TmoWizard's Impressum
Dieses Blog ist NOFOLLOW-frei!

Heute schon gespamt? Spam in Mails und Blogs

Dienstag, 26. Juli 2011, 15:35

Wie man unschwer am Titel des Artikels erkennen kann, geht es mal wieder um ein leidiges Thema:

Spam bei Mails und im Blog!

Dies ist wohl mein bisher längster Artikel, den ich je veröffentlicht habe. Es ist eine Menge zum Lesen, aber auch zum Lernen und Verstehen! Vielleicht ist ja der ein oder andere Leser unter meinen Besuchern, der sich damit eine interessante Lektüre vornimmt.

Fangen wir mit dem Mail-Clienten an, von Webmail-Diensten halte ich nämlich ehrlich gesagt gar nichts. Meine Mails werden lokal bei mir gespeichert, sie gehen außer mir niemanden etwas an!

 

Spam oder auch Junk, was ist das eigentlich? Einige würden wohl jede Werbe-Mail als Spam betiteln, was so allerdings nicht richtig ist. Sie vergessen dabei nämlich, daß sie sich bei verschiedenen Diensten im Netz angemeldet und da an bestimmten Stellen auch einen Haken gesetzt haben. Sie waren dort ja mit den Nutzungsbedingungen (AGB) einverstanden und meist steht da auch irgendwo was von Werbemails dabei oder es kann sogar unterhalb des Registrierungs-Button extra ein Häkchen dafür gesetzt werden!

Auch gibt es von vielen Geschäften das aktuelle Angebot als Mail, allerdings ebenfalls nur, wenn man damit einverstanden ist. Ich lasse mir z. B. Werbung von Conrad und ONE zuschicken, da ich dort ab und an mal was bestelle. Solche Mails kann man zwar schon als Spam markieren, aber man sollte dann doch eher auf sein dortiges Konto gehen und die Werbung einfach abbestellen.

Anders sieht es nun bei wirklich unerwünschter Werbung aus und diese scheint im Moment wieder einmal in größerem Maße unterwegs zu sein! Bei mir sind das im Postfach zur Zeit so 30 – 40 Stück am Tag, es können aber auch mal wesentlich mehr werden.

 

Wie sieht nun solch eine Spammail aus und woher kommt sie? Da gibt es leider sehr viele Möglichkeiten, sehr verbreitet sind aber (leider) sogenannte Spambots, auch Harvester genannt. Damit gibt es ein gewaltige Problem, da auch private Rechner zu einem sogenannten Botnet gehören können. Das Dumme daran ist, daß die Besitzer der entsprechenden Rechner im Allgemeinen gar nicht wissen, daß ihr Rechner als Spamschleuder verwendet wird!

 

Wie kommt es denn überhaupt zu solchen Botnetzen? Das hört sich jetzt zwar sehr gehässig an, aber leider sitzt sehr oftbzw. sogar meistens einer der Hauptschuldigen ungefähr 30 cm vor dem Bildschirm (PEBCAKProblem Exists Between Chair And Keyboard)! Ich betreue ja in meinem Bekanntenkreis einige Rechner und was ich dort zwischendurch sehe… da kann man eigentlich nur noch resigniert den Kopf schütteln!

Erst letzten war ich z. B. bei einem Bekannten und dachte: “Da stimmt doch was gewaltig nicht mit der Kiste! Aber die hab ich doch letztens erst neu aufgesetzt und alles auf den neuesten Stand gebracht!” (Windows XP SP3, ist ein etwas älterer Computer). Also kurz mal die Computer-Eigenschaften überprüft und beinahe vom Stuhl gefallen, es war nämlich XP ohne Service-Pack installiert! Ein kurzer Blick in den Tray: Da ist ja gar kein Virenscanner! Also erst ein mal nachgefragt, was denn hier passiert ist. Es kam natürlich meine Lieblingsantwort, nämlich der Rechner sei immer langsamer geworden u.s.w… Ein Freund eines Freundes der ‘nen Freund hat hat ‘nen Freund und der kennt sich wirklich echt ganz super mit sowas aus, der hat Windows also neu installiert.

