(Sicherheits-)Probleme bei E-Mail
E-Mail ist neben dem World-Wide-Web noch immer die wichtigste Anwendung im Internet.
Leider gibt es jedoch im Zusammenhang mit E-Mail einige Probleme:
- E-Mail ist heutzutage eines der Hauptverbreitungs-Medien für Viren und Würmer.
- Jede(r), die/der E-Mail schon längere Zeit verwendet, hat wahrscheinlich schon mit Spam und betrügerischen Angeboten sowie evtl. auch mit einem Hoax oder Kettenbrief Bekanntschaft gemacht.
- Bei E-Mail werden Übertragungs-Mechanismen verwendet, die nur einen minimalen Schutz vor unbefugtem abhören bieten.
- Da man E-Mail beliebig einfach fälschen kann, weiß man normalerweise nicht, wer der/die wirkliche Autor(in) einer Nachricht ist.
Lassen Sie sich von der Länge dieses Artikels nicht abschrecken !
Zum schnellen Einstieg finden Eilige im ersten Teil knappe Einführungen in die verschiedenen Probleme und konkrete Hinweise, Vorschläge, Kochrezepte etc., was man dagegen tun kann. Diese Informationen sind weitgehend unabhängig von spezifischen Mail-Programmen.
Der ausführlichere zweite Teil enthält
- Hintergrund-Informationen für Interessierte, die sich mit der Thematik etwas näher beschäftigen wollen.
- Technische Details zu seltener auftretenden Spezialfällen.
- Spezifische Hinweise zu konkreten Mail-Programmen (noch in Vorbereitung).
Dieser Artikel richtet sich primär an E-Mail-Nutzer und nicht an Betreiber von E-Mail-Servern.
Motivation
Der Artikel "Warum ist Security wichtig ?" versucht darzustellen, warum man sich auf jeden Fall im eigenen Interesse mit dem Gebiet der System- und Netz-Sicherheit (Security) vertraut machen sollte. Dabei werden folgende Fragen näher behandelt:
- Was auch Ihnen passieren könnte !
- Warum ist System- und Netz-Sicherheit so wichtig ?
- Warum haben Hacker oft besonders leichtes Spiel ?
- Warum ist die Anzahl der Angriffe so angestiegen ?
- Begriffs-Bildung: Was ist der Unterschied zwischen "Sicherheit" und "Security" ?
- Welche Sicherheits-Dienste bietet das LRZ ?
Wir hoffen, dass das Lesen dieses Artikels Sie motiviert, sich ganz
persönlich mit Security auseinanderzusetzen und z.B. mit Hilfe dieses
Artikels mit den Sicherheits-Aspekten von E-Mail zu beginnen.
Fehlende Vertraulichkeit und/oder Authentizität
Aus verschiedenen Gründen ist das E-Mail-System leider viel unsicherer als die physische "Gelbe Post". Daraus ergeben sich folgende Konsequenzen:
- Will man vertrauliche Informationen per E-Mail
verschicken, bleiben im Prinzip nur folgende Alternativen:
- Man verschlüsselt die Daten vor der Übertragung.
Dies ist die übliche Vorgehensweise, die auch in einem größeren Rahmen noch gut funktioniert. Außerdem hat dies meist den Vorteil, dass beim Empfänger die Daten geschützt sind, nachdem die Daten angekommen sind (nämlich solange der Empfänger die Nachricht nur in der verschlüsselten Form ablegt).
Zur Verschlüsselung von Daten werden im Bereich Forschung & Lehre häufig die Tools "Pretty Good Privacy" (PGP) und "GNU Privacy Guard" (GnuPG) verwendet.
- Man drückt sich bei der Formulierung der Nachricht so
"kryptisch" aus, dass nur der Kommunikations-Partner die Botschaft
versteht.
Beispiel: "Das Gelbe Krokodil mag keinen grünen Spinat."
- Man verschlüsselt die Daten vor der Übertragung.
- Bei allen Klartext-Nachrichten (d.h. unverschlüsselten Nachrichten)
sollten Sie vor dem Abschicken folgendes bedenken:
Im schlimmsten Fall ist eine E-Mail-Nachricht so (un)sicher wie eine Postkarte am schwarzen Brett.
Wie unangenehm ist es mir selbst oder den Empfängern der Nachricht, falls dieser Fall wirklich eintreten sollte ? - Kontrollieren Sie die Empfänger-Adresse(n) vor dem Abschicken der
E-Mail, um folgende Standard-Fehler zu vermeiden:
- Bei einem Tippfehler in der Adresse, bei
einem falschen Alias oder Verteiler etc. landet die E-Mail sehr
wahrscheinlich bei einer fremden Person (meist beim "Postmaster"
der Ziel-Domain).
Da aber E-Mails keinen "verschlossenen Umschlag" besitzen, kann die fremde Person das Lesen des Irr-Läufers oft gar nicht vermeiden (selbst wenn sie dies eigentlich wollte).
- Beim Versenden von E-Mails kann man mit dem
Header "
Reply-To:
" bestimmen, an welche Adresse(n) eine Antwort per Voreinstellung geschickt werden soll. Passt man dann beim Antworten nicht auf, wird die eigene Antwort-Nachricht an eine oder mehrere unerwünschte Personen geschickt.Dieses Problem tritt besonders im Zusammenhang mit E-Mail-Verteilern auf:
Viele Verteiler sind nämlich so konfiguriert, dass Antworten wieder an den kompletten Verteiler geschickt werden sollen. Oft ist aber eine Antwort ausschließlich für den Autor der Nachricht gedacht. . . .
- Bei einem Tippfehler in der Adresse, bei
einem falschen Alias oder Verteiler etc. landet die E-Mail sehr
wahrscheinlich bei einer fremden Person (meist beim "Postmaster"
der Ziel-Domain).
- E-Mail-Nachrichten kann man leider sehr leicht fälschen (siehe auch unten das "Loreley-Beispiel"). Deshalb kann der Empfänger bei einer
einfachen E-Mail nie sicher sein,
- ob die Nachricht auch wirklich vom vermuteten Absender stammt.
- ob die Nachricht nicht unterwegs verändert wurde.
Die Lösung für beide Probleme besteht darin, dass der Absender die Nachricht vor dem Verschicken digital signiert.
Umgekehrt sollte man allen unsignierten Nachrichten mit ungewöhnlichem und/oder unerwartetem Inhalt mehr oder weniger großes Misstrauen entgegenbringen. Z.B. können Viren oder Würmer auch in E-Mails von vertrauenswürdigen Kommunikations-Partnern enthalten sein.
Zum Signieren können Sie ebenfalls PGP oder GnuPG verwenden. Dadurch kann man Nachrichten in einem Arbeitsschritt signieren und verschlüsseln.
Probleme mit Viren, Würmern, Trojanern etc.
Viren
und Würmer
werden heutzutage zu einem großen Teil per E-Mail verbreitet. Im
Augenblick ist davon noch überwiegend die Microsoft-Welt betroffen; durch
die zunehmende Verbreitung von Linux und OpenOffice (bzw. StarOffice)
werden aber auch andere Betriebssysteme, Office-Programme etc. immer
interessanter für Autoren von Viren und Würmern.
Schutz des eigenen Rechners
Zum Glück kann man den eigenen Rechner durch die Beachtung einiger einfacher Regeln weitgehend vor elektronischen Schädlingen schützen, die per E-Mail verbreitet werden bzw. sich eigenständig verbreiten. Zuerst sollten Sie einige technische Vorsorgemaßnahmen treffen, die automatisch greifen, ohne dass Sie später bei der Arbeit explizit etwas tun müssen:
-
Verwenden Sie ein
aktuelles Anti-Viren-Programm
(auch oft als "Viren-Scanner" bezeichnet).
Dabei ist es aber besonders wichtig, dass die entsprechenden "Viren-Signaturen" regelmäßig aktualisiert werden (am besten automatisiert täglich bzw. bei jeder Einwahl ins Internet). Die meisten Viren-Scanner-Produkte bieten dafür einen entsprechenden Mechanismus, mit dem die Viren-Signaturen von der Home-Page des Herstellers geladen werden kann.
Konfigurieren Sie Ihren Viren-Scanner dahingehend, dass er kontinuierlich bei jedem Öffnen einer Datei aktiv wird (d.h. On-Access). Es reicht keinesfalls aus, wenn Sie den Viren-Scanner nur sporadisch starten, damit er Ihre lokale Platte überprüft (d.h. On-Demand).
-
Verwenden Sie nach Möglichkeit immer
die aktuelle Version Ihres E-Mail-Clients und spielen Sie alle
Sicherheits-Updates (auch oft
"Security-Patches" genannt) dazu ein, damit das
Programm keine bekannten Sicherheits-Lücken
enthält.
Denken Sie daran, dass selbst bei ganz neu herausgekommener Software oft schon Security-Patches existieren. Viele nehmen auch bei einem gerade gekauften PC an, dass der Händler zusätzlich zum Betriebssystem auch noch alle aktuellen Patches aufgespielt hat, was aber so gut wie nie der Fall ist.
Diese Regel gilt natürlich auch für alle Programme, die Ihr E-Mail-Client indirekt ausführt; oft ist man sich dieser Tatsache gar nicht bewusst.
Ein E-Mail-Client zeigt z.B. viele Typen von Anhängen nicht selbst an, sondern verwendet dazu spezialisierte Programme, Plugins etc., die natürlich ebenfalls Sicherheits-Lücken enthalten können.
Diese allgemeineren Vorsichtsmaßnahmen gelten in ähnlicher Form auch für andere Bereiche der Rechner-Sicherheit. Zusätzlich sollten Sie noch Ihren E-Mail-Client möglichst restriktiv und damit sicher nach folgender Devise konfigurieren:
- Ein nicht installiertes Programm kann auch nicht missbraucht werden (selbst wenn es eine Sicherheits-Lücke enthält).
- Eine deaktiviert Funktion kann man nicht aus Versehen nutzen.
Beachten Sie deshalb bei der Konfiguration Ihres E-Mail-Clients folgende Regeln (selbst wenn dadurch im einen oder anderen Fall eine bestimmte Aktion etwas unbequemer wird):
- Anhänge ("Attachments") sollten nach Möglichkeit nicht automatisch geöffnet bzw. angezeigt werden.
- Bei Anhängen sollten immer alle Endungen der
Dateinamen angezeigt werden.
Einige Viren verwenden nämlich beim Dateinamen eine doppelte Endung (z.B. "
.htm.exe
"). Bei einer unsicheren Konfiguration unterschlägt nämlich z.B. der Internet-Explorer die Endung ".exe
"; der Benutzer wird dann aber dadurch verleitet, die vermeintlich sichere HTML-Datei zu öffnen und damit das Virus zu aktivieren. - Der E-Mail-Client sollte nur Attachment-Typen öffnen dürfen bzw.
können, die Sie auch wirklich (öfters) legitim
erhalten.
Motto: Ihr E-Mail-Client muss nicht mit Attachment-Typen umgehen können, mit denen Sie normalerweise nicht arbeiten.Wenn Sie z.B. von legitimen Kommunikations-Partnern (Bekannte, Kollegen etc.) keine
.exe
-Dateien erwarten, sollte Ihr E-Mail-Client derartige Dateien auch nicht öffnen.
Dann können Sie Ihren Rechner auch nicht aus Versehen durch "Anklicken" infizieren, wenn Ihnen ein Wurm eine.exe
-Datei schickt. - Heutzutage sind viele Textverarbeitungs-Programme etc. (wie z.B.
Microsoft-Office oder StarOffice) so mächtig, dass die Dokumente Makros
enthalten können.
Deshalb sollte bei der Anzeige von derartigen Dokumenten evtl. enthaltene Makros nicht bzw. nur mit Bestätigung ausgeführt werden dürfen.Dadurch verhindern Sie, dass Sie Makro-Viren bzw. -Würmer, die mit Office-Dokumenten verbreitet werden, aus Versehen auf Ihrem Rechner aktivieren.
Dies reicht jedoch leider nicht aus:
- Selbst täglich aktualisierte Viren-Scanner können einen Virus/Wurm nicht erkennen, der erst wenige Stunden alt ist.
- Sie sollten immer mit der Möglichkeit rechnen, dass der Viren-Scanner nicht wie erwartet arbeitet und
deshalb einen Virus/Wurm passieren lässt wie z.B. aus folgenden
Gründen:
- Man lässt nicht alle Datei-Typen überprüfen, um Zeit zu sparen.
- Auch Viren-Scanner sind nur Programme und können deshalb Fehler enthalten.
- Man hat konfiguriert, dass sich der Viren-Scanner automatisch
und selbständig über die Home-Page des Herstellers
aktualisiert.
Dieser Automatismus funktioniert jedoch nicht bzw. seit einiger Zeit nicht mehr und man merkt es nicht.
- Beim E-Mail-Client bzw. seiner Konfiguration kann es natürlich analoge Probleme wie beim Viren-Scanner geben.
Deshalb lautet die mit großem Abstand wichtigste Regel:
Seien Sie bei Anhängen ("Attachments")
prinzipiell extrem misstrauisch !
