blog.pgs-info.de: Fehler im System.   |   bikemessenger.pgs-info.de: Stuff über und für Radkuriere.   |   texte.pgs-info.de: Beiträge zu Politik und Gesellschaft.   |   photo.pgs-info.de: ...betrachten.
misc.pgs-info.de
misc.: Abkürzung für miscellaneous: ge-, vermischt; vielseitig
YOU HAVE WON!!! CONTACT OUR AGENT NOW
Anzeige

Was ist Spam?

Spam ist nichts anderes als ein anderer Ausdruck für UBE. Diese Abkürzung steht für "unsolicited bulk email", also zu deutsch "unverlangte Massen-E-Mail". Damit ist recht genau beschrieben, was Spam ist: E-Mails, die unaufgefordert an eine große Anzahl von Empfängern geschickt wird.

Herkunft des Begriffes "Spam"

Der Begriff "Spam" stammt ursprünglich aus einem Sketch der britischen Komikergruppe externer LinkMonty Python. Dieser Sketch spielt in einem Restaurant, in dem alle Gerichte aus dem englischen Dosenfleisch externer LinkSPAM (Produkt der englischen Firma externer LinkHormel; steht für "spiced ham") bestehen. Auf Anfrage des Gastes nach den Gerichten zählt die Kellnerin immer wieder die SPAM-Speisen auf. Im Verlaufe des Sketches tritt ein Wikingerchor auf, der mit zunehmender Lautstärke ein Loblied auf SPAM anstimmt, bis jegliche Unterhaltung durch SPAM unmöglich gemacht wird.
Im Usenet, in dem Anfang der 1990er Jahre die Kommunikation durch die große Anzahl unverlangter Postings zunehmend erschwert wurde wurde1, bürgerte sich der Ausdruck Spam durch die Parallelen der Situation im Usenet zum Sketch schnell ein.
Auch im Bereich der E-Mail-Kommunikation hat sich der Begriff "Spam" etabliert.
Die Firma Hormel legt in letzter Zeit übrigens externer Linkgroßen Wert darauf, dass ihr Produkt SPAM merkenrechtlich geschützt ist und fordert auf, zur Umschreibung von UBE nicht SPAM (großgeschrieben), sondern, wenn es denn sein muß, Spam zu benutzen.

Arten von E-Mail-Spam

Bei UCE unterscheidet man verschiedene Arten von Spam. Unter anderem kann Spam UCE, ein Hoax oder ein Joe Job sein oder von Viren oder Würmern versendet weren. In der freien Enzyklopädie externer LinkWikipedia finden sich hervorragende externer Linkweitergende Informationen zum Thema. Aus diesem Grund wird hier auf eine ausführliche Beschreibung verzichtet ind im folgenden immer von Spam die Rede sein, womit jede Art von UBE gemeint ist.

Was ist eine Spamtrap?

Wie kommen Spammer an ihre Adressen?

Um zu verstehen, was eine Spamtrap ist und zu was sie gut sein soll, muß man zunächst einmal die Arbeitsweise der Spammer kennen. Spammer kommen an ihre E-Mail-Adressen unter anderem durch das Absuchen von Internetseiten ducrh sogenannte Harvester ("Ernter" oder auch Erntemaschinen), das sind spezielle Programme, die von ihnen besuchte Internetseiten nach E-Mail-Adressen absuchen. Die gefundenen E-Mail-Adressen werden dann von den Spammern als Adressaten ihrer Massenmail benutzt.

Poisoning

Da die Harvester nicht wissen, ob eine E-Mail-Adresse "echt" ist, also einem realen Benutzer gehört, kann man nun tausende E-Mail-Adressen publizieren, die zu keinem realen Benutzer2 führen - der Spammer weiß dies nicht, seine Adreßliste wird jedich ducrh die "wertlosen" Einträge zunehmend unbrauchbar gemacht. Dieses Überschwemmen der Adreßlisten mit nutzlosen Adressen wird Poisoning genannt.

