Newsletter OptIn-Spam
Es ist kein Spam, es ist kein Schadcode aber zeigt doch, wie blöde es ist, beliebige Mailadresse in einem Formular für Newsletter zuzulassen.
Flut im Posteingang
Anscheinend hat sich jemand am 12. Feb 2022 den "Spaß" erlaubt, meine Mailadresse in den jeweiligen Formular des Newsletter-Anbieters einzutragen. Je nach Konfiguration des Anbieter bekam ich dann eine "Bitte um Bestätigung" oder gleich ein "Willkommen" zugesendet. Aber eine Mail darunter was auch eine Spam/Phishing-Mail.
Da stellt sich dann die Frage, ob mich jemand etwas ärgern wollte oder mehr dahinter steckt. Auch die folgenden Tage kamen weitere Bestätigungsanfragen.
Risiko und Abwehr
Eine direkte Gefahr geht von diesen Mails nicht aus. Sie sind einfach nur lästig, weil anscheinend viele deutsche Firmen per Web-Formular eine Newsletter-Eintragung anbieten ohne sich Gedanken zum Missbrauch zu machen. Wobei es mehrere Optionen gibt:
- Captcha
Einwirkungsvoller Weg gegen Skripte sind Aufgaben, die nur ein Mensch lösen kann, z.B. Bilder mit zu erkennenden Zeichen oder Aufgaben. - Source-IP
Spamfilter klassifizieren eingehende IP-Adressen über Blocklisten. Als Anbieter eines Newsletter sollten Sie überlegen, welche IP-Adressen suspekt sind. Der Nutzer trägt sich ja im nächsten Schritt mit seiner Mailadresse ein. Warum sollt er das dann per VPN-Provider, über eine TOR-Adresse oder von einem "Hosted Server" machen?. Menschen arbeiten in Firmennetzwerken oder Homeoffice. Es gibt entsprechende Listen - Mail statt Form
Warum nutzen Sie ein Form mit frei eingebbarer Mailadresse?. Ein "mailto:"-Link bewirkt das gleiche und der Anwender will ja ihren Newsletter per Mail bekommen. Dann sollte er auch damit senden können. Wenn Sie dann SPF/DKIM-Prüfungen machen und der Absender ein "-all" oder "p=reject" nutze, dann ist die Adresse schon sehr qualifiziert.
Für die Administratoren: Die meisten kommerziellen Sender addieren folgende Header in der Mail.
X-Report-Spam: complaints@episerver.com X-CSA-Complaints: csa-complaints@eco.de
So lassen sich auf dem Server oder entsprechenden Clients diese OptIn-Mails einfach ausfiltern. Mich erinnert das an die "Klingelkinder", die von Haus zu haus gezogen sind und die Haustürklingel betätigt haben. Meine Eltern haben damals einfach die Klingel für einige Stunden still geschaltet bis der pubertäre Hormonschub abgeklungen war. Bei Exchange ist es eine Regel auf die Header, denn die meisten Versender addieren den X-CSA-Complaints-Header.
Quellen
Aus technischer Sich hat mich natürlich interessiert, welche Absender und Dienstleister involviert warten. Also habe ich mich mal auf die Suche nach dem Formular gemacht, in dem mein Gegenspieler meine Mailadresse eingetragen hat und welche Informationen noch in den Mails steckt.
