Was soll man davon halten, wenn aus Russland Empfehlungen zur Abwehr von Gästebuchspam angeboten werden? Und das in der Form von Gästebuchspam (Eintrag in ein Mailformular)

Return-Path: <xxxxx [at] sitename.net>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 30 Oct 2006 xx:xx:xx -0000
Received: from moutng.kundenserver.de (EHLO moutng.kundenserver.de) [212.227.126.186]
by mx0.gmx.net (mx021) with SMTP; 30 Oct 2006 xx:xx:xx +0100
Received-SPF: none (mxeu2: 62.2.232.19 is neither permitted nor denied by domain of sitename.net) client-ip=62.2.232.19; envelope-from=xxxxx [at] sitename.net; helo=mailout01vm.provider.xx;
..
feste Weiterleitung
..
From: <xxxxx [at] sitename.net>
To: poor [at] spamvictim.tld
Subject: Gastkommentar
X-Worldsoft-Sender-Program: Site-Provider Formmail
Message-ID: [ID filtered]
Date: Mon, 30 Oct 2006 xx:xx:xx +0100 (CET)
X-Server: LogSat Software SMTP Server
X-SF-RX-Return-Path: <xxxxx [at] sitename.net>
X-SF-HELO-Domain: mailin01vm.provider.xx
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]



subject: Gastkommentar
location: http://www.*.net/*gastbuch_2.html
recipient: pmoog[at]*.net
f_Name: Anti Spam Project
f_Ort: Anti Spam Project
f_eMail: Anti Spam Project
f_text: Dear webmaster or site owner, this message is automatically delivered to you from http://www.antispamproject.info/ . If you see this message on your site or in your mailbox, this means that one of the web forms on your site is open for spammers. If you see one of the links below, this means that you are using one of standard type of link treatment and your site becomes the aim for spammers in near future, or it is already. Our goal is to notify you of weak forms before spam robots find your site. There are no advertisements neither in message nor on our site. Go directly to our site, to know more on how to protect your forms. Message ID: [ID filtered]
submit: Eintrag abschicken!


Meint Oleg aus Moskau es ernst oder ist das nur wieder mal ein Versuch sich bei uns einzuschleichen?

Selbst wenn er es ernst meint: Würdest du Fenster bei einem Glaser kaufen, der mit Werbung bedruckte Backsteine in der Gegend rumwirft?;)

MfG
L.

Ich habe im Moment keine Fenster, die der Reparatur bedürfen.

Aber es ist schon sehr merkwürdig: Heute wurde das Formular zum ersten Mal missbraucht! Der Provider hat aber unerlaubte Daten im Text gefunden und die Versendung verweigert. Ich erhielt als Webmaster der Seite (damit natürlich Absender) die Unzustellbarkeitsmeldung
This email is rejected. It contains keywords rejected by the antispam
content filter. (in reply to end of DATA command) vom Mailer-Daemon.

Vielleicht spekuliere ich zu viel, aber könnte das der Versuch einer klitzekleinen Schutzgelderpressung sein?

Klartext: "ich habe dein Gästebuch geknackt, aber - fast - in Ruhe gelassen. Wenn du mein Produkt kaufst, einschließlich kostenpflichtiger Updates, lasse ich dich in Ruhe und du hast meine Mitbewerber auch von der Backe. Wenn nicht, pfeffere ich dein Gästebuch voll und du hast den Ärger auf Dauer.":skull:

Ich weiß nur, dass der Kerl an mir nichts verdienen würde - lieber würde ich das Gästebuch löschen.

Wuschel

@wuschel: well said!

Es ist tatsächlich immer merkwürdiger. Nachdem die erste Spam-Mail noch "rejected" wurde, kommen jetzt in Abständen weitere Spams rein. Das Gästebuch ist so gestaltet, dass die Veröffentlichung der Beiträge erst nach Prüfung erfolgt (ich lasse mir nur den Beitrag als Mail zustellen).

Jetzt hatte ich gestern nachmittag eine kleine Änderung am Formular gemacht. Der feste Inhalt des verborgenen Feldes subject wurde verändert, um die Mails für mich besser identifizierbar zu machen.

Jetzt kamen über Nacht wieder zwei dieser Spam-Mails an, aber der Inhalt des subject-Feldes war nicht etwa der gestern geänderte Wert, sondern noch der alte Wert. Das lässt mich zu der Annahme kommen, dass das eigentliche Formular gar nicht mehr ausgefüllt wurde, sondern ein einmal herunter geladenes Formular verwendet wird. In diesem Formular steht wie üblich irgendwo verborgen (hidden) die Zieladresse, die dann in den Spam-Mails sowohl als Empfänger/Recipient als auch als Return-Adresse eingesetzt wird.

In den Feldern Name, Ort, email (des Absenders ) wurde z.B. "acs student loan" eingetragen; der Mail-Body enthält jede Menge URLs und Links vor allem mit Insurance für alles mögliche.

Prinzipieller Aufbau der gesamten Mail ist tatsächlich genau wie der der Mail vom Anfangsbeitrag.

@Mods: Kann bitte mal einer die Mailaddy und die Webseite in dem Zitat auf der Anfangsbeitrag anonymisieren. Hab ich wohl verpennt.

@Mods: Kann bitte mal einer die Mailaddy und die Webseite (location und recipient) in dem Zitat im Anfangsbeitrag anonymisieren. Hab ich wohl verpennt.

Heute morgen schon wieder eine Mail mit dem alten Formular in der Post!

[x] done

BTW: Es ist normal, dass die Seite nur einmal "gescannt" und danach bemüllt wird.

@exe
Danke!
Ich werde jetzt die Adresse erstmal löschen. Habe schon eine andere im Formular eingetragen.