Spamtrap - Falle für Spammer

Für die Spamjäger ist es wichtig, Spamnachrichten schnell und 100% fehlerfrei lernen zu können. Ein Weg 100% Spam einzusammeln sind besondere Postfächer für Spam.

Mailboxfalle

Daher gibt es im Internet eine beachtliche Zahl von Mailboxen aber auch ganzen Domänen, die gar keine realen Postfächer sind sondern nur als Prüfempfänger dienen. Die Betreiber senden nie mit diesen Mailadressen und Domänen, so dass diese Adressen auch nie in einer regulären erwünschten Mail vorkommen sollten. Diese Adressen können dann auf Webseiten, in Dateien oder anderen Quellen platziert werden, die von Menschen und seriösen Firmen nicht genutzt wurden.

Spammer hingegen suchen immer nach „neuem Futter“ und grasen Datenbanken, Webseiten und mittlerweile sogar Bilder mit OCR-Erkennung ab und senden ihre Werbung. Über den Weg kommen solche Adressen in der Regel nur bei den Spammern an.

Sobald dann ein Postempfang auf diesen Adressen erfolgt, können die Spamjäger diese Informationen nutzen und damit ihre Filterlisten und Erkennungssysteme aktualisieren.
Je mehr dieser Adressen und Domänen es gibt, desto wahrscheinlicher ist eine früher Erkennung und auch Ähnlichkeiten oder richtige „Spam-Wellen“ können so einfach erkannt werden.

Risiken

Diese Modell hat aber auch ein Risiko für reguläre Mailserver und Konten. Sollte so eine Meldeadresse es tatsächlich einmal in einen Datenbestand schaffen, dann kann die Reputation ihres produktiven Mailservers sehr schnell darunter leiden. Die Mailadressen von Kunden oder Kontakten in Firmen sind keineswegs immer gesichert. Insbesondere wenn Mitarbeiter die Mailadresse per Telefon erfragen und erfassen, sind Tippfehler schnell passiert. Aber auch Kontaktformulare auf einer Webseite sind Einfallstore, wenn Interessenten sich dort unabsichtlich vertippen und Sie damit eine falsche Adresse in ihrem Bestand haben.

Aber natürlich gibt es keine vollständige Liste dieser Trap-Domains oder solcher Trap-Postfächer. Wenn es so eine Liste gäbe, dann wären die Spammer die ersten, die ihre Adressbestände damit bereinigen würden und Angreifer können gute Firmen über Web-Formulare o.ä. dazu bringen, an genau diese Domains zu senden und damit die regulären Mailserver auf Blocklisten zu setzen.

Beispieldomains

Durch entsprechende Support-Fälle bei meinen Kollegen von NoSpamProxy erfahren wir indirekt von solchen Domains und Postfächern. Immer dann, wenn der NoSpamProxy Server eines Kunden auf einer  Relay Block List (RBL) landet, versuchen wir die Ursache heraus zu finden. Vermutlich mit Absicht haben die Fallensteller Domains gewählt, die ziemlich nahe an bekannten Domänen sind. Folgende Domänen sind hier bislang aufgefallen:

Trap-Domain Ähnlichkeit zu:

bluwein.ch

Bluewin.ch - Ein Schweizer Mailboxprovider für Privatkunden. Vergleichbar zu GMX, Web.de etc.

teleus.com

telus.com - Kanadischer TelekomCarrier

Dann reicht vielleicht schon eine einzige Aussendung von intern über ihren Mailserver an so eine Domain, damit das Ziel ihre Quell-IP-Adresse als „Spamversender“ klassifiziert und in entsprechende Blocklisten addiert. Hier kann man nun streiten, ob eine Mail von einer IP schon einen Spammer ausreichend qualifiziert oder ob so ein Sammler besser auf mehrere Mails dieser Source-IP an weitere Testpostfächer oder mehrere gleiche Mails an weitere Empfänger abwartet.

Vorkehrungen

Wichtig ist in dem Zuge auch, dass Sie ihre Mails immer mit einer gültigen Absenderadresse absenden und die Rückläufer, insbesondere eine Unzustellbarkeitsmeldung, auch lesen. Denn diese Test-Postfächer lehnen die Mails in der Regel mit einem permanenten Fehler ab. Sie könnten also schon erkennen, dass ihr Prozess nicht nur eine ungültige Mailadresse bespielt sondern ein einen Falle gelaufen ist.

FC: Ich vertrete ja die Ansicht, dass jeder Sender einer Mail immer eine gültige Mailadresse nutzen muss, die auch die Rückläufer verarbeitet. Ein Cleanup von Adresslisten und ggfls. ein Nachhalten über andere Kanäle kann auch als Vorteil im Vertrieb und Marketing angesehen werden.

Anhand der beiden Beispieldomains könnte man aber schon als Spammer prüfen, ob sich dahinter eine reale Firma verbirgt. Beide sind per HTTP nicht erreichbar. Einmal ist der Name nicht auflösbar und das andere mal filtert die Web Firewall die Anfrage weg:

Allerdings ist das auch keine Garantie, dass andere Domains genau so auffällig sind. Auch der WHOIS-Eintrag ist zumindest suspekt (Afghanistan?)

Aber auch das ist kein eindeutiges Kriterium. Natürlich gibt es wieder kommerzielle Anbieter, die solche Spamtraps als Listen verkaufen. Für eine Firma, die ihre Mailverteiler und Marketing-Kontakte bereinigen will, ist das durchaus eine Option.

Ein anderer Weg ist natürlich der Versand an nicht verifizierte Adressen über eine andere IP-Adresse, die zumindest nicht mit dem eigenen Firmenserver übereinstimmt. Auch wieder eine Option z.B. Newsletter über andere Services zu senden.

Weitere Links