Extrem freches Spam! :-(
Damian Pfister
Heute habe ich das bisher extremste Spammail bekommen. So ziemlich alle
Angaben im Mailheader sind auf meine _eigene_ Mailadresse gefälscht! Wo
führt das noch hin? Muss ich nun sogar noch meine eigene Mailadresse in
die Antispamliste aufnehmen? Dort sind schon 220 Einträge vorhanden. Was
kann man unternehmen? Abuse an GMX ist schon raus. Gruss, Damian.
Hier das Spammail:
--- START SPAM ---
Return-Path: <damian....@gmx.net>
X-Flags: 0000
Delivered-To: GMX delivery to damian....@gmx.net
Received: (qmail 15109 invoked by uid 0); 22 Apr 2002 23:06:01 -0000
Received: from mail.foodsys.com (HELO goodmorning) (198.144.6.170)
by mx0.gmx.net (mx030-rz3) with SMTP; 22 Apr 2002 23:06:01 -0000
From: "damian....@gmx.net" <damian....@gmx.net>
To: <damian....@gmx.net>
Subject: Hi, I just want to recommend you a free e-book...
Date: Fri, 12 Apr 2002 12:20:02 +0100
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso - 8859 - 1"
Content-Transfer-Encoding: 7bit
Message-ID: <200204222306...@mx030-rz3.gmx.net>
The title of the electronic book is:
"I am me I am free - The Robots' Guide to Freedom.pdf" (209 pages)
It really gave me a much wider understanding of the overwhelming
manipulation and mind control taking place in the world today.
So I thought that maybe others would find it interesting too.
Actually there is a good deal of humour in the book also.
If you are interested, you can mail me at sunshi...@boxfrog.com and
I will either;
a) send you a link to where you can download it or;
b) send you the book as an email attachment.
The file size is 1.820.000 bytes and you need the free Acrobat Reader
program to view and/or print out the book.
As a third option you may be able to find the file on the KaZaA network.
Friendly greetings from Sun Shine :-)
Notes:
1) I found your email address on the internet, (in a newsgroup posting
or link on a web site) and I ask you to forgive me for that.
2) I will not mail you again, unless you ask me to.
3) I have chosen not to reveal my real name, because some people feel
uncomfortable about people giving information away for free.
4) I am not affiliated with the author (davidicke.com) in any way.
4) I don't think the publisher of the paper version of the book will
earn less money - in fact I believe that everyone benefits:
a) The book will get more talked about, so the publisher will sell
more of them.
b) The author will be happy to have his work spread to more people.
c) You have the opportunity of receiving an interesting book for
free.
d) I am happy to help in this process, although I don't earn any
money doing so.
e) Eventually the earth might become a nicer place to live for us
all.
--- ENDE SPAM ---
Adrian
Posting gehört zwar ins ch.admin eher!
Aber wenn es ein richter 100'000 Spam ist dann viel Spass beim "Deleten"...
denn alle x-hunder bis tausend E-Mails wo nicht zugestellt werden können,
wieso auch immer, kommen bald alle zum Absender zurück...
und der Absender ist ein damian....@gmx.net bzw. du.
Wenn nicht glück gehabt.
Gruss,
Adrian
"Damian Pfister" <damian....@gmx.net> schrieb im Newsbeitrag news:aa26ij$77be8$1...@ID-82612.news.dfncis.de...
Michael Stucki
Realname please!
(TOFU repariert, beim nächsten Mal bitte selber machen...)
>> Heute habe ich das bisher extremste Spammail bekommen. So ziemlich alle
>> Angaben im Mailheader sind auf meine _eigene_ Mailadresse gefälscht! Wo
>> führt das noch hin? Muss ich nun sogar noch meine eigene Mailadresse in
>> die Antispamliste aufnehmen? Dort sind schon 220 Einträge vorhanden. Was
>> kann man unternehmen? Abuse an GMX ist schon raus. Gruss, Damian.
>> Return-Path: <damian....@gmx.net>
>> From: "damian....@gmx.net" <damian....@gmx.net>
>> To: <damian....@gmx.net>
> Posting gehört zwar ins ch.admin eher!
