ein neuer Run scheint zu laufen:
Received: from globcontact.info (hdz244.internetdsl.tpnet.pl [79.187.103.244])
Nachtrag
auf eine weitere info@adresse, die bisher nicht betroffen war von der gleichen IP
Thomas
ein neuer Run scheint zu laufen:
Received: from globcontact.info (hdz244.internetdsl.tpnet.pl [79.187.103.244])
Nachtrag
auf eine weitere info@adresse, die bisher nicht betroffen war von der gleichen IP
Thomas
Geändert von thomas1611 (29.11.2007 um 09:07 Uhr)
Ich biete:
Received: from glob-contact.info (hpt54.internetdsl.tpnet.pl [79.188.149.54])
Aber Rabatt gibt's keinen mehr.
bei mir auch auf 2 Info-Adressen, wird von GMX aber zuverlässig ausgefiltert:
X-GMX-Antispam: 5 (dangerous URL found: globcontact.net)
Das ist doch nicht mehr normal:
Ich bekomme normalerweise kaum Spam. Aber langsam gehen mir die auf den Keks. info@egalwelchedomain ist deren "Taktik".
Gruß
Ich kann ins gleiche Horn stoßen, bei mir schlagen die auch regelmäßig auf. Was mich allerdings stutzig macht, ist folgende Passage aus einer Mail:
Nun ist die betroffene Domain eine politische Protestseite, auf der überhaupt nix verkauft wird. Die bespammte Adresse kann dieser Seite entnommen werden, ist aber keine vom Charakter einer info[at], mail[at] oder webmaster[at].Sehr geehrte Damen und Herren,
nach unserem Besuch Ihrer Homepage möchten wir Ihnen ein Angebot von Produkten vorstellen, das Ihnen ermöglichen wird, den Verkauf Ihrer Produkte sowie Dienstleistungen deutlich zu erhöhen.
Der Duktus der Mail ist eindeutig geschäftsanbahnender Natur, und wenn die, wie behauptet, auf der Seite gewesen wären, würden die sicherlich nicht dieses Anliegen äußern.
Abgesehen von anderen Indizien ist dies also ein sicheres Zeichen dafür, daß die geerntete Adressen wie unsere wahllos bespammen. Ist denn das Ernten von Adressen für solche Zwecke legal?
Nein, natürlich nicht. Nur sind die rechtlichen Mittel dagegen beschränkt, wenn man dem Spammer nichts zustellen kann. Mir wurde heute aus zwei unterschiedlichen Quellen zuverlässig bestätigt, daß es in der Holzhauser Straße 177 in Berlin nicht einmal einen Briefkasten von Globalcontact gibt. Die haben dort vor einiger Zeit wohl mal nach der Miete eines Briefkastens angefragt, das war's dann aber auch gewesen (der Eigentümer vermietet tatsächlich u.a. Briefkästen!).
Dafür habe ich heute deren Harvester erwischt (genauer gesagt, habe ich mir den Umstand zunutze gemacht, daß mein Provider die Logs für einige Wochen speichert), und dieser Robot hat eine Schwäche, die man gegen ihn ausnutzen kann:
header:01: 195.116.35.251 - - [15/Nov/20xx:xx:xx:12 +0100] "GET / HTTP/1.1" 200 935502: www.meineseite.de "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98;03: DigExt)" "-"04: 195.116.35.251 - - [15/Nov/20xx:xx:xx:13 +0100] "GET /***/***.htm HTTP/1.1"05: 403 5467 www.meineseite.de "-" "libwww-perl/5.805" "-"06: 195.116.35.251 - - [15/Nov/20xx:xx:xx:13 +0100] "GET /***.htm HTTP/1.1" 20007: 8093 www.meineseite.de "-" "libwww-perl/5.805" "-"08: 195.116.35.251 - - [15/Nov/20xx:xx:xx:13 +0100] "GET /***.htm HTTP/1.1" 20009: 6657 www.meineseite.de "-" "libwww-perl/5.805" "-"10: 195.116.35.251 - - [15/Nov/20xx:xx:xx:13 +0100] "GET /ueber-meineseite.htm11: HTTP/1.1" 200 9856 www.meineseite.de "-" "libwww-perl/5.805"12: "-"13: 195.116.35.251 - - [15/Nov/20xx:xx:xx:13 +0100] "GET /impressum.htm14: HTTP/1.1" 200 5828 www.meineseite.de "-" "libwww-perl/5.805"15: "-"16: 195.116.35.251 - - [15/Nov/20xx:xx:xx:14 +0100] "GET /***/***.htm HTTP/1.1"17: 200 6956 www.meineseite.de "-" "libwww-perl/5.805" "-"18: 195.116.35.251 - - [15/Nov/20xx:xx:xx:14 +0100] "GET /sitemap.htm HTTP/1.1"19: 200 7424 www.meineseite.de "-" "libwww-perl/5.805" "-"20: 195.116.35.251 - - [15/Nov/20xx:xx:xx:14 +0100] "GET /***/***.htm HTTP/1.1"21: 200 8164 www.meineseite.de "-" "libwww-perl/5.805" "-"22: 195.116.35.251 - - [15/Nov/20xx:xx:xx:14 +0100] "GET /***/***.htm HTTP/1.1"23: 200 7642 www.meineseite.de "-" "libwww-perl/5.805" "-"24: 195.116.35.251 - - [15/Nov/20xx:xx:xx:15 +0100] "GET /***.htm HTTP/1.1" 30125: 257 www.meineseite.de "-" "libwww-perl/5.805" "-"26: 195.116.35.251 - - [15/Nov/20xx:xx:xx:15 +0100] "GET /***.htm HTTP/1.1" 20027: 3797 www.meineseite.de "-" "libwww-perl/5.805" "-"
Die 195.116.35.251 ist auch die IP, die man zurückbekommt, wenn man gbkontakt.net, globkontakt.net oder globcontact.net anpingt, einen zufälligen Zusammenhang schließe ich da einfach mal aus. Trotzdem interessant allerdings, daß der erste Zugriff mit einer anderen Browserkennung erfolgte.
