spam Archive

Da ich nun bereits schon mehrmals gefragt worden bin, was ich im Rahmen der Spam-Woche überhaupt als Spam betrachte, hier eine kleine Übersicht über die Variationen, Wikipedia listet insgesamt acht Arten auf. Allerdings möchte ich nur drei davon kurz vorstellen, da ich während der Spam-Woche auch nur die hier genannten Mails als Spam behandle:

Unsolicited Commercial Email (UCE)
„Normale“ Werbung, beispielsweise für Penisverlängerung, Medikamente, aber auch Topfsets oder Heizstrahler.

Phishing Mails
Mails über welche versucht wird, an persönliche und vertrauliche Daten des Empfängers zu gelangen. Meistens vermitteln die Mails dem ungeübten Betrachter den Eindruck, sie stammten von einem bekannten Unternehmen (bspw. Bank, eBay, Paypal etc.).

Scam
Scam wurde vor allem im Zusammenhang mit Nigeria „weltbekannt“. Die Absender geben meist vor, hohe Positionen innerhalb von Firmen oder staatlichen Organisationen zu besetzen und hohe Geldsummen (schwarz) ins Ausland transferien zu müssen. Dem Empfänger wird für die Mithilfe ein hoher Geldbetrag versprochen. Die Betrüger haben es jedoch nur auf das Geld des Empfängers abgesehen.

Definition von Spam (UCE) gemäss Wikipedia:

Der Inhalt der E-Mail muss werbender Natur sein. Enthält der Inhalt nicht wenigstens entfernt Werbung, handelt es sich nicht um UCE. Insbesondere sind die Massenaussendungen, die Würmer und Trojaner erzeugen, keine unerwünschte Werbe-E-Mail, sondern „nur“ Unsolicited Bulk Email, kurz UBE.

Mit 105 Spam-Mails ist der heutige dritte Tag der Spam-Woche der bisherigen Rekordtag. Derzeit sieht es fast so aus, als nehme die Anzahl Spam-Mails proportional zu meinen Spam-Tagen zu: Waren es am ersten Tag lediglich 57 Spam-Mails, erhielt ich gestern bereits 82 Werbemails und heute, wie gesagt, ganze 105 unverlangte Werbe-eMails.

Die heutige Hitparade nach Länder (Standort der Provider):

• China: 33 Mails
• USA: 23 Mails
• Südkorea: 11 Mails
• Deutschland: 5 Mails
• Polen: 5 Mails
• Singapur: 5 Mails
• Grossbritannien: 3 Mails
• Spanien: 3 Mails
• Chile: 2 Mails
• Frankreich: 2 Mails
• Italien: 2 Mails
• Türkei: 2 Mails
• Länder mit jeweils 1 Mail:
  Australien, Bulgarien, Hongkong, Indien, Malaysia, Mexiko, Russland, Südafrika, Taiwan

Ein Trend lässt sich nach drei Spam-Tagen bereits feststellen: Die überaus grösste Zahl an Spam wird über Provider in Ostasien (vor allem China) und den USA verschickt. Die Meldung solcher Spam-Mails gestaltet sich aber gerade bei den ostasiatischen Providern nicht immer ganz einfach, denn im Gegensatz zu den meisten europäischen und amerikanischen Providern publizieren die Asiaten meist keine Abuse-Mail-Adressen. Und wenn eine solche Adresse publiziert ist, muss das noch lange nicht heissen, dass diese Postfächer auch tatsächlich existieren, wie ich mehrfach erstaunt feststellen konnte.
Die meisten deutschsprachigen Werbemails wurden übrigens fast ausschliesslich über das Netz der China Telecom verschickt (allerdings weiss ich nicht, ob es in China überhaupt andere Provider gibt).

Erstaunlich finde ich, dass ich in den bisherigen drei Testtagen noch kein einziges Spam-Mail erhalten habe, das via einem Schweizer Provider verschickt wurde. Entweder ist die Spam-Bereitschaft bei uns tatsächlich kleiner, oder aber die Provider haben mit ihrer harten Haltung den Spammern die Laune vermiest.

Und auf gehts in den Tag 4 der Spam-Woche.

Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche: Tag 1
• Spam-Woche: Tag 2

Nachdem gestern lediglich 57 Spammails eingegangen sind, hat sich die Anzahl heute drastisch erhöht, denn innerhalb der letzten 24 Stunden sind insgesamt 82 Werbemails hier aufgeschlagen. Auch die Anzahl der involvierten Länder (Standort des entsprechenden Providers) hat sich auf 23 erhöht.

