Tobias Eggendorfer No Spam!
Tobias Eggendorfer
No Spam! Besser vorbeugen als heilen
Software & Support Verlag GmbH Frankfurt 2005
Tobias Eggendorfer : No Spam! Besser vorbeugen als heilen. Frankfurt, 2005 ISBN 3-935042-71-X
© 2005 Software & Support Verlag GmbH
http://www.software-support-verlag.de http://www.entwicklerpress.de/buecher/nospam Ihr Kontakt zum Verlag und Lektorat:
[email protected] Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.ddb.de abrufbar.
Korrektorat: Petra Kienle Satz: text & form GbR, Carsten Kienle Umschlaggestaltung: Melanie Hahn Belichtung, Druck und Bindung: M.P. Media-Print Informationstechnologie GmbH, Paderborn. Alle Rechte, auch für Übersetzungen, sind vorbehalten. Reproduktion jeglicher Art (Fotokopie, Nachdruck, Mikrofilm, Erfassung auf elektronischen Datenträgern oder andere Verfahren) nur mit schriftlicher Genehmigung des Verlags. Jegliche Haftung für die Richtigkeit des gesamten Werks kann, trotz sorgfältiger Prüfung durch Autor und Verlag, nicht übernommen werden. Die Programmbeispiele dienen nur der Erklärung und sind nicht ungeprüft für den Produktionseinsatz geeignet. Die im Buch genannten Produkte, Warenzeichen und Firmennamen sind in der Regel durch deren Inhaber geschützt.
Inhaltsverzeichnis
1
2
3
4
5
Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
Notwendige Vorkenntnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
Zum Umgang mit diesem Text . . . . . . . . . . . . . . . . . . . . . . . . .
13
Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 Untaugliche Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Spam an der Wurzel bekämpfen . . . . . . . . . . . . . . . . . . . . Was ist Spam? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Etwas Geschichte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Spam und Recht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Unsolicited Bulk E-Mail . . . . . . . . . . . . . . . . . . . . . . . . . . Woher haben Spammer die Mailadressen?. . . . . . . . . . . . . . . . 3.1 Freiwillige Eingabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Adressen im Internet automatisch sammeln . . . . . . . . . . . 3.2.1 Durchsuchen von Internetseiten. . . . . . . . . . . . . . 3.2.2 Newsgroups und ähnliche Quellen . . . . . . . . . . . 3.2.3 Erraten von Adressen . . . . . . . . . . . . . . . . . . . . . . 3.2.4 Adresshandel . . . . . . . . . . . . . . . . . . . . . . . . . . . . Grundlegende Vorsichtsmaßnahmen. . . . . . . . . . . . . . . . . . . . . 4.1 Umgang mit Mailadressen . . . . . . . . . . . . . . . . . . . . . . . . . 4.2 Wegwerfadressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3 Newsletter und Ähnliches . . . . . . . . . . . . . . . . . . . . . . . . . 4.4 Keinesfalls: gefälschte Absenderadressen . . . . . . . . . . . . . 4.5 Webtelefonbücher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.6 Spammer beim Sammeln identifizieren. . . . . . . . . . . . . . . 4.7 SMTP-Teergruben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.8 Rechtsweg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E-Mail-Adressen von Webseiten verbannen . . . . . . . . . . . . . . . 5.1 Adressen fälschen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2 Verstecken mit HTML-Code . . . . . . . . . . . . . . . . . . . . . . . 5.2.1 Kontaktformular. . . . . . . . . . . . . . . . . . . . . . . . . .
15 15 16 19 19 20 23 25 25 25 25 28 29 31 33 33 34 36 37 38 39 39 41 43 45 46 47
No Spam!
5
Inhaltsverzeichnis
6
7
6
5.2.2 Tarnen mit HTML . . . . . . . . . . . . . . . . . . . . . . . . 5.2.3 Rechtliches. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3 Bilder und Ähnliches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3.1 E-Mail-Adresse als Bild. . . . . . . . . . . . . . . . . . . . 5.3.2 PDF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3.3 Flash. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4 JavaScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.1 Das Grundprinzip. . . . . . . . . . . . . . . . . . . . . . . . . 5.4.2 Eine stabilere Lösung. . . . . . . . . . . . . . . . . . . . . . 5.4.3 Theoretische Informatik ausnutzen . . . . . . . . . . . 5.4.4 Mit Verschlüsselung. . . . . . . . . . . . . . . . . . . . . . . 5.4.5 Harvester mit JavaScript . . . . . . . . . . . . . . . . . . . 5.4.6 JavaScript-freie Browser . . . . . . . . . . . . . . . . . . . 5.5 Weitere Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.6 Test auf echten Webseiten . . . . . . . . . . . . . . . . . . . . . . . . . 5.7 Test mit echten Harvestern. . . . . . . . . . . . . . . . . . . . . . . . . Automatisch tarnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1 Apache-Modul . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.1 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.2 Programmierzauber . . . . . . . . . . . . . . . . . . . . . . . 6.1.3 Tarnfunktion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.4 Das Script selbst. . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 Tuning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Missbrauch fertiger Scripten . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.1 Missbrauch von Kontaktformularen . . . . . . . . . . . . . . . . . 7.1.1 Empfänger als INPUT TYPE HIDDEN . . . . . . . 7.1.2 Nutzereingabe im From-Feld. . . . . . . . . . . . . . . . 7.1.3 Nutzereingabe sonstiger Header-Felder. . . . . . . . 7.1.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . 7.2 Missbrauch von eCards . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2.1 Hinweise zur Umsetzung . . . . . . . . . . . . . . . . . . . 7.3 Send-To-A-Friend . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58 66 67 67 69 70 72 72 74 76 77 83 84 86 87 89 93 94 95 96 96 97 100 103 104 104 106 106 107 107 109 122
Inhaltsverzeichnis
8
9
10
Harvester blockieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.1 Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2 Überlastungsprophylaxe. . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2.1 Semaphoren in PHP . . . . . . . . . . . . . . . . . . . . . . . 8.3 Die Lösung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.4 Ein Script – viele Namen . . . . . . . . . . . . . . . . . . . . . . . . . . 8.5 Suchmaschinen schützen . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6 Beispiel-Teergrube . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.6.1 Konfiguration der Beispiel-Teergrube . . . . . . . . . 8.6.2 Das Script. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.7 Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.8 Weitere Verbesserungsmöglichkeiten . . . . . . . . . . . . . . . . Absichern von Mailinglisten und Newslettern . . . . . . . . . . . . . 9.1 Sicherheitsziele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.2 Anmeldeverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.2.1 Opt-Out . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.2.2 Einfacher Opt-In . . . . . . . . . . . . . . . . . . . . . . . . . 9.2.3 Double-Opt-In . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.2.4 Anmeldebestätigung . . . . . . . . . . . . . . . . . . . . . . 9.3 Laufender Betrieb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3.1 Schutz der Mailadressen . . . . . . . . . . . . . . . . . . . 9.3.2 Schutz der Liste . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
123 123 124 125 126 127 128 128 128 129 134 135 137 137 138 138 138 139 141 141 142 144 146 147
Literaturhinweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
151
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
157
No Spam!
7
Vorwort Spamfilter sind langsam, fehleranfällig und wirken meiner Meinung nach am falschen Ende: Sie entfernen Spam erst dann, wenn er auf dem Server des Empfängers eingetroffen ist und ihm damit bereits Kosten verursacht hat. Das Ziel sollte daher sein, Spam schon vor der Entstehung zu unterbinden und so die Investition in aufwendige Spamfilter überflüssig zu machen. Ich möchte Ihnen in diesem Buch Verfahren und Möglichkeiten der präventiven Spam-Vermeidung vorstellen, die ich entweder selbst entwickelt habe oder für die ich im Rahmen meiner Recherchen Anregungen und Ideen entdeckte, die ich dann häufig noch verfeinern konnte. Mein Ansatz ist dabei zu verhindern, dass Spammer überhaupt in den Besitz von E-Mail-Adressen gelangen. Dadurch wird ihnen das wichtigste Handwerkzeug genommen. Spammer ernten E-Mail-Adressen vorzugsweise – aber nicht ausschließlich – von Webseiten. Daher stelle ich hier unter anderem Lösungen vor, wie sich Webseiten so gestalten lassen, dass Sammelprogramme dort keine E-MailAdressen mehr finden. Dabei werde ich auch eine Lösung implementieren, die die vorgeschlagenen Verfahren automatisiert durchführt, ohne dass die bestehenden Webseiten manuell geändert werden müssten. Zwei große Themenkomplexe in der Spambekämpfung spare ich aus: zum einen die Konfiguration von Mail-Servern, so dass sie nicht als Open Relay missbraucht werden können1, und zum anderen die Problematik des „Open Proxy“. Beide Probleme erscheinen mir zu speziell und sind in der Literatur mittlerweile ausführlich und ergiebig diskutiert. Zudem setzen beide Lösungen einen Schritt hinter meinem Ansatz an: Sie versuchen, den Versand von Spam zu behindern, und greifen damit erst dann ein, wenn der Spammer bereits E-Mail-Adressen seiner Opfer hat. Ich hoffe, in der folgenden Darstellung die richtige Mischung aus Theorie und Praxis gefunden zu haben. Und ich hoffe, dass ich mein Ziel, Ihnen durch anschauliche Erklärungen das Verständnis zu erleichtern, erreiche. 1. Siehe z.B.: [COS97] für Sendmail, [HEIN04] für Postfix und [SIL01] sowie [BER03a] für qmail.
No Spam!
9
Vorwort
In „Notwendige Vorkenntnisse“ gebe ich Ihnen einige Hinweise, welche Vorkenntnisse Sie zum Verständnis der einzelnen Kapitel mitbringen sollten. Sie werden sehen, dass häufig eine gesunde Portion Neugier und Interesse ausreicht, um den Beispielen zu folgen. Leider bin ich auch nur ein Mensch und somit fehlbar – gerade eine erste Ausgabe hat den Fehlerteufel in sich. Daher würde ich mich über Feedback, Anmerkungen, konstruktive Kritik, aber auch über eine Sammlung meiner schönsten Tippfehler und unverständlichsten Sätze freuen. Zu diesem (und vielen weiteren Zwecken) existiert auf meiner Homepage http://www.eggendorfer.info ein Kontaktformular. Sollten Sie sehr viele Fehler finden – oder auch reichlich Verbesserungsvorschläge haben, dann wird dort auch eine Seite mit entsprechenden Hinweisen entstehen. Ich wünsche Ihnen viel Spaß bei der Lektüre!
10
Notwendige Vorkenntnisse Von meinem Verlag wurde ich mehrfach gefragt, an wen sich das Buch wende. Das ist schwer zu sagen: Einige der dargestellten Techniken (in Kapitel 4 und 5) sind für jeden nachvollziehbar, der schon mal eine Webseite erstellt hat. Häufig sind dafür noch nicht einmal detailliertere HTML- oder gar JavaScript-Kenntnisse notwendig. Diese Lösungsvorschläge wenden sich somit an jeden, der eine eigene Homepage betreibt. Der notwendige Code ist stets ausführlich erläutert und kann so fast immer ohne Änderungen auf die eigene Homepage übernommen werden. In Kapitel 6 stelle ich Ihnen eine Methode vor, wie Sie die in Kapitel 5 erklärten Tarnverfahren automatisch von Ihrem Webserver durchführen lassen können. Das Schöne an der Lösung ist, dass Sie Ihre bestehenden Webseiten gar nicht mehr anfassen müssen, um in den Genuss effektiver Tarnung zu kommen. Der Haken an der Sache? Wie so oft: Bevor man sich faul zurücklehnen kann, ist etwas Programmierarbeit nötig. Für das Verständnis des vorgestellten Programms sind daher Perl-Kenntnisse hilfreich. Um das Konzept zu verstehen, brauchen Sie aber nur Ihren gesunden Menschenverstand. Kapitel 7 ist dann etwas für den kleinen Cracker in Ihnen: Wir schauen uns an, wie typische Scripten auf Webseiten von Spammern missbraucht werden können, und diskutieren, wie man sie gegen diese Angriffe abdichten kann. Um die Ideen dieses Kapitels zu verstehen, sind HTML-Grundkenntnisse und etwas Fantasie nötig. Um die Programmbeispiele nachvollziehen zu können und an die eigenen Bedürfnisse anzupassen, sind PHP-Kenntnisse empfehlenswert. So stelle ich Ihnen beispielsweise in Kapitel 7.2 ein Verfahren vor, wie man spamfrei eCards anbieten kann. Ans Eingemachte gehen wir in Kapitel 8: Wir konstruieren eine Falle für Spammer. Das Konzept ist wiederum für jedermann verständlich – allerdings nutzt das vorgestellte PHP-Script zur Umsetzung dann einige trickreiche Programmiermethoden, die ich Ihnen ausführlich erkläre. Wenn Sie das Script auf Ihrer eigenen Seite einsetzen wollen, sollten Sie daher PHP beherrschen. In Kapitel 9 wird es wieder etwas allgemeiner: Wir diskutieren verschiedene Verfahren, um Mailinglisten vor Spammern zu schützen. Das trifft Sie vor al-
No Spam!
