Path: news.t-online.com!newsmm00.sul.t-online.de!t-online.de!news.t-online.com!not-for-mail From: Joachim Kromm Newsgroups: t-online.info.tips+tricks,t-online.talk.internet,t-online.neubenutzer.fragen,t-online.programme.email Subject: Spam-FAQ <2005-12-28> Supersedes: <436a1322.3325437@T-Online-Team.dialin.t-online.de> Followup-To: t-online.talk.internet Date: Thu, 29 Dec 2005 17:25:26 +0100 Organization: T-Online Lines: 983 Sender: T-Online-Team@t-online.com Approved: T-Online-Team@t-online.com Message-ID: <43c80dae.8250671@T-Online-Team.dialin.t-online.de> Reply-To: nutznetz.nospam@kromm-at-home.de Mime-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit X-Trace: news.t-online.com 1135873526 03 18554 mvTMJwcvuh6dq0h 051229 16:25:26 X-Complaints-To: usenet-abuse@t-online.de X-ID: S3QEf2ZBZeohuIiSl57dRA2ZJJp+5zaS2ifdk0h6gkugDQsL8tah0W X-Newsreader: Forte Agent 2.0/32.652 ====================================== Unerwuenschte Werbemails vermeiden - Infos und Tipps - ====================================== Die HTML-Version kann unter http://spam-faq.usenet-abc.de/tol/ abgerufen werden. * Aenderungen ------------- - Punkt 0: Geringfuegig ueberarbeitet, Fehler korrigiert <28.12.2005> - Punkt 1.4: Eingefuegt <10.09.2004> - Punkt 1.2: Erweitert <26.09.2004> - Punkt 0: Erweitert <26.09.2004> - Punkt 1.1: Geaendert <22.10.2004> - Punkt 5: Ergaenzt um "Basis-Spam Schutz" <16.12.2005> - Punkt 10: Ergaenzt <27.12.2005> - Punkt 4.2: Ergaenzt bzgl. weiterer Adressen bei T-Online <28.12.2005> - Punkt 10: Erweitert. <28.12.2005> - Einige Tippfehler beseitigt <28.12.2005> Inhalt ------ 0. Einleitung 1. Warum bekomme ich so viel unerwuenschte Werbung? 1.1 Allgemeine Informationen 1.2 Warum enthalten diese Mails oftmals willkuerliche Zeichenfolgen? 1.3 Warum erhalte ich ploetzlich sehr viele Mails, die besagen, dass meine Mail nicht zugestellt werden konnte, obwohl ich da gar nichts versendet habe? 1.4 Ich erhalte eine Mitteilung meiner Hausbank, meines Providers, von eBay o.ae., die mich auffordert, meine Sicherheits- einstellungen zu ueberpruefen. 2. Wieso bekomme ich Mails, bei denen ich gar nicht als Empfaenger angegeben bin? 3. Waere es dann nicht einfach sinnvoll, eine ungueltige Adresse zu verwenden? 4. Was kann ich denn gegen diesen Werbemuell unternehmen? 4.1 Der Trick mit dem Reply-To 4.2 Wie komme ich an zusaetzliche eMail-Adressen 5. Kann ich nicht bereits auf dem Server die Mails loeschen lassen? 6. Kann ich solche Mails nur filtern oder gibt es noch andere Moeglichkeiten dagegen vorzugehen? 6.1 Allgemeine Informationen 6.2 Kleines Beschwerdeeinmaleins 7. Soll ich nicht einfach die Moeglichkeit zum Austragen nutzen, die mir bei vielen Werbemails angeboten wird? 8. Ich erhalte Mails mit merkwuerdigen Anhaengen. 9. Zusammenfassung 10.Danksagung -.-.-.-.- 0. Einleitung: ============== Diese FAQ soll einige der haeufig gestellten Fragen zum Thema 'Spam' - also unerwuenschter Werbung - im Mailverkehr beantworten. Eine HTML-Version ist unter http://spam-faq.usenet-abc.de/tol/ abrufbar. Der Begriff 'Spam' wird mit '*S*end *P*henomenal *A*mounts of *M*ail' uebersetzt. Dies bedeutet so viel wie "riesige Mengen von Mails zu versenden". "SPAM" (in Grossbuchstaben) ist uebrigens ein Produkt der Firma Hormel aus Minnesota, die dieses Produkt im Jahre 1937 kreierte. Der Name wurde aus "SPiced hAM" (gewuerzter Schinken) zusammengesetzt. Es handelt sich dabei um nichts anderes als durch den Wolf gedrehtes und in Blechdosen gepresstes Schweinefleisch. Da Hormel es nicht unbedingt mag, wenn deren Produkt mit eMail-Muell in Zusammenhang gebracht wird, wollen wir diesen Wunsch respektieren und zukuenftig nur von *Spam* schreiben ... Urspruenglich wurde nur Werbung im Usenet oder in Mailinglisten mit dem Begriff "Spam" bezeichnet. Heute wird vielfach UBE (Unsolicited Bulk eMail), also unverlangte Massen-eMail, oder UCE (Unsolicited Commercial eMail), d.h. unverlangte kommerzielle eMail so genannt. Hier werden diese beiden Begriffe unter dem Sammelbegriff "Spam" zusammengefasst. An dieser Stelle noch eine kurze Zusammenfassung haeufig verwendeter Abkuerzungen und Begriffe: FAQ : (Frequently Asked Questions) haeufig gestellte Fragen --------- MLM : (Multi Level Marketing) Strukturvertrieb. Ein Verkaufs- system, bei dem der Kunde selbst Kunden wirbt und so zum Bestandteil des Systems wird. UBE : (Unsolicited Bulk eMail) unverlangte Massen-eMail UCE : (Unsolicited Commercial eMail) unverlangte kommerzielle eMail --------- T5F : Thoms Fassung von Framstags freundlichem Folterfrage- bogen --------- Headerzeilen: Kopfzeilen einer Mail ("Anzeigen alle Kopfzeilen") Hier kann der Weg einer Mail anhand der Eintraege der beteiligten Mailserver nachvollzogen werden. MTA : (Mail Transfer Agent) Programm zum Transportieren