ich habe gerade zwei unerwünschte Mails bekommen, die KEINEN Virus
und KEINE Werbung enthielten, dafür aber sinnlose
anneinanderreihungen von politischen Begriffen. Ich weiss, dass es
schon häufiger Versuche gegeben hat, die polizeilichen Filter zu
überlasten, aber das hatte man eigentlich wieder aufgegeben.
Haben das noch mehr Leute bobachtet ? hat vielleicht was mit dem G8
Gipfel zu tun.
ML
Subject:
Date: Sat, 2 Jun 2007 07:17:08 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0006_01C7A4E6.0B6D1500"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3028
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3028
X-RZG-CLASS-ID: mi
Linesto main, menu franais.
Fair social issues intends settle lebanons,
crisis.
Their thursday may iran syria review regional. Sg confers with
mottaki tehrani
worshipers rally, against peace.
Die Mail kenn ich. Man verschickt das Zeug um zu kucken welche email existieren. Alle die zurückkommen werden gelöscht, alle anderen an Spammer verkauft.
Glücklicherweise schmeissen einige email-provider einfach alle emails an unbekannte Adressen weg. D.h. man kann von aussen nicht feststellen ob es eine email-ady gibt oder nicht.
schon häufiger Versuche gegeben hat, die polizeilichen Filter
Bist du Polizeibeamter, oder wie kriegst du die Kurve von Spammails zu angeblichen ‚polizeilichen Filtern‘? Kleiner Anfall von Paranoia?
Haben das noch mehr Leute bobachtet ? hat vielleicht was mit
dem G8
Gipfel zu tun.
Spam hat etwas damit zu tuen, dass Leute versuchen, Produkte übers Internet zu verscherbeln, zu betrügen, oder mehr Bots für ihre ferngesteuerten Netze zu gewinnen. Spammer arbeiten mit Automaten und mit oft recht beschränkten geistigen Ressourcen, da passiert es häufiger schon mal,dass im Versuch, Spamfilter auszutricksen, die eigentlich intendierte Information untergeht. Daraus irgendwelche Rückschlüsse auf den G8-Gipfel oder ‚Polizeifilter‘ zu ziehen, ist kabarettreif.
Bist du Polizeibeamter, oder wie kriegst du die Kurve von
Spammails zu angeblichen ‚polizeilichen Filtern‘? Kleiner
Anfall von Paranoia?
Er meint das Vieh: en.wikipedia.org/wiki/Carnivore_(FBI) und seine Nachfolger. (Nicht klickbar weil der Link-parser von w-w-w keine ( oder ) Zeichen in URL schluckt).
So eine Kiste (falls es sie real gibt und immernoch so primitiv arbeitet wie beschrieben) könnte man tatsächlich mit den richtigen Schlagwörtern und email-adressen lahm legen. Aber wer will das schon …
Glücklicherweise schmeissen einige email-provider einfach alle
emails an unbekannte Adressen weg. D.h. man kann von aussen
nicht feststellen ob es eine email-ady gibt oder nicht.
Gibt es wirklich seriöse Provider, die derart gegen die RFCs verstoßen?
Abgesehen von reinem Antesten der Email-Adressen macht die
empfangene Mail keinen spamtechnischen Sinn, da sie keinen
brauchbaren Inhalt hat.
Der Return-Path führt zwar zu einer merkwürdigen arabischen Firma,
aber eben doch zu einer Firma mit echter Webseite und Inetadresse.
Solange es kein Wurm ist, der deren Email-Server übernommen hat
bekommen höchstens die die Meldungen bezüglich fehlerhafter
Emailadressen.
Der Inhalt scheint aus für echelon etc. leckeren Keywords zu
bestehen.
Weil ich Deine Theorie bezüglich Dummem Spammer auch
berücksichtigt habe, frage ich mal in diesem Forum rund, statt
irgendjemand „wichtigen“ mit meinen Phantasien zu nerven.