 

Der Rechner war praktisch ohne jeden Schutz und auf dem Stand von 2001! Das hat der “Freund” also echt super geschafft, ja. Eine “etwas” längere Überprüfung mit verschiedenen Virenscannern ergab dann folgendes Ergebnis:

Es waren übrigens nicht einmal 4 Wochen vergangen, seit ich den Kasten gerichtet hatte. 4 Wochen, in denen der Rechner nochmal neu aufgesetzt wurde und dann dermaßen verseucht! Ich möchte gar nicht wissen, wo der Typ überall im Netz herum gurkt und wo er überall drauf klickt! Es waren natürlich auch allerlei Programme installiert, die man ja ehrlich unbedingt wirklich ganz dringend benötigt:

  • Adobe Photoshop um die Bilder zu bearbeiten, die er mit der nicht vorhanden digitalen Kamera macht oder mit dem nicht vorhandenen Scanner einscannt.
  • Adobe Dreamweaver für seine nicht existierende Website.
  • Microsoft Visual Studio 2010 (nicht die Express-Version!) da er ja ein wirklich wahnsinnig toller Programmierer ist, er hat nämlich keinen blassen Schimmer davon! :-P
  • to be continue

Frag mich aber keiner nach den Quellen der Programme, ich weiß es nicht und es interessiert mich auch gar nicht!

Der größte Hammer war jedoch das veraltete Windows XP, diese Version war nämlich auch von seinem ach so tollen “Freund”, der sich ja ach so super auskennt und nicht seine eigene Original –> XP SP2! :-o

Eigentlich hätte ich mich ja nur um sein Mail-Programm kümmern sollen wegen Spam, aber das war dann wohl nichts!

 

Man sieht also, daß man ohne große Schwierigkeiten an einem solchen Botnet teilnehmen kann. Man braucht dazu nur einen Rechner mit veraltetem System und ohne Schutz. Dazu klickt man auf alles, was nicht bei 3 verschwunden ist. Vor allem liest man auch wirklich jede noch so unsinnige E-Mail ganz genau durch, auch wenn sie in völlig unverständlichem russisch ist, was ja wirklich jeder schon als Baby lernt. Natürlich muß man auch immer auf die dort vorhanden Links klicken, es könnte ja was interessantes dabei sein!

 

Und was kann man gegen Spam & Co. unternehmen?

Nun, eigentlich nicht viel und doch eine Menge! Fangen wir bei den Mails an.

Zu aller erst sollten auf jeden Fall das System, der Virenscanner, dessen Viren-Datenbank und natürlich auch alle installierten Programme auf dem neuesten Stand sein. Mit jedem Update werden nämlich auch immer irgendwelche Lücken geschloßen, schließlich ist kein Programm ohne Fehler! Fast alle oben stehenden Übeltäter wären gar nicht auf das System gekommen, da die dafür verwendeten Lücken zum Teil sogar schon bei XP SP2 dicht gemacht wurden und auch alle von aktuellen Virenscannern erkannt werden und gar nicht erst auf dem System hätten landen können!

 

Der nächste Punkt ist: Jeder Mail-Client ebenso wie Webmail haben heutzutage einen Spamfilter, meistens wird das wohl wie hier in der SeaMonkey Suite der SpamAssassin sein. Dieser muß eigentlich nur irgendwo in den Einstellungen aktiviert werden, falls er es noch nicht ist. Meistens hat solch ein Filter auch einen “Lernmodus”, da er natürlich nicht von vornherein jeden Spam kennen kann. Man sollte deswegen dem Filter sagen, daß er die Mails nicht löscht, sondern in einen eigenen Ordner verschiebt. Er kann sich ja auch mal irren und schwuppdiwupp, schon ist eine wichtige Mail weg!

Je nach Menge der Mails die man erhält kann diese Lernphase schon ein paar Tage dauern, wobei z. B. SpamAssassin immer dazu lernt, was er heraus filtern soll und was nicht. Meistens genügen 3-5 Mails mit bestimmten Wörtern oder von bestimmten Versendern, damit solch ein Filter den Spam richtig erkennt. Hier ist SpamAssassin selbst heute noch eingestellt, daß er Junk-Mails nur verschiebt. Zum Glück muß ich sagen, da er letzten tatsächlich fälschlicher Weise eine Registrierungs-Mail als Spam markiert hat!

