Spam-Honigtopf

Spam ist lästig, das weiß jeder. Und inzwischen prinzipiell auch strafbar, wenn man die Versender denn zu fassen bekommt.

Spaßeshalber habe ich deshalb vor einiger Zeit mal in einer ruhigen halben Stunde einen E-Mail-Account auf meinem Server angelegt und für Spam-Bots im HTML-Quelltext meiner Seite eine E-Mail-Adresse abgelegt, die die IP-Nummer des Spam-Bots sowie Datum und Uhrzeit des Zugriffs verrät.

Und heute habe ich mal in diesen Account hineingeschaut, was sich dort denn wohl getan haben mag. Natürlich war das Ding randvoll, vor allem mit den üblichen Angeboten für Penis Enlargement, Cheap Software und Pay-Pal-Security-Advices.

Aber auch zwei deutsche Versender hatte ich dabei, einen, der „Suchmaschinen-Optimierung“ und spannenderweise „10.000.000 deutsche E-Mail-Adressen auf CD für ihre Werbung“ verspach, und einen, der für ein reales Auktionshaus mit .de-Domain warb. Und beide Versender lassen sich auf T-Online- bzw. Vodafone-IPs zurückverfolgen, mit konkretem Datum und Uhrzeit. Die realen Benutzer sollten sich also noch ausfindig machen lassen.

Da ich aber nun weder Jurist noch Strafverfolger bin: was macht man damit? Wie geht man gegen diese Verseucher des Internets vor? Hat jemand einen Vorschlag?

10 Antworten Subscribe to comments


  1. Hans

    Woah, du bist ja raffiniert.

    Gibt es nicht sowas wie einen Online-Pranger?
    Da kannst du sie doch hinstellen.

    Seit einiger Zeit bekomme ich auch immer mehr deutsche Spam-Mails.
    Die 10.000 Adressen wurde mir auch schon angeboten. Die hat mein Spamfilter sogar durchgelassen.

    28.02.2006 @ 16:42


  2. Marco

    Bei Spiegel Online gab es letztens einen Artikel über Honigtöpfe, die eine deutsche Firma professionell betreibt und dann wohl auch die Spammer entsprechend handhabt. Recherchier doch mal dort!

    28.02.2006 @ 19:27


  3. Dadabase.de » Postfix Anti-Spam Configuration

    […] Nach einigem Ausprobieren und der Beobachtung von einigermaßen vielen Spam-Mails – genug Anschauungsmaterial in Form von einigen hundert Spam-Mails pro Tag habe ich ja – glaube ich nun eine recht gute Konfiguration gefunden zu haben: keine unerwünschten Mails mehr in mir gehörenden Mailboxen, aber auch eine False-Negatives, also zu unrecht aussortierte Mails in den letzten Tagen. Here it is: […]

    04.08.2006 @ 02:52


  4. peter

    hallo..
    ich hatte was ähnliches…
    ich habe die ip von einem programm und/oder hacker, der schon einmal auf meinen pc zugriff hatte, jetzt aber geblockt wird…
    ist es möglich den hacker zu lokalisieren bzw ihn zu erwischen?
    ich denke nicht, dass wir es hier mit einem professionellen zu tun haben.. eher so ein kiddy.. das mal ein paar scripts ausprobiert Oo….
    naja wäre euch dankbar für antworten..
    auf anfragen kann ich die ip auch posten.. wenn das erlaubt ist ^^
    immerhin begeht er ja eine straftat oder!?
    mfg
    peter

    31.08.2006 @ 11:51


  5. Johannes

    Also an die (deutschen) Daten kann man prinzipiell rankommen. Allerdings geht das natürlich nicht mal eben einfach so, sondern nur über Staatsanwaltschaft/ermittelnde Behörden, die dann beim Provider des Angreifers die Herausgabe der Verbindungsdaten beantragen können. Wenn die Musikindustrie Filesharer verfolgt wird das so gemacht, und auch du solltest das machen, wenn dir z.B. ein Schaden entstanden ist etc. Ein einfaches Skript, das sich z.B. vergeblich versucht bei dir einzuloggen, wir aber wahrscheinlich keinen wirklich interessieren.

