Sep 18

kampf dem spamTräumt ihr nicht auch manchmal von einer sauberen Mailbox? Mein Kollege sprach heute mal wieder über das leidige Phänomen von unerwünschter Email-Werbung, im IT-Jargon auch Spam genannt.
Nun könnte ich als als Informatiker und Internet-Experte behaupten, mit Spam kein Problem zu haben, doch würdet ihr’s mir glauben?
Heutzutage reicht es schließlich schon, eine Emailadresse angelegt zu haben, man braucht sie im schlimmsten Fall nicht einmal zu benutzen um dennoch mit Werbung zugemüllt zu werden, die man niemals angefordert hat.
Von Viagra aus Russland über Geschlechtsteilvergrößerungen aus USA bishin zu inländischen Gewinnspielen und Sonderangeboten dubioser Onlineshops – die Zwecke, zu denen Emailadressen mehr missbraucht als gebraucht werden, sind vielfältig. Während nicht nur die Wege, auf denen die eigene Adresse verteilt wurde, alles andere als nachvollziehbar sind, gibt es vor allem auch praktisch keinen effektiven Schutz vor Spam. Ein Grund, warum auch ich immer mal wieder gefragt werde, wie ich mich denn dagegen wehre. Nun Tobe hat da eine ganz besondere Strategie, die vom Kerngedanken her weniger defensiv abwehrend als offensiv attackierend ist.

Um zu erläutern, warum ich diese andere, auf den ersten Blick vielleicht aufwändig(er) erscheinende Vorgehensweise gewählt habe, ein kurzer Exkurs, wie man Spam heutzutage typischerweise bekämpft und warum ich meine, dass dies niemals effektiv genug sein wird, um langfristig Spam zu reduzieren oder gar gänzlich zu verhindern.
Vereinfachend erklärt, gibt es drei Formen der direkten Spam-Abwehr, wie sie sowohl von Emailprovidern (wie Web.de, GMX & Co) als auch von Herstellern spezieller Anti-Spam-Software angewandt wird:

  • Absenderabhängige Blacklist-Filter
    Bei dieser Form der Spam-Abwehr werden die Absender eingehender Emails mit einer zentral vorliegenden Datenbank nicht vertrauenswürdiger Absenderadressen (=Blacklist) abgeglichen. Emails, die von nicht vertrauenswürdigen Adressen kommen, werden als Spam deklariert und landen nicht im Posteingang des Empfängers. Nachteil: die Blacklist-Datenbank muss reaktiv gepflegt werden (serverseitig)
  • Absenderabhängige Whitelist-Filter
    Die Whitelist ist das Gegenstück der Blacklist, wobei prinzipiell ersteinmal alle Emailadressen auf der Blacklist landen. Der Benutzer, also Emailempfänger pflegt selbst eine Datenbank vertrauenswürdiger Emailabsender (Whitelist). Nur diese landen im Posteingang. Nachteil: die Whitelist-Datenbank muss reaktiv gepflegt werden (clientseitig)
  • Algorithmische Blacklist-Filter
    Hier gibt es keine feste Datenbank vertrauensunwürdiger Anbieter, sondern eine Kombination verschiedener Prüfverfahren entscheidet nach bestimmten Kriterien (z.b. Absendemailserver, Betreff, Text), ob es sich um eine (potenzielle) Spam-Mail handelt. Nachteil: die Algorithmen der Prüfverfahren müssen reaktiv angepasst werden