 

Auf Blogs sieht es da ähnlich aus, nur ist es da oft schwieriger: Zum Einen hat man seinen Blog ja meistens nicht auf einem eigenen Server zuhause, sondern der ist wie bei mir irgendwo im Netz bei einem Hoster auf dessen Webserver. Zum Anderen sind viele dieser Server oft nicht auf dem neuesten Stand, wobei ich hier meinen Freehoster CwCity echt wieder einmal loben muß. Dort ist selbst phpMyAdmin mit dem erst vor ein paar Tagen erschienen Update schon auf den neuesten Stand gebracht worden! 8-) Mein WordPress.org konnte also ebenfalls zum Erscheinen von Version 3.2 upgedatet (blödes neudeutsch!) werden.

Natürlich müßen auch hier immer das darunter liegende Betriebssystem, die Server-Software und die Datenbank-Software auf dem neuesten Stand sein. Auch das ist hier tatsächlich der Fall! ;-)

Die andere sehr häufig verwendete Möglichkeit ist die, daß man ein bereits vorinstalliertes Blog hat. Dort ist im Allgemeinen zumindest die Blogsoftware meistens aktuell, bei WordPress.com aber auch zwangsweise das darunterliegende System, da sonst WordPress 3.2 nicht funktioniert.

Dadurch sind also solch fertige Systeme zumindest von bekannten Lücken befreit und soweit mehr oder weniger gegen Eindringlinge gesichert. Natürlich ist da noch mehr zu beachten, aber das ist Sache des Hosters!

Kommen wir also zum Spamschutz im Blog! Ich selbst verwende hier mit WordPress das Plugin AntiSpam Bee von Sergej Müller und bin damit sehr zufrieden. Ab und zu kommt zwar mal was durch, aber der meiste Schund kommt an der Biene nicht vorbei.

Dazu noch folgendes: Es ist zwar bis jetzt in diese Richtung nichts passiert, aber aus datenschutzrechtlichen Gründen rate ich jedem WP-Nutzer dringend dazu sich von dem vorinstallierte Akismet zu verabschieden!

 

Wie sieht denn nun eigentlich solch ein Spam aus? Hier gibt es einige Unterschiede zwischen Mail- und Blog-Spam.

Sehen wir uns als erstes mal einige Teile solch einer bei mir heute erschienene Mail an, frisch aus dem Junk-Ordner. Dabei lasse ich auch alle Mail-Adressen stehen, meine sind ja sowieso weit über das Internet verbreitet und eine steht ja eh in meinem Impressum. Die URLs werden jedoch alle von mir zerstückelt! Nehmen wir uns erst einmal den Header vor, wobei ich an bestimmten Stellen einen (Kommentar in Klammer) schreibe:

