEB.DE 4.99 #394) ... auf dem Mailserver mx07.web.de an...
id 19YpzD-0004Vh-00... mit der ID soundso ...
for *****@web.de; Sat, 05 Jul 2003 18:34:07 +0200 ... mit dem gewünschten Empfänger *****@web.de (ich!) +Uhrzeit.
Received: from Hoochie (213.256.200.224) by mail.o2.co.uk (6.5.030) Die älteste Received-Zeile: Der Mailserver mail.o2.co.uk hat von einem Computer, der sich Hoochie nennt und die IP-Adresse 213.256.200.224 hat, eine Mail...
id 3F06BBAA00017419 for *****@web.de; Sat, 5 Jul 2003 17:29:46 +0100 ... mit der ID 3F06BBAA00017419 empfangen. Gewünschter Empfänger ist meine Adresse (*****@web.de). Das ganze geschah am 5.7.2003 um 17:29:46 (+0100) Uhr. Falls diese Zeile nicht gefälscht ist, kann man diese Uhrzeit als echt annehmen, denn sie stammt aus der Uhr des Mailservers.
Message-ID: <001f01c34313$41f523d0$a500a8c0@Hoochie>
From: "Peter Schmidt"
To: "Joe"
Subject: Fw: Deine Mail
Date: Sat, 5 Jul 2003 18:34:06 +0200 Die Uhrzeit, zu der die Mail gesendet wurde. Sie kann falsch sein, ganz einfach, weil den Spammer niemand daran hindern kann, seine PC-Uhr falsch einzustellen.
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_001C_01C34324.046C5CC0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
Sender: ******************@genion.de
- Und gleich folgt eine Spam-Mail mit gefälschten Received-Zeilen. Anmerkung: Die älteste Received-Zeile steht unten, und jeder Mailserver, der sie bearbeitet, fügt darüber eine weitere Received-Zeile ein. Ist eine Received-Zeile also gefälscht, sind alle darunterliegenden auch gefälscht. Und: Die oberste Received-Zeile ist nie gefälscht; sie stammt von Ihrem Mailprovider (falls sie bei Ihnen nicht noch mal weitergeleitet wird).
Noch einmal zum Beispiel oben: In der ersten (also in der untersten) Received-Zeile erkennt man, wie die Mail zum Server mail.o2.co.uk wandert. In der 2. Zeile (immer von unten!) gibt mail.o2.co.uk sie weiter an den nächsten Mailserver (mx07.web.de). mail.o2.co.uk hat sich mx07.web.de also korrekt vorgestellt. Falls zwischen zwei Received-Lines dagegen Differenzen auftreten, ist die untere der beiden gefälscht. Treten keine Differenzen auf, kann die untere aber auch gefälscht sein (dann hat der Spammer "geschickt" gefälscht...). Moderne Mailserver sind jedoch mit der Funktion nslookup ausgestattet. Mit dieser können sie den tatsächlichen Namen ermitteln. Den echten Namen setzen sie dann in Klammern dahinter. Nun erkennt man ganz klar die gefälschte Zeile. In der nächstneueren steht die IP-Adresse des Absenders. Diese trägt man bei Geektools* ein und erhält so die Beschwerdeadresse.
- Beispiel eines Headers einer Spam-Mail mit einer gefälschten Received-Line:
Received: from [12.242.188.34] (helo=217.72.192.188) Vom Computer namens 217.72.192.188 mit der IP-Adresse 12.242.188.34) kam eine Mail...
by mx09.web.de with smtp (WEB.DE 4.99 #433) bei dem WEB.DE-Mailserver mx09.web.de an.
id 19j85r-0005wz-00; Sun, 03 Aug 2003 03:55:33 +0200
Received: from 1z.l2iyk.com (HELO pek2) [194.2.90.249] 217.72.192.188 erhielt die Mail von dem Computer pek2, der die IP-Adresse 194.2.90.249 hat.
by 217.72.192.188
for <******@web.de>; Sun, 03 Aug 2003 02:54:24 +0100
Message-ID: <k4m59w33-7$o0vk-8316yr$nyou@34vwyq3w0>
From: "Brendan Pierre" <6zfa5og0y9@qualityloan.com>
To: ******@web.de
Subject: Cut those inches Fast!
