Simon Ramseier Spam Was kann ich gegen Spam tunt?

Was kann ich gegen Spam tun?

Du willst also mithelfen, etwas tun gegen den Müll in Deiner Mailbox. Grossartig! Je mehr wir sind, desto einfacher haben wir's. Vielleicht hast Du nicht soviel Zeit. Das macht nichts - mach zum Beispiel einfach nur gegen Schweizer Spam etwas. Das bringt schon viel.

Es gibt zwei Sachen, die Du relativ einfach machen kannst: Erstens, frag Deinen Provider an, wie er zu Spam steht. Was er macht, um Spam zu verhindern. Wie seine Regeln gegenüber spammenden Kunden aussieht. Wenn Du willst, kannst Du die Antworten in die Newsgruppe ch.admin posten, damit andere Interessierte auch wissen, was sie von diesem Provider halten sollen. Zweitens kannst Du Beschwerden schreiben. Bei jedem Spam, oder nur bei solchen, die Dich aus irgendeinem Grund speziell aufregen. Und so geht's:

Wie schreibe ich eine Beschwerde?

Erster Schritt: Absender herausfinden

Zuerst musst Du herausfinden, von wem der Spam kommt. Das tönt einfach, it es aber nicht immer. Manchmal stimmt der "From:"-Header. (Die Headers sind übrigens die wirren Zeilen zuoberst im Mail. Sie geben Auskunft über das "Leben" des Mails. In einigen Programmen musst Du eine Einstellung ändern, um alle Headers zu sehen.) Manchmal stimmt das From aber auch nicht. Viele Spammer fälschen diese Adresse, damit sie nicht alle Fehlermeldungen erhalten und damit es schwieriger ist, sie zu finden. Manchmal wird sogar jemand, dem man eine auswischen will, als Absender eingesetzt - die betreffende Person wird dann mit Fehlermeldungen und Beschwerden überschwemmt. (Dieses Verhalten dürfte übrigens in den meisten Ländern illegal sein.) Wenn der Absender "kurios" aussieht, stimmt er wahrscheinlich nicht. Schau Dir deshalb vor allem den Hauptteil des Mails, den sogenannten Body, an. Oft haben die Spammer hier ihren richtigen Absender. Oder sie machen Werbung für ihre Homepage, dann weisst Du auch, um wen es sich handelt.

Zweiter Schritt: Provider herausfinden

Du musst wissen, bei welchem Provider Du Dich beschweren musst. Wenn der Spammer keine Homepage angibt, aber Du eine E-Mail-Adresse von ihm hast, ist der Provider klar; wenn die Adresse zum Beispiel sam@trash.net ist, ist der Provider natürlich trash.net.
Wenn der Spammer eine Homepage hat, solltest Du versuchen herauszufinden, wer der Provider ist, bei dem die Homepage ist. Dein Freund heisst in diesem Fall traceroute. Das ist ein Programm, das den "Weg" zu einem Server herausfindet. Du findest traceroute-Interfaces unter http://www.traceroute.org. Bei Windows95 gibt es das Programm ebenfalls, es heisst dort tracert.exe. Du gibst den Namen des Servers ein, zum Beispiel www.trash.net, und erhältst den Weg von Dir zu diesem Server. Auf der letzten Zeile ist der Server (Achtung: manchmal hat ein Server verschiedene Namen; egal, was für ein Name dort steht, auf der letzten Zeile ist der Server, den Du suchst.) Auf der zweitletzten Zeile findest Du dann den Provider. Als Beispiel wiederum www.trash.net. traceroute www.trash.net sieht ungefähr so aus:

 7  464 ms   470 ms   392 ms   164.128.33.242      i79zhf-001-srl0-2.unisource.ch.
 8  466 ms   444 ms   480 ms   164.128.123.86      zuerich-1--s0-ubn.dataway.ch.
 9  504 ms   479 ms   510 ms   195.216.64.18       andromeda.dataway.ch.
10  528 ms      ---   512 ms   195.216.65.217      217.208.65.216.195.in-addr.arpa.