Eine Falle für Spammer: Die Spamtrap

Der Begriff "Spamtrap" ("Spamfalle") ist nicht sauber definiert. Viele www-Seiten, die den Harvestern unnütze E-Mail-Adressen zur Verfügung stellen3, werden von ihren Erstellern als Spamtrap bezeichnet. Eine Spamtrap im Sinne des vorliegenden Textes Beschreibung ist ein E-Mail-Account, der nie für "normale" Kommunikation benutzt wird, der also niemendem bekannt gemacht wurde und der nie für ausgehende E-Mails verwendet wurde. Trifft auf einem solchen Account nun eine E-Mail ein, so ist dies Spam. Die Pseudo-Rechtfertigung der Spammer "Sie erhalten diese Mail, weil sie sich in eine unserer Listen eingetragen haben..." ist in diesem Falle entkräftet, weil diese E-Mail-Adresse niemels benutzt wurde.
Natürlich stellt sich hier manchem die Frage, woher der Spam-Versender denn dann die E-MAil-Adresse kennen sollte, wenn sie doch niemals für normale Kommunikation benutzt wurde. Nun, entweder der Absender hat sie schlicht und einfach erraten (an webmaster, info, kontakt und ähnliche oft benutzten Adressen wird gerne auch mal "blind" gespammt), oder er hat sie eben durch einen Harvester erhalten, der diese Adresse von einer Poisoning-Website geerntet hat.
Mit einer einzigen Adresse macht Poisoning bzw. eine Spamtrap natürlich keinen Sinn. Bietet man dem Harvester jedoch einige tausend Adressen, so kann man eben einerseits den "Regelbetrieb" des Spammers beeinträchtigen und zum anderen interessante Einzelheiten über die Arbeitsweise des Spammers erhalten. Mit den erhaltenen Spam-Mails lassen sich überdies Spamfilter trainieren. Auch können die erhaltenen Spam-Mails in "Spam-Frühwarnsysteme", die von Spamfiltern online abgefragt werden können, eingespeist werden.

Die Spamtrap auf pgs-info.de

Nach diesem kurzen Exkurs folgt nun die Beschreibung der Spamtrap auf pgs-info.de. Bei Fachbegriffen, auf deren Verwendung ich nicht verzichten konnte, und deren tiefere Erläuterung noch viel mehr Text (was manchen, der diese Begriffe bereits kennt, wiederum langweilen würde) erzeugen würde, habe ich mich bemüht, weitergehende Links anzugeben.

Poisoning

...im www

Auf einer Subdomain von pgs-info.de liegen ca. 139000 E-Mail-Adressen, die auf 28 untereinander verlinkten HTML-Seiten aufgeteilt sind. Die Subdomain trägt als Zahl den Veröffentlichungsmonat in ihrer URL. Die Subdomain ändert ihren Namen also jeden Monat, und damit ändern auch alle ausgebrachten E-Mail-Adressen ihren Namen (im Domainpart).Beispielhaft sieht das Ganze dann so aus:

Die Adresse wird jeweils nur einen Monat veröffentlicht. Nach Ablauf des Monats wird die Subdomain aber nicht gelöscht, sondern empfängt weiterhin Mails; lediglich die Adressen werden nicht mehr ausgebracht. Die einezlnen Seiten jeder "vergangenen" Subdomain enthalten Weiterleitungen zu den korrespondierenden Seiten der aktuellen Subdomain. Dadurch werden "Besucher", die auf die alten, bekannten Subdomains zugreifen wollen, zu den aktuellen E-Mail-Listen weitergeleitetet.
Durch die zeitliche Beschränkung der Ausbringung der E-Mail-Adressen kann die Zeit zwischen Ausbringung und Belieferung der E-Mail-Adressen abgeschätzt werden. Nach drei Monaten wird eine Subdomain gelöscht. Die dort auftreffenden Mails werden dann am Mailserver gebounct.

