blog@netplanet

Facebook-Nutzer sind bisweilen so doof, dass selbst die billigste Art von Spam offensichtlich so gut funktioniert, dass niemand das Problem meldet und sich hunderttausende finden, die darauf hereinfallen. Die Masche ist dabei so einfach, dass es schon erstaunt:

Man nehme eine Kunstfigur, beispielsweise Homer Simpson. Man baue eine Facebook-Gruppe, lade dort als Gruppenbild ein Foto von Homer Simpson hoch und erzeuge eine Seite in dieser Gruppe. Diese Seite beinhaltet eine Vorschauseite, die sagt, dass man nach dem Beitritt dieser Gruppe die Möglichkeit habe, zu sehen, wie Homer Simpson “in echt” aussehe. Nachdem man dann der Gruppe beigetreten ist, wird auf eine weitere Facebook-Seite weitergeleitet, die einen Link enthält. Ein Klick darauf führt auf eine Website außerhalb von Facebook – vermutlich vom Gruppeninhaber – auf der dann ein mehr oder weniger lustiges Bild ist, auf dem Homer Simpson mit menschlichen Zügen gemalt ist.

Der Clou hierbei: Diese Website ist verseucht von Werbebannern und lässt alle möglichen Fenster aufpoppen. Prinzipiell wäre es auch kein Problem, mit diesem Trick gleich mal alle gängigen Sicherheitslöcher auszuprobieren und ggf. den Rechner des Besuchers zu befallen.

Das überaus interessante Moment dieser Aktion: Solche Gruppen haben gern mal fünf- bis sechsstellige Fan-Zahlen und deren Bekanntheit verbreitet sich epidemieartig, da standardmäßig ein Gruppenbeitritt einer Person allen seinen Facebook-Freunden in deren Timeline gemeldet wird.

Das alte Motto, dass man auch aus Scheiße Geld machen kann, trifft es hier auf den Kopf.

Ich bin mir nicht so ganz sicher, was da gestern wirklich schiefgelaufen ist oder was der Absender da genau bezweckt hat – zumindest hat es am gestrigen Sonntag eine rekordverdächtige Zahl an Versuchen gegeben, hier ins Weblog Kommentarspam einzuwerfen (einmal auf die Grafik klicken für die Großansicht):

Das meiste davon hat Akismet schon beim Landeversuch erledigt, so dass in meiner Spam-Queue am Ende nur sechs Spams landeten. Dennoch: 1.600 Kommentarspams an einem Tag, das ist einsamer Rekord. Was mich ein kleinwenig an der Kurve beunruhigt, dass offenbar schon am Donnerstag mit der Spam-Lawine begonnen wurde.

E-Mail-Spam ist etwas, was immer schon da war. So nützlich wie Hämorrhoiden, aber andererseits ein Gradmesser dafür, ob der E-Mail-Server überhaupt noch tut oder ob man wichtig ist. Bei dem vielen Müll aus allen Teilen der Erde ist mir das inzwischen auch herzlich egal, denn Thunderbird macht aus der Mülldeponie meines Postfaches wieder ein lesbares E-Mail-Postfach.

Wo mich Spam dann doch interessiert, ist, wenn es deutsche Spam ist, möglicherweise auch noch abgesendet von einem deutschen ISP. Hier ist es nämlich so, dass deutsche ISP auf Hinweise zu Spam-Versand reagieren muss, wenn er sich nicht selbst haftbar machen möchte. Das gilt für mich als Sysadmin bei einem ISP ebenso, wie es für Wettbewerber ebenso zu gelten hat. Auch für Strato. Von einem Server, der bei Strato gehostet wird, bekomme ich in der Zwischenzeit seit vielen Monaten regelmäßig Spam, auf den reagiert werden muss.

Wenn ich mit Providern per Fax kommunizieren muss, kenne ich nichts, außer die RIPE-Datenbank. Vermutlich ist das eine Berufskrankheit eines Systemadministrators, aber ein echter Sysadmin glaubt niemandem etwas, außer wenn es in der RIPE-Datenbank steht. Steht es da nicht, gibt es das auch nicht. Also die betreffende IP-Adresse in das whois eingegeben, als abfragenden whois-Server den RIPE-whois angegeben und als Ergebnis kommt der Eintrag mit den Daten der Verantwortlichen heraus, die für den entsprechenden Netzkreis, aus dem die IP-Adresse stammt, zuständig sind. Und wenn da der größte Sermon drinsteht – die Personen sind meine Ansprechpartner.