von eMails (Mailserver) MUA : (Mail User Agent) Programm zum Lesen und Beantworten von eMails POP : (Post Office Protocol) Protokoll zum Zugriff auf das eMail-Postfach. POP3 bedeutet, dass Version 3 dieses Protokolls verwendet wird. Reply-To : Adresse, an die Mail-Antworten gehen sollen SMTP : (Simple Mail Transfer Protocol) Protokoll zum Ueber- tragen elektronischer Post vom PC zu einem Mail- Server. Bounce : (englisch fuer: Sprung, Aufprall) Falls eine Mail nicht zugestellt werden kann, erhaelt der Absender seine Mail oder einen Auszug davon mit einem Unzustellbarkeitsvermerk zurueck. --------- Bayes-Filter: Eine selbstlernende Loesung zum Erkennen und Abwehren von Spam. Dabei werden anhand der eingehenden Mails individuelle Filterregeln erstellt, die auf einer statistischen Wortanalyse basieren. Nach einer entsprechenden Anlernphase - in der der Anwender die eingehenden Mails bewertet - wird es nahezu unmoeglich, diese Filterregeln zu umgehen. Phishing : Kunstwort aus "Password" und "Fishing". Eine Methode, um Zugangsdaten und Kennwoerter unberechtigt zu erlangen. -.-.-.-.- 1. Warum bekomme ich so viel unerwuenschte Werbung? ==================================================== 1.1 Allgemeine Informationen ----------------------------- Wenn Du im Usenet postest, ist es unvermeidlich, dass ploetzlich sehr viele unerwuenschte Werbemails in Deinem Postfach landen. Spammer koennen recht einfach eMail-Adressen aus Newsgroups beziehen, ohne dass sie hierzu die kompletten Artikel laden muessen. Wenn Du Deine eMail-Adresse in Webformulare eintraegst, kann es ebenfalls geschehen, dass diese Adresse in Datenbanken landet, die fuer Werbemails verwendet werden. Ein Eintrag in eines der vielen Gaestebuecher auf diversen Homepages veroeffentlicht Deine Mailadresse natuerlich weltweit. Deswegen solltest Du hier auch ein wenig vorsichtig sein. "E-cards", also digitale Glueckwunschkarten, koennen weiterhin dazu fuehren, dass Deine Adresse in unerwuenschten Haenden landet. Die Mailadresse auf Deiner Homepage wird mit grosser Wahr- scheinlichkeit ebenfalls durch Programme erfasst und in entsprechenden Datenbanken gespeichert. Der erste Ratschlag kann daher nur sein, dass Du die eMail-Adresse fuer die persoenlichen Kontakte nicht oeffentlich - also in frei zugaenglichen Quellen - verbreitest. Es sind allerdings auch sogenannte Woerterbuchangriffe denkbar, bei denen aus einer Datenbank haeufige Vor- und Nachnamen mit dem Domainnamen eines grossen Providers verknuepft werden. So kann der Spammer z.B. "hans.mueller @ t-online.de" erzeugen, ohne die Adresse wirklich zu kennen. Falls jemand Deinen eMail-Alias frueher benutzte - und dann irgendwann aufgab (da der Spam ueberhand nahm) - wirst Du leider auch darunter leiden muessen. Die Datenbanken der Spammer vergessen nicht. Grundsaetzlich solltest Du eine eMail-Adresse waehlen, deren "Localpart", also der Teil vor dem "@", nicht zu kurz ist. Damit kannst Du schon mal einfachen Angriffen, die darauf beruhen, verschiedene Buchstaben-/Zahlenkombinationen auszutesten, begegnen. Wie bereits beschrieben ist die Kombination "vorname" + "nachname" (auch mit einem zulaessigen Trennzeichen wie "." oder "-" versehen) keine gute Idee. Verwende eine Adresse, die lang genug ist, so dass sie nicht einfach zu erraten ist. Da Deine "kanonische" eMail-Adresse - also jene Zahlenkombination, die bis vor kurzem noch als "X-Sender" bei jedem Posting ueber den T-Online Newsserver im Usenet veroeffentlicht wurde - nur eine Folge von Zahlen darstellt, wird es unausweichlich sein, dass Du auch auf diese Adresse Spam erhaeltst, ohne diese Adresse irgendwie bekannt gegeben zu haben. Es sind durchaus Faelle bekannt, wo ein wirklich neuer Benutzer Werbemails erhalten hat, ohne dass diese eMail-Adresse in irgendeiner Form bekannt gegeben wurde. Sei bitte vorsichtig beim Oeffnen von HTML-Mails, solange Du online bist. Es koennen Links enthalten sein, die Bilder direkt von einer Webseite nachladen! Es ist moeglich, dass der Absender durch dieses Nachladen bereits erkennen kann, wer die Spammail geoeffnet bzw. gelesen hat. Damit ist die Gueltigkeit Deiner eMail-Adresse automatisch bestaetigt. Oeffnet man eine HTML-Mail offline, besteht diese Gefahr nicht, sofern Du keine automatische Einwahl aktiviert hast. Falls Dein Mailclient die Ausfuehrung von aktiven Inhalten (Scripte und Aehnliches) unterstuetzt, solltest Du ihn so konfigurieren, dass diese Funktionen unterbunden werden. Sofern Dein Mailclient automatisch Eingangsbestaetigungen erzeugt, koennten Spammer diese Funktion ebenfalls ausnutzen. Du solltest diese Funktionalitaet daher besser abstellen. Da sich aktuelle Mailwuermer (siehe Punkt 8 dieses Textes) auch der Adressbestaende der befallenen Rechner bemaechtigen, solltest Du Dich nicht wundern, wenn selbst vertrauliche Adressen ploetzlich verteilt werden. Es genuegt, wenn der Bekannte eines Bekannten Deine Adresse irgendwo abgespeichert hat und dann einen per Mail uebersandten Schaedling aktiviert. news:3cde3f88.4656201@T-Online-Team.dialin.t-online.de in der Gruppe t-online.info.archiv liefert zu diesem Thema einige Grundlagen. 