    Es gibt auch die Möglichkeit, sich direkt mit Mißbrauchsbeschwerden an die Provider zu wenden (Stichwort „Abuse“, häufig gibt’s zu dem Zweck auch E-Mail-Adresse wie abuse@provider.de oder Web-Interfaces wie https://abuse.t-ipnet.de/), ob und in welchem Umfang die dann tätig werden (z.B. Kündigung des Accounts, Strafanzeigen) ist mir aber nicht bekannt.

    Und wenn der Angriff von einem russischen Dial-In-Account kommt, hast du wahrscheinlich überhaupt keine Chance.

    31.08.2006 @ 12:34


  6. peter

    OrgName: Internet Assigned Numbers Authority
    OrgID: IANA
    Address: 4676 Admiralty Way, Suite 330
    City: Marina del Rey
    StateProv: CA
    PostalCode: 90292-6695
    Country: US

    NetRange: 192.168.0.0 – 192.168.255.255
    CIDR: 192.168.0.0/16
    NetName: IANA-CBLK1
    NetHandle: NET-192-168-0-0-1
    Parent: NET-192-0-0-0-0
    NetType: IANA Special Use
    NameServer: BLACKHOLE-1.IANA.ORG
    NameServer: BLACKHOLE-2.IANA.ORG
    Comment: This block is reserved for special purposes.
    Comment: Please see RFC 1918 for additional information.
    Comment:
    RegDate: 1994-03-15
    Updated: 2002-09-16

    OrgAbuseHandle: IANA-IP-ARIN
    OrgAbuseName: Internet Corporation for Assigned Names and Number
    OrgAbusePhone: +1-310-301-5820
    OrgAbuseEmail: abuse@iana.org

    OrgTechHandle: IANA-IP-ARIN
    OrgTechName: Internet Corporation for Assigned Names and Number
    OrgTechPhone: +1-310-301-5820
    OrgTechEmail: abuse@iana.org

    so an die daten bin ich durch \\\“legale\\\“ wege rangekommen….

    sitz ist in den usa…
    abuse@iana.org wär die einzigste möglichkeit da also ranzukommen…
    ich bin mir nicht sicher.. ^^

    31.08.2006 @ 13:47


  7. Johannes

    Die IANA ist aber nur ganz allgemein die Organisation, die die Vergabe von IP-Nummern im Internet regelt, also kein Provider o.ä.

    Aber vielleicht findest du hier eine Lösung für dein Problem?
    http://www.nwlab.net/art/blackhole/blackhole-1.iana.org.html

    Oder anders gefragt: von welcher IP-Nummer aus wurdest du angegriffen?

    31.08.2006 @ 13:54


  8. peter

    hmm achso…
    es gab verschiedene ip adressen:

    192.168.178.1
    192.168.178.21
    192.168.0.241
    192.168.0.88
    und dann stand da nochwas
    239.255.255.250

    Warnung Firewall

    31.08.2006 14:39:27

    Quelle: IP 192.168.178.1 UDP-Anschluss 1900,
    Ziel: IP 239.255.255.250 UDP-Anschluss 1900.

    ?!

    31.08.2006 @ 14:33


  9. Johannes

    Also 192.168er Adresse sind reserviert für lokale IP-Netzwerke, werden also z.B. nur innerhalb deines Heim-Netzwerks hinter deinem Router verwendet, ebenso wie 239er für UDP. Da scheint also irgendein Programm auf deinem Rechner lokal per UPD broadcasten zu wollen und wird von deiner Firewall blockiert.

    Googel doch einfach mal nach den IP-Nummern und Ports, vielleicht steht ha irgendwo, was genau das ist. Gefährlich muß das erstmal nicht sein.

    31.08.2006 @ 14:43


  10. peter

    ja..
    nur ich bin mir ziemlich sicher dass es einen hack-angriff gegeben hat.. ich habe nämlich einen trojaner gefunden, und mir wurde mein steam-account gehackt (wenn dir das was sagen sollte ^^)
    -> passwort und \“not-email\“ wurden geändert, und ich bin 150€ los… :(
    und naja seit dem versucht eben auch immer irgendwas zuzugreifen..
    jede sekunde..
    das sind jetzt an die 300000zugriffe bissher :-\\
    aber irgendwie kann da was nicht richtig sein..

    31.08.2006 @ 14:58


Archiv
Kategorien
Suche