provider Archive

Auch am vorletzten Tag der Spam-Woche hält der zahlenmässige Einbruch der Spammails an, die Zahl sank sogar gegenüber Samstag nochmals, wenn auch nur um zwei Mails.

Die Länder-Rangliste heute:

• China: 31 Mails
• USA: 12 Mails
• Südkorea: 10 Mails
• Polen: 4 Mails
• Länder mit 2 Mails:
  Brasilien, Frankreich, Grossbritannien, Spanien, Singapur, Vietnam
• Länder mit 1 Mail:
  Argentinien, Bulgarien, Hongkong, Israel, Japan, Kanada, Niederlande, Rumänien, Norwegen

Der heutige Lichtblick im „Spam-Krieg“ war sicherlich das Mail des französischen Providers clubinternet, welcher auf ein Abuse-Mail von Donnerstag reagierte und mitteilte, dass der betreffende Abonnent informiert wurde und sein Account gesperrt worden sei. Ein Mail das zudem zumindest danach aussieht, als dass es kein automatisch ausgelöstes Mail ist.

Nachdem ich nun seit sechs Tagen „SpamStats“ sammle, gibt es morgen somit das letzte Update, welches unter anderem auch eine Zusammenfassung der Spamzahlen der der gesamten „Spam-Woche“ beinhalten wird.

 
Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche: Tag 1
• Spam-Woche: Tag 2
• Spam-Woche: Tag 3
• Spam-Woche: Tag 4
• Spam-Woche: Tag 5
• Spam-Woche: Was ist Spam?
• Spam-Woche: Scam

Auch Spammer scheinen sich am Wochenende zu entspannen, denn in den letzten 24 Stunden gingen nur 78 Spammails ein, was der zweitniedrigste Zahl der letzten fünf Tage entspricht. Was sich jedoch seit Tag 2 meiner Spam-Woche nicht geändert hat, sind die Plätze 1 und 2 der Länder-Hitliste, aus welchen die Spammails verschickt werden:

• China: 31 Mails
• USA: 12 Mails
• Südkorea: 10 Mails
• Polen: 4 Mails
• Länder mit jeweils 2 Mails:
  Brasilien, Frankreich, Grossbritannien, Singapur, Spanien, Vietnam
• Länder mit jeweils 1 Mail:
  Argentinien, Bulgarien, Hongkong, Israel, Japan, Kanada, Niederlande, Norwegen, Rumänien

Während ein grosser Teil der Provider nicht einmal eine Eingangsbestätigung der Abuse-Mitteilungen verschickt, liefert die Deutsche Telekom etwas ausführlichere Antwortmails. Auch diese sind natürlich standardisiert, allerdings enthalten diese für jede eingereichte IP-Adresse den entsprechenden Provider. So wurde mir in einem Fall die T-Online International AG und im anderen Fall die 1&1 Internet AG genannt, und die Abuse-Meldung wurde bereits entsprechend weitergeleitet.

Erstaunlich auch das heute eingegange Antwortmail eines brasilianischen Providers, welches offenbar kein Auto-Reply war, sondern von einem richtigen Menschen stammt. Es scheint, seien die Abuse-Meldungen in Brasilien zahlenmässig noch so gering, dass man solche Mails noch „von Hand“ schreiben kann.

 
Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche: Tag 1
• Spam-Woche: Tag 2
• Spam-Woche: Tag 3
• Spam-Woche: Tag 4
• Spam-Woche: Was ist Spam?

Endlich mal ein Tag ohne Steigerung der Mailanzahl, denn so langsam artet das Ganze wirklich in Arbeit aus. Aber auch heute gingen insgesamt 93 Mails ein, die analysiert und weitergeleitet werden mussten.

Zwei etwas seltsame Erlebnisse hatte ich heute nach dem Weiterleiten der entsprechenden Meldungen mit einem Provider aus Trinidad & Tobago sowie mit einem chinesischen Provider.
In Trinidad & Tobago scheint die Sonne und man scheint dort alles ein bisschen lockerer zu nehmen. So, oder zumindest so ähnlich, habe ich die Meldung interpretiert, die mir der Mailserver des Providers zurückschickte:

Your message to [abuse@xxx.xx] was considered unsolicited bulk e-mail (UBE). Delivery of the email was stopped!