Die Rangliste des heutigen Tages:

• China: 24 Mails
• USA: 15 Mails
• Brasilien: 6 Mails
• Frankreich: 4 Mails
• Spanien: 4 Mails
• Südkorea: 4 Mails
• Polen: 3 Mails
• Singapur: 3 Mails
• Indien: 2 Mails
• Israel: 2 Mails
• Italien: 2 Mails
• Japan: 2 Mails
• Länder mit jeweils 1 Mail:
  Chile, Deutschland, Dominikanische Republik, Grossbritannien, Hongkong, Kolumbien, Niederlande, Österreich, Panama, Rumänien, Vietnam

Das technische Problem mit Verizon konnte unterdessen gelöst werden und so übermittelte ich heute auch die ersten zwei Abuse-Reports an den amerikanischen Provider.
Erwähnenswert ist ein das bisher einzige(!) Antwortmail, das nicht automatisch verschickt wurde und Rückschlüsse darauf gibt, wie der Provider mit solchen Spammeldungen umgeht:

We’ve already received many complaints about this ip. The customer has been informed, and has been given time to clean up his machine. If no action is taken by the customer we will take further action, usually blocking outbound connections to port 25 from his machine.

Auffallend ist, bei den meisten Providern in Ostasien die Abuse-Adressen gar nicht funktionieren und das Mail somit als „unzustellbar“ zurückkommt. Auf die Spitze treibt dieses Spiel auch der Provider Telefonica aus Spanien, der zwar explizit eine Abuse-Adresse publiziert, diese offenbar aber nicht funktioniert. Kurz nach meiner Meldung an Telefonica erhielt ich sechs(!) Mails mit Unzustellbarkeitsmeldungen (für sechs interne Telefonica-Mitarbeiter) zurück. Somit kann man annehmen, dass Meldungen an die Abuse-Adresse zwar an sechs Personen weitergeleitet werden, jedoch keine mehr dort beschäftigt ist. Super Service!

Auf gehts in den Tag 3…

Links zur Kampagne „Spam-Woche“:

• Spam-Woche
• Spam-Woche Tag 1

Wie angekündigt, habe ich heute morgen begonnen, auf meinem Mailserver eingehende Spam-Mails jeweils an die Abuse-Abteilung des entsprechenden Providers weiterzuleiten und deren Reaktionen zu verfolgen. Dazu hiess es gestern abend erst mal „Shields down“, also den Spamfilter des Mailservers komplett zu deaktivieren und der Dinge, die da kommen sollten, zu harren.

Bis heute 17:00 Uhr sind 57 Spammails eingegangen, die ich auch alle entsprechend weitergeleitet hatte. Die „Hitparade“ nach (Provider-) Ursprungsland sieht demnach wie folgt aus:

• USA: 18 Mails
• China: 9 Mails
• Polen: 5 Mails
• Frankreich: 4 Mails
• Südkorea: 3 Mails
• Brasilien: 3 Mails
• Kanada: 2 Mails
• Australien: 1 Mail
• Deutschland: 1 Mail
• Grossbritannien: 1 Mail
• Indien: 1 Mail
• Iran: 1 Mail
• Malaysia: 1 Mail
• Niederlande: 1 Mail
• Quatar: 1 Mail
• Russland: 1 Mail
• Slowenien: 1 Mail
• Spanien: 1 Mail
• Thailand: 1 Mail
• Vietnam: 1 Mail

Unter den (missbrauchten) Providern finden sich auch durchaus prominente Namen wie das Shanghai Institute of Foreign Trade (China), die Universität Alberta (Kanada) oder Google (USA), wobei jeder der genannten nur für je ein Spammail verantwortlich ist.

Ein technisches Problem bei der Auswertung entsteht bei Spammails, die via Verizon verschickt wurden. Meine Abuse-Mails an die bei Verizon dafür eingerichtete Mailadresse abuse@verizon.net werden nämlich von deren Mailserver gar nicht angenommen („Email from your Email Service Provider is currently blocked by Verizon Online’s anti-spam system.“). Wieso das aber der Fall ist, ist bislang nicht klar, da ein kurzer Test meinerseits ergeben hat, dass mein Mailserver auf keiner der bekannten RBL-Listen eingetragen ist. Hier habe ich versucht via speziellem Webformular von Verizon die „Freigabe“ meines Mailservers zu erwirken. Schade, dass genau mit Verizon ein Problem besteht, da ganze sieben Spammails vom heutigen Tag von diesem Provider stammen.