In der Praxis finden sich im Wesentlichen diese drei, meist in Kombination miteinander verwendeten Methoden, deren gemeinsamer Nachteil schon erahnen lässt, warum sie keine langfristig effektive Lösung darstellen: Reaktive Anpassung. Spam-Versender sind kreativ, wenn es darum geht, Filter zu überlisten. Ist das geschehen, muss die statische Blacklist oder der Algorithmus angepasst werden, um genau jene Umgehung in Zukunft wieder abzufangen. Ein endloser Prozess, der im Falle kostenloser Emailanbieter mal mehr oder weniger träge von statten geht. Unlängst hat man hier ähnlich wie bei der Virenabwehr eine neue Einnahmequelle entdeckt und viele Emailprovider bieten “erweiterten” Spam-Schutz nur gegen Bezahlung. Analog auch die Anbieter sogenanter Anti-Spam-Programme.
Überhaupt ist der Vergleich mit Viren gar nicht so verkehrt, denn während Spam-Mail fast genauso lästig wie eine Virusattacke ist, stellt die Spam-Abwehr ein ähnliches Perpetum Mobile wie der Antiviruskampf dar.

Mein Idee, war daher, Spam nicht an seiner Ursache zu bekämpfen sondern vielmehr seine Existenzgrundlage. Spam kann und wird es nur solange geben, wie dessen Versender auch Nahrung für ihre Spamsoftware besitzen: Emails. Um Spam in meiner Inbox zu verhindern, musste ich dafür sorgen, dass die Spammer nicht in den Besitz meiner Emailadresse kamen. Aber wie?
Es hilft, sich einmal anzuschauen, wie Spamversender generell so an Emailadressen gelangen:

  • per Email-Handel
    Es gibt nicht nur eine riesige Untergrundszene von Datensammelern, die Emailadressen horten und (illegal) weiterverkaufen. Bei vielen Diensten im Internet willigt der Benutzer einer Datenschutzerklärung ein, die es dem Betreiber erlaubt, die persönlichen Daten völlig legal an sogenannte “Partner” weiterzugeben. Besonders häufig finden sich entsprechende Klauseln bei sogenannten Gratis-Diensten oder Gewinnspielen, die für den Nutzer augenscheinlich kostenlos sind.
  • mittels Email-Scanner
    Hierbei handelt es sich um speziell angefertigte Software, die den Quelltext beliebiger Internetseiten automatisiert nach Emailadressen absucht. Zwar werden jene Seiten, auf denen Emailadressen öffentlich zugänglich hinterlegt sind, immer seltener, doch gibt es immer noch genügend Beispiele wie Gästebücher oder Impressen, wo Nutzer oder Betreiber leichtsinnig uncodierte Kontaktadressen hinterlassen haben.

Aus diesem Wissen heraus, habe ich für mich seit ein paar Monaten den folgenden Drei-Punkte-Plan zur Abwehr unerwünschter Werbemails umgesetzt:

  1. Eine eigene Domain reservieren und Postfach für Catch-All konfigurieren
  2. Zu jedem Zweck eine eigene Emailadresse angeben
  3. Nur bei vertrauenswürdigen Diensten eine eigene Email angeben

Das bedeutet im Einzelnen:

