Newsletter OptIn-Spam

Es ist kein Spam, es ist kein Schadcode aber zeigt doch, wie blöde es ist, beliebige Mailadresse in einem Formular für Newsletter zuzulassen.

Flut im Posteingang

Anscheinend hat sich jemand am 12. Feb 2022 den "Spaß" erlaubt, meine Mailadresse in den jeweiligen Formular des Newsletter-Anbieters einzutragen. Je nach Konfiguration des Anbieter bekam ich dann eine "Bitte um Bestätigung" oder gleich ein "Willkommen" zugesendet. Aber eine Mail darunter was auch eine Spam/Phishing-Mail.

Da stellt sich dann die Frage, ob mich jemand etwas ärgern wollte oder mehr dahinter steckt. Auch die folgenden Tage kamen weitere Bestätigungsanfragen.

Risiko und Abwehr

Eine direkte Gefahr geht von diesen Mails nicht aus. Sie sind einfach nur lästig, weil anscheinend viele deutsche Firmen per Web-Formular eine Newsletter-Eintragung anbieten ohne sich Gedanken zum Missbrauch zu machen. Wobei es mehrere Optionen gibt:

  • Captcha
    Einwirkungsvoller Weg gegen Skripte sind Aufgaben, die nur ein Mensch lösen kann, z.B. Bilder mit zu erkennenden Zeichen oder Aufgaben.
  • Source-IP
    Spamfilter klassifizieren eingehende IP-Adressen über Blocklisten. Als Anbieter eines Newsletter sollten Sie überlegen, welche IP-Adressen suspekt sind. Der Nutzer trägt sich ja im nächsten Schritt mit seiner Mailadresse ein. Warum sollt er das dann per VPN-Provider, über eine TOR-Adresse oder von einem "Hosted Server" machen?. Menschen arbeiten in Firmennetzwerken oder Homeoffice. Es gibt entsprechende Listen
  • Mail statt Form
    Warum nutzen Sie ein Form mit frei eingebbarer Mailadresse?. Ein "mailto:"-Link bewirkt das gleiche und der Anwender will ja ihren Newsletter per Mail bekommen. Dann sollte er auch damit senden können. Wenn Sie dann SPF/DKIM-Prüfungen machen und der Absender ein "-all" oder "p=reject" nutze, dann ist die Adresse schon sehr qualifiziert.

Für die Administratoren: Die meisten kommerziellen Sender addieren folgende Header in der Mail.

X-Report-Spam: complaints@episerver.com
X-CSA-Complaints: csa-complaints@eco.de

So lassen sich auf dem Server oder entsprechenden Clients diese OptIn-Mails einfach ausfiltern. Mich erinnert das an die "Klingelkinder", die von Haus zu haus gezogen sind und die Haustürklingel betätigt haben. Meine Eltern haben damals einfach die Klingel für einige Stunden still geschaltet bis der pubertäre Hormonschub abgeklungen war. Bei Exchange ist es eine Regel auf die Header, denn die meisten Versender addieren den X-CSA-Complaints-Header.

Quellen

Aus technischer Sich hat mich natürlich interessiert, welche Absender und Dienstleister involviert warten. Also habe ich mich mal auf die Suche nach dem Formular gemacht, in dem mein Gegenspieler meine Mailadresse eingetragen hat und welche Informationen noch in den Mails steckt.

Datum Absender
OptIn Service DKIM IP des Formular-Clients Vermutlich Anmelde-URL Captcha
12.2.
2022
TÜV SÜD
value-news@tuvsud.com
Double OptIn
Erst nach Klick auf Link

bounces.sendnode.com

Pass

Keine

https://www.tuvsud.com/de-de/wissenswert/newsletter/value-newsletter/anmeldung

Nein

12.2.
2022
Morgenpost
morgenpost@morgenpost.de
Double OptIn
Erst nach Klick auf Link https://mail.morgenpost.de/f/xxx-xxx/wss/xxx-xx

eu-mx.crsend.com

Pass

X-ip: 109.70.100.0
AS208323 · Foundation for Applied Privacy

https://www.morgenpost.de/Newsletter/

Nein

12.2.
2022
BILD
registrierung@newsletter.bild.de
Double OptIn
Erst nach Klick auf Link
emsmtp.com
emarsys.net

Ja

Keine

https://www.bild.de/corporate-site/newsletter/bild-service/newsletter-44536448.bild.html#/

Nein

12.2.
2022

carius.de (phish)

Phishing

kasserver.com

Nein

dd27122.kasserver.com
(AllInkl.com)

Laut AllInk (Hoster) wurde ein unsicheres Formular auf dem Server genutzt. Die URL ist nicht bekannt. Der SMTP-Server auf dem Host scheint kein offenes Relay zu sein.

