Adressensammler identifizieren - Ein Beispiel

Auf den vorigen Seiten habe ich Ihnen erklärt, wie Spam-Mails einzuordnen sind und wie Adressensammler durch Harvester an ihre Adressenliste kommen. Nun will hier konkret darlegen, wie eine dynamisch generierte E-Mail-Adresse aussehen kann:

Ihre aktuelle IP-Adresse, mit der Sie diese Webseite http://spamfang.rehbein.net aufrufen, lautet:

• 38.103.63.17 (38.103.63.17)

Zusammen mit dem aktuellen Datum 12.05.2008 und der Uhrzeit 05:08:06 generiere ich daraus folgenden E-Mail-Link:

• demo-12.05.2008-05.08.06-38.103.63.17@example.com

Schreibe ich den Zeitstempel in Hexadezimalschreibweise des Unix-Timestamps und auch die IP-Adresse als Hexadezimalzahl (vier Zahlen im Wertebereich 0-255 sind exakt eine achtstellige Hexadezimalzahl), so ergibt sich das weit kompaktere Aussehen:

• demo-4827b496-26673f11@example.com

Dieser E-Mail-Link wird bei mir nirgendwo gespeichert oder archiviert. Er wird bei jedem Aufruf der Webseite neu generiert. Und da sich die Uhrzeit ständig ändert und die Zugriffe auf diese Webseite von unterschiedlichen IP-Adressen erfolgen, wird bei jedem Aufruf dieser Webseite eine andere E-Mail-Adresse angezeigt (ggf. sehen Sie eine alte Uhrzeit, wenn eine alte Version dieser Seite bei Ihnen im Browsercache oder in einem von Ihnen verwendeten Proxy-Server gespeichert ist).

Die Domain example.com fungiert hier natürlich nur als Beispiel (gemäß RFC 2606). In der konkreten Anwendung ist statt dessen eine existierende Domain eingetragen, unter der ich E-Mails abrufe.

Verwendung der dynamisch generierten E-Mail-Adresse

Bekomme ich also nun E-Mails an diese Domain, die hier als Beispiel dient, so kann ich anhand des adressierten Usernamens genau nachvollziehen, zu welchem Zeitpunkt und von wem (d.h. von welcher IP-Adresse) diese Adresse eingesammelt wurde. Während die Headerzeilen der E-Mail nur verraten, welchen Weg die einzelne E-Mail genommen hat, verrät der adressierte Username, wie die Adresse eingesammelt wurde, d.h. wann der Harvester, dessen Adressenliste Basis für die Spam-Mails ist, diese Seite besucht hat und welche IP-Adresse er dabei hatte.

Außer auf dieser Demoseite stehen solche Kontrolladressen natürlich nicht für den Benutzer sichtbar auf der Seite, sondern sind im HTML-Quelltext versteckt. Somit ist klar, daß solche Kontrolladressen nicht von normalen Besuchern der Webseiten, sondern nur von den Harvestern der Adressenhändler und Massenmail-Versender gefunden werden.

Allerdings gehe ich nicht so vor, daß ich spezielle Webseiten für Harvester generiere. Sondern ich nehme meine existierenden Webseiten und packe dort in den HTML-Code zusätzlich noch versteckte E-Mail-Adressen hinein, die von Harvestern (die diese Seiten ohnehin besuchen) gefunden werden. Ich unternehme keine Maßnahmen, Harvester gezielt auf meine Webseiten zu locken.

Wie bei der Einführung in die Thematik Spam geschildert, zeigen der Header-Zeilen von Spam-Mails häufig, daß diese weit außerhalb Deutschlands (Taiwan, Lateinamerika, etc) abgeschickt werden und somit ein Herausfinden des wahren Absenders so gut wie unmöglich wird.

Das Einsammeln der Adresse, also der Lauf des Harvesters, erfolgt im Gegensatz dazu häufig von der heimischen Niederlassung des Spam-Versenders. Denn anders als beim Versand von E-Mail kommt es beim massenhaften Besuch von Webseiten, um E-Mail-Adressen herauszusuchen, auf Geschwindigkeit an. Zum Abschicken der E-Mails kann der Spam-Versender einen gleichlautenden Text jeweils mit einigen Tausend Empfängeradressen beispielsweise bei einem Server in Peru einliefern. Zum Abrufen von Webseiten muß dagegen jede einzelne Seite separat angefordert werden. Bedient man sich hierzu, um die eigene Identität zu verschleiern, beispielsweise eines Servers in Peru, so verringert dies den Datendurchsatz, deshalb die Menge der pro Tag besuchten Webseiten und deshalb die Menge der gefundenen E-Mail-Adressen ganz erheblich.

