From nutznetz@kromm-at-home.de Fri Jun 20 00:09:27 2003
Path: news.t-online.com!newsmm00.sul.t-online.com!t-online.de!news.t-online.com!not-for-mail
From: Joachim Kromm <nutznetz@kromm-at-home.de>
Newsgroups: t-online.info.tips+tricks,t-online.talk.internet,t-online.neubenutzer.fragen,t-online.programme.email
Subject: Spam-FAQ <2003-06-19>
Supersedes: <3ecd27e7.6670968@T-Online-Team.dialin.t-online.de>
Followup-To: t-online.talk.internet
Date: Fri, 20 Jun 2003 00:09:27 +0200
Organization: T-Online
Lines: 826
Sender: T-Online-Team@t-online.com
Approved: T-Online-Team@t-online.com
Message-ID: <3ef733eb.5625750@T-Online-Team.dialin.t-online.de>
Mime-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
X-Trace: news.t-online.com 1056060567 04 20606 vmOvV+SVSCaxWV 030619 22:09:27
X-Complaints-To: usenet-abuse@t-online.de
X-ID: VPthmcZLZeOrm7f2cV8lUp9xh4Op-7FoxeCwFWuEmqByCfbVm0d88z
X-Newsreader: Forte Agent 1.93/32.576 English (American)


                     ======================================
                       Unerwuenschte Werbemails vermeiden
                               - Infos und Tipps -
                     ======================================

Die HTML-Version kann unter http://spam-faq.usenet-abc.de/tol/
abgerufen werden.

 * Aenderungen
 -------------
   -Punkt 0   Erweitert.
   -Punkt 1.1 Erweitert.
   -Punkt 1.3 Eingefuegt.
   -Punkt 4.2 Kleiner Stilfehler entsorgt.
   -Punkt 5   Erweitert
   -Punkt 6   Aufgeteilt in Unterpunkte 6.1 und 6.2.
              Mustertexte fuer Beschwerden aufgenommen.
              Teilweise inhaltlich ergaenzt.

Inhalt
------

0. Einleitung

1. Warum bekomme ich so viel unerwuenschte Werbung?
   1.1 Allgemeine Informationen
   1.2 Warum erhalten diese Mails oftmals willkuerliche Zeichenfolgen?
   1.3 Warum erhalte ich ploetzlich sehr viele Mails, die besagen,
       dass meine Mail nicht zugestellt werden konnte, obwohl ich
       da gar nichts versendet habe?

2. Wieso  bekomme ich Mails, bei denen ich gar nicht als Empfaenger
   angegeben bin?

3. Waere es dann nicht einfach sinnvoll, eine ungueltige Adresse zu
   verwenden?

4. Was kann ich denn gegen diesen Werbemuell unternehmen?
   4.1 Der Trick mit dem Reply-To
   4.2 Wie komme ich an zusaetzliche eMail-Adressen

5. Kann ich nicht bereits auf dem Server die Mails loeschen lassen?

6. Kann ich solche Mails nur filtern, oder gibt es noch andere
   Moeglichkeiten dagegen vorzugehen?
   6.1 Allgemeine Informationen
   6.1 Kleines Beschwerdeeinmaleins

7. Soll ich nicht einfach die Moeglichkeit zum Austragen nutzen, die
   mir bei vielen Werbemails geboten wird?

8. Ich erhalte Mails mit merkwuerdigen Anhaengen.

9. Zusammenfassung

10.Danksagung

                               -.-.-.-.-

0 . Einleitung:
===============

Diese FAQ soll einige der haeufig gestellten Fragen zum Thema 'Spam' -
also unerwuenschter Werbung - im Mailverkehr beantworten. Eine
HTML-Version ist unter http://spam-faq.usenet-abc.de/tol/
abrufbar.

Der Begriff "Spam" wird auch mit "Send Phenomenal Amounts of Mail"
uebersetzt. Dies bedeutet so viel wie "riesige Mengen von Mails zu
versenden".

Urspruenglich wurde nur Werbung im Usenet oder in Mailinglisten damit
bezeichnet. Heute wird vielfach UBE (Unsolicited Bulk eMail) also
unverlangte Massen eMail oder UCE (Unsolicited Commercial eMail) d.h.
unverlangte kommerzielle eMail so genannt.

Hier werden diese beiden Begriffe unter dem Sammelbegriff "Spam"
zusammengefasst.

