Abgekupfert von http://www.despaml.interrob.de/faq.html Schon etwas alt und deshalb einige Links nicht mehr aktuell Spam bekämpfen/vermeiden Beispielmail: Received: by webserver.interrob.de.de with MERCUR-SMTP/POP3/IMAP4-Server (v3.00.06 AS-0098308) for at Wed, 5 Aug 98 12:43:51 +0200 Received: from spamrobot.panzerknacker.vbg (interrob.de [195.214.82.4]) by mail.dmj.co.jp (NTMail 3.02.13) with ESMTP id da362131 for ; Wed, 5 Aug 1998 19:30:49 +0900 Message-ID: <35C8344F.C58@entenhausen.vbg> Date: Wed, 05 Aug 1998 12:30:39 +0200 From: Donald Duck Reply-To: daisy.duck@entenhausen.vbg Organization: X-filenhausen X-Mailer: InterRob-Mail 5.04Platin (Win98; I) MIME-Version: 1.0 To: ducksliste@entenhausen.vbg Subject: News aus Entenhausen: Ultimativer Kugelschreiber Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit X-Mozilla-Status: 0001 Hi, auf dem Goldtalerplatz 23 kannst Du im DUCKSHOP einen ganz tollen Kugelschreiber kaufen. Ein Kugelschreiber ohne Tinte, der trotzdem schreibt. Das heisst, - nie wieder Einwegschreiber - nie wieder Tintenpatronen - nie wieder Kleckse auf dem Hemd - nie wieder sabbern - nie wieder Sondermuell - nie wieder... Und das beste: Es befindet sich auf dem Druckknopf noch ein eingebauter vibrierender Stimulator. Echt irre, was man mit diesem Teil dann noch so fuer Sachen anstellen kann. Ein Kugelschreiber mit allem Drum und Dran, der Phantasie sind keine Grenzen gesetzt. Boey, stark was! Und das fuer nur 99 Taler!!! Jetzt bestellen unter 0190-76543210 oder online via http://www.entenhausen.vbg Donald ********************************************************************** Note: Ich habe Dich angeschrieben waehrend ich auf Deinen Webseiten gesurft bin. Wenn Du keine weitere Mails von mir erhalten moechtest, dann sende mir bittteee per Reply mit dem Wort "REMOVE" im Betreff und Du wirst automatisch von der Korrespondenzliste entfernt. Vielen Dank. ********************************************************************** Diese Mail ist in verschiede Abschnitte gegliedert: den Header und den Body. Der Header ist alles, was vor dem eigentlichen Nachrichtentext kommt, also: Received: by webserver.interrob.de.de with MERCUR-SMTP/POP3/IMAP4-Server (v3.00.06 AS-0098308) for at Wed, 5 Aug 98 12:43:51 +0200 Received: from spamrobot.panzerknacker.vbg (interrob.de [195.214.82.4]) by mail.dmj.co.jp (NTMail 3.02.13) with ESMTP id da362131 for ; Wed, 5 Aug 1998 19:30:49 +0900 Message-ID: <35C8344F.C58@entenhausen.vbg> Date: Wed, 05 Aug 1998 12:30:39 +0200 From: Donald Duck Reply-To: daisy.duck@entenhausen.vbg Organization: X-filenhausen X-Mailer: InterRob-Mail 5.04Platin (Win98; I) MIME-Version: 1.0 To: ducksliste@entenhausen.vbg Subject: News aus Entenhausen: Ultimativer Kugelschreiber Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit X-Mozilla-Status: 0001 Der Body einer Spam-Mails ist immer uninteressant. Analysieren wir also den Header: Er besteht aus mehreren Received-Zeilen (dort enthalten sind die Rechner, die die Mail zur Übermittlung angenommen haben), eine Message-ID, die Standardfelder Date, From, Organization, To und Subject, schließlich noch einem speziellen Reply-To-Header, der MIME-Version und des Content-Types des Inhalts der Nachricht, und einem Hinweis auf den Mailclient des Senders. Relevant bzw. interessant sind lediglich die Received-Zeilen; sie erlauben den wahren Sender/Urheber einer eMail herauszufinden. Bedenken Sie: Das "From:"-Feld, das Ihnen Ihr Mailer anzeigt, ist nicht das des "Umschlags" ihrer Mail. Dort kann stehen, was der Sender möchte, so zum Beispiel billg@microsoft.com oder dagobert.duck@entenhausen.zz. Es ist absolut wertlos (zuminderst für die Spambekämpfung)! Nun geht es ans Eingemachte: Den wahren Urheber unserer Beispielmail herausfischen. Im "From:"-Feld steht "Donald Duck", mit Adresse "donald.duck@entenhausen.vbg". Gehen wir doch einmal die Received-Zeilen durch: Die letzte "Station" der Mail war der Mailserver "webserver.interrob.de", der die Mail vom Server mit Namen "mail.dmj.co.jp" erhalten hat. Dieser wiederum erhielt sie von "spamrobot.panzerknacker.vbg", und dieser von einem lokalem User des Servers. Somit steht fest: Der Spammer (bzw. in diesem Fall der Autor der Mail) befindet sich (mit großer Wahrscheinlichkeit) hinter "spamrobot.panzerknacker.vbg". Da dieser Name vom Sender gewollt war (und nicht existiert), hilft der reelle Name und die IP, den der Server bei der Annahme festgehalten hat: interrob.de bzw. 195.214.82.4. Um nun an den Usernamen heranzukommen (bei Spam-Mails steht für gewöhnlich nichts brauchbares im From-Feld), muß Kontakt mit dem Administrator/Verantwortlichen des Servers ("interrob.de") aufgenommen werden, am Besten mit der Message-ID (und eventuell der UIDL aus dem Header) der Nachricht, so daß dieser in den Logdateien den Absender identifizieren kann. Falls der Server lediglich die IP des Spammers, nicht jedoch seinen Domainnamen festhält, muß mittels DNS (whois) der Domainname ermittlet werden. In allen Fällen geht nach dieser "Identifizierung" eine Beschwerdemail an (am besten als CC:) postmaster, abuse und eventuell admin @ der jeweiligen Domain. Zuminderst unter der postmaster-Adresse sollte immer jemand zu erreichen sein. Eine Beispiel-Beschwerdemail ist in Bearbeitung. Wiederrum schön und gut denken Sie sich, aber wie hilft es mir, mich vor Spam zu schÞtzen? Nur indirekt. Die oben beschriebenen Schritte dienen der "Zurückverfolgung" einer Mail. Um effektiv Spam im eigenen Postfach zu verringern, muß man einige Vorsichtsmaßnahmen berücksichtigen: Die eigene Adresse nicht zugänglich machen, so z.b. durch News oder auf der Homepage. Natürlich heißt das nicht, das Sie nun überhaupt nicht mehr posten sollten oder Ihre Homepage ohne (gültige) eMail-Adresse zu verteilen. Verwenden Sie doch lieber einen der kostenfreien eMail-forwarding-Dienste, die Ihnen die Mails bereits nach Ihren Kriterien (und deren Spamlisten) vorfiltern. In diesem Punkt ist vor allem GMX zu empfehlen. Diese Adresse natürlich dann auch auf der Homepage verwenden (siehe auch nächster Punkt). Nach Möglichkeit nicht die eMail-Adresse im Klartext auf die Homepage schreiben, denn dann kann sie von automatischen Spam-Robots "abgegrast" werden. Die elegantere Lösung dieses Problems ist zweifelsohne ein CGI-Script, welches ein Formular automatisch an die echte Adresse (bzw. die "Vorfilter-Adresse", siehe ersten Punkt) schickt; jedoch gab es bei der Diskussion diesbezüglich auf der Liste heftige Meinungsverschiedenheiten ,-) Schließlich kam dann auch eine (IMHO) noch bessere Lösung hervor: Die Tarnung der eMail-Adresse hinter einem - fÞr begrenzte Zeit gültigem - Mail-Alias (nach dem Muster von GMX [siehe auch deren Suchfunktion]). Diese weitere Option wird demnächst von der Liste erarbeitet. NIE NIE NIE auf eine Spammail mit "remove" antworten, auch wenn das in besagter Nachricht angegeben ist! So bekommen die Adressensammler, falls diese überhaupt eine gültige Rückantwortadresse angegeben haben, nur die Bestätigung, daß Ihre eMail-Adresse funktioniert (demnach noch nicht erloschen ist), und die Sammler können Ihre Adresse weitervermarkten. So bekommen Sie nur noch mehr Spam, nicht weniger... Auch bei Webformularen, in denen Sie Ihre eMail-Adresse angeben müssen, so z.B. bei Umfragen, Downloads o.ä., immer eine "Vorfilter-Adresse" verwenden, lieber aber solche Formulare meiden. BTW, die meisten Treiber oder Programme, für die Sie Ihre eMail-Adresse hinterlassen sollen, bekommen Sie auch ohne Formular über den FTP-Server des Herstellers. Versuchen Sie es einfach einmal...