Wiki/Spammer verfolgen
Portal Portal   Forum Forum   Wiki Wiki   News News

Werkzeuge

LANGUAGES

Spammer verfolgen

Dieser Artikel behandelt alles, was man wissen muss, wenn man gegen Spammer vorgehen will.

Inhaltsverzeichnis

Vorsichtsmaßnahmen beim Betrachten von Spam-Mails

Im Artikel E-Mail-Spam vermeiden beschreiben wir bereits wichtige Vorsichtsmaßnahmen zur Vorbeugung gegen Spam. Dazu gehört auch, dass man Spam-Mails wenn überhaupt, dann nur mit einem sicheren Mailprogramm (eher nicht Outlook, besser: Thunderbird, Pegasus etc.) betrachten sollte, oder aber über das sichere Webmail-Portal des Freemail-Providers (bitte aber dort nicht die html-Ansicht aktivieren).

Wichtige Vorsichtsmaßnahmen bei Spam-Mails:

Solche Mails nur "mit der Beißzange" anfassen. Das bedeutet:

  • Öffnen der Mail ausschließlich im Nur-Text-Modus.
  • Auf keinen Fall die html-Webseitenansicht aktivieren.
  • Ebenfalls die Ansicht von Grafiken nicht aktivieren.
  • Nicht auf Spam antworten.
  • Auf gar keinen Fall irgendeinen Anhang öffnen.

Beim Betrachten der Mail im "Nur-Text-Modus" kann man sicher sein, dass kein Schadcode aktiviert wird, und dass dem Spammer nicht über sogenannte "Web-Bugs" (Mini-Bildchen) durch Abgleich mit seiner Datenbank Informationen über Sie übermittelt werden. Falls die Spam-Mail nur eine html-Webseite und keinen Klartext enthält, kann der Quellcode der html gefahrlos mit dem entsprechenden Menü "Ansicht...Quellcode" betrachtet werden.

Spurensuche

Der Spammer hinterlässt im Netz zwangsläufig mehr oder weniger deutliche Spuren. Wenn man feststellen will, wer für eine bestimmte Spamaktion verantwortlich ist, muss man diese Spuren interpretieren können. Das allerdings ist nicht immer einfach und erfordert etwas Übung und Beschäftigung mit der Materie. In sehr vielen Fällen ist es leider auch nicht möglich, den Urheber festzustellen.

Im wesentlichen gibt es zwei Ansatzpunkte: die Analyse des Mailheaders, und die Analyse der verlinkten URL, die im Spamtext bzw. Spamwebseite beworben wird.

Zuerst einmal gilt es also, Informationen zu sammeln. Danach müssen die Informationen ausgewertet werden.

Analyse des Mailheaders

Siehe dazu auch den Link "Header interpretieren".

Dort wird Ihnen der Aufbau und die Analyse des Mailheaders erklärt. Ein Mailheader enthält Protokolleinträge mit Daten über den Mailversand. Der Header bietet oft wichtige Anhaltspunkte über die Stationen im weltweiten Netzwerk, welche die Mail auf ihrem Weg durchlaufen hat. Normalerweise zeigt das Mailprogramm den Header nicht, weil die Angaben den Otto-Normalverbraucher nicht interessieren bzw. nur verwirren. Fast jedes Mailprogramm kann jedoch auf Anfrage den Header einer Mail anzeigen. Bei manchen Programmen muss man im "Optionen..." Menü dies einschalten. Bei MS-Outlook öffnet man, nachdem man die Mail geöffnet hat, mit rechter Maustaste das "Eigenschaften"-Menü und wählt "Kopfzeileneinträge anzeigen".

Feststellung der versendenden IP-Adresse

Die Analyse des Mailheaders läuft darauf hinaus, die sogenannte "IP-Adresse" herauszufinden, von der aus die Spam-Mail verschickt wurde. Jeder mit dem Internet verbundene Computer verfügt über so eine IP-Adresse, mit der er ähnlich wie bei einer Telefonnummer identifizierbar und erreichbar ist. Grossrechner verfügen i.d.R. über eine feste ("statische") IP-Adresse, die sich nicht ändert und die dauerhaft zugewiesen ist. Der Otto-Normal-Websurfer hat dagegen i.d.R. eine dynamische IP-Adresse, die ihm einmal für die jeweilige Internet-Sitzung bei der Einwahl zum Provider zugewiesen wird - aus dem Pool an IP-Adressen, die der Provider gekauft hat. Eine solche dynamische Adresse lässt also zunächst für Außenstehende nur den Rückschluß zu, zu welchem Netzwerk/Provider sie gehört. Es gibt ein hervorragendes Web-Tool, das Ihnen die Analyse des Mailheaders vollautomatisiert abnimmt:
http://workaround.org/cgi-bin/spamalyser

Nach dem Einfügen des Mailheaders aus der Zwischenablage wird der Header automatisch ausgewertet.