1.2 Warum enthalten diese Mails oftmals willkuerliche Zeichenfolgen? ------------------ Die von den Spammern verwendete Software setzt oftmals will- kuerliche Zeichenfolgen in den Betreff oder an das Ende des Mailtextes, um hiermit Filter zu umgehen, die eine grosse Anzahl gleichlautender Mail erkennen und aussortieren. Die zufaelligen Zeichenfolgen lassen eine Serie von Mails unterschiedlich erscheinen, da z.B. eine Pruefsumme ueber den Betreff oder auch den Mailtext jedesmal ein anderes Ergebnis ergibt. Zunehmend gibt es auch Mails, die willkuerliche Zusammen- stellungen sinnvoller Worte enthalten. Hiermit sollen Bayes- Filter verwirrt werden. Diese Aktionen duerften jedoch wenig wirksam sein. Insbesondere wenn es sich um Ansammlungen englischsprachiger Worte handelt, duerfte diese Methode bei Empfaengern, die deutschsprachig korrespondieren, sogar fuer den Spammer kontraproduktiv sein. 1.3 Warum erhalte ich ploetzlich sehr viele Mails, die besagen, dass meine Mail nicht zugestellt werden konnte, obwohl ich da gar nichts versendet habe? ------------------ Einer der Hauptgruende duerfte sein, dass ein Spammer Deine eMail-Adresse als Absender verwendet. Da Spammer oftmals an alles senden, was wie eine eMail-Adresse aussieht, landen die Meldungen ueber die Unzustellbarkeit in Deiner Mailbox. Du musst dann leider auch damit rechnen, dass sich Empfaenger des Spam bei *Dir* beschweren. Leider kannst Du gegen diese Form des Missbrauchs Deiner eMail-Adresse wenig unternehmen. Da der Spammer vermutlich diesen Adressenmissbrauch nur fuer eine seiner Spamwellen betrieben hat, kannst Du jedoch hoffen, dass der Spuk nach einigen Tagen wieder aufhoert. Falls Beschwerden bei Deinem Provider eingehen sollten, wird dieser an den Headerzeilen der eingesandten Mails erkennen, dass nicht Du der Versender der Mails bist. Es wird jedoch auch von eMail-Wuermern berichtet, die sich als Bounce tarnen und den Schaedling als Anhang mitfuehren. Du solltest natuerlich sicherstellen, dass sich auf Deinem Rechner kein Schadprogramm installiert hat, das Deinen Zugang dazu missbraucht, unbemerkt Mails zu versenden. Unter Punkt 8 dieses Textes findest Du Informationen zu eMails mit schaedlichen Anhaengen. 1.4 Ich erhalte eine Mitteilung meiner Hausbank, meines Providers, von eBay o.ae., die mich auffordert, meine Sicherheitseinstellungen zu ueberpruefen und dazu die Angabe meines persoenlichen Kennwortes erfordern. ------------------ In letzter Zeit kommt es haeufiger vor, dass Mails von (scheinbar) vertrauenswuerdigen Quellen eingehen, die darauf hinweisen, dass es erforderlich sei, das Konto zu ueberpruefen oder aehnliches. Es wird ein Link angegeben, der auf eine Seite verweist, die der Homepage der angeblichen Quelle taeuschend aehnlich sieht und zur Angabe von vertraulichen Daten (Kennwoerter, PIN, TAN) auffordert. Diese Mails dienen dazu, den Anwender zu taeuschen! Das als "Phishing" bekannte Verfahren soll den unbedarften Leser dazu verfuehren, wichtige Zugangsdaten u.ae. preis- zugeben. Du solltest _niemals_ auf den Link in einer solchen Mail klicken! Verwende fuer den Zugriff das vertrauenswuerdige Lesezeichen, das Du in Deinem Browser eingetragen hast, oder trage - besser - die Adresse, die Dir Dein Geschaeftspartner gegeben hat, per Hand in die Adresszeile Deines Browsers ein! Sofern Dein Geschaeftspartner seine Mails signiert, hast Du die Moeglichkeit, zu ueberpruefen, ob die Nachricht authentisch ist. Informationen zu den hierzu verwendeten technischen Verfahren und der Bedeutung digitaler Signaturen findest Du zum Beispiel unter: http://www.bsi-fuer-buerger.de/down/esig.pdf http://www.jurpc.de/aufsatz/20010139.htm http://www.iks-jena.de/mitarb/lutz/security/cryptfaq/index.html Es ist sicherlich empfehlenswert, wenn Du Dich mit den dort angebotenen Informationen beschaeftigst, da das Wissen um die Grundlagen erforderlich ist, um einer solchen digitalen Unterschrift *wirklich* vertrauen zu koennen. -.-.-.-.