...zurück zur Übersicht "Technik!"

 Spam HOWTO

Autor: Stephan Reuter / Stand 14.12.2003 / Rev. 2.1 / Website und Kontakt unter: http://linux.shiningdeath.de (Text leicht modifiziert von Cornelia de Vos)

Kopieren, Verbreiten und/oder Modifizieren ist unter den Bedingungen der GNU Free Documentation License, Version 1.2 oder einer späteren Version, veröffentlicht von der Free Software Foundation, erlaubt. Es gibt keine unveränderlichen Abschnitte, keinen vorderen Umschlagtext und keinen hinteren Umschlagtext. Eine Kopie des Lizenztextes ist unter http://www.gnu.org/copyleft/fdl.html einzusehen. Unter keinen Umständen kann der Autor für eventuelle Schäden, die sich indirekt oder direkt aus dem Gebrauch dieses Dokumentes ergeben, zur Haftung gezogen werden.

 Vorwort

Ziel dieses HOWTOs ist es, zu erklären, wie man Spammer anhand ihrer Mail findet. Die Erklärung ist sowohl als Nachschlagewerk wie auch als Anleitung für Anfänger und Fortgeschrittene zu verwenden. Man sollte sich darüber im Klaren sein, dass nicht jeder Spezialfall abgedeckt wird. Jedoch bleibt das Grundprinzip immer gleich.

 Registrare

Das Internet ist unter 4 Registraren aufgeteilt. Jeder Rechner wird durch einen 4 Byte Wert (von 0.0.0.0 bis 255.255.255.255) identifiziert. Die Registrare verwalten jeweils jeder für sich bestimmte Nummernbereiche.

Die Registrare sind im einzelnen:

RIPE NCC (Reseaux IP Europeans)

(Europa, Russland, Grönland und fast ganz Afrika)

Homepage: www.ripe.net

APNIC (Asia Pacific Network Information Centre)

(Asien, Australien und der Pazifik)

Homepage: www.apnic.net

ARIN (American Registry for Internet Numbers)

(Amerika, Canada und Südafrika)

Homepage: www.arin.net

LACNIC

Lateinamerika und Mexiko

Homepage: www.lacnic.net

 Beispiel

Um einen Spammer ausfindig zu machen, benötigen wir den Header der eMail. Der Header gibt Auskunft darüber, welchen Weg eine Mail gegangen ist, ist also vergleichbar mit einer lückenlosen Aufstellung des "Postwegs", welcher die Mail genommen hat.

In den Mailprogrammen muss gegebenenfalls eingestellt werden, dass die Mail als reiner Text (text/plain) angezeigt wird. HTML Mails müssen ebenfalls als reiner Text dargestellt werden. Um Informationen über die Einstellung Ihres Mailprogramms zu erhalten, konsultieren Sie bitte die jeweilige Hilfe.

Beispiel Outlook: Durch das Anklicken auf "Ansicht" bei einer geöffneten Mail erhalten Sie Zugang zu "Optionen". Dort kann im folgenden Dialogfeld der Wert für "Internetkopfzeilen" ausgelesen werden.

Nehmen wir uns diesen Beispiel-Header (Zieladresse wurde mit XXX von mir ersetzt):

In unserem Beispiel hat die Mail den direkten Weg genommen. Die letzte "Received:" Zeile ist von Relevanz. Sie zeigt an von wo die Mail gestartet ist.

In eMails, in welchen versucht worden ist, die Herkunft weiter zu verschleiern, werden gerne unsinnige Headerzeilen dazwischen gefügt. Lassen Sie sich davon nicht beeindrucken und suchen Sie nach logischer Kontinuität. Die einzelnen IP Adressen und Server müssen sich nahtlos aneinanderreihen.

Die letzte "Received:" Zeile ist in aller Regel immer gültig.

Dort steht:

Der erste Server war also mail.precicad.com.

Der Eintrag "HELO 212.154.131.98" kann ignoriert werden, da Spammer in aller Regel genau diesen Bereich fälschen.

Die IP ist der Teil in Klammern: "209.71.201.137"

Anmerkung:

1)Dies kann auch noch per Ping nachgeprüft werden. Ping unter Windows: "Start", "Zubehör", "Eingabeaufforderung", dann "ping mail.precicad.com" und es wird die IP angezeigt. Ping unter Unix, Linux etc: dasselbe, in einer Shellumgebung.

2) Manche Server sind so konfiguriert, dass sie keinen Antwortping geben.

3) Manchmal ergibt die letzte Receive Zeile, dass die Mail von einem Class-C Netz (z.B. 192.168.10.*) abgeschickt worden ist.

