Spam-Flut außer Kontrolle: Wie Sie den Kampf gewinnen

von Jason Curtis am , 16:47 Uhr

Aufgrund des immensen Aufkommens sind Spam-Mails inzwischen weit mehr als nur ein kleines Ärgernis. Wie Anwender und Webmaster Spam vermeiden, verhindern und eliminieren können, erklärt dieses ausführliche ZDNet-Security-Special.

Täglich fluten 1 Milliarde Spam-Mails durch das Netzwerk des Internet-Riesen AOL. Bei 27 Millionen registrierten Mitgliedern käme so jedes auf rund 37 unerwünschte Werbebotschaften pro Tag, doch Dank einer mehr oder minder effektiven Filter-Funktion werden 780 Millionen vor dem Eintreffen in den Posteingängen seiner Nutzer blockiert. Wie viele Spam-Mails dennoch das Filtersystem des Providers ungehindert passieren, bleibt offen.

Auch wenn das AOL-Beispiel besonders gravierend ist, so zeigt es jedoch das nahezu unbegreifliche Ausmaß des allgemeinen Spam-Problems, mit dem nicht nur jeder Internet-Service-Provider, sondern auch jeder Firmenadministrator und Endnutzer mit einem E-Mail-Konto täglich zu kämpfen hat. Die Kosten des Aufwands, der betrieben wird, um der Situation Herr zu werden, sowie die des Produktivitätsverlustes von Arbeitnehmern, die überquellende Posteingänge händisch durchsieben müssen, lassen sich nur schwer in Zahlen ausdrücken. Sicher ist jedoch, sie dürften allerorts enorm sein – Tendenz steigend.

Die Plage kommt nicht von ungefähr. Aufgrund seiner hohen Effektivität, Geschwindigkeit und seiner im Vergleich zu anderen Werbeformen niedrigen Kosten genießt das so genannte E-Mail-Marketing einen sehr hohen Stellenwert unter Werbetreibenden – und er steigt weiterhin.

Wie es dazu kommt, dass man überhaupt auf den Empfängerlisten von Spam-Versendern landet, und wie man dies am effektivsten vermeidet, erklärt Ihnen dieser Artikel.

Eines vorab: Es gibt sie doch, die seriösen Anbieter von E-Mail-Informationen. Wir müssen unterscheiden zwischen den vom Empfänger wissentlich abonnierten Informations- und Werbeangeboten und echtem „Spam“. Dieser Artikel befasst sich mit letzterem – der 100% unangeforderten „Infopost“, die Ihr Postfach verstopft, Ihre Zeit raubt und manchmal sogar versteckte Gefahren in Form von Viren oder Dialern mit sich bringt.

Doch wie arbeiten die Spam-Versender? Wie gelangen sie überhaupt an Ihre E-Mail-Adresse?

Werbetreibende dieser niederen Art arbeiten mit langen Listen von E-Mail-Adressen, um ihre Botschaft zu verbreiten. Diese Listen, die Millionen von Adressen umfassen können, werden von zwielichtigen Unternehmen zum Kauf angeboten – doch auch längst nicht mehr nur von diesen. Spätestens seit der Dotcom-Krise handeln nicht wenige ehemals seriöse Internet-Unternehmen mit den durch das Abonnieren von Newslettern oder Verschicken von Web-Grußkarten erfassten Kontaktinformationen. Wie einfach und preiswert es ist, heutzutage solche Listen zu erwerben, zeigt eine simple Suchanfrage bei Google [1].

Alternativ greifen Spam-Versender auf dedizierte Spezial-Software zurück – die so genannten „Spambots“ – um eigene E-Mail-Listen zusammenzustellen. Zu den bekanntesten Vertretern dieses Genres gehören Programme wie E-Mail Siphon, E-Mail Wolf und E-Mail Collector, die immer wieder in den Log-Dateien von Website-Betreibern auftauchen.