Dieses Verhalten bewahrt Sie oft vor einer Infektion mit einem elektronischen Schädling etc. Konkret bedeutet dies für Sie folgendes:
Öffnen Sie Anhänge nur dann, wenn ein aktueller Viren-Scanner aktiv ist und den Anhang automatisch beim Öffnen überprüft und wenn mindestens eine der folgenden Bedingungen erfüllt ist:
- Sie haben die betreffende E-Mail explizit schon erwartet (z.B. weil sie in einer früheren E-Mail oder bei einem Telefonat angekündigt wurde).
- Die E-Mail stammt von einem Bekannten und in einem Begleit-Text wird auf den Anhang Bezug genommen.
Achtung:
Der Begleit-Text sollte zum üblichen Schreib-Stil des Bekannten passen. Ein englischer Begleit-Text ist z.B. extrem verdächtig, wenn der Bekannte sonst immer nur Nachrichten in Deutsch verfasst.- Bei E-Mail-Verteilern "passt" die betreffende Nachricht auch zum jeweiligen Verteiler.
Bedenken Sie nämlich immer folgendes:
- Selbst der vertrauenswürdigste Kommunikationspartner kann sich einen Virus/Wurm eingefangen haben. Dann ist aber die nächste Nachricht von diesem Partner möglicherweise infiziert !
- Würmer fälschen oft die Absender-Adresse und die erhaltene E-Mail kommt dann von einer ganz anderen Stelle (d.h. nicht von Ihrem Bekannten).
- Aktuelle Würmer sind unglücklicherweise inzwischen schon derart "perfekt", dass der Begleit-Texte zum infektiösen Wurm-Attachment sehr offiziell bzw. echt und damit leider auch vertrauenserweckend wirkt.
Der Wurm W32/Bagle-J ist z.B. sehr geschickt programmiert. Er setzt den Begleit-Text aus einzelnen Text-Bausteinen zusammen, die er sogar an die Domain des potentiellen Opfers anpasst:
From: noreply@uni-muenchen.de Subject: Email account utilization warning. To: XXX@YYY.uni-muenchen.de Date: Wed, 03 Mar 2004 14:01:38 +0100 Dear user of Uni-muenchen.de, Your e-mail account will be disabled because of improper using in next three days, if you are still wishing to use it, please, resign your account information. For details see the attached file. For security reasons attached file is password protected. The password is "84245". Cheers, The Uni-muenchen.de team http://www.uni-muenchen.deFalls Sie auch nur den geringsten Zweifel haben:
Öffnen Sie niemals einen Anhang oder verschaffen Sie sich vorher Gewissheit:
- Fragen Sie beim (vermeintlichen) Absender der suspekten E-Mail nach, ob er sie auch wirklich geschickt hat.
Achtung:
Erkundigen Sie sich auch explizit, welche Anhänge mitgeschickt wurden.- Bei den Herstellern von Viren-Scannern und beim "Bundesamt für Sicherheit in der Informationstechnik" (BSI) kann man sich über die vorkommenden elektronischen Schädlinge sehr einfach informieren, da entsprechende Such-Möglichkeiten angeboten werden:
- Sophos: Virenanalysen
- NAI: Virus Information Library
- Symantec Security Response: Search and Latest Virus Threats Page
- BSI / Computer-Viren: Beschreibungen zu Viren
Als Suchbegriff(e) reichen meist markante Wörter aus der angeblich geschickten E-Mail aus (z.B. ein Teil des Subjects, eine Phrase aus dem Begleit-Text oder der Dateiname eines Attachments).
Achtung:
Auch wenn Sie nicht fündig werden, kann die suspekte E-Mail dennoch mit einem Virus/Wurm infiziert sein:
- Der Schädling kann noch so neu sein, dass er noch nirgends verzeichnet ist.
- Der Suchbegriff war nicht ausreichend bzw. zu unspezifisch.
Diese Vorsichtsmaßnahmen (besonders der vorsichtige Umgang mit Anhängen) schützen auch
gegen Trojanische
Pferde (oft auch nur kurz "Trojaner" genannt; weitere
Informationen bei Trojaner-Info), 0190-Dialer
und Spyware,
die man sich ebenfalls über E-Mail-Anhänge "einfangen" kann.
Indirekte Opfer aktueller Würmer
Die meisten der aktuellen Würmer veschicken sich eigenständig per E-Mail. Dabei fälschen sie dann zusätzlich den Absender, um die Herkunft der infizierten E-Mails zu verschleiern.
Dadurch können aber vollkommen unbeteiligte Personen zu indirekten Opfern dieser Würmer werden, wie folgendes Beispiel zeigt:
- "Hugo Arglos" ist Kunde von "Egon Schlampig". Deshalb steht auch
die Adresse "
hugo@arglos.invalid
" im elektronischen Adressbuch von Egon. Außerdem steht in diesem Verzeichnis u.a. auch noch die E-Mail-Adresse "clara@informiert.invalid
" von Egons Freundin. - Egon findet es lästig und eigentlich auch überflüssig, sich
kontinuierlich um die Sicherheit seines PC's zu kümmern.
Dementsprechend aktualisiert Egon seinen Viren-Scanner nur zwei- bis
dreimal pro Jahr; Sicherheits-Updates hat er seit
dem Kauf des Rechners überhaupt noch nicht eingespielt.
Außerdem klickt Egon oft gedankenlos auf ein Attachment, um es anzeigen zu lassen.
Normalerweise wählt sich Egon über den Provider "ISP-Dot-Invalid" ins Internet ein.
- Unter diesen Umständen ist es nicht verwunderlich, dass sich Egon
eines Tages beim Lesen einer E-Mail einen Wurm einfängt, der schon seit
Wochen im Internet kursiert.
Der Wurm durchsucht Egon's PC nach E-Mail-Adressen, an die er sich eigenständig verschickt; Egon merkt natürlich nichts davon. Als Absender verwendet der Wurm eine Adresse, die er jedesmal zufällig aus dem vorgefundenen Vorrat auswählt.
- Eine der verschickten Wurm-E-Mails geht an
"
clara@informiert.invalid
" und trägt den Absender"hugo@arglos.invalid
".Der Provider von Clara ("Mbox-Dot-Invalid") filtert bei seinen Premiums-Kunden die ankommenden E-Mails im Hinblick auf Viren/Würmer und auf Spam. Aus diesem Grunde verschickt das E-Mail-System von "
isp.invalid
" automatisch 2 Benachrichtigungen los:- Clara erhält den Hinweis, dass Hugo ihr eine E-Mail geschickt hat, die aber sehr wahrscheinlich mit einem Virus etc. infiziert ist. In der Benachrichtigung stehen noch die kompletten Header-Zeilen der potentiellen Virus-E-Mail. Sollte Clara an der originalen E-Mail interessiert sein, kann sie sie innerhalb von 14 Tagen aus einem Quarantäne-Bereich abholen.
- Hugo erhält den Hinweis, dass seine E-Mail an Clara sehr wahrscheinlich mit einem Virus etc. infiziert war und deshalb nicht komplett ausgeliefert wurde. Auch in dieser Benachrichtigung stehen die kompletten Header-Zeilen seiner vermeintlichen ursprünglichen Nachricht.
- Hugo ist beim Lesen der Benachrichtigung zunächst erschrocken, da
er eine Frau "Clara Informiert" nicht kennt und sich deshalb sicher
sein kann, die betreffende E-Mail nicht selbst geschrieben zu haben.
Hugo gehen u.a. folgende Fragen durch den Kopf:
- Gibt sich da jemand unter meinem Namen für mich aus ?
- Missbraucht jemand meinen eigenen privaten Rechner und verschickt u.a. von dort aus E-Mails ?
- Ist mein Rechner mit einem dieser elektronischen Schädlinge verseucht, von denen jetzt sogar in der Tagespresse immer wieder berichtet wird ?
- Nach dem ersten Schrecken erinnert sich Hugo daran, dass es am
wichtigsten ist, einen kühlen Kopf zu bewahren. Hugo fragt deshalb vor
den nächsten Schritten seinen Bekannten "Franz Schlau" um Rat, der sich
relativ gut mit Rechner-Sicherheit auskennt.
Franz erklärt die Situation anhand eines kleinen Beispiels, wodurch Hugo sehr beruhigt wird:
- "Hugo Arglos" ist Kunde von "Egon Schlampig". Deshalb steht
auch die Adresse "
hugo@arglos.invalid
" im elektronischen Adressbuch von Egon. Außerdem steht in diesem Verzeichnis u.a. auch noch die E-Mail-Adresse "clara@informiert.invalid
" von Egons Freundin. - Egon findet es lästig und eigentlich auch überflüssig, ...
(s.o.)
:-)
Außerdem gibt Franz den Tipp, bei Viren-Info-Seiten nachzuschauen, wenn man sich ganz sicher sein will. Zum Schluss erzählt Franz noch, dass es zum guten Ton gehört, den Besitzer des infizierten Rechners zu warnen. Für alle weiteren Details verweist Franz auf den Artikel "(Sicherheits-)Probleme bei E-Mail".
:-)
- "Hugo Arglos" ist Kunde von "Egon Schlampig". Deshalb steht
auch die Adresse "
- Hugo kann durch das Wissen aus dem Abschnitt "Wie ermittelt man den Ursprung einer
Spam-Nachricht ?" jetzt die Benachrichtigungs-E-Mail
interpretieren und identifiziert den Rechner
"
dial-127.isp.invalid
" als wahrscheinlichen Ausgangspunkt des Wurms. Mit Hilfe des Abschnitts "Wie ermittelt man Kontakt-Adressen ?" kann Hugo dem Provider von Egon (d.h. "ISP-Dot-Invalid") eine E-Mail schicken:To: abuse@isp.invalid Subject: Rechner "dial-127.isp.invalid" mit Wurm infiziert Sehr geehrte Damen und Herren, der Rechner eines Ihrer Kunden scheint mit einem der aktuellen Viren/Würmer infiziert zu sein. Der betreffende Kunde war am 29.2.2004 um 14:27 Uhr unter "dial-127.isp.invalid" im Internet (nähere Informationen anbei). Bitte warnen Sie Ihren Kunden zu seinem eigenen Schutz und zum Schutz des Internet. MfG, Hugo Arglos [ Als Anhang die Benachrichtigung, die Hugo erhalten hat ]
- Clara hatte schon früher öfters ähnliche Warnungen erhalten und
kennt sich dadurch aus. Deshalb findet sie auch ohne fremde Hilfe und
ohne große Mühe gleich den wahrscheinlichen Ausgangspunkt des Wurms
heraus.
Da Clara
- ihre private E-Mail-Adresse aber nur ganz wenigen Personen gegeben hat
- und da sie die Surf-Gewohnheiten ihres Freundes Egon kennt (der
Rechnername "
dial-127.isp.invalid
" ist ihr sofort aufgefallen),
Da Clara sich mit Computern besser auskennt als Egon, übernimmt sie für Egon die Säuberung des PC's:
- Neu-Installation des Betriebssystems
- Sofort danach Einspielen aller aktuellen Sicherheits-Updates
- Sofort danach Aktualisierung des Viren-Scanners
In diesem Beispiel gibt es neben dem direkten Opfer "Egon Schlampig" (sein PC ist ja infiziert) überraschend viele indirekte Opfer:
- Claras Provider "Mbox-Dot-Invalid":
Die Firma musste wegen der Spam- und Würmer-Explosion das E-Mail-System drastisch aufrüsten, was natürlich erhebliches Geld gekostet hat. Außerdem musste der Provider für die neuen Rechner und die komplexere Software neues Personal einstellen. - Hugo Arglos:
Er bekommt durch die Benachrichtigung einen ziemlichen Schrecken und hat dann auch noch Arbeit durch die Bearbeitung des Vorfalls. - Franz Schlau:
Er hat einmal den entscheidenden Fehler gemacht, sich in seinem Bekannten- und Freundes-Kreis als Computer-Guru zu erkennen zu geben. Dadurch wird jetzt Franz bei einem Computer-Problem oft um Hilfe gebeten. - Egons Provider "ISP-Dot-Invalid":
Die Hotline muss die Warnungs-E-Mail von Hugo bearbeiten. - Clara Informiert:
Sie hat die Arbeit mit Egons PC und muss demnächst für ihren Premiums-Vertrag bei "Mbox-Dot-Invalid" mehr bezahlen. - LRZ:
Wegen vieler Benutzer-Anfragen wurde der Artikel "(Sicherheits-)Probleme bei E-Mail" verfasst.
(Extreme) Belästigung durch Spam
Originale
SPAM-Verpackung der Firma "Hormel";
Bild vom Graphik-Bereich
des
SPAM-Museums dieser Firma gelinkt
Wie kann man Spam vermeiden ?
Am besten wäre es natürlich, wenn man erst gar keine Spam-E-Mails zugeschickt bekommt. Damit aber Spammer nicht an die eigene E-Mail-Adresse gelangen, muss man von Anfang an einige Vorkehrungen treffen:
- Veröffentlichen Sie nicht die eigene Adresse im Web (z.B. auf Ihrer Homepage) oder im Usenet, damit diese nicht von einem automatischen Spammer-Tool gesammelt werden kann.
- Geben Sie die Adresse nur an vertrauenswürdige Personen, Institutionen etc. weiter.
