From nutznetz@kromm-at-home.de Fri Jun 20 00:09:27 2003 Path: news.t-online.com!newsmm00.sul.t-online.com!t-online.de!news.t-online.com!not-for-mail From: Joachim Kromm Newsgroups: t-online.info.tips+tricks,t-online.talk.internet,t-online.neubenutzer.fragen,t-online.programme.email Subject: Spam-FAQ <2003-06-19> Supersedes: <3ecd27e7.6670968@T-Online-Team.dialin.t-online.de> Followup-To: t-online.talk.internet Date: Fri, 20 Jun 2003 00:09:27 +0200 Organization: T-Online Lines: 826 Sender: T-Online-Team@t-online.com Approved: T-Online-Team@t-online.com Message-ID: <3ef733eb.5625750@T-Online-Team.dialin.t-online.de> Mime-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit X-Trace: news.t-online.com 1056060567 04 20606 vmOvV+SVSCaxWV 030619 22:09:27 X-Complaints-To: usenet-abuse@t-online.de X-ID: VPthmcZLZeOrm7f2cV8lUp9xh4Op-7FoxeCwFWuEmqByCfbVm0d88z X-Newsreader: Forte Agent 1.93/32.576 English (American) ====================================== Unerwuenschte Werbemails vermeiden - Infos und Tipps - ====================================== Die HTML-Version kann unter http://spam-faq.usenet-abc.de/tol/ abgerufen werden. * Aenderungen ------------- -Punkt 0 Erweitert. -Punkt 1.1 Erweitert. -Punkt 1.3 Eingefuegt. -Punkt 4.2 Kleiner Stilfehler entsorgt. -Punkt 5 Erweitert -Punkt 6 Aufgeteilt in Unterpunkte 6.1 und 6.2. Mustertexte fuer Beschwerden aufgenommen. Teilweise inhaltlich ergaenzt. Inhalt ------ 0. Einleitung 1. Warum bekomme ich so viel unerwuenschte Werbung? 1.1 Allgemeine Informationen 1.2 Warum erhalten diese Mails oftmals willkuerliche Zeichenfolgen? 1.3 Warum erhalte ich ploetzlich sehr viele Mails, die besagen, dass meine Mail nicht zugestellt werden konnte, obwohl ich da gar nichts versendet habe? 2. Wieso bekomme ich Mails, bei denen ich gar nicht als Empfaenger angegeben bin? 3. Waere es dann nicht einfach sinnvoll, eine ungueltige Adresse zu verwenden? 4. Was kann ich denn gegen diesen Werbemuell unternehmen? 4.1 Der Trick mit dem Reply-To 4.2 Wie komme ich an zusaetzliche eMail-Adressen 5. Kann ich nicht bereits auf dem Server die Mails loeschen lassen? 6. Kann ich solche Mails nur filtern, oder gibt es noch andere Moeglichkeiten dagegen vorzugehen? 6.1 Allgemeine Informationen 6.1 Kleines Beschwerdeeinmaleins 7. Soll ich nicht einfach die Moeglichkeit zum Austragen nutzen, die mir bei vielen Werbemails geboten wird? 8. Ich erhalte Mails mit merkwuerdigen Anhaengen. 9. Zusammenfassung 10.Danksagung -.-.-.-.- 0 . Einleitung: =============== Diese FAQ soll einige der haeufig gestellten Fragen zum Thema 'Spam' - also unerwuenschter Werbung - im Mailverkehr beantworten. Eine HTML-Version ist unter http://spam-faq.usenet-abc.de/tol/ abrufbar. Der Begriff "Spam" wird auch mit "Send Phenomenal Amounts of Mail" uebersetzt. Dies bedeutet so viel wie "riesige Mengen von Mails zu versenden". Urspruenglich wurde nur Werbung im Usenet oder in Mailinglisten damit bezeichnet. Heute wird vielfach UBE (Unsolicited Bulk eMail) also unverlangte Massen eMail oder UCE (Unsolicited Commercial eMail) d.h. unverlangte kommerzielle eMail so genannt. Hier werden diese beiden Begriffe unter dem Sammelbegriff "Spam" zusammengefasst. An dieser Stelle noch eine kurze Zusammenfassung haeufig verwendeter Abkuerzungen und Begriffe: FAQ : (Frequently Asked Questions) haeufig gestellte Fragen --------- MLM : (Multi Level Marketing) Strukturvertrieb. Ein Verkaufs- system, bei dem der Kunde selbst Kunden wirbt und so zum Bestandteil des Systems wird. UBE : (Unsolicited Bulk eMail) unverlangte Massen eMail UCE : (Unsolicited Commercial eMail) unverlangte kommerzielle eMail --------- T5F : Thoms Fassung von Framstags freundlichem Folterfrage- bogen --------- Headerzeilen: Kopfzeilen einer Mail ("Anzeigen alle Kopfzeilen") Hier kann der Weg einer Mail anhand der Eintraege der beteiligten Mailserver nachvollzogen werden. MTA : (Mail transfer