Als Abuse-Adresse gibt es eine eigene E-Mail-Adresse. Das ist auf den ersten Blick gut, auf den zweiten Blick aber einfach nur farblich anders hervorgehobene Buchstaben auf weißem Grund – generische Abuse-Adressen sind gern geduldig, weil deren Bearbeitung schmerzhaft ist. Schmerzhaft für die Firma, die einen Kunden verwarnen muss; schmerzhaft für den Mitarbeiter, der mit dem Key Account streiten muss; schmerzhaft für die Reputation, weil immer Leute über Spam, deren Absender und die hostenden Provider schimpfen. Das ist nun mal so.

Also gut, eine Mail an die Abuse-Adresse von Strato losgeschickt. Und siehe da, postwendend kam eine Antwort. Nicht etwa von einem Ticketautomaten, der stolz verkündet, dass man nun eine Nummer geworden ist und man sich offiziell nun um das Anliegen kümmert, nein, sondern eine Mail, die folgendermaßen betitelt ist:

Considered UNSOLICITED BULK EMAIL, apparently from you

Hach, das ist Professionalität auf höchster Ebene – ein Spam-Filter, der die Abuse-Adresse überwacht. Perfekte Sache, denn so bekommt man auch einfach keine Beschwerden mehr, denn jede bessere Beschwerde enthält ja auch den Grund der Beschwerde.

Okay, Strato, ihr wollt es also richtig. Gut, wenn man eine E-Mail-Adresse von Strato sucht, findet man – keine. Unter “Kontakt” nicht, in der FAQ auf der Website nicht, im Impressum nicht. Nur ein E-Mail-Formular, das vermutlich auf eine generische Adresse läuft und dessen Postfach vermutlich ebenso geduldig sein kann, wie die Abuse-Adresse.

Ich würde die RIPE-Datenbank jedoch nicht so mögen, wenn man darin nicht einfach alles finden würde, beispielsweise eine Fax-Nummer der Verantwortlichen des betreffenden IP-Adressnetzes. Dank des Zeitalters von Fritzboxen, die nebenbei faxen können, einbindbaren Fax-Druckertreibern und Deutschland-Flatrates ist ein Fax letztendlich nichts anderes wie eine E-Mail, die dann eben nicht per IP übertragen wird, sondern klassisch über Kabel, Leitungen und Vermittlungsstellen. Dampfmaschinen und ratternde Zahnräder gibt es zwar auch dort nicht mehr, aber man kann sie sich einfach noch vorstellen und man liegt zumindest nicht ganz daneben, denn immerhin ist die für mich zuständige Vermittlungsstelle der Deutschen Telekom erst 1996 auf digitalen Betrieb umgestellt worden.

Und dafür hat man auch richtig viel Zeit, denn die Beschwerde und die 16 Spam-Nachrichten passen auf 20 Word-Seiten, die man bei einer Baud-Rate von 14.400 in immerhin 13 Minuten und 26 Sekunden zwischen Pforzheim und Berlin übertragen bekommt! Hey, ich habe vor so einer technischen Leistung vor 25 Jahren schon staunen können und tue es jetzt amüsanterweise schon wieder, weil es so schön gruselig-schön den Rücken herunterläuft, wenn man sich vorstellt, wie da leitungsorientiert genau 820 Kilobyte durch die Republik geschaufelt werden!

Vermutlich wird dieses Fax – im Gegensatz zu den vielen per E-Mail gesendeten Spam-Hinweisen – nun eher sitzen, als eben E-Mails und das ist eigentlich schade. Aber Faxe werden quasi überall von Sekretärinnen bearbeitet, die von Technik keine Ahnung haben, deshalb das Dokument ausdrucken, in einen Hausbriefumschlag packen und mit der Bitte um Vollzug sehr direkt an den zuständigen Mitarbeiter schicken, der das dann zu bearbeiten und abzuzeichnen hat. Wir müssen tatsächlich wieder mehr faxen oder gar Briefe schreiben, um Aufmerksamkeit zu erlangen.

Ich bin nicht gut zu Kommentarspammern. Eigentlich sogar regelrecht hässlich. Darüber kann man sich selbstverständlich beschweren und an sich interessiert mich jegliche Kritik an meinen Ticks durchaus, allerdings juckt es mich an der Stelle herzlich wenig. Ich kann es ja sagen: Der mangelnde intellektuelle Anspruch so manchen Kommentar-Spams ist eine Beleidigung für jeden Verstand.

