- Werbung -

Spam und was man dagegen tun kann

11.03.2011
Jürgen Thau

Spam ist im Internet zu einer wahren Plage geworden. Dabei beschränken sich Spammer keineswegs nur auf das Versenden von unerwünschten E-Mails. Auch Webseiten, die ein Gästebuch, ein Forum oder eine Kommentarfunktion anbieten, sind davon betroffen. Den Spammern geht es dabei in der Regel immer um eines: Sie wollen Besucher auf Ihre Webseiten locken. Wobei es sich in aller Regel nicht gerade um seriöse Seiten handelt. Oft sind es dubiose Medikamentenanbieter, Verkäufer von raubkopierter Markenware, zweifelhafte Glücksspielseiten oder irgendwelcher Schmuddelkram. In der Regel werden die Geschäfte aus dem Ausland betrieben und sind für die deutsche Justiz nicht greifbar. Ihnen das Handwerk zu legen, ist oft schwierig und die Mühe nicht wert, gibt es doch genügend Hilfsmittel, um sich ihrer zu erwehren.

Je nachdem, um welchen Typ von Spam es sich handelt, sind unterschiedliche Methoden und Werkzeuge notwendig. Fangen wir mal mit dem Mail-Spam an, den wohl jeder schon einmal in seinem Postfach gefunden hat. Am besten ist es natürlich, wenn die eigenen Mailadresse den Spammern gar nicht erst bekannt wird. Dafür sollte jeder die folgenden Regeln im Umgang mit seiner Mailadresse und beim Versenden von beachten. Das gibt zwar keine 100%ige Sicherheit, aber es verringert das Spam-Risiko. Ganz ohne ein bisschen Arbeit und Disziplin geht das allerdings nicht. Wie auch sonst im Leben hat Bequemlichkeit ihren Preis.

  1. Niemals die normale Mailadresse verwenden, um sich bei Newslettern, Gewinnspielen oder ausländischen Webseiten anzumelden. Die Gefahr, dass solche Adressen verkauft werden ist groß. Kürzlich berichtete mir ein Freund, dass ihm dies bei einem österreichischen Hotel passiert ist. Denen hatte er seine normale Mailadresse gegeben und kurze Zeit später erhielt er unerwünschte Werbemails diverser Anbieter. Nach deutschem Recht absolut unzulässig, aber nach österreichischem? Möglicherweise nicht.
    Für solche Fälle sollte man sich Wegwerf-Mailadressen zulegen. Das sind Adressen von speziellen Anbietern, die nach kurzer Zeit automatisch verfallen, bspw. nach Erhalt von 5 Mails. Das ist ausreichend, um z.B. irgendeinem Registrierungswunsch nachzukommen, weil man etwas downloaden will, oder eine Anfrage beantwortet zu bekommen. Für Newsletter, die ja regelmäßig kommen, ist das natürlich keine Option. Dafür kann man ggf. kostenlose zusätzliche Mailaccounts z.B. bei web.de, GMX oder Yahoo anlegen. So sieht man meist recht schnell, wer die Mailadresse weitergegeben hat und kann sich überlegen, ob man diesen Newsletter noch weiter beziehen will. Seriöse Anbieter geben keine Adressen weiter und können dann auch über den regulären Account laufen.
  2. Einen Spam-Filter benutzen. Heutzutage laufen auf den meisten Mailservern Programme, die in der Lage sind Spam zu erkennen. Auf unserem AUGE-Mailserver ist dies beispielsweise das Programm SpamAssassin. Dieses analysiert jede eingehende E-Mail, berechnet einen sogenannten Spam-Score und trägt diesen in den Mailheader ein. Diesen Eintrag können Mailclients wie z.B. Thunderbird auswerten und Spam-Mails automatisch aussortieren. SpamAssassin sagt darüber hinaus auch, wie er zu der Einschätzung gekommen ist, dass eine Mail Spam ist. Dies sieht bei einer typischen Spam-Mail beispielsweise so aus:
    X-Spam-Score: 26.1 (++++++++++++++++++++++++++)<br />
		X-Spam-Flag: YES<br />
		X-Spam-Report: Spam detection software, running on the system xxx, has<br />
		identified this incoming email as possible spam. The original message<br />
		has been attached to this so you can view it (if it isn't spam) or label<br />
		similar future email. If you have any questions, see<br />
		xxx for details.<br />
		Content analysis details: (26.1 points, 5 required)<br />
		pts rule name description<br />
		---- ---------------------- -------------------------------------------<br />
		3.4 FH_DATE_PAST_20XX The date is grossly in the future.<br />
		1.2 FS_REPLICA Subject says "replica"<br />
		3.9 DATE_IN_FUTURE_96_XX Date: is 96 hours or more after Received: date<br />
		3.4 REPLICA_WATCH BODY: Message talks about a replica watch<br />
		1.0 CTYME_IXHASH BODY: BiXhash found @ ctyme.ixhash.ne<br />
		0.0 HTML_MESSAGE BODY: HTML included in message<br />
		1.0 GENERIC_IXHASH BODY: iXhash found @ generic.ixhash.net<br />
		1.0 NIXSPAM_IXHASH BODY: iXhash found @ ix.dnsbl.manitu.net<br />
		1.6 URIBL_AB_SURBL Contains an URL listed in the AB SURBL blocklist<br />
		[URIs: magshine.com]<br />
		2.1 URIBL_WS_SURBL Contains an URL listed in the WS SURBL blocklist<br />
		[URIs: magshine.com]<br />
		2.9 URIBL_JP_SURBL Contains an URL listed in the JP SURBL blocklist<br />
		[URIs: magshine.com]<br />
		2.1 URIBL_OB_SURBL Contains an URL listed in the OB SURBL blocklist<br />
		[URIs: magshine.com]<br />
		2.5 DNS_FROM_RFC_DSN RBL: Envelope sender in dsn.rfc-ignorant.org