  1. Domains sind heute erschwinglich für jedermann. Und wer eine Domain besitzt, hat auch automatisch Postfächer im Format deinewahl@domain.de.
    Der Vorteil: eine einprägsamere, frei wählbare Adresse, die zum eigenen Namen passt.
    Bei der Registrierung ist darauf zu achten, dass Catchall unterstützt wird! Dies ist eine serverseitige Einstellung, die bewirkt, dass alle an eine beliebige aber nichtexistente Adresse der Domain gerichtete eMails an eine feste existierende Emailadresse weitergeleitet werden bzw. werden können.
    Ein fiktives Beispiel: Auf der Domain Mustermann.de gibt es nur eine real existierende Mailbox: Markus@Mustermann.de. Schickt jemand eine Mail an Marcus@Mustermann.de (also Tippfehler) oder Familie@Mustermann.de greift die Catch-All Konfiguration und die Mail wird automatisch an Markus@Mustermann.de weitergeleitet.
  2. Emailadressen erfüllen verschiedene Zwecke. Mal werden sie für Anmeldungen in Foren benötigt, mal für das Abo eines Newsletters, dann als Kontakt unter Freunden oder auch geschäftlich auf der Visitenkarte. Für jeden Zweck wird nun eine eigene Emailadresse angegeben, aber nicht erstellt! Markus aus unserem Beispiel gibt bei seiner Anmeldung im Fußball-Forum eine Adresse wie Fussballforum@Mustermann.de an, für seinen Aktien-Newsletter so etwas wie Aktiennews@Mustermann.de, seine Freunde bekommen Freunde@Mustermann.de und auf seine Visitenkarte schreibt er Visitenkarte@Mustermann.de. Was er angibt und vor allem auch wieviele dieser fiktiven Adressen er letztendlich erstellt, ist dabei egal, denn alle werden an seine Mailbox unter Markus@Mustermann.de weitergeleitet.
  3. Sobald man an einem Dienst teilnimmt, wobei Dienst hier jegliche Leistung meint, die von einem Unternehmen bereitgestellt wird, ist die Datenschutzerklärung zu prüfen. Beinhaltet diese eine Klausel zur Weitergabe persönlicher Daten oder fehlt diese gänzlich, wird entweder auf die Teilnahme am Dienst verzichtet oder aber es wird über einen Drittanbieter eine temporäre bzw. annullierbare Emailadresse erstellt und diese angeben. Anbieter solcher Dienste lassen sich bei Google leicht lokalisieren indem man nach Stichworten wie “Temporary Forwarding” oder “Trash Mail” sucht.
    Dienste im weiteren, nicht zwingend unternehmerischen Sinne sind zu meiden, sobald eine Teilnahme eine Veröffentlichung der eigenen Emailadresse in uncodierter Form zur Folge hat, Bsp. Gästebücher.

Wer diesen Drei-Punkte-Plan konsequent verfolgt, betreibt zwar keine aktive und direkte Spam-Abwehr, aber hält ein mächtiges Mittel in der Hand, um eingehenden Spam zurückzuverfolgen und einen Verantwortlichen finden und dingfest machen zu können.
Wieviel das wert ist mag klar werden, wenn man überlegt, wie lange das Versenden von Spam nun schon verboten und wettbewerbswidrig ist. Etwas mit Gesetzen zu regeln bringt jedoch nur etwas, wenn man die Umsetzung selbiger Gesetze auch realisieren kann!

Die bis hier geschilderte Methodik bedient sich neben der Prävention auch der Greifbarkeit eines Verstoßes, der schon viel früher geschehen ist. Dann nämlich wenn ein Unternehmen Daten weitergegeben hat, obwohl es dazu nicht berechtigt war.
In dem Moment, indem ich als Markus Mustermann Spam Mails mit der Empfängeradresse VersandhausXYZ@Mustermann.de bekomme, weiß ich, dass das VersandhausXYZ meine Emailadresse weitergegeben haben muss.
Habe ich dieser Weitergabe jedoch nicht in einer entsprechenden Datenschutzerklärung eingewilligt, ist dies ein Verstoß gegen das Bundesdatenschutzgesetz. Und dagegen kann ich mit rechtlichen Mitteln vorgehen.

Eine langfristig viel erfolgsversprechendere Strategie, denn wie sagt schon der Volksmund: Angriff ist die beste Verteidigung!

Wenn dir der Artikel gefallen hat, abonniere den kostenlosen RSS-Feed von !
Deine Meinung: 1 Stern2 Sterne3 Sterne4 Sterne5 Sterne
4.50 von 5 Punkten, basierend auf 2 abgegebenen Stimmen.
Loading ... Loading ...
5,509 views

7 Kommentare zu “Spamfreie Zukunft”

Hast du keine Meinung?
  1. Markus meinte:

    Hi! Also erstmal: Super Artikel / Blogpost! Sehr detailliert und auch sehr interessant! Von mir 6 Sterne :)

    Also ich nutze das von dir beschriebene Verfahren in abgeschwächter Form auch schon seit ca. einem Jahr und ich muss sagen, dass es bisher ziemlich gut funktioniert hat.

