[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Nochmal SPAM

To: debate@lists.fitug.de
Subject: Re: Nochmal SPAM
From: Joerg-Olaf Schaefers <listen@fx3.de>
Date: Tue, 13 May 2003 21:15:42 +0200
Delivered-to: mailing list debate@lists.fitug.de
In-reply-to: <1052847079.9690.40.camel@simulacron>
List-help: <mailto:debate-help@lists.fitug.de>
List-id: <debate.lists.fitug.de>
List-post: <mailto:debate@lists.fitug.de>
List-subscribe: <mailto:debate-subscribe@lists.fitug.de>
List-unsubscribe: <mailto:debate-unsubscribe@lists.fitug.de>
Mailing-list: contact debate-help@lists.fitug.de; run by ezmlm
Organization: fx3 media
References: <20030513162602.V582-100000@localhost><575246638.20030513171045@fx3.de> <20030513171511.75c8d60f.cd@kalkatraz.de><20030513155122.GQ5611@localhost> <4380054762.20030513183053@fx3.de><1052847079.9690.40.camel@simulacron>

Hallo Liste,

Tuesday, May 13, 2003, 7:31:19 PM, Andreas Jellinghaus wrote:

> Joerg-Olaf Schaefers wrote:
>> Persoenlich sehe ich die aus Deutschland, Holland, Spanien
>> und Skandinavien ueber Asien und die Amerika relayenden
>> Spammer durchaus als mindestens gleichwertiges oder gar
>> groesseres Problem.

> gut, nenne doch bitte mal fakten.

Gerne, auch wenn ich nicht glaube, dass uns das wirklich weiter-
bringt.

> wieviel spam bekommst du,

Zur Zeit hat es sich bei knapp 100 Spammails pro Tag eingepegelt.
Tendenz leider steigend, vor einem knappen halben Jahr waren es
noch ~50/Tag. Das mag ein Groeßenordnung sein, ueber die einige
hier nur muede laecheln koennen, ich finde es aber durchaus schon
bemerkenswert und vor allem laestig.

Diese 100% Mails lassen sich recht sauber in zwei Empfangsszena-
rien teilen: 50% gehen an meinen "Bueroaccount" (SHK der Uni,
Institut ist ein Joint Venture mit einer grossen IT-Firma). Lei-
der gibt es dort eine Art "catch all". Alles, was nicht direkt
zugestellt werden kann, wird pauschal an alle Gruppenmitglieder
zugestellt (Seit ein paar Wochen laueft SpamAssassin, man kann
kann also vorfiltern). Das ist unschoen und bringt z.Z. ~ 50
unerwuenschte Mails pro Tag.

Der Spam, der ueber diesen Kanal eintrifft, ist bunt gemischt,
von allem etwas, allerdings auffallend wenig deutschsprachiger
Dialerspam.

Damit schaut bei den 50%, die ueber den anderen Kanal (fx3.*, kein
"catch all", spezielle Adressen fuer Maillingslisten, Usenet,
privat, Office, ..) eintreffen, schon ganz anders aus. Waehrend
ich keine signifikante Unterscheidung machen kann, ob nun ueber
im Web- oder Usenet abgefischte Adressen haeufiger bespammt wer-
den (Usenet (ich schreibe nur in deutschsprachigen Gruppen, ist
recht viel, Listenadressen dank oeffentlicher Archive wie dem
von Fitug auch), ist der Anteil deutschsprachigen Dialerspams
beachtlich (bzw. war es, seit 2 Wochen ist es wieder etwas ru-
higer). In Spitzenzeiten lag der Anteil bei gut 30%, eine Quote,
die hier sonst nur vom Nigeriaspam erreicht wird.

Der Rest teilt sich recht sauber auf in Angebote fuer Viagra,
Penispumpen, Kredit-, Gewinn- und sonstige Karrierechancen.
Dazu kommen vergleichsweise wenige Viren, Wuermer und sonstige
Binaries (weniger als 1%).

Was ich fast gar nicht habe, sind Spammails, die sich klar und
eindeutig (oder scheinbar eindeutig) auf ihre Verursacher im
Inland/EU zurueckfuehren lassen. Vor ein paar Wochen war da mal
dieser Weserlandverlag, der wohl Adressehandel betreibt. Oder
Artprice, die mir Kunstwerke verkaufen wollten (und von denen ich
nach einer unfreundlichen Mail meinerseits nichts mehr hoerte).
Oder die Reiseagentur mit ihren Appartements in der Tuerkei bzw.
eine mit Angeboten in Norditalien. Von diesem Typ habe ich viel-
leicht noch eine alle 1 oder 2 Wochen. Ausser bei Stammkunden
schreibe ich da auch brav boese Mails, zumindest wenn ich den
Eindruck habe, es wuerde sich um Spamneulinge handeln, die gera-
de mit den bei eBay erstandenen 10 Milliarden frischen Adressen
erste Gehversuche im Bereich Netzmarketing machen.