11
Notwendige Vorkenntnisse
lem dann, wenn Sie selbst Newsletter oder Mailinglisten anbieten wollen – sollte das der Fall sein, so haben Sie auch schon Erfahrung mit der notwendigen Software. Ansonsten liefert Ihnen das Kapitel einige wertvolle Hinweise, worauf Sie achten sollten, wenn Sie sich irgendwo anmelden. Generell gilt: Die Erklärungen und Beispiele sind meiner Meinung nach für jeden verständlich, der ein bisschen gesunde Neugier mitbringt. Die unterstelle ich Ihnen, sonst hätten Sie kaum dieses Buch in der Hand.
12
Zum Umgang mit diesem Text Um Programmbefehle zu markieren, verwende ich die folgende Darstellung: UPDATE leser SET wissen = wissen + 1 WHERE buch_gelesen = true;
Sollten durch den Druck zufällig Zeilenumbrüche an Stellen entstehen, an denen sie nicht hingehören und zu einer Fehlfunktion führen würden, markiere ich den Zeitpunkt, an dem Sie die Return-Taste drücken dürfen, mit [RET]. Soweit aber ein Zeilenumbruch nicht stört, verzichte ich im Sinne der besseren Lesbarkeit auf diesen Zusatz. Ich verwende im Text relativ großzügig Fußnoten. Häufig gebe ich Ihnen dort Quellen an, unter denen Sie weitere Detailinformationen zu einem bestimmten Problemkreis finden können, dessen Darstellung hier den Rahmen sprengen würde. Manchmal ist es hilfreich, wenn die eigene Neugier geweckt ist, einen Einstiegspunkt für weitere Recherchen zu finden. Die Literatur ist dabei mit einem Kürzel im Text angegeben, Sie finden die vollständigen Angaben unter dem Kürzel im alphabetisch sortierten Literaturverzeichnis am Ende des Buchs. Ich kann keinerlei Garantie für die Fehlerfreiheit der Programmbeispiele übernehmen: Zwar habe ich sie ausführlich getestet, einige liefen (und laufen) auf Webseiten, die massiv von Spammern heimgesucht werden, aber die Scripten sind hier lediglich aus didaktischen Gründen eingestreut und sollen das Verständnis erleichtern. Sie sollen Ihnen als Ausgangsbasis zur Entwicklung eigener Lösungen dienen, die Sie vor dem Live-Einsatz natürlich gründlich testen müssen – insbesondere auf Sicherheitslöcher2. Jedoch schränke ich das Nutzungsrecht daran ausdrücklich dahingehend ein, dass keines der Programme, Programmbeispiele oder der vorgestellten Verfahren von Spammern, zur Vorbereitung der Versendung oder der Versendung von Spam oder ähnlich niederträchtigen Zwecken verwendet werden darf. Eine solche Verwendung würde ich als Urheberrechtsverstoß verfolgen. Gegen eine Nutzung zu privaten und wissenschaftlichen Zwecken unter Hinweis auf meine Urheberschaft habe ich jedoch keinerlei Einwände. 2. Mit diesem Problem beschäftigen sich ausführlich: [KOZ04], [HOG04] und [VIE01]. Eine allgemeinere Einführung liefert [PEI04].
No Spam!
13
1
Einführung
Spam lässt Ihren E-Mail-Briefkasten überquellen. Doch warum eigentlich? Woher haben die Spammer Ihre Adresse? Und was kann man präventiv gegen Spam tun? Das sind Fragen, mit denen wir uns hier beschäftigen wollen.
1.1 Untaugliche Filter Dabei klammern wir die Frage nach Spamfiltern bewusst aus: Erstens gibt es dazu bereits mehr als genug Literatur, zweitens sind die Filter anders als bei Viren und Würmern nur eingeschränkt wirkungsvoll. Viren und Würmer haben eindeutige Signaturen, über die sie gut automatisch erkannt werden können. Bei Spam gibt es so etwas nicht. So hilft z.B. ein Filter, der auf bestimmte Schlagwörter reagiert, nichts: Für Apotheker, Urologen, Kardiologen und Internisten beispielsweise sind EMails mit dem Wort „Viagra“ häufig wichtige Anfragen von Patienten und nicht unbedingt Spam. Ähnlich werden Uhrenhändler und Juweliere die Begriffe „Rolex“, „Cartier“ und „Breitling“ nicht auf ihre Blacklist setzen wollen. Auch die anderen gängigen Filterverfahren scheitern an praktischen Problemen: So schlagen manche Autoren vor, E-Mails nur von Rechnern mit festen IP-Adressen anzunehmen und haben dabei die Rechnung ohne die Telekommunikations-Überwachungsverordnung (TKÜV) gemacht: Denn die zwingt die großen Provider dazu, an ihren Mailservern Abhörvorrichtungen bereitzustellen. Wer das umgehen will, nutzt diese Server nicht, sondern mailt direkt von seinem PC. Technisch ist das kein Problem. Vielfach hochgelobt sind so genannte Open-Relay-Blacklists, also schwarze Listen von Servern, die E-Mails für fremde Domains annehmen und weitergeben („relayen“). Ungünstig ist dabei nur, dass manche Listen so aggressiv sind, dass sogar seriöse Anbieter wie web.de und GMX regelmäßig dort gesperrt werden. Mancher Administrator setzt im vollen Vertrauen sogar Listen wie die von Spamcop als einzigen Filter ein, obwohl Spamcop selbst davor warnt, weil sie ihre Liste als experimentell und sehr aggressiv einstufen. Zudem wirkt der Filter schlicht am falschen Ende der „Spam-Kette“. Günstiger wäre es, das Übel Spam an der Wurzel zu packen.
No Spam!
15
1 – Einführung
1.2 Spam an der Wurzel bekämpfen Die Wurzel ist, so haben eine Studie ([CDT03]) und eigene Untersuchungen3 ergeben, die Veröffentlichung von E-Mail-Adressen auf Webseiten. An diesem Punkt setze ich an und dokumentiere Verfahren, wie E-Mail-Adressen auf Homepages für Spammer unsichtbar gemacht werden können. Später werden wir uns überlegen, wie beispielsweise Kontaktformulare gestaltet sein müssen, um zu verhindern, dass sie als „Spamming-Engines“ missbraucht werden können. Dabei demonstriere ich Ihnen auch ein Verfahren zum Anbieten von eCards, ohne Gefahr zu laufen, als Spammer auf Unterlassung in Anspruch genommen zu werden4. In einem letzten Schritt werfen wir dann einen Blick auf ein Verfahren, das Spammern das Sammeln von Adressen vergällen soll. Zuerst jedoch möchte ich Ihnen zeigen, wie Spammer die Adressen sammeln, und den Begriff Spam definieren. Immer mehr unerwünschte Mails werden heutzutage von Würmern und Trojanern versandt, die mit den Methoden dieses Buchs nicht kleinzukriegen sind. Das Problem der Viren, Würmer und Trojaner können wir hier nicht behandeln – es passt nicht in diesen Rahmen. Auch dazu existiert bereits einiges an Literatur5. Parallel zur Erstellung dieses Buchs habe ich einen Kurs für die Volkshochschule München konzipiert, der sich jedoch nur auf die spamsichere Gestaltung von Homepages konzentriert und nicht alle präventiven Möglichkeiten vorstellen sollte – schließlich ist der Zeitrahmen einer solchen Veranstaltung begrenzt. Die dort beschriebenen Methoden fasste ich für die Zeitschrift „Linux-User“ in einem Beitrag zusammen. Der Beitrag stieß unter den Lesern, wie zahlreiche Zuschriften belegen, auf sehr großes Interesse und erschien mittlerweile in Übersetzungen in der internationalen, englischen Ausgabe „Linux-Magazine“, im rumänischen Linux-Magazin „Linux-Magazin Romania“ und in der polnische Ausgabe „Linux Magazine“6. 3. [EGG05a], [EGG05b] und [EGG05c] 4. Siehe dazu http://de.wikipedia.org/wiki/E-Card, dort ist der Volltext der einschlägigen Urteile verlinkt 5. Siehe dazu: [EGG04d], [EGG05d] 6. Siehe: [EGG04], [EGG04g], [EGG04h], [EGG04f]
16
Spam an der Wurzel bekämpfen
Im deutschsprachigen Linux-Magazin stellte ich erstmals auch ein Verfahren vor, Spammer zu ärgern – sie also beim Einsammeln von Adressen nachhaltig zu behindern.7 Im vorliegenden Buch diskutiere ich um einiges ausführlicher, als es im Rahmen von Artikeln möglich ist, diese und andere Verfahren. Insbesondere werden dabei auch die rechtlichen Konsequenzen dargestellt. Ich wünsche Ihnen viel Vergnügen bei der Lektüre – und eine spamfreie Zukunft. Die verspricht zumindest [CDT03], hindert man Spammer am Adressensammeln.
7. Siehe: [EGG04a]
No Spam!
17
2
Was ist Spam?
Die Bezeichnung „Spam“ wird heutzutage in einer wesentlich umfassenderen Bedeutung verwendet als ursprünglich. Viele Anwender verstehen unter Spam die massenhafte Zusendung von E-Mails unabhängig von deren Inhalt. Insbesondere werden auch die von Würmern automatisch generierten E-Mails von vielen Anwendern als Spam bezeichnet. Manche gehen sogar noch weiter und nennen alles Spam, was auch nur in entferntester Form unerwünschte Werbung darstellen könnte: Einige sprechen von Google-Spam, also manipulierten Trefferpositionen in einer Google-Suche, und andere von Papier-Spam und verstehen darunter Postwurfsendungen.
2.1 Etwas Geschichte Ursprünglich stand Spam für die massenhafte Sendung unerwünschter Werbung in den Newsgroups, speziellen Diskussionsbereichen im Internet. Dort tauchte auch erstmalig der Begriff „Spam“ auf. Dabei ist das Wort SPAM zunächst unverfänglich und kommt aus einem völlig anderen Bereich: SPAM in Großbuchstaben geschrieben ist nämlich als Wortmarke von der US-amerikanischen Firma Hormel Foods8 geschützt. SPAM steht dabei als Abkürzung für Spiced Pork and Ham und ist ein penetrant pink leuchtendes, unnatürlich aussehendes, aber in den USA ubiquitäres Dosenfleisch. Dieses Dosenfleisch hat dort offensichtlich Kultcharakter erlangt: Ähnlich wie für das bei uns bekanntere Nutella gibt es eigene SPAM-Kochbücher9 und SPAM-Restaurants. Den Zusammenhang zwischen diesem Fleischderivat und unerwünschter Werbung erzeugte indirekt Monty Python, ein britischer Komiker. In einer seiner „Flying Circus“-Folgen möchte ein Gast in einem Restaurant, dessen Speisekarte ausschließlich Speisen enthält, die in irgendeiner Art auf SPAM basieren, ein Gericht ohne dieses Fleisch bestellen. Beim Versuch, die Bedienung nach entsprechenden Angeboten zu fragen, unterbindet ein Wikinger-Chor die Kommunikation und singt lauthals „Spam, Spam, Spam ...“. 8. Siehe dazu: http://www.spam.com 9. Siehe dazu: [WYM99]
No Spam!
19
2 – Was ist Spam?
In einem Usenet-Posting am 31. März 1993 wurde dann, so die Darstellung in [GOO04], das erste Mal für unerwünschte Werbung in Newsgroups der Begriff „Spam“ verwendet. Die damalige Internetgemeinde, der sehr viele Fans von Monty Pythons Flying Circus angehörten, verstand die Anspielung. Andere Autoren dokumentieren die Begriffsentstehung nicht so detailliert, sondern heben auf die massive Kommunikationsstörung und die Analogie zu diesem Sketch ab: Durch Spam wird jede normale Kommunikation unterbunden, das Kommunikationsmedium unbrauchbar gemacht. So laufen Postfächer wegen Spam über, Mailserver brechen unter der Flut von Werbemails zusammen und schlecht konfigurierte Filter löschen erwünschte Nachrichten, weil sie diese fälschlich für Spam halten. Der Mensch, als letzter in der Reihe, übersieht dann auch noch in den Mail-Massen die erwünschten Nachrichten. So wird E-Mail unbrauchbar. Aus der Geschichte, die [McW05] in Romanform erzählt, ergibt sich zunächst die enge Definition von Spam: Spam sind unerwünschte Werbepostings im Usenet. Später wurde der Begriff schnell erweitert auf unerwünschte Werbe-EMails, die man ursprünglich „Unsolicited Commercial E-Mail“ oder kurz UCE nannte. Tatsächlich gibt es immer wieder Hardliner, die Spam nur in der ursprünglichen, engen Definition der unerwünschten Usenet-Postings verwendet wissen wollen. So gab es z.B. lang anhaltende, heftige Diskussionen, als der Artikel über UCE im deutschen Wikipedia10 unter die Überschrift „Spam“ verschoben wurde. Mittlerweile wird auch dort Spam in der neueren, weiteren Definition verwendet. Allerdings ist die überwiegende Meinung in Fachkreisen immer noch, dass unter Spam nur unerwünschte Werbemails zu verstehen sind, nicht jedoch unerwünschte Massenmails: Letztere stellen eine Art Oberbegriff dar: Auch SpamMails sind unerwünschte Massenmails, englisch „Unsolicited Bulk E-Mail“ (UBE), aber nicht jede UBE ist Spam.