    Für diesen Werbemüll für raubkopierte Uhren gab es satte 26 Punkte. Ab 5 Punkten geht SpamAssassin davon aus, dass es sich um Spam handelt.
    Die Erfolgsquote von SpamAssassin ist nach meinen Beobachtungen sehr hoch. Bei mir werden über 95% aller Spam-Mails erkannt. Sogenannte "False Positives", d.h. als Spam markierte Mails, die eigentlich keine sind, sind dagegen äußerst selten. In den letzten drei Monaten hatte ich genau eine. Leider funktionieren nicht alle Spamfilter so gut. Sehr schlechte Erfahrungen habe ich mit dem Spam-Filter von web.de gemacht. Dieser sortiert eingehende Mails in drei Kategorien: "Freunde & Bekannte" (also erwünschte Mails), "Unbekannt" (da ist sich die Software unsicher) und "Spam". Allzu oft fand ich dort Spam-Mails im Ordner "Freunde & Bekannte". Und obwohl ich diese Mails immer als Spam gekennzeichnet habe, wurden regelmäßig gleichartige Mails wieder falsch einsortiert. Umgekehrt kam es zu oft vor, dass erwünschte Mails im Spam- oder Unbekannt-Ordner landeten und auch dort waren Wiederholungsfehler keine Seltenheit. Den Vogel hat aber diese Mail, die von web.de selber kam, abgeschossen. Auch sie wurde als Spam markiert und das sogar mit einer recht hohen Wahrscheinlichkeit! Dagegen waren alle anderen Mails auf dieser Seite, die mit geringer Wahrscheinlichkeit bewertet wurden, ausnahmslos echter Spam.
    Screenshot web.de Spamfilter
    Danach habe ich auf die Nutzung dieses Services verzichtet und leite Mails, die an web.de gehen, direkt auf meinen AUGE-Account weiter. Damit wird der web.de Spamfilter umgegangen und unser SpamAssassin filtert den Müll.
  3. Auch wenn man selber Mails versendet, sollte man darauf achten, wie man das tut. Will man eine Mail an mehrere Empfänger schicken, so trägt man diese in der Regel als zusätzliche Empfänger ("An:") oder Kopieempfänger ("CC:" oder "BCC:") ein. Dagegen ist auch nichts einzuwenden. Man sollte jedoch bedenken, dass jeder Mailempfänger alle Mailadressen sehen kann, die nicht als Blindcopy ("BCC:") adressiert sind. Damit verbreitet man deren Mailadressen, ohne dass die Betroffenen dagegen etwas tun können. Daher sollte man dies nur tun, wenn es notwendig ist. Absolut tabu sollten Massenmails sein, mit Dutzenden Empfängern in "CC:". Entweder verwendet man für so etwas geeignete Tools, die Massenmails automatisch als einzelne Mails versenden (z.B. PHPlist) oder man trägt die Empfänger zumindest als "BCC:" ein. Wobei letzteres den Nachteil hat, dass die Wahrscheinlichkeit etwas höher sein kann, dass die Mail beim Empfänger als Spam aussortiert wird.
  4. Und wenn man dann doch einmal eine Spam-Mail in seinem Posteingang findet: Auf keinen Fall darauf antworten! Teilweise enthalten solche Mails Links zum Anklicken, mit denen man sich angeblich abmelden kann. In der Regel bestätigt man dem Spammer damit nur, dass diese Mailadresse gültig ist und regelmäßig gelesen wird. Was ihren Wert nur steigert. Entweder man löscht diese Mail sofort oder schickt sie an die Abuse-Adresse des Providers, über den der Spammer sie versendet hat. Ich mache mir diese Mühe nur ausnahmsweise, wenn der Spam aus Deutschland kam. Es sind dann meistens unerfahrene Gewerbetreibende oder Unternehmen, die nicht wissen, was sie tun und nach einem dezenten Hinweis ihres Providers wieder auf den rechten Weg gebracht werden können.