Es ist an der Verzeichnisstruktur nicht zu erkennen, aber der Bot hat tatsächlich nur die (und genau die!) Seiten abgegrast, die unmittelbar von der Startseite aus verlinkt waren. Der Rest hat ihn nicht einmal interessiert.
Schlußfolgerung: Die Seite mit der klickbaren Emailadresse nicht direkt von der Startseite verlinken, sondern z.B. so:
Startseite -> Impressum ohne email -> Seite mit Mailadresse (und das Impressum ohne email natürlich trotzdem von jeder einzelnen Unterseite verlinkt).
Die email ist so immer noch mit zwei Klicks erreichbar und das ganze deshalb abmahn- und hoffentlich auch einigermaßen harvesterfest.
Zu meinem Glück fehlt mir jetzt eigentlich nur noch die Kontoverbindung, über die GlobalContact die Zahlungen der deutschen Kunden abwickeln läßt.
Da könnte man ihm doch auch ein paar Fake-Adressen mit dem [Link nur für registrierte Mitglieder sichtbar. ] unterjubeln, einfach in der .htaccess die richtige IP eintragen:
Code:#.htaccess # globcontact.net-spezifisch... # Wenn User-Agent libwww... RewriteCond %{HTTP_USER_AGENT} ^libwww-perl/5.805 # ...und Adresse globcontact.net... RewriteCond %{REMOTE_ADDR} ^195\.116\.35\.251 # ...dann immer schoberbuster.php liefern RewriteRule ^.*$ /pfad/schoberbuster.php # ...globcontact.net-spezifisch RewriteRule ^pfad/(.*)-(.*).html$ /pfad/schoberbuster.php?vorname=$1&nachname=$2 [L]
@heinerle:
IP-basierte Lösungen sind keine, es sei denn, man hängt sich an Projekte wie bottrap dran, die einem zwar die Pflege der zu "behandelnden" IP's abnehmen, aber die Performance der eigenen Seite nicht unbedingt verbessern - und unter anderem vielleicht auch mal ganze Adressbereiche sperren, die nicht komplett geblockt werden müßten. Einfluß hat man da eher nicht.
Sperrlisten selber aktuell und wenigstens einigermaßen vollständig halten zu wollen, ist sowieso illusorisch, wenn der Tag nur 48 Stunden hat. Deswegen halte ich es - von der technischen Seite her - für sinnvoller, das Verhalten der Bots zu analysieren und sich entsprechend einzurichten. Auch Spambots können nicht unbegrenzt Seiten aufrufen, weil auch sie nicht unbeschränkten Traffic erzeugen können. Abgesehen davon, daß selbst der 'liberalste' Provider da irgendwann einmal die Nase voll hätte, setzt spätestens die Übertragungsgeschwindigkeit den Harvestern Grenzen, wieviele Seiten sie innerhalb eines bestimmten Zeitraums abgrasen können.
Einige (wie das Script von GlobalContact) schränken ihr Jagdgebiet deshalb auf diejenigen Unterseiten einer Domain ein, die von der Startseite unmittelbar aufgerufen werden können. Die dahinter stehende Überlegung ist durchaus nachvollziehbar, fast jede Domain hat (auch) auf der Startseite einen Link, der unmittelbar zur zugehörigen email-Adresse führt. Oberflächliche (also auf die 1. Linkebene beschränkte) Durchsuchung vieler Domains muß also weit mehr Mailadressen zu Tage fördern, als wenn man mit demselben Aufwand an Zeit - und Traffic - sehr viel weniger Domains bis in die 2., 3., 4. oder gar 5. Linkebene überprüft. Spammer machen ihr Geschäft eben mit Masse, nicht mit Klasse. Und die Konsequenz für den Webseitenbetreiber ist ganz einfach: Die Mailadresse tiefer legen, nämlich um eine Linkebene tiefer, dann hat man diese Sorte Gauner schon einmal los.
Goofy
______________________________
Weisheiten des Trullius L. Guficus, 80 v.Chr.:
"Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
"Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
"Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
"Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken
Lesezeichen