Adieu, SpamCop.

Irgendwie war es in den letzten Jahren eigentlich nur noch Folklore, dass ich SpamCop zum Spam-Filtern genutzt habe. Vor gut zehn Jahren war das mangels vernünftiger Spam-Filter noch ein anderes Thema, in der Zwischenzeit vertraue ich dem Bayes-Filter in Thunderbird hinreichend stark, da er in der Vergangenheit auch mit größeren Massen an Spam einwandfrei klarkam.

Aus diesem Grund ist es nun vorbei mit SpamCop, der Account wird nicht mehr verlängert. Vielleicht auch besser so, SpamCop hatte irgendwie seine beste Zeit dann, als es noch nicht zu Ironport gehörte und ein reines Hobbyprojekt eines Antispam-Aktivisten war.

Spamalytics: Wissenschaftliche Betrachtung von Spam.

Eine bemerkenswerte Forschungsarbeit zum Thema E-Mail-Spam hat ein Team der University of California abgeliefert und zur Erzeugung einer möglichst wirklichkeitsnahen Versuchsanordnung nichts weiter gemacht, als ein echtes Bot-Netzwerk zu infiltrieren und eine Teilmenge dieses Netzwerkes zu Testzwecken genutzt. Das mag auf den ersten Blick eine ziemlich fragwürdige Aktion sein, allerdings ist der Forschungsaufbau nachvollziehbar gehalten und die Ergebnisse mehr als überraschend.

Als Basis wurde das so genannte Storm-Botnet infiltriert und acht Botnet-Proxies für Forschungszwecke „mißbraucht“. Diese Proxies dienen als „mittlere Führungsebene“ zwischen den Botnet-Mastern und den ausführenden Rechnern und erzeugen die Spam-Nachrichten, die die ausführenden Rechner im Botnet dann versenden. Versendet wurden drei Spam-Wellen mit unterschiedlichen Inhalten: Einmal mit klassischer Pharmazie-Werbung, einmal mit einer angeblichen Postcard-Software und einmal mit einem angeblichen Aprilscherzprogramm, die beide einen Trojanerversand simulieren sollten. Alle diese Kampagnen führten auf eine ähnlich aussehende, aber harmlose Pharmazie-Website bzw. enthielten ein harmloses Programm, das lediglich den Programmstart an einen Forschungsrechner übermittelte. Insgesamt hauten die Forscher über 470 Millionen Spam-Nachrichten heraus.

Interessant ist für die Pharmazie-Kampagne, dass die Konversionsrate der Spam-Welle, also das Verhältnis zwischen versendeten Spams und Besuchen auf der beworbene Website, bei schlappen 0,0000081% lag – über 347 Millionen Spam-Aussendungen und 28 erfolgte Besuche von Besuchern, die tatsächlich nachweislich anhand des eingebetteten URL auf den Link in der Spam-Nachricht geklickt haben. Tagesumsatz: Rund 140 US-Dollar. Da die Forscher jedoch angeben, dass sie mit ihren 8 Proxies und den dahinterliegenden Rechner nur etwa 1,5 % des Botnet unter Kontrolle hatten, ergibt sich hochgerechnet ein Umsatz von rund 9333 US-Dollar. Andererseits würde dies bedeuten, dass für diesen Umsatz dann nicht weniger als über 23 Milliarden Spam-Nachrichten durch das Netz müssten …

Den gesamten, hochinteressanten Forschungsbericht gibt es als PDF auf der Website der University of California, Außenstelle Berkeley: Spamalytics: An Empirical Analysis of Spam Marketing Conversion

Sie haben gewonnen!

Wenn ich so in den Junkmail-Filter meiner Mailbox schaue, dann scheine ich in der letzten Zeit ja einen Gewinn nach dem anderen zu verpassen und müsste eigentlich schon längst Multimillionär sein. Eine Firma und eine Institution nach der anderen, bis hin zur UN, haben eine Verlosung abgehalten und jedes Mal habe ich gewonnen.

Kein Wunder, dass ich bei so einer ungleich verteilten Glückssträhne das wöchentliche Kreuzwortspiel (inklusive einem Sudoku-Rätsel) in meiner Fernsehzeitschrift nach zwei Jahren bis jetzt noch nicht ein einziges Mal gewonnen habe.

Spaß beiseite: Nur mein Eindruck, dass dieser Gewinne-Nepp in den letzten Monaten massiv zugenommen hat?