Gibt es wirklich seriöse Provider, die derart gegen die RFCs
verstoßen?
Hotmail hat es eine Weile gemacht (haben es dann aber wieder eingestellt). Earthlink war auch dabei (k.A. was die derzeit machen).
RFC-konform arbeiten die wenigsten. Sonst wären Methoden wie das Message 451 (busy, retry later) nämlich einsetzbar und ein guter Teil des Spam Geschichte.
RFC-konform arbeiten die wenigsten. Sonst wären Methoden wie
das Message 451 (busy, retry later) nämlich einsetzbar und ein
guter Teil des Spam Geschichte.
Greylisting funktioniert meiner Erfahrung nach mit nahezu allen Providern problemlos. Die paar, die sich so wenig an die Konvention halten, dass es nicht klappt, haben i.d.R. noch ganz andere Probleme. Wobei ja auch Greylisting zumindest ein „Dehnen“ der RFC ist. Und IMHO nur eine Frage der Zeit, bis sich die Spamversender drauf eingestellt haben.
Der Return-Path führt zwar zu einer merkwürdigen arabischen
Liegt es auch in deiner Paranoia begründet, dass du hier mit Daten argumentierst, die du uns vorenthältst? Oder meinst du, dass ‚unwichtige‘ Leute wie wir eh keine Mailheader lesen können?
Aber jetzt bin ich mal gespannt: Wie interpretierst du denn folgenden Spam (ein beliebiges Beispiel aus dem heutigen Spameingang); wie bekommst du wwwkroneat, venganza und Sexe gratuit unter den G8-Hut? Okay, Venganza ist spanisch für Rache, da hätten wir schon einen Anhaltspunkt. Also bitte:
Subject:
Date: Sat, 2 Jun 2007 07:57:36 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=\_NextPart\_000\_0007\_01C7A4EB.AF3897E0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3028
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3028
------=\_NextPart\_000\_0007\_01C7A4EB.AF3897E0
Content-Type: text/plain;
charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable
Sexe gratuite studio vemzik venganza. Wwwklub, witchpl wwwknuznl wwwkocom,
wwwkroneat wwwktmch wwwlidilde, sty wwwloscom!
------=\_NextPart\_000\_0007\_01C7A4EB.AF3897E0
Content-Type: text/html;
charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable
Sexe gratuite studio vemzik venganza. Wwwklub, =
witchpl=20
wwwknuznl wwwkocom, wwwkroneat wwwktmch wwwlidilde, sty=20
wwwloscom!
Der Return-Path führt zwar zu einer merkwürdigen arabischen
Liegt es auch in deiner Paranoia begründet, dass du hier mit
Daten argumentierst, die du uns vorenthältst? Oder meinst du,
dass ‚unwichtige‘ Leute wie wir eh keine Mailheader lesen
können?
X-Envelope-From:
X-Envelope-To:
X-Delivery-Time: 1180739849
Return-Path:
Received: from [60.217.146.255] ([60.217.148.95])
by mailin.webmailer.de (reg mi33) (RZmta 7.1)
with ESMTP id 6026aaj51NGx2y for ;
Sat, 2 Jun 2007 01:17:22 +0200 (MEST)
Received: by 10.31.50.18 with SMTP id vzcNBLRDFSKMX;
Sat, 2 Jun 2007 07:17:13 +0800 (GMT)
Received: by 192.168.70.101 with SMTP id tgXNcfxkimknse.
4808904229640;
Sat, 2 Jun 2007 07:17:11 +0800 (GMT)
Message-ID:
From: „Leia quevillon“
To:
Subject:
Date: Sat, 2 Jun 2007 07:17:08 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0006_01C7A4E6.0B6D1500"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3028
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3028
X-RZG-CLASS-ID: mi
Aber jetzt bin ich mal gespannt: Wie interpretierst du denn
folgenden Spam (ein beliebiges Beispiel aus dem heutigen
Spameingang); wie bekommst du wwwkroneat, venganza und Sexe gratuit unter den G8-Hut?