Entfällt

12.2.
2022
Schieb
fragen-schieb-de@gr-mail1.com
Im Auftrag von Jörg Schieb - Redaktion <fragen@schieb.de>

ConfirmedOptIn

gr-mail1.com

Pass

172.225.189.193 (Akamai, Düsseldorf), (von Jörg geliefert)

https://pro.schieb.de/newsletteroptin/

Angeblich ReCaptch aber war nicht aktiv.

14.2.
2022
briefkasten@dbt-internet.de Double OptIn
Erst nach Klick auf Link

ae-live-b-6f476969f9-lqcgb (s120067.rz.babiel.com [192.168.120.67]

Nein

Keine

https://www.bundestag.de/newsletter

Nein

14.2.
2022
REWE Newsletter Anmeldung
<newsletter@mailing.rewe.de>
Double OptIn
Erst nach Klick auf Link

mout-1406.artegic.net
[178.63.14.5]

Pass

Keine

https://www.rewe.de/service/newsletter/

Nein

14.2.
2022
Weber Deutschland
<weber-de@reply.weber.com>
Double OptIn
Erst nach Klick auf Link
+ Erinnerungsmails am 15.2

uspmta120020.emarsys.net [185.4.120.20]

Pass

Keine

https://www.weber.com/DE/de/newsletter/

Nein

14.2.
2022
Miele
<shop@mail.miele.de>
Double OptIn
Erst nach Klick auf Link

com01.servicemail24.de [84.17.184.246]

Pass

Keine

https://www.miele.de/haushalt/newsletter-2156.htm

Nein

14.2.
2022

NABU
<newsletter@nabu.de>

Double OptIn
Erst nach Klick auf Link

mail22-249.srv2.de
[91.241.73.249]

Pass

Keine

https://www.nabu.de/wir-ueber-uns/infothek/newsletter/index.html

Nein

15.2
2022
Newsletter - World of TUI
<Newsletter@news.tui-inspiration.de>
Double OptIn
Erst nach Klick auf Link

mail22-249.srv2.de
[91.241.73.249]

Pass

Keine

https://www.tui.com/newsletter-anmeldung/

Nein

15.2.
2022
ROSSMANN Service
<info@service.rossmann.de>
Double OptIn
Erst nach Klick auf Link

inxmx186.inxserver.de
[93.191.164.162]

Pass

Keine

https://www.rossmann.de/cms/service-hilfe/newsletter.html

Ja

15.2.
2022
Newsletter-Anmeldung stern.de
<admin@newsletter.stern.de>
Double OptIn
Erst nach Klick auf Link

quinquenulla.delta.eccluster.com
[195.140.185.50]

Pass

Keine

https://www.stern.de/service/newsletter/

Nein

15.2.
2022
PC-WELT
<pcwelt@edt.pcwelt.de>
Double OptIn
Erst nach Klick auf Link

mail116-219.us2.msgfocus.com
[185.187.116.219]

Pass

Keine

https://www.pcwelt.de/p/newsletter,17745

Nein

15.2.
2022

Deutscher Jagdverband
<pressestelle@jagdverband.de>

Double OptIn
Erst nach Klick auf Link

o208.p10.mailjet.com
[87.253.235.208]

Pass

Keine

https://www.jagdverband.de/der-djv/newsletter-anmeldung

Nein

16.2
2022

Hartaberfair
 <hartaberfair-bounces@newsletter.wdr.de>

Double OptIn
über Antwort auf Mail

smtpgw-e-news.wdr.de
[149.219.195.48]