2.2 Spam und Recht Spam ist nur dann Spam im Sinne unserer Definition, wenn es sich bei dem Inhalt der Nachricht um unerwünschte E-Mail-Werbung handelt. Die Nachricht 10. http://www.wikipedia.de
20
Spam und Recht
muss also einen werbenden Charakter haben. Dabei fasst die deutsche Rechtsprechung den Begriff Werbung anwenderfreundlich sehr weit. Wichtigstes Kriterium ist „unerwünscht“. Eine werbende Mail ist genauso wie Werbung per Fax, BTX, Telex, SMS oder auch Telefon immer dann unerwünscht, wenn sie außerhalb einer Geschäftsbeziehung zugesandt wird und der Absender nicht mit dem Interesse des Empfängers an seiner Zusendung rechnen durfte. Durch diese Einschränkung soll der Absender die Chance haben, neue Geschäftsbeziehungen anbahnen zu können, schließlich gehört das zum üblichen Geschäftsgebahren. Allerdings ist der Absender in Bezug auf das mutmaßliche Interesse des Empfängers nach deutscher Rechtsprechung beweispflichtig. Seine Begründung muss einer objektiven Nachprüfung standhalten. Die Behauptung, dass jeder Mensch irgendwann einmal eine zwie- oder rotlichtige Seite im Netz besuchen würde, reicht also nicht aus, sondern es muss das konkrete, aktuelle Interesse des Empfängers begründet werden11. Das jedoch fällt den meisten Spammern schwer. In einem der Verfahren, die ich gegen Spammer geführt habe, konnte sich der Spammer in seinen Schriftsätzen noch nicht einmal entscheiden, ob er mich als Freiberufler oder Privatperson kontaktiert hatte. Damit half ihm die Ausrede, ich könnte an einer Kontaktaufnahme interessiert gewesen sein, auch nicht weiter. Die Annahme, dass der Empfänger der Werbemail auf seiner Homepage eine E-Mail-Adresse angegeben hätte und damit stillschweigend jeglicher Kontaktaufnahme zustimme, reicht ebenso wenig für eine gültige Begründung aus. Umstritten ist derzeit noch, ob in einer bestehenden Geschäftsbeziehung die Zusendung von Werbung in beliebigem Umfang geduldet werden muss. Die überwiegende Mehrheit geht davon aus, dass, sobald der Empfänger der weiteren Zusendung von Werbung nachweislich widersprochen hat, sie als unerwünscht einzustufen ist und es sich damit um Spam handelt. Unter anderem deswegen fordert das 2004 aktualisierte Gesetz gegen den unlauteren Wettbewerb (UWG) das Vorhandensein eines Abmeldelinks in solchen Newslettern. Allerdings zeigt die Praxis, dass Spammer das Anklicken eines Abmeldelinks häufig als Bestätigung ansehen, dass Mails an die be11. Detaillierter zur Rechtslage [EGG04c] mit zahlreichen weiteren Quellen.
No Spam!
21
2 – Was ist Spam?
spammte Adressen tatsächlich gelesen werden. Solche Adressen werden als „verified“ unter Spammern zu deutlich höheren Preisen gehandelt. Deshalb ist es in aller Regel nicht zu empfehlen, einen solchen Link anzuklicken12. Nicht nur wegen der häufig mit dem Klick auf einen vorgeblichen Abmeldelink verbundenen Gefahren ist die Form des Widerspruchs dem Widersprechenden überlassen. Insbesondere stellt die Zusendung einer Abmahnung mit Aufforderung zur Abgabe einer Unterlassungserklärung einen Widerspruch gegen die Zusendung von weiteren Newslettern dar. Der Vorteil eines Widerspruchs per Fax oder Brief ist zudem die Beweisbarkeit. Denn die Beweispflicht für den erfolgten Widerspruch liegt beim Empfänger der Werbung. Zulässig ist es, Empfängern auf deren ausdrücklichen Wunsch hin E-Mails mit werbendem Inhalt zuzusenden. Diese Werbung wird zumeist als Newsletter bezeichnet. Beweispflichtig für die Eintragung in den Newsletter ist der Versender. Daher empfiehlt sich die Verwendung eines qualifizierten Double-OptIn-Verfahrens, um zu verhindern, dass missbräuchlich E-Mail-Adressen Dritter ohne deren Zutun eingetragen werden. Mit diesem Verfahren befasst sich Kapitel 9. Wie genau diese Zustimmung zur Zusendung von E-Mail-Werbung jedoch aussehen muss, ist nicht festgelegt. Häufig konstruieren daher zwielichtige Anbieter bei Kontaktaufnahme eine Zustimmung über ein Kontaktformular oder bei Teilnahme an einem Gewinnspiel über die angeblich einbezogenen AGB. Dabei steht entweder unterhalb des Eingabeformulars im Kleingedruckten, dass der Absender der Nutzung seiner E-Mail-Adresse zu werblichen Zwecken zustimmt, oder aber, der Surfer muss den Teilnahmebedingungen, die in diesem Fall aus rechtlicher Sicht AGB darstellen und eine entsprechende Regelung enthalten, zustimmen. Aus meiner Sicht ist es fraglich, ob bei einer allgemeinen Anfrage an ein Unternehmen über ein Kontaktformular ein Vertrag zustande kommt, der die Einbeziehung von AGB rechtfertigen würde: Es fehlt am Vertragsbindungswillen des potenziellen Kunden, der Bedingung für einen Vertragsschluss ist. Kommt aber kein Vertrag zustande, dann können erst recht keine AGB, die ja ein vorformuliertes Vertragswerk darstellen, Vertragsbestandteil werden. Im Fall der Gewinnspielteilnahme wäre kritisch zu prüfen, ob eine Bedingung, die erhaltenen Daten des Teilnehmers an Dritte weitergeben zu dürfen, und das 12. Siehe dazu z.B. [GOO04]
22
Unsolicited Bulk E-Mail
„Zwangsabonnement“ eines Newsletters nicht überraschende Klauseln sind, mit denen ein Teilnehmer nicht zu rechnen braucht. Die Rechtslage ist hier meiner Ansicht nach jedenfalls neu zu beurteilen und nicht zwangsläufig mit Gewinnspielen, an denen man z.B. durch Ausfüllen einer Postkarte teilnimmt, vergleichbar: Zum einen muss der Absender Postkarten nicht vollständig ausfüllen, was bei Online-Spielen durch entsprechende Programmierung verhindert werden kann, und zum anderen verursacht die postalische Zusendung von Werbung, die bei Offline-Gewinnspielen die übliche Konsequenz ist, anders als E-Mail-Werbung beim Empfänger keine Kosten. Die rechtswissenschaftliche Literatur schweigt sich allerdings zu dieser Frage derzeit noch aus. Auch in der Rechtsprechung findet sich noch kein entsprechendes Urteil.
2.3 Unsolicited Bulk E-Mail Unter UBE versteht man alle unerwünscht eintreffenden Massenmails – unabhängig von ihrem Inhalt und Absender. UCE ist also eine Untermenge von UBE: Jede Spammail ist UBE, aber nicht jede UBE ist Spam. Die massenhaft eintreffenden und überaus lästigen Wurm-Mails, die von infizierten Rechnern mit dem Ziel, die Infektion zu streuen, automatisch versandt werden, sind kein Spam. Bei ihnen handelt es sich ebenso um UBE wie bei mancher lästigen E-Mail aus dem Bekanntenkreis, in der ein Absender Belanglosigkeiten an sein gesamtes Adressbuch versendet, ohne die Blind-Carbon-Copy-Funktion (Blind-CC, BCC) seines E-Mail-Programms zu nutzen. Damit verstößt der Absender nicht nur vollumfänglich gegen die Netiquette13 und handelt sich so schnell den Ruf eines DAU (DAU, dümmster anzunehmender User) ein, sondern er liefert auch gleichzeitig E-Mail-Würmern Futter: Die durchsuchen mittlerweile E-Mails auf infizierten Systemen nach Mailadressen neuer Opfer. Die Unterscheidung zwischen UBE und UCE ist notwendig, da Würmer beim Sammeln von Adressen ihrer Opfer andere Verfahren verwenden. Daher sind gegen Würmer die gängigen Anti-Spam-Verfahren machtlos – effektiver ist der Einsatz eines Virenscanners auf dem Mailserver, der ähnlich wie z.B. 13. Siehe dazu: [FREY02] und [RFC1855]
No Spam!
23
2 – Was ist Spam?
ClamAVs Milter für Sendmail14 Viren und Würmer bereits im SMTP-Dialog abblockt. Zudem sollten Arbeitsplatzrechner durch Firewallsysteme und aktuelle Virenscanner geschützt werden und Anwender im Umgang mit Viren geschult sein. Gerade die Anwenderschulung ist vor dem Hintergrund der zunehmenden Verbreitung von Viren und Würmern mittels Trojaner, die einen Menschen für ihre Ausführung brauchen, eine vielfach unterschätzte Sicherheitsmaßnahme, die großes Potenzial birgt. Die folgenden Maßnahmen zielen einzig auf die Bekämpfung von „echtem“ Spam ab. Gegen UBE, insbesondere das von Würmern verursachte, sind sie machtlos. Aber dagegen existieren ja bereits effektive Mittel.
14. ClamAV ist ein OpenSource-Virenscanner, den es auf http://www.clamav.org gibt, und Sendmail ist der wohl am weitesten verbreitete Mailserver, zu finden unter http://www.sendmail.org. Milter ist ein Kunstwort, das aus „Mail-Filter“ entstanden ist und eine SendmailSchnittstelle zum Filtern von Mails beschreibt. Mehr dazu u.a. in [EGG05d]
24
3
Woher haben Spammer die Mailadressen?
3.1 Freiwillige Eingabe Spammer kennen im Wesentlichen zwei Methoden, um an die E-Mail-Adressen ihrer Opfer zu gelangen: Entweder überzeugen sie ihre potenziellen Opfer, ihre E-Mail-Adresse auf Webseiten, Papierformularen oder telefonisch freiwillig zu verraten, meist unter Vorspiegelung eines Gewinnspiels oder eines freien Zugangs zu meist zwie- bzw. rotlichtigen Seiten. Im Rahmen zweifelhafter AGB, häufig auch Teilnahmebedingungen genannt, holen sie sich vom Opfer sogar noch die Erlaubnis, die so gewonnene E-Mail-Adresse auch an Dritte weitergeben zu dürfen.
3.2 Adressen im Internet automatisch sammeln Die alternative Methode setzt nicht auf Leichtgläubigkeit, sondern auf Suchroboter, und lässt sich damit vom Anwender selbst viel schlechter kontrollieren als die freiwillige Weitergabe der E-Mail-Adresse.
3.2.1
Durchsuchen von Internetseiten
Es ist ohne Probleme und ohne großen Aufwand möglich, aus Internetseiten automatisch E-Mail-Adressen herauszusuchen. Dafür ist (theoretisch) kein besonderes Know-how, sondern lediglich ein leistungsstarker Rechner mit einem breitbandigen Internetzugang notwendig. Die verbleibende Arbeit erledigen Linux-Bordmittel oder einige wenige Zeilen in einer Script-Sprache wie Perl15. Es gibt auch zahlreiche fertige Programme für solche Zwecke, wie z.B. E-Mail Hunter! oder Email Spider. Eine Zeit lang wurden diese Programme sogar für T-Online-Kunden im Download-Bereich von T-Online zur Verfügung gestellt.
15. Hinweise zur Programmierung von Spidern und damit auch Harvestern liefert z.B. [HEM03]
No Spam!
25
3 – Woher haben Spammer die Mailadressen?