Ob die rotierenden Subdomains einen Vorteil bei der Auswertung des Spam-Aufkommens darstellen, wird sich erst im Laufe der Zeit zeigen. Falls keine nennenswerten Erkenntnisse daraus entnommen werden können, wird dieses Konzept geändert.
Als "Zugabe" werden auf einer Seite die Kontaktadressen von 419-Spammern veröffentlicht.
Die Subdomain users.pgs-info.de mit Weiterleitung auf die jeweilige aktuelle Subdomain bleibt immer bestehen, um anderen Poisonlist-Betreibern ein verlinken zu ermöglichen Um sicherzugehen, dass auf diesen Adressen wirklich nur Spam eingeht, werden die E-Mail-Adressen und die URL der Seiten nicht veröfentlicht und natürlich niemals genutzt. Der einzige Weg, wie normale Benutzer auf die E-Mail-Listen gelangen könnten, sind Links auf den regulären Webseiten von pgs-info.de auf die E-Mail-Listen. Diese Links tragen den Hinweis

"E-Mail-Adressen - für normalen Gebrauch nutzlos!
Email adresses - futile for normal users!"

und sind an nicht prominenter Stelle aufgeführt. Die Links von den regulären Seiten zu den E-Mail-Listen mittels des CSS-Attributes invisible versteckt. Auch die E-Mail-Listen selbst sind mittels des invisible-Attributes versteckt. Zusätzlich trägt jede Seite der E-Mail-Listen den Hinweis

"Diese E-Mail-Adressen wurden generiert, um die Ressourcen von Spam-Versendern, die Webseiten nach E-Mail-Adressen absuchen, zu blockieren. Die hier vorhandenen E-Mail-Adressen sind für normale Benutzer völlig nutzlos. Sie führen zu keinen realen Personen und werden nicht gelesen.
These mail adresses were generated to block ressources of spammers who search for email adresses on webpages. The email adresses available on this page are completely futile for normal users. They do not belong to real persons and will not be read."

...nach sechs Monaten

Mittlerweile, nach sechs Monaten in diesem Wechsel-Modus, hat sich herausgestellt, dass die Subdomains wohl für Scammer "verbrannt" sind. Kamen anfänglich fast ausschließlich (und massiv) 419-Mails an, so ist deren Anteil mittlerweile bei null, während ein großes tägliches Aufkommen an Software- und Pillen-UBE zu verzeichnen ist - auch bei Wechsel der Subdomain. Ich vermute, dass die Doamin von Scammern nicht mehr benutzt wird. Vielleicht hat sich ein Scammer mal die Webseiten angeschaut und angesichts der bloßen Auflistung von tausenden gleichförmigen Adressen ohne sonstigen Inhalt, dafür aber mit erklärendem Hinweis die richtigen Schlüsse gezogen.
419er-UBE ist für mich aber interessanter als Pillen-UBE. Aus diesem Grunde habe ich die Spamtrap überarbeitet.
Die Seiten sind nun optisch nicht mehr als Spamtrap zu erkennen, sie sehen aus wie Fließtexte. Sie sind stringent formatiert, mit XHTML/CSS strukturiert und sogar W3C-valide. Zur Auflockerung wurden noch ein paar Sinnlos-Bilder eingebaut. Die enthaltenen E-MAil-Adressen folgen keinem festen Schema, sondern wurden nach Zufallsmustern generiert. Eine solche generierte Adresse könnte beispielsweise so aussehen: xhqisdgflelng@gelegenheit.franz.josef.invalid.
Der Seitenext und die Adresen wurden mit dem Tool externer Link Toxic (mit modifiziertem Wörterbuch auf deutsch) erstellt. Der Einsatz von Toxic erfordert jedoch unbedingt Nacharbeit! Toxic generiert nämlich gültige Adressen mit 17 TLD und einigen Domainnamen bekannter Softwarefirmen und Internetprovidern. Diese E-Mail-Adressen dürfen natürlich keinesfalls verwendet werden. Die gültigen TLD wurden daher durch meine Domain ersetzt. Es handelt sich hierbei um drei DynDNS-Domains, die auf meinen Mailserver zeigen. Durch das Rewriten von TLD durch Domain ergeben sich Adressen, die nicht so uniform wirken wie die alten Spamtrap-Adressen. -
Toxic hat übrigens ein paar Schwachstellen. Die gravierendste ist wohl, dass die Wortliste ab ca. 1500 Begriffen zu einem Überlauf führt. Angesprochen wurde schon die unverantwortliche hartcodierte(!) Verwendung bestehemder Domain- und TLD-Namen. Ein Umstieg in nächster Zeit steht wohl bevor... .
Eine weitere Änderung besteht darin, dass die E-Mails nunmehr ausschließlich über meinen Mailserver angenommen werden, einen Umweg über den MX meines Providers gehe ich nicht mehr (auch nicht als Backup-MX - mit Mailverlust auf einer Spamtrap kann ich leben. Vgl. dazu auch Fußnote 16) - das Setup "Mailserver an Dialup-Account" hat sich für die Spamtrap (nicht für einen Produktiveinsatz, wohlgemerkt!) bewährt. So wird unnötiger Traffic vermieden.