> Aber wenn es ein richter 100'000 Spam ist dann viel Spass beim
> "Deleten"... denn alle x-hunder bis tausend E-Mails wo nicht zugestellt
> werden können, wieso auch immer, kommen bald alle zum Absender zurück...
> und der Absender ist ein damian....@gmx.net bzw. du.
> Wenn nicht glück gehabt.
So wie ich das sehe, entstehen derartige Mails skriptgesteuert. Dabei
werden jeweils Return-Path, From und To auf dieselbe Adresse gesetzt.
Ich denke nicht, dass jeder der Empfänger Deinen Namen als Absender sieht...
Was man aber dagegen tun kann...?
Ich denke, es ist Sache von GMX, die Headers zum überprüfen. Sie wissen am
besten, welche Mails mit GMX-Adresse wirklich echt und daher via den
GMX-Server versendet worden sind...
Hast Du evtl. von GMX eine Antwort auf Dein Abuse-Mail gekriegt?
Gruss
Michael
Ortwin Glück
> Abuse an GMX ist schon raus. Gruss, Damian.
>
> by mx0.gmx.net (mx030-rz3) with SMTP; 22 Apr 2002 23:06:01 -0000
GMX ist die falsche Adresse für einen Complaint.
Schicks an SpamCop, das sagt dir wohin du dich wenden kannst.
Odi
Andreas Meile
news:aa5kjc$85b17$1...@ID-123363.news.dfncis.de...
> Was man aber dagegen tun kann...?
>
> Ich denke, es ist Sache von GMX, die Headers zum überprüfen. Sie wissen am
> besten, welche Mails mit GMX-Adresse wirklich echt und daher via den
> GMX-Server versendet worden sind...
Eine Überlegung, die ich mir schon gemacht habe, vielleicht sollte ich sie
gar einmal mit einem selber geschriebenen Port-25-Vorfilterprogramm einmal
ausprobieren:
Ein Host, der mir etwas senden möchte, kommt von einer bestimmten
IP-Adresse, d.h. baut ein TCP-Socket zu meinem SMTP-Server auf.
Nun liesse sich doch folgendes machen:
1.) nslookup/set type=mx und MX-Eintrag der bei "MAIL
From:"-SMTP-Protokollzeile den rechten Teil testen => falls einer der Mail
Exchanger IP-Adressmässig vorkommt, so ist der Host in Ordnung, ansonsten
gehe zu Schritt 2.
2.) Führe ein Rückwärts (in-addr.arpa)-DNS-Lookup der IP-Adresse durch:
Lautet diese auf die Domain, so ist es ebenfalls in Ordnung, _aber_ nur,
wenn die Vorwärtsauflösung wieder auf die selbe IP-Adresse zeigt.
Beispiel: Host 193.167.77.22 will mir etwas senden und gibt sich als "MAIL
From: "Andy Buenzli" <an...@buenzli.ch>" aus. => Ich mache "nslookup
193.167.77.22" und erhalte "sunsolaris7.ee.buenzli.ch" zurück. Zur Kontrolle
noch der Vorwärt-DNS-Lookup: "nslookup sunsolaris7.ee.buenzli.ch" zeigt auf
193.167.77.22 = Adresse ebenfalls in Ordnung. => Mail kann akzeptiert
werden. Fall dieser Test auch fehlschlägt, gib noch eine letzte Chance in
Schritt 3, bevor ein "550 unauthorized mail relay agent" zurückgegeben wird.
3.) "nslookup" mit folgenden Namen machen: mail.buenzli.ch, www.buenzli.ch,
ftp.buenzli.ch, smtp.buenzli.ch (ausgewählte Liste) => wenn darunter die
gesuchte IP-Adresse vorkommt, so ist der Mail-Versand in Ordnung, sonst Mail
mit 550er-Fehler zurückweisen.
