Domainverschleiß-Spam

[pidhunter]

Hallo,

ich beliebe Spammern, die keinen Abmeldelink haben, zunächst "eine den Umständen des Kennenlernens angemessene" , aber noch freundliche Standardabmahnung zu schicken, aber es gibt eine neue Masche wonach eine Spammailabmeldung die Eintragung in eine neue
Spamliste mit neuer Domain hervorruft. Das "Abmelden" ist dann wie Mückenfangen im Freien und das "Abmelden" geht über den ganzen angemieteten
Adressraum des Spammers, also über Wochen.

Bisherige Methoden und gesetzliche Regelungen reichen für Domainverschleißspammer wohl nicht aus oder gibt es da auch wieder spezielle "Behandlungen". Bin auf hilfereiche Tipps gespannt.

PS: Angemeldet habe ich mich bei keinem "Dienst"

header:

01: Return-Path: <bounce[BOUNCE filtered]@rl-mail.net>
02: X-Original-To: xxxxxxxx
03: Delivered-To: poor [at] spamvictim.tld
04: X-policyd-weight:  NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5
05: 	NOT_IN_BL_NJABL=-1.5 CL_IP_EQ_HELO_IP=-2 (check from: .rl-mail. - helo: .ms732.rl-mail. -
06: 	helo-domain: .rl-mail.)  FROM/MX_MATCHES_HELO(DOMAIN)=-2 IN_SURBL=4; rate: -4.5
07: Received: from ms732.rl-mail.net (ms732.rl-mail.net [62.93.30.243])
08: 	by xxxxxxxxxx.kasserver.com (Postfix) with ESMTP ID: [ID filtered]
09: 	for <xxxxxxxxxx>; Wed,  7 Jul 2010 xx:xx:xx +0200 (CEST)
10: Received: from localhost (ms732.rl-mail.net [62.93.30.243])
11: 	by ms732.rl-mail.net (Postfix) with ESMTP ID: [ID filtered]
12: 	for <xxxxxxxxxxxx>; Tue,  6 Jul 2010 xx:xx:xx +0200 (CEST)
13: MIME-Version: 1.0
14: Content-Type: text/plain;
15:  charset=ISO-8859-1
16: Content-Transfer-Encoding: quoted-printable
17: From: Halbfinale <info [at] str3.net>
18: To: xxxxxxxxxxxxxx
19: Subject: AW: Fristsache
20: Message-ID: [ID filtered]
21: Date: Tue,  6 Jul 2010 xx:xx:xx +0200 (CEST)
22: X-KasLoop: xxxxxxxxxxx

Sehr geehrte/r Herr xxxxxxxxxx

Sie haben nur noch bis heute Abend 20 Uhr Zeit,
Ihre pers=F6nlich reservierten 10.000,- abzuholen.

Danach wird verf=E4llt Ihr Anspruch!!!

Sie brauchen das Geld nicht nicht zur=FCckzahlen und gehen
keinerlei Verpflichtung ein.

Das Geld geh=F6rt Ihnen, versprochen!

^whois: [Link nur für registrierte Mitglieder sichtbar. ]



*****************************************************************=09
Hinweise:
Diese eMail wurde versendet an: xxxxxxxxxxxxxxx.=20
Sie erhalten diese eMail, weil Sie bei Ihrer Teilnahme an einem=20
Dienst im Internet dem Empfang von=20
Nachrichten aus unserem Hause zugestimmt haben. Sollten Sie in der=20
Zwischenzeit Ihre Meinung ge=E4ndert haben, beachten Sie bitte die=20
Abmeldem=F6glichkeit am Ende dieser eMail!
Bitte antworten Sie nicht auf diese Email. Es erfolgt keine=20
Zustellung! =20
Abmeldung:
Zum Abmelden von diesem Newsletter klicken Sie bitte=20
^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[schara56]

Code:

nameserver: ns2.rl-hosting.biz
nameserver: ns1.rl-hosting.biz
nameserver: ns3.rl-hosting.biz

Code:

gewinnservice2000.net
maj0.net
str12.net
strg1234.net
1green34.net
mae5.net
abi5.net
2awq8.net
8orange79.net
treff-mich.net
bargeld-gewinnen.net
tv-gewinnen.net
handy-gewinnen.net
3str.net
7q7aw.net
alt78z.net
rl-hosting.biz
ns2.rl-hosting.biz

