Spam und UCE - Beispiele

Auf dieser Seite zeige ich ihnen einige Beispiele von Spam Mails und eine Bewertung, wie der Spammer damit versucht, Filter zu umgehen. Die Auflistung wird fortgesetzt ... Auf der Seite Phishing finden Sie weitere Beispiele

HTML-Mails mit Fake Text

Diese Mail zeigt, wie der Spammer versucht, einen Textfilter auszuhebeln. Die eigentliche Werbenachricht ist in Wirklichkeit eine Grafik, während ein "guter Text" die Bewertung anheben soll, aber nur sichtbar wird, wenn ich ihn markiere. Er ist "lightgrey" formatiert, das einige Filter "weiße Schrift auf weißem Grund" schon bewerten.

Dass die Option "Remove" mit Zahlen verunstaltet wird, ist da eher nebensächlich.

Ungültige Zeichen und falsches Mime

Ein anderes probates Mittel ist die Ausnutzung von absichtlich gemachten Fehlern in der Kodierung. Programm wie Outlook und Outlook Express sind sehr tolerant was ein falschen Format angeht und versuchen dann immer noch was zu retten. Stellen Sie sich vor, ein ZIP-Archiv wäre korrupt, aber einige Dateien könnte man dennoch auslesen. Produkte, die Mails analysieren sind oft nicht so tolerant, da Sie ja leider nicht den Code von Outlook kopieren können und so kann es sein, dass eine Mail vom Spamfilter aufgrund eines Fehlers nicht analysiert und daher durchgelassen wird, aber von Outlook wenn auch mit Problemen angezeigt werden kann

Es gibt aber immer noch Spammer, die nicht mal eine richtige Mail zusammen bekommen, so dass der Anwender die HTML-Codes sieht, statt einer Mail. Das ist dann doch schon eher peinlich.

Viren sind kein Spam

Bei aller Analyse darf man aber nicht verwechseln, dass auch Viren immer mehr ihre Mailbox füllen. Ein Virenscanner auf ihrem PC hilft ihnen sicher, solche Schädlinge draußen zu halten, aber leider gibt es immer mehr Viren, die mit einer falschen Absenderadresse senden und bei ihnen dann die Rückläufer ankommen. Oft handelt es sich aber auch um Mails, die nur aussehen, als wenn es ein Rückläufer wäre,  wie dieses Beispiel:

Der Virus sendet sich selbst mit der falschen Absenderadresse und täuscht eine unzustellbarkeit vor.

Angeblich signiert

Wenn Sie nun auf den Gedanken kommen, dass Sie alle Mails filtern, es sei den sie sind digital signiert, dann kann ihinen getrost sagen, das auch Spammer diese Idee schon hatten und ihre Mail angeblich digital signieren:

PGP ist an sich schon gut, aber jeder kann sich selbst einen Schlüssel erstellen und ich vermute nicht, dass ihr Gateway auch die Qualität der Zertifikate prüft. Insofern ist Signierung und Verschlüsselung eine gute Idee, aber als Mittel gegen Spam keine Lösung und ist ein ähnlicher Ansatz wie SPF zu sehen, womit die Authentizität des Absenders geprüft werden kann.

Angebliche Antwort und falscher Absender für Allowlist

Hatten Sie schon die Idee, dass ein Textfilter einfach nachschaut, ob die Mail eine Antwort auf ihre Mail ist ?. was liegt näher, als in der Message danach zu suchen. Dieser Spammer hat wohl auch daran gedacht:

Ich habe ganz sicher keine Mail dort hin geschrieben und ich bezweifle, dass DELL solche "Verstärker" verkauft. Aber vielleicht nutzen Sie ja DELL-Server und haben ihrer Filterlösung diese Absenderdomäne als "Vertrauenswürdig" eingestuft. Der Spammer freut sich.

Das gleiche "Problem" trifft mich aber auch selbst oft, da gerade Newsletter sehr gerne missbraucht werden. Spammer senden z.B. mit der Newsletteradresse meines Newsletter und hoffen damit über Allowlists die Filter passieren zu können. Ich "bemerke" das natürlich indirekt, wenn die angeblichen Empfänger nicht existieren und die NDR-Meldungen dann bei mir landen (Analog zu NDR Spamming)

Damit ist gut erkennbar, dass Allowlists auf Domains eigentlich das Problem eher verschlimmern, d.h. dass eine Allowlist bei ihnen einem Spammer die Tür öffnet, sobald er eine gültige Adresse erreicht hat. Das erscheint zwar "unwahrscheinlich", aber wer sagt denn, dass es nicht Newsletter gibt, die seht viel mehr Abonnementen haben oder dass dem Spammer nicht ein Einbruch in die Datenbank des Anbieters gelungen ist und er daher seine Werbung gezielt an die Abonnementen senden kann ?.

