von Ivan Gartsev
Spam erzeugt eine Vielzahl von Problemen: Spam ist in der Hinsicht einzigartig, dass die Empfänger viel mehr dafür bezahlen als der Absender. Der Absender bezahlt nur für ein Account bei seinem Provider und verhältnismäßig wenig Telefongebühren. Der Rest wird von den Empfängern bezahlt. Dabei ist nicht nur an die Zeit und Telefongebühren zum Herunterladen des Spams zu denken. Spam verstopft auch die Leitungen und füllt die Festplatten der Mail- und News-Server des Providers. Spams mit ungültigen Adressen erzeugen Fehlermeldungen, die der Provider erhält. Diese Kosten des Providers belasten die Konten des Kunden. Aber auch die Zeit des Empfängers ist ein Faktor. Das wäre kein Problem bei einem einzigen Spam. Aber was soll man tun, wenn man hundert Spams pro Tag erhält? Die Menschen, die noch keinen Breitband Anschluss besitzen, zahlen sehr viel Geld dafür, dass die unerwünschte Mail geladen wird. Der Spammer bezahlt nur ein paar sec. Onlinezeit. Man sollte auch beachten, dass Mailserver auch verstopft werden können. Da stellt sich doch die Frage, woher haben Spammer meine E-Mailadresse, und wie kann man sich schützen?
Motivation
Unter Spam versteht man, laut der Definition der EU-Kommission, unverlangt zugestellte E-Mails. Man spricht auch von „Junk Mail“, „Bulk Mail“ oder UCE (Unsolicited Commercial Email). Spam findet man im Allgemeinen im Usenet und als E-Mail. Im Usenet unterscheiden sich die Spam Beiträge durch zwei Arten.
- Excessive Multi-Posting (EMP): der Artikel wird in mehreren Kopien ins Netz gestellt.
- Excessive Cross-Posting (ECP): der Artikel wird in einer Kopie gleichzeitig in mehreren Newsgroups veröffentlicht.
Der Unterschied zwischen Multi-Posting und Cross-Posting ist, dass beim Cross-Posting nur eine Kopie des Artikels auf den Newsservern existiert, aber bei Multi-Posting mehrere. Multi-Posting verbraucht viel mehr Speicherplatz und Übertragungszeit als Cross-Posting. Die Grenzwerte, ab wann Multi-Posting Spam ist, sind daher strenger angesetzt als bei Cross-Posting.
Würde man beide Werte getrennt messen, könnten die Grenzwerte umgangen werden. Gleiches gilt für das wiederholte Posten nach kurzer Zeit. Deshalb misst man eine Kombination aus Cross-Post und Multi-Post innerhalb einer definierten Zeitspanne.
Spam im Usenet wird heute weltweit gecancelt (entfernt). Der Absender der gecancelten Nachricht wird davon per E-Mail informiert und es wird über den Cancel ein öffentlich zugängliches Protokoll erstellt. Spam als E-Mail wird auch durch zwei Arten unterschieden:
- Unsolicited Commercial E-Mail (UCE): unverlangte kommerzielle Werbung per E-Mail
- Unsolicited Bulk E-Mail (UBE): unverlangte Massenmails
Hier ein kleiner Überblick, was thematisch am häufigsten als Junkmail vorkommt:
- Kettenbriefe, Pyramidenspiele
- Strukturvertrieb inklusive Multilevel Marketing (MLM)
- Andere „Werden Sie schnell reich-Systeme
- Werbung für Pornografie
Seit Sommer 1999 gelten für UCE/UBE ähnliche Regelungen, wie bei unerwünschtem Anrufen und Faxwerbung, die schon länger verboten sind.
Spam Verbreitung
Spam wird immer mit diversen, automatisierten Tools verschickt, die frei im Internet verfügbar sind. Jetzt fehlen dem Spammer nur die E-Mail-Adressen.