agent) Programm zum Transportieren von eMails (Mailserver) MUA : (Mail User Agent) Programm zum Lesen und Beantworten von eMails POP : (Post Office Protocol) Protokoll zum Zugriff auf das email-Postfach. POP3 bedeutet, dass Version 3 dieses Protokolls verwendet wird. Reply-To : Adresse, an die Mail-Antworten gehen sollen SMTP : (Simple Mail Transfer Protocol) Protokoll zum Ueber- tragen elektronischer Post vom PC zu einem Mail- Server. Bounce : (englisch fuer: Sprung, Aufprall) Falls eine Mail nicht zugestellt werden kann, erhaelt der Absender seine Mail oder einen Auszug davon mit einem Unzustellbarkeitsvermerk zurueck. -.-.-.-.- 1. Warum bekomme ich so viel unerwuenschte Werbung? ==================================================== 1.1 Allgemeine Informationen ----------------------------- Wenn Du im Usenet postest, ist es unvermeidlich, dass ploetzlich sehr viele unerwuenschte Werbemails in Deinem Postfach landen. Spammer koennen recht einfach eMail-Adressen aus Newsgroups beziehen, ohne dass sie hierzu die kompletten Artikel laden muessen. Wenn Du Deine eMail-Adresse in Webformulare eintraegst, kann es ebenfalls geschehen, dass diese Adresse in Datenbanken landet, die fuer Werbemails verwendet werden. Ein Eintrag in eines der vielen Gaestebuecher auf diversen Homepages veroeffentlicht Deine Mailadresse natuerlich weltweit. Deswegen solltest Du hier auch ein wenig vorsichtig sein. "E-cards", also digitale Glueckwunschkarten, koennen weiterhin dazu fuehren, dass Deine Adresse in unerwuenschten Haenden landet. Die Mailadresse auf Deiner Homepage wird mit grosser Wahr- scheinlichkeit ebenfalls durch Programme erfasst und in entsprechenden Datenbanken gespeichert. Der erste Ratschlag kann daher nur sein, dass Du die eMail-Adresse fuer die persoenlichen Kontakte nicht oeffentlich - also in frei zugaenglichen Quellen - verbreitest. Es sind allerdings auch sogenannte Woerterbuchangriffe denkbar, bei denen aus einer Datenbank haeufige Vor- und Nachnamen mit dem Domainnamen eines grossen Providers verknuepft werden. So kann der Spammer z.B. "hans.mueller@t-online.de" erzeugen, ohne die Adresse wirklich zu kennen. Wenn diese Methode auch augenscheinlich effektiv aussieht, wird sie vermutlich an den Teergruben (Info: http://www.iks-jena.de/mitarb/lutz/usenet/teergrube.html) von T-Online scheitern. Die Welle koennte gleichwohl z.B. Adressen am Anfang des Angriffs erwischen, bevor die Abwehrmassnahmen greifen. Grundsaetzlich solltest Du eine eMail-Adresse waehlen, deren "Localpart", also der Teil vor dem "@", nicht zu kurz ist. Damit kannst Du schonmal einfachen Angriffen, die darauf beruhen, verschiedene Buchstaben-/Zahlenkombinationen auszutesten, begegnen. Wie bereits beschrieben ist die Kombination "vorname" + "nachname" (auch mit einem zulaessigen Trennzeichen wie "." oder "-" versehen) keine gute Idee. Verwende eine Adresse, die lang genug ist, so dass sie nicht einfach zu erraten ist. Da Deine "kanonische" eMail-Adresse - also jene Zahlenkombination, die bis vor kurzem noch als "X-Sender" bei jedem Posting ueber den T-Online Newsserver im Usenet veroeffentlicht wurde - nur eine Folge von Zahlen darstellt, wird es unausweichlich sein, dass Du auch auf diese Adresse Spam erhaeltst, ohne diese Adresse irgendwie bekannt gegeben zu haben. Es sind durchaus Faelle bekannt, wo ein wirklich neuer Benutzer Werbemails erhalten hat, ohne dass diese eMail-Adresse in irgendeiner Form bekannt gegeben wurde. Sei bitte vorsichtig beim Oeffnen von HTML-Mails, solange Du online bist. Es koennen Links enthalten sein, die Bilder direkt von einer Webseite nachladen! Es ist moeglich, dass der Absender durch dieses Nachladen bereits erkennen kann, wer die Spammail geoeffnet bzw. gelesen hat. Damit ist die Gueltigkeit Deiner eMail-Adresse automatisch bestaetigt. Oeffnet man eine HTML-Mail offline, besteht diese Gefahr nicht, sofern Du keine automatische Einwahl aktiviert hast. Falls Dein Mailclient die Ausfuehrung von aktiven Inhalten (Scripte und Aehnliches) unterstuetzt, solltest Du ihn so konfigurieren, dass diese Funktionen unterbunden werden. Sofern Dein Mailclient automatisch Eingangsbestaetigungen erzeugt, koennten Spammer diese Funktion ebenfalls ausnutzen. Du solltest diese Funktionalitaet daher besser abstellen. news:3cde3f88.4656201@T-Online-Team.dialin.t-online.de in der Gruppe t-online.info.archiv liefert zu diesem Thema einige Grundlagen. 