Update (06/2007)

Aus verschiedenen Gründen mußte ich mein Setup ändern, insbesondere das Konzept eines Dialup-Servers zuhause ist doch schon wartungs- und kosteninstensiv (Stromrechnung). Auch unter ökologischen Gesichtspunkten ist ein Mailserver zuhause fragwürdig, zumal wenn man nur noch einen Client angebunden hat und sich damit der Mehrwert eines File-, Print-, Fax-, ...-Servers reduziert - und beim www-Hoster sowieso ein Mailserver läuft. Daher werden nunmehr wieder alle Spamtrap-Adressen vom Mailserver meines Hosters angenommen. Per IMAP kann ich die Auswertung genauso bequem vornehmen.

...im Usenet

Im Usenet wurde ein tägliches Posting mit jeweils wechselnden Spamtrap-Adressen im Body gepostet. Um selbst bei restriktiver Auslegung den BI6 (zwar wechselnder Body, aber "advertising the same service") nicht zu überschreiten, beschränkte sich das tägliche Posting auf de.test. Nachdem aber auf die gestreuten Adressen kaum Spam einging (etwas mehr Spam wurde an die reply-to-Adresse der Postings gesandt), wurden diese Postings eingestellt.

Die Spamtrap

Die Spamtrap besteht aus einem Catch-all-account7 der betreffenden Subdomain. Auf diesem Account findet natürlich keinerlei Filterung, sei es nach Schadsoftware oder nach Spam, statt. Die MX-Einträge der Spamtrap-Domains zeigen auf einen Dnyndns-Eintrag, der zu meinem Mailserver (externer LinkXMail 1.21 auf externer LinkDebian GNU/Linux sarge) an einer ADSL-Leitung führt8. Dabei bleiben diese E-Mails auch auf dem Mailserver unter einer eigenen virtuellen Domain und somit vom regulären E-Mail-Verkehr (der mittels externer LinkSpamassassin und externer LinkClamav auf Spam und Schadsoftware geprüft wird) getrennt.

Auswertung auf dem lokalen Mailserver

Update 06/2007

Wie weiter oben ausgeführt, ist dieses Setup nicht mehr existent. Zu Dokumentationszwecken lasse ich es dennoch hier stehen. Sind die Spam-Mails auf dem lokalen Mailserver eingetroffen, so werden sie alle 10 Miunten in die Online-Dienste externer LinkRazor2 und externer LinkPyzor sowie den lokal laufenden Spamassassin eingespeist.
Bei Spamruns9 mit mehreren hundert oder tausend (bis auf die Empfängeradresse) identischen Spam-Mails würde das Reporten aller dieser E-Mails allerdings zu viel Rechenzeit und Bandbreite kosten und außerdem unnötig redundante Informationen erzeugen. Gleichzeitig würde die Warteschlange der zu reportenden Spam-Mails so groß, dass die Aktualität der Reports (die insbesondere für die Online-Dienste Razor2 und Pyzor erwünschenswert ist) zunehmend verringert würde. Aus diesem Grunde weden alle zehn Minzuten sämtliche Mails, die über eine Stunde alt sind, aus der Report-Queue10 gelöscht.
Aus den Logdateien von XMail wird mittels eines modifizierten externer LinkXMailGraph, der auf externer LinkRRDTool basiert, eine grafische Auswertung der eintreffenden E-Mails auf der Spamtrap erstellt.