Und das wohlgemerkt als Reaktion auf einen meiner Abuse-Reports. Auch eine Möglichkeit, sich unerwünschte Mails vom Hals zu halten.
In China hingegen scheint man mit Spammeldungen geradezu überschwemmt zu werden, dies könnte man zumindest aufgrund der folgenden Meldung vermuten:

ErrMsg=mail box space not enough, account=abuse

Tja, dumm gelaufen, dafür mit einigem Unterhaltungswert 🙂

Die heutige Rangliste des Tages:

• China: 34 Mails
• USA: 21 Mails
• Südkorea: 9 Mails
• Brasilien: 4 Mails
• Polen: 3 Mails
• Deutschland: 3 Mails
• Länder mit jeweils 2 Mail:
  Argentinien, Frankreich, Japan, Kanada, Spanien, Vietnam
• Länder mit jeweils 1 Mail:
  Dänemark, Israel, Niederlande, Norwegen, Taiwan, Trinidad & Tobago, Venezuela

Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche: Tag 1
• Spam-Woche: Tag 2
• Spam-Woche: Tag 3

Mit 105 Spam-Mails ist der heutige dritte Tag der Spam-Woche der bisherigen Rekordtag. Derzeit sieht es fast so aus, als nehme die Anzahl Spam-Mails proportional zu meinen Spam-Tagen zu: Waren es am ersten Tag lediglich 57 Spam-Mails, erhielt ich gestern bereits 82 Werbemails und heute, wie gesagt, ganze 105 unverlangte Werbe-eMails.

Die heutige Hitparade nach Länder (Standort der Provider):

• China: 33 Mails
• USA: 23 Mails
• Südkorea: 11 Mails
• Deutschland: 5 Mails
• Polen: 5 Mails
• Singapur: 5 Mails
• Grossbritannien: 3 Mails
• Spanien: 3 Mails
• Chile: 2 Mails
• Frankreich: 2 Mails
• Italien: 2 Mails
• Türkei: 2 Mails
• Länder mit jeweils 1 Mail:
  Australien, Bulgarien, Hongkong, Indien, Malaysia, Mexiko, Russland, Südafrika, Taiwan

Ein Trend lässt sich nach drei Spam-Tagen bereits feststellen: Die überaus grösste Zahl an Spam wird über Provider in Ostasien (vor allem China) und den USA verschickt. Die Meldung solcher Spam-Mails gestaltet sich aber gerade bei den ostasiatischen Providern nicht immer ganz einfach, denn im Gegensatz zu den meisten europäischen und amerikanischen Providern publizieren die Asiaten meist keine Abuse-Mail-Adressen. Und wenn eine solche Adresse publiziert ist, muss das noch lange nicht heissen, dass diese Postfächer auch tatsächlich existieren, wie ich mehrfach erstaunt feststellen konnte.
Die meisten deutschsprachigen Werbemails wurden übrigens fast ausschliesslich über das Netz der China Telecom verschickt (allerdings weiss ich nicht, ob es in China überhaupt andere Provider gibt).

Erstaunlich finde ich, dass ich in den bisherigen drei Testtagen noch kein einziges Spam-Mail erhalten habe, das via einem Schweizer Provider verschickt wurde. Entweder ist die Spam-Bereitschaft bei uns tatsächlich kleiner, oder aber die Provider haben mit ihrer harten Haltung den Spammern die Laune vermiest.

Und auf gehts in den Tag 4 der Spam-Woche.

Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche: Tag 1
• Spam-Woche: Tag 2

Nachdem gestern lediglich 57 Spammails eingegangen sind, hat sich die Anzahl heute drastisch erhöht, denn innerhalb der letzten 24 Stunden sind insgesamt 82 Werbemails hier aufgeschlagen. Auch die Anzahl der involvierten Länder (Standort des entsprechenden Providers) hat sich auf 23 erhöht.