1.2 Warum enthalten diese Mails oftmals willkuerliche Zeichenfolgen? ------------------ Die von den Spammern verwendete Software setzt oftmals will- kuerliche Zeichenfolgen in den Betreff oder an das Ende des Mailtextes, um hiermit Filter zu umgehen, die eine grosse Anzahl gleichlautender Mail erkennen und aussortieren. Die zufaelligen Zeichenfolgen lassen eine Serie von Mails unterschiedlich erscheinen, da z.B. eine Pruefsumme ueber den Betreff oder auch den Mailtext jedesmal ein anderes Ergebnis ergibt. 1.3 Warum erhalte ich ploetzlich sehr viele Mails, die besagen, dass meine Mail nicht zugestellt werden konnte, obwohl ich da gar nichts versendet habe? ------------------ Einer der Hauptgruende duerfte sein, dass ein Spammer Deine eMail-Adresse als Absender verwendet. Da Spammer oftmals an alles senden, was wie eine eMail-Adresse aussieht, landen die Meldungen ueber die Unzustellbarkeit in Deiner Mailbox. Du musst dann leider auch damit rechnen, dass sich Empfaenger des Spam bei *Dir* beschweren. Leider kannst Du gegen diese Form des Missbrauchs Deiner eMail-Adresse wenig unternehmen. Da der Spammer vermutlich diesen Adressenmissbrauch nur fuer eine seiner Spamwellen betrieben hat, kannst Du jedoch hoffen, dass der Spuk nach einigen Tagen wieder aufhoert. Falls Beschwerden bei Deinem Provider eingehen sollten, wird dieser an den Headerzeilen der eingesandten Mails erkennen, dass nicht Du der Versender der Mails bist. Es wird jedoch auch von eMail-Wuermern berichtet, die sich als Bounce tarnen und den Schaedling als Anhang mitfuehren. Unter Punkt 8 dieses Textes findest Du Informationen zu eMails mit schaedlichen Anhaengen. -.-.-.-.- 2. Wieso bekomme ich Mails, bei denen ich gar nicht als Empfaenger angegeben bin? ============== Dies haengt damit zusammen, wie Mails behandelt werden. Deine Mail wird beim Transport in einen 'Umschlag' gesteckt, der dem elektronischen Postboten (Mailserver) angibt, wer die Nachricht erhalten soll. Der Inhalt der Mail - mit der dort eingetragenen Adresse - wird dabei gar nicht ausgewertet. Liegt die Mail im elektronischen Postkasten, dann wird der Umschlag vom Mailserver entfernt. Um beim Beispiel zu bleiben: Wenn jemand auf einen Umschlag "Herrn Willi Winzig Musterstrasse 10 47110815 Musterstadt" schreibt und auf den Brief "Frau Thea Mustermann Kleiner Weg 12 08154711 Irgendwo" dann stellt der Postbote natuerlich an Herrn Winzig zu. Wird der Umschlag von Frau Winzig weggeworfen, dann ist es klar, dass Herr Winzig sich ueber den Irrlaeufer wundert ;-) -.-.-.-.- 3. Waere es dann nicht einfach sinnvoll, eine ungueltige Adresse zu verwenden? ===================== Nein! Damit schaedigst Du das Netz, weil hierdurch Mails, die an Dich gesendet werden sollen, als so genannte Bounces an den Absender zurueckgehen. Verantwortungsvolle Postmaster werden auch nachsehen, ob nicht ein Fehler in der Konfiguration des Mailservers vorliegt. Ihnen wird durch diese Adressfaelschung unnoetige Arbeit bereitet. Spammer haben zudem die Moeglichkeit, Zusaetze wie "nospam", "remove" u.ae. einfach zu entfernen. Im Regelfall geht dann der Spam sowohl an die verfaelschte als auch an die 'bereinigte' eMail-Adresse. http://www.faqs.org/faqs/de-net-abuse/falsche-email-adressen-faq/ gibt weitere Informationen zu diesem Thema. Als Kunde von T-Online riskierst Du auch Deinen Zugang, wenn Du eine gefaelschte eMail-Adresse verwendest. -.