Eine andere ärgerliche Spam-Erscheinung ist der Kommentar- und Trackback-Spam. Dieser tritt in der Regel in Weblogs, aber auch in Gästebüchern auf. Die Spammer wollen durch - meist von speziellen Programme (sogenannten Spam-Bots) erzeugte -  Kommentare in dem Blog Links zu ihren Webseiten platzieren - natürlich immer in der Hoffnung, dass jemand mal darauf klickt, auf die eigene (Spam-)Webseite kommt und dort zum Kunden wird. In die gleiche Richtung geht der Trackback-Spam, hier werden auf der eigenen (Spam-)Seite sogenannte Trackbacks zum dem Blog des Opfers gesetzt. Diese Trackbacks erscheinen dort oft automatisch bei den jeweiligen Beiträgen und enthalten Links auf die Spammer-Seite - sowas möchte man natürlich auch nicht auf seinem Blog haben. Die Erfahrung auf diesem Kochblog zeigt, dass rund 95% aller Spam-Kommentare aus dem Ausland kommen. Fast immer sind sie in englischer Sprache verfasst, gelegentlich auch in Russisch oder einer asiatischen Sprache. Unter den täglich ca. 1.000 Besuchern sind 2 bis 3% Spambots, die zwischen 10 und 40 Spam-Kommentare erzeugen. Um diese zu bekämpfen, gibt es verschiedene Möglichkeiten. Häufig wird ein sogenanntes CAPTCHA eingesetzt. Das ist eine spezielle Frage, die vor dem Absenden eines Kommentars beantwortet werden muss. Oft sind es einfache Rechenaufgaben (wie viel ist 2 + 4) oder man muss Buchstaben, die als Grafiken angezeigt werden, in ein Eingabefeld schreiben. Je nach Cleverness der Spam-Bots scheitern diese an den meisten Aufgaben, was einen guten Teil des Spams von vornherein vermeidet. Eine andere Methode kann sein, dass nur registrierte User überhaupt kommentieren dürfen. Hierbei muss man dann allerdings Vorsorge gegen automatisierte Anmeldung durch Spam-Bots treffen, sonst hilft dies überhaupt nicht. Die beste Erfahrung haben wir im Kochblog mit speziellen Diensten wie Akismet, Mollom oder AntispamBee gemacht. Diese Dienste arbeiten ähnlich wie der SpamAssassin und bewerten jeden Kommentar-Eintrag bevor dieser freigeschaltet wird. Je nach Konfiguration werden mutmaßliche Spam-Kommentare als solche gekennzeichnet und verschwinden im Spam-Ordner. Zweifelhafte Kommentare kommen dagegen in die Moderationswarteschlange. Alle anderen werden sofort veröffentlicht. Für die Seitenbesucher ist das natürlich eine deutlich bequemere Variante als die Zwangsanmeldung oder das CAPTCHA und sorgt dadurch für mehr Kommentare.
Der Screenshot links zeigt den Erfolg von AntispamBee nach ca. 90 Tagen Einsatzdauer: Fast 1.800 Spam-Kommentare wurden abgefangen, weitere 121 befinden sich noch im Spam-Ordner und könnten noch freigeschaltet werden (falls mal ein False Positive dabei sein sollte). Nach 7 Tagen im Spam-Ordner ist dann allerdings Feierabend und der Spam-Kommentar wird automatisch gelöscht. Nur selten findet mal ein Spam-Kommentar den Weg in das Blog. Schätzungsweise 98% werden vorher ausgefiltert. False Positives hatten wir in den drei Monaten einen und ein Kommentar landete in der Moderationswarteschlange und musste nach Prüfung manuell freigeschaltet werden.
Der nächste Screenshot zeigt, was für ein Müll in den Kommentaren ohne geeignete Schutzmaßnahmen landen würde. Blogger, die heute noch ihre Weblogs ungeschützt betreiben, handeln nicht nur fahrlässig, sie unterstützen damit sogar die Spammer und fördern den Kommentar-Spam indirekt.