An dieser Stelle noch eine kurze Zusammenfassung haeufig verwendeter
Abkuerzungen und Begriffe:

FAQ         :  (Frequently Asked Questions) haeufig gestellte Fragen
---------
MLM         :  (Multi Level Marketing) Strukturvertrieb. Ein Verkaufs-
               system, bei dem der Kunde selbst Kunden wirbt und so zum
               Bestandteil des Systems wird.
UBE         :  (Unsolicited Bulk eMail) unverlangte Massen eMail
UCE         :  (Unsolicited Commercial eMail) unverlangte kommerzielle
               eMail
---------
T5F         :  Thoms Fassung von Framstags freundlichem Folterfrage-
               bogen
---------
Headerzeilen:  Kopfzeilen einer Mail ("Anzeigen alle Kopfzeilen")
               Hier kann der Weg einer Mail anhand der Eintraege
               der beteiligten Mailserver nachvollzogen werden.
MTA         :  (Mail transfer agent) Programm zum Transportieren von
               eMails (Mailserver)
MUA         :  (Mail User Agent) Programm zum Lesen und Beantworten
               von eMails
POP         :  (Post Office Protocol) Protokoll zum Zugriff auf das
               email-Postfach. POP3 bedeutet, dass Version 3 dieses
               Protokolls verwendet wird.
Reply-To    :  Adresse, an die Mail-Antworten gehen sollen
SMTP        :  (Simple Mail Transfer Protocol) Protokoll zum Ueber-
               tragen elektronischer Post vom PC zu einem Mail-
               Server.
Bounce      :  (englisch fuer: Sprung, Aufprall) Falls eine Mail

               nicht zugestellt werden kann, erhaelt der Absender
               seine Mail oder einen Auszug davon mit einem
               Unzustellbarkeitsvermerk zurueck.

                               -.-.-.-.-

1.  Warum bekomme ich so viel unerwuenschte Werbung?
====================================================

   1.1 Allgemeine Informationen
   -----------------------------
    Wenn Du im Usenet postest, ist es unvermeidlich, dass ploetzlich
    sehr viele unerwuenschte Werbemails in Deinem Postfach landen.

    Spammer koennen recht einfach eMail-Adressen aus Newsgroups
    beziehen, ohne dass sie hierzu die kompletten Artikel laden
    muessen.

    Wenn Du Deine eMail-Adresse in Webformulare eintraegst, kann es
    ebenfalls geschehen, dass diese Adresse in Datenbanken landet, die
    fuer Werbemails verwendet werden.

    Ein Eintrag in eines der vielen Gaestebuecher auf diversen
    Homepages veroeffentlicht Deine Mailadresse natuerlich weltweit.
    Deswegen solltest Du hier auch ein wenig vorsichtig sein.

    "E-cards", also digitale Glueckwunschkarten, koennen weiterhin
    dazu fuehren, dass Deine Adresse in unerwuenschten Haenden landet.

    Die Mailadresse auf Deiner Homepage wird mit grosser Wahr-
    scheinlichkeit ebenfalls durch Programme erfasst und in
    entsprechenden Datenbanken gespeichert.

    Der erste Ratschlag kann daher nur sein, dass Du die eMail-Adresse
    fuer die persoenlichen Kontakte nicht oeffentlich - also in frei
    zugaenglichen Quellen - verbreitest.

    Es sind allerdings auch sogenannte Woerterbuchangriffe denkbar, bei
    denen aus einer Datenbank haeufige Vor- und Nachnamen mit dem
    Domainnamen eines grossen Providers verknuepft werden. So kann der
    Spammer z.B. "hans.mueller@t-online.de" erzeugen, ohne die Adresse
    wirklich zu kennen. Wenn diese Methode auch augenscheinlich
    effektiv aussieht, wird sie vermutlich an den Teergruben
    (Info: http://www.iks-jena.de/mitarb/lutz/usenet/teergrube.html)
    von T-Online scheitern. Die Welle koennte gleichwohl z.B. Adressen
    am Anfang des Angriffs erwischen, bevor die Abwehrmassnahmen
    greifen.

    Grundsaetzlich solltest Du eine eMail-Adresse waehlen, deren
    "Localpart", also der Teil vor dem "@", nicht zu kurz ist. Damit
    kannst Du schonmal einfachen Angriffen, die darauf beruhen,
    verschiedene Buchstaben-/Zahlenkombinationen auszutesten, begegnen.

    Wie bereits beschrieben ist die Kombination "vorname" + "nachname"
    (auch mit einem zulaessigen Trennzeichen wie "." oder "-" versehen)
    keine gute Idee. Verwende eine Adresse, die lang genug ist, so dass
    sie nicht einfach zu erraten ist.

    Da Deine "kanonische" eMail-Adresse - also jene Zahlenkombination,
    die bis vor kurzem noch als "X-Sender" bei jedem Posting ueber den
    T-Online Newsserver im Usenet veroeffentlicht wurde - nur eine
    Folge von Zahlen darstellt, wird es unausweichlich sein, dass Du
    auch auf diese Adresse Spam erhaeltst, ohne diese Adresse irgendwie
    bekannt gegeben zu haben. Es sind durchaus Faelle bekannt, wo
    ein wirklich neuer Benutzer Werbemails erhalten hat, ohne dass
    diese eMail-Adresse in irgendeiner Form bekannt gegeben wurde.