Viele Mailprovider schalten auf der Empfangsseite mehrere Stationen ("Relays") zwischen, um bestimmte Verarbeitungsschritte mit der Mail durchzuführen. Das macht für den Anfänger das Lesen der Header manchmal kompliziert, weil dann oft mehrere "Received..."-Zeilen auftauchen, die in Wirklichkeit nur die Relay-Schleife des eigenen Mailproviders wiedergeben.

Beim Versand einer e-Mail enthält jeder Mailheader die Angabe über die IP-Adresse, von der die Mail verschickt wurde. Mit dieser Addresse ist jedermann zumindest durch seinen Provider identifizierbar. Daher sollten Beschwerden über Spam an den Provider gehen, zu dem die versendende IP-Addresse gehört.

Eine IP-Adresse besteht aus vier Gruppen mit Zahlen jeweils von 0-255, durch Punkte getrennt. Ein Beispiel für eine solche IP-Addresse: 217.95.29.2 Weiter unten wird beschrieben, wie man zu einer IP-Adresse den zugehörigen Provider und die Beschwerdeaddresse findet.

Über 80 Prozent des derzeit verschickten Spams wird über vireninfizierte Computer irgendwelcher Websurfer (in unserem Sprachgebrauch: "Super-DAU´s") verschickt, die sich einen der gängigen Viren wie Sobig, Sober, Bagle, Netsky, Mimail (und wie sie alle heißen) eingefangen haben. Diese Viren enthalten Hintertürfunktionen, mit denen die Spammer den infizierten Rechner für ihre Zwecke fernsteuern und als "Zombie-Relay" zum Verteilen des e-Mülls verwenden können. Dadurch sind sie nicht mehr so einfach nachzuverfolgen. Oft gehört daher die IP-Adresse, von der die Mail verschickt wurde, zu einem solchen infizierten PC und nicht zum Spammer selbst. In anderen Fällen benutzen die Spammer sogenannte "offene Proxies" als Relay (Verteiler), das sind fehlkonfigurierte Mailserver. Diese Versandmethode wird aber zunehmend seltener, weil die allermeisten Provider inzwischen diese offenen Proxies vom Empfang blocken.

Zu beachten bei der Auswertung von Headern:
  • Bei vielen Freemail-Anbietern (yahoo, google-mail, ...) steht leider nicht die IP-Adresse des Versenders im Header, sondern lediglich die IP-Adresse des betreffenden Web-Mailservers. Man kann dann lediglich nachvollziehen, dass die Mail über das Internetportal des betreffenden Freemailers versendet wurde, nicht jedoch die Lokalisation und den Internetprovider des Versenders.
  • In vielen Fällen sind die Angaben bei "from" und "reply-to" gefälscht, weil der Spammer verhindern will, dass er nachzuverfolgen ist. Es ist also meistens nicht so, dass der Spammer an der angegebenen Absende-Mailaddresse sitzt. Oft existiert diese Addresse gar nicht, bzw. sie gehört einem Unbeteiligten, der davon nichts ahnt.

Analyse des beworbenen Links

Fast jeder Spammer wirbt für irgendetwas, und sei es auch noch so sinn- und nutzlos. Am allermeisten handelt es sich um überteuerte Pornoangebote, um die altbekannten Pillen zur Stützung notleidender Körperteile oder um Software-Raubkopien. Oder um nachgemachte, in China hergestellte Imitate von Luxusuhren. Der Spammer will in aller Regel etwas verkaufen. Daher muss er ein Ziel anbieten, auf das er uns hinlocken will. Dieses Ziel ist meist ein Link zu einer URL, wo eine von ihm betriebene Webseite steht, auf der das einschlägige und sicherlich unschlagbare Angebot zu finden ist.

Wenn es um Internetbetrug geht, dann wird z.B. eine nachgemachte, gefälschte Bankwebseite genannt, oder eine Mailadresse, auf die der Betrüger die Antwort haben möchte. Hier hat man also oft konkrete Anhaltspunkte für Beschwerden.

Hier ein fiktives Beispiel für einen der gängigen Spamtexte mit Link:

Hallo und lechz

Ich kann es kaum erwarten, Dich zu treffen. Vor meiner Webcam erwarte ich Dich in gepflegter Atmosphäre. Worauf wartest Du? Ich bin erst süsse 18-1/2, habe noch nie... [u.s.w. blablabla, sülz, trief] Klick hier: http://www.jessica.sahnetropfen.com/?23sxpwjwdgmrmblblablabla0815

Feuchtes Tschüssilein

Dein Jessilein

Das beworbene Feuchtbiotop, auf das uns der Spammer also hinlotsen will, steht auf www.jessica.sahnetropfen.com (fiktiv, die gibt es momentan nicht). Weiter unten werden wir uns damit befassen, wie man dem Spammer durch Beschwerden an den Webhoster dieser Domain Ärger bereiten kann.