1 API? Da war doch [Link nur für registrierte Mitglieder sichtbar. ]...

[Mittwoch]

Hallo pidhunter,
willkommen im Forum!

ich beliebe Spammern, die keinen Abmeldelink haben, zunächst "eine den Umständen des Kennenlernens angemessene" , aber noch freundliche Standardabmahnung zu schicken,

Selbst wenn sie einen Abmeldelink hätten, würde das ihr Tun nicht legalisieren. Und selbst wenn ein Abmeldelink quasi ein Persilschein wäre, so sollte man dennoch niemals auf Links in Spammails klicken. Mittlerweile sind meiner Erfahrung nach nämlich schon knapp 40-50% der Mails, die durch providerseitige Vorfilter rauschen, mit personalisierten Links versehen. Wie du ja selber feststellst: Ein Abmeldelink ist eine Einladung, an eine bekannte Adresse noch mehr zu spammen, denn man weiß dann ja, dass sie gelesen wird.

Erlaube mir eine Frage: Wie kommst Du an die Daten der Versender, um ihnen eine Standardabmahnung zuzuschicken? Macht immerhin nur dann Sinn, wenn man die Zustellung einer Sendung beweisen kann. Bei einer Sandkiste in Dubai oder einem Hinterhofbriefkasten in London dürfte es schwierig werden, jemanden zu finden, der ein Einschreiben gegenzeichnet.

Spammer sind merkbefreit, wissen aber ganz genau, was sie tun und dass sie das eigentlich nicht tun dürfen. Anders sind die mittlerweile sehr ausgefeilten Bemühungen um Verschleierung der eigenen Identität nicht zu erklären.

Schönen Gruß
Mittwoch

P.S.: Für alle, die hier mitlesen und nur Bahnhof verstehen: Spammer_verfolgen
P.P.S.: @mods: Das hier ist Casino-Spam, also bitte dort antackern. Danke! [edit]Oder besser doch bei Kolido? (Danke schara)[/edit]

[pidhunter]

@mareike26: Wie sollte ich das mit dem Header richtig machen? (deine PM war deaktivert) Aussedem muss noch was im header geändert werden - ehe Du es schreibschützt :-|

@schara56: Das mit der API habe ich auch nicht so richtig verstanden - ich habe hier keinen Mailserver sondern nur einen Mailclienten (Thunderbird) und da weniger Eingriffsmöglichkeiten.

[pidhunter]

@Mittwoch: Ein Spammer ist doch IMHO auf einen Provider angewiesen, der ihn bewußt oder geduldet spammen laesst, ergo schickt man dem Provider für den ganzen IP-Block aus dem der Spammer sendet eine Abmahnung - falls das Spammen in dem Land für den Provider strafbar ist. Der Provider kann das zwar delegieren, aber es beschäftigt ihn und muss Sperren von Blöcken befürchten und dann kickt der den Spammer lieber raus.

Wenn das genug Leute machen, dann nervt das den geduldigsten Provider, der das irgendwann nicht mehr ignorieren kann und dann spricht sich das in Providerkreisen rum und dann kann der Spammer auf immer weniger Hoster zurückgreifen, die ihn weiter spammen lassen, die restlichen Spamhoster kann man leichter im Block sperren und dann kann der Spammer emailanbindungsmäßig mit der Katz fressen.

[antispam2006]

@Mittwoch: Ein Spammer ist doch IMHO auf einen Provider angewiesen, der ihn bewußt oder geduldet spammen laesst, ergo schickt man dem Provider für den ganzen IP-Block aus dem der Spammer sendet eine Abmahnung - falls das Spammen in dem Land für den Provider strafbar ist. Der Provider kann das zwar delegieren, aber es beschäftigt ihn und muss Sperren von Blöcken befürchten und dann kickt der den Spammer lieber raus.

Welche Strafe droht dem Provider denn?