- Beschränken Sie die Verwendung Ihrer Adresse, wann immer die Möglichkeit besteht.
- Wählen Sie Ihre eigene Adresse so, dass der Anteil vor dem "@"
folgende Eigenschaften besitzt:
- Der Anteil sollte mindestens 5 Zeichen lang sein.
- Man darf keine Zeichenfolge wählen, die mit einiger
Wahrscheinlichkeit bei vielen Providern vorkommt.
Damit fallen aber leider gängige Vor- und Nachnamen (bzw. auch Kombinationen davon), Kult-Worte, Spitznamen etc. als Kandidaten für den Anteil vor dem "@" aus.
Sie verhindern dadurch, dass Ihre Adresse von Spammern durch Ausprobieren herausgefunden werden kann.
Der letzte dieser Punkte (d.h. die geeignete Wahl der eigenen Adresse) lässt sich noch am einfachsten realisieren. Bei den anderen Punkten ergeben sich leider Probleme, die man aber weitgehend in den Griff bekommen kann:
- Sehr oft möchte man eine E-Mail-Adresse explizit veröffentlichen
(z.B. im kommerziellen Bereich, oder damit man E-Mails von fremden
Personen erhalten kann).
In diesem Fall reicht es im Augenblick noch aus, die E-Mail-Adressen geeignet zu "verfremden". Die noch nicht besonders intelligenten Spammer-Tools erkennen dann die Adressen nicht:
- Seien Sie bei der Verfremdung nach Möglichkeit "kreativ" (d.h.
denken Sie sich Ihre ganz persönliche Verfremdungs-Methode aus).
Spammer-Tools haben es dann sehr viel schwerer, sich daran anzupassen.
- Für Menschen sollte die Verfremdung offensichtlich sein:
ihr_name(AT)beispiel(DOT)com
ihr_nam?@b?ispi?l.n?t (bitte alle "?" durch ein "e" ersetzen)
ihr_name@beispiel.de.invalid
Achtung: Für diese Art der Verfremdung dürfen Sie ausschließlich die Top-Level-Domain "invalid
" verwenden. Andernfalls könnte es sich um eine gültige Adresse handeln; die betreffende Domain würde dann mit Spam-Nachrichten belästigt werden, die eigentlich für Sie bestimmt waren.
- Falls Sie eine "Lösch-Anweisung" direkt in die Adresse
schreiben, tun Sie dies rechts vom "@", aber
nicht unmittelbar rechts (Sie helfen damit
Ihrem Provider):
ihr_name@beispiel!-REMOVE_THIS-!.de.
- Nicht jedoch:
ihr_name@!-REMOVE_THIS-!.beispiel.de.
- Nicht jedoch:
ihr_name!-REMOVE_THIS-!@beispiel.de.
- Bei Web-Seiten bietet es sich an, für einzelne Zeichen die
erlaubten HTML-Ersatz-Darstellungen zu verwenden:
- "@ = @",
". = ."
etc.
Als Surfer bemerkt man bei diesen Darstellungen nur dann einen Unterschied, wenn man sich die Quelle der Web-Seite ansieht. - In
mailto:
-URL's:
"@ = %40", ". = %2E" etc.
Man merkt keinen Unterschied, wenn man die URL anklickt.
- "@ = @",
". = ."
etc.
Weitere Informationen finden Sie in dem Artikel "Address Munging FAQ: Spam-Blocking Your Email Address" (HTML-Variante und Text-Variante).
Eine Verfremdung von E-Mail-Adressen ist auch später noch wirksam, da zumindest einige Spammer ihre Datenbestände sporadisch aktualisieren.
- Seien Sie bei der Verfremdung nach Möglichkeit "kreativ" (d.h.
denken Sie sich Ihre ganz persönliche Verfremdungs-Methode aus).
- Bei Web-Seiten sollen oft die Leser die Möglichkeit erhalten, ihre
Meinung zu äußern, Kommentare abzugeben, Fragen zu stellen etc. Meist
wird dies einfach mit einer
mailto:
-URL realisiert (wie z.B.<a href="mailto:support@firma.de">
. . .</a>
).Wie beim vorhergehenden Punkt kann man sehr einfach mit einer "Verfremdung" der URL arbeiten.
Garantiert sicher ist es jedoch, wenn man für Rückmeldungen, Fragen etc. ein Eingabe-Formular vorsieht. Dies hat außerdem den zusätzlichen Vorteil, daß man häufiger vorkommende Standard-Fälle schon bei der Gestaltung des Formulars vorsehen kann. Benutzern kann man dadurch die Eingabe erleichtern und zusätzlich wird i.a. die Bearbeitung / Auswertung beim Empfänger der Daten vereinfacht.
- Bei vertrauenswürdigen Personen, Institutionen etc. kann man
zumindest hoffen, dass sie verantwortungsvoll und
zusätzlich sorgfältig mit der eigenen E-Mail-Adresse
umgehen.
Doch wie geht man bei den restlichen Kommunikations-Partnern vor ?
Heutzutage verlangen sehr viele Internet-Dienste die Abgabe der eigenen E-Mail-Adresse (selbst wenn dies aus technischen Gründen gar nicht erforderlich wäre).Falls man jeweils die eigene Adresse überall angibt, landet sie eher früher als später im Datenbestand (mindestens) eines Spammers.
Zum Glück ist man aber nicht gezwungen, immer die "Haupt-Adresse" anzugeben. Kann man die Seriosität eines Dienste-Anbieters, Kommunikations-Partners etc. nicht bzw. nicht ausreichend sicher beurteilen bzw. befürchtet man von vorneherein einen Missbrauch der Adresse, geht man einfach folgendermaßen vor:
- Man beschafft sich für den jeweiligen Verwendungszweck eine
neue E-Mail-Adresse bei einem der vielen
Anbieter von kostenlosen E-Mail-Diensten:
- In folgenden Fällen sollte man die ankommenden E-Mails in
einer Mailbox beim Provider für die neue Adresse lassen:
- Man ist an den Nachrichten für die neue Adresse prinzipiell nicht interessiert (weil z.B. bei einem Anmeldungs-Verfahren eine Adresse obligatorisch verlangt wurde).
- Man ist an den Nachrichten nur zeitweise interessiert (weil z.B. bei einem Anmeldungs-Verfahren am Anfang eine Bestätigungs-E-Mail beantwortet werden muss oder weil über die Adresse ein einmaliger Verkauf abgewickelt wird).
- Man ist nicht darauf angwiesen, die Nachrichten sofort zu lesen, und kann auch den Verlust von einzelnen Nachrichten problemlos verschmerzen (weil es sich z.B. nur um die Kunden-Informationen einer Firma handelt).
Man verhindert dadurch, dass bei einer E-Mail-Flut die Mailbox der Haupt-Adresse überläuft.
- Andernfalls ist es meist bequemer, wenn man für die neue Adresse eine Umleitung ("Forward") auf die eigene Haupt-Adresse konfiguriert.
Alternativ zu einer neuen Adresse kann man natürlich auch einen neuen "Alias" für die Haupt-Adresse einrichten (falls dies beim eigenen Provider möglich ist).
- In folgenden Fällen sollte man die ankommenden E-Mails in
einer Mailbox beim Provider für die neue Adresse lassen:
- Die neue "Spezial-Adresse" gibt man dann im Web-Formular an, verwendet sie bei der Anmeldung zu einem E-Mail-Verteiler etc.
- Wenn man die Spezial-Adresse danach nicht mehr benötigt (z.B. weil sie für den gewünschten Dienst technisch gar nicht erforderlich ist), kann man die Adresse relativ bald wieder löschen.
- Ist aber die Spezial-Adresse längere Zeit erforderlich, kann man sehr viel einfacher Spam-E-Mails behandeln, die über diesen spezifischen Kanal hereinkommen.
- Man beschafft sich für den jeweiligen Verwendungszweck eine
neue E-Mail-Adresse bei einem der vielen
Anbieter von kostenlosen E-Mail-Diensten:
- Wenn Sie zur Nutzung von Internet-Diensten eine E-Mail-Adresse
angeben müssen, versuchen Sie, die Verwendung der Adresse zu
beschränken (selbst wenn dies manchmal schwierig
ist):
- Halten sie in Web-Formularen, Benutzungs-Richtlinien,
allgemeinen Geschäftsbedingungen etc. nach entsprechenden
Möglichkeiten Ausschau:
- Man will Werbe-E-Mails erst gar nicht haben bzw. abbestellen.
- Die E-Mail-Adresse darf nicht weitergegeben werden.
- Die Adresse darf nur für diejenigen Zwecke verwendet werden, für die man sie überhaupt angibt.
- Lesen Sie die Formulierungen sorgfältig durch, damit Sie nicht aus Versehen etwas Falsches tun.
- Kontrollieren Sie Ihre Angaben, damit Ihre eingegebenen Daten vom Anbieter bei einem späteren Verarbeitungs-Schritt nicht "aus Versehen" ignoriert werden.
- Drucken Sie evtl. Geschäftsbedingungen oder Formulare zum Nachweis aus.
- Kontrollieren Sie bei Anbietern, deren Seriosität Sie nicht einschätzen können, von Zeit zu Zeit, ob die bei der Anmeldung einmal gemachten Angaben immer noch stimmen.
Natürlich sind Sie bei diesem Punkt darauf angewiesen, dass der Anbieter Ihre expliziten Wünsche dann auch respektiert (was leider nicht immer der Fall ist).
- Halten sie in Web-Formularen, Benutzungs-Richtlinien,
allgemeinen Geschäftsbedingungen etc. nach entsprechenden
Möglichkeiten Ausschau:
Wie reagiert man auf Spam ?
In den meisten Fällen wird man aber leider Spam nicht komplett vermeiden können. Wie aber reagiert man dann am besten auf Spam-Nachrichten, die man trotz aller Bemühungen erhalten hat ?
-
Am wichtigsten ist es, dass Sie
niemals auf eine Spam-Nachricht eingehen:
- Schicken Sie niemals eine Spam-Nachricht
an Freunde, Bekannte, Kollegen etc. weiter !
Andernfalls werden Sie selbst zu einem Spammer und machen sich möglicherweise sogar strafbar (im Falle von Schneeball-Systemen).
Zumindest machen Sie sich sehr wahrscheinlich bei einigen Empfängern unbeliebt. - Fordern Sie niemals nähere Informationen
zu einem Produkt, einer Reise, einer Geldanlagemöglichkeit etc. an,
wenn dafür in einem Spam geworben wird !
Andernfalls steigt der kommerzielle Wert Ihrer E-Mail-Adresse und Sie müssen deshalb mit zusätzlichem Spam rechnen.
-
Kaufen Sie
niemals ein Produkt, für das in einem Spam
geworben wird !
Besuchen Sie niemals eine Web-Site, für die in einem Spam geworben wird !
Schicken Sie niemals einen Hoax oder Kettenbrief an andere weiter !
Gehen Sie niemals auf ein betrügerisches Angebot der "Nigeria-Connection" ein !
Andernfalls
- gehören Sie zu dem verschwindend geringen Prozentsatz von
Surfern, durch die sich Spam überhaupt erst rentiert.
Auch wenn das Verschicken einer einzelnen E-Mail fast nichts kostet, beläuft sich der Preis für eine komplette Spam-Aktion auf mehrere Hundert bis Tausend Euro.
Falls wirklich niemand auf Spam eingehen würde, wären Spam-Aktionen nicht mehr ökonomisch; bis auf wenige "Welt-Verbesserer" würde dann niemand mehr Spam versenden. - steigt der kommerzielle Wert
Ihrer E-Mail-Adresse dramatisch.
Sie können dann davon ausgehen, dass Sie in der Folgezeit besonders viel Spam erhalten werden.
- gehören Sie zu dem verschwindend geringen Prozentsatz von
Surfern, durch die sich Spam überhaupt erst rentiert.
- Schicken Sie niemals eine Spam-Nachricht
an Freunde, Bekannte, Kollegen etc. weiter !
-
In einigen Spam-E-Mails wird ein
Verfahren angeboten (i.a. eine spezielle Web-Seite oder E-Mail), mit
dem man sich aus dem Verteiler der Firma etc. austragen kann
("Opt-Out-Verfahren"). Man soll dann (angeblich) in Zukunft nicht
mehr mit Werbung etc. belästigt werden.
Ignorieren Sie derartige Angebote konsequent:
- Nur die wenigsten Spammer respektieren derartige Wünsche. Deshalb lohnt sich die Mühe selbst in den seltenen Fällen eines "ethischen" Spammers nicht: Es werden einfach viel zu wenig Spams unterdrückt.
- Durch einen Austrage-Wunsch erfährt der Spammer, dass die Adresse auch wirklich genutzt wird. Dadurch kann der Spammer sie aber viel teurer weiterverkaufen.
- Sie wissen nicht vorher, ob der jeweilige konkrete Spammer Ihren Wunsch respektieren wird.
- Lesen Sie nach Möglichkeit keine HTML-Spam-Nachrichten, wenn diese
von einem Web-Browser angezeigt werden.
In HTML-Nachrichten können nämlich individuelle und für Sie unsichtbare Bilder-URL's integriert sein. Durch das Anzeigen der Nachricht erfährt dann der Spammer,
- dass jemand die von ihm verschickte Spams gelesen hat.
