Hadmut Danisch

Ansichten eines Informatikers

Erektionshilfen

Hadmut
5.12.2017 12:31

Liebesgrüße aus Istanbul

Ein leidiges Thema ist Spam in der Mailbox.

Ich habe mich damit ja auch mal beruflich näher auseinandergesetzt und ein System gegen Absenderfälschung (RMX) gebaut, bin dabei aber in den USA (IETF) auf erbitterten Widerstand gestoßen – die Missbraucherlobby ist da enorm stark vertreten. Allerdings wäre mein System RMX – in der damaligen Reinform – heute auch nicht mehr sehr effektiv, weil sich die Spammerei und die Phishing-Mails gegenüber damals in einem wesentlichen Punkt verändert haben: Damals wurden sehr häufig Absenderdomains gefälscht, was heute eher selten ist. Heute werden massenweise Domains mit ständig neuen Namen verwendet. Man hätte das entsprechend erweitern können, aber nachdem es damals auf Ablehnung stieß (verblüffend viele Leute, vor allem auch aus Universitäten, bestanden aus den abenteurlichsten Gründen darauf, dass E-Mail fälschbar bleiben müsse), habe ich da auch keine Zeit mehr investiert.

Auf dem Mailserver, auf dem ich meine Mail empfange, haben wir die üblichen Filtertechniken installiert, soweit auf Open-Source-Ebene zu haben. Wir wollten keinen zentralen Mailüberwacher hinter einer kommerziellen Firma haben.

Das allerdings führt dazu, dass wir immer noch ein starkes Spam-Aufkommen haben. Einiges wird dabei auch automatisch vom Mailclient erkannt und aussortiert, aber es kommen halt immer noch ein paar Spams pro Tag durch.

Früher, vor 19 Jahren, hatte ich mal die Angewohnheit, mir dafür für jeden Zweck unterschiedliche Mailadressen anzulegen, um zu sehen, wer da meine Mailadressen weitergibt, kam allerdings damit nicht nach, dem eigenen Mailserver klar zu machen, dass er die auch alle durchlässt, und habe ein Wildcard-Pattern angelegt, das die alle durchlässt, wenn sie einem bestimmten Schema entsprechen. Was in die Katastrophe führte und nutzlos war. Es zeigt sich, dass es nur sehr selten vorkommt, dass jemand diese Adressen weitergibt (jedenfalls wenn erkennbar war, dass sie darauf Rückschluss geben), aber dass man die Message-IDs aus meinen vielen Mailinglisten-Beiträgen, etwa bei der IETF, in Spam-Listen gesammelt hatte, und die dummerweise demselben Schema entsprachen, deshalb für Mailadressen gehalten wurden, und ich nun mit tausenden von Mailadressen in den Spam-Listen stand, die wegen der Wildcard alle gültig waren, und dann jeden Mist tausendfach bekam. Seither habe ich nur noch eine einzige Mailadresse, die ich für alles verwende, und die sowieso zugespamt wird, aber eben nur einmal in der Liste steht und nicht tausendfach.

Seit ein paar Monaten ist die Zahl der Spams – man sorgt sich in erstaunlichem Umfang um mein Liebesleben und verspricht mir gestählte, unermüdliche Manneskraft in ungekannter Größe, Dicke, Tiefe, mir der es mir endlich gelänge, die Frauenwelt in ihrer Gesamtheit in einen Zustand größten Glückes zu stoßen, aber auch Rosskuren gegen Tinnitus und Ohrenklingeln werden mir in letzter Zeit unablässig feilgeboten – rapide gestiegen. Vor allem in den Nachtstunden kommt richtig viel herein.

Deshalb lösche ich Spam nicht, sondern schiebe die immer erst mal in einen Sammelordner, um immer wieder mal bei Gelegenheit die Header auszuwerten, woher der Mist eigentlich kam, und ob es da signifikante Auffälligkeiten gibt. Fällt einer besonders auf, kommt er in meine Sperrliste der IP-Adressbereiche. Auch das ist nämlich eine Änderung, die ich seit langem beobachte: Früher kam Spam fast immer von infizierten Arbeitsplatz-Rechnern, Büro, Wohnung oder so. Inzwischen aber kommt Spam weit überwiegend aus Rechenzentren und Clouds, in der Regel von kurzfristig angemieteten virtuellen Maschinen. Besonders wenn sie billig sind. Die mieten sich dann – womöglich unter falschem Namen und mit falschen Kreditkarten – virtuelle Maschinen an und lassen die rattern, bis irgendwer sie abdreht.

Dabei fällt mir etwas auf.

Früher trat dabei nämlich die Türkei nie in Erscheinung (oder jedenfalls nicht so signifikant, dass ich sie mir gemerkt oder bisher in Sperrlisten aufgenommen hätte). Man kennt da ja so seine Pappenheimer und typischen Absenderländer, USA, China, Russen, Ukraine sind da stark drin, sonst noch ein paar südostasiatische Länder, einige Südamerikaner.

Doch seit einiger Zeit, ich hab’s mir nicht genau gemerkt, ich würde sagen einige Wochen, kommt fast immer dann, wenn ich so eine Stichprobe der letzten 24 oder 72 Stunden mache, die weit überwiegende Mehrzahl der Spam von türkischen Rechenzentren, meist Istanbul.

Da kann man jetzt drüber spekulieren, was das bedeutet.

Es kann sein, dass es schlicht nichts bedeutet. Dass da halt ein neuer Spamdienstleister aufgemacht hat, und der jetzt halt mal zufällig in der Türkei sitzt und zunächst mal alle türkischen Hoster und Cloudanbieter durchprobiert.

Oder dass in der Türkei jetzt einige günstige Massen-Hoster und Cloudanbieter aufgemacht haben, und die vorher nicht in Erscheinung traten, weil es sie nicht gab.

Bedenkt man aber, dass der türkische Geheimdienst hier in Deutschland stark spioniert, dann wäre Vorsicht geboten, denn das könnte dann direkt als Malware-Schleuder dienen um möglichst viele Privatrechner zu infiltrieren. Dagegen spricht allerdings, dass die meisten Spam-Sendungen englisch sind. Wer hier gezielt spionieren wollte, würde sie auf deutsch oder türkisch senden. (Oder vielleicht gerade nicht?)

Ist mir nur so als Anomalie bei der Herkunft von Spam aufgefallen…