Hallo!
Irgend jemand hat meine Domain als Absender für seine Spam-Emails benutzt. Nun hatte ich gestern 800 Emails und heute 2000. Die Emails sind meist Antworten von Mailservern, dass der Empfänger nicht existiert.
Als "Offliner" mit Modem-Verbindung ist das sehr nervig. Mein Provider kann den Mail-Headern zufolge nichts dafür. Die Spam-Emails wurden nicht über ihn verschickt.
Den Übeltäter zu belangen wird wahrscheinlich nicht klappen.
Soweit so gut,
Gruß, Thomas
On Friday 27 June 2003 09:25, Thomas Guettler wrote:
Irgend jemand hat meine Domain als Absender für seine Spam-Emails benutzt. Nun hatte ich gestern 800 Emails und heute 2000. Die Emails sind meist Antworten von Mailservern, dass der Empfänger nicht existiert.
Bekannt als "address forging", also einfach Adressfälschung. Es gibt ja 3 Arten von Spams, ich versuch die mal zu beschreiben: - Nervspam (ohne Wunsch auf Reply) - Testspam (ohne Wunsch auf Reply) - Produktspam (mit Wunsch auf Reply)
Nervspam bedeutet, ich nehme Adresse von Bundeskanzler und schreibe an Regierung von Mongolei. Nutzt weder dem Spammer noch dem Empfänger was. Nervspam ist übrigens auch, wenn mir einer einen Virus schicken will ("...click attachment...") und vergessen hat ihn anzuhängen :)
Testspam heißt, ich lasse den Empfänger auf einen Link mit einer ID klicken, um die Mailadresse zu verifizieren, und sie später weiter vermarkten zu können. Früher haben die Spammer das über die Replies rausbekommen, heute schenken sie sich diesen Aufwand, und ärgern lieber gleich ein paar Leute mit.
Produktspam ist interessant, denn egal wie sich der Absender tarnt, er will ja trotzdem was vom Empfänger, ist also auch herauszubekommen. Ob auch strafrechtlich zu belangen ist eine andere Frage - wenn demnächst Werbeanrufe in Deutschland erlaubt sind, freuen sich sicher auch die Spammer.
Welche Art war's denn?
Als "Offliner" mit Modem-Verbindung ist das sehr nervig. Mein Provider kann den Mail-Headern zufolge nichts dafür. Die Spam-Emails wurden nicht über ihn verschickt.
Aber über einen anderen, und dort kann man z.B. an postmaster@ oder abuse@ eine Mail hinsenden (und hoffen daß sie gelesen wird). Mit whois kann man den Betreiber des IP-Blocks herausbekommen, diesen auch anschreiben.
Den Übeltäter zu belangen wird wahrscheinlich nicht klappen.
Wenn's einfach wäre, würde die Welt nicht so viel Spam ertragen müssen :(
Seit ein paar Tagen sind z.B. die inf.tu-dresden.de Konten betroffen: Irgendein Spammer hat studentische Adressen zum Versenden von Viren verwendet (kann auch ein Wurm sein, denke jedoch nicht daß es viele Outlooknutzer gibt die meine inf-Adresse im Adressbuch haben). Nun haben viele Firmen so superschlaue Mailserver installiert, welche ein Reply schicken, daß die Mail einen Virus enthält (oder daß der Empfänger nicht existiert, was ja RFC-gerecht ist). Das führt dann auch zu "Spam", kann aber schlecht geblockt werden.
Josef
Am 27. Juni 2003 schrieb Josef Spillner:
Seit ein paar Tagen sind z.B. die inf.tu-dresden.de Konten betroffen: Irgendein Spammer hat studentische Adressen zum Versenden von Viren verwendet (kann auch ein Wurm sein, denke jedoch nicht daß es viele Outlooknutzer gibt die meine inf-Adresse im Adressbuch haben).
Ich habe auch so eine Mail bekommen und den Admin der TU-DD informiert. Ärmlich fine ich, dass man nicht mal eine Antwort bekommt.