Diese Sammelprogramme sind technisch eigentlich primitiv, denn man muss nur einen kleinen Pseudo-Browser schreiben, der Internetseiten abruft und nach allem sucht, was aussieht wie ein Link oder eine E-Mail-Adresse. Links verfolgt das Programm, um möglichst viele Seiten im Internet zu erreichen. Durch gegenseitige Links zwischen Webseiten besteht die Gefahr, dass eine Art Ring entsteht. Das Programm soll daher jede Seite nur genau einmal aufsuchen, um sich nicht in einer Endlosschleife zu verheddern. Besuchte Seiten müssen also protokolliert werden. Die E-Mail-Adressen lassen sich sehr einfach über so genannte regular expressions16 im HTML-Code finden und auslesen. Dabei können natürlich E-Mail-Adressen auf verschiedenen Seiten genannt werden, so dass man einige Doubletten hat. Um diese zu eliminieren, wandelt man sie mit dem Unix-Befehl tr einheitlich in Kleinbuchstaben um, so dass beim anschließenden Sortieren mit dem Programm sort nicht unterschiedliche Groß- und Kleinschreibung Verwirrung stiftet. Jetzt kann uniq Doubletten erkennen und entsorgen. Das Ergebnis dieser Operationen schreibt man in eine Datei, die man dann dem Mail-Programm als Eingabe liefert. Für die Suche muss ein günstiger Einstiegspunkt gewählt werden. Webverzeichnisse wie Yahoo bieten sich an, da hier unzählige Links auf jede Menge Seiten gelistet sind. Damit wird sehr schnell möglichst viel „Internet17“ abgegrast: Die Zahl der gefundenen E-Mail-Adressen lässt sich so maximieren. Um Ihnen einen Eindruck davon zu verschaffen, wie einfach dieses Verfahren ist, gebe ich Ihnen zwei Linux-Befehlszeilen an, die eine solche Suche durchführen können. wget --user-agent="Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)" -r --span-hosts -t1 --ignore-length --reject gif,jpg,jpeg,png,mpg,mpeg,avi,zip,gz,tar,css,js http://www.example.com [RET]
16. Eine Einführung in regular expressions, eine Methode zur Erkennung von bestimmten Mustern in Zeichenketten, findet sich in [EGG05] oder auch [SEL02],[FRI02] oder [STU03]. Das Konzept stammt aus der theoretischen Informatik, die mit regulären Ausdrücken so genannte reguläre Sprachen konstruiert. 17. Ich verwende hier den Begriff „Internet“ und „World Wide Web (www)“ synonym: Das ist zwar technisch nicht korrekt, entspricht aber dem Sprachgebrauch.
26
Adressen im Internet automatisch sammeln grep -rhiE "mailto:" ./ | sed "s/.*mailto:\([A-Z0-9_-]\+\(\.[A-Z0-9_]*\)*@\([A-Z0-9_-]\+\.\)\+[A-Z]\{1,4\}\).*/\1/gi" | tr "[:upper:]" "[:lower:]" | sort | uniq > emailadressen.txt [RET]
Dabei handelt es sich bei der vorgeschlagenen Lösung bewusst noch längst nicht um eine Optimallösung: Zum einen werden alle Internetseiten vollständig auf der Platte zwischengespeichert und erst dieses Ergebnis wird anschließend auf E-Mail-Adressen untersucht. Sie ahnen sicher, dass dies bei der Vielzahl von vorhandenen Seiten einen schier unendlichen Speicherplatzbedarf bedeuten würde. Zum anderen überprüft das hier verwendete Programm wget, ob eine Datei robots.txt existiert, mit der Webseiten-Programmierer solchen automatischen Suchprogrammen den Zugriff auf bestimmte Seitenteile verbieten können18. Allerdings ist dies eine Konvention, die nur von anständigen Entwicklern eingehalten wird, technisch jedoch problemlos zu umgehen ist und auch umgangen wird. So kann beispielsweise wget über die Konfigurationsdatei .wgetrc entsprechend konfiguriert werden, genauere Angaben enthalten die Info-Pages von wget. Die erste Befehlszeile startet also das Programm wget, das sich dabei als Internet Explorer ausgeben soll, um in den Logfiles der Seitenbetreiber keine verdächtigen Eintragungen zu hinterlassen. Die zusätzlichen Parameter bringen wget dazu, ausschließlich HTML-Seiten herunterzuladen und Links auch über unterschiedliche Server zu verfolgen. wget hat den Vorteil, selbst in der Lage zu sein, Links in den Seiten zu extrahieren und zu verfolgen. Somit konnten wir uns hier Entwicklungsarbeit sparen. In der zweiten Befehlszeile werden die gespeicherten Seiten auf dem Rechner nach E-Mail-Adressen durchsucht und diese extrahiert. Dies leistet der Befehl grep in Zusammenarbeit mit sed. grep greift dabei alle Zeilen heraus, in denen die Zeichenfolge „mailto:“ vorkommt. Diese markiert in einem HTML-Link eine E-Mail-Adresse. sed verwendet dann eine regular expression, mit der es aus dem HTML-Link die E-Mail-Adresse extrahiert.
18. Eine genaue Beschreibung des Formats und Beispiele finden sich in [KOS94] und [W3CAPPB]
No Spam!
27
3 – Woher haben Spammer die Mailadressen?
Anschließend werden die E-Mail-Adressen mittels des Hilfsprogramms tr vollständig in Kleinbuchstaben umgewandelt, alphabetisch sortiert (sort) und dann von Doubletten mittels uniq befreit. Das Ergebnis dieser Arbeit wird in die Datei emailadressen.txt geschrieben, die problemlos von jedem anderen Programm genutzt werden kann. Zwar ist die hier vorgestellte Lösung noch weit von einem Optimum entfernt, insbesondere die aufwendige Zwischenspeicherung der Webseiten auf der Platte ist ungünstig. Auch lassen sich unter Umständen E-Mail-Adressen, die nicht in einer Zeile stehen, nicht fehlerfrei extrahieren und auch so genannte Session-Ids würden von wget nicht korrekt erkannt und interpretiert, weshalb noch Endlosschleifen entstehen könnten. Allerdings ist es beeindruckend, dass man ohne eine einzige Zeile programmieren zu können, nur unter Verwendung von Unix-Bordmitteln, schon einen Minimal-Harvester (harvester, engl. „Erntemaschine“) erstellen kann. Der Einsatz von Perl und des LWP-User-Agent führt ähnlich schnell zu Ergebnissen – jedoch lassen sich dann durch eigene Programmierarbeit die Nachteile des einfachen „wget-Harvesters“ beseitigen. Alternativ kann man auch wget für diesen Zweck umprogrammieren, schließlich ist es ein OpenSource-Programm, so dass der Quellcode vorliegt und sich beliebig anpassen lässt. Tatsächlich ist der Einsatz solcher Harvester derzeit das beliebteste Verfahren. Der Aufwand ist bei richtiger Programmierung, die mittlerweile Spammern auch schon abgenommen wird, weil entsprechende Software in großem Umfang im Internet angeboten wird, minimal. Zudem kommen, bei geeigneter Wahl des Startpunkts der Suche, in kürzester Zeit Tausende von E-Mail-Adressen heraus, wie ich durch eigene Tests19 gezeigt habe – und was Sie jederzeit leicht durch Eingabe der Befehlszeilen oben verifizieren können.
3.2.2
Newsgroups und ähnliche Quellen
Beliebt sind ferner das automatische Durchkämmen von Mailinglisten-Archiven, was häufig auf eine automatische Suche über Internetseiten hinausläuft, und das Durchsuchen von Newsgroups, den schwarzen Brettern des Internets.
19. Siehe dazu: [CDT03], [EGG04], [EGG04a], [EGG05a], [EGG05b] und [EGG05c]
28
Adressen im Internet automatisch sammeln
Vorteil ist, dass hier im Allgemeinen jeder Newsgroup-Post einen Treffer liefert und häufig die Adressen valide sind und gelesen werden. Nachteilig dabei ist, dass zumindest für die Suche in Newsgroups etwas mehr Aufwand notwendig ist, den die meisten Spammer anscheinend scheuen. Allerdings wird dieser Nachteil durch zahlreiche Webseiten, die Newsgroups in das WWW spiegeln und somit in Form von Webseiten anbieten, schnell kompensiert. Der bekannteste Dienst für diesen Zweck dürfte Google Groups sein, der aus oben genanntem Grund mittlerweile E-Mail-Adressen in seinem News-Archiv verkürzt und damit verfälscht darstellt. Auch die Whois-Einträge zu Domainnamen werden von Spammern genutzt: Dort muss eine gültige E-Mail-Adresse eingetragen sein, die automatisch ausgelesen werden kann. In einem Beitrag in der einschlägigen Newsgroup de.admin.net-abuse.mail berichtete Can Filip Sakrak im Dezember 2004, dass auch PGP-Key-Server20 nach E-Mail-Adressen abgesucht würden. Allerdings sind diese beiden Methoden derzeit noch eher selten und auch kaum lohnend, da zahlreiche Anwender dort nicht gelistet sind.
3.2.3
Erraten von Adressen
E-Mail-Adressen lassen sich auch erraten. So gibt es in den Requests for Comments (RFC), die eine Art Internetnorm darstellen, eine Empfehlung, welche Adressen unter jeder Domain vorhanden sein sollten. Dies sind, neben einigen anderen, info, webmaster, hostmaster und postmaster, also Adressen, denen bestimmte Funktionen in Zusammenhang mit Servern zugeordnet sind. Hat man nun eine Liste von Domains, so kann man auf gut Glück versuchen, an diese Adressen unter den jeweiligen Domains seinen Werbemüll zu versenden, und hat, sofern die Mailserver ordentlich konfiguriert sind, bereits eine hohe Trefferquote. Tatsächlich erhalte ich regelmäßig an solche Accounts – beliebt ist vor allem webmaster und postmaster – Spam. Allerdings wird diese Methode zunehmend unbeliebt, da diese Adressen häufig fortgeschrittenen Anwendern oder gar Administratoren zugeordnet sind, die sich massiv gegen Spam wehren und damit zu starke Gegner darstellen. 20. PGP dient zur asymmetrischen Verschlüsselung von E-Mails. Die öffentlichen Schlüssel werden auf so genannten Key-Servern bereitgestellt. Siehe auch: [EGG04e] oder z.B. [SCHWE02]
No Spam!
29
3 – Woher haben Spammer die Mailadressen?
Ein anderes Verfahren, das sehr lange z.B. bei web.de funktionierte, war das Erraten von E-Mail-Adressen. Da web.de einer der größten E-Mail-Anbieter in Deutschland ist und die meisten Anwender Adressen der Form „vorname.nachname@“ bzw. Variationen davon bevorzugen, lassen sich mit Hilfe eines Telefonbuchs schon eine Menge Adressen raten. web.de unterstützte diese Methode versehentlich längere Zeit, da es beim Empfang einer E-Mail schon beim Lesen des SMTP-Envelope21 überprüfte, ob der Empfänger der Mail existiert, und eine entsprechende Positiv- oder Fehlermeldung generierte. Dadurch ließen sich Adressen sehr schnell verifizieren. Mittlerweile macht auch web.de das, was zahlreiche Mailserver schon lange vorher taten: Sie nehmen die Mail zunächst anstandslos an, um später eine Fehlermeldung zu generieren. Dieses Verfahren ist deshalb günstiger, weil die Verifikation von Adressen so wesentlich mehr Aufwand bedeutet und zudem nicht nur den Mail-Server auf Empfängerseite belastet, sondern auch den des Absenders, der ja die eingehenden Fehlermeldungsmails verarbeiten muss – sofern die Absenderadresse existiert und nicht gefälscht ist. Sonst entstehen Schleifen von Fehlermeldungsmails oder es werden unbeteiligte Dritte mit Fehlermeldungen regelrecht bombardiert. Analog war früher auch das Erraten von E-Mail-Adressen bei AOL sehr einfach: Es gab eine maximale Länge für den so genannten local part, also die Zeichenfolge, die links vom @ steht. Aufgrund des begrenzten Zeichenvorrats, der für den local part in Frage kommt, lassen sich allein durch Ausprobieren ausreichend viele gültige Adressen finden. Diesen Aufwand zu betreiben, waren Spammer auch nicht immer gewillt – so kaufte ein Spammer einem mittlerweile ehemaligen AOL-Mitarbeiter für 50.000 US$ einfach ein Kundenverzeichnis mit E-Mail-Adressen ab. Ebenso war es eine Zeit lang möglich, T-Online-Adressen zu erraten: Jeder Nutzer hatte eine aus seiner Telefonnummer inklusive Vorwahl und einer zusätzlichen eindeutigen Zahlenfolge bestehende E-Mail-Adresse. Die Telefonnummern lassen sich wiederum automatisch aus dem Telefonbuch generieren – das gibt es zweckmäßiger Weise auf CD-ROM oder online, jeweils mit der Möglichkeit, die Zielgruppe sogar räumlich einzugrenzen.
21. Ein virtueller Briefumschlag einer E-Mail, den Mailserver generieren und auch wieder entfernen. In Ihrem Mailprogramm bekommen Sie ihn nie zu Gesicht.