    Sei bitte vorsichtig beim Oeffnen von HTML-Mails, solange Du online
    bist. Es koennen Links enthalten sein, die Bilder direkt von einer
    Webseite nachladen! Es ist moeglich, dass der Absender durch dieses
    Nachladen bereits erkennen kann, wer die Spammail geoeffnet bzw.
    gelesen hat. Damit ist die Gueltigkeit Deiner eMail-Adresse
    automatisch bestaetigt. Oeffnet man eine HTML-Mail offline,
    besteht diese Gefahr nicht, sofern Du keine automatische Einwahl
    aktiviert hast. Falls Dein Mailclient die Ausfuehrung von
    aktiven Inhalten (Scripte und Aehnliches) unterstuetzt, solltest
    Du ihn so konfigurieren, dass diese Funktionen unterbunden werden.

    Sofern Dein Mailclient automatisch Eingangsbestaetigungen erzeugt,
    koennten Spammer diese Funktion ebenfalls ausnutzen. Du solltest
    diese Funktionalitaet daher besser abstellen.

    news:3cde3f88.4656201@T-Online-Team.dialin.t-online.de in der
    Gruppe t-online.info.archiv liefert zu diesem Thema einige
    Grundlagen.

   1.2 Warum enthalten diese Mails oftmals willkuerliche
       Zeichenfolgen?
   ------------------

    Die von den Spammern verwendete Software setzt oftmals will-
    kuerliche Zeichenfolgen in den Betreff oder an das Ende des
    Mailtextes, um hiermit Filter zu umgehen, die eine grosse
    Anzahl gleichlautender Mail erkennen und aussortieren.

    Die zufaelligen Zeichenfolgen lassen eine Serie von Mails
    unterschiedlich erscheinen, da z.B. eine Pruefsumme ueber den
    Betreff oder auch den Mailtext jedesmal ein anderes Ergebnis
    ergibt.

   1.3 Warum erhalte ich ploetzlich sehr viele Mails, die besagen,
       dass meine Mail nicht zugestellt werden konnte, obwohl ich
       da gar nichts versendet habe?
   ------------------

   Einer der Hauptgruende duerfte sein, dass ein Spammer Deine
   eMail-Adresse als Absender verwendet. Da Spammer oftmals an
   alles senden, was wie eine eMail-Adresse aussieht, landen die
   Meldungen ueber die Unzustellbarkeit in Deiner Mailbox.

   Du musst dann leider auch damit rechnen, dass sich Empfaenger
   des Spam bei *Dir* beschweren.

   Leider kannst Du gegen diese Form des Missbrauchs Deiner
   eMail-Adresse wenig unternehmen. Da der Spammer vermutlich
   diesen Adressenmissbrauch nur fuer eine seiner Spamwellen
   betrieben hat, kannst Du jedoch hoffen, dass der Spuk nach
   einigen Tagen wieder aufhoert.

   Falls Beschwerden bei Deinem Provider eingehen sollten, wird
   dieser an den Headerzeilen der eingesandten Mails erkennen,
   dass nicht Du der Versender der Mails bist.

   Es wird jedoch auch von eMail-Wuermern berichtet, die sich
   als Bounce tarnen und den Schaedling als Anhang mitfuehren.
   Unter Punkt 8 dieses Textes findest Du Informationen zu
   eMails mit schaedlichen Anhaengen.

                                -.-.-.-.-

2. Wieso bekomme ich Mails, bei denen ich gar nicht als Empfaenger
   angegeben bin?
   ==============

    Dies haengt damit zusammen, wie Mails behandelt werden. Deine Mail
    wird beim Transport in einen 'Umschlag' gesteckt, der dem
    elektronischen Postboten (Mailserver) angibt, wer die Nachricht
    erhalten soll.

    Der Inhalt der Mail - mit der dort eingetragenen Adresse - wird
    dabei gar nicht ausgewertet.

    Liegt die Mail im elektronischen Postkasten, dann wird der
    Umschlag vom Mailserver entfernt.

    Um beim Beispiel zu bleiben:

    Wenn jemand auf einen Umschlag

       "Herrn
        Willi Winzig
        Musterstrasse 10
        47110815 Musterstadt"

    schreibt und auf den Brief

       "Frau
        Thea Mustermann
        Kleiner Weg 12
        08154711 Irgendwo"

    dann stellt der Postbote natuerlich an Herrn Winzig zu. Wird der
    Umschlag von Frau Winzig weggeworfen, dann ist es klar, dass Herr
    Winzig sich ueber den Irrlaeufer wundert ;-)

                                 -.-.-.-.-

3. Waere es dann nicht einfach sinnvoll, eine ungueltige
   Adresse zu verwenden?
   =====================

   Nein!

   Damit schaedigst Du das Netz, weil hierdurch Mails, die an Dich
   gesendet werden sollen, als so genannte Bounces an den Absender
   zurueckgehen.

   Verantwortungsvolle Postmaster werden auch nachsehen, ob nicht ein
   Fehler in der Konfiguration des Mailservers vorliegt. Ihnen wird
   durch diese Adressfaelschung unnoetige Arbeit bereitet.

   Spammer haben zudem die Moeglichkeit, Zusaetze wie "nospam",
   "remove" u.ae. einfach zu entfernen. Im Regelfall geht dann der
   Spam sowohl an die verfaelschte als auch an die 'bereinigte'
   eMail-Adresse.

   http://www.faqs.org/faqs/de-net-abuse/falsche-email-adressen-faq/
   gibt weitere Informationen zu diesem Thema.