Date: Sun, 03 Aug 03 02:54:24 GMT
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=".C.5._D._C4.E9B"
X-Priority: 3
X-MSMail-Priority: Normal
X-WEBDE-TAG: S
Sender: 6zfa5og0y9@qualityloan.com
- Hier ist es zugegebenermaßen recht schwierig, zu erkennen, dass die 1. (untere!) Received-Zeile gefälscht ist. Der Computer 217.72.192.188 mit der IP-Adresse 12.242.188.34 hat sich ja korrekt bei mx09.web.de vorgestellt. Zu erkennen ist die Fälschung daran, dass der Computername aussieht wie eine IP-Adresse, diese aber nicht mit der echten IP-Adresse übereinstimmt. Und welcher Mensch sollte seinen Computer ernsthaft so nennen?
Bei Geektools ist also nicht die Adresse 194.2.90.249 einzutragen, sondern 12.242.188.34 ist der Übeltäter! Der Computername 217.72.192.188 wurde gewählt, um weniger erfahrene Spam-Jäger auf eine falsche Fährte zu locken, indem ihnen weisgemacht wird, dies sei seine IP-Adresse.
Die 2. falsche Fährte, die hier ausgelegt wurde, ist die gefälschte Received-Zeile.
- Hier ein drittes und letztes Beispiel einer Mail. Es handelt sich um den Header einer Spam-Mail, bei der der Header "ungeschickt" gefälscht wurde, d.h. man erkennt Widersprüche im Header, da ein Server sich falsch vorgestellt hat:
Received: from [217.255.109.177] (helo=pD9FF6DB1.dip.t-dialin.net) by mx03.web.de with esmtp (WEB.DE 4.99 #566) id 1AVNVv-0007X9-00 for *****@web.de; Sun, 14 Dec 2003 05:05:52 +0100
Received: from unknown (HELO localhost) (127.0.0.1) by localhost.ladod.com with SMTP; Sun, 14 Dec 2003 00:12:05 +0000
Received: from 107.5.40.178 (107.5.40.178[107.5.40.178]) by pD9FF6DB1.dip.t-dialin.net (IMP) with HTTP for <*****@web.de>;
Message-ID: <7600531071360725@pD9FF6DB1.dip.t-dialin.net>
From: "melina" <hodmepe117626@yahoo.com>
To: "gilli" <*****@web.de>
Subject: Do Not Miss Nasty Paris Hilton - She Swallows!
Date: Sun, 14 Dec 2003 00:12:05 +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 107.5.40.178
X-WEBDE-TAG: S
Sender: hodmepe117626@yahoo.com
Hier sind die zwei ersten (untersten!) Received-Zeilen gefälscht. Dies ist daran zu erkennen, dass die mittlere und die oberste (neueste) nicht zusammenpassen.
Oberste Zeile: Der Mailserver von WEB.DE behauptet, die Mail ist von 217.255.109.177 (helo=pD9FF6DB1.dip.t-dialin.net) gekommen (was auch stimmt...). In der nächsten Zeile steht aber nicht der Computername pD9FF6DB1.dip.t-dialin.net mit der Adresse 217.255.109.177, sondern ein Computer namens localhost.ladod.com mit der IP-Adresse 127.0.0.1. Dies kann nur eine gefälschte Received-Zeile sein, erstens weil sie nicht zur neuesten Zeile passt, und zweitens (was nicht immer der Fall ist) ist die IP-Adresse 127.0.0.1 angegeben. Diese existiert nirgendwo im Internet, sondern sie ist eine rechnereigene Adresse. Unter dieser ist stets der eigene, lokale Rechner zu finden... Dummheit kennt keine Grenzen.
*Noch etwas zu Geektools: Manchmal kommt nicht die Beschwerde-Adresse zum Vorschein, sondern entweder gar keine oder res-ip @ iana.org. Warum das so ist, weiß ich leider nicht. Ich trage dann die IP-Adresse bei samspade.org unter "Traceroute" ein, um so eine andere IP-Adresse zu erhalten.
|