Meiner Meinung nach sollte man eine RFC-Empfehlung herausgeben, welche
lautet: Zu jeder für e-Mail-Adresse verwendeten Domain soll ein DNS-Eintrag
"mailcnt.buenzli.ch" existieren, der eine Pseudo-IP-Adresse wie 127.0.0.5
zurückliefert, bei welcher nur die letzte Zahl relevant sein soll: So viele
autorisierte SMTP-versendende Server habe meinetwegen diese Organisation
spezifisch zur Domain. Um deren gültigen IP-Adressen in Erfahrung zu
bringen, soll "nslookup mail1.buenzli.ch" .. "mail5.buenzli.ch" genügen. Ein
Mailserver-Programmierer kann dann dies mit Pseudo-Code ungefähr wie folgt
implementieren:
x = READ_SMTP_PROTOKOLL
IF Kommando(x) = "MAIL From:" THEN
y = Mail_Adresse_Teil(x)
domain = rechter_teil_vom_at(y)
pseudo_ip[] = split(gethostbyname("mailcnt." + domain), ".")
autorisiert = False
FOR i := 1 TO pseudo_ip[4]
IF gethostbyname("mail" + i + "." + domain) = ip_vom_accept THEN
autorisiert = True
END IF
NEXT i
IF autorisert = True Then
WRITE_SMTP_PROTOKOLL "250 Sender ok"
Continue_Dialog
ELSE
WRITE_SMTP_PROTOKOLL "550 unauthorized SMTP agent"
Abort_Dialog
END IF
END IF
Da ich ja bald meine Mietleitung habe und Linux-Server verwende, sollte ich
eigentlich direkt einmal prototypmässig so etwas in der Art als Pilotversuch
einmal ausprobieren (C-Programm schreiben), jedoch vorerst einmal nur für
Test-Mail-Adressen. :-)
Andreas
--
Stopp der digitalen Kluft zwischen Stadt und Land - Internet zum
Pauschaltarif für jeden - www.adsl-protest.ch
Patrick Kormann
> Da ich ja bald meine Mietleitung habe und Linux-Server verwende, sollte ich
> eigentlich direkt einmal prototypmässig so etwas in der Art als Pilotversuch
> einmal ausprobieren (C-Programm schreiben), jedoch vorerst einmal nur für
> Test-Mail-Adressen. :-)
Ein ziemlich gigantischer Aufwand (stell dir mal vor, was das kosten
würde...) für einen ziemlich kleinen Nutzen.
Du kannst also nicht mehr in ein Internetcafe gehen und eine Mail mit
dem Absender and...@hofen.ch versenden, weil diese Surfstation nicht
dafür authorisiert ist?
Du kannst im Büro nicht mehr deine Home-Adresse verwenden? Jeder
Heimuser kann nur noch die E-Mail seines Providers benutzen (oder gibt
es pro Kunden dann einen Eintrag in die mailclnt-liste?)
Hmm. also ich bin dagegen :)
Ortwin Glück
> Nun liesse sich doch folgendes machen:
> 1.) nslookup/set type=mx und MX-Eintrag der bei "MAIL
> From:"-SMTP-Protokollzeile den rechten Teil testen => falls einer der Mail
> Exchanger IP-Adressmässig vorkommt, so ist der Host in Ordnung, ansonsten
> gehe zu Schritt 2.
>
> 2.) Führe ein Rückwärts (in-addr.arpa)-DNS-Lookup der IP-Adresse durch:
> Lautet diese auf die Domain, so ist es ebenfalls in Ordnung, _aber_ nur,
> wenn die Vorwärtsauflösung wieder auf die selbe IP-Adresse zeigt.
>
> www.buenzli.ch,
> ftp.buenzli.ch, smtp.buenzli.ch (ausgewählte Liste) => wenn darunter
> die
> gesuchte IP-Adresse vorkommt, so ist der Mail-Versand in Ordnung,
> sonst Mail
> mit 550er-Fehler zurückweisen.
Tolle Lösung für ein Problem, das keines ist.
Du willst offenbar verhindern dass jemand ein Email von einer Domain aus
schickt und eine Absenderadresse angibt, die nicht aus dieser Domain
stammt. Du bist dir offenbar über die Folgen nicht im klaren.
Es gibt ISPs und Email Service Provider:
- Der Cablecom SMTP Server würde dann nur Email verschicken, deren
Absender @cablecom.com ist.
- Der Yahoo SMTP Server würde dann nur Email verschicken, deren Absender
@yahoo.com ist.
- Ich bin Cablecom Surfer mit Yahoo account.