Ausgerechnet meinen Blog-Artikel vom April letzten Jahres, in dem ich mich eher sarkastisch mit dem Umstand befasst habe, dass zum damaligen Zeitpunkt verhältnismäßig wenig Kommentarspams eingeworfen wurden, hat ein Zeitgenosse nutzen wollen, um heute morgen kurz vor zwei Uhr einen Kommentar einzuwerfen. Wortlaut, inklusive aller Rechtschreibfehler:

“…ich habe das Blog gelesen, weshalb ich hoffe dass dieser Akt halbauthenitischer Interaktion ausreicht, um einen Kommentarlink abzugraben. Grüße ;O)”

Nein, es reicht nicht aus. Zum einen landete der Kommentar in der Warteschlange und zum anderen pflege ich Spam auf Blogs, die weitgehend nur aus Affiliate-Links bestehen, nicht zu veröffentlichen, selbst wenn er mit dieser originellen Begründung daherkommt. Wann hat man schon einen Kommentarspammer, der sich gar nicht erst die Mühen macht, sein Werk in prosaisches Gefasel zu stenographieren, sondern es einfach mal auf die direkte Art probiert?

Nach dem ersten Kommentar scheint es dem Absender jedoch aufgefallen sein, dass er da etwas vergessen hat, vorher zu prüfen, denn Sekunden später kam ein weiterer Kommentar in die Warteschlange, vom gleichen Absender:

“…und muss auch gleich sagen: Warum denn noFollow? Ich habe in meinm BLog alles auf Follow gestellt, denn ich wüsste nicht was dagegen spricht, Linkjuice abzugeben wenn ein Kommentar (Mit Link) weder akismet noch meiner Zensur zum Opfer fällt! Ist dass nicht etwas, das mitunter eine funktionierende Blogosphäre ausmacht?”

Warum werde ich das mit den No-Follow-Links in Kommentaren wohl gemacht haben?

Dass man in Russland Dinge auch gelegentlich einmal anders, auf eher unkonventionelle Weise regelt, gehört inzwischen fest verwurzelt zum Empfinden über russische Verhältnisse. Und so verwundert auch folgende Spam eher nicht, die in letzter Zeit häufiger aufschlägt und eine Homepage bewirbt, auf der es folgende Dinge zu shoppen geben soll:

“Drugs (cocaine, heroin), missile (made in Russia), C4 explosive, children`s organs, and much more! Best child porno on the net
See Free Porno Pictures, Free Porn Videos, Hot Porno Movies in Daily Updated Porn Galleries. … Hot Virtual Sex Game! Get a realistic pussy today”

Nun ist man in Sachen Spam ja wirklich fast alles gewohnt, dieses Angebot ist dann aber selbst für Menschen, die auf einem LSD-Trip schweben und betrunken sind, unfassbar und natürlich völliger Nippes. Es handelt sich um einen “Joe Job”, also um eine Nachricht, die in erster Linie dazu dienen soll, jemanden Unschuldigen zu diskreditieren. Und das sind bei diesen Joe Jobs, die allesamt jedes Mal eine neue Website zu “bewerben” versuchen, Websites, die mehr oder weniger sinnvolle Nachrichten enthalten, teilweise regimekritisch sind und möglicherweise für den ein oder anderen unangenehm.

Man muss im Internet nur lange und unnachgiebig genug Dinge behaupten, die jeglicher Grundlage entbehren mögen, irgendwann glaubt es dann doch jeder oder es lassen sich vorher die Verantwortlichen an den Pranger stellen und so genannte Untersuchungen einleiten, bei denen man natürlich auch etwas findet.

In meinem chronisch überfüllten Postfach lag heute eine E-Mail einer Dame:

Sehr geehrter Herr Karadeniz,

ich betreibe den Blog [entfernt] und möchte meinen Lesern öfters mal einen besonderen „Leckerbissen“ präsentieren – sprich: interessante Erfahrungsberichte und Interviews. Mir gefällt Ihr Blog inhaltlich sehr gut. Hätten Sie Lust, sich für ein kurzes schriftliches Interview zur Verfügung zu stellen? Die ganze Sache dürfte nicht länger als 10 Minuten in Anspruch nehmen. Für Sie wäre das eine günstige Gelegenheit, den ein oder anderen neuen Leser für Ihr Blog zu gewinnen

Ich würde mich sehr freuen, wenn Sie mir die unten aufgeführten 5 Fragen kurz und knackig beantworten:

Achso, das besagte Blog der Absenderin. Das existiert seit zwei Monaten, hat vier eher langweilige Beiträge, wird von einem Herrn mit Inhalten bestückt, von dem die obige Mail nicht stammt und hat ein Impressum in – Bulgarien. Ich konnte mir da auch etwas Ironie in meiner Antwort nicht verkneifen:

Hallo Frau [entfernt],

also bei allem gebotenen Respekt… Ihr Blog hat vier Einträge in zwei Monaten, wird von einem Herrn [entfernt] betrieben und hat ein Impressum in Bulgarien. Mir fehlt da die Phantasie, zu glauben, da würde mehr dabei herauskommen, als ein kostenloser Textlink von mir auf Ihr Blog, wenn ich ein Interview geben würde und das dann freundlicherweise verlinke.