From – Tue Jul 26 06:58:48 2011
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <sopleningrad@bbtrumpet.com> (Das scheint wohl der Absender der Mail zu sein)
X-Original-To: tmowizard@arcor.de (Das ist meine, die auch im Impressum steht)
Received: from mail-in-14. arcor-online .net (mail-in-14. arcor-online .net [151.189.21.54])
by mail-in-17-z2. arcor-online. net (Postfix) with ESMTP id C572E3660D0
for <tmowizard@arcor.de>; Tue, 26 Jul 2011 03:06:13 +0200 (CEST)
Received: from mx0. gmx. net (mx0.gmx.net [213.165.64.100]) (Das ist eine Weiterleitung, dazu gleich mehr)
by mx. arcor. de (Postfix) with SMTP id B4B5F9BF75
for <tmowizard@arcor.de>; Tue, 26 Jul 2011 03:06:13 +0200 (CEST)
Received: (qmail 26858 invoked by alias); 26 Jul 2011 01:06:13 -0000
Delivered-To: GMX delivery to mikespeier@gmx.de (Das ist meine original Mail-Adresse von mir, an die diese Mail ging.)
Received: (qmail invoked by alias); 26 Jul 2011 01:06:12 -0000
Received: from host-200-75-131-187. cliente-187-net-uno. net (HELO vedt0105426. galileo. ebel) [200.75.131.187] (Das sollte dann die Host-Adresse des Absenders sein, oder so)
by mx0.gmx.net (mx115) with SMTP; 26 Jul 2011 03:06:12 +0200
Received: (qmail 7019 by uid 019); Mon, 25 Jul 2011 20:35:07 +0430
From: “Enlargement supplement Promo” <sopleningrad@bbtrumpet.com>
To: <mikespeier@gmx.de>
Subject: Child actress Abigail Breslin turns bad (Das ist der Betreff der Mail, klingt nicht ganz koscher! Auf deutsch per Google übersetzt: Child Schauspielerin Abigail Breslin wird schlecht … Jo, mir auch)
Date: Mon, 25 Jul 2011 20:19:25 +0430
Message-ID: <004d01cc4b0a$4b30d770$e1928650$@com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_004C_01CC4B0A.4B30D770″
X-Mailer: Microsoft Office Outlook 12.0 (Sieh da, er arbeitet also mit Windows!)
Thread-Index: AcjhiQqp92+B9hdJC4kzCot10OYlDg==
Content-Language: en-us
X-GMX-Antispam: -2 (not scanned, spam filter disabled); (Da ich meinen eigenen Spamfilter in SeaMonkey verwende ist der von GMX aus)
Detail=5D7Q89H36p4L00VTXC6D4q0N+AH0PUCnKGJbGgJLbSXk30NezpdxUg==V1;
X-Resent-By: Forwarder <forwarder@gmx.de>
X-Resent-For: mikespeier@gmx.de
X-Resent-To: tmowizard@arcor.de
X-Antispam: SENDER_IN_WHITELIST

 

(Ich habe aus verschiedenen Gründen mehrere Mail-Umleitungen zu verschiedenen Mail-Konten!)  Da steht also schon eine Menge Information über den Absender der Mail drinnen, aber kommen wir nun zum Inhalt:

This is a multipart message in MIME format. (Was das heißt sehen wir gleich!)

——=_NextPart_000_004C_01CC4B0A.4B30D770
Content-Type: text/plain; (1.1)
charset=”us-ascii”
Content-Transfer-Encoding: 7bit

Get a decent-sized member to keep your lady
http://blowviagra. com/ (Diese beiden Zeilen werden uns also angezeigt, wenn das Mail-Programm auf reinem Plain-Text steht)

——=_NextPart_000_004C_01CC4B0A.4B30D770
Content-Type: text/html; (1.2)
charset=”us-ascii” (Ach! US-englisch! Wirklich?)
Content-Transfer-Encoding: quoted-printable

(Hier würde dann der HTML-Text kommen)

 

Hierzu erst noch folgendes: Bei mir gibt es keine bunten, schrillen und blinkenden HTML-Mails!! Ich habe SeaMonkey so eingestellt, daß alle Mails, News und Feeds als reiner Text dargestellt werden!

Es wird uns also wohl in reinem Text (1.1) das selbe angezeigt wie in HTML (1.2), oder etwa nicht? Schau mer mal! ;-)

Ich lasse hier jetzt mal den ganzen Müll weg und zeige nur das notwendigste:

—<schnipp>—

<head>
<META HTTP-EQUIV=3D”Content-Type” CONTENT=3D”text/html; =
charset=3Dus-ascii”> (Der Text ist also HTML)

<meta name=3DGenerator content=3D”Microsoft Word 12 (filtered medium)”> (Höchst interessant, die Mail wurde mit Microsoft Word verfasst!)