Spam-Archiv

Mein besonderes persönliches Interesse gilt weniger den "normalen" Spam-Mails, die für Penisverlängerung, Software, Drogen und was-es-noch-alles-gibt werben, sondern den 419er-E-Mails der "Nigeria-Connection", unter anderem deswegen, weil diese Spammer immer eine gültige E-Mail-Adresse angeben, unter der sie erreichbar sind und ausdrücklich um Kommunikation bitten...11
419er-E-Mails sind aber auch in soziologischem Sinne nicht uninteressant. Oftmals versuchen Scammer, durch Bezug auf aktuelle Ereignisse Glaubwürdigkeit zu erzielen. Ein Gespür für soziale Mechanismen läßt sich bei vielen 419-E-Mails feststellen - gleichzeitig werden die Versuche der Scammer oftmals durch kulturelle Differenzen ad absurdum geführt. Dennoch verfallen immer wieder "westlich aufgeklärte" Personen dem Lockruf unermeßlichen Reichtums. Social engineering12 und die Resultate sind also auch immer Ausdruck der Zeitgeschichte.
Ebenfalls interessant sind Phising-Mails, zeigen die enthaltenen Links doch auf Webserver, die man mit einem Complaint oftmals schnell abklemmen lassen kann. Phishing-Mails versuchen im Übrigen ebenfalls, die Unbedarftheit der Empfänger auszunutzen und auch sie bedienen sich des Vetrauens in Institutionen und Technik. Wurm- und Viren-Mails setzen ebenfalls zunehmnd auf social engieneering als Verbreitungsroutine.
Eine weitergehende (soziologische?) Auseinandersetzung mit "bösen" E-Mails ist geplant und wird dann auch hier verlinkt. Langfristig... -

Die Perlen in einer Spamtrap sind natürlich Spam-Mails, die eine .de-Domain bewerben und/oder sogar eine deutsche Kontaktadresse angeben. Hier kann man dem Spam-Versender dann gezielt nachgehen, z.B mittels eines externer LinkAuskunftsersuchen gemäß Bundesdatenschutzgesetz oder einer Beschwerde bei der externer LinkWettbewerbszentrale.
In den thematisch geordneten Spam-Archiven befinden sich hauptsächlich 419er- und ähnliche "Betrugs"-E-Mails, z.B. Lotto-Mails. Aber auch in irgend einer anderen Weise interessante UBE erden zukünftig in das Archiv aufgenommen.
Bei Phishing-E-Mails versuche ich, näheres über die Phishing-Website in Erfahrung zu bringen und die Ergebnisse hier zu dokumentieren. Bei Wurm- und Viren-E-Mails werden die Provider über die verseuchten Rechner in ihrem Netz informiert. Die Reaktion der Provider ist dokumentiert. Auch bei UBE versuche ich, näheres über die beworbenen Websiten in Erfahrung zu bringen; auch hier werden die Provider über Rechner in Ihrem Netz, die zum Spamversenden ge- oder mißbraucht werden, informiert und die Ergebnisse dokumentiert.
Die Bodies der E-Mails im Archiv werden in der Rohansicht wiedergegeben. Bei Base64-codierten E-Mails13 habe ich den Body der Rohansicht durch den dekodierten Body ersetzt14. Die Header bleiben in jedem Falle unbearbeitet; lediglich die Spamtrap-Adresse sowie eventuell gefälschte Absenderadressen werden maskiert. Außerdem werden in Spam-E-Mails, die andere Empfängeradressen im BCC gesetzt hatten, die Localparts dieser Adressen ebenfalls maskiert, um die Empfänger zu schützen.

Hier geht's zum 419er-Archiv (413 Einträge).

Hier findet man Phishing-E-Mails (5 Einträge).