Solche IPs sind für lokale Netze reserviert. In aller Regel gibt dann die nächste Receive-Zeile Aufschluss.

Die Class-C-Netz- IP gibt den jeweiligen Computer im Subnetz und kann von Interesse sein, falls ein Mitarbeiter einer Firma ohne deren Wissen gespamt hat.

In einem der 4 Registrare muss diese IP zu finden sein. Die Aufgabe der Registrare ist die Verwaltung der IP-Bereiche. Ein Provider/ISP (Internet Service Provider) reserviert sich einen Bereich, und der Kunde erhält eine IP aus diesem Nummernblock. Anhand der Serveradresse ist ein ungefähres geographisches Lokalisieren möglich.

Die Absender-IP wären an sich bereits ausreichend, um den Kunden eindeutig zu identifizieren. Voraussetzung wären die Daten des Kunden, die beim Provider gespeichert sind. Allerdings ist der Provider nicht zur Herausgabe berechtigt oder der Provider hat seinen Firmensitz in einem fernen Land. Sofern es Deutschland betrifft, geben die Provider die Daten nur unter Anordnung einer richterlichen Verfügung (StGB) heraus.

 Wir suchen in den 4 Registraren also nach der IP.

Jeder der Registrare hat einen "whois" Dienst zur Verfügung.

Anmerkung: Sofern Sie ein Unixsystem benutzen, kann es in vielen Fällen einfacher sein, sie geben in einer Shellumgebung folgendes ein: whois <ip adresse oder domain>

Einfach die IP dort eintragen und suchen lassen.

209.71.201.137 ist also unser Freund.

Wir werden in ARIN fündig, ein whois zeigt uns folgendes an:

Precicad hat also den Nummernblock 209.71.201.136 - 209.71.201.143 reserviert (also 8 IPs zur Verfügung).

Die entsprechende Identifikation von Precicad bei ARIN ist: NET-209-71-201-136-1

Anmerkung: Manche Registrare machen uns das Leben einfacher und geben direkt die entsprechenden Detailinformationen aus.

Wir gucken uns dies genauer an (einfach draufklicken) und finden:

Das ist für unsere Zwecke vollkommen ausreichend. Wir haben die Telefonnummer und die Mail-Adresse. Wir leiten die Spammail weiter an bernard.munger@precicad.com. In Anbetracht dass nur wenige IPs reserviert sind, wird er wahrscheinlich genau wissen, was es mit der Spam auf sich hat!

Die Spam wird auch an abuse@precicad.com geschickt (was bei einem so kleinen Provider wahrscheinlich wenig Wirkung hat, aber Ordnung muss sein).

Auch ist es vielleicht von Vorteil, sich die Webseite anzusehen. Nach Lust und Laune können wir die Spam auch an jede bekannte Adresse verschicken. Je mehr involvierte direkte Adressen, desto wirkungsvoller.

 Einige andere interessante Adressen sind :

• abuse@domain
• webmaster@domain
• postmaster@domain
• info@domain

("domain" durch die jeweilige Domain ersetzen, in unserem Beispiel: precicad.com, also info@precicad.com) Reicht das immer noch nicht, ist ein Besuch in einschlägigen Blacklists zu empfehlen. Dies ist allerdings beim ersten Mal noch nicht anzuraten und nur bei hartnäckigen Fällen zu empfehlen. Man kann sich dies notieren, damit man es nicht vergisst.

Anmerkung:

Der Betreff der weitergeleiteten Mail sollte "UBE/UCE" beinhalten, damit der jeweilige Admin auch sofort sieht worum es geht.

UCE: Abkürzung "Unsolicited Commercial Email", Unerwünschte Werbe Mail (Quelle: http://www.quux.org:70/pygfarm/dict.pyg%3F/jargon/DEFINITION/UCE)

UBE: Abkürzung "Unsolicited Bulk Email", Unerwünschte Massenmail (Quelle: http://www.quux.org:70/pygfarm/dict.pyg%3F/jargon/DEFINITION/UBE)

Weitere technische Gegenmaßnahmen sind möglich, hier aber nicht ausgeführt. Sollte der Urheber der Mail in deutschem Lande sein, empfiehlt sich in hartnäckigen Fällen die Einschaltung eines Anwalts, um eine Abmahnung und eine Auskunft nach dem Bundesdatenschutz zu erwirken. Dies eignet sich auch vorzüglich gegen Fax-Spamming oder Telefonspamming (sogenannte Coldcalls). Weitere Information und einen Auskunftsbegehrenvordruck hierzu finden Sie hier: http://www.schnappmatik.de/TFFFFF/