- 2. Wieso bekomme ich Mails, bei denen ich gar nicht als Empfaenger angegeben bin? ============== Dies haengt damit zusammen, wie Mails behandelt werden. Deine Mail wird beim Transport in einen 'Umschlag' gesteckt, der dem elektronischen Postboten (Mailserver) angibt, wer die Nachricht erhalten soll. Der Inhalt der Mail - mit der dort eingetragenen Adresse - wird dabei gar nicht ausgewertet. Liegt die Mail im elektronischen Postkasten, dann wird der Umschlag vom Mailserver entfernt. Um beim Beispiel zu bleiben: Wenn jemand auf einen Umschlag "Herrn Willi Winzig Musterstrasse 10 47110815 Musterstadt" schreibt und auf den Brief "Frau Thea Mustermann Kleiner Weg 12 08154711 Irgendwo" dann stellt der Postbote natuerlich an Herrn Winzig zu. Wird der Umschlag von Frau Winzig weggeworfen, dann ist es klar, dass Herr Winzig sich ueber den Irrlaeufer wundert ;-) Eine recht gute und ausfuehrliche Erklaerung der Thematik findest Du unter http://www.daniel-rehbein.de/rfc2821.html -.-.-.-.- 3. Waere es dann nicht einfach sinnvoll, eine ungueltige Adresse zu verwenden? ===================== Nein! Damit schaedigst Du das Netz, weil hierdurch Mails, die an Dich gesendet werden sollen, als so genannte Bounces an den Absender zurueckgehen. Verantwortungsvolle Postmaster werden auch nachsehen, ob nicht ein Fehler in der Konfiguration des Mailservers vorliegt. Ihnen wird durch diese Adressfaelschung unnoetige Arbeit bereitet. Spammer haben zudem die Moeglichkeit, Zusaetze wie "nospam", "remove" u.ae. einfach zu entfernen. Im Regelfall geht dann der Spam sowohl an die verfaelschte als auch an die "bereinigte" eMail-Adresse. http://www.faqs.org/faqs/de-net-abuse/falsche-email-adressen-faq/ gibt weitere Informationen zu diesem Thema. Als Kunde von T-Online riskierst Du auch Deinen Zugang, wenn Du eine gefaelschte eMail-Adresse verwendest. -.-.-.-.- 4. Was kann ich denn gegen diesen Werbemuell unternehmen? ====================================================== 4.1 Der Trick mit dem Reply-To ------------------------------ Es ist sinnvoll, neben der "From"-Adresse noch eine zusaetzliche "Rueckantwort"-Adresse (Reply-To) zu verwenden. Auf die "Rueckantwort"-Adresse wird im Regelfall (bisher) noch recht wenig Werbung einschlagen. Dies liegt daran, dass der Sammler der Adressen hierzu den vollstaendigen Artikel laden muesste. Mit zwei unterschiedlichen, gueltigen eMail-Boxen kannst Du daher den Spam gut von den gewuenschten Antworten trennen: |From = aaa.winzig @ provider.tld |Reply-To= willi.winzig @ provider.tld Die erste Adresse wirkt wie eine Muelltonne; sie wird von den Spammern ausgewertet und mit Werbung belegt. Die zweite ist die "Gute"; dorthin erhaeltst Du normalerweise die Mail-Antworten aus den Newsgroups. Mit einem kleinen (allerdings nicht unumstrittenen) Trick kannst du *ggf.* die Spammer austricksen, wenn diese die kompletten Header auswerten: Trage in die "Rueckantwort"-Adresse eine _gueltige_ eMail-Adresse ein, die den Zusatz "NoSpam" o.Ae. enthaelt und auf Deine "From"- Adresse verweist. Also z.B.: |From = williwinzig @ provider.tld |Reply-To= williNOSPAMwinzig @ provider.tld Sofern die Software, die von den Adressensammlern verwendet wird, solche Zusaetze automatisch entfernt, wird der Werbemuell auf genau der Adresse landen, die Du fuer Werbemuell reserviert hast. Wenn Du dieses Verfahren verwendest, kann es vorkommen, dass sich einige User beschweren, da sie annehmen, dass sie mit unnoetiger Adressenbastelei belaestigt werden. Es gibt auch Teilnehmer, die einen solchen Zusatz generell als 'asozial' ansehen und deswegen grundsaetzlich keine Mails an solche Adressen senden. Du solltest also abwaegen, ob ein solcher Zusatz fuer Dich sinnvoll ist und Du mit den Konsequenzen leben kannst. Bitte beachte auf jeden Fall, dass *beide* Adressen natuerlich gueltig sein muessen! Sowohl "From" als auch "Reply-To" sollten Adressen enthalten, die nicht fuer normalen Mailverkehr verwendet werden. Nur so kann man sicherstellen, dass private Mails nicht aus Versehen durch Filter- konstruktionen geloescht werden. Denke aber daran, dass die bei Dir angezeigte Adresse (wie unter Punkt 2 der FAQ erlaeutert) gar nichts mit der tatsaechlichen Adresse zu tun haben muss, an die diese Mail ging. Wenn der Mailprovider den 'Envelope-To' - also die Adresse auf dem Umschlag - im Header der Mail nicht mitliefert, wird ein effektiver Filter scheitern. T-Online z.B kann mit seinen Mailservern (derzeit?) diese *tatsaechliche* Einlieferungsadresse nicht in einer separaten Headerzeile (auf die man dann filtern koennte) dokumentieren. Dem manchmal genannten Vorschlag, einen Bounce (d. h. eine Fehlermeldung ueber eine unzustellbare Mail) zu erzeugen, sollte uebrigens nicht gefolgt werden. Spammer versenden in der Regel die Mails mit gefaelschten Absendern. Daher werden sie von einer simulierten Fehlermeldung ueber die Unzustellbarkeit recht wenig mitbekommen. Da zum Teil die Absenderadressen einfach aus der Adressenliste des Spammers entnommen werden, wirst Du sogar Opfer des Spamangriffs mit dieser Massnahme treffen. 