- dass Ihre Adresse auch wirklich genutzt wird (durch die eindeutige Bilder-URL).
- Informieren Sie sich, ob Ihr Provider einen Filter gegen Spam anbietet.
- Kümmern Sie sich evtl. selbst um einen eigenen Spam-Filter:
- Ihr E-Mail-Programm besitzt möglicherweise schon einen eingebauten Spam-Filter und Sie müssen ihn nur noch aktivieren.
- Für Ihr E-Mail-Programm gibt es evtl. ein Zusatz-Modul, mit dem man Spam filtern kann.
- Es gibt Spam-Filter, die man vor ein E-Mail-Programm schalten kann.
- Sie können zur Not Ihr E-Mail-Programm wechseln.
-
Beschweren Sie sich evtl. über einzelne
Spam-Nachrichten.
Mit einer erfolgreichen Beschwerde erreichen Sie, dass es mindestens einen Verbreitungs-Weg für Spam weniger gibt.
Leider ist das Erstellen einer brauchbaren Beschwerde nicht einfach und relativ aufwändig.
- "Rächen" Sie sich niemals an einem
(vermeintlichen) Spammer mit DoS-Angriffen
(Denial-of-Service), Mail-Bombing etc.
Andernfalls
- machen Sie sich sehr wahrscheinlich strafbar.
- belasten Sie nicht nur den (vermeintlichen) Spammer, sondern auch alle Netz-Komponenten auf dem Weg dahin.
- treffen Sie möglicherweise den Falschen, da die meisten Spammer ihre Identität sehr geschickt verbergen.
- treffen Sie möglicherweise auch unbeteiligte Dritte, die z.B. mit dem Spammer denselben Server oder Netz-Anschluss teilen.
Bei Filtern zum Aussortieren von Spam kann man meist zwischen folgenden Alternativen wählen, wie mit den erkannten Spam-Nachrichten weiter verfahren werden soll:
- Die Spam-E-Mails werden sofort beim Eintreffen automatisch gelöscht.
- Als Spam eingestufte Nachrichten werden in eigenes Ablagefach
(Folder) verschoben.
Dort müssen dann die Nachrichten entweder von Zeit zu Zeit explizit gelöscht werden oder unterliegen einer automatischen Gleitlöschung.
Wir raten aus Erfahrung eindeutig zur zweiten Alternative und empfehlen aus folgenden Gründen das Spam-Ablagefach zumindest regelmäßig zu kontrollieren:
- Praktisch kein Filter ist 100% zuverlässig.
Dabei ist es relativ einfach zu verschmerzen, wenn Spam-Nachrichten nicht als solche erkannt werden ("False Negative").
Sehr viel schwerwiegender ist es jedoch, wenn reguläre E-Mails als Spam eingestuft werden ("False Positve").Durch eine Kontrolle des Spam-Ablagefachs hat man zumindest eine Chance, fälschlicherweise als Spam behandelte Nachrichten zu retten.
- Selbst wenn ein Filter zu dem Zeitpunkt, zu dem man ihn
konfiguriert hat, 100% funktioniert hat, muss dies Tage, Wochen oder
Monate später nicht mehr gelten.
Lässt man aber Spam-E-Mails sofort beim Eintreffen löschen, bekommt man es logischerweise erst zu spät mit (falls überhaupt), wenn etwas schief läuft.
Dieser Aspekt trifft besonders für die sogenannten Bayes-Filter zu, die ihre Wirksamkeit verlieren, wenn man sie nicht kontinuierlich pflegt ("trainiert"). Paul Graham hat als erster Bayes-Filter zur Spam-Abwehr verwendet und deren Wirkungsweise in den Artikeln "A Plan for Spam" und "Better Bayesian Filtering" beschrieben. Seit der ersten Veröffentlichung im August 2002 hat sich dieser Filter-Typ wegen seiner Qualität und Einfachheit rasant entwickelt. In der aktuellen Version des Browsers und E-Mail-Clients Mozilla ist z.B. schon ein Bayes-Filter integriert, dessen Konfiguration im Artikel "Zwei Millionen Pfund Sterling -- Unerwünschte Werbe-Mails mit statistischen Methoden aussieben" beschrieben wird.
Hoaxes, betrügerische Angebote, 0190-Dialer etc.
Die folgenden Spam-Varianten sind besonders kritisch, da man sich dabei strafbar (oder zumindest unbeliebt) machen und/oder einen finanziellen Verlust erleiden kann.
Bei den sogenannten "Hoaxes" (englische Bezeichnung für "schlechter Scherz") handelt es sich um Falschmeldungen, in denen meist folgende Punkte vorkommen:
- Es wird vor einem besonders gefährlichen Virus / Wurm / Sicherheitslücke gewarnt.
- Man wird aufgefordert, die Nachricht an möglichst viele Bekannte weiterzuschicken.
Gehen Sie mit Hoaxes folgendermaßen um:
- Am besten ignorieren Sie einen Hoax.
- Schicken einen Hoax niemals an Bekannte
weiter.
Andernfalls werden Sie selbst unwillentlich zum Spammer und machen sich dabei wahrscheinlich nicht sehr beliebt.
- Folgen Sie niemals einer Aufforderung,
bestimmte Dateien zu löschen, Konfigurations-Änderungen vorzunehmen
etc.
Andernfalls löschen Sie mit großer Wahrscheinlichkeit eine wichtige System-Datei bzw. machen Ihren Rechner unbrauchbar.
- Sollten Sie dennoch einmal Zweifel haben, ob eine Warnung möglicherweise doch echt ist, informieren Sie sich beim "Hoax-Info Service" der TU Berlin oder kontaktieren Sie Ihre lokale System-Verwaltung, Hotline etc.
Trotz aller Warnungen fallen immer noch Gutgläubige / "Gierige" auf Betrüger der "Nigeria-Connection" herein:
In einer Spam-E-Mail (teilweise auch Fax oder Brief) erhält das Opfer ein scheinbar verlockendes Angebot:
Auf einem Bankkonto in einer "Bananen-Republik" (vor allem in Afrika und Asien) soll ein meist 8-stelliger Betrag vor der jeweiligen Regierung, Regierungs-Behörde, Staats-Unternehmen etc. in Sicherheit gebracht werden. Das potentielle Opfer soll nun dabei helfen, das Geld ins Ausland zu schaffen, und dafür als Ausgleich 5 - 10 % des Guthabens erhalten.
Wenn Sie auf ein derartiges Angebot eingehen, kann Ihnen folgendes passieren:
- Manchmal verlangen die Betrüger nur Informationen über Sie (voller
Name und Anschrift, Geburtsdatum etc.), über Ihre Bankverbindungen,
Ihre Kreditkarten-Nummer etc.
Mit diesen Informationen können die Betrüger
- sich dann für Sie ausgeben und unter Ihrem Namen Straftaten begehen.
- Geld von Ihrem Konto abheben.
- über Ihre Kreditkarte einkaufen.
Selbst wenn man keinen finanziellen Schaden erleidet, ist dennoch Ärger vorprogrammiert.
- In vielen Fällen muss das Opfer mehrere Hundert oder Tausend Euro
für Bankgebühren, Bestechungsgelder etc.
vorstrecken, um das Guthaben ins Ausland zu
schaffen.
Von diesem Geld sehen Sie dann natürlich keinen Cent wieder, geschweige dass Sie die versprochene Provision erhalten.
- Im schlimmsten Fall nehmen die Betrüger weiteren Kontak mit Ihnen
auf und locken Sie in das Land in Afrika oder Asien. Dort werden Sie
dann entführt und dazu erpresst, Lösegeld für Ihre Freilassung zu
zahlen.
Außerdem sind einige Fälle bekannt geworden, bei denen entführte Opfer der Nigeria-Connection nicht mehr aufgetaucht sind.
Zur Nigeria-Connection gibt es eine eigene Domain mit weiteren Informationen (in Deutsch) und einer Sammlung von mehreren Hundert E-Mails. Ebenfalls interessant ist ein deutscher Artikel bei internetfallen und ein englischer Artikel bei Fraud.org.
Eine weitere häufig vorkommende Betrugs-Methode sind Pyramiden- bzw. Schneeballsysteme. Dabei handelt es sich um "Gewinnspiele", bei denen man einen gewissen Einsatz einbringen muss. Dieser Geldbetrag wird angeblich dadurch kompensiert bzw. sogar in einen Gewinn umgewandelt, dass man seinerseits ausreichend neue zahlende Teilnehmer wirbt. Natürlich gewinnt an diesem "Spiel" ausschließlich der Betrüger, der es in Gang gebracht hat. Allenfalls kommen noch die ersten geworbenen Opfer ohne Verlust weg.
Sollten Sie an einem derartigen Spiel teilnehmen,
- verlieren Sie praktisch immer Ihren Einsatz.
- machen Sie sich durch die Werbung weiterer Opfer sehr wahrscheinlich strafbar.
- werden Sie zumindest selbst zu einem Spammer.
Eine etwas harmlosere Variante der Schneeballsysteme sind Kettenbriefe, die Sie an möglichst viele Bekannte weiterverbreiten sollen. Dafür werden u.a. folgende Begründungen angegeben:
- Ein kleines todkrankes Mädchen hat vor seinem Tode den letzten Wunsch, in das "Guinness Book of World Records" aufgenommen zu werden. Sie müssen dazu nur eine Postkarte an . . . schicken.
- Ihnen wird ein Unglück zustoßen, wenn Sie die E-Mail-Kette unterbrechen und die E-Mail nicht an mindestens einen Bekannten weiterschicken.
Die Schneeballsysteme und diverse andere Betrugs-Varianten (z.B. dubiose Börsen-Tipps oder Angebote für lukrative Neben-Jobs) werden auch manchmal unter der Bezeichnung "Make Money fast" zusammengefasst.
Schließlich können Sie noch sehr viel Geld verlieren, wenn Sie sich einen 0190-Dialern durch eine E-Mail einfangen; Sie surfen dann nämlich plötzlich für bis zu 1,86 Euro pro Minute ! Sie können sich wahrscheinlich leicht vorstellen, dass auf diese Weise sehr schnell immens hohe Telefonrechnungen zusammen kommen können.
Teilweise wurden schon Familien in den Ruin getrieben, weil z.B. der Sohn oder die Tochter beim Surfen unbemerkt einen 0190-Dialer installierte und dadurch eine Rechnung von mehreren Tausend Euro entstand.
Neben den allgemeinen Vorsichtsmaßnahmen gegen Viren
und Würmern sollten Sie die für Dialer spezifischen Tipps des BSI
beherzigen. Viele weitere Informationen zu diesem Thema finden Sie unter
"Dialerschutz.de". Dort gibt es
auch u.a. eine Reihe von spezialisierten Programmen, mit denen Sie sich
vor Dialern schützen können.
Hintergrund: Mythen und Realität bei E-Mail
Viele E-Mail-Nutzer(innen) haben leider (teilweise) falsche Vorstellungen von diesem Kommunikations-Medium:
- "E-Mail ist eigentlich nur eine elektronische Variante der gelben Post: Man schreibt einen Brief, schickt ihn ab und der Brief wird mit großer Sicherheit auch ausgeliefert."
- "Eine E-Mail besteht aus ein paar Kopf-Zeilen (Headern), der eigentlichen Nachricht (Body) und/oder evtl. einem oder mehreren Anhängen (Attachments)"
- "Ich kann mich darauf verlassen, dass bei einer E-Mail der Absender auch wirklich stimmt."
- "Wenn ich eine Nachricht abschicke, wird sie auf direktem Weg und ohne Zwischen-Station zum Empfänger übertragen.
- "Meine E-Mail-Adresse ist nur meinen Kommunikations-Partnern bekannt."
- "E-Mail ist vollkommen sicher. Höchstens ein Geheimdienst könnte die Nachrichten abhören oder verändern."
- "Die Übertragung einer E-Mail dauert nur wenige Sekunden."
In den folgenden Abschnitten sollen deshalb die grundlegenden
Prinzipien vorgestellt werden. Dies hilft auch beim Verständnis der
Probleme im Zusammenhang mit E-Mail.
Zum Vergleich: Gelbe Post
Da das E-Mail-System in wesentlichen Aspekten analog zur physischen "Gelben Post" aufgebaut ist, zuerst ein Beispiel aus der physischen Welt:
Hugo Neureich schreibt folgenden Brief an seinen Steuerberater Heribert Schlupfloch:
Diesen Briefbogen steckt Hugo Neureich in einen Umschlag mit folgender Adresse:München, 21.12.2004
Diplomkaufmann Heribert Schlupfloch
Phantasiestr. 18
88888 MünchenBtr.: Steuerspar-Modell
Lieber Herr Schlupfloch,
als alter Spieler habe ich mich dazu entschlossen, das von Ihnen vorgeschlagene Steuerspar-Modell umzusetzen und deshalb noch vor Jahresende die besprochenen Investitionen zu tätigen. Wickeln Sie dann meine Einkommensteuer-Erklärung für dieses Jahr (d.h. 2004) möglichst zügig ab.
