Ein verrückter Kerl hat heute morgen versucht, Spam über die Kommentarfunktion der shredzone zu verschicken.

Natürlich ist er daran gescheitert. Sein Versuch galt alten, fehlerhaften Perl-Mailscripten. Durch speziell manipulierte Texte ist es möglich, solchen fehlerhaften Scripten weitere Empfänger unterzujubeln, da sie den Text ungefiltert an sendmail weitergeben und jenes die Textteile als Mailheader interpretiert.

Die shredzone verwendet keine solchen Scripte. Trotzdem war sein Angriff in vielerlei Hinsicht interessant.

Er postete insgesamt sechs Kommentare in nur 35 Sekunden und mit einer Besonderheit: sein manipulierter Header wanderte bei jedem Kommentar, den er abschickte, in den jeweils nächsten Parameter des Formulars – natürlich auch in hidden-Felder und sogar in checkboxen.

Das kann nur bedeuten, dass er ein Tool oder ein Script verwendet, da solche Manipulationen mit einem normalen Browser nicht möglich sind. Eines seiner Kommentare sah dann so aus:

znundj@shredzone.de
Content-Type: multipart/mixed; boundary="===============1924061946=="
MIME-Version: 1.0
Subject: 173d2a6f
To: znundj@shredzone.de
bcc: bergkoch8@aol.com
From: znundj@shredzone.de

This is a multi-part message in MIME format.

--===============1924061946==
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit

urlcsiiou
--===============1924061946==--

Der Angreifer muss eine Möglichkeit haben, herauszufinden, ob mein Mailscript angreifbar ist. Dazu dient die E-Mailadresse bergkoch8@aol.com. Wenn der Angriff erfolgreich war, landet dort eine Blindkopie der E-Mail, und am Absender kann er dann leicht sehen, welche Domain angreifbar gewesen ist. Die E-Mailadresse steht also unter Kontrolle des Spammers.

Eine Suche bei Google nach der E-Mailadresse fand gleich 720 Treffer! Ein schneller Überblick der Treffer ergab, dass die E-Mailadresse in vielen anderen Gästebüchern und Kommentaren zu finden ist. Der Angriff war also nicht zufällig, sondern Teil einer momentan laufenden Spammerattacke. Auf einer der Seiten stand auch, dass der Angreifer ein entdecktes fehlerhaftes Mailscript umgehend zum Versand von Spam ausnutzt.

Eine Analyse meines Apache-Logfiles für diesen Zeitraum ergab, dass der Angreifer aus Belgien stammt und offenbar ein Kunde von Skynet ist. Ein entsprechender Abuse-Complaint ging bereits raus. Ich hoffe, dass dem Kerl damit das Handwerk gelegt werden kann.

Trotz allem: solche Angriffe auf fehlerhafte Mail-Scripte sind nichts Ungewöhnliches. Betroffen sind in der Regel Kontaktformulare, obwohl bei diesem Angriff alles ausprobiert wird, was auch nur entfernteste Ähnlichkeit mit einem Kontaktformular hat. Achtet also bitte darauf, dass eure Mail-Scripte gegen diese Angriffe geschützt sind. Im Spam steht sonst euer Server als Absender und wird in entsprechende Blacklists eingetragen.

Aus aktuellem Anlass: Spammer und E-Mail-Viren verwenden meist gefälschte Adressen, um ihr Unwesen zu treiben.

Es kommt leider immer wieder vor, dass Spam oder E-Mail-Viren mit der shredzone als vermeintlicher Absender verschickt werden. E-Mails, die im Internet verschickt werden, haben einige Parallelen zu der klassischen Briefpost.

So hielte mich nichts davon ab, jemanden einen Brief mit dem Bundeskanzler oder dem Weihnachtsmann als Absender zu schreiben. Die Post prüft nicht, ob der Absender korrekt ist, und stellt den Brief dem verdutzten Empfänger zu.

Analog arbeitet das Internet. Auch hier kann die E-Mail einen beliebigen Absender tragen. Die Mail-Server kümmert dies wenig; sie stellen die E-Mail dennoch zu. Spammer bedienen sich dieses Tricks, um ihre wahre Identität zu verschleiern. Es verrät sie lediglich der E-Mail-Header, eine Art Poststempel, der genau protokolliert, wo die E-Mail aufgegeben wurde und welchen Weg sie durch das Internet genommen hat.

Ich bin also weder der Urheber solcher Spam-Mails oder E-Mail-Viren, noch habe ich eine Möglichkeit, sie zu verhindern.

Was kannst du als Empfänger machen?

Am besten gar nichts. Seriöse Firmen verschicken keine Spam-Mails, und erst recht nicht mit gefälschtem Absender. Die auf diese Weise verschickten Angebote sind in aller Regel unseriös und zielen dann nur darauf ab, dir auf betrügerische Weise das Geld aus der Tasche zu ziehen oder anderen Schaden zuzufügen.