Datum | Absender |
OptIn | Service | DKIM | IP des Formular-Clients | Vermutlich Anmelde-URL | Captcha |
---|---|---|---|---|---|---|---|
12.2. 2022 |
TÜV SÜD value-news@tuvsud.com |
Double OptIn Erst nach Klick auf Link |
bounces.sendnode.com |
Pass |
Keine |
https://www.tuvsud.com/de-de/wissenswert/newsletter/value-newsletter/anmeldung |
Nein |
12.2. 2022 |
Morgenpost morgenpost@morgenpost.de |
Double OptIn Erst nach Klick auf Link https://mail.morgenpost.de/f/xxx-xxx/wss/xxx-xx |
eu-mx.crsend.com |
Pass |
X-ip: 109.70.100.0 AS208323 ยท Foundation for Applied Privacy |
https://www.morgenpost.de/Newsletter/ |
Nein |
12.2. 2022 |
BILD registrierung@newsletter.bild.de |
Double OptIn Erst nach Klick auf Link |
emsmtp.com emarsys.net |
Ja |
Keine |
https://www.bild.de/corporate-site/newsletter/bild-service/newsletter-44536448.bild.html#/ |
Nein |
12.2. 2022 |
carius.de (phish) |
Phishing |
kasserver.com |
Nein |
dd27122.kasserver.com (AllInkl.com) |
Laut AllInk (Hoster) wurde ein unsicheres Formular auf dem Server genutzt. Die URL ist nicht bekannt. Der SMTP-Server auf dem Host scheint kein offenes Relay zu sein. |
Entfällt |
12.2. 2022 |
Schieb fragen-schieb-de@gr-mail1.com Im Auftrag von Jörg Schieb - Redaktion <fragen@schieb.de> |
ConfirmedOptIn |
gr-mail1.com |
Pass |
172.225.189.193 (Akamai, Düsseldorf), (von Jörg geliefert) |
https://pro.schieb.de/newsletteroptin/ |
Angeblich ReCaptch aber war nicht aktiv. |
14.2. 2022 |
briefkasten@dbt-internet.de | Double OptIn Erst nach Klick auf Link |
ae-live-b-6f476969f9-lqcgb (s120067.rz.babiel.com [192.168.120.67] |
Nein |
Keine |
https://www.bundestag.de/newsletter |
Nein |
14.2. 2022 |
REWE Newsletter Anmeldung <newsletter@mailing.rewe.de> |
Double OptIn Erst nach Klick auf Link |
mout-1406.artegic.net |
Pass |
Keine |
https://www.rewe.de/service/newsletter/ |
Nein |
14.2. 2022 |
Weber Deutschland <weber-de@reply.weber.com> |
Double OptIn Erst nach Klick auf Link + Erinnerungsmails am 15.2 |
uspmta120020.emarsys.net [185.4.120.20] |
Pass |
Keine |
https://www.weber.com/DE/de/newsletter/ |
Nein |
14.2. 2022 |
Miele <shop@mail.miele.de> |
Double OptIn Erst nach Klick auf Link |
com01.servicemail24.de [84.17.184.246] |
Pass |
Keine |
https://www.miele.de/haushalt/newsletter-2156.htm |
Nein |
14.2. 2022 |
NABU |
Double OptIn Erst nach Klick auf Link |
mail22-249.srv2.de |
Pass |
Keine |
https://www.nabu.de/wir-ueber-uns/infothek/newsletter/index.html |
Nein |
15.2 2022 |
Newsletter - World of TUI <Newsletter@news.tui-inspiration.de> |
Double OptIn Erst nach Klick auf Link |
mail22-249.srv2.de |
Pass |
Keine |
https://www.tui.com/newsletter-anmeldung/ |
Nein |
15.2. 2022 |
ROSSMANN Service <info@service.rossmann.de> |
Double OptIn Erst nach Klick auf Link |
inxmx186.inxserver.de |
Pass |
Keine |
https://www.rossmann.de/cms/service-hilfe/newsletter.html |
Ja |
15.2. 2022 |
Newsletter-Anmeldung stern.de <admin@newsletter.stern.de> |
Double OptIn Erst nach Klick auf Link |
quinquenulla.delta.eccluster.com |
Pass |
Keine |
https://www.stern.de/service/newsletter/ |
Nein |
15.2. 2022 |
PC-WELT <pcwelt@edt.pcwelt.de> |
Double OptIn Erst nach Klick auf Link |
mail116-219.us2.msgfocus.com |
Pass |
Keine |
https://www.pcwelt.de/p/newsletter,17745 |
Nein |
15.2. 2022 |
Deutscher Jagdverband |
