Schlagwort-Archive: filter

Tipps bei Spam-Tsunami im Blog

von Stefan Evertz am 27.06.06 um 9:21 Uhr |

Seit letztem Donnerstag war das Blog von Robert Basic (www.basicthinking.de/blog) nur sehr eingeschränkt erreichbar (siehe auch www.sichelputzer.de). Offenbar wurde das Blog von einem ausgewachsenen Tsunami aus Kommentar-Spam überrollt. Unter www.basicthinking.de/blog[2] zieht er nun ein erstes Fazit:

Seit der letzten Spam-Statistik am 13.06. sind nochmals knapp 10.000 Spameinträge dazugekommen. Der Server war aufgrund der zahlreichen Spamversuche seit Donnerstag fast völlig blockiert.
[…]
Meine Spamattacken waren so gebaut, dass jede IP immer nur 1-5x vorkam, die IP-Bereiche waren völlig unterschiedlich, ebenso wiesen die Header-Daten keine bestimmte Signatur auf, an der man sich orientieren konnte.

Im weiteren fasst er dann die getroffenen Gegenmaßnahmen zusammen, die mittlerweile dafür gesorgt haben, dass das Blog erfreulicherweise wieder erreichbar ist. Neben serverorientierten Optimierungen bezogen sich die Maßnahmen vor allem auf ein Update der WordPress-Version sowie auf die verwendeten Plugins. Dabei hat diese unfreiwillige Nagelprobe offenbar gezeigt, dass verschiedene Plugins unter großer Last mehr Probleme verursachen als lösen (Spam Karma 2, WP-Cache).

Und während ich mich weiterhin erfolglos frage, welche Motivation hinter dieser Attacke liegen könnte, kann ich jedenfalls die Lektüre und sicherheitshalber auch einen Ausdruck des Artikels unter www.basicthinking.de/blog[2] nur empfehlen – wer weiß, wann die nächste Welle kommt…

Spam: Kleinvieh macht auch Mist

von Stefan Evertz am 14.06.06 um 6:15 Uhr |

Nein, diesmal ist nicht der „neumodische“ Kommentar-Spam gemeint, sondern die zahlreichen E-Mails, die einem irgendetwas verlängern möchten, das Frauen nicht haben, etwas verkaufen möchte, das alle andere auch schon haben oder etwas vermitteln wollen, was man einem Ehemann nicht anbietet: Die nervigen Spam-Mails eben.

Soeben finde ich in meinem Spam-Filter die folgenden Daten zu einer der etwa 70-100 Spam-Mails, die mich Tag für Tag beglücken – und muss doch stutzen. Bedeuten die Zahlen doch, dass 72369 Benutzer eine E-Mail mit einer Größe von jeweils 28,21 KB erhalten haben. Mein Taschenrechner verrät mir, dass dies – nur für diese eine Spam-E-Mail – einem Datentransfer von etwa 2 Gigabyte entspricht.

Beispiel für Traffic durch Spam

Und wenn ich jetzt noch berücksichtige, dass alleine T-Online nach eigenen Angaben etwa 1 Milliarde solcher E-Mails pro Tag filtert (siehe auch www.heise.de), würde dies im Extremfall bedeuten, dass bei T-Online pro Tag etwa 27 Terabyte Datentransfer alleine durch auflaufenden Spam erzeugt werden (1 Mrd. / 72.000 x 2 GB). Auch wenn man nun im Hinterkopf hält, dass nicht jede Spam-Mail in dieser Auflage durchs Netz gepumpt wird, bleibt die Größenordnung dabei in jedem Fall beeindruckend – und zeigt, wieviel Mist auch bei kleinen Mails erzeugt wird 😥

Nun konnte ich dieses „Rauschen“ lange Zeit getrost ignorieren. Bei meinen Mail-Programmen „The Bat“ (www.ritlabs.com) und „Thunderbird“ (www.thunderbird-mail.de) leisteten die vorhandenen Bayesschen Spam-Filter (siehe auch de.wikipedia.org) gute Arbeit und entsorgten immer mindestens 90-95 % des Werbemülls. Mittlerweile bestehen aber scheinbar immer mehr dieser Mails nur noch aus einem HTML-Text und / oder einem Bild und bieten so kaum noch Angriffsfläche für die Filter. Entsprechend ist die Erkennungsquote rückläufig und liegt an schlechten Tagen deutlich unterhalb der 70%-Marke.