Im übrigen spammt ^whois:rl-mail.net aus einem Subnetz von Aquatix seit Monaten ohne Konsequenzen. Das bestätigt auch die Forensuche (beim nächsten mal bitte probieren), siehe [Link nur für registrierte Mitglieder sichtbar. ]

Aquatix stellt sich merkbefreit, als ich den Verteiler beim Complaint vergrössert habe, hörten schlagartig diese Mails auf.

Gruß Anrispam2006

[Mittwoch]

Der Provider kann das zwar delegieren, aber es beschäftigt ihn und muss Sperren von Blöcken befürchten und dann kickt der den Spammer lieber raus.

Nichts für ungut: träum' ruhig weiter...

Mittlerweile läuft sowieso der größte Teil des Spamversands über Botnetze, da nützt es wenig, die betroffenen DSL-Provider in Regress zu nehmen. Sie können nichts dafür, wenn die Rechner ihrer Kunden infiziert werden.

Oder hebst Du mit "Provider" auf Content-Provider ab? Wirf einen Stein in die Gruppe der hier gemeldeten Benutzer mit mehr als 10 Beiträgen, und Du triffst mit Sicherheit mindestens zwei Leute, die Dir belegbare Beispiele für völlig merkbefreite Provider nennen können. Genau so, wie es kriminelle Spammer gibt, gibt es kriminelle Provider, die sich einen Dreck um irgendwelche Abmahnungen kümmern.

Beispiel gefällig? Hier *klick* werden die Untaten eines Syndikats gesammelt; die beteiligten Firmen haben ihren Sitz zum Teil in Deutschland. Wie Du siehst, ist der Thread sehr lang und enthält eine Menge Schilderungen von bisher erfolglosen Versuchen, den Sumpf trocken zu legen.

Schönen Gruß
Mittwoch

[Wuschel_MUC]

...Wenn das genug Leute machen, dann nervt das den geduldigsten Provider...

So lange der Provider pünktlich bezahlt wird, interessieren ihn deine Abmahnungen nur unwesentlich. Außerdem sitzen die großen Schwarzhüte meistens in Ländern ohne funktionierende Rechtspflege, sodass du sie nicht verklagen kannst.

Es mag dich nicht in Hochstimmung versetzen, aber eine verbrannte E-Mail-Adresse sollte baldmöglichst durch eine neue, spamfreie ersetzt werden. Anders wirst du diese Pest nicht los.

Lies noch nach, was ein Rudel organisierter Spammer seinerzeit mit der Spambekämpfungsfirma [Link nur für registrierte Mitglieder sichtbar. ] angestellt hat. Dann weißt du, mit wem du dich womöglich anlegst.

Wuschel

[pidhunter]

Es gibt zwei Möglichkeiten - weiterhin den Spam wie Mücken im Freien fangen oder sich um Fressfeinde für Mücken kümmern.

Wenn es wahr ist, dass der ganze Riesenaufwand mit Spambereinigen in der klassischen Methode nichts als Mehrarbeit gemacht hat, dann
steht die Frage nach der Effizienz der klassischen Methode, denn unsere für Spambereinigung verbratene Lebenszeit gibt uns der
Spammer nicht zurück.

Beides braucht nahezu die gleiche Zeit zur Spambereinigung, nur letztere Methode tut etwas wirksames für die Zukunft.

Die Bluefrog-Idee ist ja nicht schlecht, aber zu teuer und es braucht immer persönlich angreifbare
Spezialisten, die die Header analysieren, die P2P-idee ist besser vielleicht mit Emule und Torrent
als Filterbeschaff-"Muli"

Wenn ich jetzt sage der Header und die Email ist wie der Code einer Programmiersprache, dann kann ich auch
einen Compiler bauen, der aus dem Header...

- eine Abmahnung aus einer user-gestaltbaren Vorlage für den Provider mit der Sende-IP und mit Fristsetzung vorbereitet
- einen Filtereintrag generiert
- ein automatisches Cfengine-Script zur Bereinigung der Mailqueue der User generiert, also den Spam in den Spamordner verschiebt

Der Cron startet das Cfengine in regelmäßigen Abständen, in Windows eben ein GTK-Timer.