Well done. Etwas mehr Einsatz bitte. ;-)

Beste Grüße,
Besim Karadeniz

Mal sehen, ob da etwas passiert und ob sich da noch jemand etwas mehr Mühen gibt.

Auch drollig. Nicht, dass ich jemals beim Versandhaus Quelle etwas bestellt hätte und in nüchternem Zustand zukünftig etwas bestellen werde, nein, jetzt kommt der Spam gar von der türkischen Niederlassung von Quelle. “Nette Bikinimode” wird da angepriesen, in der türkischen Landeswährung und natürlich online zu bestellen.

Das zeigt mir vor allem eine Sache sehr deutlich: Die türkische Quelle-Niederlassung hat mal eben in der Türkei eine schicke E-Mail-Adressliste gekauft und ballert die Empfänger nun mit E-Mail-Müll zu oder lässt sich von einem Dienstleister die Warenanpreisungen ins Volks blasen. Opt-In oder Opt-Out? Wen stört sowas?

So funktioniert die Welt außerhalb Deutschlands, so von wegen “deutsche Maßstäbe”, die deutsche Unternehmen gern im Ausland nehmen. Immerhin glaubt man in der Türkei schon mal aus architektonischen Gründen nicht an den Weihnachtsmann.

Wann ist man in der Blogosphäre gut dabei? Dann, wenn man Kommentarlinks untergejubelt bekommen soll. Also vornehmlich schwachsinnige, allgemein gehaltene Kommentare mit einer Zustimmung zu einem Thema oder sonstigem Geflöt, vornehmlich auf bisher eher wenig kommentierten Artikel, gern aber mit einem thematisch passenden Link.

Irgendwann bekommt man als Blogger ein Gespür für solche Unterjubeleien. Und es soll an dieser Stelle nochmals gesagt sein, dass ich jeden Kommentar von einem neuen Absender von Hand freigebe und mir eventuelle Links vorher anschaue und nicht vor einer Klassifizierung als Spam schrecke, wenn es sich eben um Spam handelt.

Das nur mal so als wiederholt ausgesprochene Warnung. Ich habe den untrüglichen Eindruck, dass da ein paar Jungs lauern und probieren, was hier so geht. Und hier weht wirklich wenig.

Bisher hatte Akismet in diesem Blog relativ wenig zu tun. Laut den Akismet-Statistiken verfingen sich monatlich zwischen 200 und 300 Spam-Kommentare im Filter,wovon dann auch nur ein Bruchteil tatsächlich lokal als Spam-Kommentare ankamen.

Eigentlich hätte auch dieser Monat nahtlos an diese Zahlen anknüpfen können, wenn nicht seit Montag eine regelrechte Welle von Spam-Kommentaren hereingebrochen wäre und derzeit das zehn- bis fünfzehnfache an Müll hier hereinspült. Wahllos, auf alle Arten von Artikeln, junge und alte.

Interessant an dem Müll ist, dass die darin integrierten Links allesamt nicht funktionieren, ja die Domains noch nicht mal registriert sind. Die Spam-Kommentare werden also nicht zum Zweck des Bildens von direkten Links eingeschossen, sondern können an sich nur dazu dienen, dass ein besuchender Roboter genau die betreffenden Artikel aufruft und prüft, ob der Kommentar dort veröffentlicht werden konnte oder nicht. Und dann geht es vermutlich richtig los. Reine Vermutung

Um das mal nachzuprüfen, werde ich einen Spam-Kommentar in den nächsten Tagen mal spaßeshalber freigeben und den Artikel überwachen.

Jetzt, nach einer Woche Bayes-Filter im Thunderbird als einzige Spam-Abwehrmaßnahme, kann ich sagen: Funktioniert prächtig, selbst inmitten der echten Spam-Brandung meines Hauptpostfaches. Ich habe sicherlich mit einer ganz neu angelegten Wortdatenbank begonnen und habe nun eine Filterrate von glatt 96 % bei einem Spam-Aufkommen von rund 120 Stück pro Tag. Anfänglich war das noch nicht sehr berauschend, in der Zwischenzeit bin ich jedoch zufrieden und denke, dass sich das sicherlich noch weiter verbessern lässt, wenn die Wortdatenbank noch weiter lernt.

Es gibt also keinen Grund, einem Bayes-Filter allein nicht zu trauen, Probieren geht hier über Studieren und mit etwas Disziplin lassen sich schnelle Filterergebnisse zeigen.