   Als Kunde von T-Online riskierst Du auch Deinen Zugang, wenn Du
   eine gefaelschte eMail-Adresse verwendest.

                               -.-.-.-.-

4. Was kann ich denn gegen diesen Werbemuell unternehmen?
   ======================================================

   4.1 Der Trick mit dem Reply-To
   ------------------------------

    Es ist sinnvoll, neben der "From"-Adresse noch eine zusaetzliche
    "Rueckantwort"-Adresse (Reply-To) zu verwenden.

    Auf die "Rueckantwort"-Adresse wird im Regelfall (bisher) noch
    recht wenig Werbung einschlagen. Dies liegt daran, dass der
    Sammler der Adressen hierzu den vollstaendigen Artikel laden
    muesste.

    Mit zwei unterschiedlichen, gueltigen eMail-Boxen kannst Du
    daher den Spam gut von den gewuenschten Antworten trennen:

    |From    = aaa.winzig@provider.tld
    |Reply-To= willi.winzig@provider.tld

    Die erste Adresse wirkt wie eine Muelltonne; sie wird von den
    Spammern ausgewertet und mit Werbung belegt. Die zweite ist die
    "Gute"; dorthin erhaeltst Du normalerweise die Mail-Antworten aus
    den Newsgroups.

    Mit einem kleinen (allerdings nicht unumstrittenen) Trick kannst
    du *ggf.* die Spammer austricksen, wenn diese die kompletten Header
    auswerten:

    Trage in die "Rueckantwort"-Adresse eine _gueltige_ eMail-Adresse
    ein, die den Zusatz "NoSpam" o.Ae. enthaelt und auf Deine "From"-
    Adresse verweist.

    Also z.B.:

    |From    = williwinzig@provider.tld
    |Reply-To= williNOSPAMwinzig@provider.tld

    Sofern die Software, die von den Adressensammlern verwendet wird,
    solche Zusaetze automatisch entfernt, wird der Werbemuell auf
    genau der Adresse landen, die Du fuer Werbemuell reserviert hast.

    Wenn Du dieses Verfahren verwendest, kann es vorkommen, dass sich
    einige User beschweren, da sie annehmen, dass sie mit unnoetiger
    Adressenbastelei belaestigt werden. Es gibt auch Teilnehmer, die
    einen solchen Zusatz generell als 'asozial' ansehen und deswegen
    grundsaetzlich keine Mails an solche Adressen senden.

    Du solltest also abwaegen, ob ein solcher Zusatz fuer Dich
    sinnvoll ist und Du mit den Konsequenzen leben kannst.

    Bitte beachte auf jeden Fall, dass *beide* Adressen natuerlich
    gueltig sein muessen!

    Sowohl "From" als auch "Reply-To" sollten Adressen enthalten, die
    nicht fuer normalen Mailverkehr verwendet werden. Nur so kann man
    sicherstellen, dass private Mails nicht aus Versehen durch Filter-
    konstruktionen geloescht werden.

    Denke aber daran, dass die bei Dir angezeigte Adresse (wie unter
    Punkt 2 der FAQ erlaeutert) gar nichts mit der tatsaechlichen
    Adresse zu tun haben muss, an die diese Mail ging. Wenn der
    Mailprovider den 'Envelope-To' - also die Adresse auf dem Umschlag
    - im Header der Mail nicht mitliefert, wird ein effektiver Filter
    scheitern.

    T-Online z.B kann mit seinen Mailservern (derzeit?) diese
    *tatsaechliche* Einlieferungsadresse nicht in einer separaten
    Headerzeile (auf die man dann filtern koennte) dokumentieren.

    Dem manchmal genannten Vorschlag, einen Bounce (d. h. eine
    Fehlermeldung ueber eine unzustellbare Mail) zu erzeugen, sollte
    uebrigens nicht gefolgt werden. Spammer versenden in der Regel die
    Mails mit gefaelschten Absendern. Daher werden sie von einer
    simulierten Fehlermeldung ueber die Unzustellbarkeit recht wenig
    mitbekommen. Da zum Teil die Absenderadressen einfach aus der
    Adressenliste des Spammers entnommen werden, wirst Du sogar Opfer
    des Spamangriffs mit dieser Massnahme treffen.


   4.2 Wie komme ich an zusaetzliche eMail-Adressen
   -------------------------------------------------

    Ueber das Komfortpaket von T-Online kann man zwei zusaetzliche
    eMail-Adressen bekommen.

    Weiterhin kann man sich entsprechende Adressen bei Mailprovidern
    wie z.B. gmx besorgen.

    Dort besteht auch die Moeglichkeit Filter zu verwenden, die
    einen grossen Anteil der unerwuenschten Werbemails evtl.
    automatisch bereits auf dem Mailserver loeschen.