Session-Codes

Mit dem Ausdruck "?23sxpwjwdgmrmblblablabla0815" in der URL hat es etwas ganz besonderes auf sich. Es ist ein ID-code, ein sogenannter "session-code", der Ihnen zugeordnet ist. Wenn Sie so etwas hinter dem letzten Schrägstrich ("/", "slash") in einem Link finden, klicken Sie nicht auf diesen Link. Denn damit kann der Spammer Sie identifizieren. Es ist eine hex- oder sonstwie codierte Zeichenfolge, die in seiner Datenbank mit Ihrer Mailaddresse verknüpft wurde. Wenn dieser Link dann geklickt wird, kann der Spammer bei der Auswertung seiner Datenbanken feststellen, dass Sie seine Müllpost nicht nur erhalten, sondern auch gelesen und auf den Link geklickt haben. Dann wird er natürlich Ihre Mailaddresse als "confirmed" (bestätigt) an andere Spammer weiterverkaufen. Die klare Folge: Sie erhalten noch mehr Spam!

In manchen Fällen können Sie zu Testzwecken die Webseite nach Entfernen des ID-codes (z.B. Ausdruck "?23sxpwjwdgmrmblblablabla0815") trotzdem noch erreichen. Sie geben also in die Addresszeile des Browsers ein: http://www.jessica.sahnetropfen.com/

Oft funktioniert allerdings ohne diesen ID-code der Link nicht.

Recherche auf der Spammer-Webseite

Oft erhalten Sie beim Durchforschen der Webseite weitere Anhaltspunkte, die auf den Betreiber schließen lassen. Ein "Impressum" oder brauchbare Kontaktinformatinen ("contact us") mit ladungsfähiger Anschrift etc. werden Sie aber bei vielen Spammer-Webseiten aus naheliegenden Gründen vergeblich suchen. Jedoch machen Spammer nicht selten auch Fehler, oft verwenden sie Teile aus ihren alten Webseiten, wodurch sie sich z.T. über einen alten, vorher verwendeten Firmennamen verraten. Auch verwendete Mailadressen, besonders "Service"-Telefonnummern liefern bei einer Suchmaschinenrecherche manchmal entscheidende Hinweise.

Wichtig: Verwenden Sie zum Testen von Spammer-Webseiten nur einen gesicherten Browser, wo nach Möglichkeit in den Internet-Optionen Java, Javascript, insbesondere aber Active-X und Active-Scripting deaktiviert wurden! Viele Spammer haben es insbesondere auf den Internet-Explorer abgesehen, und nach dem Besuch so einer Webseite erkennen Sie manchmal Ihren Browser bzw. Ihr Betriebssystem nicht mehr wieder, weil es von Malware und Spyware nur so wimmelt. Andere Browser wie Firefox sind zwar (mit abgeschalteten Skripten) relativ sicher, jedoch gibt es auch hier immer mal Browser-Exploits. Besuchen Sie daher Spammer-Seiten nur zu absolut nötigen Recherchezwecken, und mit größter Vorsicht. Im Zweifelsfall: Finger weg.

Wer sich mit html-Codierung etwas auskennt, kann sich den Quellcode der Seite ansehen. Auch dort findet man manchmal ungeahnte Goldminen, etwa in Form von Metatags oder Headern, wo dümmlicherweise manchmal der Autor der Webseite eingetragen ist. Manchmal werden auch Bilder von anderen Webseiten nachgeladen, die ebenfalls dem Spammer gehören können (allerdings nicht müssen). Diese Zweit-Links im html-Code führen manchmal ebenfalls auf die Spur.

Recherche des Domainbetreibers

Für Ihre weiteren Nachforschungen müssen Sie versuchen, herauszufinden, wer die beworbene Domain betreibt. Dazu isolieren Sie die verwendete Spammerdomain vom Rest des Links. Das gelingt mit wenig Übung.

