Althaus blogt!

Wie lange dauert es, bis man Spam auf eine neue Emailadresse erhält, die als “Plaintext” auf einer neuen Webseite steht?

In diesem Fall: Immerhin knapp 4 Wochen. Ich bin erstaunt.

Seit ein paar Wochen (?) hat sich in meinen selbstgehosteten Mailboxen das Spamaufkommen rapide gesteigert und zwar dummerweise durch meinen eigenen Mailserver. Abgesehen von den aktuellen Weihnachtsspammails bekomme ich eine Reihe von Mails mit meinen eigenen Adressen im Absender. Dämlicher geht’s eigentlich nicht, aber es hat den nachteiligen Effekt, dass die Mails erst gar nicht durchkommen, sondern vorher ungültig (BAD_HEADER etc) aussortiert werden. Da ich selbst der vermeintliche Absender bin, schickt mir mein Server aber eine Nachricht (“nondelivery report”), dass “meine” Email nicht zu gestellt werden konnte.

Da das tierisch nervt, habe ich meinen Server nun mittels der so genannten “Sender Policy Framework“-Technik (kurz SPF) erweitert. SPF wird zwar relativ kritisch betrachtet, aber in meinem Fall stellt die Kritik kein Problem dar, da ich ja mein eigener Anbieter bin. Zu beachte ist, dass SPF eigentlich nicht gegen Spam, sondern gegen Adressfälschung gedacht ist.

Die Idee bei SPF ist, dass der Server bei einer eingehenden Email wie mail@example.org den Mailserver example.org fragt, ob die IP des einliefernden Mailservers dazu überhaupt authorisiert ist. Dazu wird ein entsprechender DNS-Eintrag überprüft. Wenn die IP ok ist (oder keine SPF-Infos vorhanden sind), wird die Email normal weiter verarbeitet. Liegt ein Missbrauch vor, wird die Email abgewiesen. Auch diverse Emailanbieter wie z.B. GMX setzen auf SPF. Ob dein Mailanbieter auf SPF setzt, kannst du überprüfen, indem du den TXT-Record der Maildomain abfragst.

Den SPF-Eintrag für meine Domains hatte ich schon vor einer Weile angelegt, nun musste ich meinen eigenen Mailserver (Postfix) noch die Kontrolle beibringen. Praktischerweise gibt es da bereits ein passendes Debianpaket, was ich einfach mit ein paar Abhängigkeiten via

installieren konnte. Dann noch schnell Postfix passend konfigurieren. Eine fluxe Anleitung liefert HowtoForge. Zu beachten ist, dass man tunlichst auf den genauen Pfad für die policy in der master.cf achten sollte. Da ich keine Ahnung hatte, wo das Skript gelandet war, hab ich auch gleich apt-file zum Suchen installiert.

Bei meinem Debian sieht das nun so aus:

Nachdem ich mein Pfadproblem gelöst hatte, ging es auch gleich los. Nach kurzer Zeit waren die ersten Erfolge im Log zu finden:

mail.log:
Jun 13 18:28:41 server postfix/policy-spf[8620]: : SPF fail (Mechanism ‘-all’ matched): Envelope-from: awotwiackart@warhammerportal.de.
Jun 13 18:28:41 server postfix/policy-spf[8620]: handler sender_policy_framework: is decisive..
Jun 13 18:28:41 server postfix/policy-spf[8620]: : Policy action=550 Please see http://www.openspf.org/Why?…

Take this evil spam scumback!

Auch wenn es für die Allgemeinheit nicht so viel bringt… mein persönlicher Frieden ist erstmal wieder gesichert. Immerhin wurden in den letzten vier Stunden schon 71 Emails abgewiesen.

Wie damals geschrieben, habe ich mich jeweils an den abuse-Kontakt der ISPs gewandt. Von beiden Seiten kam bis jetzt auch nach zweimaliger Kontaktaufnahme keine Reaktion. Ich werde es jetzt nochmal über den regulären Kontakt versuchen. Vielleicht laufen die abuse@domain.tld-Mailadressen ja ins Leere. Sollte auch darauf keine Reaktion kommen, werde ich wohl die Hosts komplett für meine Webserver sperren.

Aktuell habe ich ein kleines größeres Spamproblem. Über den leider noch nicht ausreichend gesicherten Kontaktmailer von T³ wurden eine Reihe von Werbemails an registrierte Nutzer verschickt. Das Kontaktformular dient zum Schutz der Emailadressen der Nutzer. Leider kann er sich nicht um den Inhalt kümmern.