    Bei www.spammotel.com kann man sich auch beliebig viele gueltige
    Weiterleitungsadressen generieren lassen, die bei Auftreten von
    Spam gesperrt oder geloescht werden koennen.

    Eine weitere Empfehlung ist www.despammed.com, dort koennen
    ebenfalls Mails weitergeleitet werden oder eingegangene
    Nachrichten im Browser abgefragt werden. Spam wird nach Auffassung
    der Nutzer recht effektiv gefiltert.

    www.eleven.de bietet einen fuer Privatanwender kostenlosen
    Dienst an, der Mails an ein Postfach weiterleitet und dabei eine
    Bewertung in die Kopfzeilen eintraegt, die zum lokalen Filtern
    verwendet werden kann.

    Die genannten Provider wurden von Usern empfohlen, die Aufzaehlung
    ist auch nicht abschliessend. Es gibt natuerlich auch viele
    weitere Anbieter, die eMail-Adressen - mit oder ohne Filterung auf
    dem Server - anbieten.

    Bezueglich der Zuverlaessigkeit der Mailzustellung kann
    insbesondere bei den Freemailern in dieser FAQ keine
    Gewaehrleistung uebernommen werden.

                               -.-.-.-.-

5. Kann ich nicht bereits auf dem Server die Mails loeschen lassen?
   ================================================================

    T-Online bietet die Moeglichkeit, Filter auf dem Mailserver zu
    konfigurieren, nicht an. Dies wird mit rechtlichen und technischen
    Argumenten begruendet. Die falsche Klassifizierung einer Mail als
    Spam koennte zu erheblichen Schadenersatzanspruechen fuehren.
    Der technische Aufwand um Filter zu ermoeglichen, die durch den
    Kunden jeweils an dessen persoenliche Ansprueche angepasst werden
    koennen, wuerde eine sehr kostenintensiven Aufruestung der
    Server erfordern.

    Wenn der Mailclient keine speziellen Funktionen zum Filtern
    bietet, kann unter Windows ein Zusatztool wie z.B.
    "POP3 Scan Mailbox" von
    http://www.kempston.demon.co.uk/smb/intro.html verwendet werden.

    Hiermit kann man Mails bereits auf dem Server loeschen, bevor sie
    vollstaendig heruntergeladen werden.

    Mit WebMail bietet T-Online eine weitere Alternative, um Mails zu
    loeschen, bevor sie geladen werden. Hierzu genuegt es, den
    bevorzugten Webbrowser zu verwenden. Du kannst Dich fuer diesen
    Dienst unter dem folgenden URL anmelden:

    http://service.t-online.de/t-on/dien/emai/star/CP/start.html

    In der Newsgroup t-online.info.tips+tricks gibt es zu WebMail auch
    eine FAQ, die weitergehende Fragen beantwortet.

    Ein lokaler Mailserver wie der Hamster von http://www.tglsoft.de
    bietet erweiterte Moeglichkeiten, Mails zu filtern oder ggf. auf
    ein eigenes "Spam-Postfach" umzuleiten. Weitere Informationen zu
    Hamster findest Du unter http://hamster.arcornews.de/micha/

    Auf http://www.gohel.de/spamproxy gibt es einen kompakten und
    leistungsfaehigen Mail- und Newsproxy, der sich transparent in den
    Datenstrom schaltet und selbst ohne komplette
    Mailserverfunktionalitaet die effektive Filterung unerwuenschter
    Mails mit jedem Mailclient ermoeglicht. Der SpamProxy laeuft stabil
    und beansprucht fuer die gebotene Leistungsfaehigkeit nur sehr
    wenig Systemressourcen.

    SpamPal, das unter http://www.spampal.de geladen werden kann,
    verfolgt ebenfalls einen interessanten Ansatz. Dieses Windows-
    Programm wird zwischen Mailserver und Mailclient geschaltet und
    klassifiziert eingehende Mails anhand von oeffentlichen Listen, in
    denen Mailserver registriert sind, die von Spammern regelmaessig
    missbraucht werden. In den Kopfzeilen der eingehenden Mail wird
    dann ein entsprechender Vermerk aufgenommen, der ein eindeutiges
    Filterkriterium darstellt.

    PopFile, das unter http://popfile.sourceforge.net/ fuer
    verschiedene Betriebssysteme zu finden ist, arbeitet ebenfalls
    als transparenter Proxy, der zwischen Mailserver und Mailclient
    geschaltet wird. Eingehende Mails werden mit Hilfe statistischer
    Wortanalyse (Bayes) klassifiziert. Nach einer gewissen Anlernphase
    wird Spam dann recht zuverlaessig erkannt. Das Ergebnis der
    Bewertung wird als Kopfzeile in die Mail eingefuegt oder als
    Markierung dem Subject der Mail hinzugefuegt, so dass auch hier
    ueber den eMail-Client entsprechend gefiltert werden kann.
    Eine deutschsprachige Anleitung zu diesem Programm ist unter
    http://popfile.sourceforge.net/manual/de/manual.html
    zu finden.