30
Adressen im Internet automatisch sammeln
Aus diesen Darstellung lässt sich folgern, dass die Wahl eines kleineren Providers unter Umständen günstiger sein kann. Zudem sollte die E-Mail-Adresse nicht allzu leicht zu erraten sein – was die Nutzbarkeit für den Besitzer der Adresse wiederum einschränkt: Eine beliebige Zeichenfolge mit Sonderzeichen lässt sich nun mal schwer kommunizieren und an Dritte weitergeben.
3.2.4
Adresshandel
Ein weiteres Standbein für Spammer, vor allem für die, die nicht einmal in der Lage sind, die eben geschilderten einfachen Such- und Ratemethoden zu nutzen, liefert der Adresshandel: Dritte generieren nach den oben beschriebenen Verfahren E-Mail-Adressen und verkaufen sie dann an neue Spammer. Häufig werden diese Adresslisten wiederum durch Spam beworben – also Spam für Spam, eine Art Meta-Spam. Ein Beispiel für so eine Meta-Spam-Mail zeigt Abbildung 3.1.
Abb. 3.1: Meta-Spam: Diese Mail wirbt Spammer-Nachwuchs
No Spam!
31
3 – Woher haben Spammer die Mailadressen?
Teilweise bleiben solche Adresslisten mehrere Jahre im „Handel“: Dadurch können plötzlich neu eingerichtete, aber noch nicht publizierte E-Mail-Adressen Opfer von Spam werden, nur weil diese Adresse bereits vor einiger Zeit von jemand anderem genutzt wurde. Solche Listen findet man immer wieder auch z.B. bei eBay im Angebot. Die Preise beginnen bei einigen wenigen Euro für einige Millionen Adressen.
32
4
Grundlegende Vorsichtsmaßnahmen
Ziel ist das Entwickeln von Methoden, mit deren Hilfe sich Spam möglichst frühzeitig vermeiden lässt. Bereits einige einfache Grundregeln können dazu einen wertvollen Beitrag leisten.
4.1 Umgang mit Mailadressen Eine hohe Spam-Vermeidungsquote erreicht man bereits, indem man kritisch überprüft, wem man wann seine Mailadresse mitteilt: So ist es in aller Regel nicht empfehlenswert, auf Webseiten z.B. in Gästebüchern oder Foren die eigene Mailadresse anzugeben. Genauso wenig sollte die Mailadresse auf Postkarten für Gewinnspiele oder auf Messeständen eingetragen werden. Häufig stellt die anschließend erhaltene Werbung zwar subjektiv Spam dar, objektiv juristisch gesehen ist sie jedoch mit Einwilligung des Empfängers zugesandt und damit eben gerade kein Spam mehr. Auch mit den Mailadressen Dritter sollte sorgfältig umgegangen werden: EMails an mehrere Personen sollten – außer die Empfänger kennen sich alle gut untereinander – nicht über das To:-Feld, sondern über das Bcc:-Feld versandt werden. Bcc steht für „Blind Carbon Copy“. Die im Bcc:-Feld angegebenen Empfänger erhalten die Nachricht, jedoch erfahren die anderen Adressaten nichts von diesen Empfängern. Die Adressen sind also für alle anderen unsichtbar. Das hat zwei Vorteile: Zum einen können Würmer, die vermehrt zum SpamVersand eingesetzt werden, diese Adressen auch nicht erkennen – sie finden also weniger Opfer. Zum anderen kann der Empfänger nicht aus Versehen eine Antwort an alle senden. Das wäre dann zwar formal kein Spam, ist aber fast genauso lästig. Als Nebeneffekt können Dritte nicht „versehentlich“ eine Adresse an Spammer weitergeben: Sie kennen sie ja gar nicht.
No Spam!
33
4 – Grundlegende Vorsichtsmaßnahmen
4.2 Wegwerfadressen Sollten Sie tatsächlich einmal an einem Gewinnspiel teilnehmen wollen oder es aus sonstigem Grund für nötig halten, eine E-Mail-Adresse anzugeben, empfiehlt sich der Einsatz von Wegwerfadressen. Es gibt Anbieter, bei denen man E-Mail-Adressen generieren kann, die nur für eine bestimmte Zeit gültig sind. Das ist vorteilhaft, wenn Sie sicher wissen, wann die Antwort eintreffen wird. Einen solchen Dienst bietet Spamhole unter http://www.spamhole.com an. Jedoch muss man sich dort für jede neu zu erzeugende E-Mail-Adresse erneut einloggen, was die Nutzung etwas umständlich macht. Die Alternative sind E-Mail-Adressen, die bei Bedarf vom Mailserver des Providers automatisch erzeugt werden: MyTrashMail (http://www.mytrashmail.com) und dodgeit (http://www.dodgeit.com) erlauben es, eine E-Mail an einen beliebigen Local-Part22 unter den jeweiligen Domains zu schicken. Die empfangenen E-Mails können dann über eine Weboberfläche abgerufen werden. Dazu muss kein Passwort angegeben werden, auch muss diese E-MailAdresse nicht vorher auf der Webseite eingetragen werden. Zum „Login“ reicht es aus, den richtigen Local-Part anzugeben. Das ermöglicht es auch Dritten, E-Mails zu lesen, indem sie den Local-Part erraten. Beim Testen der verschiedenen Angebote konnte ich so mit „someone“ als LocalPart interessante (?) Nachrichten lesen. Immerhin können E-Mails bei MyTrashMail gelöscht werden – bei dodgeit nicht, was im Allgemeinen nicht tolerabel sein dürfte. Zudem hat während meiner Tests dodgeit einige E-Mails nicht angenommen, was gegen eine praktische Nutzung spricht. MyTrashMail bietet zudem die Möglichkeit, Antwortmails direkt über die Weboberfläche zu senden. Damit bietet MyTrashMail zusammen mit einem Anonymisierdienst wie z.B. dem Java Anonymous Proxy der TU-Dresden (http://anon.inf.tu-dresden.de) eine einfache Möglichkeit, anonym zu mailen. Eine andere Lösung, zeitlich unbegrenzt gültige, aber mengenmäßig limitierbare Accounts zu erzeugen, bietet Spamgourmet (http://www.spamgourmet.com). Dabei werden die von Spamgourmet empfangenen Nachrichten für
22. Der Teil der Mailadresse vor dem „@“-Symbol
34
Wegwerfadressen
den Absender unsichtbar und vor allem unbemerkt an die eigene E-MailAdresse weitergeleitet. In diesem Zusammenhang kann man für jede Spamgourmet-E-Mail-Adresse unter dem eigenen Benutzernamen einstellen, wie viele E-Mails weitergeleitet werden sollen. Treffen danach noch E-Mails ein, werden sie automatisch von Spamgourmet gelöscht. Das Praktische an diesem Dienst ist, dass Spamgourmet-Adressen jederzeit und ohne die Webseite des Dienstes besuchen zu müssen, generiert werden können. Damit ist die Funktionalität vergleichbar mit der Lösung von MyTrashMail, sie bietet jedoch den Vorteil, E-Mails per SMTP weiter an ein definiertes Postfach zuzustellen, und ist damit für Dritte nicht so einfach einzusehen. In einer erweiterten Konfiguration kann man sogar einrichten, dass Antworten, die vom eigenen, regulären Mailaccount aus gesendet werden, getarnt werden und als Absender die für diese Kommunikation gewählte SpamgourmetAdresse verwendet wird. Allerdings übernimmt Spamgourmet keine Anonymisierung – aus dem Header einer Antwortmail ist der Absender unter Umständen noch ersichtlich. Dieses Problem lässt sich aber mit einem E-MailAnonymisierdienst23 bei Bedarf beheben. Die Weboberfläche von Spamgourmet bietet zusätzliche Optionen an. So ist es beispielsweise möglich, Absender einzurichten, die bei der Zählung der E-Mail-Anzahl nicht berücksichtigt werden. Außerdem lässt sich nachträglich die Zahl der zulässigen Mails verändern. Zusätzliche Optionen ermöglichen es auch paranoiden Nutzern, mit diesem Dienst glücklich zu werden: So kann man das Muster der E-Mail-Adressen beeinflussen, ein Raten durch einen Spammer wird somit unmöglich gemacht oder deutlich erschwert. Im Vergleich zu dodgeit und MyTrashMail bietet Spamgourmet den Vorteil, die E-Mails für Dritte nicht so einfach zugänglich zu machen. Außerdem lassen sich bei Spamgourmet die benötigten Adressen on-the-fly generieren, die empfangenen E-Mails werden an das reguläre Postfach weitergeleitet. Ein Besuch auf einer Webseite entfällt im Gegensatz zu Spamhole.
23. Diese Dienste nennt man anonymous remailer und lassen sich, sucht man nach diesem Begriff bei Google, in großer Menge finden. Siehe dazu auch: [EGG05h]
No Spam!
35
4 – Grundlegende Vorsichtsmaßnahmen
4.3 Newsletter und Ähnliches Spamgourmet kann auch für Newsletter eingesetzt werden, indem bestimmte Absender auf eine White-List gesetzt werden und somit von der Zählung ausgenommen sind. Allgemein sollten für Newsletter-Abos oder Bestellungen bei Unternehmen besondere, eigene Mailadressen verwendet werden. Dadurch lässt sich die private Post von solchen Nachrichten trennen und sehr einfach, ohne den Bekanntenkreis mit einer neuen Adresse belästigen zu müssen, die für Newsletter eingesetzte Adresse deaktivieren. Häufig wird vorgeschlagen – sofern man über einen eigenen Mailserver verfügt –, für jedes Unternehmen eine eigene Adresse zu verwenden. Damit ließen sich Weiterverkäufer von Adressen leicht identifizieren und man kann die Adresse bei Missbrauch individuell sperren. Geht man davon aus, dass wesentlich häufiger Adressen neu angelegt werden, als welche blockiert werden müssen, so lässt sich diese Lösung nur sinnvoll mit einem Mailserver realisieren, der über eine so genannte Catch-All-Funktion verfügt. Dabei wird zunächst geprüft, ob die Empfängeradresse eigens definiert wurde. Ist das nicht der Fall, wird sie an eine definierte Adresse weitergeleitet. In sendmail24 lässt sich das in der virtusertable leicht einstellen. So leitet @mail.example.com
%
[email protected]
alle Mails, die unter der Domain mail.example.com eingehen, mit unverändertem Local-Part an die Domain example.com weiter. Aus
[email protected] wird damit
[email protected]. Einen „wahren“ Catch-All erzeugt die folgende Zeile: @example.com
catchall
Damit werden alle Mails, die an eine beliebige, nicht anderweitig in der virtusertable definierte Adresse unter der Domain example.com gehen, an den lokalen Benutzer „catchall“ weitergeleitet.
24. Ausführlichere Informationen zu Sendmail und dessen Konfiguration liefert [COS97]
36
Keinesfalls: gefälschte Absenderadressen
Mit dieser Konfiguration lassen sich neue E-Mail-Adressen bei Bedarf wie bei Spamgourmet schnell anlegen, insbesondere ist eine Bearbeitung der virtusertable nicht notwendig. Allerdings muss zum Blockieren von Adressen die virtusertable bearbeitet werden:
[email protected]
error:nouser User unkown
Dadurch werden E-Mails an die Adresse
[email protected] schon im SMTP-Dialog mit der Fehlermeldung „User unkown“ und dem entsprechenden SMTP-Fehlercode geblockt. Damit werden sie gar nicht mehr angenommen. Ähnliche Konfigurationsmöglichkeiten bietet auch das für seine Sicherheit und Stabilität bekannte Mailserver-Programm qmail, erhältlich unter http:// www.qmail.org. Auf der qmail-Webseite findet sich eine an sich ausreichende Dokumentation. Wer gedruckte Unterlagen bevorzugt, sollte einen Blick in [SIL01] oder [MAT97], [BER03] und [BER03a] werfen. Analog gilt das für den sehr bekannten Mailtransferagenten Postfix, für den [HEIN04] wohl das Standardwerk schlechthin sein dürfte. Der Einsatz von Wegwerfadressen hilft somit, dem Adresshandel vorzubeugen und Adresshändler zu identifizieren. Ob jedoch die Aussage, man habe die Adresse
[email protected] ausschließlich an das Unternehmen XY kommuniziert und somit sei dieses Unternehmen für den Weiterverkauf der Adresse verantwortlich, vor Gericht einen ausreichenden Beweis darstellt, steht auf einem anderen Blatt. Die einfache Sperrmöglichkeit und die Option, „Gute“ von „Bösen“ zumindest für den eigenen Bedarf zu trennen, sind jedenfalls Pluspunkte dieses Verfahrens. Der Einsatz externer Anbieter wie Spamgourmet verringert den eigenen Konfigurationsaufwand und spart eigenen Netzverkehr.