Wollen wir hoffen, dass der zuständige Finanzbeamte nichts vom aktuellen Gerichtsurteil erfährt, bevor es in den Finanzamts-Rundschreiben im März 2005 behandelt wird. Zum Glück hält sich mein Verlust in überschaubaren Granzen, falls der Finanzbeamte doch schon vorher davon Wind bekommt.
Mit freundlichen Grüßen
Hugo NeureichDen Brief bringt Hugo Neureich persönlich zur Post und schickt ihn dort als Einschreiben und Eilsendung ab.Herr Heribert Schlupfloch (persönlich)
Steuer-Kanzlei Schlupfloch & Partner
Phantasiestr. 18
88888 München
Danach wird der Brief von der Post über verschiedene Zwischen-Stationen weiterbefördert und landet schließlich im Firmen-Briefkasten der Steuer-Kanzlei.
Eine Sekretärin entnimmt dort den Brief und legt ihn ungeöffnet auf den Schreibtisch von Heribert Schlupfloch, der ihn dann irgendwann liest.
Auch in der physischen Welt gibt es Fälle, bei denen der vermeintlich vertrauliche Brief noch von jemand anders als Heribert Schlupfloch gelesen wird:
-
Legitime Fälle:
- Bevollmächtigte Person oder ein Erbe
- Nachforschungs-Stelle der Post, wenn die Adresse auf dem Umschlag unleserlich geworden ist
- Strafverfolgungs-Beamte, wenn sie eine entsprechende richterliche Anordnung haben
-
Eindeutig Rechts-widrige Fälle:
- Ein Post-Beamter öffnet Briefe auf der Suche nach Wert-Sachen.
- Eine Post-Sendung wird gestohlen.
- Ein Erpresser jobbt bei einer Putz-Kolonne, um belastende Informationen einfach sammeln zu können.
-
Eigentlich unerlaubt, aber in der Praxis unvermeidlich:
- Die Sekretärin übersieht auf dem Umschlag den Hinweis "(persönlich)", öffnet deshalb den Brief und liest die ersten Zeilen.
- Der Brief wird aus Versehen in den falschen Briefkasten eingeworfen; der unberechtigte Empfänger merkt dies nicht und öffnet deshalb den Brief.
- Zufälligerweise hatte Hugo Neureich einen 2. Brief an das
Finanzamt geschrieben und leider die beiden Briefe in jeweils den
falschen Umschlag gesteckt. Der Finanzbeamte liest deshalb nicht
nur die ersten Zeilen des Briefes an den Steuerberater
:-))
bzw. umgekehrt.
Die Authentizität des Briefes erkennt Heribert Schlupfloch durch folgende Eigenschaften:
- Am Ende des Briefes steht auf dem Briefbogen die Unterschrift von Hugo Neureich.
- Heribert Schlupfloch kennt die Unterschrift von Hugo Neureich.
- Durch Druckstellen, verwischte Farbe etc. kann man erkennen, dass es sich beim Brief um ein Original und keine (Farb-)Kopie handelt.
Aufbau des E-Mail-Systems
Der analoge Ablauf bei einer E-Mail soll am folgenden Beispiel verdeutlicht werden:
Heribert Schlupfloch möchte Hugo Neureich möglichst schnell verständigen, dass alles in Ordnung geht, und schickt deshalb eine E-Mail. Er ruft dazu sein E-Mail-Programm auf (auch oft als "Mail User Agent" = MUA oder E-Mail-Client bezeichnet) und verfasst folgenden Text:
Nachdem Heribert Schlupfloch den Abschluss der E-Mail bestätigt hat, kontaktiert sein E-Mail-Programm ein laufendes Server-Programm ("Mail Transfer Agent" = MTA) bei seinem eigenen Provider.To: hugo.neureich@provider.de Subject: Steuerspar-Modell geht OK Lieber Herr Neureich, habe Ihren Brief erhalten. Erwarte von Ihnen noch die erforderlichen Belege zur besprochenen Investition und werde dann sofort Ihre Einkommensteuer-Erklärung abschließen. Aus meiner Sicht können Sie beruhigt sein. Ich halte es für sehr unwahrscheinlich, dass jemand beim Finanzamt vor Ende Februar etwas vom Gerichtsurteil mitbekommt. Und dann ist ja Ihre Einkommensteuer-Erklärung schon längst bearbeitet. MfG, Heribert Schlupfloch
Über verschiedene Zwischen-Stationen (ebenfalls MTA's) gelangt die E-Mail schließlich zum Empfänger-MTA von "provider.de
", der sie in der System-Mailbox (elektronisches Postfach bzw. elektronischer Hausbriefkasten) von Hugo Neureich ablegt.
Wenn danach Hugo Neureich mit seinem eigenen E-Mail-Programm seine Mailbox kontrolliert, wird er die Antwort von Heribert Schlupfloch vorfinden.
Die System-Mailboxen auf einem Rechner bilden zusammen den sogenannten "Message-Store" (MS). Alle Server-Programme weltweit und alle Message-Stores fasst man unter dem Begriff "Message-Transfer-System" (MTS) zusammen.
Aus folgenden Gründen ist das Standard-E-Mail-System leider sehr unsicher:
- Die Nachrichten werden bei der Übertragung zwischen
Server-Programmen (MTA's) nicht verschlüsselt.
Ein Hacker kann also etwas mit den Daten anfangen, wenn er eine Leitung abhören kann.
- Die Nachrichten werden an folgenden Stellen in
unverschlüsselten einfachen Text-Dateien abgelegt:
- Temporär bei allen Server-Programmen, die an der Übertragungung einer Nachrichte vom Ausgangspunkt zum Zielsystem beteiligt sind.
- Dauerhaft im Message-Store beim Zielsystem.
Gelingt es einem Hacker, bei einem dieser Rechner einzubrechen, kann er einfach die gespeicherten Nachrichten lesen.
- Die meisten Benutzer verwenden aus folgenden Gründen beim Zugriff
auf ihre Mailboxen leider immer noch Mechanismen, bei denen die
Nachrichten während der Übertragung nicht
verschlüsselt werden:
- Der Benutzer weiß nicht, dass es sicherere Methoden gibt.
- Dem Benutzer fehlt das Know-How, zu einer sichereren Methode zu wechseln.
- Das E-Mail-Programm des Benutzers unterstützt noch keine der sichereren Methoden und der Benutzer möchte sein Programm nicht wechseln.
- Der Benutzer sieht für den Wechsel keinen Bedarf oder ist zu bequem dazu.
- Der Provider des Benutzers bietet noch keine der sichereren Methoden an und der Benutzer möchte seinen Provider nicht wechseln.
- Es wird kein Mechanismus verwendet, mit dem man erkennen könnte, ob
eine Nachricht während der Übertragung oder während der Speicherung in
einer Datei verändert wurde.
Dadurch kann man der Authentizität einer normalen E-Mail kaum vertrauen. Dies bezieht sich sowohl auf den Inhalt als auch auf die Urheberschaft.
- Bei vielen Server-Programmen muss man sich nicht ausweisen, wenn
man dort eine Nachricht zur Weiterbeförderung abgibt.
Dies erleichtert natürlich extrem die Arbeit von Spammern. Außerdem wird dadurch das Fälschen von Nachrichten zum Kinderspiel.
Will man diese Schwachstellen beseitigen, muss man sich heutzutage leider meist immer noch selbst um Verschlüsselung und/oder digitale Unterschriften kümmern.
Dadurch ergeben sich folgende typische Fälle, bei denen die E-Mail des vorhergehenden Beispiels nicht nur von Hugo Neureich gelesen wird:
-
Legitime Fälle:
- Bevollmächtigte Person (z.B. eine Urlaubs-Vertretung) oder ein Erbe
- Strafverfolgungs-Beamte, wenn sie eine entsprechende richterliche Anordnung haben
-
Eindeutig Rechts-widrige Fälle:
- Der Verwalter eines Server-Rechners oder ein E-Mail-Administrator liest ohne technischen Grund Nachrichten.
- Ein Hacker hört Daten-Leitungen ab oder ist in einen Server-Rechner eingebrochen.
- Durch System-, Administrations- oder Benutzerfehler haben auch andere Benutzer Zugriff auf eine oder mehrere fremde System-Mailboxen.
-
Eigentlich unerlaubt (oder zumindest problematisch), aber in der
Praxis unvermeidlich:
- Die Frau von Hugo Neureich schaut ihm über die Schulter, während er gerade die Nachricht liest.
- Es gibt technische Probleme und ein E-Mail-Administrator schaut in Dateien, um die Fehler-Ursache zu finden und/oder hängen gebliebene Nachrichten doch noch weiterbefördern zu können.
-
Heribert Schlupfloch macht bei
der Eingabe der Empfänger-Adresse einen Fehler:
- Tippfehler
- Weglassen von "
hugo.
" in "hugo.neureich@provider.de
" (in der falschen Annahme, dass "hugo.
" überflüssig ist) - Verwenden eines falschen Alias
Da man bei einer E-Mail im Gegensatz zur Post auch mehrere Ziel-Adressen angeben kann, kann die Nachricht trotz Fehler bei Hugo Neureich ankommen. Anstelle von oder zusätzlich zu Hugo Neureich erhalten aber folgende Personen die E-Mail:
- Durch den Tippfehler entsteht zufälligerweise eine existierende Adresse und die Antwort-Nachricht landet deshalb in einer falschen System-Mailbox; der eigentlich unberechtigte Empfänger merkt dies nicht und liest deshalb die E-Mail.
- Durch den Tippfehler im Anteil vor dem "@" entsteht keine
existierende Adresse. Deswegen erhält Heribert Schlupfloch eine
Fehler-Nachricht, dass die angegebene Adresse nicht existiert.
Zusätzlich erhält aber auch der Postmaster von "
provider.de
" eine Fehlermeldung, in der die ursprüngliche Nachricht enthalten ist.Dieses Verhalten ist durchaus sinnvoll: Der Postmaster muss erfahren, wenn es Probleme mit dem E-Mail-System gibt. Zur Diagnose des Problems benötigt der Postmaster aber die "problematische" Nachricht.
Leider kann das System nicht erkennen, ob es sich bei einem Problem um einen Benutzer- oder einen System-Fehler handelt. Deshalb muss das System immer den Postmaster benachrichtigen.
- Bei "
neureich@provider.de
" handelt es sich um die Adresse seines Bruders Erwin Neureich, der mit Hugo Neureich verfeindet ist. - Der falsche Alias von Heribert Schlupfloch enthält nicht nur wie beabsichtigt die Adresse von Hugo Neureich und einer privaten Ablage sondern zusätzlich noch die Adresse der Frau von Hugo Neureich.
Aufbau einer Nachricht
Jede E-Mail-Nachricht besteht aus folgenden Komponenten:
-
Body ("Rumpf"):
Viele Benutzer meinen eigentlich den Body, wenn sie von einer E-Mail sprechen. Es handelt sich dabei um die eigentlichen Daten, die man übertragen will.
Zu Beginn des Internets konnte man mit Hilfe des E-Mail-Systems nur einfache ASCII-Texte übertragen. Mit der zunehmenden Verbreitung des Mediums "E-Mail" wurde aber der Wunsch immer größer, auch beliebige Dateien verschicken zu können (z.B. Office-Dokumente oder Bilder). Deshalb einigte man sich auf eine geeignete Codierung (MIME), durch die man u.a. jede (Binär-)Datei als "Anhang" ("Attachment") bei einer Nachricht mitschicken kann.
-
Header(-Zeilen) ("Briefkopf"):
Neben dem eigentlichen Inhalt (dem Body) enthält jede E-Mail auch einen "Briefkopf", der aus einer Folge von Header(-Zeilen) besteht. Diese Zeilen werden zum Teil vom E-Mail-Programm des Absenders und zum Teil von den an der Beförderung beteiligten Server-Programmen erzeugt.
Die E-Mail-Programme zeigen in der Voreinstellung nur die wichtigsten Header an (wie z.B. "
From:
. . .", "Subject:
. . .", "To:
. . .", "Cc:
. . ." oder "Bcc:
. . ."). Bei praktisch allen E-Mail-Programmen kann man aber einstellen, dass alle vorhandenen Header angezeigt werden.Für die Rückverfolgung einer Nachricht sind besonders die
Received:
-Header wichtig. -
Envelope ("Briefumschlag"):
Wie bei einem physischen Brief besitzt auch eine E-Mail-Nachricht einen Umschlag. Dies ist jedoch nur wenigen Benutzern bekannt, da der Envelope nur während der Übertragung der Nachricht zwischen den Server-Programmen existiert. Der letzte MTA entfernt den Envelope, bevor er die Nachricht in der System-Mailbox des Empfängers ablegt. Der Empfänger kann deshalb auch den Envelope prinzipiell nicht sehen.
Die Empfänger einer Nachricht werden wie bei der Post durch Informationen im Umschlag bestimmt und nicht durch Angaben im Header. Dies ist auch der Grund dafür, dass man eine individuelle E-Mail erhalten kann, ohne dass die eigene Adresse im
To:
- oderCc:
-Header vorkommt (z.B. bei allen Nachrichten, die man vom Sender über ein "Bcc:
" erhalten hat).