4.2 Wie komme ich an zusaetzliche eMail-Adressen ------------------------------------------------- T-Online bietet fuer Kunden mit Zugangstarif an, dass der Hauptbenutzer eines Accounts bis zu vier zusaetzliche eMail- Postfaecher anlegen kann. Die Anmeldung und Einrichtung eines zusaetzlichen Postfaches erfolgt ueber das Kundencenter , auf dem Reiter "Dienste" im Bereich "eMail & SMS". Bei der Einrichtung des Postfaches werden eine eMail-Adresse und ein eMail-Passwort eingerichtet, mit denen man dann spaeter die Mailserver "smtpmail.t-online.de" fuer ausgehende und "popmail.t- online.de" fuer eingehende Nachrichten nutzen kann. Weiterhin kann man sich natuerlich entsprechende Adressen bei Mailprovidern wie z.B. gmx besorgen. Dort besteht auch die Moeglichkeit personalisierte Filter einzurichten, die einen grossen Anteil der unerwuenschten Werbemails evtl. automatisch bereits auf dem Mailserver loeschen. Bei www.spammotel.com kann man sich auch beliebig viele gueltige Weiterleitungsadressen generieren lassen, die bei Auftreten von Spam gesperrt oder geloescht werden koennen. Eine weitere Empfehlung ist www.despammed.com, dort koennen ebenfalls Mails weitergeleitet werden oder eingegangene Nachrichten im Browser abgefragt werden. Spam wird nach Auffassung der Nutzer recht effektiv gefiltert. www.eleven.de bietet einen fuer Privatanwender kostenlosen Dienst an, der Mails an ein Postfach weiterleitet und dabei eine Bewertung in die Kopfzeilen eintraegt, die zum lokalen Filtern verwendet werden kann. Die genannten Provider wurden von Usern empfohlen, die Aufzaehlung ist auch nicht abschliessend. Es gibt natuerlich auch viele weitere Anbieter, die eMail-Adressen - mit oder ohne Filterung auf dem Server - anbieten. Bezueglich der Zuverlaessigkeit der Mailzustellung kann insbesondere bei den Freemailern in dieser FAQ keine Gewaehrleistung uebernommen werden. -.-.-.-.- 5. Kann ich nicht bereits auf dem Server die Mails loeschen lassen? ================================================================ Der sogenannte "Plattformschutz", bietet einen Grundschutz, der sich an sehr allgemeinen Indizien orientiert und damit wenig effektiv ist. T-Online bietet die Moeglichkeit einen kostenlosen Basis- Spamschutz zu aktivieren. Anhand von Header- und Bodyanalysen sowie eines Bayes-Filters wird entweder eingehender Spam mit dem Text "Spam" im Subject gekennzeichnet (und kann damit automatisch lokal gefiltert werden) oder aber auch gleich auf dem Server entsorgt. Der Bayes-Filter kann jedoch nicht selber vom jeweiligen Anwender angelernt werden. Es sollte bedacht werden, dass bei dem automatischen Loeschen auf dem Mailserver durchaus auch wichtige Mails betroffen sein koennten. Dieses Feature sollte daher nur mit Bedacht aktiviert werden. Mit WebMail bietet T-Online eine Alternative, um Mails zu loeschen, bevor sie geladen werden. Hierzu genuegt es, den bevorzugten Webbrowser zu verwenden. Du kannst Dich fuer diesen Dienst unter dem folgenden URL anmelden: https://kommunikation.t-online.de In der Newsgroup t-online.info.tips+tricks gibt es zu WebMail auch eine FAQ, die weitergehende Fragen beantwortet. Wenn der Mailclient keine speziellen Funktionen zum Filtern bietet, kann unter Windows ein Zusatztool wie z.B. "POP3 Scan Mailbox" von http://www.kempston.freeserve.co.uk/smb/ verwendet werden. Hiermit kann man Mails bereits auf dem Server loeschen, bevor sie vollstaendig heruntergeladen werden. Ein lokaler Mailserver wie der Hamster von http://www.tglsoft.de bietet erweiterte Moeglichkeiten, Mails zu filtern oder ggf. auf ein eigenes "Spam-Postfach" umzuleiten. Weitere Informationen zu Hamster findest Du unter http://hamster.arcornews.de/micha/ Auf http://www.gohel.de/spamproxy gibt es einen kompakten und leistungsfaehigen Mail- und Newsproxy, der sich transparent in den Datenstrom schaltet und selbst ohne komplette Mailserverfunktionalitaet die effektive Filterung unerwuenschter Mails mit jedem Mailclient ermoeglicht. Der SpamProxy laeuft stabil und beansprucht fuer die gebotene Leistungsfaehigkeit nur sehr wenig Systemressourcen. SpamPal, das unter http://www.spampal.de geladen werden kann, verfolgt ebenfalls einen interessanten Ansatz. Dieses Windows- Programm wird zwischen Mailserver und Mailclient geschaltet und klassifiziert eingehende Mails anhand von oeffentlichen Listen, in denen Mailserver registriert sind, die von Spammern regelmaessig missbraucht werden. In den Kopfzeilen der eingehenden Mail wird dann ein entsprechender Vermerk aufgenommen, der ein eindeutiges Filterkriterium darstellt. Unter http://www.favman.privat.t-online.de/markfrom.zip findest Du ein PlugIn zu SpamPal, welches es auch dem T-Online eMail Client ermoeglicht, effektiv zu filtern. Dieses PlugIn aendert den Absender einer als Spam erkannten Mail so ab, dass der in diesem Client angebotene Filter anhand des "From"-Header loeschen kann. PopFile, das unter