4.4 Keinesfalls: gefälschte Absenderadressen Für die Verwendung in Newsgroups oder in den immer beliebter werdenden Internetdiskussionsforen wird häufig vorgeschlagen, gefälschte Absenderadressen zu verwenden. Zwar verhindert das nachhaltig Spam beim Verwender der Adresse, es kann aber leicht einen unbeteiligten Dritten zum Opfer machen. Entweder, weil dieser zufällig die (vermeintlich nicht existente) Adresse
No Spam!
37
4 – Grundlegende Vorsichtsmaßnahmen
tatsächlich besitzt, oder aber, weil er als gefälschter Absender für den Spam herhalten musste und daher mit Fehlermeldungen überschüttet wird. Gerade das Problem, eine Adresse zu besitzen, von der keiner ihre Existenz annimmt, kenne ich aus eigener Erfahrung: Ich hatte jahrelang die E-Mail-Adresse
[email protected] und
[email protected]. Iname ist ein Webmail-Anbieter, der ähnlich wie GMX oder web.de funktioniert und vor allem auf dem nordamerikanischen Kontinent entsprechend verbreitet ist. ACME kennen sicherlich alle Tom & Jerry-Freunde unter Ihnen – und auch viele andere: In fast allen Zeichentrickserien steht ACME zur Vermeidung von Schleichwerbung als Firmenname auf verschiedensten Produkten. Die meisten behaupten, es sei ein Akronym für „A Company that Manufactures Everything“. Die Adresse
[email protected] riecht also auch nach Fälschung. Leider stellten beide Anbieter ihre Dienste in der ursprünglichen Form ein, so dass Sie mich nicht mehr unter diesen schönen Adressen erreichen können. Im worst case könnten, wenn die gefälschte Absenderadresse auch nicht existiert, Schleifen zwischen den zwei Mailservern, die gegenseitig immer wieder versuchen, eine (Fehlermeldungs-)Mail zuzustellen, entstehen, was unnötige Netzlast zur Folge hat. Wegen dieser unschönen Nebeneffekte ist der Einsatz von gefälschten Adressen nicht zu empfehlen – der gleiche Effekt lässt sich über Wegwerfadressen genauso erreichen. Alternativ sind lediglich noch nach /dev/null „geerdete“ Adressen sinnvoll. Dabei wird automatisch jede an diese Adresse eingehende Mail in den unendlich großen virtuellen Papierkorb /dev/null weitergeleitet und somit – ohne hässliche Fehlermeldungen – entsorgt.
4.5 Webtelefonbücher Im Internet gibt es diverse „E-Mail-Telefonbücher“, „Personensuchdienste“ und Ähnliches. Zwar können diese Dienste bei der Suche nach einer Person durchaus nützlich sein, aber sie stellen gleichzeitig eine Fundgrube für Spammer dar. Daher ist es nicht empfehlenswert, sich auf einer solchen Seite einzutragen. Möchte man wirklich unter seinem Namen im Internet auffindbar sein, scheint es zweckmäßiger, eine im Sinne von Suchmaschinen sinnvoll gestaltete Ho-
38
Spammer beim Sammeln identifizieren
mepage zu betreiben, über die man für Menschen, nicht jedoch für Spammer auffindbar ist.
4.6 Spammer beim Sammeln identifizieren Da Spam fast ausschließlich aus dem Ausland versandt wird, aber häufig genug inländische, dubiose Unternehmen bewirbt, liegt es aus präventiver Sicht nahe, den inländischen Hintermännern das Handwerk zu legen. Jedoch müssen diese dazu zunächst identifiziert werden können. Das lässt sich sehr einfach über die von ihnen verwendeten Harvester realisieren: Präsentiert man jedem Besucher einer Webseite eine eigens für diesen Besucher generierte E-Mail-Adresse, dann sammelt jeder Harvester auch diese individuelle Adresse. Es muss dabei sichergestellt sein, dass eine solche E-Mail-Adresse eindeutig ist und eineindeutig der IP-Adresse des Harvesters und seinem exakten Besuchszeitpunkt zugeordnet werden kann. Denn dann lässt sich der Rechner, von dem aus gesammelt wurde, zweifelsfrei identifizieren. Dabei besteht im Zweifel gegen den Provider des Spammers nach §13a Unterlassungsklagengesetz (UklaG) ein Herausgabeanspruch bezüglich der Daten des Spammers, sollte eine einfache Whois-Anfrage nicht bereits die notwendigen Informationen liefern. Damit kann gegen die deutschen Hintermänner vorgegangen werden und diese gerichtlich auf Unterlassung in Anspruch genommen werden, wodurch sich die Zahl der potenziellen Spammer um einen reduziert. [REHWWW] stellt die Idee und die benötigte Software vor. [REHWWW] berichtet auch von einem konkreten Fall, bei dem deutsche Hintermänner von Spam ausgemacht werden konnten. Leider wurde in diesem Fall bislang noch keine Klage erhoben, so dass keine Gerichtsentscheidung dazu vorliegt.
4.7 SMTP-Teergruben [REHWWWa] und [DON04a] möchten Spammern zusätzlich gezielt präparierte Mailadressen anbieten, für die ein besonders konfigurierter, sehr langsamer Mailserver zuständig ist. Durch die besonders langsamen Antworten des Mailservers soll der Mailversand des Spammers insgesamt ausgebremst werden.
No Spam!
39
4 – Grundlegende Vorsichtsmaßnahmen
Ich halte das Verfahren allerdings nur für eingeschränkt wirkungsvoll, da es einer sehr weiten Verbreitung bedarf, um seine Wirkung entfalten zu können. Das liegt daran, dass ein Spammer üblicherweise zum Mailserver des Empfängers eine Verbindung aufbaut, über die er beliebig viele Mails für diesen Mailserver einliefern kann. Hat also ein Spammer z.B. 100 Mailadressen unter einer Domain eingesammelt, dann kann er Mails an alle diese Mailadressen in einer einzigen Verbindung mit dem Mailserver einliefern. Da die Bremsfunktion nur die bestehende Verbindung betrifft, wird der Versand an andere Mailserver nicht behindert, denn der erfolgt typisch parallel: Jeder Rechner ist theoretisch in der Lage, ca. 64.000 parallele Verbindungen zu verschiedenen Servern zu unterhalten. Damit müsste ein großer Anteil aller Mailserver mit solchen Teergruben ausgerüstet werden, um wirklich effektiven Schaden bei Spammern hervorzurufen. Andererseits liegen mir aber auch E-Mails von Anwendern solcher Verfahren vor, in denen sie für deren Einsatz von Spammern wüst beschimpft und bedroht wurden. Technisch gesehen wird bei solchen Teergruben der SMTP-Dialog künstlich maximal verzögert, um den ausliefernden Mailserver, der vermutlich einem Spammer zuzuordnen ist, auszubremsen. Sind ausreichend viele solcher Teergruben im Einsatz, hofft man, damit den Spammer tatsächlich lahm zu legen und ihn so an der Aussendung weiteren Werbemülls zu hindern. Die Blockade entsteht, weil die Zahl der maximal gleichzeitig bestehenden Verbindungen zum Versand von E-Mails nach oben limitiert ist. Durch die massive Verzögerung der Kommunikation zwischen Client und Server werden diese Verbindungen besonders lange offen gehalten. In je mehr Teergruben der Spammer fällt, desto mehr Verbindungen werden so blockiert. Dadurch sinkt die Versandgeschwindigkeit des Spammers erheblich. In der Theorie kann man durch solche Teergruben Server von Spammern völlig ausbremsen und damit verhindern, dass sie Spam ausliefern – oder zumindest die Auslieferung so massiv verzögern, dass sie für den Spammer unerträglich lange dauert. In der Praxis hat das Verfahren jedoch einen wesentlichen Nachteil: Eigentlich jeder SMTP-Client ist in der Lage, einem SMTP-Server in einer Verbindung alle Mails für diesen Server zu übermitteln. Er muss dazu nicht mehrere parallele Verbindungen zu diesem Server aufbauen. Da die Teergrube nur genau eine Verbindung lahm legt, der Spammer aber potenziell mehrere tausend Ver-
40
Rechtsweg
bindungen parallel halten kann, ist der Effekt in der Praxis im Allgemeinen sehr klein, es sei denn, der Spammer tappt durch Zufall auf einen Schlag in zahlreiche Teergruben. Da die Verbreitung solcher Teergruben eher gering sein dürfte, sinkt die Wahrscheinlichkeit für den gewünschten Blockadeeffekt leider deutlich. Zudem muss der Betreiber einer Teergrube sicherstellen, dass er nicht versehentlich mit seinem System „anständige“ Server blockiert. Das wird in aller Regel dadurch erreicht, dass die Teergruben nur für bestimmte (Sub-)Domains eingerichtet werden, für die die E-Mail-Adressen ausschließlich auf speziellen Harvester-optimierten Webseiten kommuniziert werden. Damit ist der Aufwand für den Betrieb einer Teergrube relativ hoch, was sich wiederum negativ auf deren Verbreitung auswirkt – und damit auf den Blockadeeffekt.
4.8 Rechtsweg Die langfristig wirkungsvollste, präventive Anti-Spam-Maßnahme dürfte jedoch immer noch der Rechtsweg sein: Ist ein Spammer erst mit Ordnungsgeldern von bis zu 250.000 € oder bis zu sechs Monaten Ordnungshaft bedroht und drohen ihm zusätzlich hohe Gerichtskosten, dann schwindet der Vorteil des Spamming, mit minimalen Kosten eine große Adressatengruppe zu erreichen. Schließlich ist Spamming für den Absender wirtschaftlich interessant: Spammer können immer noch darauf vertrauen, dass ein kleiner Bruchteil der Empfänger tatsächlich die beworbene Dienstleistung gegen Entgelt erwirbt oder erwerben will, denn wer weiß schon, ob jemand, der seine per Spam beworbenen Waren über gehackte Server verkauft und damit schon erhebliche kriminelle Energie beweist, nicht zufällig auch noch die Lieferung vergisst. Solange die Kosten für den Versand des Spam geringer sind als der zu erwartende Gewinn, rechnet sich diese Werbeform. Durch Ordnungsgelder und -haft sowie Gerichtskosten sinkt die Gewinnspanne. Einige Autoren25 sehen zusätzlich bereits nach geltendem Recht auch eine Strafbarkeit des Spamming an sich – unabhängig von eventuellen Straftaten
25. So allen voran die Dissertation [FRA04a], zusammengefasst in [FRA04].
No Spam!
41
4 – Grundlegende Vorsichtsmaßnahmen
oder Ordnungswidrigkeiten z.B. wegen versuchten Betrugs oder Verstoß gegen das Arznei- und Betäubungsmittelrecht, die der Spammer durch sein Angebot verwirklicht. Das erhöht das „unternehmerische“ Risiko nochmals – zumindest für in Deutschland ansässige Spammer. Eine aktuelle Gesetzesinitiative26 möchte im Teledienstegesetz (TDG) das Fälschen von Header-Daten in E-Mails, das Spammer routinemäßig machen, um ihre Identität zu verschleiern, unter Strafe stellen. Kritiker befürchten jedoch, dass dadurch Spam mit korrekten Header-Daten indirekt für zulässig erklärt wird, und verweisen auf die Strafbarkeit der Verfälschung beweiserheblicher Daten, die das Fälschen von Header-Daten bereits unter Strafe stellt. In die wirtschaftliche Richtung gehen zwar auch Vorschläge, den E-Mail-Versand selbst kostenpflichtig zu machen. Dies würde allerdings zum einen den großen Vorteil der E-Mail-Kommunikation zunichte machen und zum anderen sind diese Vorschläge durch die weit verteilte Infrastruktur des Internets praktisch nicht realisierbar. Insbesondere, wenn man bedenkt, dass trotz „Ächtung“ von so genannten Open Relays immer noch zahlreiche27 als Open Relay konfigurierte Mailserver in Betrieb sind. Zudem ist die Zahlungsbereitschaft im Internet nicht sonderlich groß, so dass hier zusätzliche Widerstände bei der Einführung zu befürchten sind. Schon die von zahlreichen erfahrenen Net-Citizens befürwortete Abschaffung von Open Relays hat sich trotz des geringen zusätzlichen Konfigurationsaufwands noch nicht weltweit durchgesetzt.
