Mit Fakes gegen Spam? (Update)

Der Schockwellenreiter tritt mit einer Aktion „Stop Spam through Address Pollution“ auf den Plan. Die Idee von Jörg Kantel ist auf jeden Fall originell – er schlägt nämlich vor, die Spammer mit den eigenen Waffen zu schlagen… Vereinfacht lautet die Idee, dass Blogger und andere Website-Betreiber täglich neue gefakte Mailadressen in ihre Seiten einbauen. Das Skript, das so etwas automatisch erledigen kann, gibt es gleich dazu. Gleiches könnte man in Newsgroups und Mailinglisten in abgeschwächter Form nutzen. Nun kommen die Spambots und finden all dieses schöne, aber verseuchte Futter – und wenn viele mitmachen und es lange genug durchhalten, dann verstopfen die ganzen falschen Mailadressen die Tools der Spammer, ihre Waffen werden stumpf.

Soweit die Idee. Damit das funktioniert, müssen die generierten falschen Mailadressen natürlich wie echte aussehen, echte Toplevel-Domains (TLDs) besitzen und auch sonst nicht einfach zu entlarven sein. Der Schockwellenreiter macht für diesen Fall eine einfache Rechnung auf: Wenn 1.000 Leute mitmachen und über 10 Tage jeweils 20 gefakte Mailadressen erzeugen, dann schlucken die Spambots schon 200.000 unbrauchbare Mailadressen. Jörg Kantel dazu: Lange genug durchgehalten, dürfte dies das Verhältnis von nutzbaren Adressen zu Fakes so umkehren, daß die Adressbücher der Spammer unbrauchbar werden. Und er ruft dazu auf, möglichst auf breiter Front mitzumachen, warnt aber auch: Die Aktion müßte schnell vonstatten gehen und sollte auch nicht über einschlägige Anti-Spam-Mailinglisten oder -Webseiten verbreitet werden – die lesen die Spammer auch.

Irgendwie finde ich die Aktion ja durchaus unterstützenswert. Wer ärgert sich schließlich nicht über den tagtäglichen Spam in seiner Mailbox. Aber ein paar Zweifel bleiben dann doch:

Zunächst mal ist mir nicht klar, wie die Aktion bekannt werden und gleichzeitig vor den Spammern geheim gehalten werden soll. Und ich fürchte, man macht eher einen Job für die Spammer als gegen sie. Schließlich werden die Spambots nicht nur eingesetzt, um Spamadressen selbst zu verwenden, sondern auch um sie auf CDROMs zu pressen. Den Verkäufer stört es nicht, wenn darunter Fakes sind. Und auch die Spammer interessieren sich für die Rücklaufquote nicht – die Absenderadressen sind ja in aller Regel eh gefälscht. Was macht es also, statt 1 Mio. Spams nun 2 Mio. zu verschicken? Die vorhandenen gültigen Mailadressen bleiben ja gültig… Auch könnte es durchaus sein, dass aus Versehen tatsächlich existierende Domains generiert werden – da würde sich der Postmaster dann sehr freuen. Wenn man bedenkt, dass real existierende TLDs verwendet werden müssen, ist es gar nicht so unwahrscheinlich, dass die verrücktesten Buchstabenkombinationen zu realen Domains führen. Auch fürchte ich, dass besonders bei Mailinglisten und Newsgroups die gefakten Adressen zur Verwirrung unbedarfter Nutzer führen könnten … denn die müssen ja unterscheiden können zwischen echten & falschen Adressen. Für Websites empfiehlt Jörg Kantel den Einbau der gefakten Adressen in HTML-Kommentare, was aber für die Spambots ein einfaches Erkennungsmerkmal wäre („Mail-Domain ungleich Webdomain – dann als Fake auffassen“).

Vor allem aber frage ich mich, ob die Aktion nicht am falschen Ende ansetzt. Für einen Spammer ist es nach wie vor trivial, an gültige Mailadressen zu kommen. Man suche nur mal in Google nach „@t-online.de“ oder „@gmx.at“. Mehr Adressen bedeuten einfach mehr „Handelsware“ für die Spammer. Deren Adressbücher werden nicht unbrauchbar, weil sie ja wegen der gefakten Absenderkennung die unzustellbaren Mails gar nicht zu Gesicht bekommen. Sie werden eher ob der zunehmenden Größe scheinbar noch „wertvoller“. Schließlich muss es auch für die Spammer ein Geschäftsmodell geben – und das ist in der Regel nicht der zustande gekommene Verkaufsabschluss aufgrund eines Spams, sondern die Bezahlung durch einen Auftraggeber für den Versand oder aber den Verkauf von Adressbeständen.

Update:

Jörg hat auf meine Fragen umgehend reagiert – vielen herzlichen Dank für die Mühe! Hier seine Anmerkungen:

1. Ich sprach davon, die Aktion nicht über die _einschlägigen_ Mailinglisten und Webseiten zu verbreiten. Gegen eine Verbreitung via „normaler“ Seiten, wie eben Weblogs oder Newsdienste habe ich nichts – im Gegenteil, ich bitte sogar darum. :o)

Haben wir von eDings auch gerne gemacht … ich glaube nur nicht, dass man eine solche Aktion lange vor den Spammern geheimhalten kann. Die lesen ja auch andere Newsdienste.