Double OptIn Erst nach Klick auf Link |
o208.p10.mailjet.com |
Pass |
Keine |
https://www.jagdverband.de/der-djv/newsletter-anmeldung |
Nein |
16.2 2022 |
Hartaberfair |
Double OptIn über Antwort auf Mail |
smtpgw-e-news.wdr.de |
Nein |
Keine |
https://www1.wdr.de/daserste/hartaberfair/newsletter/index.html |
Nein |
16.2. 2022 |
Double OptIn Erst nach Klick auf Link |
smtpout.zdf.de |
Pass |
Keine |
https://ticketservice.zdf.de/newsletter-abonnieren.html |
Ja |
|
16.2. 2022 |
EDEKA <newsletter@post.edeka.de> |
Double OptIn Erst nach Klick auf Link |
mout-1315.artegic.net |
Pass |
Keine |
https://www.edeka.de/newsletter/anmelden.jsp |
Nein |
16.2. 2022 |
Bundesbank Newsletter <noreply@mail.bundesbank.de> |
Double OptIn Erst nach Klick auf Link |
mailout.bundesbank.de. |
Pass |
Keine |
https://www.bundesbank.de/de/service/newsletter |
Nein |
16.2. 2022 |
Julia von EIS <julia.schmidt@e-reply.eis.de> |
Double OptIn Erst nach Klick auf Link |
uspmta121171.emsmtp.com |
Pass |
Keine |
https://www.eis.de/newsletter/anmelden |
Nein |
16.2. 2022 |
Flaconi.de |
Double OptIn Erst nach Klick auf Link |
uspmta120009.emarsys.net |
Pass |
Keine |
https://www.flaconi.de/newsletter/anmeldung/ |
Nein |
17.2. 2022 |
Tchibo <Service@news.tchibo.de> |
Double OptIn Erst nach Klick auf Link |
mail17-77.srv2.de [193.169.180.77] |
Pass |
Keine |
https://www.tchibo.de/subscribenewsletter-c400008165.html |
Nein |
17.2 2022 |
streitkraefte@newsletter.ndr.de | Double OptIn Erst nach Klick auf Link |
relay.of.mail.dunkel.de [88.215.226.254]) |
Kein |
Keine |
newsletter.ndr.de https://www.ndr.de/service/Newsletteranmeldung,newsletteranmeldung100.html |
Nein |
17.2. 2022 |
PC-WELT <pcwelt@edt.pcwelt.de> |
Double OptIn Erst nach Klick auf Link |
mail116-209.us2.msgfocus.com ([185.187.116.209] |
Pass |
Keine |
Vermutlich
erneute Eintragung |
Nein |
18.2. 2022 |
stern Täglich <taeglich@newsletter.stern.de> |
Double OptIn Erst nach Klick auf Link |
unusquattuorunus.omega. ecmcluster.com [195.140.185.141] |
Pass |
Keine |
Erinnerung an angebliche frühere Eintragung vom 15.2 unter https://www.stern.de/service/newsletter/ |
Nein |
19.2. 2022 |
stern Digital <digital@newsletter.stern.de> |
Double OptIn Erst nach Klick auf Link |
unusquattuorunus.omega.ecmcluster.com ([195.140.185.141 |
Pass |
Keine |
Oh, ein anderer Bereich https://www.stern.de/service/newsletter/ |
Nein |
19.2 2022 |
stern Gesundheit <gesundheit@newsletter.stern.de/a>> |
Double OptIn Erst nach Klick auf Link |
quinquesx.delta.eccluster.com[195.140.185.56] |
Pass |
Kein |
Und noch ein neuer Bereich https://www.stern.de/service/newsletter/ |
Nein |
20.2.2022 |
4x Stern |
Double OptIn Erst nach Klick auf Link |
Diverse |
Pass |
Kein |
So schnell lässt mich der Stern wohl nicht von der Leine und sendet erneut die OptIn-Mails |
Nein |
Mal abgesehen von der Phishing-Mails, bei der ein Absender meine carius.de verwendet hat, die zu dem Zeitpunkt nicht per SPF "streng" geschützt war, sind alle kommerziellen Anbieter authentisch und zumindest die meisten Absender nutzen auch ein Double-OptIn-Verfahren mit einem Link zum Anklicken. Nur auf wenigen Seiten habe ich ein Captcha gefunden aber entweder ist es einfach zu knacken oder das setzt sich wirklich jemand hin und füllt die Formulare von Hand aus.