Boa ey, dann wären die G8-Hasser ja in der Lage allen anderen Spam
auszuschalten - wenn alles in diesen Kontext passen soll. Ich muss
die mal fragen, wie die das machen - will ich auch haben.
Okay, Venganza ist
spanisch für Rache, da hätten wir schon einen Anhaltspunkt.
„Sexe gratuit“ ist doch ein Angebot oder ? Da würd ich doch fast
antworten!
Ich sehs ein…
Habe heute nacht jede Menge strukturell gleicher Mails bekommen mit
Texten, die nicht nur für Echelon, sondern für absolut jeden keinen
Sinn machen. Vielleicht läuft da einfach nur ein kaputter Spam-
Verteiler
ich habe gerade zwei unerwünschte Mails bekommen, die KEINEN
Virus
und KEINE Werbung enthielten, dafür aber sinnlose
anneinanderreihungen von politischen Begriffen. Ich weiss,
dass es
schon häufiger Versuche gegeben hat, die polizeilichen Filter
zu
überlasten, aber das hatte man eigentlich wieder aufgegeben.
Haben das noch mehr Leute bobachtet ? hat vielleicht was mit
dem G8
Gipfel zu tun.
Ich kanns nicht lassen, hier auch noch einen paranoiden Beitrag zu hinterlassen Das Mail erinnert doch irgendwie an die sinnlosen Radiodurchsagen, mit denen die Alliierten im 2. Weltkrieg die Widerstandsbewegungen dirigiert haben! So al la „Günther hat einen gelben Bart“, was dann so viel heißt wie dass Maurice einen Hochspannungsmast bei Marseille so sprengen soll dass er dem Polizeipräsidenten in den Vorgarten fällt
Eventuell hast Du das Startsignal für die Krawallmacher bei der G8 Demo mitgehört???
Vielleicht läuft da einfach nur ein kaputter
Spam-
Verteiler
Mir scheint da die andere Theorie plausibler. Ein SPAM Verteiler testet seine Adresslisten. Wenn Deine Adresse falsch wäre, würde Dein Mail Server eine Unzustellbarkeitsnachricht senden. Aus dem Ausblieben der Nachricht kann der SPAM Versender schließen, dass Deine Mail Adresse existiert und gültig ist
Er wird dann Deine Adresse entwerder weiterverkaufen, oder Du wirst bald „echtes“ SPAM von ihm bekommen, oder beides
Die Zufallswörter sollen eventuell bei Dir installierte automatische Spamerkennungsfilter austricksen.
Die Zufallswörter sollen eventuell bei Dir installierte
automatische Spamerkennungsfilter austricksen.
Der Spamfilter setzt grundsätzlich [*1] erst nach einem evtl Bounce auf, für einen Adresstest nach deiner Theorie wäre eine solche Trickserei also völlig irrelevant. Allenfalls könnte der Spammer auf diese Weise statt auf Existenz von Adressen auf automatische unangeforderte Eingangs- oder Lesebestätigungen testen wollen. Aber nee, so richtig ein Schuh wird aus deiner Theorie auch so nicht.
Es ist schon so, der Spammer hat hier Spam rein um des Spams willen produziert. Ob deswegen, weil er zu dumm war, den eigentlichen Inhalt mitzuschicken, ob er zu dumm ist, RFCs zu lesen, oder ob es ihm möglicherweise nur darum geht (und es gab in den vergangenen Tagen einige Anzeichen dafür) Server bzw. Eingangskontrollen kaputtzubomben. Insoweit hat Martins ursprüngliche These durchaus eine gute Existenzberechtigung, einen Zusammenhang mit dem G8-Gipfel möchte ich trotzdem ausschliessen.