Die Rangliste des heutigen Tages:

• China: 24 Mails
• USA: 15 Mails
• Brasilien: 6 Mails
• Frankreich: 4 Mails
• Spanien: 4 Mails
• Südkorea: 4 Mails
• Polen: 3 Mails
• Singapur: 3 Mails
• Indien: 2 Mails
• Israel: 2 Mails
• Italien: 2 Mails
• Japan: 2 Mails
• Länder mit jeweils 1 Mail:
  Chile, Deutschland, Dominikanische Republik, Grossbritannien, Hongkong, Kolumbien, Niederlande, Österreich, Panama, Rumänien, Vietnam

Das technische Problem mit Verizon konnte unterdessen gelöst werden und so übermittelte ich heute auch die ersten zwei Abuse-Reports an den amerikanischen Provider.
Erwähnenswert ist ein das bisher einzige(!) Antwortmail, das nicht automatisch verschickt wurde und Rückschlüsse darauf gibt, wie der Provider mit solchen Spammeldungen umgeht:

We’ve already received many complaints about this ip. The customer has been informed, and has been given time to clean up his machine. If no action is taken by the customer we will take further action, usually blocking outbound connections to port 25 from his machine.

Auffallend ist, bei den meisten Providern in Ostasien die Abuse-Adressen gar nicht funktionieren und das Mail somit als „unzustellbar“ zurückkommt. Auf die Spitze treibt dieses Spiel auch der Provider Telefonica aus Spanien, der zwar explizit eine Abuse-Adresse publiziert, diese offenbar aber nicht funktioniert. Kurz nach meiner Meldung an Telefonica erhielt ich sechs(!) Mails mit Unzustellbarkeitsmeldungen (für sechs interne Telefonica-Mitarbeiter) zurück. Somit kann man annehmen, dass Meldungen an die Abuse-Adresse zwar an sechs Personen weitergeleitet werden, jedoch keine mehr dort beschäftigt ist. Super Service!

Auf gehts in den Tag 3…

Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche Tag 1

Praktische Firefox-Erweiterung aus der Schweiz für „Netzwerker“: Die ASNumber Extension zeigt in der Statusleiste die jeweilige AS-Nummer des Netzwerks der besuchten Webseite an:

The AS Number Extension displays the AS Number, and consequently the Internet Service Provider, of every website visited along with some additional interesting information for those interested in how the Internet works below the shiny surface.
All data is updated daily and the prefix to AS number mapping is from a real DFZ BGP feed.

Keine Extension für jedermann, aber äusserst praktisch für mich…

(via CH Internet Szene)

Wie angekündigt, habe ich heute morgen begonnen, auf meinem Mailserver eingehende Spam-Mails jeweils an die Abuse-Abteilung des entsprechenden Providers weiterzuleiten und deren Reaktionen zu verfolgen. Dazu hiess es gestern abend erst mal „Shields down“, also den Spamfilter des Mailservers komplett zu deaktivieren und der Dinge, die da kommen sollten, zu harren.

Bis heute 17:00 Uhr sind 57 Spammails eingegangen, die ich auch alle entsprechend weitergeleitet hatte. Die „Hitparade“ nach (Provider-) Ursprungsland sieht demnach wie folgt aus:

• USA: 18 Mails
• China: 9 Mails
• Polen: 5 Mails
• Frankreich: 4 Mails
• Südkorea: 3 Mails
• Brasilien: 3 Mails
• Kanada: 2 Mails
• Australien: 1 Mail
• Deutschland: 1 Mail
• Grossbritannien: 1 Mail
• Indien: 1 Mail
• Iran: 1 Mail
• Malaysia: 1 Mail
• Niederlande: 1 Mail
• Quatar: 1 Mail
• Russland: 1 Mail
• Slowenien: 1 Mail
• Spanien: 1 Mail
• Thailand: 1 Mail
• Vietnam: 1 Mail

Unter den (missbrauchten) Providern finden sich auch durchaus prominente Namen wie das Shanghai Institute of Foreign Trade (China), die Universität Alberta (Kanada) oder Google (USA), wobei jeder der genannten nur für je ein Spammail verantwortlich ist.