Acht Provider reagierten auf mein Mail mit einem Auto-Reply und bestätigten den Eingang der Meldung, währenddem Google als einziger im Antwortmail auf eine spezielle Internet-Seite verwies und mich bat, die Daten dort erneut einzugeben. Die restlichen Provider haben bis zum jetztigen Zeitpunkt überhaupt nicht auf meine Mails reagiert.

Ich bin gespannt, wie diese Zahlen im Vergleich mit morgen Mittwoch aussehen…

Diese Woche werde ich einen Kampf gegen Windmühlen führen: Ab morgen Dienstag werde ich jede auf meinem Server eingehende Spam-eMail mit den notwendigen Daten an die entsprechende Abuse-Abteilung des sendenden Providers weiterleiten.

Mein Interesse besteht vor allem darin, herauszufinden, ob Provider auf die Abuse-Reports eingehen, den Spammer verwarnen oder vom Dienst ausschliessen und auch den „Melder“ entsprechend informieren. Dabei ist natürlich klar, dass ich die Abuse-Reports nur an „richtige“ Provider verschicke, d.h, ich prüfe vorher, ob es sich beim sendenden Mailserver tatsächlich um einen Server eines Providers handelt, oder ob da ein Spammer gleich seine eigene Infrastruktur aufgestellt hat. Ist dies der Fall, geht der Abuse-Report an den entsprechenden Uplink-Provider.

Klar ist, dass die meisten Provider die Reports zwar entgegennehmen und dem „Melder“ eine automatisierte eMail-Antwort zukommen lassen. Doch welche Provider geben dem Melder mehr Feedback zu ihren Aktionen im Kampf gegen Spam? Welcher Provider unternimmt überhaupt etwas, und wenn ja, was? Auf all diese Fragen suche ich im Laufe der nächsten sieben Tage Antworten und Fakten und publiziere täglich die neuen Facts…

Wie ich gestern bereits geschrieben habe, hat Google die Seiten von bmw.de komplett aus dem Suchindex entfernt. Matt Cutts zeigt in seinem Blog nun auf, wieso das geschehen ist und meldet gleichzeitig, dass ricoh.de aus denselben Gründen wie bei BMW „bald“ aus dem Index entfernt wird.
„Bald“ scheint mir allerdings etwas untertrieben, denn ich stelle gerade fest, dass ricoh.de bereits nicht mehr in Google gelistet wird.

Matt Cutts kündigte es an, dass Google im neuen Jahr vermehrt gegen Suchmaschinenspam vorgehen will:

In 2006, I expect Google to pay a lot more attention to spam in other languages, whether it be German, French, Italian, Spanish, Chinese, or any other language. For example, I have no patience for keyword-stuffed doorway pages that do JavaScript redirects, no matter what the language.

Und er fügte gleich an:

If you work at a large company that has doorway pages, keyword stuffing, or other tricks against our webmaster quality guidelines in a non-English language, consider this a courtesy notice that Google will paying a lot more attention to spam in other languages in 2006. Please check your site for issues now to avoid any potential problems.

Dass automobile.de, welches er in seinem Post explizit nannte, aus dem Index fliegen würde, war somit schnell klar. Knapp 20 Tage nach Matts Posting berichtete Philipp in Google Blogoscoped, dass BMW Doorwaypages einsetzt, worauf Mario Sixtus noch am gleichen Tag orakelte, dass BMW wohl in Kürze ebenfalls aus dem Google-Index fliegt. Und drei Tage später ist es tatsächlich soweit: BMW gibts nicht mehr bei Google.

Gerald wundert sich derweil, dass Google bei BMW nun so schnell reagiert hat:

[…]andererseits hatte BMW schon mit dem Abräumen der zweifelhaften Seiten begonnen und wurde jetzt quasi auf dem Rückzug erschossen. Immerhin ist der Content und die Domain von BMW doch wirklich das, was die User zu finden erwarten wenn sie nach BMW-relevanten Begriffen suchen.