-.-.-.- 4. Was kann ich denn gegen diesen Werbemuell unternehmen? ====================================================== 4.1 Der Trick mit dem Reply-To ------------------------------ Es ist sinnvoll, neben der "From"-Adresse noch eine zusaetzliche "Rueckantwort"-Adresse (Reply-To) zu verwenden. Auf die "Rueckantwort"-Adresse wird im Regelfall (bisher) noch recht wenig Werbung einschlagen. Dies liegt daran, dass der Sammler der Adressen hierzu den vollstaendigen Artikel laden muesste. Mit zwei unterschiedlichen, gueltigen eMail-Boxen kannst Du daher den Spam gut von den gewuenschten Antworten trennen: |From = aaa.winzig@provider.tld |Reply-To= willi.winzig@provider.tld Die erste Adresse wirkt wie eine Muelltonne; sie wird von den Spammern ausgewertet und mit Werbung belegt. Die zweite ist die "Gute"; dorthin erhaeltst Du normalerweise die Mail-Antworten aus den Newsgroups. Mit einem kleinen (allerdings nicht unumstrittenen) Trick kannst du *ggf.* die Spammer austricksen, wenn diese die kompletten Header auswerten: Trage in die "Rueckantwort"-Adresse eine _gueltige_ eMail-Adresse ein, die den Zusatz "NoSpam" o.Ae. enthaelt und auf Deine "From"- Adresse verweist. Also z.B.: |From = williwinzig@provider.tld |Reply-To= williNOSPAMwinzig@provider.tld Sofern die Software, die von den Adressensammlern verwendet wird, solche Zusaetze automatisch entfernt, wird der Werbemuell auf genau der Adresse landen, die Du fuer Werbemuell reserviert hast. Wenn Du dieses Verfahren verwendest, kann es vorkommen, dass sich einige User beschweren, da sie annehmen, dass sie mit unnoetiger Adressenbastelei belaestigt werden. Es gibt auch Teilnehmer, die einen solchen Zusatz generell als 'asozial' ansehen und deswegen grundsaetzlich keine Mails an solche Adressen senden. Du solltest also abwaegen, ob ein solcher Zusatz fuer Dich sinnvoll ist und Du mit den Konsequenzen leben kannst. Bitte beachte auf jeden Fall, dass *beide* Adressen natuerlich gueltig sein muessen! Sowohl "From" als auch "Reply-To" sollten Adressen enthalten, die nicht fuer normalen Mailverkehr verwendet werden. Nur so kann man sicherstellen, dass private Mails nicht aus Versehen durch Filter- konstruktionen geloescht werden. Denke aber daran, dass die bei Dir angezeigte Adresse (wie unter Punkt 2 der FAQ erlaeutert) gar nichts mit der tatsaechlichen Adresse zu tun haben muss, an die diese Mail ging. Wenn der Mailprovider den 'Envelope-To' - also die Adresse auf dem Umschlag - im Header der Mail nicht mitliefert, wird ein effektiver Filter scheitern. T-Online z.B kann mit seinen Mailservern (derzeit?) diese *tatsaechliche* Einlieferungsadresse nicht in einer separaten Headerzeile (auf die man dann filtern koennte) dokumentieren. Dem manchmal genannten Vorschlag, einen Bounce (d. h. eine Fehlermeldung ueber eine unzustellbare Mail) zu erzeugen, sollte uebrigens nicht gefolgt werden. Spammer versenden in der Regel die Mails mit gefaelschten Absendern. Daher werden sie von einer simulierten Fehlermeldung ueber die Unzustellbarkeit recht wenig mitbekommen. Da zum Teil die Absenderadressen einfach aus der Adressenliste des Spammers entnommen werden, wirst Du sogar Opfer des Spamangriffs mit dieser Massnahme treffen. 4.2 Wie komme ich an zusaetzliche eMail-Adressen ------------------------------------------------- Ueber das Komfortpaket von T-Online kann man zwei zusaetzliche eMail-Adressen bekommen. Weiterhin kann man sich entsprechende Adressen bei Mailprovidern wie z.B. gmx besorgen. Dort besteht auch die Moeglichkeit Filter zu verwenden, die einen grossen Anteil der unerwuenschten Werbemails evtl. automatisch bereits auf dem Mailserver loeschen. Bei www.spammotel.com kann man sich auch beliebig viele gueltige Weiterleitungsadressen generieren lassen, die bei Auftreten von Spam gesperrt oder geloescht werden koennen. Eine weitere Empfehlung ist www.despammed.com, dort