Deshalb teste ich nun schon länger die eigenständige Filtersoftware Spamihilator (www.spamihilator.com), die ich vor allem wegen des integrierten DCC-Plugins interessant finde und die in kürzester Zeit gute bis sehr gute Erkennungsraten zeigte. Selbst ein Teil des Spam ohne einen „Plain Text“ wird erkannt.

DCC steht für „Distributed Checksum Clearinghouse“ und beschreibt ein System, in dem anhand von Quersummen der empfangenen Nachrichten festgestellt wird, ob bzw. wieviele andere Nutzer die gleiche E-Mail bekommen haben (siehe auch www.rhyolite.com):

As of mid-2004, it involves millions of users, tens of thousands of clients and more than 250 servers collecting and counting checksums related to more than 150 million mail messages on week days. The counts can be used by SMTP servers and mail user agents to detect and reject or filter spam or unsolicited bulk mail. DCC servers exchange or „flood“ common checksums. The checksums include values that are constant across common variations in bulk messages, including „personalizations.“

The idea of the DCC is that if mail recipients could compare the mail they receive, they could recognize unsolicited bulk mail. A DCC server totals reports of checksums of messages from clients and answers queries about the total counts for checksums of mail messages. A DCC client reports the checksums for a mail message to a server and is told the total number of recipients of mail with each checksum. If one of the totals is higher than a threshold set by the client and according to local whitelists the message is unsolicited, the DCC client can log, discard, or reject the message.

Weitere Informationen zum Thema „Spam“ finden sich übrigens in einer eigenen Website der Verbraucherzentrale unter www.verbraucher-gegen-spam.de (gefunden via www.golem.de).

Und ich frage mich immer noch, ob es illegal ist, jede Spam-Mail auszudrucken, zu rollen und dann dem unseligen Versender…

Aber lassen wir das und setzen darauf, dass es immer noch genügend dämliche deutsche Spammer gibt, die man doch juristisch belangen kann – im Gegensatz zu den großen Ãœbeltätern aus den USA und China. 😈

Shoemoney-Spam und zwei Probleme

von Stefan Evertz am 03.06.06 um 7:02 Uhr |

In den letzten Tagen schlugen bei uns und offenbar auch bei anderen Blogs Spameinträge per Trackback auf. Bei Gerald Steffens bin ich nun eben darauf gestossen, dass dies die Folge eines „Suchmaschinenoptimierungswettbewerbs“ (siehe auch de.wikipedia.org) zum Begriff „Shoemoney“ war – und da wohl ein Kandidat etwas über die Strenge geschlagen ist (siehe auch www.suchmaschinen-optimierung-seo.info/sosblog):

Der Initiator des Wettbewerbs Jeremy Schoemaker sah sich gezwungen, den Wettbewerb kurzfristig zu beenden, da mittlerweile über 500 Spam-Beschwerden bei seinem Webhoster eingegangen waren und dieser ihm mit der Abschaltung seines Servers gedroht hatte.

Jeremy selber räumte dann auch unter www.shoemoney.com ein:

I really did not forsee the spam problem… What a newb I am. I totally underestimated what people would do for a few dollars.

Unterstellen wir einfach mal, dass er die „Probleme Geister, die er rief“, wieder beruhigen kann bzw. in den Griff kriegt …

Ein zweites Problem fand ich allerdings wesentlich beunruhigender: Der besagte Spammer stellte sich erschreckend geschickt an.

Da er offenbar – zumindest zum Zeitpunkt des Abschickens des Trackbacks – auf der entsprechenden Seite einen Link zur Zielseite gesetzt hatte, wurde einer der mächtigsten Funktionen des Anti-Spam-Plugins „Spam Karma“ (siehe auch „Plugins„) – der „TrackBack Referrer Test“ – ausgehebelt.

Als dann noch Akismet – zumindest anfangs – den Kommentar als „Ham“ (also als „Nicht-Spam“) bewertete, brach der Damm – und mehrere Trackbacks kamen durch. Dies passierte nicht nur bei uns, sondern mindestens bei einem weiteren Blog (und vermutlich noch bei vielen weiteren). 😥

Nun habe ich hier erst vor kurzem auf WordPress umgestellt, so dass zumindest die Riesen-Spamwellen der letzten Wochen (siehe z.B. www.basicthinking.de/blog, wo innerhalb weniger Tage über 3.000 Spam-Einträge aufliefen) an uns vorbeizogen. Scheinbar waren in den entsprechenden Kreisen zumindest für dieses Blog noch nicht die aktuellen Adressen der Schnittstellen „bekannt“.