—<schnipp>—

<p><o:p>Get a decent-sized member to keep your =
lady</o:p></p>
<p><o:p><a =
href=3D”http://blowviagra. com/”>http://blowviagra. com/</a></o:p></p>

Ja tatsächlich, auch die HTML-Version zeigt uns ebenfalls nichts anderes an wie den Text und den dazugehörigen Link darunter! Ich habe mir die Mail übrigens extra in HTML anzeigen lassen, nicht daß ich hier Unsinn schreibe! ;-)

Was hinter dieser Link-Adresse steht kann man(n) sich anhand des Namens ja denken, ich habe sie nicht weiter verfolgt. So alt und schlapp bin ich noch nicht, als daß ich zu solchen Hilfsmitteln greifen müßte! :mrgreen:

Natürlich steht da noch wesentlich mehr drinnen, wenn man sich diese HTML-Mail in einem Text-Editor anzeigen läßt. Hier ein kurzer Ausschnitt:

<span style=”font-size: medium;”>&lt;html xmlns:v=3D”urn:schemas-microsoft-com:vml” = xmlns:o=3D”urn:schemas-microsoft-com:office:office” = xmlns:w=3D”urn:schemas-microsoft-com:office:word” = xmlns:x=3D”urn:schemas-microsoft-com:office:excel” = xmlns:p=3D”urn:schemas-microsoft-com:office:powerpoint” = xmlns:a=3D”urn:schemas-microsoft-com:office:access” = xmlns:dt=3D”uuid:C2F41010-65B3-11d1-A29F-00AA00C14882″ = xmlns:s=3D”uuid:BDC6E3F0-6DA3-11d1-A2A3-00AA00C14882″ = xmlns:rs=3D”urn:schemas-microsoft-com:rowset” xmlns:z=3D”#RowsetSchema” = xmlns:b=3D”urn:schemas-microsoft-com:office:publisher” = xmlns:ss=3D”urn:schemas-microsoft-com:office:spreadsheet” = xmlns:c=3D”urn:schemas-microsoft-com:office:component:spreadsheet” = xmlns:odc=3D”urn:schemas-microsoft-com:office:odc” = xmlns:oa=3D”urn:schemas-microsoft-com:office:activation” = xmlns:html=3D”<span class=”linkification-ext”>http://www.w3. org/TR/REC-html40″ =</span></span>

Hier sieht man dabei sehr deutlich die grauenvollen Spuren, die MS-Word hinterlassen hat. Das würde jetzt allerdings zu weit gehen, wir haben ja noch was vor uns und dazu kommen wir jetzt:

Kommentar-Spam im Blog!

Dazu gibt es wieder mehrere Beispiele, von denen ich allerdings nur zwei ansprechen kann. Die anderen sind hier zum Glück noch nicht aufgekreuzt!

 

Welche Arten wären das nun? Ich führe hier einmal vier Stück an:

  1. Spam von einem einem Bot
  2. Spam über Trackback/Pingback
  3. Normaler von Hand geschriebener Spam
  4. Von Hand geschriebener Spam, der einen Trackback/Pingback vortäuscht! (Ja, sowas gibt es wie wir sehen werden!)

Ich kann hier nur die letzten Beiden nehmen, 1. & 2. gab es hier bei mir noch nicht!
(Tante Edith sagt: Heute, 27.02.2011, ist tatsächlich der erste echte Trackback Spam-Kommentar hier eingetroffen! Leider hab ich ihn ganz in Gedanken gelöscht!)
Nehmen wir erst mal einen “normalen” (kurzen!) Spam-Kommentar unter die Lupe:

Name: wedding music bands (Ob der wohl echt ist?)

Mail-Adresse: Pecanty@bloog.me (Gibt es die Adresse wirklich?)

URL: http://www. weddings. jewel. ie (Wie sieht es hiermit aus?)

Das wäre also die Information, wer den Kommentar verfasst hat und wo der Verfasser eventuell dazugehört.

Dazu gab es folgenden Text:

I will be back soon and follow up with a response. (Auf google-deutsch: Ich werde bald zurück sein und Follow-up mit einer Antwort.)

Gleich kurz folgendes: Das ist das Blog einer irischen Hochzeitsagentur und auch die Band scheint echt zu sein, einzig die Mail-Adresse habe ich dort nirgends gefunden!