koennen ebenfalls Mails weitergeleitet werden oder eingegangene Nachrichten im Browser abgefragt werden. Spam wird nach Auffassung der Nutzer recht effektiv gefiltert. www.eleven.de bietet einen fuer Privatanwender kostenlosen Dienst an, der Mails an ein Postfach weiterleitet und dabei eine Bewertung in die Kopfzeilen eintraegt, die zum lokalen Filtern verwendet werden kann. Die genannten Provider wurden von Usern empfohlen, die Aufzaehlung ist auch nicht abschliessend. Es gibt natuerlich auch viele weitere Anbieter, die eMail-Adressen - mit oder ohne Filterung auf dem Server - anbieten. Bezueglich der Zuverlaessigkeit der Mailzustellung kann insbesondere bei den Freemailern in dieser FAQ keine Gewaehrleistung uebernommen werden. -.-.-.-.- 5. Kann ich nicht bereits auf dem Server die Mails loeschen lassen? ================================================================ T-Online bietet die Moeglichkeit, Filter auf dem Mailserver zu konfigurieren, nicht an. Dies wird mit rechtlichen und technischen Argumenten begruendet. Die falsche Klassifizierung einer Mail als Spam koennte zu erheblichen Schadenersatzanspruechen fuehren. Der technische Aufwand um Filter zu ermoeglichen, die durch den Kunden jeweils an dessen persoenliche Ansprueche angepasst werden koennen, wuerde eine sehr kostenintensiven Aufruestung der Server erfordern. Wenn der Mailclient keine speziellen Funktionen zum Filtern bietet, kann unter Windows ein Zusatztool wie z.B. "POP3 Scan Mailbox" von http://www.kempston.demon.co.uk/smb/intro.html verwendet werden. Hiermit kann man Mails bereits auf dem Server loeschen, bevor sie vollstaendig heruntergeladen werden. Mit WebMail bietet T-Online eine weitere Alternative, um Mails zu loeschen, bevor sie geladen werden. Hierzu genuegt es, den bevorzugten Webbrowser zu verwenden. Du kannst Dich fuer diesen Dienst unter dem folgenden URL anmelden: http://service.t-online.de/t-on/dien/emai/star/CP/start.html In der Newsgroup t-online.info.tips+tricks gibt es zu WebMail auch eine FAQ, die weitergehende Fragen beantwortet. Ein lokaler Mailserver wie der Hamster von http://www.tglsoft.de bietet erweiterte Moeglichkeiten, Mails zu filtern oder ggf. auf ein eigenes "Spam-Postfach" umzuleiten. Weitere Informationen zu Hamster findest Du unter http://hamster.arcornews.de/micha/ Auf http://www.gohel.de/spamproxy gibt es einen kompakten und leistungsfaehigen Mail- und Newsproxy, der sich transparent in den Datenstrom schaltet und selbst ohne komplette Mailserverfunktionalitaet die effektive Filterung unerwuenschter Mails mit jedem Mailclient ermoeglicht. Der SpamProxy laeuft stabil und beansprucht fuer die gebotene Leistungsfaehigkeit nur sehr wenig Systemressourcen. SpamPal, das unter http://www.spampal.de geladen werden kann, verfolgt ebenfalls einen interessanten Ansatz. Dieses Windows- Programm wird zwischen Mailserver und Mailclient geschaltet und klassifiziert eingehende Mails anhand von oeffentlichen Listen, in denen Mailserver registriert sind, die von Spammern regelmaessig missbraucht werden. In den Kopfzeilen der eingehenden Mail wird dann ein entsprechender Vermerk aufgenommen, der ein eindeutiges Filterkriterium darstellt. PopFile, das unter http://popfile.sourceforge.net/ fuer verschiedene Betriebssysteme zu finden ist, arbeitet ebenfalls als transparenter Proxy, der zwischen Mailserver und Mailclient geschaltet wird. Eingehende Mails werden mit Hilfe statistischer Wortanalyse (Bayes) klassifiziert. Nach einer gewissen Anlernphase wird Spam dann recht zuverlaessig erkannt. Das Ergebnis der Bewertung wird als Kopfzeile in die Mail eingefuegt oder als Markierung dem Subject der Mail hinzugefuegt, so dass auch hier ueber den eMail-Client entsprechend gefiltert werden kann. Eine deutschsprachige Anleitung zu diesem Programm ist unter http://popfile.sourceforge.net/manual/de/manual.html zu finden. Fuer den Mailfilter