http://popfile.sourceforge.net/ fuer verschiedene Betriebssysteme zu finden ist, arbeitet ebenfalls als transparenter Proxy, der zwischen Mailserver und Mailclient geschaltet wird. Eingehende Mails werden mit Hilfe statistischer Wortanalyse (Bayes) klassifiziert. Nach einer gewissen Anlernphase wird Spam dann recht zuverlaessig erkannt. Das Ergebnis der Bewertung wird als Kopfzeile in die Mail eingefuegt oder als Markierung dem Subject der Mail hinzugefuegt, so dass auch hier ueber den eMail-Client entsprechend gefiltert werden kann. Eine deutschsprachige Anleitung zu diesem Programm ist unter http://popfile.sourceforge.net/manual/de/manual.html zu finden. K9, das Du unter http://keir.net/k9.html findest, ist ebenfalls ein Proxy, der recht einfach zu installieren ist und Mails anhand statistischer Wordanalyse klassifiziert. Das Programm ist fuer den gebotenen Leistungsumfang recht klein und liefert auch eine recht praktische Statistik. Fuer den Mailfilter des Hamsters gibt es Anregungen unter http://spamabwehr.sakrak.net/, die ggf. auch in andere Mailclients uebernommen werden koennen, sofern diese Regulaere Ausdruecke unterstuetzen. Informationen zu Regulaeren Ausdruecken findest Du unter http://www.regenechsen.de . Dort wird ein Einfuehrungstext ange- boten, der sich zwar hauptsaechlich auf den eMail-Client TheBat! bezieht, aber insbesondere das Thema RegExp auch fuer Einsteiger nachvollziehbar behandelt. Weitere ausfuehrliche Informationen zu Regulaeren Ausdruecken findest Du unter http://selfhtml.teamone.de/cgiperl/sprache/regexpr.htm Unter http://www.belwue.de/support/spamblock.html sind weitere Anregungen zu finden, um effektive Filter einzurichten. Es ist jedoch stets zu beruecksichtigen, dass Filter durchaus auch *erwuenschte* Mails loeschen koennen. Daher ist es keine gute Idee, vorgefertigte Filter zu uebernehmen, wenn man deren Wirkungsweise nicht versteht. Anwender von Microsoft Outlook Express 5 und 6 finden unter http://oe-faq.de/antwort5.htm#4.03 Tipps, wie unerwuenschte Mails auch mit Bordmitteln gefiltert werden koennen. -.-.-.-.- 6. Kann ich solche Mails nur filtern, oder gibt es noch andere Moeglichkeiten dagegen vorzugehen? ================================== 6.1 Allgemeine Informationen ------------------------------ Das Filtern solcher Werbemails kann nur der letzte Schritt sein. Sinnvoll ist es, sich beim Provider des Versenders einer solchen Mail zu beschweren. http://www.th-h.de/faq/headrfaq.html liefert Dir die notwendigen Informationen, um die Kopfzeilen der Mail auszuwerten. http://www.iks-jena.de/cgi-bin/whois ist dann ein geeignetes Werkzeug, um den Provider anhand der Headereintraege den einliefernden Mailserver herauszufinden. Unter http://www.samspade.org/ssw/ findest Du ein Programm, das Dir unter Windows bei der aktiven Spambekaempfung helfen kann. Beachte bitte bei Deiner Headeranalyse, dass oftmals nur die erste IP im Header echt sein muss. Eine _hoefliche_ Beschwerde an den von Dir ermittelten Provider kann durchaus sinnvoll sein, um die zukuenftige Versendung weiterer Werbemails von dort zu unterbinden. Wenn Du noch weitergehende Fragen hast, koennen diese in der Newsgroup de.admin.net-abuse.mail gestellt werden. Vorher sollten aber zumindest die FAQ unter http://www.faqs.org/faqs/de-net-abuse/mail-faq/ gelesen und die Postings in dieser Gruppe eine gewisse Zeit verfolgt werden. Folge bitte vor allen Dingen dem Ratschlag, die Gruppe zunaechst nur zu *lesen*! Es werden wirklich viele Fragen schon beantwortet, wenn man in dieser Gruppe mit seinem Newsreader einfach nach dem Betreff seiner "eigenen" Werbemail sucht. 6.2 Kleines Beschwerdeeinmaleins -------------------------------- Beschwerden bei den entsprechenden Providern koennen helfen, die Flut unerwuenschter Werbemails einzudaemmen, auch wenn nicht jeder Provider auf eine Beschwerde persoenlich per Mail reagiert. Du solltest fuer die Beschwerde die Mail mit *allen* Headerzeilen (dem Mail-Kopf) an die Abuse-Abteilung des Providers weiterleiten. Als Betreff schreibst Du dann z.B.: [UCE] 1.000.000 $$$ in 3 days!!! wenn der Spam den Betreff "1.000.000 $$$ in 3 days!!!" traegt. Erlaeutere evtl. noch in kurzen Worten, warum Du aus den Headern schliesst, dass die Zustaendigkeit des Providers gegeben ist und bitte darum, dass entsprechende Massnahmen ergriffen werden. Die folgenden Mustertexte kannst Du als Anregung fuer eigene Beschwerdemails verwenden. Falls es sich bei der unerwuenschten Mail nicht um UCE handelt, sondern um einen eMail-Wurm oder -Virus (siehe Punkt 8 dieses Textes), dann ersetze die Beschreibung in den Klammern durch "Worm, Virus". Bedenke bitte, dass eine Beschwerdemail an die Abuse-Abteilung des Providers moeglichst knapp gefasst werden sollte, um dort keine unnoetige