Auch auf Versprechen in der E-Mail, dass man aus dem Verteiler ausgetragen wird, wenn man auf einen Link klickt oder eine “Remove”-Antwort zurückschickt, solltest du nicht hereinfallen. Sobald du dem Spammer gegenüber den Wunsch äußerst, aus der Liste gestrichen zu werden, weiß er, dass du die E-Mail tatsächlich empfangen und gelesen hast. Dadurch gewinnt deine E-Mailadresse sogar noch an Wert, und wird um so mehr mit Spam zugemüllt.

Auch eine Strafverfolgung des Original-Absenders ist meist aussichtslos, da dieser meist im Ausland sitzt oder sich selbst als Opfer irgendeiner bösartigen Attacke eines Unbekannten wähnt, der seiner Firma damit schaden möchte. Wie will man da das Gegenteil beweisen?

Das beste Mittel gegen solchen Spam ist also, ihn einfach sofort zu löschen und zu vergessen. Denn nur, solange es immer noch Leute gibt, die auf diese unverlangte Werbung reinfallen und die Spammer damit Geld verdienen, wird es auch weiter den Spam geben.

Was kann ich als Eigentümer der Domain machen?

Leider auch nichts. Der Spammer verwendet meine Domain als gefälschten Absender und stellt die E-Mail dann irgendwo ins Internet. Ich habe keine Möglichkeit, dies festzustellen oder zu unterbinden.

Meine einzige Möglichkeit wäre, den Verursacher zu verklagen. Aber das ist praktisch aussichtslos, ebenfalls aus oben genannten Gründen: der Verursacher sitzt entweder im Ausland oder streitet jegliche Schuld ab.

Alles, was ich also machen kann, ist auf diese Weise über den Missbrauch zu informieren.

Wie stelle ich eigentlich fest, dass meine Domain missbraucht wird?

Da die E-Mail über fremde Mailserver geleitet wird, bekomme ich es direkt nicht mit. Was ich jedoch als vermeintlicher Absender erhalte, sind E-Mails, wenn eine Spam-Mail nicht zugestellt werden konnte oder der Empfänger gerade in Urlaub ist und eine automatische Abwesenheits-Mail aktiviert hat. Selten gibt es auch Beschwerden von Empfängern, die mich tatsächlich für den Absender halten. Dies alles sind Indizien dafür, dass wieder jemand meine Domain missbraucht.

Meine offizielle Spam-Statistik für August 2003

Insgesamt erhielt ich im August 595 Spam-Mails und 4 Viren, das macht im Schnitt 19,3 Mails pro Tag. Wenn der Spam halten würde, was er verspricht, hätte ich am Monatsende folgendes zusammen gehabt:

Körper und Gesundheit

Diät

45 Monatsrationen HGH umsonst. Damit hätte ich in fast 4 Jahren gut 1350 kg abnehmen können.

Penis

Verlängerung um 325 inches. Das entspricht einer Penislänge von über 8 Metern.

Viagra

2 Flaschen und 5 Tabletten kostenlos.

Brustvergrößerung

3 Flaschen umsonst. Das entspräche einer Vergrößerung um 9 Cups.

Rauchen

2 mal Rauchen aufhören in zwei Wochen. Dabei bin ich Nichtraucher.

Geld

Nigeria-Connection

US $273.520.000,00 hätte ich als vertrauenswürdiger Partner anteilig bekommen.

Lottogewinne

US $7.000.000,00 habe ich im Lotto gewonnen.

Geldgewinne

US $30,00 habe ich einfach so gewonnen.

Versicherungen

€ 8.000,00 pro Jahr hätte ich an Versicherungsprämien sparen können. Das ist mehr, als ich pro Jahr für Versicherungen ausgebe.

Partnerschaft

Videonachrichten

9 mal habe ich eine Videonachricht erhalten, aber nie abgerufen.

Nette Nacht

1 mal bedankte sich eine unbekannte Frau für die nette Nacht mit mir.

Kontaktanfrage

2 Frauen wollten mit mir zwecks Partnerschaft in Kontakt treten.

Sonstiges

Diplome

2 Diplome beliebiger Art hätte ich mir kaufen können.

Reisen

12 Tage Bahamas und 9 Tage Orlando mit freiem Eintritt in Disney World habe ich geschenkt bekommen.

Mit anderen Worten: ich würde nun mehrfacher Multimillionär sein und mich am Strand der Bahamas als Prof. Dr. mit athletischer Figur, einem 8 Meter langen Schwanz und Titten, die Dolly Buster erblassen lassen würde, mit einem Dutzend schöner Frauen amüsieren. Und da sag noch mal einer, Spam macht nicht glücklich... Nur das Viagra könnte ich nicht nehmen, da der Blutsturz mich umbringen würde.