Erklärung der Begriffe "Domain" und "Subdomain"

Eine Internetdomain ist ein Stück weit vergleichbar mit der Hausanschrift einer Person. Sie dient zur eindeutigen Identifikation von Internetseiten. Eine Domain ist z.B. "antispam.de" oder "google.de" oder "microsoft.com". Eine solche Domain kann immer nur einmal auf der Welt vergeben werden und kennzeichnet daher eindeutig die Webseite, die darunter zu erreichen ist. Wer eine solche Domain haben möchte, muss sie bei einem Registrar kaufen. Solange die laufenden Gebühren dafür entrichtet werden und keine fremden Rechte verletzt werden, hat der Domaininhaber die Rechte an der Nutzung der Domain. Eine Ausführliche Erklärung des Begriffs gibt es bei Wikipedia.

Es gibt drei verwendete organisatorische Untergruppen von Domains, am fiktiven Beispiel von
"jessica.sahnetropfen.com"

erklärt.

1. Top-Level-Domain ("TLD")

In diesem Fall ".com". Wie Sie sicher schon wissen, gibt es auch andere TLD´s, z.B. ".net", ".org", in Deutschland ".de", in England ".co.uk", in Frankreich ".fr" u.s.w. Von Spammern häufig benutzt werden auch die TLD´s ".info", ".biz", ".cn", ".net" und ".tv". In unserem fiktiven Beispiel haben wir es mit einer ".com"-TLD zu tun.

2. Hauptdomain ("first-level-domain")

Hauptdomain ist immer der Ausdruck, der direkt vor der TLD steht, von der TLD sowie von etwaigen Subdomains durch Punkte abgetrennt. Also in diesem Fall: Hauptdomain = "Sahnetropfen".

3. Subdomain

Zu einer bereits angemeldeten Hauptdomain kann es Zusatzdomains geben, die nicht extra registriert werden müssen. Z.B. nutzen viele Firmen diese Möglichkeit, um für verschiedene Bereiche nicht jedesmal eine neue Hauptdomain anmelden zu müssen.

Es hat sich aus Tradition eingebürgert, dass viele Webseiten die Subdomain "www. ...." verwenden, dies bedeutet "world-wide-web",

In unserem fiktiven Fall ist die Subdomain: "Jessica". Falls der Spammer also noch andere Pferdchen in seinem Stall hat, kann er weitere Subdomains wie z.B. "Jennifer", "Claudia", "Klothilde", "Walburga" seiner Hauptdomain hinzufügen. Er könnte dann also z.B. folgende Domains betreiben: Jessica.sahnetropfen.com, Jennifer.sahnetropfen.com, Claudia.sahnetropfen.com, Klothilde.sahnetropfen.com, Walburga.sahnetropfen.com ...sicherlich eine eindrucksvolle Sammlung. In unserem fiktiven Beispiel müssten wir also nach dem Betreiber der Domain "sahnetropfen.com" fahnden, die Subdomains interessieren meistens nicht.

Whois-Abfrage

Für die Recherche nach dem Betreiber einer Domain ist meistens nur die Kombination aus Hauptdomain und Top-Level-Domain wichtig.

Am besten laden wir dazu die sehr umfangreiche Suchseite

http://centralops.net/co/

und klicken auf "Domain Dossier". In dem dortigen Eingabefeld ("domain name or IP-address") geben wir unseren Domainnamen ein. Wir aktivieren das Häkchen bei "domain whois record" und bei "network whois record" und erhalten nach dem Klick auf "go" umfangreiche Informationen über den Betreiber der Seite sowie über das Netzwerk/Webhoster, wo die Seite gehostet wird.

Unter "Address lookup" steht die IP-Addresse des Webservers, auf dem die Seite betrieben wird. "Domain Whois record" gibt uns Angaben über den Betreiber der Webseite.

Dazu muss man allerdings wissen, dass in vielen Fällen hier Falschangaben stehen. Ausser bei deutschen ".de"-Domains (hier sind die Vorgaben der Denic etwas strenger) erleichtern viele Registrare den Spammern die Arbeit, indem sie nicht weiter nachhaken, selbst wenn sich da ein "Kasper Melchior Finkenpiep" mit Telefonnummer +49 123456789, mit Addresse "Hinter dem Heustadel 24", Ort "Mucksmausen", PLZ 01234 anmeldet. Dabei könnte der Registrar eigentlich leicht feststellen, dass es z.B. in Deutschland den Ort "Mucksmausen" nicht gibt, und dass die Tel.Nr. 123456789 ganz offenkundig gefälscht ist. Nur: die Registrare machen es nicht. Bisher zwingt sie niemand dazu - auch nicht die Icann.org, deren Aufgabe das eigentlich wäre.