Nein

Keine

https://www1.wdr.de/daserste/hartaberfair/newsletter/index.html

Nein

16.2.
2022

Ticketservice@zdf.de

Double OptIn
Erst nach Klick auf Link

smtpout.zdf.de
[91.197.29.200]

Pass

Keine

https://ticketservice.zdf.de/newsletter-abonnieren.html

Ja

16.2.
2022
EDEKA
<newsletter@post.edeka.de>
Double OptIn
Erst nach Klick auf Link

mout-1315.artegic.net
[5.35.250.83]

Pass

Keine

https://www.edeka.de/newsletter/anmelden.jsp

Nein

16.2.
2022
Bundesbank Newsletter
<noreply@mail.bundesbank.de>
Double OptIn
Erst nach Klick auf Link

mailout.bundesbank.de.
prod.babiel.com
[185.173.228.11]

Pass

Keine

https://www.bundesbank.de/de/service/newsletter

Nein

16.2.
2022
Julia von EIS
<julia.schmidt@e-reply.eis.de>
Double OptIn
Erst nach Klick auf Link

uspmta121171.emsmtp.com
[185.4.121.171]

Pass

Keine

https://www.eis.de/newsletter/anmelden

Nein

16.2.
2022

Flaconi.de
<info@reply.flaconi.de>

Double OptIn
Erst nach Klick auf Link

uspmta120009.emarsys.net
[185.4.120.9]

Pass

Keine

https://www.flaconi.de/newsletter/anmeldung/

Nein

17.2.
2022
Tchibo
<Service@news.tchibo.de>
Double OptIn
Erst nach Klick auf Link
mail17-77.srv2.de
[193.169.180.77]

Pass

Keine

https://www.tchibo.de/subscribenewsletter-c400008165.html

Nein

17.2
2022
streitkraefte@newsletter.ndr.de Double OptIn
Erst nach Klick auf Link
relay.of.mail.dunkel.de
[88.215.226.254])

Kein

Keine

newsletter.ndr.de
https://www.ndr.de/service/Newsletteranmeldung,newsletteranmeldung100.html

Nein

17.2.
2022
PC-WELT
<pcwelt@edt.pcwelt.de>
Double OptIn
Erst nach Klick auf Link
mail116-209.us2.msgfocus.com
([185.187.116.209]

Pass

Keine

Vermutlich erneute Eintragung
https://www.pcwelt.de/p/newsletter,17745

Nein

18.2.
2022
stern Täglich
<taeglich@newsletter.stern.de>
Double OptIn
Erst nach Klick auf Link
unusquattuorunus.omega.
ecmcluster.com [195.140.185.141]

Pass

Keine

Erinnerung an angebliche frühere Eintragung vom 15.2 unter https://www.stern.de/service/newsletter/

Nein

19.2.
2022
stern Digital
<digital@newsletter.stern.de>
Double OptIn
Erst nach Klick auf Link

unusquattuorunus.omega.ecmcluster.com ([195.140.185.141

Pass

Keine

Oh, ein anderer Bereich
https://www.stern.de/service/newsletter/

Nein

19.2 2022

stern Gesundheit
<gesundheit@newsletter.stern.de/a>>
Double OptIn
Erst nach Klick auf Link

quinquesx.delta.eccluster.com[195.140.185.56]

Pass

Kein

Und noch ein neuer Bereich
https://www.stern.de/service/newsletter/

Nein

20.2.2022

4x Stern

Double OptIn
Erst nach Klick auf Link

Diverse

Pass

Kein

So schnell lässt mich der Stern wohl nicht von der Leine und sendet erneut die OptIn-Mails

Nein

Mal abgesehen von der Phishing-Mails, bei der ein Absender meine carius.de verwendet hat, die zu dem Zeitpunkt nicht per SPF "streng" geschützt war, sind alle kommerziellen Anbieter authentisch und zumindest die meisten Absender nutzen auch ein Double-OptIn-Verfahren mit einem Link zum Anklicken. Nur auf wenigen Seiten habe ich ein Captcha gefunden aber entweder ist es einfach zu knacken oder das setzt sich wirklich jemand hin und füllt die Formulare von Hand aus.