Du siehst, dass auf der letzten Zeile nicht das steht, was wir erwarteten, nälich www.trash.net, aber das ist uns egal. Auf der zweitletzten Zeile sehen wir, dass der Provider dataway.ch ist. Der Provider von dataway.ch wiederum ist unisource.ch, die sind noch eine Stufe weiter oben.

Dritter Schritt: Beschwerde schreiben

Nun kannst Du Deine Beschwerde schreiben. Schreibe an den Provider der E-Mail-Adresse und an den Provider der Homepage. Viele Provider haben eine Adresse speziell für Beschwerden; diese lautet normalerweise abuse. Schreibe also z.B. an abuse@provider.ch. Wenn Du nicht sicher bist, ob die Adresse abuse existiert, schreibe auch noch an den Postmaster. Der existiert sicher. Also postmaster@provider.ch. In Deine Beschwerde gehören unbedingt:

Wenn Du willst, kannst Du dem Spammer auch eine Kopie der Beschwerde schicken. Es ist gut, dass sie merken, wie unerwünscht ihr Müll ist. Sei allerdings darauf vorbereitet, dass der Spammer antwortet - meistens nicht gerade sehr freundlich, evtl. auch per Telefon. Ich mache bei den Beschwerden jeweils noch eine PGP-Signatur. Damit sage ich, das sind meine Worte, ich stehe dazu. Ausserdem kann ich so nachweisen, wenn jemand mein Mail verfälschen würde. Das ist aber nicht nötig. Wenn Du PGP hast (es ist gratis) und davon überzeugt bist, mache es, sonst lasse es sein. Weiter unten habe ich ein Beispiel einer Beschwerde.

Wenn Du noch mehr machen willst

Du kannst noch mehr machen. Zum Beispiel einen Follow-Up: Wenn ein Provider nach einiger Zeit (einigen Tagen) noch nicht auf Deine Beschwerde geantwortet hat, die Homepage der Spammer immer noch existiert usw., schreibe noch einmal und frage, was los sei, ob sie Spammer unterstützen. Schreibe an den Provider des Providers (der bei traceroute noch weiter oben ist; bei unserem Beispiel mit trash.net also Unisource) und beschwere Dich über den Provider. Wenn Dir niemand antwortet, poste eine Nachricht in eine Newsgruppe (z.B. ch.admin) und schildere das Ereigniss. Schicke eine Kopie Deines Postings an den Provider sowie dessen Provider.

Ein bisschen schwieriger ist es unter Umständen, herauszufinden, von wo ein Mail geschickt wurde. Schwierig deshalb, weil Spammer oft versuchen, dies durch gefälschte Headers zu verwischen. Sie können die Information jedoch nie zum Verschwinden bringen, nur die Suche erschweren. Schauen wir doch zuerst die Headers eines normalen Mails an: 

Received: from stud.ee.ethz.ch (tardis-etz-fddi.ee.ethz.ch [129.132.98.160])
	by stinky.trash.net (8.8.8/8.8.7) with ESMTP id VAA04417
	for <sam@trash.net>; Sun, 1 Mar 1998 21:02:59 +0100 (MET)
Received: from tardis-a2.ee.ethz.ch (faterlan@tardis-a2.ee.ethz.ch [129.132.3.12])
	by stud.ee.ethz.ch (8.8.4/8.8.8) with ESMTP id VAA21052
	for <sam@trash.net>; Sun, 1 Mar 1998 21:02:57 +0100 (MET)
Received: from localhost (faterlan@localhost)
	by tardis-a2.ee.ethz.ch (8.8.4/8.8.8) with SMTP id VAA21071
	for <sam@trash.net>; Sun, 1 Mar 1998 21:02:54 +0100 (MET)
X-Authentication-Warning: tardis-a2.ee.ethz.ch: faterlan owned process doing -bs
Date: Sun, 1 Mar 1998 21:02:54 +0100 (MET)
From: Fritz Aterlander <faterlan@stud.ee.ethz.ch>
X-Sender: faterlan@tardis-a2.ee.ethz.ch
To: sam@trash.net
Subject: (fwd) SPAMMING IS ILLEGAL !!!! But not everywhere ?
Message-ID: <Pine.GSO.3.96.980301210250.21068A-100000@tardis-a2.ee.ethz.ch>
MIME-Version: 1.0
Content-Type: TEXT/PLAIN; charset=US-ASCII
X-UIDL: 8010dbf3e941a36f58fd6b5f1f4d43e4

und nun eine Zeile nach der anderen: 