2.1 Adresshandel:
Die nicht professionellen Spammer haben die Möglichkeit über Tauschbörse, wie z.B. Emule und Edonkey, Millionen von E-Mail-Adressen runterzuladen. Suchbegriffe, wie „Spam-Mails“ oder „E-Mailadressen“ führen hierbei zum gewünschten Erfolg. Die Tauschbörsen werden aber auch von den professionellen Spammern genutzt, um ihre Datenbanken zu vervollständigen oder einfach mal zu Tauschen. Die Spammer, die versuchen mit ihrem Spam Geld zu verdienen, müssen sich anderen Methoden bedienen. Die Adressen müssen aktuell sein. Dieses wird erreicht durch verschiedene Methoden.
2.2 Scannen:
Das automatisierte Suchen nach E-Mail-Adressen mit speziell dafür geschriebenen Programmen, auch Harvesting genannt, nennt man Sannen. Solche Programme werden meist für ca. 50$ von dubiosen Firmen angeboten und bieten diverse Funktionen, mit denen man den Sammelvorgang optimieren kann. Verbreitet ist das Scannen von sogenannten Newsgroups, aber auch das Scannen von Webseiten ist nicht selten. Besonders ärgerlich an dieser Sammelmethode ist, dass man diesen kaum ausweichen kann. Der Grund, wieso man eine Adresse im Usenet oder auf einer Webseite angibt ist, dass andere Internetbenutzer per E-Mail Kontakt aufnehmen können. Gibt man seine Adresse nicht oder nur verfälscht an, wird die Kontaktaufnahme für andere schwierig oder gar unmöglich.
2.3 Brute Force:
Mit sinkenden Versandkosten wird es für die Spammer vermehrt attraktiv, durch systematisches Durchprobieren von gängigen Kombinationen (z.B. üblichen Accountnamen wie info@…, webmaster@… oder verbreiteten Vornamen) an gültige Adressen zu kommen. Besonders lästig an dieser Methode ist, dass man selbst dann Spam erhalten kann, obwohl man seine Adresse nirgendwo veröffentlicht hat. Eine Abhilfe schafft bestenfalls die Verwendung von kryptischen E-Mailadressen, die den Charakter eines Passworts haben, was aber dazu führt, dass andere sich kaum die E-Mail-Adresse merken können.
2.4 SMTP-Harvesting:
Eine Methode, die es erst gibt, seit ADSL- und Kabelanschlüsse für wenig Geld zu haben sind, ist das sogenannte SMTP-Harvesting. Dabei werden SMTP-Server, die für den Versand und den Empfang von E-Mails zuständig sind, gezielt nach möglichen Buchstabenkombinationen abgefragt. Gemäß SMTP-Standard meldet ein empfangender Server dem Sender, wenn er eine Mail nicht ausliefern kann, weil die Adresse nicht existiert. Spammer können nun je nach Antwort des Servers darauf schließen, ob eine angegebene E-Mail-Adresse existiert oder nicht. Existiert zum Beispiel die Adresse abc@provider1, so probieren Spammer aus, ob auch abc@provider2 existiert. Diesen Angriffen sind vor allem die großen Provider ausgesetzt, denn dort ist die Wahrscheinlichkeit, dass eine Adresse existiert am größten. Abhilfe gegen solche Praktiken, schafft praktisch nur noch die Verwendung von E-Mail, die in dieser Form nicht existiert. Mailadressen mit gängigen Vornamen müssen dagegen in Zukunft leider gemieden werden.
2.5 Verbreitungs-Tool:
Um Spam zu versenden, benötigt der Benutzer nur einen E-Mail-Clienten wie z.B. Amicron Mailoffice, Outlook, etc. Es wird eine E-Mail verfasst und die Adressen werden hinzugefügt. Die schlauen Spammer fügen die Adressen nicht in der AN-, sondern in der BCC- oder CC-Zeile ein, so ist für eine bestimmte Person nicht die ganze E-Mailadressliste sichtbar. Bei solchen Praktiken ist es sehr schwer seine Spuren zu verwischen. Deswegen werden solche Tools benutzt wie z. B. GroupMail (Abb.1-3). Hier besteht die Möglichkeit, den Quelltext zu verändern, um seine Spuren zu verwischen. Warum das sinnvoll ist, wird im Kapitel „Wie kann man sich dagegen schützen“ erklärt.