Ein technisches Problem bei der Auswertung entsteht bei Spammails, die via Verizon verschickt wurden. Meine Abuse-Mails an die bei Verizon dafür eingerichtete Mailadresse abuse@verizon.net werden nämlich von deren Mailserver gar nicht angenommen („Email from your Email Service Provider is currently blocked by Verizon Online’s anti-spam system.“). Wieso das aber der Fall ist, ist bislang nicht klar, da ein kurzer Test meinerseits ergeben hat, dass mein Mailserver auf keiner der bekannten RBL-Listen eingetragen ist. Hier habe ich versucht via speziellem Webformular von Verizon die „Freigabe“ meines Mailservers zu erwirken. Schade, dass genau mit Verizon ein Problem besteht, da ganze sieben Spammails vom heutigen Tag von diesem Provider stammen.

Acht Provider reagierten auf mein Mail mit einem Auto-Reply und bestätigten den Eingang der Meldung, währenddem Google als einziger im Antwortmail auf eine spezielle Internet-Seite verwies und mich bat, die Daten dort erneut einzugeben. Die restlichen Provider haben bis zum jetztigen Zeitpunkt überhaupt nicht auf meine Mails reagiert.

Ich bin gespannt, wie diese Zahlen im Vergleich mit morgen Mittwoch aussehen…

Diese Woche werde ich einen Kampf gegen Windmühlen führen: Ab morgen Dienstag werde ich jede auf meinem Server eingehende Spam-eMail mit den notwendigen Daten an die entsprechende Abuse-Abteilung des sendenden Providers weiterleiten.

Mein Interesse besteht vor allem darin, herauszufinden, ob Provider auf die Abuse-Reports eingehen, den Spammer verwarnen oder vom Dienst ausschliessen und auch den „Melder“ entsprechend informieren. Dabei ist natürlich klar, dass ich die Abuse-Reports nur an „richtige“ Provider verschicke, d.h, ich prüfe vorher, ob es sich beim sendenden Mailserver tatsächlich um einen Server eines Providers handelt, oder ob da ein Spammer gleich seine eigene Infrastruktur aufgestellt hat. Ist dies der Fall, geht der Abuse-Report an den entsprechenden Uplink-Provider.

Klar ist, dass die meisten Provider die Reports zwar entgegennehmen und dem „Melder“ eine automatisierte eMail-Antwort zukommen lassen. Doch welche Provider geben dem Melder mehr Feedback zu ihren Aktionen im Kampf gegen Spam? Welcher Provider unternimmt überhaupt etwas, und wenn ja, was? Auf all diese Fragen suche ich im Laufe der nächsten sieben Tage Antworten und Fakten und publiziere täglich die neuen Facts…

Die Probleme von Hostpoint halten weiter an und somit sind wohl erneut Hunderte von Websites nicht oder nur zeitweise erreichbar.
Davon betroffen ist unter anderem auch Marcel Widmers JobBlog, der zwar, wie andere auch, ein „Not-Blog“ eingerichtet hat, aber nun vor dem Problem steht, seinen Lesern das gar nicht mitteilen zu können:

Wenn man sich ans Bloggen gewöhnt hat, dann ist das ein Gefühl, wie wenn man als kleiner Junge unter dem Kirschenbaum steht, aber nicht an die Kirschen ran kommt.

Genau. Und weil auch das Bloggen im Notbetrieb ohne die dazugehörigen Leser nur halb so viel Spass macht, sei an dieser Stelle auf die URL seines „JobBlog im Notbetrieb“ hingewiesen: http://jobblog.wordpress.com

Und wer nun ebenfalls unter dem Hostpoint-Ausfall leidet und sich ein Not-Blog zugelegt hat, darf das gerne in den Kommentaren entsprechend bekanntmachen…

… gab’s soeben für knapp eine Stunde bei meinem Provider. Nachdem ich schon den ganzen heutigen Nachmittag kurze Unterbrüche bemerkt hatte, waren meine Seiten zwischen 20 und ca. 21 Uhr so gut wie nicht mehr erreichbar. Tröstlich immerhin, dass selbst die Homepage des Providers nicht mehr erreichbar war, so dass ich natürlich auch keine Chance hatte, nach einem Trouble-Ticket zu sehen.

Unterdessen scheint der Unterbruch behoben. Hoffentlich bleibt das so…