Ich werte zwar mit einer Mail "belästigt" aber wenn ich diese direkt lösche, sollte der Versuch einer Eintragung keinen weiteren Schaden verursachen.
Ich werde auch genau da tun: Nichts und mal warten, ob die drei damit auch ihre Versprechen halten, und keine weiteren Mails senden
Von allen kommerziellen Absendern hat aber nur die Berliner Morgenpost im SMTP-Header eine IP-Adresse eingebunden, von der ich ausgehen, dass es die Client-IP des "Formularabsenders" war. Das ist immer noch keine Garantie, wenn auch das kann ein Proxy-Server o.ä. sein und die Adresse wurde auch abgeschnitten, denn "109.70.100.0" ist sicher kein Host sondern verweist auf das autonome Netzwerk von "appliedprivacy.net", eine Verein, der seinen Nutzern mehr Datensicherheit verspricht.
-
https://applied-privacy.net/
Foundation for Applied Privacy ist ein 2018 in Wien gegründeter gemeinnütziger Verein der sich zum Ziel gesetzt hat, die Privatsphäre im Internet durch den Betrieb von technischen Diensten zu fördern.
Also Newsletter-Anbieter wie z.B. Morgenpost sollte man vielleicht Client-IP-Adressen, die absichtlich "nicht trackbar" sein wollen, auch nicht als legitime Adresse zur Eintragung in Newsletter zulassen - 109.70.100.0/24 AS208323 - Foundation
for Applied Privacy
https://ipinfo.io/AS208323/109.70.100.0/24
Das dürfte ähnlich wie TOR sein und im Grund ist dagegen ja nichts einzuwenden, wenn Benutzer sich aktiv um die Vermeidung von Spuren kümmern.
Das wäre natürlich auch für die Anbieter eines Newsletter eine Option, die Nutzer dieser "Anonymisierungsnetzwerke" die Eintragung nicht allzu einfach zu machen. Wer eine Mailadresse hinterlegt, kann dies auch ohne Tor oder Privacy-VPN machen.
Aber letztlich ist es egal, über welche Client-IP sich ein interessierter Besucher oder ein Spammer/Störer letztlich meldet. Als Betreiber sollte ich alles daran setzen, das Störpotential zu reduzieren. Hier versagen aus meiner Sicht alle Anbieter, denn sie erwarten teilweise nur die Mailadresse und nur manchmal noch Zusatzinformationen, wie einen Namen oder Auswahl des gewünschten Inhalts.
Zumindest ein Captcha wäre hier doch ein Mindestschutz.
Missbrauch/Diagnose
Alle Double-OptIn-Mails haben einen Link, über den ich einfach meine Zustimmung bestätigen kann. Eine Zustimmung oder auch Ablehnung per Mail hat aber kein Anbieter vorgesehen. Warum eigentlich nicht? Wenn ich als seriöser Betreiber eine Mail versende, dann möchte ich ja nicht nur die Bestätigung der interessierten Kunden sondern gerade auch den belästigten Empfängern einen Weg geben, mich über Fehler aufmerksam zu machen.
Eigentlich gehört ans Ende jeder Mail nicht nur die Pflichtangabe mit Impressum sondern auch eine "Complain"-Links, mit dem ich dem seriösen Absender helfen kann, sein Störpotential zu reduzieren.
Das gilt natürlich genauso für automatisierte Mails, wie Sie auch Google (Phishing mit Consent-Anforderung),Microsoft (OneDrive-Link Spam, und viele anderen Newsletter-Betreiber in die Welt senden. Es kann ja immer jemand dabei sein, der die Mail noch nie wollte. Es macht hier auch einen Unterschied, ob ein "Hier melden Sie sich aber" oder "als Spam melden" hinschreibt. Den ersten Link werden vermutlich weniger Personen anklicken, weil Sie bei einem Spammer nicht die Gültigkeit der Mail bestätigen wollen. Das ist also nur sinnvoll, wenn der Empfänger Absender ein Stück weit vertraut.
Auf jeden Fall sollten sich die Versender überlegen, ob sie zusätzliche Informationen mit der Double-OptIn-Mail versenden. Es wäre durchaus hilfreich, wenn z.B. ein "Am folgendem Tag und Zeitpunkt wurde von der IP-Adresse x.x.x.x und dem UserAgent yyy ihre Mailadresse zur Aufnahme in den Newsletter auf der Webseite zzzzzz eingetragen.