Ich werte zwar mit einer Mail "belästigt" aber wenn ich diese direkt lösche, sollte der Versuch einer Eintragung keinen weiteren Schaden verursachen.

Ich werde auch genau da tun: Nichts und mal warten, ob die drei damit auch ihre Versprechen halten, und keine weiteren Mails senden

Von allen kommerziellen Absendern hat aber nur die Berliner Morgenpost im SMTP-Header eine IP-Adresse eingebunden, von der ich ausgehen, dass es die Client-IP des "Formularabsenders" war. Das ist immer noch keine Garantie, wenn auch das kann ein Proxy-Server o.ä. sein und die Adresse wurde auch abgeschnitten, denn "109.70.100.0" ist sicher kein Host sondern verweist auf das autonome Netzwerk von "appliedprivacy.net", eine Verein, der seinen Nutzern mehr Datensicherheit verspricht.

  • https://applied-privacy.net/
    Foundation for Applied Privacy ist ein 2018 in Wien gegründeter gemeinnütziger Verein der sich zum Ziel gesetzt hat, die Privatsphäre im Internet durch den Betrieb von technischen Diensten zu fördern.
    Also Newsletter-Anbieter wie z.B. Morgenpost sollte man vielleicht Client-IP-Adressen, die absichtlich "nicht trackbar" sein wollen, auch nicht als legitime Adresse zur Eintragung in Newsletter zulassen
  • 109.70.100.0/24 AS208323 - Foundation for Applied Privacy
    https://ipinfo.io/AS208323/109.70.100.0/24

Das dürfte ähnlich wie TOR sein und im Grund ist dagegen ja nichts einzuwenden, wenn Benutzer sich aktiv um die Vermeidung von Spuren kümmern.

Das wäre natürlich auch für die Anbieter eines Newsletter eine Option, die Nutzer dieser "Anonymisierungsnetzwerke" die Eintragung nicht allzu einfach zu machen. Wer eine Mailadresse hinterlegt, kann dies auch ohne Tor oder Privacy-VPN machen.

Aber letztlich ist es egal, über welche Client-IP sich ein interessierter Besucher oder ein Spammer/Störer letztlich meldet. Als Betreiber sollte ich alles daran setzen, das Störpotential zu reduzieren. Hier versagen aus meiner Sicht alle Anbieter, denn sie erwarten teilweise nur die Mailadresse und nur manchmal noch Zusatzinformationen, wie einen Namen oder Auswahl des gewünschten Inhalts.

Zumindest ein Captcha wäre hier doch ein Mindestschutz.

Missbrauch/Diagnose

Alle Double-OptIn-Mails haben einen Link, über den ich einfach meine Zustimmung bestätigen kann. Eine Zustimmung oder auch Ablehnung per Mail hat aber kein Anbieter vorgesehen. Warum eigentlich nicht? Wenn ich als seriöser Betreiber eine Mail versende, dann möchte ich ja nicht nur die Bestätigung der interessierten Kunden sondern gerade auch den belästigten Empfängern einen Weg geben, mich über Fehler aufmerksam zu machen.

Eigentlich gehört ans Ende jeder Mail nicht nur die Pflichtangabe mit Impressum sondern auch eine "Complain"-Links, mit dem ich dem seriösen Absender helfen kann, sein Störpotential zu reduzieren.

Das gilt natürlich genauso für automatisierte Mails, wie Sie auch Google (Phishing mit Consent-Anforderung),Microsoft (OneDrive-Link Spam, und viele anderen Newsletter-Betreiber in die Welt senden. Es kann ja immer jemand dabei sein, der die Mail noch nie wollte. Es macht hier auch einen Unterschied, ob ein "Hier melden Sie sich aber" oder "als Spam melden" hinschreibt. Den ersten Link werden vermutlich weniger Personen anklicken, weil Sie bei einem Spammer nicht die Gültigkeit der Mail bestätigen wollen. Das ist also nur sinnvoll, wenn der Empfänger Absender ein Stück weit vertraut.