des Hamster gibt es Anregungen unter http://spamabwehr.sakrak.net/, die ggf. auch in anderen Mailclients uebernommen werden koennen, sofern diese Regulaere Ausdruecke unterstuetzen. Informationen zu Regulaeren Ausdruecken findest Du unter http://www.regenechsen.de . Dort wird ein Einfuehrungstext ange- boten, der sich zwar hauptsaechlich auf den eMail-Client TheBat! bezieht, aber insbesondere das Thema RegExp auch fuer Einsteiger nachvollziehbar behandelt. Weitere ausfuehrliche Informationen zu Regulaeren Ausdruecken findest Du unter http://selfhtml.teamone.de/cgiperl/sprache/regexpr.htm Unter http://www.belwue.de/support/spamblock.html sind weitere Anregungen zu finden, um effektive Filter einzurichten. Es ist jedoch stets zu beruecksichtigen, dass Filter durchaus auch *erwuenschte* Mails loeschen koennen. Daher ist es keine gute Idee, vorgefertigte Filter zu uebernehmen, wenn man deren Wirkungsweise nicht versteht. Der Artikel news:3b74f117.14787314@T-Online-Team.dialin.t-online.de in der Gruppe t-online.info.archiv gibt zu diesem Thema weitere Informationen. Dort werden auch Tipps auf andere Tools gegeben, mit denen Mails auf dem Server geloescht werden koennen, bevor der komplette Inhalt heruntergeladen wurde. -.-.-.-.- 6. Kann ich solche Mails nur filtern, oder gibt es noch andere Moeglichkeiten dagegen vorzugehen? ================================== 6.1 Allgemeine Informationen ------------------------------ Das Filtern solcher Werbemails kann nur der letzte Schritt sein. Sinnvoll ist es, sich beim Provider des Versenders einer solchen Mail zu beschweren. http://www.th-h.de/faq/headrfaq.html liefert Dir die notwendigen Informationen, um die Kopfzeilen der Mail auszuwerten. http://www.iks-jena.de/cgi-bin/whois ist dann ein geeignetes Werkzeug um den Provider anhand der Headereintraege des einliefernden Mailservers herauszufinden. Unter http://www.samspade.org/ssw/ findest Du ein Programm, das Dir unter Windows bei der aktiven Spambekaempfung helfen kann. Beachte bitte bei Deiner Headeranalyse, dass oftmals nur die erste IP im Header echt sein muss. Eine _hoefliche_ Beschwerde an den von Dir ermittelten Provider kann durchaus sinnvoll sein, um die zukuenftige Versendung weiterer Werbemails von dort zu unterbinden. Wenn Du noch weitergehende Fragen hast, koennen diese in der Newsgroup de.admin.net-abuse.mail gestellt werden. Vorher sollten aber zumindest die FAQ unter http://www.faqs.org/faqs/de-net-abuse/mail-faq/ gelesen und die Postings in dieser Gruppe eine gewisse Zeit verfolgt werden. Folge bitte vor allen Dingen dem Ratschlag, die Gruppe zunaechst nur zu *lesen*! Es werden wirklich viele Fragen schon beantwortet, wenn man in dieser Gruppe mit seinem Newsreader einfach nach dem Betreff seiner 'eigenen' Werbemail sucht. 6.2 Kleines Beschwerdeeinmaleins -------------------------------- Beschwerden bei den entsprechenden Providern koennen helfen, die Flut unerwuenschter Werbemails einzudaemmen, auch wenn nicht jeder Provider auf eine Beschwerde persoenlich per Mail reagiert. Du solltest fuer die Beschwerde die Mail mit *allen* Headerzeilen (dem Mail-Kopf) an die Abuse-Abteilung des Providers weiterleiten. Als Betreff schreibst Du dann z.B.: [UCE] 1.000.000 $$$ in 3 days!!! wenn der Spam den Betreff "1.000.000 $$$ in 3 days!!!" traegt. Erlaeutere evtl. noch in kurzen Worten, warum Du aus den Headern schliesst, dass die Zustaendigkeit des Providers gegeben ist und bitte darum, dass entsprechende Massnahmen ergriffen werden. Die folgenden Mustertexte kannst Du als Anregung fuer eigene Beschwerdemails verwenden. Falls es sich bei der unerwuenschten Mail nicht um UCE handelt, sondern um einen eMail-Wurm oder -Virus (siehe Punkt 8 dieses Textes), dann ersetze die Beschreibung in den Klammern durch "Worm, Virus". Bedenke bitte, dass eine Beschwerdemail an die Abuse-Abteilung des Providers moeglichst knapp gefasst