Beispiel für eine gefälschte Nachricht
Wie leicht man E-Mails fälschen kann, zeigt eine Nachricht, die bei diversen LRZ-Kursen zur Demo an die Teilnehmer(innen) geschickt wird:
From Loreley@lrz-muenchen.de Tue Jul 15 15:42:22 2003 Return-Path: <Loreley@lrz-muenchen.de> Received: from mailrelay1.lrz-muenchen.de (mailrelay1.lrz-muenchen.de [129.187.254.106]) by mailin.lrz-muenchen.de (8.12.5/8.12.3/SuSE Linux 0.6) with ESMTP id h6FHL8nK024555 for <dummy@mail.lrz-muenchen.de>; Tue, 15 Jul 2003 15:42:22 +0200 Received: from mailrelay2.lrz-muenchen.de by mailrelay1.lrz-muenchen.de with ESMTP for dummy-2@mail1.lrz-muenchen.de; Tue, 15 Jul 2003 15:42:12 +0200 Received: from [129.187.11.231] by mailout.lrz-muenchen.de for dummy-1@lrz.de; Tue, 15 Jul 2003 15:42:06 +0200 Received: by Rhein-Felsen.RPF-Netz.de (V Rhein-Toechter/1.7) id Sirene073; Tue, 31 Feb 1505 15:40:32 +0100 Date: Irgendwann in fernen Zeiten { 31 Feb 1505 15:40:32 +0100 } From: Die Einsame <Loreley@Rhein-Felsen.Goarshausen.RPF.Germany.Europe.Terra.Sol.Milky-Way.Alpha-Quadrant.Space> Message-Id: <160511221540.Sirene073@Rhein-Felsen.RPF-Netz.de> To: <Verwandte_Seele@lrz-muenchen.de> Subject: WICHTIG: Dringende Information Liebe(r) Kursteilnehmer(in), Ich weiss nicht, was soll es bedeuten, dass ich so froehlich bin ... Ein Fake aus brandneuen Zeiten geht mir nicht mehr aus dem Sinn :-) Hier koennte jetzt z.B. eine Beleidigung stehen, die mit Ihrem Namen unterschrieben wurde. Anmerkung: Das faelschen dieser Email dauert hoechstens 3 Minuten und erfordert _KEINE_ Administrator-Privilegien !!! Beste Gruesse vom schoenen blauen Rhein, Ihre Loreley PS.: * Dies ist ein (hoffentlich abschreckendes) Beispiel dafuer, wie einfach man ungeschuetzte/unsignierte Emails faelschen kann. * Sehen Sie sich die Header genau an, damit Sie ein Gefuehl dafuer bekommen _WELCHE_ Informationen man problemlos beliebig verfaelschen kann. * Diese Email entstand auf Basis der Annahme, dass der simulierte Hacker _NUR_ Ihre Kurs-Kennung aber _NICHT_ Ihr Passwort kennt.
Hintergrund-Informationen zu Spam
Einige Zitate, die bei "Die Europäische Koalition gegen unerbetene Kommerzielle E-Mails" zu finden sind (englische Originale hier):
"Spamming ist die Geißel der E-Mail und der Newsgroups im Internet. Es kann den Betrieb öffentlicher Einrichtungen ernsthaft beeinträchtigen, ganz zu schweigen von den Auswirkungen, die es auf das E-Mail-System jedes Einzelnen haben könnte. ...
Spammer bedienen sich letztlich der Ressourcen von Benutzern und Providern, ohne dazu die Erlaubnis zu haben oder eine Gegenleistung zu erbringen."- Vint Cerf, Senior Vice President von MCI
und bekannt als "Vater des Internets""Beim 'Krieg gegen Spam' geht es darum, das E-Mail-System für unerwünschte Werbung unbrauchbar zu machen, bevor unerwünschte Werbung das E-Mail-System für normale Kommunikation unbrauchbar macht."
- Walter Dnes & Jeff Wynn
in news.admin.net-abuse.email"Das Internet beruht auf der kooperativen Nutzung privater Ressourcen. Eine E-Mail zu verschicken ist kein Recht, sondern ein Privileg."
- John F. Hall
in news.admin.net-abuse.email
Was ist "Spam" ?
Im weitesten Sinne versteht man unter "Spam"
(Achtung: Nur der 1. Buchstabe wird groß geschrieben) alle
unaufgefordert zugeschickten Nachrichten, für die es
keinen legitimen Grund gibt.
Im engeren Sinne meint man mit "Spam" folgende Nachrichten:
-
Unerbetene Werbe-E-Mails.
Im Englisch-sprachigen Raum wird dafür der Begriff "Unsolicited Commercial E-Mail" (UCE) verwendet.
-
Unerbetene (Massen-)Wurfsendungen.
Dafür lautet der internationale Begriff "Unsolicited Bulk E-Mail" (UBE).
Neben "Spam" verwendet man auch öfters den Begriff "Junk E-Mail" ("Müllpost"; "Junk" ist das englische Wort für "Abfall" bzw. "Müll"). Unter "Spamming" versteht man das Versenden von Spam-Nachrichten. Als "Spammer" bezeichnet man alle Personen, die Spamming betreiben (meist um Geld zu verdienen).
Durch die dramatische Zunahme von Spam-E-Mails ist Spam inzwischen zu einer extremen Belästigung geworden, die darüberhinaus auch große Schäden verursacht:
- Spam verbraucht Übertragungs-Zeit/-Bandbreite, Plattenplatz etc.
- Die Empfänger benötigen Zeit, um Spam zu löschen bzw. sich dagegen zu wehren.
- Die Betreiber von E-Mail-Systemen benötigen Hardware, Software und Personal, um die Spam-Flut einigermaßen einzudämmen.
- Es besteht die Gefahr, dass man zusammen mit Spam auch wichtige
Nachrichten löscht:
- Man löscht eine Nachricht aus Versehen, weil man sie zwischen den vielen Spam-Nachrichten übersieht.
- Man besitzt einen Spam-Filter und vertraut diesem ohne Kontrolle. Aber leider kommt es manchmal vor, dass der Filter eine "echte" Nachricht als Spam einstuft.
Woher kommt der Begriff "Spam" ?
Das Wort "SPAM" (Achtung: Nur Großbuchstaben) wurde von der amerikanischen Firma "Hormel Foods" erfunden. Es handelt sich dabei um einen Produkt-Namen für Dosenfleisch: "Hormel Spiced Ham" (Hormel's gewürzter Schinken) bzw. "Spiced Pork and Ham" (gewürztes Schweinefleisch und Schinken).
Durch das besondere Konservierungs-Verfahren der Firma Hormel wurde Fleisch zum ersten mal lange haltbar, ohne es kühlen oder derart behandeln zu müssen, dass man das Fleich nicht sofort essen kann (z.B. weil es hart getrocknet oder total eingesalzen ist). Das Produkt fand zuerst jedoch keine große Verbreitung, da es zwar billig aber nicht besonders wohlschmeckend war (wegen der geringen Qualität der Ausgangsprodukte und durch das Konservierungs-Verfahren). Dies änderte sich jedoch im zweiten Weltkrieg, als Spam in großem Stil bei den Feldrationen der amerikanischen Soldaten verwendet wurde. Seit dieser Zeit gilt SPAM in Amerika auch als Synonym für Minderwertiges bzw. Ekliges.
Die ausführliche Geschichte
des Produkts "SPAM" findet man bei der "Amazing SPAM
Homepage". Hormel Foods betreibt ein
SPAM-Museum, bei dem man auch neben anderen
Graphiken ein Bild der originalen SPAM-Konserve herunterladen darf
(72 dpi, 27 KB JPG fürs
Web und 300 cmyk, 347 KB zum
Drucken).
Natürlich existiert auch eine offizielle SPAM-Home-Page.
Es existieren mehrere Geschichten, wie der Dosen-Schinken "SPAM" mit unerbetenen Nachrichten in Verbindung gebracht wurde. Bei der vorherrschenden Theorie entstand die Verknüpfung durch einen Sketch der legendären Komiker-Gruppe "Monty Python":
Eine Gruppe von Wikingern mit Hörner-Helmen sitzt in einem Restaurant und singt dauernd einen Refrain über SPAM. Dabei werden die Wikingern kontinuierlich lauter und übertönen schließlich jede andere Konversation.
Dabei kommt das Wort "SPAM" innerhalb weniger Minuten 120-mal vor !
Durch diese Verwendung des Begriffs "SPAM" liegt die Analogie zu
Massen-E-Mails nahe.
Wie kommen Spammer an die eigene E-Mail-Adresse ?
Spammer benötigen für ihre Arbeit natürlich umfangreiche Sammlungen von E-Mail-Adressen. Dabei kann die eigene E-Mail-Adresse auf verschiedene Arten in eine oder mehrere dieser Sammlungen geraten:
-
Man hat seine Adresse in einem
öffentlich zugänglichen Web- oder News-Artikel angegeben.
Viele Spammer besitzen inzwischen Tools, mit denen sie automatisch das Web und das Usenet nach Adressen durchsuchen.
-
Man hat die eigene Adresse in
einem Web-Formular eingegeben, sich bei einem E-Mail-Verteiler
angemeldet etc. Es gibt dann u.a. folgende Möglichkeiten, wie die
Adresse bei einem Spammer landet:
- Kommerzielle Firmen verkaufen leider manchmal die Adressen ihrer Kunden an Spammer oder tauschen sie mit anderen Unternehmen aus.
- Ein Spammer betreibt selbst einen kostenlosen Dienst (z.B. ein Online-Spiel), um an Adressen zu gelangen.
- Ein Spammer trägt sich selbst in einen E-Mail-Verteiler ein und kann dann alle Adressen dieses Verteilers abrufen.
-
Bei der eigenen Adresse
- gehört der Anteil nach dem "@" zu einem größeren Provider und
- man hat für den Anteil vor dem "@" unglücklicherweise einen gängigen Namen gewählt bzw. dieser Teil ist sehr kurz.
Spammer probieren bei größeren Providern immer öfter Adressen einfach auf gut Glück aus:
- Sie verwenden dazu für den Anteil vor dem "@" eine Liste mit gängigen Namen und Vornamen ("mueller", "huber", "smith", "john', "jack" etc.) oder
- probieren alle prinzipiell möglichen 2- bis 4-stelligen Buchstaben-Kombinationen.
- Ein Spammer hat die eigene Adresse irgendwo gekauft.
Handel mit E-Mail-Adressen
Schon seit längerem wird ein schwunghafter Handel mit E-Mail-Adressen getrieben:
- Spammer verschaffen sich ein Zusatz-Einkommen, indem sie ihre Datenbestände an andere Spammer verkaufen.
- Firmen, Anbieter von Online-Diensten etc. machen ihre Kunden-Daten zu Geld.
Beim Verkauf von Adressen hängt der Wert der einzelnen Adresse (die Spanne reicht von Bruchteilen eines Cents bis zu mehreren Euro) extrem davon ab, welche Zusatz-Informationen zur betreffenden Adresse bekannt sind:
- Praktisch wertlos sind Adressen, von denen nicht einmal bekannt ist, ob sie auch wirklich existieren.
- Adressen, bei denen nur bekannt ist, dass sie auch existieren, kosten nur Bruchteile eines Cents.
- Adressen, die nicht nur existieren, sondern die auch wirklich
genutzt werden, sind schon einige Cents wert.
Spammer erfahren dies z.B. auf folgende Arten:
- In einer Spam-E-Mail wurde eine Möglichkeit angeboten, wie man das Zusenden von Spam in Zukunft unterbinden kann, und der Empfänger hat darauf reagiert.
- Die Adresse wurde erst vor kurzem in einem Web- oder News-Artikel genutzt.
- Bei einer genutzten Adresse sind Interessensgebiete ihres Besitzers
bekannt.
Dadurch kann man dann die Spams individuell anpassen.
- Der Besitzer einer Adresse ist schon einmal auf einen Spam eingegangen; er hat also z.B. ein angebotenes Produkt bestellt oder sich an einem Kettenbrief beteilig.
- Der Besitzer einer Adresse ist schon einmal auf einen Spam
eingegangen und man kennt dessen Interessen.
Eine derartige einzelne Adresse ist dann bis zu 20 Euro und manchmal sogar noch mehr wert !
Verwendung der E-Mail-Adresse beschränken: Fallen
Heutzutage verlangen sehr viele Internet-Dienste obligatorisch die
Abgabe der eigenen E-Mail-Adresse (z.B. wenn man sich per Web-Formular
bei einem Online-Dienst anmelden will).
In vielen Fällen hat man dabei jedoch die Möglichkeit, die Verwendung der
Adresse zu beschränken (z.B. keine Weitergabe an andere Firmen oder kein
Zusenden von Werbe-E-Mails).
Leider "tricksen" dabei einige Firmen, Betreiber von Online-Diensten etc.:
- Die Stelle, bei der man die Verwendung der Adresse beschränken
kann, ist sehr "versteckt".
Manchmal werden z.B. entsprechende Buttons nur dann angezeigt, wenn man den allgemeinen Geschäftsbedingungen nicht oder nur teilweise zustimmt.
- Man kann die Verwendung der Adresse erst beschränken, nachdem man sich schon angemeldet hat.
- Der erklärende Begleit-Text ist so kompliziert, missverständlich
oder unklar, dass man bei flüchtigem Durchlesen
- die entsprechende Stelle übersieht.