- Ich müsste, um eine Yahoo-Mail zu verschicken also den netztopologisch
ungünstig weiten Weg bis nach Amerika machen um den SMTP Server von
Yahoo zu verwenden, weil der Cablecom Server um die Ecke meine Mails
nicht akzeptiert.
- Der Yahoo Relay wird mich handkehrum aber auch nicht akzeptieren weil
ich im Cablecom Netz hocke.
Es gibt zudem grosse Firmen wie die Credit-Suisse die einen bunten
Strauss an Domains besitzt
Bei
https://wwws.nic.ch/reg/domain/searchdomain.cfm?mode=basic
mal Credit Suisse eingeben und staunen.
und deren gesamter Mailverkehr über drei Relays in derselben Domain geht.
mail.credit-suisse.com
mail-gw1.credit-suisse.com
mail-gw2.credit-suisse.com
Da bist du ja nur noch am DNS diggen bis du weisst ob der Absender nun
okay ist. Schritt 3 skaliert nicht: je grösser die Firma (# Domains),
desto höher der Aufwand für die Prüfung, aber das Mailvolumen nimmt
steigt auch mit der Grösse der Firma.
Sorry hä
Odi
Andreas Meile
news:aa74sf$7s4$1...@ns1.sirdir.ch...
> Ein ziemlich gigantischer Aufwand (stell dir mal vor, was das kosten
> würde...) für einen ziemlich kleinen Nutzen.
Primär geht es da nur um die Entwicklung eines Port-25-Proxy-Server, was
nicht so kompliziert wäre. Sicher, wenn man es "schön" machen will, sollte
man noch eine .conf-Datei einlesen, damit das Ganze beispielsweise als Open
Source für jeden zum Download bereitgestellt werden könnte.
> Du kannst also nicht mehr in ein Internetcafe gehen und eine Mail mit
> dem Absender and...@hofen.ch versenden, weil diese Surfstation nicht
> dafür authorisiert ist?
> Du kannst im Büro nicht mehr deine Home-Adresse verwenden? Jeder
> Heimuser kann nur noch die E-Mail seines Providers benutzen (oder gibt
> es pro Kunden dann einen Eintrag in die mailclnt-liste?)
Da hast Du natürlich auch wieder recht... :-) Böse Zungen würde gar sagen:
Warum nicht meine Idee erweitern, in dem man anstelle vom "mailcnt"-Eintrag
beispielsweise einen neuen Dienst (man müsste diesen mit einem RFC
standardisieren!) definiert, der sogar individuell nach e-Mail-Adresse
Auskunft geben kann, von wo welchen Hosts Mails angenommen werden dürfen?
Ok, das Problem vom Verwenden unter der Heimadresse vom Büro aus wäre damit
gelöst, in dem einfach der Firmen-Mailserver spezifisch für die Mail-Adresse
auch aufgenommen wird. Dagegen das Internet-Cafe-Problem wäre noch nicht
gelöst, ausser man weiss schon vor der Ferienplanung, wo man hingeht und
erfasst die dortige IP-Adresse vom Mailserver für eine begrenzte Zeit.
Andererseits macht dies aber auch wiederum nichts, d.h. man kann dies sogar
als erwünscht betrachten: Hättest Du Freude, wenn eines Tages unbestellte
Ware ins Haus flattert, nur weil ein Witzbold aus einem Internet-Cafe heraus
sich als pat...@kormann.ch ausgebend etwas per e-Mail bestellt hat?
Wie man also sieht, ist das Problem sicherlich nicht trivial lösbar,
deswegen macht es auch Sinn, Lösungsideen hier zusammen auszudiskutieren.