26. Stand: 03/2005 27. Hinweise über deren Menge liefern die Open Relay Black Lists, z.B. http://www.ordb.org.
42
5
E-Mail-Adressen von Webseiten verbannen
Homepages lassen sich grob einteilen in „geschäftliche“ und in private Seiten. Zu Ersteren zählen alle Seiten, die in irgendeiner Hinsicht das Ziel haben, Einnahmen zu generieren: sei es als Informationsquelle über Produkte und die daraus resultierenden Einkäufe, sei es durch direkten Verkauf von der Homepage, durch Bannerwerbung oder auch nur durch Links auf ein provisionsorientiertes Buch-Partnerprogramm, wie z.B. bei Amazon oder Libri. Wobei im Fall des provisionsorientierten Partnerprogramms in der rechtswissenschaftlichen Diskussion die Gewerbsmäßigkeit umstritten ist. Eindeutig private Seiten verfolgen keine solche Ziele, sondern bestehen im Endeffekt „nur“ zum Spaß und Zeitvertreib des Seitenbetreibers. Für gewerbsmäßig betriebene Internetseiten schreibt §6 Nr. 2 TDG vor, dass auf der Seite „Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit“ dem Anbieter „ermöglichen, einschließlich der Adresse der elektronischen Post“ enthalten sein müssen. Dabei ist der Begriff der Gewerbsmäßigkeit sehr unscharf, da er im Gesetz nicht definiert ist, was kurz nach Einführung des Gesetzes zu Abmahnwellen wegen fehlerhaften oder nicht vorhandenen „Impressen“ führte. Doch auch private Anbieter von Homepages sehen ihre Seiten nur selten als reinen Selbstzweck, sondern wollen in aller Regel auch Kontaktmöglichkeiten angeben, um mit den Besuchern der Seite in Diskussion treten zu können. In allen Fällen ist es daher praktisch notwendig und sinnvoll, auf der Homepage eine Möglichkeit zur „schnellen, elektronischen Kontaktaufnahme“ vorzusehen. Häufig wird darunter eine E-Mail-Adresse verstanden. Einige wenige Betreiber von Webseiten nennen statt einer E-Mail-Adresse eine Handynummer und argumentieren, man würde darüber per SMS auch schnell und elektronisch kommunizieren können. Ob das tatsächlich so zu sehen ist, ist bislang von der Rechtsprechung noch nicht entschieden worden. Stellt man sich auf den Standpunkt, dass eine schnelle elektronische Kommunikation per E-Mail erfolgen kann, dann erfolgt sie sicherlich auch per SMS. Doch beide Kommunikationswege stellen de facto keinerlei Zustellzeiten si-
No Spam!
43
5 – E-Mail-Adressen von Webseiten verbannen
cher. Insbesondere ergeben sich aus einer E-Mail-Adresse auch keine Antwortzeiten. Schnelligkeit ist also bei E-Mail sicher nicht gewährleistet. Sieht man aber den Begriff der Schnelligkeit eher weit, wie es die Interpretation „E-Mail“ suggeriert, dann müsste sich auch der Begriff „elektronisch“ weit auslegen lassen. Damit wäre auch eine Telefonnummer eine Möglichkeit der schnellen, elektronischen Kontaktaufnahme. Zudem stellt das Telefon – anders als die E-Mail – die zeitlich unmittelbare Kommunikation eher sicher, sofern kein Anrufbeantworter oder Sprachcomputer den Anruf entgegennimmt. Tatsächlich wird von vielen Autoren sogar – unter anderem in Hinblick auf die Entstehung des Gesetzes – angenommen, dass mit der Möglichkeit der schnellen, elektronischen Kontaktaufnahme mindestens eine Telefonnummer gemeint sei und eben keine E-Mail-Adresse. Diese Auffassung stützt beispielsweise [GRAV03] und folgert das vor allem aus der Bundestagsdrucksache 14/6098, die das Telefon explizit als Mittel der schnellen elektronischen Kontaktaufnahme nennt. Die Aufforderung jedoch, eine Adresse der elektronischen Post anzugeben, ist (fast) eindeutig: Damit kann der Gesetzgeber eigentlich nur eine E-MailAdresse gemeint haben, wenn auch die Übersetzung in die Gerichtssprache Deutsch eher krampfhaft wirkt. Somit kommt der gewerbsmäßige Homepage-Betreiber um die Angabe einer E-Mail-Adresse wohl nicht herum, die gelegentlich praktizierte Angabe einer Handynummer und der Verweis auf SMS erscheinen auf den ersten Blick ungeeignet. Andererseits könnte man auch eine Faxnummer als eine Adresse der elektronischen Post ansehen: Das Telefax überträgt Schriftstücke auf elektronischem Weg und ermöglicht damit einen elektronischen Postversand. Die Faxnummer ist dabei zur Adressierung notwendig und somit eine Adresse der elektronischen Post. Mit gleicher Argumentation wäre dann auch die SMS elektronische Post. Auch die URL eines Kontaktformulars könnte die Adresse der elektronischen Post darstellen, schließlich lassen sich darüber unmittelbar E-Mails, die eindeutig zur elektronischen Post zu zählen sind, versenden. Allerdings ist auch über diese Spitzfindigkeit bislang von den Gerichten noch nicht entschieden worden. Will man also auf der sicheren Seite sein und poten-
44
Adressen fälschen
ziell teuren Rechtsstreitigkeiten aus dem Weg gehen, bleibt einem nicht viel anderes übrig, als eine E-Mail-Adresse im „Impressum“ zu nennen. Zum Glück fordert das Gesetz nur die „Angabe“ der Adresse. Eine Verlinkung derart, dass die E-Mail-Adresse in ein E-Mail-Programm übernommen wird, ist noch nicht notwendig, was auch in Hinblick auf die folgenden Lösungsvorschläge günstig ist: Viele von ihnen würden nicht mehr funktionieren, müsste die Adresse zwangsweise verlinkt werden. Dabei zeigt sich wieder ein interessanter Denkansatz der Gesetzgeber: Wenn das Sammeln von Adressen verboten ist und auch der Versand von Spam nicht erlaubt ist, dann kann beides nicht stattfinden. Das ähnelt Christian Morgensterns Palmström in „Die unmögliche Tatsache“ ([MOR04]), der feststellt, dass „nicht sein kann, was nicht sein darf“.
5.1 Adressen fälschen Um der Pflicht oder dem Wunsch nach Angabe einer E-Mail-Adresse nachzukommen, ohne jedoch bespammt zu werden, wird häufig zur Irreführung der Adressjäger eine verfälschte E-Mail-Adresse angegeben: Dabei wird die E-Mail-Adresse mit Zusätzen nach dem Muster „REMOVE_TO_MAIL_ME“ versehen. Nicht immer jedoch sind diese Zusätze eindeutig und zweifelsfrei zu erkennen oder zu entfernen. Dann besteht die Gefahr, dass eine falsche E-MailAdresse generiert wird. Aber selbst, wenn die Zusätze erkennbar sind, kommt es immer wieder vor, dass versehentlich zuerst an die verfälschte Adresse gemailt wird. Die daraufhin zurückkommende Fehlermeldung, so die Verfechter dieser Methode, würde dem Absender schon zu erkennen geben, wie die Adresse korrigiert werden müsse. Allerdings entspricht bereits die Annahme nicht der Realität – ein Großteil der Anwender ignoriert Fehlermeldungen schlicht und macht sich nicht die Mühe, deren, häufig englischsprachigen, Inhalt zu verstehen. Immer wieder wird von Anwendern sogar eine generelle Unlust angemeldet, sich mit diesem „Computerzeug“ überhaupt zu befassen, schließlich handle es sich dabei um ein Werkzeug. Eine Haltung, die für mich nicht nachvollziehbar ist, denn auch der Umgang mit dem Werkzeug „Auto“ oder „Kettensäge“ erfordert eine Auseinandersetzung mit dem Gerät und den zugehörigen Regeln.
No Spam!
45
5 – E-Mail-Adressen von Webseiten verbannen
Allerdings muss man zugestehen, dass die Fehlermeldung nicht sonderlich aufschlussreich sein kann, denn sie beschreibt ein aus der verfälschten Adresse resultierendes Problem: beispielsweise, dass der Name des Mailservers nicht aufgelöst werden konnte, also z.B. „DNS not found“, oder aber, dass der Nutzer nicht existiert, z.B. „User unkown“. Beide Fehlermeldungen sind für den Laien nicht verständlich und weisen auch nicht auf die wahre Fehlerursache hin – wie sollten sie auch. Typischerweise enthalten solche Meldungen noch weitere „Diagnostic Informations“, die für Fachleute verständlich sind, für den Laien aber die wahre Fehlermeldung so effektiv verbergen, dass sie der Endanwender in einem ITenglischen Zeichensalat kaum mehr finden kann. Auf diese Art und Weise werden zahllose Endanwender ausgeschlossen, was im Allgemeinen nicht im Sinne einer Homepage sein dürfte. Zudem sind solche Fälschungen, wie in Kapitel 4.4 diskutiert, technisch zweifelhaft und bergen zahlreiche Risiken. Auch mit dem Wunsch des Gesetzgebers, der sich hinter §6 TDG verbirgt, dem Endverbraucher bessere Kontaktmöglichkeiten zu bieten, ist dieses Vorgehen meines Erachtens nicht vereinbar. Eine verfälschte E-Mail-Adresse könnte also durchaus noch zu einer berechtigten Abmahnung wegen eines unvollständigen Impressums führen. Damit ist der Einsatz von verfälschten E-Mail-Adressen zwar geeignet, um die Harvester von Spammern zu blockieren, aber ansonsten völlig unbrauchbar.
5.2 Verstecken mit HTML-Code Somit bleibt als nächste Möglichkeit, die E-Mail-Adresse auf der Seite so anzugeben, dass ein Sammelprogramm sie nicht automatisch auswerten kann. Zum Erkennen von E-Mail-Adressen lassen sich zwei Merkmale nutzen: einmal der Link auf die Adresse:
Und zum anderen die Adresse selbst:
[email protected]
Für die Suchmethoden der Harvester sind beide nahezu gleich gut zu finden.
46
Verstecken mit HTML-Code
Der mailto-Link jedoch ist noch einen Tick eindeutiger, da so neumodische Wörter, die ein „@“ anstelle eines „a“ enthalten, nicht fälschlich für E-MailAdressen gehalten werden können. Schließlich verlinkt mailto ausschließlich Mailadressen.
5.2.1
Kontaktformular
Daher sollte man zunächst alle mailto-Links aus der Homepage entfernen. Möchte man dennoch den Komfort bieten, durch einen direkten Klick eine Nachricht an diese Adresse zu verschicken, so empfiehlt sich der Einsatz eines Kontaktformulars. Dieses Kontaktformular kann man problemlos mit der (zunächst noch lesbar) angegebenen E-Mail-Adresse verlinken. Ein solcher Link würde also in einem ersten Schritt so aussehen:
[email protected]
Durch diese Maßnahme verschwinden alle mailto-Links, die einfach automatisiert zu finden sind, von der Webseite. Diese Quelle für E-Mail-Adressen ist damit trockengelegt. Sofern wir im Folgenden in HTML E-Mail-Adressen verstecken, gehe ich immer davon aus, dass sie auf eine Kontaktseite verlinkt werden und nicht mit einem mailto-Link versehen sind.
Wie sollte ein sicheres Kontaktformular aussehen? Auch ein Kontaktformular kann von einem Harvester automatisch ausgelesen werden. Daher sollten weder im Kontaktformular als versteckte Werte noch auf der Kontaktseite selbst E-Mail-Adressen unmittelbar lesbar angegeben werden. Daher sollte das Mail-Script, das vom Kontaktformular aufgerufen wird, automatisch den Empfänger der Nachricht aus einem übergebenen Code ermitteln können. Der Beispiel-Formmailer in PHP weiter unten ordnet dabei jedem Empfänger eine Nummer zu. Diese Zuordnung kann vom Harvester nicht umgekehrt werden. Auch das bekannte Perl-Formmailer-Script von Matt Wright (http://www. scriptarchive.com), das von vielen Webspace-Providern vorinstalliert wird, kann man so modifizieren.
No Spam!
47
5 – E-Mail-Adressen von Webseiten verbannen
Als Nebeneffekt lässt sich das Kontaktformular nicht mehr zum Versenden von Spam missbrauchen: Es gab immer wieder Fälle, in denen das Formular auf der HTML-Seite selbst so modifiziert wurde, dass die E-Mail nicht mehr an den von der Webseite vorgesehenen Empfänger ging, sondern an andere Adressaten. Aus diesem Grund verschickt das Beispielscript Nachrichten auch nur an Empfänger, die im Script selbst eingetragen sind. Das Script kann ein Angreifer nicht so einfach manipulieren wie eine HTML-Seite, denn um es bearbeiten zu können, müsste er sich Zugang zum Server verschafft haben, was in aller Regel weitere Probleme zur Folge hat.
Programmbeispiel Formmailer Das Script versucht auch, alle Eingaben sehr streng zu überprüfen, um einen Missbrauch möglichst zu erschweren. Die notwendigen Übergabeparameter sind im Script selbst dokumentiert und werden im Beispiel unten gezeigt. Zum Verständnis des Scripts ist es sinnvoll, wenn Sie sich die in das Script eingefügten Kommentare durchlesen. Ich habe versucht, sie möglichst ausführlich zu halten. Dadurch stehen die wichtigen Hinweise direkt an den relevanten Stellen des Scripts. Mailformular
No Spam!