- genau das Gegenteil einstellt.
- die Voreinstellung wählt, die aber evtl. den eigenen Wünschen widerspricht.
- Am Ende der Anmeldung kommt noch einmal eine
"Zusammenfassungs-Seite", auf der man die gerade erfolgten Eingaben
kontrollieren und danach bestätigen soll.
Bei den Punkten, mit denen man die Verwendung der Adresse beschränken kann, wurden aber die eigenen Eingaben einfach "vergessen" bzw. man muss sie zur Aktivierung noch einmal extra bestätigen.
Wie beschwert man sich richtig über Spam ?
Eine oftmals relativ wirkungsvolle Vorgehensweise gegen Spammer besteht darin, sich bei derjenigen Organisation zu beschweren, bei der eine erhaltene Spam-Nachricht abgeschickt wurde. Man nimmt Spammern nämlich dadurch manchmal einen der vielen Verteilungswege für Spam:
- Bei falsch konfigurierten Rechnern bzw. bei Rechnern mit einer
Sicherheitslücke sind die zuständigen Systemverwalter in den meisten
Fällen für einen entsprechenden Hinweis dankbar und stellen dann auch
relativ schnell das Problem ab.
Natürlich gibt es auch Systemverwalter, denen es gleichgültig ist, wenn ihr Rechner von Spammern missbraucht wird.
Manchmal fehlt den Systemadministratoren aber einfach nur das Know-How, das Problem zu beseitigen, oder sie sind zu überlastet. - Viele Anbieter von (kostenlosen) E-Mail-Diensten reagieren sehr
schnell, wenn Spam über eine ihrer E-Mail-Kennungen verbreitet wird.
Andernfalls muss der Provider fürchten, dass seine Domain auf einer
schwarzen Liste landet; E-Mails von dem betroffenen Provider wird dann
an vielen Stellen erst gar nicht mehr angenommen.
Leider gibt es aber auch Provider, denen es gleichgültig ist, wenn sich Spammer unter ihren Kunden befinden. Manche Provider haben sogar überwiegend Spammer als Kunden.
Leider ist es relativ aufwändig, sich richtig über eine erhaltene Spam-Nachricht zu beschweren. Wollen Sie sich dennoch diese Mühe machen, sollten Sie sorgfältig und planvoll vorgehen, um sich selbst und anderen unnötige Arbeit zu ersparen:
- Kontrollieren Sie zuerst, ob es sich bei der betreffenden Nachricht
auch wirklich um Spam handelt:
- Manchmal abonniert man den Newsletter oder Info-Dienst einer kommerziellen Firma. Dies hat man aber vielleicht schon längst wieder vergessen, wenn die erste E-Mail erst einige Wochen danach ankommt.
- Man füllt ein Web-Formular aus und übersieht dabei, dass man
das Zusenden von Werbe-E-Mails etc. explizit
untersagen muss.
Manchmal glaubt man sogar, dies auch getan zu haben, ist aber leider auf einen Trick der Firma, des Betreibers von Online-Diensten etc. hereingefallen.
- Bei größeren Organisationen kommt es manchmal vor, dass die eigene E-Mail-Adresse vorher schon existiert hat und der frühere Besitzer sich bei diversen Verteilern etc. eingeschrieben hat.
- Manche Leute betrachten auch gut gemeinte Info-E-Mails des eigenen Arbeitgebers, der eigenen Universität etc. schon als Spam. . . .
- Schicken sie Ihre Beschwerde niemals an den
(vermeintlichen) Absender der Nachricht:
- In sehr vielen Fällen sind die Header der Spam-E-Mail (zumindest zum Teil) gefälscht. Ihre Beschwerde kann dann entweder nicht zugestellt werden (weil die Absender-Adresse gar nicht existiert) oder sie landet bei jemandem, dessen E-Mail-Adresse von einem Spammer missbraucht wurde.
- Selbst bei einer richtigen Absender-Adresse ist eine Beschwerde
an diese Adresse kontraproduktiv: In den
meisten Fällen
- ignoriert der Spammer nämlich einfach Ihre Beschwerde. Sie haben sich dann Ihre Mühe umsonst gemacht.
- kann der Spammer wie beim Opt-Out-Verfahren durch Ihre Reaktion seinen Datenbestand aufwerten. Sie haben durch Ihre Beschwerde nämlich bestätigt, dass Ihre Adresse genutzt wird.
-
Ermitteln Sie den
"richtigen" Empfänger für Ihre Beschwerde.
Dabei kommen folgende Personen(gruppen) in Betracht:
- Der Betreiber desjenigen Rechners, von dem aus die Spam-E-Mail
vermutlich abgeschickt wurde.
Erfahrungsgemäß sind diese Beschwerden am erfolgreichsten, da nur wenige Organisationen damit einverstanden sind, dass eigene Rechner zum Versenden von Spam verwendet werden.
Leider ist es meist nicht ganz einfach, den genauen Ursprung einer Spam-E-Mail zu ermitteln. Die meisten Spammer fälschen nämlich Header, um den Ausgangspunkt der E-Mails zu verschleiern; sie hoffen, dadurch (länger) unentdeckt zu bleiben.
In manchen Fällen bleibt deshalb sogar nichts anderes übrig, als die Beschwerde an verschiedene Betreiber zu schicken, weil man den wahren Ursprung nicht mit Sicherheit bestimmen kann.
- Der Betreiber desjenigen Rechners, der in der Spam-Nachricht
selbst explizit angegeben wird.
Dies ist natürlich nur dann möglich, wenn die Nachricht eine URL und/oder E-Mail-Adresse enthält, bei der man eine Ware bestellen, Informationen abrufen kann etc.
In den meisten Fällen billigen die Betreiber jedoch diese Nutzung ihrer Rechner (sie verdienen ja daran) und reagieren deshalb nicht auf eine Beschwerde.
- Der Provider des Betreibers von Variante 1. oder 2.
War man in den vorhergehenden Fällen nicht erfolgreich (d.h. entsprechende Beschwerden führten zu nichts), kann man es immer noch mit dieser Personen(gruppe) versuchen. Viele Rechner-Betreiber und "End-Provider" kaufen nämlich die Kommunikations-Dienste ihrerseits bei einem "Groß-Provider" ein.
Leider reagieren Groß-Provider oft nur dann, wenn sich sehr viele Leute beschweren (wer verliert schon gerne zahlende Kunden ?). Außerdem benötigt man etwas Hintergrundwissen, um den betreffenden Groß-Provider zu ermitteln.
Viele ISP's ignorieren unberechtigte Beschwerden einfach; manche ISP's wie z.B. das Leibniz-Rechenzentrum machen sich aber die Mühe und weisen darauf hin, dass sie an der betreffenden Spam-E-Mail nicht beteiligt waren. Die fälschlicherweise beschuldigten haben jedoch (fast) immer einen mehr oder weniger großen Aufwand mit der Bearbeitung der Beschwerden: Selbst wenn man eine E-Mail ignoriert, muss man sie vorher gelesen haben, um dies entscheiden zu können. (Ausnahme: E-Mails an die Beschwerde-Adressen landen beim ISP direkt im Papierkorb
:-((
.) - Der Betreiber desjenigen Rechners, von dem aus die Spam-E-Mail
vermutlich abgeschickt wurde.
- Ermitteln Sie zum im vorhergehenden Schritt ausgewählten Empfänger eine geeignete E-Mail-Adresse.
- Beim Verfassen der Beschwerde-E-Mail sollten Sie
unbedingt folgende Regeln beachten:
- Seien Sie aus folgenden Gründen möglichst sachlich und höflich:
- Als Folge von gefälschten Headern schreiben Sie möglicherweise einer Person, die an der Spam-Nachricht vollkommen unbeteiligt ist.
- Auch wenn Ihre Beschwerde bei einer zuständigen Person landet, fördern Sie deren Kooperations-Bereitschaft nicht durch Drohungen, Beschimpfungen etc.
- Fügen Sie Ihrer Beschwerde nach Möglichkeit
alle Header-Zeilen der Spam-Nachricht bei,
mindestens jedoch alle
Received:
-Header.Aus Provider-Sicht sind eintreffende Beschwerden über eine Spam-E-Mail leider überwiegend unberechtigt; die meisten Beschwerdeführer wenden sich nämlich an die falschen Ansprechpartner, weil ihnen das Know-How zur richtigen Interpretation der Spam-E-Mail fehlt. Die Spam-Opfer verwenden nämlich einfach die vermeintlich echten Absender-Adressen aus den Headern "
From:
", "Sender:
" oder "Return-Path:
" und schicken dann eine Beschwerde-E-Mail an diejenigen ISP's, die für die betreffenden Domains zuständig sind. Manche Opfer nehmen bei Beschwerden auch noch alle Domains hinzu, die in irgendeinem der Header oder evtl. sogar im Body auftauchen.Aus diesem Grunde bearbeiten sehr viele Provider eine Beschwerde nur dann, wenn sie sich durch die beigefügten Header selbst davon überzeugen können, dass die Beschwerde auch wirklich berechtigt ist.
Außerdem werden die Header auch oft benötigt, um einen konkreten Schuldigen unter den vielen Kunden des Providers identifizieren zu können.
- Seien Sie aus folgenden Gründen möglichst sachlich und höflich:
Wie ermittelt man den Ursprung einer Spam-Nachricht ?
Sehr oft schickt man die Beschwerde über eine Spam-Nachricht an den Betreiber desjenigen Rechners, von dem aus die Spam-E-Mail vermutlich abgeschickt wurde. Ähnlich geht man auch meist vor, wenn man eine mit einem Virus/Wurm verseuchte E-Mail erhalten hat und den Besitzer des Ursprungs-Rechners warnen will.
Dazu muss man aber erst einmal herausfinden, wo sich der
wahrscheinliche Ausgangspunkt der Spam-E-Mail überhaupt befindet. Da man
sich auf die Absender-Adressen so gut wie nie
verlassen kann, bleiben als einziger Anhaltspunkt die Header
"Received:
" (siehe das "Loreley-Beispiel"). Die richtige und leider nicht immer
einfache Interpretation dieser Header setzt ein wenig Hintergrund-Wissen
voraus:
- Die Header "
Received:
" dienen dazu, den Weg einer E-Mail durch die verschiedenen Zwischen-Stationen nachverfolgen zu können (i.a. zur Fehler-Diagnose). Dazu setzt jeder Server beim Durchlauf einer E-Mail einen entsprechenden eigenen Header "Received:
" vor alle bis dahin vorhandenen Header "Received:
".Sieht man sich deshalb bei einer empfangenen (regulären) E-Mail die Header an, so stammt das 1. "
Received:
" vom eigenen Empfangs-System und das letzte "Received:
" vom Ausgangs-Punkt. - Der einzelne
Received:
-Header hat normalerweise eine der folgenden Formen:-
Received: from Sender-Host-1 ... by Empfänger-Host ...; Datum und Uhrzeit
-
Received: from Sender-Host-1 (Sender-Host-2)... by Empfänger-Host ...; Datum und Uhrzeit
-
Received: from Sender-Host-2 (HELO Sender-Host-1)... by Empfänger-Host ...; Datum und Uhrzeit
Dabei ist der feste String "HELO
" ein Kommando, mit dem sich der sendende Rechner anmelden kann.
Der Header wird jeweils vom "Empfänger-Host" erzeugt und enthält somit Informationen aus der Sicht des empfangenden Rechners. Die Angaben zu "Sender-Host-x" und "Empfänger-Host" können aus einem Rechnernamen und/oder einer IP-Adresse bestehen.
Die Daten im Feld "Sender-Host-1" werden vom sendenden Rechner geliefert und vom Empfänger-Host unverändert protokolliert.
Dagegen wurden die Informationen im oft vorhandenen Feld "Sender-Host-2" vom empfangenden Rechner selbst ermittelt.Die beiden Datenfelder "Sender-Host-1" und "Sender-Host-2" können sich u.a. deshalb widersprechen, weil der sendende Rechner
- lügt; dies ist meist bei Spammern der Fall.
- falsch konfiguriert ist.
- im Intranet eine andere IP-Adresse hat, sich aber mit seiner Internet-IP-Adresse meldet.
- sich nicht mit seinem primären Rechnernamen meldet, sondern mit einem Alias.
-
- Wurden die Header nicht gefälscht und waren
alle beteiligten Rechner korrekt konfiguriert, sollten somit die Header
"
Received:
" eine Transport-Kette bilden:Received: from ... Host-F ... by Host-G ... Received: from ... Host-E ... by Host-F ... Received: from ... Host-D ... by Host-E ... Received: from ... Host-C ... by Host-D ... Received: from ... Host-B ... by Host-C ... Received: from ... Host-A ... by Host-B ... Received: from ... localhost ... by Host-A ...
- Fälscht ein Spammer die Header einer E-Mail, so hat der Spammer
natürlich keinen Einfluss auf diejenigen Header,
die erst der E-Mail hinzugefügt werden, nachdem
der Spammer die E-Mail losgeschickt hat.