    Fuer den Mailfilter des Hamster gibt es Anregungen unter
    http://spamabwehr.sakrak.net/, die ggf. auch in anderen
    Mailclients uebernommen werden koennen, sofern diese
    Regulaere Ausdruecke unterstuetzen.

    Informationen zu Regulaeren Ausdruecken findest Du unter
    http://www.regenechsen.de . Dort wird ein Einfuehrungstext ange-
    boten, der sich zwar hauptsaechlich auf den eMail-Client TheBat!
    bezieht, aber insbesondere das Thema RegExp auch fuer Einsteiger
    nachvollziehbar behandelt.

    Weitere ausfuehrliche Informationen zu Regulaeren Ausdruecken
    findest Du unter
    http://selfhtml.teamone.de/cgiperl/sprache/regexpr.htm

    Unter http://www.belwue.de/support/spamblock.html sind weitere
    Anregungen zu finden, um effektive Filter einzurichten.

    Es ist jedoch stets zu beruecksichtigen, dass Filter durchaus auch
    *erwuenschte* Mails loeschen koennen. Daher ist es keine gute
    Idee, vorgefertigte Filter zu uebernehmen, wenn man deren
    Wirkungsweise nicht versteht.

    Der Artikel
    news:3b74f117.14787314@T-Online-Team.dialin.t-online.de
    in der Gruppe t-online.info.archiv gibt zu diesem Thema weitere
    Informationen. Dort werden auch Tipps auf andere Tools gegeben,
    mit denen Mails auf dem Server geloescht werden koennen, bevor der
    komplette Inhalt heruntergeladen wurde.

                               -.-.-.-.-

6. Kann ich solche Mails nur filtern, oder gibt es noch andere
   Moeglichkeiten dagegen vorzugehen?
   ==================================

   6.1 Allgemeine Informationen
   ------------------------------
   Das Filtern solcher Werbemails kann nur der letzte Schritt sein.

   Sinnvoll ist es, sich beim Provider des Versenders einer solchen
   Mail zu beschweren.

   http://www.th-h.de/faq/headrfaq.html liefert Dir die notwendigen
   Informationen, um die Kopfzeilen der Mail auszuwerten.

   http://www.iks-jena.de/cgi-bin/whois ist dann ein geeignetes
   Werkzeug um den Provider anhand der Headereintraege des einliefernden
   Mailservers herauszufinden.

   Unter http://www.samspade.org/ssw/ findest Du ein Programm,
   das Dir unter Windows bei der aktiven Spambekaempfung helfen kann.

   Beachte bitte bei Deiner Headeranalyse, dass oftmals nur die erste
   IP im Header echt sein muss.

   Eine _hoefliche_ Beschwerde an den von Dir ermittelten Provider
   kann durchaus sinnvoll sein, um die zukuenftige Versendung weiterer
   Werbemails von dort zu unterbinden.

   Wenn Du noch weitergehende Fragen hast, koennen diese in der
   Newsgroup de.admin.net-abuse.mail gestellt werden.

   Vorher sollten aber zumindest die FAQ unter
   http://www.faqs.org/faqs/de-net-abuse/mail-faq/ gelesen und die
   Postings in dieser Gruppe eine gewisse Zeit verfolgt werden.

   Folge bitte vor allen Dingen dem Ratschlag, die Gruppe zunaechst
   nur zu *lesen*!

   Es werden wirklich viele Fragen schon beantwortet, wenn man in
   dieser Gruppe mit seinem Newsreader einfach nach dem Betreff seiner
   'eigenen' Werbemail sucht.

   6.2 Kleines Beschwerdeeinmaleins
   --------------------------------
   Beschwerden bei den entsprechenden Providern koennen helfen, die
   Flut unerwuenschter Werbemails einzudaemmen, auch wenn nicht jeder
   Provider auf eine Beschwerde persoenlich per Mail reagiert.

   Du solltest fuer die Beschwerde die Mail mit *allen* Headerzeilen
   (dem Mail-Kopf) an die Abuse-Abteilung des Providers weiterleiten.
   Als Betreff schreibst Du dann z.B.:

       [UCE] 1.000.000  $$$  in 3 days!!!

   wenn der Spam den Betreff "1.000.000 $$$ in 3 days!!!" traegt.

   Erlaeutere evtl. noch in kurzen Worten, warum Du aus den Headern
   schliesst, dass die Zustaendigkeit des Providers gegeben ist und
   bitte darum, dass entsprechende Massnahmen ergriffen werden.

   Die folgenden Mustertexte kannst Du als Anregung fuer eigene
   Beschwerdemails verwenden. Falls es sich bei der unerwuenschten
   Mail nicht um UCE handelt, sondern um einen eMail-Wurm oder -Virus
   (siehe Punkt 8 dieses Textes), dann ersetze die Beschreibung in den
   Klammern durch "Worm, Virus".

   Bedenke bitte, dass eine Beschwerdemail an die Abuse-Abteilung des
   Providers moeglichst knapp gefasst werden sollte, um dort keine
   unnoetige Arbeitsbelastung hervorzurufen.