Abb1. : Der Verwaltungsmaneger von GroupMail
Schutz gegen Spam
Es gibt mehrere Möglichkeiten, um sich gegen Spam zu schützen. Aber sinnvoller wäre dafür zu sorgen, dass auf den Mailaccount überhaupt keine Spams kommen. Das kann verhindert werden, indem der User anonym bleibt. Das bedeutet, nirgendwo seine E-Mail-Adresse zu hinterlegen. Das lässt sich leider nicht immer vermeiden und zudem erschwert das die Kommunikation z. B. im Usenet oder in Foren. Es gibt die Möglichkeit sich zwei E-Mail-Adressen anzulegen. Durch diese Methode wird vermieden, dass auf die Hauptmailbox Spams kommen. Es muss bedacht werden, dass dadurch doppelte Arbeit entsteht, weil zwei Mailaccounts existieren. Wenn es so weit ist, dass der Mailaccount mit Spams zu gebombt wird, ist es eigentlich zu spät. Jetzt muss der Schaden in Grenzen gehalten werden, oder man wechselt die E-Mail-Adresse. Die Schadensbegrenzung unterscheidet sich im Wesentlichen durch drei Arten. Einige davon sind mehr oder weniger effektiv als die andere.
3.1 Spam-Canceln:
Diese Methode ist sehr effektiv. Die Mails werden sortiert und der Spam wird gelöscht. Spam-Canceln ist aber nur so lange effektiv, solange die Anzahl der Spams sich im gesunden Rahmen bewegt. Ab 50-60 Spams, pro Tag, wird es schon lästig und sehr mühselig. Durch die große Anzahl von Mails entstehen auch enorme Kosten.
3.2 Filter:
Wenn das Spam-Canceln nicht mehr hilft oder zu unübersichtlich wird, hilft ein automatisierter Ablauf. Das wird ermöglicht durch Spamfilter. Im Wesentlichen unterscheidet man zwei Arten von Filtern.
3.2.1 Globale-Filter:
Diese Art von Filter setzen die Provider ein. Das sind Programme, die nicht nur nach bestimmten Worten suchen oder die Wahrscheinlichkeit berechnen, sondern auch mit schwarzen Listen arbeiten. Diese Listen werden angelegt mithilfe von aufmerksamen Usern und fleißigen Administratoren.
3.2.2 Lokale- Filter:
Diese Art von Filtern kann jeder einzelner User auf seinen PC laden. Es gibt verschiedene Anbieter von solchen Tools. Diese Filter arbeiten aber nicht zu 100%. Es kann immer passieren, dass eine Mail gefiltert wird, die kein Spam ist. Die Funktionsweise von den Lokalen -Filtern ist immer dieselbe. Alle suchen nach Worten, wie z.B. XXX, Viagra, etc. Des Weiteren untersuchen die Filter die CC- und BCC- Zeilen auf ihre Richtigkeit. Es erfolgt ein Vergleich mit dem Adressbuch. Die neueren Filter arbeiten mit der Wahrscheinlichkeit und sind lernfähig. Aber wie bereits oben erwähnt, arbeiten diese nicht 100%.
3.3 Beschwerde an Administrator:
Die Beschwerde an Administratoren ist die effektivste Methode. Sie dient auch als Grundlage für die Erstellung der schwarzen Listen. Diese Listen erden dann den globalen- Filtern hinzugefügt. Diese Methode erfolgt in drei Schritten:
Erster Schritt: Absender herausfinden
Zuerst musst der Spamverursacher gefunden werden. Das klingt einfach, ist es aber nicht immer, denn der From-Header ist oft inkorrekt. Viele Spammer fälschen diese Adresse, damit sie nicht alle Fehlermeldungen erhalten und damit es schwieriger ist, sie zu finden. Manchmal wird sogar jemand, den man eine auswischen will, als Absender eingesetzt. Die betreffende Person wird mit Fehlermeldungen und Beschwerden überschwemmt. Wenn der Absender merkwürdig aussieht, wie z.B. „email@all.de“, stimmt er wahrscheinlich nicht. Den richtigen Absender steht im Hauptteil der Mail, den sogenannten Body. Oft haben die Spammer hier ihren richtigen Absender, oder sie machen Werbung für ihre Homepage.