Wie Spürhunde durchforsten Spambots das Web nach identifizierbaren E-Mail-Adressen, sammeln diese nach den Wunschkriterien des Bedieners ein und speichern sie in verwertbaren und wieder verwendbaren Datenbanken ab. Dabei durchsuchen sie nicht nur öffentlich zugängliche Mitgliederverzeichnisse von Online-Diensten wie Webmail, Messenger und Chat nach neuen Opfern, sondern gehen auch in den unermesslichen Weiten des Webs auf Adressenjagd.

Firmen-Websites steuern sie gezielt an, da sie oft mit ertragsreichen Kontaktseiten aufwarten, auf denen die E-Mail-Adressen der Mitarbeiter zu finden sind. Denn: Eines der höchsten Ziele eines Spambots ist es, die eingesammelten E-Mail-Adressen aufgrund seiner Fundstelle im Web einem bestimmten Branchen- oder Interessenumfeld zuordnen zu können – denn so sind sie für den Datensammler um ein vielfaches wertvoller.

Newsgroups stellen eine weitere wichtige Quelle für Spambots dar, da Benutzer zum veröffentlichen von Beiträgen die eigene E-Mail-Adresse angeben müssen. Diese liegen dann offen zum einsammeln bereit.

Kurzum: Wer seine E-Mail-Adresse veröffentlicht, oder in einem frei zugänglichen Verzeichnis eintragen lässt, schickt Spam-Versendern eine offene Einladung, um kontaktiert zu werden.

Ihre E-Mail-Adresse ist ein wertvolles Gut, deshalb sollten Sie alles daran setzen, sie vor Spam-Versendern zu schützen – denn wer einmal auf den Verteilerlisten von Spammern landet, hat eigentlich schon verloren.

Zwar gibt es keine hundertprozentig sichere Methode, die eigene E-Mail-Adresse vor Spammern zu bewahren, doch gibt es eine ganze Reihe von Dingen, die man als Anwender oder Webmaster tun kann – ebenso einiges, was man tunlichst unterlassen sollte – um es Spam-Versendern so schwer wie möglich zu machen, um an Ihre Adresse heranzukommen. Wir zeigen Ihnen die wichtigsten.

Spam vorbeugen: 10 goldene Regeln

  Geben Sie Ihre E-Mail-Adresse nur Personen, die Sie kennen und/oder vertrauen.

  Verwenden Sie eine E-Mail-Adresse für den privaten Mailverkehr, und eine zweite Adresse für Newsletter-Abonnements, E-Commerce-Transaktionen und sonstigen Web-Aktivitäten. Erstere Adresse erhalten die im vorherigen Punkt erwähnten Vertrauenspersonen, letztere erhalten alle anderen.

  Viele Websites verlangen vor dem Download einer Datei oder dem betrachten einer Seite die Angabe einer E-Mail-Adresse. Sofern nicht ausdrücklich eine gültige Adresse vonnöten ist – weil etwa ein Zugangs-Code an die Adresse geschickt wird – empfiehlt es sich, einfach eine Dummy-Adresse wie beispielsweise „1234@zyxwv.com“ anzugeben.

  Wenn Sie Online-Services wie Webmail, Messenger oder Chat benutzen, stellen Sie in Ihren Konto-Optionen sicher, dass Ihr Mitgliedsname in keinem öffentlich zugänglichen Verzeichnis gelistet wird.

  Wenn Sie an Newsgroup-Diskussionen (NNTP) teilnehmen, verschleiern Sie Ihre „Antwort-An“- (Reply To) Adresse. Die oft genutzte Methode, E-Mail-Adressen mit einem „NOSPAM“-Zusatz zu versehen, wird mittlerweile von den meisten Spambots erkannt. Versuchen Sie es stattdessen mit Alternativen wie beispielsweise „name AT gmx DOT de“, die ein normaler User (hoffentlich) zu entziffern vermag.

  Wenn Sie ein E-Mail gleichzeitig an mehrere, einander unbekannte Empfänger versenden, setzen Sie alle auf Blindkopie (BCC), so dass die E-Mail-Adressen verborgen und privat bleiben. Dies gilt insbesondere für geschäftliche Korrespondenz. Ihre Empfänger werden es Ihnen danken, und wenn sie dann auch noch von Ihrer stilvollen Netiquette etwas lernen, kommt es allen zugute.