Das das Okopipi-Projekt mangels Beteiligung nicht lief hat vielleicht Gründe, die einmal in der Art der Lizenz zu suchen sind
und zum anderen auch im Namen - es klingt wie "Öko-Pipi", wie das Manifest einer Öko-Sekte, die im Wald pinkeln gehn, um
der Natur zurückzugeben was sie erschaffen hat. LOL

Wer will da schon ohne Androhung von Prügel mitarbeiten?

Eine mögliche Vorgehensweise wäre folgende:

- analog Virenscanner wird jede Email als eine Datei aufgefasst, die verseucht sein könnte und analysiert werden soll
- jeder Spam aus der Vergangenheit hat eine typische Signatur, die die Email eindeutig als Spam identifiert
- die Signatur besteht aus einem fixen und einen variablen Teil, denn Spammer sind faul und ändern nicht alles, sonst hätten sie einen ordentlichen Beruf erlernt.
- die Signaturen kommen als tgz an - genannt Filterset mit Signaturen beigesteuert von bewerteten Nutzern und Entwicklern, die von deren Community
bewertet werden, also für ihre Arbeit wenigstens keine Punkte sammeln brauchen.
- wer als User eine gültige Signatur beisteuert, wird als User im nächsten Filterset um eins hochgestuft. Eine hohe Bewertung kennzeichnet einen zuverlässigen Spamjäger.
- passt der fixe und der variable Teil der Signatur exakt auf die Email, dann ist es 100% reiner Spam - dann wahlweise weg damit oder verschieben.
- die restliche Email wird blockweise statistisch analysiert (zwei Durchläufe einmal mit kleinen Blöcken und blockweisem Hashing und dann nochmal die Randbereiche mit verschiebbarer Auswertemaske
- die Grenze zwischen dem fixen und den variablen Teil wird zu einer neuen Signatur mit einer Hashsumme für den fixen Teil als Suchmuster.
- hat die Email einen prozentual großen Teil von bei anderen Nutzer auch gleichen Hashsummen - erkennbar aus dem vohandenen Filterset, also die mit zahlreichen Emails übereinstimmen und mit den von anderen positiv bewerteten Users bereits als Spam markiert ist, dann ist es Spam und wird als "möglicher Spam" markiert und wahlweise verschoben.
- die Grenzbereiche der Hashsummen, die bei sehr vielen Nutzern gleich sind werden zu neuen Suchmustern in Emails, um die Auswerte-Effizienz zu steigern.
- zusätzlich wird eine White- und Blacklist einmal für Emailadressen und einmal für Newsletter-Signaturen geführt, die Vorrang hat.
- das Filterset sollte im JSON-Format sein, es ist dann manuell und maschinell gleichgut lesbar und kann mit Gzip2 leicht blockweise komprimiert werden.

Der Rest ist Programmierfleis, der auf Viele verteilt werden kann.

Vorschlag für das Antispam-Projekt

Wir suchen uns einen griffigen Namen und lassen es als nichtkommerzielle Community mit einer
passenden Lizenz dafür schützen. GPL würde ich als mehreren Gründen nicht nehmen, CC wäre besser.

Damit es keine kommerziellen Trittbrettfahrer gibt, die unsere Arbeit mit Nichtstun zu Geld machen,
darf die Software nur im Privatbereich kostenlos benutzt werden. Ein kommerzieller Nutzer kriegt das
Programm nur kostenlos wenn er sich durch Zuarbeit von Signaturen genug Bewertungspunkte gesammelt hat.

Der faule Rest der zahlt für die Spamputze einen angemessen Gegenwert zur händischen
Spambereinigung und kann im Online-Shop kaufen mit Hochglanzhandbuch und wahlweise
persönlicher Widmung. LOL :-)

Der Erlös nach Abzug der Selbstkosten und einem demokratisch beschlossenen Anteil an Vereinsspenden
für Antispamvereine wird per Punktesystem über einen Zweckverein der Rest verteilt, der von einem ideelen
Verein kontrolliert wird und der gerecht den Resterlös auf die User verteilt, die die ganze Zuarbeit machen.

[Gerlach]

Aquatix stellt sich merkbefreit, als ich den Verteiler beim Complaint vergrössert habe, hörten schlagartig diese Mails auf.

Diese Strategie ist erstaunlich oft erfolgreich, hatte ich gerade mit etpi.com.ph