Und lt. Header war die Mail über einen Mailserver der TU eingespeist, also nicht bloß gefakt.
Freundlich grüßend,
Erik
On Sat, Jun 28, 2003 at 01:03:55PM +0200, Erik Schanze wrote:
Ich habe auch so eine Mail bekommen und den Admin der TU-DD informiert. Ärmlich fine ich, dass man nicht mal eine Antwort bekommt.
Wer ist denn DER Admin der TU?
Eric
Am 28. Juni 2003 schrieb Eric Schaefer:
On Sat, Jun 28, 2003 at 01:03:55PM +0200, Erik Schanze wrote:
Ich habe auch so eine Mail bekommen und den Admin der TU-DD informiert. Ärmlich fine ich, dass man nicht mal eine Antwort bekommt.
Wer ist denn DER Admin der TU?
Lt. whois: wuensch@urz.tu-dresden.de
Sicher einer von mehreren.
Freundlich grüßend,
Erik
Erik Schanze wrote: [Admin TU DD]
Lt. whois: wuensch@urz.tu-dresden.de
http://www.tu-dresden.de/urz/Wir_uber_uns/Mitarbeiter/WXYZ/W/w_4.html
da steht eine andere Email :-)
Stefan
.
On Fri, Jun 27, 2003 at 03:58:18PM +0200, Josef Spillner wrote:
On Friday 27 June 2003 09:25, Thomas Guettler wrote:
Irgend jemand hat meine Domain als Absender für seine Spam-Emails benutzt. Nun hatte ich gestern 800 Emails und heute 2000. Die Emails sind meist Antworten von Mailservern, dass der Empfänger nicht existiert.
Bekannt als "address forging", also einfach Adressfälschung. Es gibt ja 3 Arten von Spams, ich versuch die mal zu beschreiben:
- Nervspam (ohne Wunsch auf Reply)
- Testspam (ohne Wunsch auf Reply)
- Produktspam (mit Wunsch auf Reply)
Es war Produkt-Spam. Ein Link in der HTML-Mail führte zu einem Viagra-Angebot.
thomas
On Sun, Jun 29, 2003 at 11:27:18PM +0200, Thomas Guettler wrote:
On Fri, Jun 27, 2003 at 03:58:18PM +0200, Josef Spillner wrote:
On Friday 27 June 2003 09:25, Thomas Guettler wrote:
Irgend jemand hat meine Domain als Absender für seine Spam-Emails benutzt. Nun hatte ich gestern 800 Emails und heute 2000. Die Emails sind meist Antworten von Mailservern, dass der Empfänger nicht existiert.
Bekannt als "address forging", also einfach Adressfälschung. Es gibt ja 3 Arten von Spams, ich versuch die mal zu beschreiben:
- Nervspam (ohne Wunsch auf Reply)
- Testspam (ohne Wunsch auf Reply)
- Produktspam (mit Wunsch auf Reply)
Es war Produkt-Spam. Ein Link in der HTML-Mail führte zu einem Viagra-Angebot.
Es ist wirklich verdammt nervig. Ich lade gerade zum dritten mal 2002 Emails herunter. Mit einem Modem macht das keinen Spaß.
Das einzige, dass man von dem Spammer weiß ist die Adresse unter der er seine Pillchen verkaufen will. Zu jeder Adresse sollte es doch einen Verantwortlichen geben.
Leider bin ich zur Zeit mehr oder weniger offline, so dass ich nicht im Netz schauen kann. Wenn jemand weiß was man gegen solchen Missbrauch machen kann wäre ich dankbar.
thomas
am Wed, dem 02.07.2003, um 18:48:05 +0200 mailte Thomas Guettler folgendes:
im Netz schauen kann. Wenn jemand weiß was man gegen solchen Missbrauch machen kann wäre ich dankbar.
taktische Atombombe ;-)
Andreas
Hallo Thomas,
Am 02. Juli 2003 schrieb Thomas Guettler:
Das einzige, dass man von dem Spammer weiß ist die Adresse unter der er seine Pillchen verkaufen will. Zu jeder Adresse sollte es doch einen Verantwortlichen geben.