[1] Es gibt in der Tat auch schwer verschlafene Admins, die Spams erst entgegennehmen, über den Spamfilter laufen lassen und erst anschliessend die Validität der Empfängeradresse prüfen. Und dann gegebenenfalls einen Bounce erzeugen - der dann aber nicht mehr an den einliefernden Server, sondern an den angeblichen Absender geht. Auch in diesem Fall hätte der Spammer also von der Überlistung des Spamfilters keinen Vorteil.
Die Zufallswörter sollen eventuell bei Dir installierte
automatische Spamerkennungsfilter austricksen.
Der Spamfilter setzt grundsätzlich [*1] erst nach einem evtl
Bounce auf
Widerspruch! Du hast den Fokus rein auf einem Szenario mit eigenem Mail Server. Da kannst Du den Spam Check machen wann immer Du möchtest, oder wie es Deine Server-Software zulässt.
Du kannst die Spamfilterung aber auch schon beim Mail-Einlauf auf einer Firewall-Appliance scannen oder sogar alle an eine bestimmte Domäne gerichteten Mails erst einmal durch einen externen Scanner jagen (McAfee bietet einen solchen Service an). In allen Fällen wird das originäre SPAM Mail, wenn es erkannt wird, gekillt bevor es in den Adresscheck des E-Mail Servers läuft und die Unzustellbarkeitsnachricht auslöst.
Wenn Du dagegen einen Pseudo-sinnvollen Zufalls-Text aus Brabbelsätzen ins Mail setzst passiert es den vorgeschalteten Spam Filter und löst die Unzustellbarkeitsnachricht aus.
Wenn Du dagegen einen Pseudo-sinnvollen Zufalls-Text aus
Brabbelsätzen ins Mail setzst passiert es den vorgeschalteten
Spam Filter und löst die Unzustellbarkeitsnachricht aus.
An den einliefernden Server? Nachdem dieser nach vollständiger Einlieferung die Verbindung mit einem herzhaften
QUIT
beendet hat?
Wenn Du dagegen einen Pseudo-sinnvollen Zufalls-Text aus
Brabbelsätzen ins Mail setzst passiert es den vorgeschalteten
Spam Filter und löst die Unzustellbarkeitsnachricht aus.
An den einliefernden Server? Nachdem dieser nach vollständiger
Einlieferung die Verbindung mit einem herzhaften
QUIT
beendet hat?
das ist doch wahrscheinlich eine reguläre Mailbox auf einem regulären Mailserver irgendwo im Morgenland. Jedenfalls existiert ein Mail Server unter der Adresse pkt-ir.com. Der Spammer fischt da die Unzustellbarkeitsnachrichten ab. Wo siehst Du da ein Problem?
das ist doch wahrscheinlich eine reguläre Mailbox auf einem
regulären Mailserver irgendwo im Morgenland. Jedenfalls
existiert ein Mail Server unter der Adresse pkt-ir.com. Der
Spammer fischt da die Unzustellbarkeitsnachrichten ab. Wo
siehst Du da ein Problem?
Lediglich darin, dass es keinen vernünftigen Grund für die Annahme gibt, ein Spammer würde so vorgehen. Er würde enormen Aufwand betreiben, höchst fahrlässig Spuren legen, die auf seine Identität hindeuten könnten und dabei doch kein irgendwie sinnvolles Ziel erreichen. Spammer mögen oftmals doof sein, wer aber einen derartigen Sockenschuss hat, so vorzugehen, dürfte in diesem Job keine Zukunft haben.
Das Mail erinnert doch irgendwie an die sinnlosen Radiodurchsagen, mit denen die Alliierten im 2. Weltkrieg die Widerstandsbewegungen dirigiert haben! So al la „Günther hat einen gelben Bart“, was dann so viel heißt wie dass Maurice einen Hochspannungsmast bei Marseille so sprengen soll dass er dem Polizeipräsidenten in den Vorgarten fällt 