Zweiter Schritt: Provider herausfinden
Die Beschwerde erfolgt direkt bei dem Provider des Spammers. Den Provider erhält man über die Homepage oder Subdomain der E-Mail-Adresse. Bei Homepages erhält man Abhilfe mit dem Befehl Traceroute. Das ist ein Programm, das den „Weg“ zu einem Server herausfindet. Ein Traceroute- Interface befindet sich unter http://www.trash.net/cgi-bin/nph-traceroute. Bei Windows95 gibt es das Programm ebenfalls, es heißt dort tracert.exe. Es wird der Namen des Servers eingegeben z.B. www.trash.net und erhält den Weg vom Host zu diesem Server. Auf der letzten Zeile ist der Server (Achtung: manchmal hat ein Server verschiedene Namen, egal was für ein Name dort steht, auf der letzten Zeile ist der Server, der gesucht wird.) Auf der zweitletzten Zeile befindet sich dann der Provider.
Beispiel:
tracert www.trash.net
7 464 ms 470 ms 392 ms 164.128.33.242 i79zhf-001-srl0-2.unisource.de.
8 466 ms 444 ms 480 ms 164.128.123.86 zuerich-1–s0-ubn.dataway.de.
9 504 ms 479 ms 510 ms 195.216.64.18 andromeda.dataway.de.
10 528 ms — 512 ms 195.216.65.217 217.208.65.216.195.in-addr.arpa.
Auf der letzten Zeile steht nicht das erwartete www.trash.net. So sehen wir, dass der Header der E-Mailadresse gefälscht war. Die Beschwerde erfolgt nun beim Provider dataway.de.
Dritter Schritt: Beschwerde schreiben
Nun kann eine Beschwerde geschrieben werden. Geschrieben wird an den Provider der E-Mailadresse und an den Provider der Homepage. Viele Provider haben eine Adresse speziell für Beschwerden. Diese lautet normalerweise abuse. Geschrieben wird also z.B. an abuse@provider.de. Wenn die Adresse abuse nicht existiert, schreibe auch noch an den Postmaster (postmaster@provider.de). Der existiert sicher. In die Beschwerde gehören unbedingt:
- Ein klares Subject, z.B. „Beschwerde über Spam ihres Kunden fritz@provider.de“
- Es sollte auch eine kurze Erklärung dabei sein, wieso eine Beschwerde erfolgte und ein Vorschlag, was sie tun sollen. Z.B. „PROVIDER.DE: Der folgende Spammer hat eine Homepage bei ihnen (www.spamspam.de). Bitte schließen Sie dieses Konto.“
- Außerdem sollte eine vollständige Kopie des Spams beigefügt sein. Es ist außerordentlich wichtig, dass auch sämtliche Headers dabei sind. Nur so kann der Provider nachvollziehen, was genau passiert ist. (Falls der Spam ein seitenlanges Dokument ist, kann man auch die langweiligen Passagen herauslöschen, aber alle wichtigen Angaben (Namen, E-Mail-Adressen, Headers) beibehalten.
- Es ist wichtig, dass dem Provider klar ersichtlich ist, von wem die Beschwerde kommt. Es sollte eine gültige Absenderadresse verwendet werden. Im Gegensatz zum Spammer haben wir nichts zu verbergen.
- Ein freundliches „Erscheinen“ ist sehr wichtig. Der Provider ist höchstwahrscheinlich auch ein Opfer. Er wird von Beschwerden überschwemmt. Wenn der Administrator angeflucht wird, ist es nur kontraproduktiv.
- Man sollte eine Sprache wählen, die der Nationalität des Administrators gerecht wird.
Literaturverzeichnis
http://www.heise.de/newsticker/meldung/44206 →