Ausgefilterter Kommentar-Spam auf digilotta.de

Forum-Spam ist dem Kommentar-Spam recht ähnlich. Allerdings tritt er in der Regel nicht in dieser dummdreisten Form auf wie bei den Blog-Kommentaren. Der Grund: Fast immer muss man sich bei einem Forum anmelden und es gibt Moderatoren und Admins, die ein Auge auf die Postings werfen. Um hier dauerhaft Links platzieren zu können, muss man schon einen halbwegs sinnvollen Beitrag schreiben und darf den Werbelink nicht allzu offensichtlich platzieren. Trotzdem gibt es auch hier automatisierte Anmeldeversuche. Um Forum-Spammern auf die Spur zu kommen, kann man als Forum-Betreiber beispielsweise die Seite von Stop Forum Spam nutzen. Da für jede Forum-Anmeldung eine gültige E-Mailadresse unabdingbar ist (bei Blog-Kommentaren ist das anders), hat jeder Spammer das Problem, dass seine Mailadresse nach kurzer Zeit bekannt ist. Googelt man dann beispielsweise bei einer Neuanmeldung mal nach dieser Mailadresse findet man bei Spammern sehr oft auch gleich einen Eintrag, wie der folgende Screenshot beispielhaft zeigt. Klar, dass ein solcher User nicht auf eine Freischaltung seines Accounts hoffen sollte. Wink

Google Suchergebnisseite Forum-Spammer

Wie man sieht, ist man Spam nicht schutzlos ausgeliefert. Egal ob in E-Mails, Foren oder Weblogs, es gibt wirksame Methoden um ihn präventiv zu verhindern oder zumindest mit möglichst geringem Aufwand auszufiltern.

Links

Anbieter von Wegwerf-Mailadressen: http://www.trash-mail.com/, http://www.spambog.com/, http://www.spamgourmet.com, http://www.sofortmail.de, http://www.emailgo.de/

SpamAssassin (englisch): http://spamassassin.apache.org/
PHPlist (englisch): http://www.phplist.com/
AntispamBee (deutsch): http://antispambee.de/
Akismet (englisch): http://akismet.com/
Mollom (englisch): http://mollom.com/

Stichworte: 
Tools
  • Zum Verfassen von Kommentaren bitte Anmelden.