Speziell bei Domains, deren Webseiten auf chinesischen Servern gehostet werden, können Sie fast immer davon ausgehen, dass hier die whois-Angaben völlig im Urwald stehen. Da stimmt meistens nicht ein Wort. Nur die angegebene e-Mail-Addresse ist richtig. Es nutzt aber nichts, sich an den betreffenden Mailprovider zu wenden. Auch diese Mailaddresse, die der Spammer zum Registrieren der Domain braucht, ist i.d.R. eine Wegwerfaddresse, die zudem ebenfalls meist mit gefälschten Personaldaten aufgesetzt wurde. Es nutzt auch nichts, wütende Proteste an diese Mailadresse zu schreiben; der Spammer wird diese Mails wohl erst gar nicht lesen.

Kommen Sie auch nicht auf die Idee, z.B. bei der angegebenen Telefonnummer anzurufen. Entweder stimmt diese sowieso nicht, oder aber der Spammer hat es fertiggebracht, Daten von einem Fremden, ganz und gar Unbeteiligten dort in die whois-Angaben hineinzubringen, der sich dann mit den erbosten Anrufen herumschlagen darf.

"Network Whois record" gibt uns Angaben über das Netzwerk, zu dem die hostende IP-Adresse gehört. Ähnlich wie weiter oben bei der Suche nach dem Provider der versendenden IP erhalten wir hier die Angabe über den Webhoster. Oft steht auch dort ein Vermerk über eine "Abuse"-Adresse, an die wir uns mit unserer Beschwerde wenden können. Falls dort kein solcher Vermerk zu finden ist, suchen Sie die Addresse, die mit "hostmaster...", "postmaster...", "noc...", "webmaster..." beginnt, und schicken Sie dort Ihre Abuse-Mail hin. Genau wie bei Beschwerden über versendende IP-Adressen sollten Sie immer den vollständigen Mailheader sowie den Spam-Text (über Zwischenablage einfügen) im selben Text mit der Beschwerde mitschicken und keinesfalls Mailanhänge irgendwelcher Art mitliefern. Einen Musterbrief an den Webhoster finden Sie weiter unten im Anhang, ebenso eine englische Version bei ausländischen Webhostern. Formulieren Sie Ihre Beschwerde stets nüchtern, sachlich und höflich. Oft ahnt der Webhoster nichts davon, dass sich ein Spammer bei ihm eingeschlichen hat. Auch bei Webhostern gilt: verzichten Sie auf Abuse-Mails an chinesische Webhoster (Chinanet und Konsorten). Nach aller Erfahrung werden diese vollständig ignoriert. Bei Chinanet ist für eine ganze Sektion (Provinz-Netzwerk) offenbar nur ein einziger Mitarbeiter für die Bearbeitung der Abuse-Mails zuständig. Bei den mindestens zehntausenden Mails, die dort täglich eintrudeln müssen, sitzt der betreffende sicherlich auf hoffnungslos verlorenem Posten - wobei mit Fug und Recht darüber spekuliert werden darf, ob dies nicht von den staatlichen chinesischen Betreibern so gewollt und beabsichtigt ist.

Sie können die IP-Adresse, die Sie unter "Address lookup" gefunden haben, einmal bei Spamhaus eingeben und testen, ob dafür bereits ein Blacklist-Eintrag existiert: http://www.spamhaus.org/sbl/index.lasso unter "lookup IP Adress" im Suchfeld die IP-Adresse eingeben und "Lookup IP" klicken. Ist die IP-Adresse dort bereits gelistet, können Sie sich nach aller Erfahrung eine Abuse-Mail schenken.

"DNS-records" liefert uns Angaben über den verwendeten Nameserver, und ob die Domain momentan korrekt im DNS steht. Interessant für DNS-Spezialisten. Anhand der Nameserver lassen sich Spammer oft identifizieren, auch wenn die whois-Angaben allesamt gefälscht sind.

Wie gehe ich bei der Spammersuche weiter vor?

Wenn man sich sicher ist, die IP-Adresse im Header herausgefunden zu haben, von der die Mail verschickt wurde, gibt man diese auf einer der zahlreichen Abfragewebseiten ein. Eine auch für den Beginner gut geeignete Webseite ist

http://centralops.net/co/ (auf "Domain Dossier" klicken)
oder
http://www.domaintools.com/

Dort gebe ich im Suchfeld die IP-Adresse im korrekten Format ein. Ein Beispiel für eine solche IP-Adresse: 217.95.29.2 (aus dem T-online-IP-Pool). Nach dem Klick auf den "Search"-Button erhalte ich eine Ergebnisseite mit zahlreichen Angaben: descr: Deutsche Telekom AG country: DE (Deutschland) remarks: * Abuse Contact: http://www.t-com.de/ip-abuse in case of Spam...