Schreckens-Spam.

Auch das hatten wir doch alles schon einmal: Aktuelle Spam-Wellen mit Schreckensüberschriften, die voll auf die Neugier des Lesers gehen sollen. Aktuell im Postfach:

„Clinton found hanged in bedroom“

Inhalt der Mail: Ein Link auf eine Website, auf der nicht der vermeintliche Nachrichtenhunger gestillt wird, sondern ein Trojaner frei Haus geliefert wird.

Es gilt das übliche: Nichts anfassen, was man nicht kennt und schon gar nicht herunterladen und ausführen.

Perfide Hoax-Mail.

Was ist denn das jetzt schon wieder? Eine neue Hoax-Mail, diesmal mit einem Foto eines Babys, das entsetzliche Verbrennungen im Gesicht hat und einer Geschichte, dass dieses Baby in Polen leben würde, starke Verbrennungen im Gesicht und „beschädigte Gehirnknochen [sic!]“ und dessen Eltern sich die Operation nicht leisten könnten.

So weit, so schlecht. Geld käme jetzt aber zusammen, in dem diese E-Mail weitergeleitet würde, denn für jede Weiterleitung würde ein Spender 3 Cent zahlen. Ach.

An den Autor dieser Hoax: Idiot.

China strahlendweiß.

Der chinesische Teil des Internets (bzw. der öffentlich zugängliche Teil des chinesischen Teils des Internets) war in den vergangenen Jahren ein nahezu idealer und stark frequentierter Netzbereich für spam-freundliche Hoster. Praktisch alles, was in der Spam-Szene Rang und Namen hatte, ließ hier seine Spam-Websites hosten. Zwar gut in harter US-Währung bezahlt, dafür jedoch „spammer-friendly“. Dazu kommt der unnachahmliche Service, dass die drei wichtigsten Domain-Registrare der Spam-Szene ebenfalls ihren Sitz in China haben: Xinnet Bei Gong Da Software, BEIJINGNN und Todaynic. Sprich: Beschwerden über Spam versandeten in der Regel, niemand scherte sich in China darum, ob es jemanden auf den Senkel geht oder nicht. Und da die Bevölkerung innerhalb Chinas durch die „Große Firewall“ eh kaum in den Genuss des Mülls kam, das auf der anderen Seite gehostet wurde, kam man auch niemand politisch im eigenen Hause quer.

Seit einigen Wochen scheint das jedoch extrem eingegrenzt worden zu sein. Ich werfe regelmäßig meinen Spam über Spamcop ab und schaue mir gelegentlich die Reporting-Statistiken an und chinesische Netze tauchen nur noch selten auf. Die größten Spammer-Websites sind aktuell wieder in Südkorea stationiert, hier wie üblich bei „Hanaro Telecom“, dem zertifizierten Scheißhaus des Internets.

Aber zurück zu China – blendende Werte. Kaum Spam aus chinesischen Netzen (was schon seit einigen Jahren Politik ist, weil man offenkundig seine eigenen Netze nicht sofort in Blacklists haben will), aber eben auch kaum noch Hosting von Spammer-Websites.

Meine starke Vermutung: Olympiade-Vorläufer. Kaum sind die Spiele vorbei, werden die Türe fürs Spammer-Gesindel wieder geöffnet. Das plötzliche Verständnis für die ächzenden Spam-Lawinen ist einfach zu auffällig.

Die moderne Seuche "Spaß-Mails".

Spaßeshalber habe ich mir mal das Problem von so genannten „Spaß-Mails“ angeschaut, also den vielleicht nett gemeinten, aber dennoch furchtbar unlustigen Versand von E-Mails mit angehängten Word-Dokumenten, Powerpoint-Folien oder gar ausführbaren Dateien.

Um es kurz zu fassen: Ich hasse sie abgrundtief. Solche Mails sind in der Regel megabyteweise groß, oft genug sind die Späßchen mehr als uralt und treffen deshalb gleich regelmäßig von allen möglichen Ecken und Enden ein. Sie vermüllen meine Mailbox, weil solche Inhalte ohne jegliches Lesen direkt in den Papierkorb kommen.