Wenn der Verantwortliche voraussichtlich in D sitzt, wäre über eine Strafanzeige nachzudenken. Bei welchem Provider bist du? Und was sagt der dazu?
Leider bin ich zur Zeit mehr oder weniger offline, so dass ich nicht im Netz schauen kann. Wenn jemand weiß was man gegen solchen Missbrauch machen kann wäre ich dankbar.
Keine Ahnung, aber wenn dir vorübergehend ein ssh-Account auf einem netzmäßig gut angebundenen Rechner irgendwie weiter hilft, dann melde dich bei mir.
Torsten
am Wed, dem 02.07.2003, um 20:36:02 +0200 mailte Torsten Werner folgendes:
im Netz schauen kann. Wenn jemand weiß was man gegen solchen Missbrauch machen kann wäre ich dankbar.
Keine Ahnung, aber wenn dir vorübergehend ein ssh-Account auf einem netzmäßig gut angebundenen Rechner irgendwie weiter hilft, dann melde dich bei mir.
Bruahaha. Darf man das als Einladung für den Gebrauch taktischer Atombomben werten? Es klingt jedenfalls nach 'Du darfst $Rechner als Sprungbrett für DoS gebrauchen'.
Andreas, bei Gelegenheit drauf zurückkommend ;-)
Am 02. Juli 2003 schrieb Andreas Kretschmer:
Bruahaha. Darf man das als Einladung für den Gebrauch taktischer Atombomben werten? Es klingt jedenfalls nach 'Du darfst $Rechner als Sprungbrett für DoS gebrauchen'.
So war es definitiv nicht gemeint, ich weiss nicht, wie du auf solche blöden Ideen kommst??? Vielmehr ein Account, der ein Filtern der Inbox mittels exim, procmail, python ... was weiss ich, erlaubt. Die meisten Billigprovider bieten sowas halt nicht.
Torsten
On Wed, Jul 02, 2003 at 08:36:02PM +0200, Torsten Werner wrote:
Hallo Thomas,
Am 02. Juli 2003 schrieb Thomas Guettler:
Das einzige, dass man von dem Spammer weiß ist die Adresse unter der er seine Pillchen verkaufen will. Zu jeder Adresse sollte es doch einen Verantwortlichen geben.
Wenn der Verantwortliche voraussichtlich in D sitzt, wäre über eine Strafanzeige nachzudenken. Bei welchem Provider bist du? Und was sagt der dazu?
Leider bin ich zur Zeit mehr oder weniger offline, so dass ich nicht im Netz schauen kann. Wenn jemand weiß was man gegen solchen Missbrauch machen kann wäre ich dankbar.
Keine Ahnung, aber wenn dir vorübergehend ein ssh-Account auf einem netzmäßig gut angebundenen Rechner irgendwie weiter hilft, dann melde dich bei mir.
Danke für das Angebot. Ich habe inzwischen *@thomas-guettler.de gelöscht und lasse nur noch ein paar Adressen zu. Da der Spammer andere Adressen (z.B. w.j.@thomas-guettler.de) benutzt, kommen die Antworten der Mailserver nun nicht mehr an.
Gruß, Thomas
On Thursday 03 July 2003 22:39, Thomas Guettler wrote:
Danke für das Angebot. Ich habe inzwischen *@thomas-guettler.de gelöscht und lasse nur noch ein paar Adressen zu. Da der Spammer andere Adressen (z.B. w.j.@thomas-guettler.de) benutzt, kommen die Antworten der Mailserver nun nicht mehr an.
Bei mir hat heute der SpamAssassin Einzug gehalten, und hat schon 11 Nachrichten erfolgreich in den Mülleimer verschoben.