"LART"/"Abuse" - Beschwerde

Fast immer steht hier solch ein Vermerk, wo man sich im Falle von Spam oder sonstigem Missbrauch ("Abuse") hinwenden kann. Oft ist dort eine e-Mail-Addresse angegeben, die mit "Abuse..." beginnt. Falls dort kein solcher Vermerk zu finden ist, suchen Sie die Addresse, die mit "hostmaster...", "postmaster...", "noc...", "webmaster..." beginnt, und schicken Sie dort Ihre Abuse-Mail hin. Beachten Sie: Schicken Sie im selben Text, in dem Sie Ihre Beschwerde formulieren, unten angehängt den vollständigen Mailheader sowie den Spam-Text mit. Keine Mail-Anlagen ("Attachements") mitschicken! Aus verständlichen Gründen (Virengefahr, Dateisalat) wird das von den Abuse-Teams gar nicht gerne gesehen. In vielen Fällen wird das Attachement oder sogar die ganze Abuse-Mail dann ignoriert.

Die Abuse-Mail sollte immer im sachlichen Tonfall formuliert sein. Muster siehe Anhang. Das Abuse-Team ist am Spam unschuldig, der Netzbetreiber ahnt oft überhaupt nichts vom Unwesen des Spammers und ist für den Hinweis oft dankbar. Bei ausländischen Providern schicken Sie eine englischsprachige Abuse-Mail. Ein Muster finden Sie ebenfalls unten im Anhang.

Bei Providern, die in China ansässig sind (Chinanet, CNC-Group, China Railway-Communications u.a.) können Sie auf eine Abuse-Mail generell verzichten. In China scheint es offiziell sanktionierte Politik zu sein, gut zahlenden Spammern eine Heimat zu bieten und auf Beschwerden nicht zu reagieren. Bekannt sind aber auch viele südamerikanische Provider wie Braziltelecom, die meisten chinesischen Provider, viele russische und auch koreanische Provider. Aber auch manche US-amerikanische Provider wie RoadRunner, Comcast, MCI/UU-net haben sich in der Vergangenheit schon erstaunlich stur gezeigt.

Bei Providern, die in Russland ansässig sind, ist das Bild uneinheitlich. Während einige Provider positiv reagieren, ignorieren andere die Beschwerden. Andere Provider wiederum scheinen sich dort vollständig in der Hand von Spammerbanden zu befinden. Im Zweifelsfall verzichten Sie lieber auf eine Abuse-Mail oder fragen Sie im Forum nach.

Nähere Informationen zu Providern, bei denen Beschwerden als zwecklos gelten, finden Sie hier.

In aller Regel werden Sie eine standardisierte, automatisch generierte Antwortmail erhalten. In manchen Fällen einige Tage oder wenige Wochen später eine Bestätigung, dass entsprechende Massnahmen ergriffen wurden. Wenn Sie keine persönliche Mail erhalten, heißt das nicht, dass nichts unternommen wurde. Bedenken Sie, dass die Abuse-Teams grosser Provider jeden Tag tausende bzw. zehntausende Abuse-Mails zu verarbeiten haben. Eine personifizierte Antwort ist da schlicht und einfach vom Pensum unmöglich.

In einigen Fällen werden manche Provider auch auf stur schalten und selbst gegen hartnäckige Spamschleudern nichts unternehmen. In diesen Fällen können Sie nicht mehr allzu viel unternehmen. Sie können allerdings abwarten, bis die grossen Anti-Spam-Blocklists wie SPEWS, Spamhaus u.a. diese Provider dann von Zeit zu Zeit in Ihre schwarzen Listen aufnehmen. Spätestens das hat in der Vergangenheit schon so manchen merkresistenten Provider kuriert.

In Fällen von kriminellem Internetbetrug kann es sinnvoll sein, eine Beschwerde ebenfalls an den Registrar zu senden, welcher oftmals nichtsahnend für den Spammer die Domain eingerichtet hat. Den Registrar ermitteln Sie über die oben bereits erklärte whois-Abfrage. In vielen Fällen hat man damit Erfolg und bringt die betreffende Internetdomain manchmal schon innerhalb von Stunden zur Abschaltung, wodurch dann die Betrugsseite nicht mehr erreichbar ist. Leider gibt es allerdings auch gewisse Registrare, die selbst bei Betrugs-Spam auf Beschwerden nicht reagieren.

Beachten Sie auch den Artikel E-Mail-Spam vermeiden sowie unsere Link-Sammlung, dort besonders die Links zu Beschwerdestellen.

Weitergabe von Informationen an Spamcop

Spamcop ist ein Betreiber einer "Blacklist", einer schwarzen Liste von Webhostern und Providern, welche Spammer in ihren Netzwerken dulden. Deren IP-Adressen werden auf die Blacklist gesetzt, was dazu führt, dass diese Betreiber Probleme haben werden, die Mails ihrer Kunden noch durchzubekommen, weil fast alle Internetprovider und Mailprovider inzwischen mit solchen Blacklisten arbeiten, um eingehende Mails zu filtern.