  Öffnen Sie keine empfangenen Spam-Mails. Neben dem Risiko, dass Sie sich einen Virus oder Dialer einfangen, nutzen Spammer oft HTML-formatierte Mails um die Gültigkeit Ihrer Adresse zu überprüfen. Spezielle IMG-Tags für die eingebetteten Grafiken können Ihre E-Mail-Adresse in kodierter Form enthalten. Wenn diese Grafiken vom Server abgerufen werden, ist das für den Spammer der Beweis, dass das Mail seinen Empfänger erreicht hat und auch gelesen wurde. Die Folge: Noch mehr Spam. Dies gilt übrigens auch für die in Mail-Programmen wie Outlook integrierte „Voransicht „-Funktion.

  Sollten Sie versehentlich ein Spam-Mail öffnen, widerstehen Sie der Versuchung, auf die oft angebotene Möglichkeit des „Abmeldens“ (Unsubscribe) einzugehen. Mit Ihrer E-Mail-Adresse verdienen Spammer ihren Lebensunterhalt – niemals würden sie Sie aus ihrer Liste austragen. Auch hier gilt: Ein Klick auf den Link „Abmelden“ dient in aller Regel ausschließlich zum Verifizieren Ihrer E-Mail-Adresse.

  Kaufen Sie keine Ware oder Dienstleistung, die mittels Spam beworben wird. Dank der extrem niedrigen Kosten des Spam-Versands ist eine Kampagne auch bei nur einem verkauften Produkt von 10.000 ein Erfolg. Wenn niemand die Produkte kauft, die durch Spam beworben werden, dann hören Hersteller und Dienstleister eines Tages auf, Spam als Vertriebsweg zu nutzen.

  Wenn Sie E-Mail-Newsletter abonnieren, oder sonstige Online-Services, die eine Registrierung voraussetzen, nutzen möchten, nehmen Sie sich die paar Minuten Zeit, um die Nutzungsbedingungen und/oder Datenschutzrichtlinien (Privacy Policy) durchzulesen. In der heutigen Wirtschaftslage versuchen nicht wenige Firmen mit allen nur erdenklichen Mitteln Geld zu verdienen – inklusive der Weitergabe Ihrer persönlichen Daten und Kontaktinformationen.

Wer über eine Internetpräsenz verfügt, möchte in der Regel auch, dass Site-Besuchern die Möglichkeit gegeben wird, per E-Mail Kontakt aufzunehmen. Doch wie bereits erwähnt setzen hier die Spambots an. E-Mail-Adressen, die auf Webseiten im Klartext angegeben sind, landen früher oder später, und im Allgemeinen früher, im Bauch eines hungrigen E-Mail-Agenten.

Als Webmaster sollten Sie es also unbedingt vermeiden, E-Mail-Adressen auf Ihren Seiten zu veröffentlichen, ohne zumindest einfache Schutzmaßnahmen zu treffen. Auch hier gibt es verschiedene Ansätze, die im Folgenden beschrieben werden.

  E-Mail-Adressen nie im Klartext angeben

Klickbare mailto-Links auf Ihrer Homepage sind für den Besucher eine praktische Sache. Für Spambots allerdings auch, sofern die Links nicht mit Hilfe von JavaScript oder einer anderen Methode verschleiert werden.

Zwei hervorragende und kostenlose Tools zum Enkodieren von mailto-Links sind Jim Tuceks Email Protector [2] und Hivewares Enkoder [3] . Beide lassen sich einfach im Browserfenster bedienen, und erzeugen JavaScript-Code, der in allen gängigen Browser-Versionen funktionert.

Email Protector [2] Hiveware Enkoder [3]
Email Protector [2] bietet JavaScript-Enkodierung und echte Verschlüsselung in einem. Erste Wahl. Hiveware Enkoder [3] bietet eine alternative, aber ebenso raffinierte JavaScript-Enkodierung von E-Mail-Adressen.

Verschlüsselte E-Mail-Adressen
Schmeckt nicht: Spambots beißen sich an
enkodierten mailto-URLs die Zähne aus.