Arbeitsbelastung hervorzurufen. * Deutschsprachige Version **************************************** |Hallo, | |ich erhielt die folgende unverlangte eMail (UCE oder Spam) von |einem Ihrer Kunden, die ueber Ihre Server versendet wurde. | |Bitte ergreifen Sie entsprechende Massnahmen gegen das Versenden |dieser Mails ueber Ihre Server. | |Mit freundlichen Gruessen | |[Name] | |################################################################ |Anbei der vollstaendige Header und der Text der |unerwuenschten Werbemail: | |8<-------------------------------------------------------------- | [Hier Header und Text der Mail einfuegen] |--------------------------------------------------------------->8 * Englischsprachige Version *************************************** |Hello, | |I received the following unsolicited email (junk email, spam) from |one of your customers which was injected at your site. | |Please take action according to your Acceptable Use Policy. | |Regards, | |[Name] | |################################################################# |A copy of the UCE with full header information follows: | |8<--------------------------------------------------------------- | [Hier Header und Text der Mail einfuegen] |--------------------------------------------------------------->8 Leider gibt es aber auch Provider, denen es ziemlich egal ist, was ueber deren Server ausgeliefert wird, hier kann dann wirklich nur konsequentes Filtern helfen. Wenn der Spam von einem *deutschen* Absender kommt, kann evtl. auch ein "T5F" (Thoms Fassung von Framstags freundlichem Folterfragebogen aka TFFFFF aka TFFFF) http://www.schnappmatik.de/TFFFFF/ sinnvoll sein. Die "Freundlichen FolterFragen" nehmen Bezug auf das Bundesdatenschutzgesetz und fordern den Versender auf, u.a. die Quelle der Adresse bekannt zu geben. Der "T5F" sollte jedoch nur dann eingesetzt werden, wenn Du ggf. auch bereit bist, die Auskunft auf dem Rechtsweg zu erzwingen. Informationen zur rechtlichen Beurteilung der Spam-Problematik findest Du unter http://www.dr-ackermann.de/spam/ und unter http://www.recht-im-internet.de/themen/spam/urteile.htm -.-.-.-.- 7. Soll ich nicht einfach die Moeglichkeit zum Austragen nutzen, die mir bei vielen Werbemails angeboten wird? =================================== Nein! Wenn Du dies machst, wird Deine Adresse wertvoller, da sie als funktionsfaehig bestaetigt und zudem belegt wird, dass Du solche Mails auch liest. Die Konsequenz wird sein, dass Du noch *viel* mehr Spam bekommst. -.-.-.-.- 8. Ich erhalte Mails mit merkwuerdigen Anhaengen. ============================================== Gerade Windows ist sehr anfaellig fuer Mails mit schaedlichen Anhaengen. Mailclients wie Outlook oder Outlook Express sind eine beliebte Zielgruppe fuer Dateianlagen, die sich als Wuermer entpuppen koennen. Damit wird automatisch ein Mailversand gestartet, der dazu dient, den Dateianhang unkontrolliert zu verbreiten. Du solltest Anhaenge daher nur dann oeffnen, wenn Du sie aus- druecklich angeforderst hast. Auch wenn sie von guten Freunden kommen ist immer Misstrauen angesagt. Bei letzteren kann aber ein Telefonanruf klaeren, warum dieser Anhang geschickt wurde. Windows-User sollten ihr System so einstellen, dass immer die _vollstaendigen_ Dateinamen angezeigt werden (sonst zeigt Windows bekannte Endungen wie z.B. .exe, .doc, .xls usw. nicht an). Folgender Anhang wird z.B. als | dokument.doc angezeigt, obwohl es sich in Wirklichkeit um das ausfuehrbare Programm | dokument.doc.exe handelt. Um die vollstaendigen Informationen angezeigt zu bekommen, musst Du unter den Ordneroptionen des Arbeitsplatzes auf der Registerkarte "Ansicht" den Haken bei "Dateinamenerweiterung bei bekannten Dateitypen ausblenden" entfernen. Wenn der Mailclient unguenstig konfiguriert wurde, kann es passieren, dass das System verseucht wurde, ohne dass ein explizites Oeffnen des Dateianhanges erfolgte. Die Installation eines regelmaessig aktualisierten Virenscanners kann in solchen Faellen dazu beitragen, eine solche Infektion rechtzeitig zu erkennen oder zu verhindern. Natuerlich solltest Du auch regelmaessig nachsehen, ob es nicht neue Updates fuer Dein Mail- programm gibt, die erkannte Sicherheitsluecken beheben. In letzter Zeit tauchen auch Schadprogramme auf, die - wenn sie ausgefuehrt werden - den infizierten Rechner unbemerkt zu einem sogenannten "offenen Proxy" umkonfigurieren. Es wird also ein Programm installiert, das den Versand von Mails auch fuer Unbekannte ermoeglicht. Dies bedeutet, dass Spammer ihre Werbung - unbemerkt vom Besitzer des befallenen Rechners - darueber versenden koennen und kaum noch zu identifizieren sind! Wenn auch der eigentliche Wurm als Uebertraeger von entsprechenden Programmen oftmals entfernt werden kann, werden die