Man hat also gute Chancen, anhand der IP-Adresse den Adressensammler zu identifizieren. Doch nicht in jedem Fall hat man damit Erfolg. So kann die IP-Adresse natürlich auch zu einem Einwahlzugang eines Zugangsproviders wie T-Online, Arcor oder AOL führen. Daraus läßt sich die Identität des Adressensammlers natürlich nicht ablesen.

Doch in vielen Fällen ist es auch von Wert, wenn man anhand der Empfängeradressen erkennen kann, welche Spam-Mails von demselben Adressensammler stammen. Stellen Sie sich beispielsweise vor, ich bekomme an die oben dargestellte Mailadresse, in der das aktuelle Datum 12.05.2008 und die Uhrzeit 05:08 eingebaut sind, morgen oder übermorgen mehrere Spam-Mails mit Werbung für unterschiedliche Pornoseiten. Dann ist dies ein deutliches Indiz dafür, daß alle diese Seiten demselben Anbieter gehören, und dieser auch für alle diesbezüglichen Spam-Mails verantwortlich ist. Beinhaltet eine der Mails eine 0190er-Nummer, anhand derer man (mit Hartnäckigkeit und Geduld) den Anbieter identifizieren kann, so hat man mit großer Wahrscheinlichkeit den Verantwortlichen für alle Mails mit dieser Empfängeradresse gefunden. Bei E-Mail-Adressen, deren Entstehungsdatum schon länger zurückliegt, ist diese Plausibilität natürlich nicht mehr gegeben. Denn Adresslisten werden auch gehandelt, also weitergegeben.

Darüber hinaus kann es alleine schon sinnvoll sein, nachschauen zu können, welche Spam-Mails überhaupt derzeit verschickt werden. Denn die Formulierungstechniken der Spam-Versender werden immer raffinierter. Insbesondere persönliche Ansprachen in den Mails lassen mittlerweile bei zahlreichen Mails Zweifel entstehen, ob es sich um eine Spam-Mail oder eine "echte" Naricht handelt. Ist man bei einer Mail, die man in seinem Posteingang vorfindet, im Zweifel, ob man darauf antworten soll oder ob ein Spammer dahintersteckt, so kann man nachschauen, ob eine Mail mit ähnlichem Inhalt auch an eine der zur Spam-Verfolgung dynamisch generierten Adressen eingetroffen ist.

Einbau der dynamischen E-Mail-Adresse

Wie oben dargestellt, baue ich bei jedem Aufruf der Webseite eine E-Mail-Adresse in die Seite ein, die den Zeitstempel und die IP-Adresse des Abrufers beinhaltet. Diese Adresse muß wie eine statische Adresse in der HTML-Seite enthalten sein, d.h. sie darf sich nicht von einer fest eingebauten Mailadresse unterscheiden. Wenn Sie in den HTML-Quellcode dieser Seite hineinschauen, so steht dort die jeweils aktuelle Uhrzeit und Ihre eigene IP-Adresse fest im HTML-Quelltext drin.

Eine Programmierung mit clientseitig ausgeführten Programmen (aktiven Inhalten) wie z.B. Javascript scheidet also aus. Denn das würde man ja am HTML-Quellcode bemerken. Außerdem verschwenden Harvester, die E-Mail-Adressen einsammeln, ihre Zeit nicht mit dem Ausführen von Javascript-Code oder anderen aktiven Inhalten.

Die Webseite muß also auf dem Server bereits mit dem richtigen Inhalt versehen werden. Der Webserver muß bei jedem HTTP-Aufruf der Seite die richtigen Daten dort hineinbasteln. Dies geschieht mit serverseitigen Skripten, auch CGI genannt (Common Gateway Interface, Allgemeine Schnittstelle zum Aufruf von Programmen). Typische Programmiersprachen für serverseitige Skripte sind Perl, PHP oder Python, prinzipiell können diese Skripte aber auch Programme in jeder beliebigen Programmiersprache sein.

So bauen Sie derartige Adressen auf Ihrer Homepage ein

Bevor Sie nun loslegen und solche Adressen auf Ihren eigenen Webseiten integrieren, sollten Sie sich zunächst darüber Gedanken machen, wie Sie die dann eintreffenden Spam-Mails überhaupt verwalten wollen. Denn davon hängt die Struktur der E-Mail-Adressen ab. Lesen Sie deshalb erst folgenden Text:

• E-Mail-Konfiguration zum Empfang von Spam-Mails

Danach benötigen Sie die notwendigen Basisinformationen, um in Ihren Webseiten dynamisch Inhalte generieren zu können, also serverseitige Skripte auszuführen. Die Erklärungen finden Sie hier:

• Serverseitige Skripte in Ihren Webseiten

Wenn Sie sich im Umgang mit serverseitigen Skripten bereits auskennen, können Sie auch direkt zu den Beispielen zur Generierung dynamischer Mail-Adressen springen:

• Dynamische E-Mail-Adressen mit SSI und PHP