Und sie haben leider eine virulente, kaum zu kontrollierende Verbreitung. Vollziehen wir doch mal einen üblichen Weg nach:

Freund A schickt eine solche Spaßmail an 50 Freunde, natürlich alle als CC adressiert. Alle 50 Freunde erhalten diese Mails. Zwei von diesen 50 Freunden sind Freund B und Freund C. Auch sie haben lustiges auf Lager, nehmen die Mail von Freund A auf „Antworten“ und ballern ihre Späße ab. Und so weiter.

Das Problem ist jetzt: Wen schreibe ich an, um das zukünftig bitte zu unterlassen? Im Endeffekt müsste ich alle anschreiben, also auch die Mail von Freund A nehmen, auf „Antworten“ klicken und mich richtig schön unbeliebt machen.

Hochgradig scheußlich wird das alles, wenn auch noch weitergeleitet wird, möglicherweise sogar inline, so dass dann alle Empfängeradressen, die als CC adressiert waren, nun im Body der Mail stecken. Passiert das ein Weile regelmäßig – so wie beispielsweise bei den berühmt-berüchtigten Mails, in denen Postkarten an einen krebskranken Jungen geschickt werden sollen oder zu Knochemark-Typisierungen aufgerufen wird – macht die eigene Mailadresse teilweise jahrelang die große Wanderschaft durch abertausende Postfächer.

Ein hochgradig ärgerliches Problem, dessen Lösung in jedermanns Hand liegt. Finger weg von Massen-Weiterleitungen und Spaß-Mails!

Hausaufgabe "Spam-Empfang vermeiden".

Viel an E-Mail-Spam kann sich unsereiner ersparen, wenn er ein paar Dinge in Sachen E-Mail beachtet. Zwei sehr wichtige Punkte, die wir inzwischen fast wöchentlich unserer Kundschaft predigen, die das noch anders handhabt:

  1. Weg von Catch-All!
    Catch-All ist eine früher recht beliebte Methode gewesen, x-beliebige E-Mail-Adressen verwenden zu können: Der empfangende E-Mail-Server wird dabei so konfiguriert, dass er alle E-Mails annimmt, die an x-beliebige E-Mail-Adressen innerhalb einer Domain gerichtet waren. Die Idee ist zwar nett, der Nebeneffekt jedoch erheblich lästiger, denn auf diese Weise kommt auch Spam, der auf x-beliebige E-Mail-Adressen der betreffenden Domain gesendet wurde, beim Empfänger an. Das ist vor allem dann recht unangenehm, wenn die Domain vielleicht vorher jemand anderem gehörte, der ursprünglich sehr viele E-Mail-Adressen auf dieser Domain konfiguriert hatte. Zudem sorgt Catch-All für eine gewisse Schlampigkeit beim Besitzer. Für jeden Mist eine eigene E-Mail-Adresse anzugeben, bedeutet im Zweifelsfall, dass jede dieser E-Mail-Adressen dann möglicherweise früher oder später auch Spammern in die Hände fällt.
  2. Den namentlichen Aufbau von E-Mail-Adressen vorher einheitlich planen und umsetzen!
    Warum, bitteschön, muss Otto Mustermann gleichzeitig als „otto.mustermann@foo.bar“, „mustermann@foo.bar“, „otto@foo.bar“, „o.mustermann@foo.bar“ und „mustermann.o@foo.bar“ eingerichtet werden? Ist ein einheitliches Schema für E-Mail-Adressen nicht der übersichtlichste Weg?
  3. Die Einrichtung von generischen E-Mail-Adressen genau überdenken!
    Das ist auch beliebt: Neben den persönlichen E-Mail-Adressen für Mitarbeiter werden noch eine ganze Batterie von generischen E-Mail-Adressen eingerichtet: info, webmaster, support, kundendienst, hausmeister, chefetage, kuechenkabinett und was weiß ich noch alles. Das sind alles be-spam-bare E-Mail-Adressen, Herrschaften, und wenn man die einmal einrichtet, kann man die zwar in größter Not wieder löschen, dennoch werden auch dann noch die Spam-Mails, die an diese Adressen adressiert sind, auf dem Mailserver aufschlagen, für immer und ewig.
  4. Niemals E-Mail-Adressen unter mehreren Domains auf einen Account leiten!
    Auch so eine Unart: Da hat eine Firma eine bestimmte Domain für den E-Mail-Empfang konfiguriert, sagen wir, den Firmennamen mit der Endung „.de“. Nun wird beispielsweise auch noch eine „.com“-, „.net“- und „.eu“-Domain registriert, das „www“ auf den Webserver weitergeleitet – und eben auch MX-Einträge konfiguriert und dabei schön auf die bestehende Domain geroutet. Der „Mitarbeiter X“ ist dann nicht mehr nur unter der „.de“-Domain per E-Mail erreichbar, sondern gleich unter allen anderen auch. Das hat zwei böse Nebeneffekte:

    1. Der Mitarbeiter benutzt, wenn er mehrere E-Mail-Adressen besitzt, irgendeine.
    2. Jede E-Mail-Adresse, die im Laufe der Zeit in Webforen, Gästebüchern etc. verbrannt wird, ist für Spam anfällig.