Received: from stud.ee.ethz.ch (tardis-etz-fddi.ee.ethz.ch [129.132.98.160])
	by stinky.trash.net (8.8.8/8.8.7) with ESMTP id VAA04417
	for <sam@trash.net>; Sun, 1 Mar 1998 21:02:59 +0100 (MET)
Der Server stinky.trash.net hat am 1.3.98 um 21:02:59 ein Mail für mich erhalten von einem Server, der sich stud.ee.ethz.ch nannte. In Wirklichkeit hatte der Server die IP-Nummer 129.132.98.160, und das ist der Server tardis-etz-fddi.ee.ethz.ch. (Was wahrscheinlich zwei Namen f¨r die gleiche Maschine sind.) 
Received: from tardis-a2.ee.ethz.ch (faterlan@tardis-a2.ee.ethz.ch [129.132.3.12])
	by stud.ee.ethz.ch (8.8.4/8.8.8) with ESMTP id VAA21052
	for <sam@trash.net>; Sun, 1 Mar 1998 21:02:57 +0100 (MET)
stud.ee.ethz.ch erhielt das Mail von tardis-a2.ee.ethz.ch. Diese Maschine gab sogar an, welcher User das Mail verschickte, nämlich faterlan. 
Received: from localhost (faterlan@localhost)
	by tardis-a2.ee.ethz.ch (8.8.4/8.8.8) with SMTP id VAA21071
	for <sam@trash.net>; Sun, 1 Mar 1998 21:02:54 +0100 (MET)
Hier haben wir den Ort, von dem das Mail stammt. localhost heisst für einen Server "ich selbst". faterlan sass also vor der Maschine tardis-a2.ee.ethz.ch (bzw. war auf dieser eingeloggt), als er am 1.3.98 21:02:54 dieses Mail schrieb. (Beachte, dass jeder Server die Zeit nach seiner Uhr einträgt. Es kann deshalb manchmal aussehen, als sei ein Mail in die Vergangenheit gereist, wenn ein Server eine falsche Zeit hat. Beachte auch die Zeitzone (z.B. MET).) Wichtig: Jetzt haben wir den Ort, an dem das Mail ins Internet kam. Von hier an abwärts kann alles gefälscht sein!!! 
X-Authentication-Warning: tardis-a2.ee.ethz.ch: faterlan owned process doing -bs
Date: Sun, 1 Mar 1998 21:02:54 +0100 (MET)
From: Fritz Aterlander <faterlan@stud.ee.ethz.ch>
X-Sender: faterlan@tardis-a2.ee.ethz.ch
To: sam@trash.net
Subject: (fwd) SPAMMING IS ILLEGAL !!!! But not everywhere ?
Message-ID: <Pine.GSO.3.96.980301210250.21068A-100000@tardis-a2.ee.ethz.ch>
MIME-Version: 1.0
Content-Type: TEXT/PLAIN; charset=US-ASCII
X-UIDL: 8010dbf3e941a36f58fd6b5f1f4d43e4
In diesem Fall ist anzunehmen, dass dies alles stimmt. Es ist aber ausserordentlich wichtig zu wissen, dass diese Angaben alle sehr einfach gefälscht werden können. Nur weil etwas in den Headers steht, muss es noch lange nicht stimmen!

Nun schauen wir die Headers eines typischen Spams an: 