Aber das wird wohl nicht so bleiben – und die Zeichen an der Wand finde ich ausgesprochen beunruhigend 😕

Spam-Kommentar

von Stefan Evertz am 11.05.06 um 9:08 Uhr |

Björn Hasse sprach mir durchaus aus der Seele, als er sich unter www.formsache-blog.de mit „schlechtem und unterentwickeltem Kommentar-Spam“ beschäftigte – man achte im Beitrag auch auf die Kommentare 😉

Dazu zwei Fragen:

  1. Lohnt sich Viagra langsam nicht mehr? Oder suchen weniger nach Online-Bestellmöglichkeiten? Oder suchen gar weniger nach unnötigen, unerklärlichen, kurzen, ein- bis dreiwortigen Pseudokommentaren in deutschsprachigen Blogs? Lohnt es sich nicht, ein in Deutschland verschreibungspflichtiges Präparat online mit Spam zu bewerben?
  2. Oder wissen etwa inzwischen einfach genügend Menschen, dass die online aus Burkina-Faso und Absurdistan zu erwerbenden Tütchen mit handbemalten blauen Tabletten kein Generikum, also Nachahmerpräparate sondern schlichtweg eine dummdreiste also “nachgemachte und verfälschte…” Humbugversion sind?

Und da musste ich dann an den weisen Spruch von Björn Harste auf www.shopblogger.de denken:

Du weißt, dass du zu viel Spam bekommst, wenn du ein Viagra-Angebot siehst und darüber nachdenkst, dass es dir schon wesentlich günstiger angeboten wurde…

Der finale Kommentar kam dann aber von Max auf www.spreeblick.com:

Erst wenn die letzte Spammail gefiltert, der letzte Kommentarspam gelöscht ist werdet ihr feststellen, dass man Viagra nicht bei Rossmann kaufen kann.

Und so schließt sich dann wohl der Kreis 😉

Dummer, deutscher Spam

von Stefan Evertz am 06.03.06 um 7:02 Uhr |

Beim Aufräumen in meinem E-Mail-Client bin ich auf diese E-Mail gestossen; die Daten habe ich anonymisiert:

Guten Tag,

unter der Emailadresse ***@***.de wurde soeben ein Versandauftrag
für die Wettervorhersage von 45*** Essen eingetragen.

Versandmodus: täglich
IP des Eintragers: 84.***.***.***

Wenn Sie diesen Versandauftrag eingetragen haben und diese Wetter-
vorhersage per Email empfangen möchten, so bestätigen Sie bitte
Ihre Eintragung mit einem Klick auf den folgenden Link:

Ja, senden Sie mir die Wettervorhersage für 45*** Essen per Email zu

Sollten Sie diese Eintragung nicht vorgenommen haben, können Sie
diese Email löschen. Es erfolgt kein Versand von Wettervorhersagen
an Ihre Emailadresse und es werden keine Daten gespeichert.

Einen schönen Tag wünscht das

******-Team

Kostenlose Wettervorhersagen per Email – pünktlich zum Frühstück!

Ich kann nur sagen: Dreist! Da wird also eine solche „Anfrage“ an eine reale E-Mail-Adresse geschickt und erweckt sogar den Eindruck, seriös zu sein – wenn da nicht ein kleiner Haken wäre: Unter der genannten PLZ bin ich schon seit Jahren nicht mehr zu finden 🙄

Und selbst wenn ich aktuelle Wetter-Informationen von einem Dienstleister haben wollte, der weder ein richtiges Impressum noch Informationen über die Quelle seiner Wetterdaten bereithält, würde ich wohl kaum eine alte PLZ eintragen…

So ist er wohl, der deutsche Spam: Dumm und etwas tölpelhaft vorbereitet – da hat wohl jemand veraltete Datenbestände verwendet. Es scheint, dass die Deutschen auch hier dem internationalen Standard noch hinterherhängen. Und das ist ausnahmsweise mal irgendwie beruhigend 😉