Kleines HowTo (für woody, exim mit Maildirs): http://mindx.dyndns.org/stuff/exim/
Josef
On Thu, Jul 03, 2003 at 11:00:08PM +0200, Josef Spillner wrote:
On Thursday 03 July 2003 22:39, Thomas Guettler wrote:
Danke für das Angebot. Ich habe inzwischen *@thomas-guettler.de gelöscht und lasse nur noch ein paar Adressen zu. Da der Spammer andere Adressen (z.B. w.j.@thomas-guettler.de) benutzt, kommen die Antworten der Mailserver nun nicht mehr an.
Bei mir hat heute der SpamAssassin Einzug gehalten, und hat schon 11 Nachrichten erfolgreich in den Mülleimer verschoben.
Kleines HowTo (für woody, exim mit Maildirs): http://mindx.dyndns.org/stuff/exim/
SpamAssassin hätte meine Mails sicherlich nicht gelöscht, da ich ja keinen Spam, sondern nur die Antworten von Mailservern erhalten habe. Meist "user unkown" oder "mailbox full".
Folgender regulärer Ausdruck in mutt markiert fast alle diese Emails:
~s returned\ .ail|deliver|failure|unzustellbar:|warning:\ could\ not|blocked\ email|notification|mail\ status|warning:\ message|mail-system-fehler|autoresonder|mailbox-quota|autoreply|user\ unkown
Wäre schön, wenn es ein RFC für standadisierte Fehlermeldungen geben würde. Dann könnte man besser filtern.
Gruß, thomas
On Friday 04 July 2003 07:25, Thomas Guettler wrote:
Wäre schön, wenn es ein RFC für standadisierte Fehlermeldungen geben würde. Dann könnte man besser filtern.
Gibt es: DSN (Delivery Status Notification). Neben Content-type: message/rfc822 gibt es dann noch message/delivery-status. Ob und wann ein signifikanter Teil der Mailserver das nutzen wird ist fraglich. RFCs: 1891, 3464
Sieht dann in etwa so aus:
Reporting-MTA: dns;blah Received-From-MTA: dns;blah Arrival-Date: foo
Final-Recipient: rfc822;mail@domain.de Action: failed Status: 5.1.1
Josef
Am 04. Juli 2003 schrieb Thomas Guettler:
Wäre schön, wenn es ein RFC für standadisierte Fehlermeldungen geben würde. Dann könnte man besser filtern.
Die Kopfzeile
Precedence: bulk
könnte helfen. Die trifft zwar auch auf Mailinglisten zu, aber die kannst du vorher über eine whitelist herausfiltern.
Torsten
On Thursday 03 July 2003 23:00, Josef Spillner wrote:
Kleines HowTo (für woody, exim mit Maildirs): http://mindx.dyndns.org/stuff/exim/
Aus aktuellem Anlaß sind es nun 2, quasi als Ergänzung zu Konrads Mailman-Vortrag gibt es auch dafür Installationshinweise.
Josef
On Friday 27 June 2003 09:25, Thomas Guettler wrote:
Den Übeltäter zu belangen wird wahrscheinlich nicht klappen.
Da fällt mir grad noch ein Problem ein: Für den Empfänger bist du ja der Übeltäter, er sieht deinen Namen als Absender. Wenn es schlimmer mit mit Adressfälschungen, werden wir Geeks sicherlich alle brav unsere Mails signieren, aber 99% der Leute würden uns weiterhin verdächtigen, sie kennen ja keine Signaturen.
Da kann man die Leute immer wieder nur darauf hinweisen, daß sie bei unsignierten Mails nie dem From:-Feld vertrauen dürfen. Aus eigener Erfahrung kann ich sagen, daß das gerade in der Wirtschaft schwierig ist - einige Firmen klagen erstmal alles an was sich bewegt, erkundigen sich dann bei ihrem Provider über die technischen Hintergründe, und wenn man vorschlägt vielleicht doch kein Outlook/Windows einzusetzen heißt es, ach naja, warum denn, so schlimm ist's ja nicht gewesen...
Josef
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Eric Schaefer -
Erik Schanze -
Holger Dietze -
Josef Spillner -
Stefan Berthold -
Stefan Lagotzki -
Thomas Guettler -
Torsten Werner