Received: from iria.inwave.com (root@iria.inwave.com [206.101.238.8])
	by stinky.trash.net (8.8.7/8.8.7) with ESMTP id BAA04957
	for <sam@trash.net>; Fri, 3 Oct 1997 01:37:24 +0200 (MET DST)
Received: from mail.inwave.com (206.los-angeles-05.ca.dial-access.att.net [12.64.36.206]) by iria.inwave.com (8.7.6/8.7.3) with SMTP id SAA06839; Thu, 2 Oct 1997 18:04:41 -0500
Received: from mail.omni.net (alt1.omni.net177.4.2717) by omni.net (8.8.5/8.6.5) with SMTP id GAA07122 for <everyone@your.net>; Thu, 02 Oct 1997 15:27:59 -0600 (EST)
From: ffn@omni.net
Date: Thu, 02 Oct 97 15:27:59 EST
To: everyone@your.net
Subject: We Will Loan You $59,000 And You NEVER Have To Repay Us
Message-ID: <3336528719035@omni.net>
Reply-To: ffn@omni.net
Comments: Authenticated sender is <ffn@omni.net>
Content-Type: text
Der Reihe nach: 
Received: from iria.inwave.com (root@iria.inwave.com [206.101.238.8])
	by stinky.trash.net (8.8.7/8.8.7) with ESMTP id BAA04957
	for <sam@trash.net>; Fri, 3 Oct 1997 01:37:24 +0200 (MET DST)
stinky.trash.net hat das Mail von iria.inwave.com erhalten. Ich bin sicher, dass das stimmt, weil ich weiss, dass mein eigener Mailserver das schon richtig macht. 
Received: from mail.inwave.com (206.los-angeles-05.ca.dial-access.att.net [12.64.36.206]) by iria.inwave.com (8.7.6/8.7.3) with SMTP id SAA06839; Thu, 2 Oct 1997 18:04:41 -0500
Hier haben wir schon den ersten Täuschungsversuch: iria.inwave.com hat das Mail von 12.64.36.206 erhalten, was in Wirklichkeit 206.los-angeles-05.ca.dial-access.att.net ist. Der Spammer hat aber behauptet, er sei mail.inwave.com. Er will, dass wir glauben, mail.inwave.com habe das Mail von irgendwoher sonst erhalten. Wir merken aber, dass hier das Mail ins Internet gelangt. 206.los-angeles... ist ein Dial-Up des amerikanischen Providers att.net. Jetzt haben wir den Anfang, von nun an erwarten wir nur noch Fälschungen. (NB: Beachte, dass iria.inwave.com das Mail um 18:04:41 Uhr erhielt (Zeitzone -0500, also 01:04:24 MET); stinky.trash.net erhielt das Mail erst 30 Minuten später, um 01:37:24. iria.inwave.com war von diesem Missbrauch so überlastet, dass er eine halbe Stunde brauchte, um ein einzelnes Mail zu verschicken.) 
Received: from mail.omni.net (alt1.omni.net177.4.2717) by omni.net (8.8.5/8.6.5) with SMTP id GAA07122 for <everyone@your.net>; Thu, 02 Oct 1997 15:27:59 -0600 (EST)
Das ist eine plumpe Fälschung. Erstens ist "alt1.omni.net177.4.2717" völlig falsch - die eckigen Klammern fehlen und sie haben den Punkt zwischen 27 und 17 vergessen (eine IP-Nummer besteht immer aus vier Zahlen zwischen 0 und 255). Ausserdem ist es unmöglich, dass in einem Mail an mich irgendwo "for <everyone@your.net>" steht, es sei denn, ich sei everyone@your.net. Die Zeitzone ist auch falsch, EST ist entweder -0400 oder -0500, aber nie -0600. (Dies ist übrigens ein "Markenzeichen" eines verbreiteten Spamprogrammes, Stealth Mailer. Diese gefälschte Zeile hat bei diesem Programm auch immer eine "SMTP id", die mit GAA beginnt. Das ist zwar eine mögliche ID, aber nur für Mails, die zwischen 07:00 und 07:59 Uhr verschickt wurden.) 
From: ffn@omni.net
Date: Thu, 02 Oct 97 15:27:59 EST
To: everyone@your.net
Subject: We Will Loan You $59,000 And You NEVER Have To Repay Us
Message-ID: <3336528719035@omni.net>
Reply-To: ffn@omni.net
Comments: Authenticated sender is <ffn@omni.net>
Content-Type: text
Das From: ist gefälscht; wie schon oben klar wurde, will der Spammer, dass wir denken , er komme von omni.net (wir wissen ja, dass er von att.net kommt). Das Datum stimmt ungefähr überein mit dem Rest des Mails, ist aber unwichtig. Das To: hat nichts zu bedeuten. Die wirklichen Empfänger sind im Bcc-Feld des Mailprogrammes aufgelistet; so sieht man am Schluss nicht, wer alles das Mail erhält. Die Message-ID ist auch gefälscht. Wiederum wollen sie, dass war an omni.net denken. Reply-To natürlich auch gefälscht, und das "Comments: Authenticated sender ist..." hat nichts zu bedeuten. Content-Type: text sagt unserem Mailprogramm nur, dass es ich um Text handelt.