Wer war es nun?
Mit den vorliegenden Informationen ist es noch nicht möglich, den Verursacher dieser Mails zu ermitteln. Nur ein Anbieter hat eine IP-Adresse zum "Form Post" mit gesendet, die aber bei "Applied Privacy" vermutlich ins Leere laufen wird. Die anderen Anbieter haben keine Information mitgeliefert und ich habe mir hier auch nicht die Mühe gemacht, Sie auf ihre schwache Absicherung aufmerksam zu machen. Einzig den Hoster All-Inkl.com der den Mailserver dd27122.kasserver.com hosted, habe ich über die Abuse-Adresse informiert. Dort kam dann sehr schnell die Information, dass es ein "offenes Formular" war und der Betreiber informiert wurde. Vermutlich Anfängerfehler oder unsicheres Wordpress-Plug-In, was in den besten Kreisen passieren kann.
Ich habe mir auch mal erlaubt, eine Information an eco.de zu senden.
Hallo csa-complaints,
ich habe ja nichts gegen "certified sender" und fast alle
nutzen Double-OptIn. Das hilft aber nicht, wenn Witzbolde die
Newsletter-Formulare dazu nutzen, fremde Mailadressen
einzutragen und damit zumindest zu "stören". Vielleicht ist
es in meinem Fall wirklich ein "Mensch", der sich einen
Scherz erlaubt. Aber ich habe die Formulare der
verschiedenen Absender betrachtet und die meisten nutzen
nicht mal ein Captcha o.ä. Vielleicht sollten Sie ihre
Standards diesbezüglich etwas anheben. Bis dahin
dokumentiere ich die Absender auf
https://www.msxfaq.de/spam/newsletter_optin.htm.
Ich bin sicher, dass die Versender in ihren Logs ganz sicher
meine Mailadresse auch ohne Übersendung der Header aller
Mails finden. Bis dahin gibt es halt eine Regel, die alle
Mails mit dem Header "X-CSA-Complaints:
csa-complaints@eco.de" aussortiert.
Ich bin mal gespannt, wie die Störer darauf reagieren.
Alternative: Anmeldung per Mail
Wenn ich als Anbieter meinen Lesern per "Mail" regelmäßige Informationen zukommen lassen darf, dann ist Mail für diese Kundschaft ein wichtiges und häufiges Werkzeug. Dieser Personenkreis weiß aber sicher auch, wie man eine Mail sendet. Wäre es da nicht sinnvoller, wenn der Interessent einfach eine Mail an "newsletter@<anbieter>" sendet, um seinen Wunsch zu äußern?. Technisch ist auch das per "mailto"-Link auf einer Webseite sehr einfach und anwenderfreundlich möglich. Dann muss ich als Anbieter aber keine initiale Mail senden.
Natürlich muss ich nun sicherstellen, dass die Mail nicht gefälscht ist. Als Anbieter sollte ich also z.B. eine strenge SPF/DKIM/DMARC-Prüfung anlegen. Auch ein gültiges SMIME-Zertifikat kann ich als starken Identitätsnachweis heranziehen. Wobei es immer noch viele "ungeschützte Domains" gibt, d.h. nicht alle Domains werden einen "-all"-Eintrag im SPF-Record haben und noch weniger Absender nutzen SMIME/PGP. Ein Betreiber sollte zur Sicherheit auch auf so eine Mail eine "OptIn"-Mail liefern und auf eine Bestätigung warten
Ich weiß natürlich auch, dass im Marketing wohl die Meinung vorherrscht, die Anwender wären zu blöde eine Mail zu senden und würden viel lieber ein Formular auf einer Webseite ausfüllen. Diese Leserschaft wird aber vermutlich auch keine Mail nutzen, sondern ihnen über WhatsApp, Twitter, Facebook, TikTok oder andere Plattformen und Apps folgen. Ich sehe das ja in meinem Familien- und Bekanntenkreis, dass Mail schon fast Brief-Charakter hat.