So kam es nun, dass seit ein paar Tagen der Mailer für Spam missbraucht wurde. Unter verschiedenen Namen wurde folgender Mailtext verschickt:

Hi,
ein guter Kollege von mir hat einen neuen Online-Shop aufgemacht für Warhammer Fantasy und 40k (Tomogames.com)
Ich will ihm helfen, dass der Shop bekannt wird.
Er gibt bis zu 25% Rabatt auf alles!

hf Death Master

Absender wechselt kreativ mit thematisch passenden Namen und einer nameNummer@(gmx|yahoo).(de|net) Mailadresse. Die Webseite weist dabei ein paar Sachen auf, die etwas fragwürdige Dinge aufzeigt:

• Technische Realisierung durch eine undurchsichtige Firma in Paraguay (ICI srl.)
• Bezahlung nur via Vorkasse oder Paypal (was da auch nicht sicher ist)
• “Erlaubnis zur E-Mail-Werbung” in den Datenschutzbestimmungen (Standardfloskel)
• Jegliche Spuren und Suchanfragen führen zu einer Reihe mir suspekter Webseiten bzw. Forenthemen zu Spam

Inhaber der Seite ist laut Impressum:

Tomogames-Vertrieb Deutschland
Ralf Banf
Oskar Schlemmer Ring 8
67657 Kaiserslautern

Wenn man nun nach Herrn Banf aus Kaiserslautern sucht, stößt man auf folgende Seiten:

• Div. Einträge in Branchenbücher als Werbeagentur mit der Domain wab.de, die aber auf eine “Erotik”seite names firstXplanet zeigt
• kl-portilo.de/PORTILOkonzept.de – Angebliches Affiliatehandling für die Umwelt (Inhaberin: Gabriele Banf)
• venusgalerie.de – Erotikwebservice (Inhaber: iMedia Internet Entertainment von Hrn. Banf, Jugendschutzbeauftrage: Fr. Banf)
• wir-leben-jetzt.com – Noch ein Onlineshop der iMedia Internet Entertainment
• virtualsurfcity.de – Mischung aus firstXplanet und diesmal firstXerotik
• etc.
  

Sucht man nun nach dem verantwortlichen admin-c, so stößt man auf den Herren Jürgen Vogel aus Paraguay mit der Mailadresse info@6mem.com. Die Domain 6mem.com zeigt dabei interessanterweise wieder auf firstXplanet. Auch wird die Firma des tech-c (ICI srl. auch aus Paraguay, Geschäftsführer Kurt Vogel) im Impressum von tomogames.com als technischer Betreuer genannt.

Dies alles lies sich nach 1-2h Recherche herausfinden. Ich habe nun mal die entsprechenden Abuse-Stellen angeschrieben und auf die Situation hingewiesen. Allzuviel erhoff ich mir davon nicht. Einzig das Versenden der Bulkmails könnte eventuell ein Ansatzpunkt sein, da dies meist einen Verstoß der AGBs des ISP bedeutet.

Ich werde berichten, was sich da so tut…

Userverhalten ist ja immer interessant… aber manchmal auch ärgerlich. Nachdem ich nun ja wieder die verschmähte Mailbox abrufe, habe ich auch wieder Zugriff auf die Mailbounces eines Newsletters, der regelmäßig automatisch verschickt wird. Bounces sind immer ärgerlich, da sie ja nur unnötige Ressourcen fressen. Der Grund liegt meist bei dem Newsletter meist in verwahrlosten Emailadressen, die vom Besitzer an einer einsamen Ecke der Datenautobahn ausgesetzt werden.

Da ein manuelles Durchforsten der Bounces und ein Abgleich mit der Datenbank natürlich keine tolle Sache ist, werde ich mir wohl mal Gedanken über ein Bouncesystem machen müssen, was die Bounces automatisch auswertet. Grundsätzlich wäre der Aufwand wohl nicht nötig, aber z.Z. sind ca. 10% der Newsletteradressen tot. :/

Die Spammer werden ja immer gewiefter. Nachdem sie vergebens probieren mich davon zu überzeugen, dass ich doch Commerz- oder Volksbankkunde sei, ist der neuste Trick, dass sie als Absender eine Emailadresse nehmen, der ich ganz sicher vertraue: meine eigene Adresse. Ehh… hallo? Warum sollte ich mich bitte selbst zu spammen? Wer fällt denn auf sowas rein?

Es ist immer wieder interessant, wieviel Spam eine Emailadresse erreicht, die nie auf der betroffenen Webseite publik gemacht wurde. Als Nutzer ist man nur über einen Formularmailer erreichbar und die Emailadresse wird erst dann für den Schreiber erkennbar, wenn der Angeschriebne mit der gleichen Adresse antwortet. Nachdem ich ein paar Tage weg war und in der Zeit keine Emails kontrolliert habe, hat so eben mein Thunderbird ca. 500 Mails in den Spamordner geschoben, die der serverseitige Spamassassin “übersehen” hat. Das waren also ca. 100 pro Tag, was grob einem Verhältnis von 50:1 bezogen auf “echte” Emails entspricht. Doch wie kommt es dazu? Probieren die Spammer einfach mal irgendwas vor dem Domainnamen aus? Ich tippe mal eher darauf, dass da manche Leute ihre Rechner mal auf Spyware untersuchen sollten.

Ich für meinen Teil werde mal meine SA-Konfiguration checken, doch leider tut sich die Erkennung vor allem mit “deutschem” Spam schwer.