Versteckte URLs

Immer mehr Firmen und deren Spamfilter halten "verdächtige" Mails fest und senden eine Information an den Absender, er möge bitte eine URL ansurfen um die Mail zuzustellen. Dieser Ansatz ist zwar nett, weil damit "Personen" diese Mail verstehen und damit eine irrtümnliche Quarantäne (False Positive) damit rückgängig machen können aber auch hier versuche Viren und Spammer dies zu nutzen. Folgende Mail sieht aus, als wäre es eine unzustellbarkeit mit einem Link. Der Link ist klar zu lesen, aber wenn Sie mit der Maus einige Sekuunden auf dem Link verweilen, dann offenbart Outlook die URL, die beim Anklicken auch aufgerufen würde

Und das ist nun überhaupt keine URL, die Sie aufrufen sollten.  Einige Spammer schaffen es aber nicht einmal, solche Mails "korrekt" zu versenden, so dass Sie den Source Code als Mail erhalten und zwischen den ganzen Texten samt HTML-Code auch die Fehler.

Tricks gegen Wortfilter

Natürlich sind Mails mit Worten wie Viagra und anderen sehr einfach zu entdecken. Die Spammer reagieren damit mit veränderten Schreibweisen, z.B.: V!AGRA etc., die die Erkennung schon erschweren. Aber auch solche Konstruktionen sind nicht recht einfach mit regulären Ausdrücken a la V?agra" etc. zu fangen. Daher verfallen die Spammer auf immer weitere Tricks, wie die folgende Mail zeigt:

Für einen Menschen ist die Mails problemlos lesbar, aber wenn Sie anfangen das Wort "Viagra" mit der Maus zu markieren, dann stellen Sie fest, dass bei der Markierung des Buchstabens "i" auch gleich viele andere Buchstaben markiert werden. Erst im HTML Code wird ersichtlich, dass das Wort als Tabelle zusammen gesetzt ist.

Solche Konstruktionen sind für einen Scanner fast gar nicht mehr zu finden, zumal ein Spammer natürlich vermeidet, auch eine "Plaintext"-Variante für eine alternative Darstellung zu beizufügen. Dies sind ganz klar die Nachteile von HTML-Nachrichten und bedeutet, dass zukünftige Filter nun auch noch HTML nach TXT Konvertieren sollten, um so etwas zu entdecken.

Tricks gegen Bayes

Auch die Erkennung mit Tokens (Siehe Bayes) wird von einigen Spammern gezielt ausgehebelt, indem Sie einfach "unverdächtigen" Text als Platzhalter beifügen. Hier eine Werbung, in der eigentlich nur der erste Satz die Werbebotschaft enthält und der Rest wohl aus einer Pressemitteilung entnommen ist.

Damit liegt der Verdacht natürlich nahe, dass diese Mail von vielen "Pattern"-Datenbanken als "gut" erkannt wird und die Werbung damit durch kommt.

Vortäuschte Quittung, Dial-Up IP und falscher Absender

Diese Mail zeigt auf einen Blick gleich mehrere Merkmale, um als Spammer sich zu verbergen:

  • Falscher Absender
    Wenn sie als Kunde von Arcor ihren Filter so eingestellt haben, dass Mails von dieser Domäne immer ankommen, dann hat der Spammer oder Virus die erste Hürde schon genommen. Ein Allowlisting auf eine Absenderdomäne ist also nur in Ausnahmefällen eine gute Idee.
  • Vortäuschen einer unzustellbarkeitsmeldungen
    Damit soll der Empfänger im Glauben bleiben, dass er selbst eine Mail versendet hat und das die unzustellbarkeit ist. Wenn man sich aber nun die Anlage anschauen würde, dann würde ein Virus aktiv werden. Ein aktueller Virenscanner ist daher Pflicht. Besser noch ein System, welches solche Mails schon beim Empfang blockiert.
  • Falscher HELO-String
    Der Spammer meldet sich mit dem HELO-String "uedoglom.de"
    Diese Domäne war aber zumindest am 20.12.2004 nicht mal beim DeNIC registiert. Ein Spamfilter, der so etwas prüft, kann hier also schon den Spammer abwehren. Wobei viele Firmen auch einen ungültigen HELO-String senden (z.B:firma.local) und nicht wissen, dass der String im virtuellen SMTP-Server geändert werden kann. Insofern ist so ein Test zwar nett, aber professionelle  Spammer überwinden diese Hürde problemlos.
  • DialUp-Account
    Wenn man im Header die originale einliefernde Gegenstelle anschaut und mit NSLOOKUP diese überprüft, dann ist gut erkennbar, dass es ein Wählzugang oder DSL-Zugang ist. Mit der Angabe der uhrzeit und der IP-Adresse könnte man sicher den urheber ausfindig machen. Allerdings ist nicht sicher, ob der PC auch der Spammer ist oder viel mehr ein BOT, d.h. ein PC, der von einem Trojaner infiziert ist und damit von jemandem anderen ferngesteuert wird.