Hintergrundprogramme zwischenzeitlich nachgeladen und von Virenscannern in den allerseltensten Faellen erkannt. Nur eine vollstaendige Neuinstallation des kompletten Systems kann dann noch dafuer sorgen, dass Dritte das befallene System nicht mehr weiter missbrauchen koennen. ************************************************************* Dateien, die unangekuendigt per eMail zugesendet werden, sind grundsaetzlich "boese"! Es wird auch KEIN Softwareanbieter oder Provider irgendwelche "Updates" per eMail versenden. Im Zweifelsfall ist es *immer* eine gute Idee, solche verdaechtigen Dateianhaenge zu loeschen. ************************************************************* In der Gruppe t-online.info.archiv findest Du unter der Message-ID <3ed26142.16342921@T-Online-Team.dialin.t-online.de> einen Artikel, der diesen Sachverhalt sehr ausfuehrlich erlaeutert. Der Text unter http://mpdshfaq.de.vu/ liefert ebenfalls Informationen, die in diesem Zusammenhang weiterhelfen. Dort kannst Du auch nachlesen, wie Du Dein System absichern kannst. Informationen von Microsoft zu diesem Thema findest Du unter http://www.microsoft.com/germany/ms/security/windowssicherheit.htm Wenn bei Dir eine verseuchte Mail eintrifft, dann schreibe den Versender an, dass sein System durch einen Mailwurm infiziert wurde, und bitte ihn, fuer eine alsbaldige Entfernung des Schaedlings Sorge zu tragen. Da solche Wurmwellen die Postfaecher der Opfer erheblich belasten koennen, sind spezielle Filter sinnvoll. http://www.favman.privat.t-online.de/swenpopper/swenpopper.html bietet z.B. ein entsprechendes Tool zum Download an. Vorsicht: ========= Es ist von Wurm zu Wurm unterschiedlich, ob die From-Adresse der wirkliche Absender ist oder vom Wurm willkuerlich eingesetzt wurde. Im letzteren Fall wuerde jemand angeschrieben, der evtl. gar keinen Wurm installiert und ueberhaupt nichts mit dem Mail-/Wurmversand zu tun hat. Wenn Du im Header ein |Received: from xyz (081547-0001@[ip.ip.ip.ip]) by fwdXY.sul.t-online.com als *ersten* Eintrag (der steht dann ganz *unten*) findest, dann duerfte die Absenderadresse stimmen, da dieser Mailserver die eMail-Adresse mit der tatsaechlichen T-Online Adresse ueberschreibt. Ein weiteres Anzeichen hierfuer ist der "X-ID"-Eintrag der von T-Online eingefuegt wird. Zumindest wurde die Mail dann ueber einen Server von T-Online eingeliefert. Sollten weiterhin verseuchte Mails bei Dir eintreffen, dann beschwere Dich beim Provider des Versenders und bitte ihn, den User fuer den Mailzugang zu sperren, bis jener sein lokales Problem behoben hat. Bedenke aber *immer*, dass aktuelle Mailwuermer nicht darauf angewiesen sind, den Mailserver des Providers zu verwenden und daher eine Analyse der Headerzeilen /immer/ erforderlich ist. Die Absenderadresse ist im Regelfall *nicht* mit der eMail-Adresse des Wurmversenders identisch. *Wenn* der Virus oder Wurm von einem T-Online Kunden versendet wurde, dann achte bitte darauf, dass Du die Beschwerde an abuse@t-online.com als reine Textnachricht versendest und nur die Kopfzeilen der infizierten Mail einfuegst, da das interne Mailsystem von T-Online kritische Dateianhaenge ungelesen loescht. Unter http://www.th-h.de/faq/hybris.html kannst Du weitere Informationen zum Thema Mailwuermer bekommen. -.-.-.-.- 9. Zusammenfassung =============== Diese Mini-FAQ kann natuerlich nur einen kleinen Aspekt der Spam-Thematik erfassen. Sie soll Anregungen geben, um den Belaestigungen entgegenzuwirken. Fragen zu Mailfiltern koennen in der internen Newsgroup t-online.programme.email gestellt werden. Das Thema "Unerwuenschte Werbemails" sollte in der internen Gruppe t-online.talk.internet diskutiert werden. Fuer eine erfolgreiche Spam-Bekaempfung werden die wichtigsten Links hier nochmals zusammengefasst: Header und Adressen: http://www.th-h.de/faq/headrfaq.html Merkwuerdige Mails: http://www.th-h.de/faq/hybris.html FAQ fuer danam: http://www.faqs.org/faqs/de-net-abuse/mail-faq/ Adressenfaelschung: http://www.gerlo.de/falsche-email-adressen.html Provider ermitteln: http://www.iks-jena.de/cgi-bin/whois Windows-Hilfsmittel: http://www.samspade.org/ssw/ -.-.-.-.- 10.Danksagung ========== Mein Dank fuer die Mitwirkung an dieser FAQ geht an - die Autoren der von mir zitierten Texte - Renate Husmann, bei der man unter www.rhusmann.de auch solche Kuerzel wie 'Spam' erklaert bekommt ;-) - Frank Ellermann - Martin Brunzel - Andreas Hirschberg - Dietmar Adomeit - Maik Bischoff - Juergen G Kuehne - x/42 T-Online-Team - Paul Schmitz-Josten - Michael Logies - Ottmar Freudenberger - Johann Hrebicek - Monika Glatzel und natuerlich Holger Kremb fuer die Erstellung und Pflege der HTML-Version sowie allen anderen Usern, die ich hier evtl. vergessen haben sollte. X-Post, FollowUp-To t-online.talk.internet