Es ist hier anzunehmen, daß der Kommentar-Schreiber wohl für solche Kommentare bezahlt wird um die Agentur bekannter zu machen. Das ist leider eine sehr weit verbreitete Praxis von sehr vielen Firmen, das wird sich wohl so schnell auch nicht ändern.

Solch ein Kommentar wird nach kurzer Anlernphase (meine Rechtschreibkorrektur hat mir gerade Anlernlinge vorgeschlagen!) sehr zuverlässig von AntiSpam Bee erkannt und blockiert.

 

Kommen wir jetzt aber zu den vorgetäuschten Trackbacks/Pingbacks. Da habe ich heute solch einen “Trackback/Pingback” zu einem sehr aktuellen Thema bekommen, worüber ich sogar einen kurzen Artikel geschrieben habe:

Name: Scholarships for Women Over 40 (Hä? Stipendien für Frauen über 40?)

Mailadresse: (Raffiniert! Gibt es hier nicht, soll ja angeblich ein Trackback/Pingback sein!)

URL: http:// megastore123. com/reference?p=729 (Da bin ich aber gespannt!)

Der gehaltvolle Inhalt sieht dann so aus:

<strong>Amy Winehouse…</strong>

[...]listed below are a couple of listings to internet sites I always connect to as we believe they really are definitely worth checking out[...]…

Was bitte hatte Amy Winehouse damit zu tun? Richtig, gar nichts! Der Kommentar kam auch nicht zu meinem Artikel über Amy, er wurde zu einer wesentlich älteren Site geschrieben!

Wenn man nun dem oberen Link folgt kommt man tatsächlich auf eine Seite, auf der irgendwas über Stipendien für Frauen steht. Auf dieser Site ist weder ein Link bzw. Trackback/Pingback zu meinem Blog noch steht da irgendwas über Amy Winehouse. Das Ganze ist also ein Fake! Genauer habe ich mir das allerdings nicht durchgelesen, da ich ja den eigentlichen Hintermann haben will: megastore123

Diese “Firma” hat anscheinend irgendwas mit Sprinkler-Anlagen zu tun, so daß ich annehme, daß auch die Site mit den Stipendien nicht ganz koscher ist! Ebenso gehe ich auch hier wieder davon aus, daß der Schreiberling dafür von megastore123 bezahlt wird.

Auch solche Kommentare werden zum Glück von AntiSpam Bee heraus gefischt, so daß mein Block sauber bleibt.

Leider häuft sich bei mir gerade diese letzte Art von Spam, allein heute sind bis jetzt umgerechnet 7 von 10 von dieser Art und der Tag ist noch lange nicht zu Ende! Nein, der Tag nicht, aber der Artikel ist es gleich! 8-)

Eine Anmerkung habe ich noch: Die meisten dieser Spam-Mails und -Kommentare sind in englisch verfasst, auch wenn sie an einen deutschen Empfänger oder ein rein deutschsprachiges Blog wie meines gehen. Dieses Merkmal haben sie jedenfalls gemeinsam!

Ich hoffe, daß ich mit diesem leider sehr langen Artikel niemandem gelangweilt, sondern dem Leser einige interessante Informationen zum Thema Spam vermittelt habe!

 

Hiermit verabschiede ich mich jetzt erst einmal von euch. Ich wünsche euch nun einen schönen Tag.

Viel Grüße aus Augsburg sendet euch wieder einmal

Euer Zauberadmin

Mike, TmoWizard Zaubersmilie

Creative Commons-Lizenz
Heute schon gespamt? Spam in Mails und Blogs von TmoWizard, sofern nicht ausdrücklich anders festgestellt, ist lizenziert unter einer Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Germany Lizenz.

About TmoWizard

Ich bin "etwas" chaotisch veranlagt, manche würden auch verrückt dazu sagen! ;) Ich interessiere mich für Computer, aber auch andere Themen werden hier in meinem Blog angesprochen. Zum Beispiel ist die Politik immer wieder mal einen Artikel wert. Bitte beachtet auch mein Impressum! Viel Spaß wünsche ich euch nun. Mike, TmoWizard

1 Trackback oder Pingback für den Artikel

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Kommentarlinks könnten nofollow frei sein.

Spam protection by WP Captcha-Free