werden sollte, um dort keine unnoetige Arbeitsbelastung hervorzurufen. * Deutschsprachige Version **************************************** |Hallo, | |ich erhielt die folgende unverlangte eMail (UCE oder Spam) von |einem Ihrer Kunden, die ueber Ihre Server versendet wurde. | |Bitte ergreifen Sie entsprechende Massnahmen gegen das Versenden |dieser Mails ueber Ihre Server. | |Mit freundlichen Gruessen | |[Name] | |################################################################ |Anbei der vollstaendige Header und der Text der |unerwuenschten Werbemail: | |8<-------------------------------------------------------------- | [Hier Header und Text der Mail einfuegen] |--------------------------------------------------------------->8 * Englischsprachige Version *************************************** |Hello, | |I received the following unsolicited email (junk email, spam) from |one of your customers which was injected at your site. | |Please take action according to your Acceptable Use Policy. | |Regards, | |[Name] | |################################################################# |A copy of the UCE with full header information follows: | |8<--------------------------------------------------------------- | [Hier Header und Text der Mail einfuegen] |--------------------------------------------------------------->8 Leider gibt es aber auch Provider, denen es ziemlich egal ist, was ueber deren Server ausgeliefert wird, hier kann dann wirklich nur konsequentes Filtern helfen. Wenn der Spam von einem *deutschen* Absender kommt, kann evtl. auch ein "T5F" (Thoms Fassung von Framstags freundlichem Folterfragebogen aka TFFFFF aka TFFFF) http://www.schnappmatik.de/TFFFFF/ sinnvoll sein. Die "Freundlichen FolterFragen" nehmen Bezug auf das Bundesdatenschutzgesetz und fordern den Versender auf, u.a. die Quelle der Adresse bekannt zu geben. Der "T5F" sollte jedoch nur dann eingesetzt werden, wenn Du ggf. auch bereit bist, die Auskunft auf dem Rechtsweg zu erzwingen. Informationen zur rechtlichen Beurteilung der Spam-Problematik findest Du unter http://www.dr-ackermann.de/spam/ -.-.-.-.- 7. Soll ich nicht einfach die Moeglichkeit zum Austragen nutzen, die mir bei vielen Werbemails geboten wird? =================================== Nein! Wenn Du dies machst, wird Deine Adresse wertvoller, da sie als funktionsfaehig bestaetigt und zudem belegt wird, dass Du solche Mails auch liest. Die Konsequenz wird sein, dass Du noch *viel* mehr Spam bekommst. -.-.-.-.- 8. Ich erhalte Mails mit merkwuerdigen Anhaengen. ============================================== Gerade Windows ist sehr anfaellig fuer Mails mit schaedlichen Anhaengen. Mailclients wie Outlook oder Outlook Express sind eine beliebte Zielgruppe fuer Dateianlagen, die sich als Wuermer entpuppen koennen. Damit wird automatisch ein Mailversand gestartet, der dazu dient, den Dateianhang unkontrolliert zu verbreiten. Du solltest Anhaenge daher nur dann oeffnen, wenn Du sie aus- druecklich angeforderst hast. Auch wenn sie von guten Freunden kommen ist immer Misstrauen angesagt. Bei letzteren kann aber ein Telefonanruf klaeren, warum dieser Anhang geschickt wurde. Windows-User sollten ihr System so einstellen, dass immer die _vollstaendigen_ Dateinamen angezeigt werden (sonst zeigt Windows bekannte Endungen wie z.B. .exe, .doc, .xls usw. nicht an). Folgender Anhang wird z.B. als | dokument.doc angezeigt, obwohl es sich in Wirklichkeit um das ausfuehrbare Programm | dokument.doc.exe handelt. Um die vollstaendigen Informationen angezeigt zu bekommen, musst Du unter den Ordneroptionen des Arbeitsplatzes auf der Registerkarte "Ansicht" den Haken bei "Dateinamenerweiterung bei bekannten Dateitypen ausblenden" entfernen. Wenn der Mailclient unguenstig konfiguriert wurde, kann es passieren, dass das System verseucht wurde, ohne dass ein explizites Oeffnen des Dateianhanges erfolgte. Die Installation eines