Eine interessante Erfahrung von mir aus der Vergangenheit und damit auch
wieder eine etwas fantasievolle Idee für einen solchen Filter: Eine Weile
lang hatte ich eine Autoantwort aktiviert, welche bei allen Mails versandt
wurde, welche durch den Spamschutzfilter fielen. Ergebnis: Fast jeder
Spammer verwendete eine Mail-Adresse, welche zwar vom Domainname korrekt
war, aber der linke Teil (Name) vom "@" produzierte ein "550 Unknown
recipient" => Bei einem Spam hatte ich deswegen dann gar zwei Mails im
Briefkasten. Und nun die Idee: Wie bei "sendmail" üblich, auch zuerst ein
"nslookup"/"set type=mx" vom rechten Teil beim MX machen, aber zusätzlich
auf Port 25 zurück-telneten an die vom MX erhaltene IP-Adresse und den
Dialog
HELO
MAIL FROM: eig...@mail.adresse.ch
RCPT TO: abse...@mail.adresse.ch
QUIT
ausprobieren: Wenn es den User nicht gibt, so blockt man ab. Etwas ganz
wichtiges jedoch braucht es natürlich noch: Wenn der Absender _und_ der
Empfänger diesen Rück-Telnet-auf-Port-25-Check machen würden, wäre ein
"Kurzschluss" vorprogrammiert: Der Host den ich teste, wird mein Host auch
testen und umgekehrt, d.h. eine Endlosschleife würde entstehen. Aber dieses
Problem kann man auch sehr einfach lösen: Wenn ein solcher Test von einem
Host gemacht wird, mit welchem ich durch meine Initative gerade
kommuniziere, so gibt man immer "250 OK" an der betreffenden Stelle zurück.
Also:
Host A will ein Mail nach Host B senden. Host B prüft die Mail-Adresse und
verbindet zu diesem Zweck auf Host A zurück. Host A bemerkt diesen
Testmail-Emfang und gibt dann sofort "250 OK" zurück statt wiederum selber
den Test machen, denn sonst würde ja diese endlose Rekursion entstehen.
Problem bei dieser Lösung: Ein Spammer müsste nun immer auf eine gültige
e-Mail-Adresse zurückgreifen, womit irgend jemand Unschuldiges auf dieser
Welt bei einem 100'000 Mails grossen Bulkversand mit tonnenweise
Ferien-Abwesenheitsnotizen und ähnlichem vollgebombt wird. Ebenfalls würde
dieser Filter versagen, wenn eine Organisation einen SMTP-Vorfilterserver
verwendet, der lediglich nach Domains filtert, die Personenliste jedoch
nicht kennt und somit pauschal "250 OK" beim "RCPT To:" herausgibt. In
solchen Fällen erhält man bekanntlich das "550 User unknown" erst vom
zweiten, intern laufenden Mailserver mitgeteilt.
Quintessenz dieser Geschichte: Es dürfte vermutlich kaum eine Filterlösung
geben, bei der man keinerlei Einbussen beim legitimen Gebrauch in Kauf
nehmen muss.
khhal...@gmail.com
Patrick Kormann
>> Heute habe ich das bisher extremste Spammail bekommen. So ziemlich alle
>> Angaben im Mailheader sind auf meine _eigene_ Mailadresse gefälscht! Wo
>> führt das noch hin? Muss ich nun sogar noch meine eigene Mailadresse in
>> die Antispamliste aufnehmen? Dort sind schon 220 Einträge vorhanden. Was
>> kann man unternehmen? Abuse an GMX ist schon raus. Gruss, Damian.
vorbei, zwischenzeitilich.
Wirklich nervig sind nur die Idioten, die sich dann bei einem über die
Spammail beschweren wollen... und tonnenweise bounces natürlich.
Walter Schmid
> Am 18.02.15 um 21:05 schrieb khhal...@gmail.com:
>
>>> Heute habe ich das bisher extremste Spammail bekommen. So ziemlich alle
>>> Angaben im Mailheader sind auf meine _eigene_ Mailadresse gefälscht! Wo
>>> führt das noch hin? Muss ich nun sogar noch meine eigene Mailadresse in
>>> die Antispamliste aufnehmen? Dort sind schon 220 Einträge vorhanden. Was
>>> kann man unternehmen? Abuse an GMX ist schon raus. Gruss, Damian.
>
> Nichts. Das ist mir schon vor bald 20 Jahren passiert. Geht auch wieder
> vorbei, zwischenzeitilich.
Gruss
Walter
--
- Wer hat euch herfahren geheißen?
- Ich heiße nicht Herfahren, das ist ein kurioser Name.
(Georg Büchner, Dantons Tod)