In diesem Fall bilden die ersten Header "
Received:
" zur Zeit meist eine Kette, die dann aber früher oder später abbricht. Man kann dann erfahrungsgemäß i.a. davon ausgehen, dass die ersten Header "Received:
" noch echt sind und alle Header nach dem Bruch vom Spammer potentiell gefälscht wurden (vor allem alle Header mit Ursprungs-Adressen) und damit nicht mehr vertrauenswürdig sind.Leider existieren aber schon erste "intelligentere" Spammer-Tools, die einen Bruch in der Kette vermeiden.
- Manchmal besteht ein Bruch in der Transport-Kette nur scheinbar
bzw. ist unkritisch:
- Die Abbildungen "Rechnername --> IP-Adresse" bzw.
"IP-Adresse --> Rechnername" erfolgen mit Hilfe des
Domain-Name-Systems (DNS). Dabei können aber
einem Namen mehrere
IP-Adressen zugeordnet sein und/oder mehrere
Namen auf dieselbe IP-Adresse abgebildet
werden.
Deshalb kann ein Bruch in der Kette der Form
Received: from ... Host-D2 ... by Host-E ... Received: from ... Host-C ... by Host-D1 ...
- In vielen Fällen gehören die einzelnen Stationen in der
Transport-Kette zu unterschiedlichen Organisationen, Firmen etc.
Bei (sehr) großen ISP's ist es aber durchaus üblich, dass eine
E-Mail innerhalb des ISP gleich mehrere Stationen durchläuft. Dabei
kann es dann aus verschiedenen Gründen passieren, dass ein echter
Bruch auftritt:
Received: from ... Host-E ... by Host-F ... Received: from ... Host-C ... by Host-D ...
In der "Loreley-E-Mail" tritt z.B. ein vernachlässigbarer Bruch zwischen "
mailout.lrz-muenchen.de
" und "mailrelay2.lrz-muenchen.de
" auf.
- Die Abbildungen "Rechnername --> IP-Adresse" bzw.
"IP-Adresse --> Rechnername" erfolgen mit Hilfe des
Domain-Name-Systems (DNS). Dabei können aber
einem Namen mehrere
IP-Adressen zugeordnet sein und/oder mehrere
Namen auf dieselbe IP-Adresse abgebildet
werden.
Betrachten wir nun das konkrete Beispiel eines betrügerischen Ketten-Briefs (Auszug mit den für eine Beschwerde relevanten Informationen):
Return-Path: <xpwMarc-champion@excite.com> Received: from 207.172.4.22 (207.172.4.22 [207.172.4.22]) by ms01.mrf.mail.rcn.net (Mirapoint Messaging Server MOS 3.2.2-GA FastPath) with ESMTP id CGC54442; Sun, 01 Jun 2003 19:28:35 -0400 (EDT) Received: from mx01.mrf.mail.rcn.net (mx01.mrf.mail.rcn.net [207.172.4.50]) by mr03.mrf.mail.rcn.net (Mirapoint Messaging Server MOS 3.2.2-GA) with ESMTP id CMW92736; Sun, 1 Jun 2003 19:28:33 -0400 (EDT) Received: from 200-204-61-138.dsl.telesp.net.br ([200.204.61.138] helo=200.174.31.133) by mx01.mrf.mail.rcn.net with smtp (Exim 3.35 #7) id 19McFa-0002bB-00 for dummy-p@erols.com; Sun, 01 Jun 2003 19:28:31 -0400 Received: from 11.139.74.233 ([11.139.74.233]) by n7.groups.yahoo.com with NNFMP; Jun, 01 2003 7:29:59 PM -0800 Received: from [72.62.68.193] by rly-yk04.mx.aol.com with asmtp; Jun, 01 2003 6:46:04 PM +1100 Received: from unknown (HELO mailout2-eri1.midsouth.rr.com) (184.119.91.62) by rly-xw05.mx.aol.com with asmtp; Jun, 01 2003 5:30:59 PM -0800 Received: from 131.159.235.104 ([131.159.235.104]) by rly-yk05.mx.aol.com with local; Jun, 01 2003 4:41:58 PM +1100 From: gxwMarc <xpwMarc-champion@excite.com> To: dummy-p@erols.com Subject: Never be broke again!!! jmqpf Sender: gxwMarc <xpwMarc-champion@excite.com> Date: Sun, 1 Jun 2003 19:56:13 -0300 Message-Id: <E19McFa-0002bB-00@mx01.mrf.mail.rcn.net> I'm a real person writing to you, and I'm telling you this works... Give it a try... You WILL make some serious cash ! Hello You may have seen this business before and ignored it. I know I did - many times! However, please take a few moments to read this letter. I was amazed when the profit potential of this business finally sunk in... and it works! ... ... ...
Würde man den Absender-Adressen einfach glauben, müsste man sich beim Provider "Excite" beschweren. Wenden wir jedoch das gerade erworbene Wissen an, kommen wir zu einem vollkommen anderen Ergebnis:
- Man geht davon aus, dass der 1. Header
"
Received:
" echt ist, da er vom Empfangs-System des Spam-Opfers stammt: Der Rechner "ms01.mrf.mail.rcn.net
" am Ende der Transport-Kette hat die E-Mail von einem Rechner mit der IP-Adresse "207.172.4.22
" übernommen.Mit Hilfe des DNS kann man der IP-Adresse "
207.172.4.22
" den Namen "mr03.mrf.mail.rcn.net
" zuordnen.Man kann diese Information z.B. erhalten, indem man beim Web-Formular von "DNSstuff.com" im Feld "Reverse DNS lookup" die IP-Adresse eingibt.
Entsprechend kann man im Feld "DNS lookup" einen Rechnernamen eingeben. Dabei muss jedoch zusätzlich erforderlichen Auswahl-Box der Record-Typ "A" gewählt sein. Folgt man in der Antwort dem Link bei einer gefundenen IP-Adresse, erhält man gleich noch die dazugehörige WHOIS-Information.
- Beim 2. Header "
Received:
" nimmt die Zwischen-Station "mr03.mrf.mail.rcn.net
" die E-Mail vom Rechner "mx01.mrf.mail.rcn.net [207.172.4.50]
" entgegen.Eine DNS-Abfrage ergibt, dass der Name "
mx01.mrf.mail.rcn.net
" auch wirklich zur IP-Adresse "207.172.4.50
" passt.Aus diesem Grund und da die Kette zusammenhängend ist, ist dieser 2. Header noch sehr wahrscheinlich echt.
- Beim 3. Header "
Received:
" nimmt die Zwischen-Station "mx01.mrf.mail.rcn.net
" die E-Mail vom Rechner "200-204-61-138.dsl.telesp.net.br [200.204.61.138]
" entgegen.Eine DNS-Abfrage ergibt, dass der Name "
200-204-61-138.dsl.telesp.net.br
" zur IP-Adresse "200.204.61.138
" passt.Aus diesem Grund und da die Kette zusammenhängend ist, ist dieser 3. Header noch sehr wahrscheinlich echt.
- Beim 4. Header "
Received:
" nimmt die Zwischen-Station "n7.groups.yahoo.com
" die E-Mail von einem Rechner mit der IP-Adresse "11.139.74.233
" entgegen.Da "
n7.groups.yahoo.com
" keinerlei Gemeinsamkeiten mit "200-204-61-138.dsl.telesp.net.br
" aus dem vorhergehenden Header besitzt, muss man davon ausgehen, dass hier ein echter Bruch in der Transport-Kette vorliegt und dass ab einschließlich hier alle Header potentiell gefälscht sind.Die Spam-E-Mail wurde also sehr wahrscheinlich von "
200-204-61-138.dsl.telesp.net.br
" aus abgeschickt. Dementsprechend sollte man sich beim Betreiber von "net.br
" oder evtl. auch "telesp.net.br
" (falls man über "net.br
" keine Auskünfte erhält) beschweren.
Weiterführende Informationen zu diesem leider etwas komplizierten Thema finden Sie an folgenden Stellen:
- E-Mail-Header lesen und verstehen
- Reading Email Headers -- All About Email Headers
- alt.spam FAQ or "Figuring out fake E-Mail & Posts"
- Tracking Spam (chapter 3 of "The SPAM-L FAQ")
Wie ermittelt man den Daten-Weg zu einem Ziel-Rechner ?
Beschwerden über Spam kann man als letzte Möglichkeit an einen "Groß-Provider" schicken wie in folgendem Beispiel:
- In einem ersten Schritt hat man ermittelt, dass die Spam-Nachricht
vom Rechner "
mail.spam-schleuder.invalid
" abgeschickt wurde. Dieser Rechner wird von der Firma "House-of-Spam":-)
betrieben. - Die Firma House-of-Spam hat leider nicht (bzw. nicht ausreichend) auf eine höflich vorgetragene Beschwerde reagiert.
- In diesem Fall können Sie sich immer noch an denjenigen Provider
wenden, über den
mail.spam-schleuder.invalid
ans Internet angebunden ist: In diesem Fall bittet man den Groß-Provider, seine Geschäftsbeziehung zur Firma House-of-Spam baldmöglichst zu beenden.
Den Groß-Provider eines Ziel-Rechners ermittelt man indirekt: Man verfolgt einfach, welchen Weg die Datenpakete zum betreffenden Rechner nehmen.
Achtung:
Hierbei sind nicht die Zwischen-Stationen gemeint, die
eine E-Mail bei ihrer Beförderung durchläuft. Man ist hier vielmehr an
den einzelnen Netz-Komponenten interessiert, die im Internet auf der viel
tieferen Ebene des Internet-Protokolls (IP) den
Datentransport von einem System zu einem anderen übernehmen.
Verfolgt man nun z.B. den Datenweg zum Ziel-Rechner
mail.spam-schleuder.invalid
, so erkennt man den
Groß-Provider an der letzten Netz-Komponente
vor dem Ziel-Rechner, die eine andere Domain als
spam-schleuder.invalid
besitzt.
Zur Ermittlung des Datenweges kann man unter UNIX (z.B. Linux) das
Kommando "traceroute
" und unter MS-Windows das Kommando
"tracert
" verwenden. Sehr viel einfacher und übersichtlicher
ist es jedoch, für diesen Zeck das Web-Formular von "DNSstuff.com" zu
verwenden. Dazu muss man den Namen oder die IP-Adresse des Ziel-Rechners
in das Eingabe-Feld "Tracert" eingeben. Leider muss für diese Funktion
JavaScript aktiviert sein.
Wie ermittelt man Kontakt-Adressen ?
Will man sich über Spam beschweren oder jemanden auf einen mit einem Virus/Wurm infizierten Rechner hinweisen, steht man i.a. vor folgendem Problem:
Man hat die wahrscheinliche Quelle des Problems ermittelt und kennt deshalb einen Rechnernamen (DNS-Namen), eine Internet-Domain oder eine IP-Adresse.
Wie ermittelt man jetzt aber die Kontakt-Adresse eines Ansprechpartners, der für den Rechner / die Domain / die IP-Adresse verantwortlich bzw. zuständig ist ?
Zum Glück kann man die benötigten Informationen über das Web-Formular von "DNSstuff.com" sehr einfach beschaffen:
- Geben Sie einen vorhandenen Rechnernamen oder eine Internet-Domain
im Feld "WHOIS Lookup" ein. Sie erhalten dann die Informationen, die im
WHOIS-System zum
Besitzer der Internet-Domain gespeichert sind. Dazu gehört u.a. auch
mindestens eine E-Mail-Adresse.
Bei der Eingabe einer Domain muss man berücksichtigen, dass manche Länder ihren Domain-Bereich strukturieren (wie z.B. Großbritannien). In diesen Fällen muss man dann mindestens die letzten 3 Namenskomponenten des Rechnernamens eingeben, um die gewünschten Informationen zu erhalten.
- Die entsprechende WHOIS-Information zu einer IP-Adresse kann man über das Eingabefeld "IPWHOIS Lookup" erhalten.
- Bei einigen Domains sind explizite Beschwerde-Adressen bekannt. Zur Abfrage muss man einen Rechnernamen, eine IP-Adresse oder eine Internet-Domain im Feld "Abuse Lookup" eingeben.
Zusätzlich zu den gerade ermittelten Adressen kann man bei einer vorhandenen Domain auch immer eine oder mehrere der folgenden Standard-Adressen auf gut Glück ausprobieren:
postmaster@DOMAIN
(diese Adresse sollte praktisch immer vorhanden sein)abuse@DOMAIN
security@DOMAIN
webmaster@DOMAIN
Am Beispiel der fiktiven Domain
"rechner.lehrstuhl.institut.uni.invalid
" könnte man folgende
Varianten mit "abuse
" versuchen:
abuse@lehrstuhl.institut.uni.invalid
abuse@institut.uni.invalid
abuse@uni.invalid
Meist wird man jedoch frühestens mit der Sub-Domain-Ebene beginnen,
d.h. beim vorherigen Beispiel Varianten mit
"...@institut.uni.invalid
" oder
"...@uni.invalid
" bilden.
Die Variante "abuse@rechner.lehrstuhl.institut.uni.invalid
"
ist nicht empfehlenswert, da der Rechner kompromittiert sein könnte.
Bei allen diesen Varianten mit auf gut Glück gewählten Adressen muss man aber immer damit rechnen, dass die Beschwerde bzw. der Hinweis nicht zugestellt werden kann, weil die ausprobierte E-Mail-Adresse nicht existiert.