    Im Zweifelsfall knallt es dann gleich mehrfach im Laufe der Zeit und der Administrator des E-Mail-Servers wundert sich, wieso die Maschine raucht. Sehr beliebt ist das Spiel auch mit generischen E-Mail-Adressen, die dann zusätzlich auch noch auf Mitarbeiter geleitet werden. Ich kenne so Kunden, die auf Ihren E-Mail-Account Dutzende E-Mail-Adressen konfiguriert bekommen haben und in Spam schwimmen – da ist selbst jede annehmbare Fehlerquote eines Spam-Filters wirkungslos.

Man kann es nur ständig wiederholen: Bei der Einrichtung von E-Mail-Adressen vorher mitdenken und eine Strategie für die Nutzung unterschiedlicher Länderdomains, generischen E-Mail-Adressen und den namentlichen Aufbau persönlicher E-Mail-Adressen erstellen. Und für Domains, die nicht per E-Mail erreichbar sein sollen, erst gar keine MX-Einträge im DNS erstellen.

“Wie viele Spam-Filter dürfens sein, gnä’ Frau?”

Inzwischen hat es sich ja schon bis in die tiefste Provinz herumgesprochen, dass Lamentieren gegen Spam nicht hilft und ein funktionsfähiger Spam-Filter das einzige ist, was einem die Pest weitgehend vom Leibe hält. Was ich in letzter Zeit verstärkt beobachte, sind Umfelder mit gleich einer ganzen Batterie von Spam-Filtern. Jede halbwegs gute Antivirenlösung schleppt einen Spam-Filter mit sich, jedes bessere Mail-Programm auf lokaler Basis auch, genügend Mailserver haben einen Filter onboard und eine dedizierte Anti-Spam-Lösung kann man sich auch noch kaufen. Auf den ersten Blick nicht schlecht, aber schon auf dem zweiten eine unheilvolle und brisante Mischung.

Das fängt schon damit an, dass man sich die Frage stellt, ob man einen guten Spam-Filter braucht oder nicht. Wenn ja, dann stellt sich doch automatisch die Frage, wieso dann noch ein zweiter, dritter, vierter etc. dahintergeschaltet werden muss. Die Gefahr, dass ein weiterer Spam-Filter aus den E-Mails, die der erste schon gefiltert durchgelassen hat, etwas herausfiltert, mag zwar gering sein, dafür ist aber jeder weitere Filtereinsatz fast mit Sicherheit eine Niete und es erwischt eine „gute“ E-Mail.

Dazu kommt, dass eine eher lieblos zusammengeschlampte Anti-Spam-Lösung das schlechteste ist, was man haben kann. Dazu gehören leider oft die Spam-Filter, die in Antivirenlösungen daherkommen. Von einem Spam-Filter erwarte ich, dass er aus mehreren, klar definierbaren, einzeln konfigurierbaren, priorisierbaren und log-schreibenden Modulen besteht. Denn wenn etwas bei einem Anti-Spam-Filter wichtig ist, ist das Nachvollziehen von Filterungen. Es reicht in vielen Fällen nicht, einfach einen Absender aufzufordern, eine weggefilterte E-Mail nochmal zu schicken (was schon peinlich genug ist), denn wen wollen Sie informieren, wenn Sie eine E-Mail von einem bisher unbekannten Absender bekommen sollten und diese im Orkus landet?

Richtig ätzend sind Analysen, wenn tatsächlich irgendwo eine E-Mail verloren geht und man nicht weiß, welcher Spam-Filter nun der Kandidat ist. Wenn unter den Verdächtigen Spam-Filter dabei sind, die keine Logs führen, funktioniert eine Analyse nur nach dem Ausschlussverfahren. Das mag man seinem ärgsten Feind nicht antun.