Spamcop ist daher ein gut geeignetes Druckmittel, um Hosting-Provider zu einem verantwortungsbewussten Umgang mit Beschwerden gegen Spam zu zwingen. Spamcop lebt von den eingereichten Meldungen derjenigen, die sich dort angemeldet haben. Diese Meldungen werden bei Spamcop weiterverarbeitet und für die ständige Aktualisierung der Blacklist verwendet.

http://www.spamcop.net/anonsignup.shtml

Andere Betreiber von wichtigen Blacklists wie Spamhaus.org verwenden dagegen ausschließlich Daten, die sie von eigenen Spamfallen erhalten. Auch diese Daten sind aber als zuverlässig zu betrachten.

Zusätzliche Beschwerden an andere Institutionen

Immer, wenn US-amerikanische Webhoster, Provider oder amerikanische Spammer beteiligt sind, können Sie den Vorgang an die US-Handelskommission FTC melden (uce[ätt]ftc.gov). Schildern Sie den Fall mit allen nötigen Details und Angaben (header etc.). Erwarten Sie von dort keine Rückantwort. Dort wird man aber in vielen Fällen der Sache nachgehen.

Bei offensichtlich kriminellen Delikten, z.B. Betrug:

Bei US-amerikanischer Beteiligung:

http://www.ic3.gov (leider nur in Englisch möglich)

Bei möglichem deutschen Verursacher eines Internetbetrugs:

Strafanzeige bei einer Polizeidienststelle oder direkt bei der Staatsanwaltschaft.

Bei Kinderpornographie:

In Deutschland kann man sich an eins der Landeskriminalämter wenden:

Bei unerwünschten deutschsprachigen Werbemails von deutschen Verursachern:

Bei Hinweis auf eine typische Abzockfalle:

Bei Phishing-Attacken gegen Banken:

Gehen Sie auf die Homepage der betreffenden Bank. Suchen Sie dort nach "Abuse", "Fraud", "Betrug" oder sonstigen Meldeaddressen oder Webformularen. Insbesondere wenn Ihre Meldung zeitnah in den ersten Stunden nach Maileingang erfolgt, kann die Bank dann u.U. noch reagieren und z.B. Transaktionen verhindern. Ist die Phishing-Mail schon einige Stunden alt, dürfte die Bank i.d.R. bereits Bescheid wissen.

Bei Spam mit kriminellem Hintergrund bewahren Sie unbedingt eine Kopie der Mail, am besten noch einen Screenshot der beworbenen Webseite auf Ihrer Festplatte auf. Es ist immer möglich, dass Ermittlungsbehörden auf der Suche nach Beweisen an Sie herantreten.

Bei Spam aus Nigeria ("419-Scam"):

Beachten Sie dazu unseren Wiki-Artikel über die 419er.

Weitere Recherchen

Analyse des Mailanhangs mit Hex-Editor

Auf keinen Fall sollten Sie durch "Doppelklick" einen Mailanhang einer Spam-Mail öffnen. Auch, wenn Ihr Virenschutzprogramm bei einem Check der Datei nicht Alarm schlägt, heißt dass noch lange nicht, dass dort nicht doch ein Virus/Trojaner enthalten sein könnte. Die Hacker entwerfen jeden Tag neue Varianten ihrer Schadprogramme, die dann natürlich oft von den Virenscannern nicht entdeckt werden.

Es spricht jedoch prinzipiell nichts dagegen, wenn Sie als technisch versierter Anwender sich solch eine Datei einmal mit einem sogenannten "Hex-Editor" betrachten. Ein Beispiel für solch einen Editor ist das bekannte Programm "WinHex". Damit wird der binäre Maschinencode der geladenen Datei dargestellt, zunächst einmal werden Sie damit "viele komische, Chinesisch-ähnliche" Zeichen sehen. Aber Sie suchen ja etwas ganz bestimmtes. Auch Hacker machen manchmal Fehler, und so enthält der binäre Code manchmal lesbare ASCII-Zeichen, die dann unter Umständen sehr verräterisch sein können. Dummerweise der Spitzname oder sogar Klarname des Hackers (dann ist er allerdings eher ein dämliches "Skript-Kiddie"...), oder eine Mailadresse, oder eine URL, von wo Schadcode geladen werden soll. So etwas kann manchmal ein wichtiger Baustein in der Recherche sein.