Diese Mail wurde durch einen Virus erzeugt und nicht durch einen Spammer.

Stress mit NDRs

Eine besondere Problematik beim Spam-Versand zeigt das Beispiel, welches im Juli 2005 mit widerfahren ist. Ein Spammer oder Virus hat sowohl meine Domäne als Absenderadresse als auch als Empfängeradresse verwendet. Der Provider für MSXFAQ hat die Mails angenommen und wollte diese an mich weiter reichen. Mein eigener Spamfilter (NoSpamProxy) hat die Annahme jedoch verweigert. Infolge dessen hat der Provider nun jede Menge Unzustellbarkeitsmails erzeugt, die er ebenfalls an mich senden wollte. Einige davon sind auch angekommen, so dass Sie die Details hier als Bild sehen. Die Quelle der über 14.000 Nachrichten war wohl in Litauen (IP-Adresse 81.198.232.164).

Diese Problem tritt immer dann auf, wenn der erste Mailserver für eine Domäne keinen effektiven Schutz gegen Spam hat. Dieses Problem tritt aber ebenso mit offenen Relays auf, die wahre NDR-Schleudern sein können.

Spam der frühen Tage

Im Jahre 2002 waren die Spammer noch nicht so ausgefuchst. Damals wurde mit einfachen Mailprogrammen noch eine Massenmail versendet und sogar direkt im "An:" und "cc:"-Feld ausgewiesen:

Unvollständige Mails

Einige Spammer machen es einem Filter natürlich auch einfach. Wenn man als Firma eine Mindestkonformität für Mails festschreibt, dann fallen unvollständige Mails schnell heraus:

Diese Mail hat z.B.: keine Message-ID. Die RFC schreibt vor, dass der erste MTA eine Message-ID ergänzt, wenn keine vorhanden ist. Also dürfte diese Mail entweder direkt versendet worden sein oder über ein nicht RFC-konformes System. Genauso gut kann man prüfen, ob die From: Adresse und die To: Adresse passt, oder der Betreff "sinnvoll" erscheint. Das Problem solcher einfachen Prüfungen ist, dass Sie nur die unerfahrenen Spammer betreffen, die sowieso nur wenig Volumen produzieren. Professionelle Spammer hingegen werden durch perfekt formatierte Nachrichten solche Plausibilitätschecks sicher überwinden. Viele kleine Firmen werden jedoch daran hängen bleiben.

Viren sind auch Spam

Viren sind genau genommen auch "Spam", da es unerwünschte Mails sind, die zudem aber auch einen sehr aktiven Schadanteil haben können. Der Vorteil einer Spamschutzlösung mit Virenschutz sollte solche 100%tig unerwünschten Nachrichten natürlich auch gleich ablehnen. Eine Mail wie die folgende sollten Sie daher ungesehen löschen.

Aber selbst wenn dies kein Virus sein sollte und ein Virenscanner die Anlage aufgrund des Kennworts nicht auspacken kann, sollte eine Schutzlösung generell ausführbare Dateien eventuell verhindern. Letztlich bleibt es aber auch eine Frage der Information der Mitarbeiter, wie wenig Sie einer Mail vertrauen sollten die zudem noch unverlangt zugesendet wurde.

Spam mit "Text-Bildern

Da Content-filter immer mehr die Worte einer Mail berücksichtigen und verschiedene Ansätze die Links auf Webseiten bewerten, versuchen Spammer auch dies mit besonderen Nachrichten zu umgehen. Hier ein ziemlich creatives Beispiel.

Der einzige Hyperlink verweist auf Google, dessen "Umleitungsfunktion" genutzt wird, um die eigentliche Webseite zu verbergen, Nebenbei dürfte so auch die Bewertung der Seite in Suchmaschinen besser werden, da anscheinend ja viele Leute diesen Link anklicken. Besonders perfide ist die Mail aber darum, weil die kleinen Worte durchweg nichts mit der beworbenen Sache zu tun haben. Enthalten sind z.B. die Worte "Kinderarzt", "Elefanten", "Spielplatz" etc. Damit haben Filter, die auf Wortlisten oder Bayes basieren, kaum eine Chance solche Mails zu erkennen.