Auf jeden Fall sollten sich die Versender überlegen, ob sie zusätzliche Informationen mit der Double-OptIn-Mail versenden. Es wäre durchaus hilfreich, wenn z.B. ein "Am folgendem Tag und Zeitpunkt wurde von der IP-Adresse x.x.x.x und dem UserAgent yyy ihre Mailadresse zur Aufnahme in den Newsletter auf der Webseite zzzzzz  eingetragen.

Wer war es nun?

Mit den vorliegenden Informationen ist es noch nicht möglich, den Verursacher dieser Mails zu ermitteln. Nur ein Anbieter hat eine IP-Adresse zum "Form Post" mit gesendet, die aber bei "Applied Privacy" vermutlich ins Leere laufen wird. Die anderen Anbieter haben keine Information mitgeliefert und ich habe mir hier auch nicht die Mühe gemacht, Sie auf ihre schwache Absicherung aufmerksam zu machen. Einzig den Hoster All-Inkl.com der den Mailserver dd27122.kasserver.com hosted, habe ich über die Abuse-Adresse informiert. Dort kam dann sehr schnell die Information, dass es ein "offenes Formular" war und der Betreiber informiert wurde. Vermutlich Anfängerfehler oder unsicheres Wordpress-Plug-In, was in den besten Kreisen passieren kann.

Ich habe mir auch mal erlaubt, eine Information an eco.de zu senden.

Hallo csa-complaints,
ich habe ja nichts gegen "certified sender" und fast alle nutzen Double-OptIn. Das hilft aber nicht, wenn Witzbolde die Newsletter-Formulare dazu nutzen, fremde Mailadressen einzutragen und damit zumindest zu "stören". Vielleicht ist es in meinem Fall wirklich ein "Mensch", der sich einen Scherz erlaubt. Aber ich habe die Formulare der verschiedenen Absender betrachtet und die meisten nutzen nicht mal ein Captcha o.ä. Vielleicht sollten Sie ihre Standards diesbezüglich etwas anheben. Bis dahin dokumentiere ich die Absender auf https://www.msxfaq.de/spam/newsletter_optin.htm.
Ich bin sicher, dass die Versender in ihren Logs ganz sicher meine Mailadresse auch ohne Übersendung der Header aller Mails finden. Bis dahin gibt es halt eine Regel, die alle Mails mit dem Header "X-CSA-Complaints: csa-complaints@eco.de" aussortiert.

Ich bin mal gespannt, wie die Störer darauf reagieren.

Alternative: Anmeldung per Mail

Wenn ich als Anbieter meinen Lesern per "Mail" regelmäßige Informationen zukommen lassen darf, dann ist Mail für diese Kundschaft ein wichtiges und häufiges Werkzeug. Dieser Personenkreis weiß aber sicher auch, wie man eine Mail sendet. Wäre es da nicht sinnvoller, wenn der Interessent einfach eine Mail an "newsletter@<anbieter>" sendet, um seinen Wunsch zu äußern?. Technisch ist auch das per "mailto"-Link auf einer Webseite sehr einfach und anwenderfreundlich möglich. Dann muss ich als Anbieter aber keine initiale Mail senden.

Natürlich muss ich nun sicherstellen, dass die Mail nicht gefälscht ist. Als Anbieter sollte ich also z.B. eine strenge SPF/DKIM/DMARC-Prüfung anlegen. Auch ein gültiges SMIME-Zertifikat kann ich als starken Identitätsnachweis heranziehen. Wobei es immer noch viele "ungeschützte Domains" gibt, d.h. nicht alle Domains werden einen "-all"-Eintrag im SPF-Record haben und noch weniger Absender nutzen SMIME/PGP. Ein Betreiber sollte zur Sicherheit auch auf so eine Mail eine "OptIn"-Mail liefern und auf eine Bestätigung warten

Ich weiß natürlich auch, dass im Marketing wohl die Meinung vorherrscht, die Anwender wären zu blöde eine Mail zu senden und würden viel lieber ein Formular auf einer Webseite ausfüllen. Diese Leserschaft wird aber vermutlich auch keine Mail nutzen, sondern ihnen über WhatsApp, Twitter, Facebook, TikTok oder andere Plattformen und Apps folgen. Ich sehe das ja in meinem Familien- und Bekanntenkreis, dass Mail schon fast Brief-Charakter hat.

Weitere Links