Hier sind Wurm-, Viren- und anderer Malware-E-Mails zu sehen (53 Einträge).

Hier ist "herkömmliche" UBE archiviert (4 Einträge).

Finden Sie diese Seite interessant? Setzen Sie einen Link darauf!
Anzeige
1 Vgl. externer LinkWikipedia, die freie Enzyklopädie: Spam.

2 In einer Poisoning-Liste dürfen jedoch nicht einfach irgendwelche ausgedachten Adressen stehen! Auch die "unmöglichsten" Domainnamen können registriert sein oder in Zukunft registriert werden. Deren Besitzer werden durch massenhaftes In-Umlauf-Bringen von Adressen ihrer Domain in massiv beeinträchtigt und könnten ein solches In-Umlauf-Bringen zu Recht als aggressiven Akt ansehen. Zudem können Spammer Adressen mit nicht existierenden Top-Level-Domains sehr einfach aus ihren listen ausschließen. Deshalb: Poisoning nur mit Adressen, die einem selbst gehören oder mit Adressen, die definitiv Spammern gehören!

3 Einige Poisoning-Seiten sind beispielsweise über die externer LinkSpamgift-Seite von Daniel A. Rehbein erreichbar. Links zu anderen Seiten über Spamtraps und zu Spamtraps findet man auch auf der externer LinkSeite von Dieter Bruegmann.

4 Vgl. externer LinkSELFHTML: robots.txt.

5 Vgl. externer LinkSELFHTML: robots.txt.

6 BI = Breidbart-Index. Mit dem BI kann errechnet werden, ob ein mehrfaches Posting im Usenet Spam ist. Vgl. externer LinkWikipedia, die freie Enzyklopädie: Breidbart-Index.

7 Ein catchall-account ist ein E-Mail-Account, der alle eingehenden Mails der top-level-domain annimmt. Beispielsweise würde ein catchall-account der Domain beispiel.invalid alle E-Mails, die auf @beispiel.invalid enden, annahmen

8 Das Setup "Mailserver an wechselnder IP mittels DynDNS" ist generell problematisch und für Mailserver in produktiven Umgebungen nicht empfehlenswert. Bei einer Spamtrap, bei der nur UBE eingeliefert wird, erscheinen mir temporäre Mailverluste, -fehlleitungen oder bouncing jedoch nicht als bedrohlich. Zum Thema Mailserver an dynamischer IP vgl. auch externer LinkHildebrandt, Ralf: Why mail to and from a dynamic DNS Host does not work reliably

9 Unter Spamrun versteht man das Ereignis des massenhafte Versendens von Spam durch den Spammer.

10 Mit Report.Queue ist die Warteschlange der Spam-Mails, die gemeldet werden sollen, gemeint.

11 Es muß jedoch davon abgeraten werden, auf 419-Mails zu antworten (dies gilt im übrigen für jede Art von Spam)! Vgl. externer LinkExtra-Blatt "Nigeria-Connection" des Hoax-Info-Service der TU Berlin.

12 Vgl. externer LinkWikipedia, die freie Enzyklopädie: Social engeneering.

13 Vgl. externer LinkVgl. Wikipedia, die freie Enzyklopädie: Base64.

14 Vgl. externer LinkVgl. Wikipedia, die freie Enzyklopädie: E-Mail.

Über den Autor

Patrick G. Stößer Patrick G. Stößer (Jahrgang 1973) studiert nach seiner Ausbildung zum Offsetdrucker, dem Zivildienst und dem Erwerb der Hochschulreife über den Zweiten Bildungsweg seit 1998 Politologie und Soziologie an der Ruprecht-Karls-Universität Heidelberg.
Anzeige
Impressum
Datenschutzhinweis
Webmaster PGP
Screendesign: Patrick G. Stößer [p:g:s]PGP
URL dieser Seite: http://misc.pgs-info.de/index.htm
valid XHTML! valid CSS!

 

E-Mail-Adressen - für normalen Gebrauch nutzlos!
Email adresses - futile for normal users!