2. Die Anzahl der zu versendenden Spam-Mails ist keinesfalls nach oben offen. Vielfach werden Spams via „gehijackten“ Rechnern oder über Billigprovider verschickt. Im ersten Fall ist die Gefahr, dass durch das hohe Bouncing nicht zustellbarer Mails der Sysadmin als Relay-Station missbrauchten Rechners zu früh aufmerksam wird, im zweiten Fall wird vielfach durch hohes Bouncing der ‚disquota‘ überzogen und ebenfalls der Sysadmin zu früh aufmerksam.

Daraus schließe ich, dass die Qualität der Mailadressen den Spammern keinesfalls egal sein kann. Außerdem wird nach Stückzahl bezahlt und wer zahlt schon für Schrott?

Ersteres stimmt sicher. Wenn man sich aber anschaut, wie viele offene Mailrelays es noch immer gibt, ist es wohl kaum ein Problem für Spammer, neue Schlupflöcher zu finden. Und es gibt durchaus eine Anzahl, die diese Methoden gar nicht nötig hat. Aber ich verstehe die Intention.
Ich würde verschiedene Arten von Spammern unterscheiden: Adress-Sammler, die Adress-CDROMs verhökern – denen ist die Qualität egal. Spammer, die einfach für den Versand und nicht die Quote kassieren … da liegt es ähnlich (Wer reagiert auf Spams? Wenn die Quote im Promille-Bereich bzw. weit darunter liegt, dann kann man kaum den „schlechten“ Adressbestand dafür verantwortlich machen – der ist nämlich auf bei gültigen Adressen letztlich immer schlecht. Bleibt wirklich die Frage: Wer zahlt eigentlich warum für so einen Schrott?). Und dann Spammer quasi in eigener Sache … denen ist natürlich daran gelegen, einen qualitativ hochwertigen Bestand zu haben.

3. Die Gefahr, tatsächlich existierende Domains zu generieren, halte ich fuer äusserst gering. Der Generator erzeugt die Domains mit Hilfe von gleichverteilten Zufallszahlen (also eine Art Lasswitzscher Affe) und die Wahrscheinlichkeit, dass daraus etwas „Sinnvolles“ entsteht, liegt – wie Lasswitz schon zu Anfang des Jahrhunderts berechnet hat – nahezu gegen Null.

Das ist sicher richtig. Trotzdem sind in einigen TLDs z.B. _alle_ Drei- und viele Vierbuchstabenabkürzungen schon weg und ich würde es nicht so pauschal ausschließen wollen. Aber mein Mathe- & Informatikstudium liegt ja schon weit zurück.

4. Ich empfehle _nicht_ den Einbau zwischen HTML-Kommentaren, er ist nur eine Notlösung fuer Webmaster, die mitmachen wolllen ohne sich das Layout zu verhageln. Auch hier sollte man – wie auch in anderen Fällen – phantasievoll walten, um den Spambots das Leben zu erschweren (z.B. viel zusätzlicher, sinnloser Text in den Kommentaren

Stimmt, habe ich etwas überinterpretiert. Für mich bleibt dann ein wenig das Problem, dass die regulären User ggf. irritiert werden könnten und weniger die Spambots. Einfach eine Liste mit x Fake-Adressen hintereinander wäre durch die Häufung für die Spambots ja auch zukünftig sehr leicht zu erkennen. Aber eine bessere Alternative habe ich auch nicht parat.

Natürlich weiss ich nicht, ob diese Aktion Erfolg hat. Das habe ich aber auch geschrieben. Ich glaube aber, dass durchaus reale Chancen bestehen, den Spammern zumindest für einige Zeit das Leben schwerer zu machen.

Auch ich/wir wünsche/n der Aktion jeden erdenklichen Erfolg. Wie schon weiter oben geschrieben: Wir ärgern uns ja alle über Spam und suchen nach brauchbaren Methoden, uns dagegen zu wehren. Daher ist das sicher ein interessanter Ansatz, weshalb wir das Thema auch gerne umgehend aufgegriffen haben.
Neben solchen Aktionen muss da wohl vor allem ein neues Bewusstsein für den Umgang mit der eigenen Mailadresse her (meine steckt auch noch immer in diversen PDFs, die von Google indexiert werden). Dann braucht es auch bessere Möglichkeiten, den Spammern an den Kragen zu gehen (obwohl die, die man drankriegt, meist einfach zu dumm oder selbst Opfer eines unseriösen Geschäfts geworden sind). Und diejenigen, die mit solchen Mitteln für sich werben (lassen), müssten einfach merken, dass es nichts als Ärger einbringt. Na ja … ich gebe zu: fromme Wünsche.
Wünschen wir also Jörg und seiner Aktion das Allerbeste!

Übrigens: Auch für das Sunlog gibt es mittlerweile eine Implementierung des Verfahrens von Jörg sowie eine Stellungnahme von Andreas … für andere Blogs etc. frage man seinen Programmierer oder schaue beim Schockwellenreiter.