  E-Mail-Adressen in Grafiken verstecken

Zusätzlich zur JavaScript-Methode sollten Sie auf mindestens einer Webseite Ihre E-Mail-Adresse auch in Form einer Grafik angeben. So ist gewährleistet, dass auch Besucher mit deaktiviertem Scripting den Kontakt mit Ihnen aufnehmen können. Spambots lassen Grafiken außen vor, da sie nichts mit ihnen anfangen können. Die Grafik darf aber nicht mit einem herkömmlichen mailto-Link versehen werden.

E-Mail-Adresse als Grafik

  E-Mail-Formular verwenden

Eine weitere sichere Methode ist die Verwendung eines Browser-basierten Mail-Formulars. Möglicherweise bietet Ihr Provider bereits ein Standard-CGI im Lieferumfang Ihres Hosting-Pakets. Sollte dies nicht der Fall sein, gibt es im Web eine Vielzahl von kostenlosen Script-Lösungen, die diese Aufgabe erfüllen. Ein kostenloses Beispiel in Form eines Perl-Scripts finden Sie hier [4]. Das Archiv mail.zip enthält alles, was Sie brauchen, um ein einfaches Mail-Formular auf Ihrem Server aufzusetzen.

  Apache Webserver: Spambots ausschließen

Sofern Ihr Webserver unter Apache läuft, können Sie anhand der Konfigurationsdateien robots.txt und .htaccess bekannte Spambots von Ihrer Site gänzlich ausschließen.

Zuerst legen Sie den Spambots eine Falle, indem Sie in der robots.txt ein Dummy-Verzeichnis angeben, das angeblich E-Mail-Adressen enthalten soll – aber nicht existiert. Nach einer bestimmten Zeit können Sie anhand der User-Agents in den Log-Dateien feststellen, welche Bots den Köder geschluckt haben. Diese sperren Sie mit Hilfe der .htaccess aus.

Eine detaillierte, aber leicht verständliche Anleitung finden Sie bei evolt.org [5] in dem Artikel ‚Using Apache To Stop Bad Robots‘.

Wer sich strikt an die in diesem Artikel empfohlenen Ratschläge und Vorgehensweisen hält, kann das Aufkommen von Spam auf ein absolutes Minimum reduzieren. Doch wer bereits jetzt mit einer täglichen Lawine von Werbemails zu kämpfen hat, dem bleibt wenig anderes übrig, als mit einer neuen E-Mail-Adresse einen sauberen Start zu machen, oder sich mit einer Auswahl der zahlreich im Markt vorhandenen Anti-Spam-Tools Abhilfe zu schaffen. ZDNet hat in zwei ausführlichen Download-Specials die effektivsten Werkzeuge zur Spam-Bekämpfung für Sie zusammengestellt.

Spam-Filter

  ZDNet Downloads: Anti-Spam-Tools [6]

  ZDNet Downloads: Spam-Killer [7]

Gefällt Ihnen dieser Artikel? Dann abonnieren Sie gleich den kostenlosen ZDNet Tech Update Newsletter [8] zu den Themen Betriebssysteme, Security, E-Business und mehr: Der wöchentliche Newsletter für IT- und Business-Entscheider.

Artikel von ZDNet.de: http://www.zdnet.de

URL zum Artikel: http://www.zdnet.de/2131934/spam-flut-ausser-kontrolle-wie-sie-den-kampf-gewinnen/

URLs in this post:

[1] Google: http://www.google.com/search?hl=de&ie=ISO-8859-1&q=buy+bulk+mailing+lists&lr=

[2] Email Protector: http://www.jracademy.com/~jtucek/email/download.html

[3] Enkoder: http://www.hiveware.com/enkoder_form.php

[4] hier: http://dansie.net/spam_fighting_tips.html

[5] evolt.org: http://evolt.org/article/rating/18/15126/index.html

[6] Anti-Spam-Tools: http://www.zdnet.de/downloads/weekly/14/weekly_282-wc.html

[7] Spam-Killer: http://www.zdnet.de/downloads/weekly/12/weekly_249-wc.html

[8] ZDNet Tech Update Newsletter: http://php.zdnet.de/nl/index.php?