Damit mag Gerald sogar recht haben. Andererseits wäre spätestens dann für Aufruhr gesorgt gewesen, wenn Google erstmal die kleineren Seiten mit Doorway-Seiten aus dem Index genommen hätte. Ich höre es schon: Die Kleinen fängt man, die Grossen lässt man laufen…

Nachdem ich im Kampf gegen den Kommentarspam vor einigen Monaten Spam Karma 2 installiert hatte, konnte ich wieder beruhigt schlafen. Das Plugin arbeitete äusserst zuverlässig, erkannte Spam praktisch immer oder schob den Kommentar bei der geringsten Unsicherheit in die Moderationsschleife (was allerdings sehr selten vorkam). Ende Januar 2006 machte Dr. Dave dann auf eine „neue Generation von Spam-Bots“ aufmerksam und berichtete davon, dass darunter auch die Erkennungsrate seines Plugins Spam Karma 2 leidet.
Bis gestern kannte mich die junge Generation von Spam-Bots offenbar noch nicht, denn ich hatte mit keinem erhöhten Spam-Aufkommen zu kämpfen. Heute jedoch stellte ich mit Erstaunen fest, dass es von 42 Spamkommentaren ganze 38 direkt ins Blog geschafft hatten und nur vier in der Moderationsschleife landeten, was natürlich unbefriedigend ist.

Ich habe mich darum entschlossen, gleich die entsprechenden Gegenmassnahmen zu starten und habe, neben dem Upgrade auf Spam Karma 2.1, nun auch in diesem Blog das Spam Karma 2 Akismet Plugin von Sebbi installiert. Das Akismet Plugin ist quasi ein Plugin fürs Spam Karma 2 Plugin (Haben wir eine Plugin-eritis?) und lässt die Kommentare bei Unsicherheiten auch noch von Akismet überprüfen. Diese Variation habe ich bereits seit einiger Zeit erfolgreich auf Travelbogger im Einsatz und das Hotlinking Blog nutzt standardmässig sowieso Akismet, da es ja direkt auf wordpress.com gehostet ist.

Auf BloggingTom schlagen aber im Vergleich zum Travelblogger und zum Hotlinking Blog einige Kommentare mehr auf und ich bin deshalb gespannt, wie sich das auf die Verlässlichkeit der genannten Plugins auswirkt. Für die Kommentatoren sollte sich (hoffentlich) nicht viel ändern, ich werde zur Sicherheit in den nächsten Tagen aber ein paar Blicke mehr auf die als Spam gelisteten Kommentare werfen. Wär ja schade, wenn die nun neu aufgeschaltete Kombination von Plugins eure Kommentare auf einmal als Spam ansieht…

Spam ist Spam. Oder vielleicht doch nicht? Auf alle Fälle nervt mich Spam ausserordentlich, auch wenn es immer mehr in Mode kommt, „Einmalspam“ zu versenden:

Dies ist ein einmaliger Newsletter., Sie bekommen keine weiteren mehr zugesandt, ausser Sie melden sich unter resign.ch für unseren Newsletter-Service an.

Oder noch dreister von Eidotter mydotter IT Consulting::

Diese Art der Korrespondenz ist absichtlich von uns gewählt worden, um wertvolle Naturressourcen zu schonen. Dieses E-Mail ist ausdrücklich nicht verschickt worden, um Ihre betrieblichen Vorgänge zu stören und dient ausschließlich dazu, Sie auf einfachste Weise unverbindlich zu informieren. Falls Sie sich dadurch trotzdem belästigt fühlen, bitten wir Sie, sich mit einem Klick hier abzumelden. Sie werden dann sofort aus der Datenbank entfernt. Besten Dank für Ihre Kooperation.

Danke, ich verzichte gerne auf Newsletter von Firmen, die mich ungefragt vollmüllen. Und austragen soll ich mich auch noch? Nein danke! Spamfilter sei Dank!

Das Bekämpfen von Kommentarspam ist nicht immer ganz einfach, manchmal wird dabei aber auch über das Ziel hinausgeschossen. So ist es mir gerade passiert, dass ich auf einem anderen Schweizer Blog (der Inhaber wurde von mir informiert) einen Kommentar abgeben wollte, nach dem Absenden des Kommentars aber lande ich auf einer Seite bei dsbl.org, die mir aufzeigt, dass meine (dynamische) IP seit dem 1. März 2004 blacklisted ist. Dass der Kommentar auf dem Blog dann nicht angenommen wurde, versteht sich ja von selbst…

Das Verfahren mit den DNSBL-Listen mag zwar für den Einsatz auf Mailservern Sinn machen, zum Verhindern von Kommentarspam taugt es aber nur sehr bedingt. Es wird wohl viele Hunderte, wenn nicht Tausende von Surfern geben, die mit einer irgendwo als OpenMail-Relay gelisteten IP herumsurfen (müssen). Dass diese dann noch nicht mal mehr kommentieren dürfen, nur weil ein anderer Nutzer dieser IP früher einen offenen Mailserver darauf betrieb, kann aber, wie gesagt, nicht der Sinn der Sache sein…