> und so weiter zuordnen. wie genau ist die beziehung zu .de,
> warum kann man die firma dahinter nicht packen?

Weil es oft keine "Firma" gibt, die gerichtsfest beweisbar spammt,
sondern viele kleine und ein paar richtig grosse Profiteure, die
sich hinter verschachtelten Modellen verstecken.

Wenn man ein wenig in de.admin.net-abuse.mail mitliest, ist man
ueberrascht, wie einige Regulars Spamruns anhand formaler Kri-
terien auf bestimmte (und wenige) Quellen zurueckfuehren koennen.

Tatsaechlich hat man es immer wieder mit "alten Bekannten" zu
tun, die sich zum Teil nicht einmal mehr Muehe machen ihre Spu-
ren (HTML-Quellcode der Dialerseiten, Verlinkung der PPs, Hea-
dermerkmale + bevozugte Relayranges) sonderlich gut zu verbergen.

Viele von ihnen sitzen in Deutschland (Auch wenn mir jemand aus
der AVM-Szene kuerzlich erzaehlte, dass die richtig grossen Fische
von Holland, Skandinavien und Spanien aus operieren) und sind
durchaus bekannt.

Aber wen bitte moechtest du angehen? Den Provider, der die Ein-
wahlnummer bereitstellt? Eine Nummer, auf die - man ist ja nicht
dumm - auch ganz legal genutzte/verbreitete/etablierte Dialer und
Kunden zugreifen?  Die Profiteure der "Partnerprogramme"? Wie fin-
det man die? Und welcher der verschaltelten Ebenen kann man Spam-
ming gerichstfest nachweisen, wenn die Mails "von einem Dienstleis-
ter, den man fuer Marketing bezahlt" in Absurdistan abgekippt wur-
den?

Netflows in Absurdistan erbetteln? Um dann irgendwann zu bemerken,
dass der Rechner, von dem die Spams abgeschickt wurden schon Teil
einer Proxykette war? Was kannst du gerichtsfest beweisen? Das
fuer Partnerprogramm "fckdiesau" und die id=fds129872948172 gepammt
wurde? Also bei Betreiber dieses PP ansetzen (der ja - Pyramiden-
schema! - immer ein paar Prozente mitkassiert)? Oder beim Partner
der n-ten-Ebene, den evtl. gespammt hat oder Spam beauftragt hat
(kann aber auch ein JoeJob sein ..), dem man mit realistischem Auf-
wand kaum ermitteln kann? Und der, _was_ die Sache zusaetzlich pro-
blematisch macht, sicher auch eine Klausel in seinem Vertrag hat,
die ihm Spam verbietet und die hoeheren Ebenen aus der Haftung ent-
laesst.

Glaub mir, das wurde alles schon versucht. Bisher wenig erfolg-
reich.

Oder doch, wie gefordert, eine Beweislastumkehr und totale Trans-
parenz? Oder mal eine gepflegte Razzia bei den 3 bis 5 grossen
Dialer-Spamklitschen in .de? Ich bin fast sicher, dass man dort
entsprechende Vorsorge getroffen hat und man vergleichsweise we-
nig Beweismaterial finden wuerde.

MfG
 Olaf

-- 
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de

Follow-Ups:
- Re: Nochmal SPAM
  - From: Kristian Koehntopp <kris@koehntopp.de>

References:
- Re: Nochmal SPAM
  - From: Heiko Recktenwald <uzs106@ibm.rhrz.uni-bonn.de>
- Re: Nochmal SPAM
  - From: Joerg-Olaf Schaefers <listen@fx3.de>
- Re: Nochmal SPAM
  - From: Lars Weitze <cd@kalkatraz.de>
- Re: Nochmal SPAM
  - From: Rigo Wenning <rigo@fitug.de>
- Re: Nochmal SPAM
  - From: Joerg-Olaf Schaefers <listen@fx3.de>
- Re: Nochmal SPAM
  - From: Andreas Jellinghaus <aj@dungeon.inka.de>

Prev by Date: Re: Nochmal SPAM
Next by Date: Re: Nochmal SPAM
Previous by thread: Re: Nochmal SPAM
Next by thread: Re: Nochmal SPAM
Index(es):
- Date
- Thread