Auch Grafikdateien enthalten separate Sektionen, wo im ASCII-Code ebenfalls manchmal verräterische Angaben stehen können. Als besonders "geschwätzig" gelten Microsoft-Programme wie Word u.a. - wenn der Ersteller der Datei nicht aufpasst, stehen dort Informationen über ihn drin, die er gar nicht ahnt. Wegen der Gefahr von Makro-Viren sollten Sie zwar niemals eine Word-Datei aus unbekannter Quelle mit "Doppelklick" öffnen. Mit einem Hex-Editor finden Sie jedoch manchmal dort verräterische Angaben vor.

Recherche der Geldbewegung

Oft will der Spammer etwas verkaufen. Zwar wird meistens hierzu von Ihnen die Angabe einer Kreditkartennummer verlangt, wovon natürlich abzuraten ist. Manchmal jedoch erfahren Sie vielleicht ein Bankkonto, oder Sie werden an einen dubiosen "Zahlungsdienstleister" verwiesen, über den Sie dann einmal nähere Erkundigungen einholen könnten. Falls eine Bank in Deutschland greifbar ist, hilft z.T. eine Beschwerde an die Bank über dem unseriösen Geschäftskunden, oder bei offensichtlichem Verdacht auf Steuerstraftaten auch eine Meldung an die Finanzbehörden. Die Amerikaner sagen: "Always follow the money", und sie haben damit gar nicht mal so unrecht.

Rechtliche Schritte

Als Privatperson oder auch als kleiner Gewerbetreibender wird es Ihnen kaum möglich sein, einen im Ausland arbeitenden Spammer rechtlich zu belangen.

Wenn der Spammer jedoch nachweisbar in Deutschland seinen Geschäftssitz hat, können Sie rechtliche Maßnahmen erwägen. Lesen Sie dazu den Artikel Rechtsverfolgung_von_Spammern_in_Deutschland.

Anhang: Mustertexte

Deutschsprachige Abuse-Mail an den Provider der versendenden IP-Addresse

Betreffzeile: Spam aus Ihrem Netzwerk

Sehr geehrte Damen und Herren,

Sie werden hiermit von einer Spam-Aktion unterrichtet, die offensichtlich über einen Teilnehmer Ihres Netzwerks mit IP-Addresse [hier die versendende IP-Addresse einfügen] gelaufen ist.

Weitere Informationen finden Sie im unten angehängten Mailheader und Spam-Text.

Mit freundlichen Grüßen [Ihr Name] Mailheader:-------

[hier den kompletten Mailheader anfügen] Spamtext-------

[hier den Spam bzw. den kopierten Text aus der html einfügen]

Deutschsprachige Abuse-Mail an den Webhoster der Spammerwebseite

Betreffzeile: Spammerwebseite von Ihrem Dienst gehostet

Sehr geehrte Damen und Herren,

Sie werden hiermit von einer Spam-Aktion unterrichtet, mit der eine Webseite beworben wird, die offensichtlich von Ihrem Netzwerk gehostet wird.

Beworbene Domain ist [hier den Domainnamen einfügen]

Weitere Informationen finden Sie im unten angehängten Mailheader und Spam-Text.

Mit freundlichen Grüßen [Ihr Name] Mailheader:-------

[hier den kompletten Mailheader anfügen] Spamtext-------

[hier den Spam bzw. den kopierten Text aus der html einfügen]

Englischsprachige Abuse-Mail an den Provider der versendenden IP-Addresse

Betreffzeile: Complaint on spam

To whom it may concern

As an ISP you are hereby informed that your network was used for mailspamming from IP no. [hier die versendende IP-Addresse einfügen]

For further detail the spam mail header and spam text are appended below.

Best regards

[hier Ihren Namen anfügen]

mailheader:-------

[hier den kompletten Mailheader anfügen]

spam text:-------

[hier den Spamtext bzw. den kopierten Text aus der html einfügen]

Englischsprachige Abuse-Mail an den Webhoster der Spammerwebseite

Betreffzeile: Your network is hosting a spammer´s website

To whom it may concern

As a webhoster, you are hereby informed that your network is apparently hosting the spam domain

[hier Spam-Domain einfügen]

which was advertized by a spam run.

For further detail the spam mail header and spam text are appended below.

Best regards

[hier Ihren Namen anfügen] mailheader:-------

[hier den kompletten Mailheader anfügen] spam text-------

[hier den Spamtext bzw. den kopierten Text aus der html einfügen]




Benutzeroptionen:
 Anmelden 

 Spezialseiten 
Diese Seite wurde zuletzt am 10. Januar 2010 um 22:41 Uhr geändert. Diese Seite wurde bisher 52.949-mal abgerufen.
   © 1999 - 2018 Antispam e. V.
Kontakt | Impressum | Datenschutz

Partnerlink: REDDOXX Anti-Spam