   * Deutschsprachige Version ****************************************

    |Hallo,
    |
    |ich erhielt die folgende unverlangte eMail (UCE oder Spam) von
    |einem Ihrer Kunden, die ueber Ihre Server versendet wurde.
    |
    |Bitte ergreifen Sie entsprechende Massnahmen gegen das Versenden
    |dieser Mails ueber Ihre Server.
    |
    |Mit freundlichen Gruessen
    |
    |[Name]
    |
    |################################################################
    |Anbei der vollstaendige Header und der Text der
    |unerwuenschten Werbemail:
    |
    |8<--------------------------------------------------------------
    |               [Hier Header und Text der Mail einfuegen]
    |--------------------------------------------------------------->8


   * Englischsprachige Version ***************************************
    |Hello,
    |
    |I received the following unsolicited email (junk email, spam) from
    |one of your customers which was injected at your site.
    |
    |Please take action according to your Acceptable Use Policy.
    |
    |Regards,
    |
    |[Name]
    |
    |#################################################################
    |A copy of the UCE with full header information follows:
    |
    |8<---------------------------------------------------------------
    |               [Hier Header und Text der Mail einfuegen]
    |--------------------------------------------------------------->8

   Leider gibt es aber auch Provider, denen es ziemlich egal ist, was
   ueber deren Server ausgeliefert wird, hier kann dann wirklich nur
   konsequentes Filtern helfen.

   Wenn der Spam von einem *deutschen* Absender kommt, kann evtl. auch
   ein "T5F" (Thoms Fassung von Framstags freundlichem
   Folterfragebogen aka TFFFFF aka TFFFF)
   http://www.schnappmatik.de/TFFFFF/ sinnvoll sein.
   Die "Freundlichen FolterFragen" nehmen Bezug auf das
   Bundesdatenschutzgesetz und fordern den Versender auf, u.a. die
   Quelle der Adresse bekannt zu geben. Der "T5F" sollte jedoch nur
   dann eingesetzt werden, wenn Du ggf. auch bereit bist, die Auskunft
   auf dem Rechtsweg zu erzwingen.

   Informationen zur rechtlichen Beurteilung der Spam-Problematik
   findest Du unter http://www.dr-ackermann.de/spam/

                               -.-.-.-.-

7. Soll  ich  nicht einfach die Moeglichkeit zum Austragen nutzen,
   die mir bei vielen Werbemails geboten wird?
   ===================================

   Nein!

   Wenn Du dies machst, wird Deine Adresse wertvoller, da sie als
   funktionsfaehig bestaetigt und zudem belegt wird, dass Du solche
   Mails auch liest.

   Die Konsequenz wird sein, dass Du noch *viel* mehr Spam bekommst.

                               -.-.-.-.-

8. Ich erhalte Mails mit merkwuerdigen Anhaengen.
   ==============================================

   Gerade Windows ist sehr anfaellig fuer Mails mit schaedlichen
   Anhaengen. Mailclients wie Outlook oder Outlook Express sind eine
   beliebte Zielgruppe fuer Dateianlagen, die sich als Wuermer
   entpuppen koennen. Damit wird automatisch ein Mailversand
   gestartet, der dazu dient, den Dateianhang unkontrolliert zu
   verbreiten.

   Du solltest Anhaenge daher nur dann oeffnen, wenn Du sie aus-
   druecklich angeforderst hast.
   Auch wenn sie von guten Freunden kommen ist immer Misstrauen
   angesagt. Bei letzteren kann aber ein Telefonanruf klaeren,
   warum dieser Anhang geschickt wurde.

   Windows-User sollten ihr System so einstellen, dass immer die
   _vollstaendigen_ Dateinamen angezeigt werden (sonst zeigt Windows
   bekannte Endungen wie z.B. .exe, .doc, .xls usw. nicht an).

   Folgender Anhang wird z.B. als

   |   dokument.doc

   angezeigt, obwohl es sich in Wirklichkeit um das ausfuehrbare
   Programm

   |   dokument.doc.exe

   handelt.

   Um die vollstaendigen Informationen angezeigt zu bekommen, musst Du
   unter den Ordneroptionen des Arbeitsplatzes auf der Registerkarte
   "Ansicht" den Haken bei "Dateinamenerweiterung bei bekannten
   Dateitypen ausblenden" entfernen.

   Wenn der Mailclient unguenstig konfiguriert wurde, kann es
   passieren, dass das System verseucht wurde, ohne dass ein
   explizites Oeffnen des Dateianhanges erfolgte. Die Installation
   eines regelmaessig aktualisierten Virenscanners kann in solchen
   Faellen dazu beitragen, eine solche Infektion rechtzeitig zu
   erkennen oder zu verhindern. Natuerlich solltest Du auch
   regelmaessig nachsehen, ob es nicht neue Updates fuer Dein Mail-
   programm gibt, die erkannte Sicherheitsluecken beheben.