regelmaessig aktualisierten Virenscanners kann in solchen Faellen dazu beitragen, eine solche Infektion rechtzeitig zu erkennen oder zu verhindern. Natuerlich solltest Du auch regelmaessig nachsehen, ob es nicht neue Updates fuer Dein Mail- programm gibt, die erkannte Sicherheitsluecken beheben. In letzter Zeit tauchen auch Schadprogramme auf, die - wenn sie ausgefuehrt werden - den infizierten Rechner unbemerkt zu einem sogenannten "offenen Proxy" umkonfigurieren. Es wird also ein Programm installiert, das den Versand von Mails auch fuer Unbekannte ermoeglicht. Dies bedeutet, dass Spammer ihre Werbung - unbemerkt vom Besitzer des befallenen Rechners - darueber versenden koennen und kaum noch zu identifizieren sind! In der Gruppe t-online.info.archiv findest Du unter der Message-ID <3ed26142.16342921@T-Online-Team.dialin.t-online.de> einen Artikel, der diesen Sachverhalt sehr ausfuehrlich erlaeutert. Wenn bei Dir eine verseuchte Mail eintrifft, dann schreibe den Versender an, dass sein System durch einen Mailwurm infiziert wurde und bitte ihn, fuer eine alsbaldige Entfernung des Schaedlings Sorge zu tragen. Vorsicht: ========= Es ist von Wurm zu Wurm unterschiedlich, ob die From-Adresse der wirkliche Absender ist oder vom Wurm willkuerlich eingesetzt wurde. Im letzteren Fall wuerde jemand angeschrieben, der evtl. gar keinen Wurm installiert und ueberhaupt nichts mit dem Mail-/Wurmversand zu tun hat. Wenn Du im Header ein |Received: from xyz (081547-0001@[ip.ip.ip.ip]) by fwdXY.sul.t-online.com als *ersten* Eintrag (der steht dann ganz *unten*) findest, dann duerfte die Absenderadresse stimmen, da dieser Mailserver die eMail-Adresse mit der tatsaechlichen T-Online Adresse ueberschreibt. Sollten weiterhin verseuchte Mails bei Dir eintreffen, dann beschwere Dich beim Provider des Versenders und bitte ihn, den User fuer den Mailzugang zu sperren, bis jener sein lokales Problem behoben hat. Wenn der Virus oder Wurm von einem T-Online Kunden versendet wurde, dann achte bitte darauf, dass Du die Beschwerde an abuse@t-online.com als reine Textnachricht versendest und nur die Kopfzeilen der infizierten Mail einfuegst, da das interne Mailsystem von T-Online kritische Dateianhaenge ungelesen loescht. Unter http://www.th-h.de/faq/hybris.html kannst Du weitere Informationen zum Thema Mailwuermer bekommen. -.-.-.-.- 9. Zusammenfassung =============== Diese Mini-FAQ kann natuerlich nur einen kleinen Aspekt der Spam-Thematik erfassen. Sie soll Anregungen geben, um den Belaestigungen entgegenzuwirken. Fragen zu Mailfiltern koennen in der internen Newsgroup t-online.programme.email gestellt werden. Das Thema "Unerwuenschte Werbemails" sollte in der internen Gruppe t-online.talk.internet diskutiert werden. Fuer eine erfolgreiche Spam-Bekaempfung werden die wichtigsten Links hier nochmals zusammengefasst: Header und Adressen: http://www.th-h.de/faq/headrfaq.html Merkwuerdige Mails: http://www.th-h.de/faq/hybris.html FAQ fuer danam: http://home.snafu.de/laura/de.admin.net-abuse.mail.txt Adressenfaelschung: http://www.gerlo.de/falsche-email-adressen.html Provider ermitteln: http://www.iks-jena.de/cgi-bin/whois Windows-Hilfsmittel: http://www.samspade.org/ssw/ -.-.-.-.- 10.Danksagung ========== Mein Dank fuer die Mitwirkung an dieser FAQ geht an - die Autoren der von mir zitierten Texte - Renate Husmann, bei der man unter www.rhusmann.de auch solche Kuerzel wie 'Spam' erklaert bekommt;-) - Frank Ellermann - Martin Brunzel - Andreas Hirschberg - Dietmar Adomeit - Maik Bischoff - Rosie Schuler die insbesondere dazu beigetragen hat, dass meine schlimmsten Tippfehler entsorgt wurden. - Juergen G Kuehne - x/42 T-Online-Team - Paul Schmitz-Josten - Michael Logies und natuerlich Holger Kremb fuer die Erstellung und Pflege der HTML-Version sowie allen anderen Usern, die ich hier evtl. vergessen haben sollte. X-Post, FollowUp-To t-online.talk.internet