In diesem Fall würde also eine Beschwerde an abuse@att.net gehen. Hier ist es natürlich besonders wichtig, alle Headers mitzuschicken, damit sie den genauen Weg auch sehen können. Wir können nicht herausfinden, wer das Mail geschickt hat. att.net wird aber sicherlich ein Log haben, wer um die Zeit, als der Spam verschickt wurde, auf dieser Linie eingeloggt war. Ausserdem schreiben wir eine Notiz an abuse@inwave.com, machen sie auf den Missbrauch ihres Mailservers aufmerksam und schlagen vor, sie sollen doch rechtliche Schritte gegen den Absender einleiten sowie ihre Server gegen diese Art von Missbrauch sichern.

Die Analyse von Headers ist nicht ganz einfach; jeder Mailserver macht sie ein bisschen anders. Am besten schaust Du Dir von Zeit zu Zeit die Headers von normalen Mails an, die Du erhältst. Dann weisst Du, wie Deine Mails aussehen sollten und findest Fälschungen einfacher.

Ein Beispiel einer Beschwerde

Alles frei erfunden natürlich!

From: Simon Ramseier <sam@trash.net>
To: abuse@agri.ch, postmaster@agri.ch, abuse@bluewin.ch, postmaster@bluewin.ch,
       abuse@ethz.ch, postmaster@ethz.ch
Subject: Spam-Beschwerde (E-Mail-Spam von blochel.ch)

AGRI.CH: Ihr Kunde diebestepornoseitederwelt.ch ist ein Spammer. Dies ist nicht akzeptabel. Bitte nehmen
Sie diesen Missbraucher ab dem Internet.

BLUEWIN.CH: Der folgende Spam wurde von Ihrem Kunden pornoseite@bluewin.ch
verschickt. Zeit, sein Konto zu schliessen.

ETHZ.CH: Der folgende Spam wurde ueber Ihren Server bernina.ethz.ch geleitet. Dieser
Missbrauch Ihrer Ressourcen ist ziemlich sicher strafbar. Ich schlage Ihnen vor,
rechtliche Schritte gegen den Sender einzuleiten. Schuetzen Sie ausserdem bitte Ihre
Server vor dieser Art von Missbrauch.

Vielen Dank.
Mit freundlichen Gruessen,
Simon Ramseier

----- begin forwarded message -----

Received: from bernina.ethz.ch (bernina.ethz.ch [129.132.1.11])
	by stinky.trash.net (8.8.8/8.8.7) with ESMTP id CAA19063
	for <sam@stinky.trash.net>; Tue, 24 Feb 1998 02:52:20 +0100 (MET)
From: president@whitehouse.gov
Received: from mail.whitehouse.gov (zhb5pub130.bluewin.ch [195.186.5.130])
	by bernina.ethz.ch (8.8.8/8.8.7) with SMTP id CAA65903;
	Tue 24 Feb 1998 02:53:02 +0000
To: herr@schweizer.ch
Subject: Hopp Schwiiz!
Message-ID: <1234567890qwertzuiop@hopp.schwiiz>
Content-Type: text

Liebe Mannen und Frauen!

Besucht die geilste Homepage, die es gibt!

http://www.diebestepornoseitederwelt.ch

Mit heissen Gruessen,
Eure Freunde vom Dienst
pornoseite@bluewin.ch


----- end forwarded message -----

Achtung: Ich kann leider die meisten Mails, die ich zu dieser Seite erhalte, aus Zeitgründen nicht beantworten. Wahrscheinlich kriegst Du an einer anderen Stelle, z.B. in der Newsgruppe ch.admin, schneller eine Antwort.

Comments/Contact