   In letzter Zeit tauchen auch Schadprogramme auf, die - wenn
   sie ausgefuehrt werden - den infizierten Rechner unbemerkt zu
   einem sogenannten "offenen Proxy" umkonfigurieren.
   Es wird also ein Programm installiert, das den Versand von
   Mails auch fuer Unbekannte ermoeglicht.

   Dies bedeutet, dass Spammer ihre Werbung - unbemerkt vom Besitzer
   des befallenen Rechners - darueber versenden koennen und kaum noch
   zu identifizieren sind!

   In der Gruppe t-online.info.archiv findest Du unter der
   Message-ID <3ed26142.16342921@T-Online-Team.dialin.t-online.de>
   einen Artikel, der diesen Sachverhalt sehr ausfuehrlich
   erlaeutert.

   Wenn bei Dir eine verseuchte Mail eintrifft, dann schreibe den
   Versender an, dass sein System durch einen Mailwurm infiziert
   wurde und bitte ihn, fuer eine alsbaldige Entfernung des
   Schaedlings Sorge zu tragen.

   Vorsicht:
   =========

   Es ist von Wurm zu Wurm unterschiedlich, ob die From-Adresse der
   wirkliche Absender ist oder vom Wurm willkuerlich eingesetzt wurde.
   Im letzteren Fall wuerde jemand angeschrieben, der evtl. gar keinen
   Wurm installiert und ueberhaupt nichts mit dem Mail-/Wurmversand zu
   tun hat.

   Wenn Du im Header ein

   |Received: from xyz (081547-0001@[ip.ip.ip.ip]) by fwdXY.sul.t-online.com

   als *ersten* Eintrag (der steht dann ganz *unten*) findest, dann
   duerfte die Absenderadresse stimmen, da dieser Mailserver die
   eMail-Adresse mit der tatsaechlichen T-Online Adresse ueberschreibt.

   Sollten weiterhin verseuchte Mails bei Dir eintreffen, dann
   beschwere Dich beim Provider des Versenders und bitte ihn, den User
   fuer den Mailzugang zu sperren, bis jener sein lokales Problem
   behoben hat.

   Wenn der Virus oder Wurm von einem T-Online Kunden versendet wurde,
   dann achte bitte darauf, dass Du die Beschwerde an
   abuse@t-online.com als reine Textnachricht versendest und nur die
   Kopfzeilen der infizierten Mail einfuegst, da das interne
   Mailsystem von T-Online kritische Dateianhaenge ungelesen loescht.

   Unter http://www.th-h.de/faq/hybris.html kannst Du weitere
   Informationen zum Thema Mailwuermer bekommen.

                               -.-.-.-.-

9. Zusammenfassung
   ===============

   Diese Mini-FAQ kann natuerlich nur einen kleinen Aspekt der
   Spam-Thematik erfassen. Sie soll Anregungen geben, um den
   Belaestigungen entgegenzuwirken.

   Fragen zu Mailfiltern koennen in der internen Newsgroup
   t-online.programme.email gestellt werden. Das Thema "Unerwuenschte
   Werbemails" sollte in der internen Gruppe t-online.talk.internet
   diskutiert werden.

   Fuer eine erfolgreiche Spam-Bekaempfung werden die wichtigsten
   Links hier nochmals zusammengefasst:

   Header und Adressen:
             http://www.th-h.de/faq/headrfaq.html

   Merkwuerdige Mails:
             http://www.th-h.de/faq/hybris.html

   FAQ fuer danam:
             http://home.snafu.de/laura/de.admin.net-abuse.mail.txt

   Adressenfaelschung:
             http://www.gerlo.de/falsche-email-adressen.html

   Provider ermitteln:
             http://www.iks-jena.de/cgi-bin/whois

   Windows-Hilfsmittel:
             http://www.samspade.org/ssw/

                                 -.-.-.-.-

10.Danksagung
   ==========

   Mein Dank fuer die Mitwirkung an dieser FAQ geht an

    - die Autoren der von mir zitierten Texte
    - Renate Husmann, bei der man unter www.rhusmann.de
      auch solche Kuerzel wie 'Spam' erklaert bekommt;-)
    - Frank Ellermann <nobody@xyzzy.claranet.de>
    - Martin Brunzel <Martin.B@gmx.de>
    - Andreas Hirschberg <usenet.andi@gmx.de>
    - Dietmar Adomeit <OMAZLLRXYWUD@spammotel.com>
    - Maik Bischoff <maik@dafb-o.de>
    - Rosie Schuler <Rosie.Schuler@t-online.de>
      die insbesondere dazu beigetragen hat, dass
      meine schlimmsten Tippfehler entsorgt wurden.
    - Juergen G Kuehne <hajuek@gmx.de>
    - x/42 T-Online-Team <T-Online-Team@t-online.com>
    - Paul Schmitz-Josten <PSchmitz-Josten@t-online.de>
    - Michael Logies <logies@web.de>

    und natuerlich Holger Kremb fuer die Erstellung und
    Pflege der HTML-Version

    sowie allen anderen Usern, die ich hier evtl. vergessen
    haben sollte.

X-Post, FollowUp-To t-online.talk.internet