51
5 – E-Mail-Adressen von Webseiten verbannen Fehler Ihre Mail wurde nicht versandt. Es ist ein Fehler aufgetreten. Die Fehlermeldung lautet: Bitte verwenden Sie den Back-Button Ihres Browsers, um zur vorhergehenden Seite zurück zu gehen. Nachricht erfolgreich gesendet. Ihre Nachricht wurde erfolgreich gesendet. Zur Kontrolle hier nochmals der Inhalt der Nachricht:
No Spam!
55
5 – E-Mail-Adressen von Webseiten verbannen
Beispiel-Kontaktformular Im Iolgenden möchte ich Ihnen eine kleine HTML-Seite an die Hand geben, die Ihnen einen Eindruck vermittelt, wie das Kontaktformular erzeugt werden kann. Von optischen Gestaltungsversuchen habe ich dabei bewusst Abstand genommen – schließlich müssen diese zum Design der fertigen Seite passen. Außerdem werden Sie auf Ihrer Seite vermutlich auch noch andere Felder als die von mir genannten nutzen wollen. Deutlich zu sehen ist, dass in dem Formular keine einzige E-Mail-Adresse genannt wird. Stattdessen sind die verschiedenen möglichen Empfänger über eine Zahl codiert. Die Zahl entspricht dem Index in das Array $empfaenger im PHP-Script oben. Muster-Kontaktformular Kontaktformular Wen möchten Sie kontaktieren? Den Webmaster Den Autor Beide Ihr Name: Ihre E-Mail-Adresse: Ihre Telefonnummer:
56
Verstecken mit HTML-Code Ihre Tefaxnummer: Betreff: Ihre Nachricht: Mit freundlicher Unterstützung von www.eggendorfer.info.
Meinungen zum Kontaktformular Der Einsatz von Kontaktformularen ist umstritten – einige Anwender mögen sie überhaupt nicht, da sie dann keine Kopie der verschickten Nachricht in ihrem Mailprogramm haben und auch auf dessen gewohnte Funktionalität verzichten müssen. Auch können sich so leicht versehentlich Tippfehler in der Absenderadresse einschleichen. Andererseits setzt ein mailto-Link voraus, dass auf dem Rechner des Anwenders ein Mailprogramm installiert ist und dieses Mailprogramm so konfiguriert ist, dass es auf solche Links reagiert. Außerdem muss das Mailprogramm mit den richtigen Nutzerdaten konfiguriert sein. Das ist häufig in Schulungsräumen, Internetcafés und Ähnlichem nicht der Fall. Da versendet der sorglose Anwender dann eine E-Mail mit dem Absender „PC15“ im Local-Part. Viele Anwender nutzen heutzutage auch gar keine echten Mailprogramme mehr, sondern bearbeiten ihre Mails ausschließlich in Webmailern. Auch die starten mit einem Klick auf einen mailto-Link nicht automatisch.
No Spam!
57
5 – E-Mail-Adressen von Webseiten verbannen
Aus meiner Sicht ist der Formmailer daher genauso nutzerfreundlich oder -unfreundlich wie ein mailto-Link: Es gibt jeweils Szenarien, in denen das eine oder das andere praktikabler ist. Ein Formmailer ist jedenfalls für alle Nutzer unmittelbar benutzbar, während ein mailto-Link die geeignete Konfiguration des Browsers erfordert. Aus Sicht des Webseitenbetreibers ist der Formmailer jedenfalls deutlich überlegen: Über ihn finden Harvester kein Futter. Auf alle Fälle liefert der Formmailer auch einen Weg zur „schnellen, elektronischen“ Kontaktaufnahme und bietet eine Adresse der elektronischen Post. Er dürfte damit auch den Anforderungen des §6 Nr. 2 TDG genügen.
5.2.2
Tarnen mit HTML
Durch den Einsatz eines Kontaktformulars haben wir die Webseite nun so gestaltet, dass Spammer keine mailto-Links mehr finden. Aber auch Zeichenketten nach dem Muster
[email protected] lassen sich gut automatisiert finden. Dabei läuft zwar der Harvester Gefahr, auch Produktnamen und Firmennamen, die ganz im Trend ein „@“ enthalten, zu finden und als E-Mail-Adressen zu deklarieren. Aber die wenigen so gefundenen, fehlerhaften Adressen interessieren Spammer meist nicht – häufig gehen die erzeugten Fehlermeldungen wegen ungültiger Adressen an unbeteiligte Dritte, da die Absenderadressen der Spammails gefälscht werden. Es stehen zahllose Möglichkeiten zur Verfügung, in einer HTML-Seite Text zu verdecken – es sind im Prinzip die gleichen Verfahren, die auch Spammer tagtäglich einsetzen, um Spamfilter zu umgehen. Wenn Sie deren Methoden auch durchschauen wollen, lohnt sich ein Blick in [GRA04]. Was gibt es Schöneres, als den Gegner mit seinen eigenen Waffen zu schlagen?
Zeichen ersetzen Eine dieser Methoden, die schon seit Jahren bekannt ist und daher durch geeignete Such- und Ersetzalgorithmen in Harvestern leicht umgangen werden kann, ist das Ersetzen von „@“ durch „at“ und des Punkts „.“ durch „dot“. So wird aus
[email protected]: user at example dot com
58
Verstecken mit HTML-Code
Für Menschen bleibt das lesbar und verständlich, Harvester finden auf Anhieb keine gültige E-Mail-Adresse mehr. Aus diesem Grund findet man diese Schreibweise auch mittlerweile sehr häufig im Netz. So werden z.B. die E-Mail-Adressen der Kommentatoren im PHP-Onlinehandbuch auf http://www.php.net so getarnt. Allerdings gehe ich davon aus, dass diese Methode kaum mehr langfristig erfolgreich sein wird. Schließlich lässt sich über regular expressions28 mit geringem Aufwand eine Ersetzung vornehmen. s/[ \t\r\n]*at[ \t\r\n]*/@/gi s/[ \t\r\n]*dot[ \t\r\n]*/./gi
reichen dafür bereits aus. Es ist dabei kaum wahrscheinlich, dass so übermäßig viele ungültige Adressen generiert werden: Dazu müsste nach Entfernen von Leerzeichen und der Ersetzung von „dot“ durch den Punkt bzw. „at“ durch „@“ ein Zeichenmuster herauskommen, das aussieht wie eine E-Mail-Adresse. Spammer machen dasselbe, um beispielsweise Viagra-Spam an Spamfiltern vorbei zuzustellen. Sie ersetzten den Markennamen durch den Wirkstoffnamen „Sildenafil“ in ihren Werbemails. Mittlerweile taucht auch der Wirkstoffname in den Filtern auf, weshalb sie das „a“ in „Viagra“ durch @, das „i“ durch „1“ ersetzen und Leerzeichen einfügen. Somit erhält man jetzt Angebote für „V 1 @ G R @“. Spamfilter können mittlerweile solche Tarnungen knacken. Auch Harvester sollten mit diesen Umschreibungen umgehen können.
HTML-Kommentare Ebenso beliebt ist bei Spammern das Einfügen von HTML-Kommentaren, um typische Filterbegriffe unkenntlich zu machen. Genauso lassen sich auch E-Mail-Adressen vor Harvestern verstecken. Aus
[email protected]
wird damit userexample.com 28. Siehe z.B. [EGG05] oder auch [SEL02], [FRI02] oder [STU03]
No Spam!
59
5 – E-Mail-Adressen von Webseiten verbannen
Diese Kommentare werden von allen Browsern in der Darstellung unterdrückt, die E-Mail-Adresse wird fehlerfrei dargestellt. Aber auch diese Kommentare lassen sich theoretisch von Harvestern mit geringem Aufwand filtern, um so die E-Mail-Adresse zu extrahieren: Es reicht aus, die Zeichenfolge „“ zu suchen und durch eine leere Zeichenkette zu ersetzen. Das lässt sich wiederum einfach mit regular expressions bewerkstelligen. Oder man verwendet den Textbrowser lynx: Mit der Kommandozeilenoption -dump verwandelt er HTML in Klartext und gibt das gerade richtig für Filter auf der Standardausgabe aus. Fast alle vorgestellten Verfahren lassen sich übrigens knacken – die Frage ist nur, in welchem Verhältnis der Aufwand zum erwarteten Nutzen steht. Der Aufwand, HTML-Kommentare zu eliminieren und die oben beschriebenen Ersetzungen rückgängig zu machen, ist jedenfalls so gering und beide Verfahren sind so verbreitet, dass es sich für Spammer lohnen würde, sie in ihre Harvester zu implementieren.
Gesperrte Schreibweise Eine ähnliche Idee ist, Adressen gesperrt anzugeben, also zwischen jedem Buchstaben ein Leerzeichen einzufügen: u s e r @ e x a m p l e . c o m
Diese Schreibweise lässt sich nur schwer automatisch zusammenfügen: Das Entfernen der Leerzeichen stellt zwar kein Problem dar, allerdings müssen auch die Ränder der Adresse richtig erkannt werden. Es darf kein umstehender Text mit in die Mailadresse einbezogen werden, da sie dadurch ungültig würde. Spamfilter haben hier einen Vorteil: Ihnen reicht es aus, ein Teilwort wie z.B. „Viagra“ zu erkennen. Sie müssen keine E-Mail-Adressen in verwertbarer Form generieren. Daher ist diese Methode für Spammer in ihren Spammails zur Umgehung von Spamfiltern ineffizient; im Kampf gegen Harvester hingegen ist sie sehr effektiv, denn diese müssen gültige E-Mail-Adressen generieren. Der Aufwand, umgebende Wörter nicht versehentlich mit in die Adresse einzubeziehen, steht in keinem Verhältnis zum Nutzen. Markiert man die Leerzeichen durch geeignete Cascading Style Sheets (CSS) als unsichtbar, bemerkt der Besucher der Webseite noch nicht einmal diesen Trick, wie Abbildung 5.1 demonstriert.
60
Verstecken mit HTML-Code
Abb. 5.1: Darstellung einer gesperrten E-Mail-Adresse mit geeignetem CSS im Mozilla
Der zugehörige HTML-Code lautet: Gesperrte Darstellung div.in { visibility:hidden; display:none; } u s e r @ e x a m p l e . c o m
Dabei können im HTML-Quelltext durchaus auch mehrere Leerzeichen, Zeilenumbrüche oder sonstige so genannte Whitespace-Zeichen eingefügt werden. Die zusätzlichen Zeichen machen unter Umständen das Erkennen der Mail-Adresse für einen Harvester aufwendiger, für den Nutzer bleiben sie transparent, da mehrere Whitespace-Zeichen im HTML-Code von Browsern in der Darstellung stets nur in ein Leerzeichen verwandelt werden.
No Spam!
61
5 – E-Mail-Adressen von Webseiten verbannen
Die gesperrte Darstellung funktioniert mit allen Browsern und sollte auch ohne Probleme mit speziellen Ausgabegeräten wie Braille-Zeilen kompatibel sein. Ein ähnliches Verfahren wird unter dem Namen Microdot von Spammern verwendet: Anstatt Leerzeichen einzufügen, wird eine extrem kleine Schriftart gewählt und ein beliebiges, sonstiges Zeichen ausgegeben. Durch die kleine Schriftart und häufig auch durch die Wahl der Schriftfarbe ist dieses Zeichen unsichtbar. Für Spammer ist die aufwendigere Methode notwendig, da Zeichenketten wie „Viagra“ auch nach dem Entfernen aller Leerzeichen aus einer Mail von Spamfiltern erkannt werden. Durch den Microdot werden andere Buchstaben eingestreut, die das Wort unkenntlich machen. Zum Verstecken der E-Mail-Adresse reicht die Leerzeichenmethode hingegen aus: Denn auch der reguläre Text auf der Webseite enthält Leerzeichen. Er würde, entfernt man alle Leerzeichen, mit der Mailadresse verschmelzen und sie ungültig machen.
HTML-Entities Eine andere, häufig empfohlene Möglichkeit ist die Verwendung von HTMLEntities (z.B. [CDT03]). Dabei werden die Zeichen durch ihre ASCII-Codes und spezielle HTML-Symbole ersetzt. Der ASCII-Code weist jedem Zeichen in eindeutiger und umkehrbarer Weise eine Zahl zu. Aus
[email protected]
wird user@ex amplecom
Allerdings lassen sich auch diese Ersetzungen automatisiert rückgängig machen und bieten damit allenfalls vorübergehenden Schutz. Schon mit einer Zeile effektivem PHP-Code lässt sich diese Ersetzung automatisch auflösen:
62
Verstecken mit HTML-Code #!/usr/local/bin/php