    Ich richte ehr E-Mail Adressen für die Kommunikation in Blogs / Foren etc ein. Ehrlich gesagt ist es mir etwas zu aufwendig den Überblick zu bewahren, wenn jede Seite (oder sogar Blog) eine eigene E-Mailadresse bekommt. Da müsste ich bei einem vergessenen Passwort zu lange überlegen bis mir die E-Mailadresse für Versandhaus XY wieder einfällt :)

    In letzter Zeit habe ich aber noch ein viel schlimmeres Problem. Bei einer Homepage die ich betreue wird die Domain also z.B. @Mustermann.de [kurze Anmerkung: wieviel Spam müssen solche Seiten wie mustermann.de oder so eigentlich bekommen? :) ] als SpamABSENDER missbraucht!

    Also es werden hunderte Mails im Namen dieser Domain verschickt und anscheinend kann man auch nichts dagegen machen.

    Ich habe die IPs gecheckt (trace und so) und die kommen aus Polen und den USA. Fast unmöglich da rechtlich aktiv zu werden. Abgesehen davon könnten es ja theoretisch auch infizierte Rechner sein, die diese Mails verschicken. Irgendwie ist man da schon machtlos wenn die Mails aus dem Ausland verschickt werden.
    Besonders bei Unternehmen ist dies wohl Geschäftsschädigend. Ich habe schon in einigen Foren gesucht, aber leider bekomme ich jedes mal die gleiche Antwort: Es kann da nichts gemacht werden. Jeder Absender kann gefälscht werden. Lediglich auf der Emfängerseite kann man checken ob die verwendeten Mailserver auch -> wirklich

  2. tobe meinte:

    danke für die blumen. dachte, nach einer kleinen pause hier ist es mal wieder zeit für etwas größeres ;-) wann kommt bei dir mal was neues?

    @zu aufwendig: mindestens eine mail mit individueller empfängeradresse sollte man sich freilich aufheben, um den überblick zu behalten.

    @maildomain-spoofing: da ist man in der tat machtlos. habe ähnliches problem, doch behandle ich es nicht als problem. inwiefern stört es dich?

  3. Markus meinte:

    Hoi! :) Da es sich bei der Domain um ein Unternehmen handelt, kann ich mir durchaus vorstellen, dass sich die Spammails eventuell auch ein wenig geschäftsschädigend auswirken könnten.

    Ich glaube manche, unerfahrene Internetuser wissen nicht, dass das Fälschen einer E-Mailadresse ungefähr so einfach ist, wie einen anderen Absender auf die Rückseite eines Briefes zu schreiben.

    Manche gehen dann vielleicht sogar davon aus, dass es sich um eine absichtliche Aktion des Unternehmens handelt oder zumindest eine IT Sicherheitslücke besteht.

    Aber wird sich zeigen. Bisher kam noch keine Beschwerdemail, abgesehen von den ganzen “Delivery Failures” ein.

  4. Spam oder nicht? - tobes blog meinte:

    [...] sich für seine Mailboxnutzung und Emailadressenverteilung kein intelligentes System hat einfallen lassen, der wird sich selbst bei wenig intensiver Nutzung elektronischer [...]

  5. nadar meinte:

    Allerdings wird CatchAll vom Segen zum Fluch, wenn ein Spammer randomisierte Adressen zur Domain benutzt, z.B. hrfweiog@Mustermann.de, gnboekbe@Mustermann.de usw
    Solche Adressaten sah ich schon öfter…

  6. tobe meinte:

    jupp, das stimmt. iss aber m.E. eher selten, da wenig leute catchall aktiviert haben … und es für spammer eher ineffizient ist

  7. Spamfreie wegwerf email meinte:

    Kostenlose wegwerf email adresse

Kommentieren