www.kothhöfer.de/blog/

Emailspam und ein mögliche Abwehr

in letzter zeit häuften sich in meinem Emailaccount gerade die Posteingänge, die größere Geldgewinne versprechen. Über den sogenannten Penny Stock Spam berichtete ich schon vor geraumer Zeit. mittlerweile ist es soweit gediegen, dass eben jener Spam meinen hauptsächlichen Posteingang darstellt. Nervig an der Sache der relativ neuen Spamform ist der Bandbreitenverbrauch, der wohl besonders schmallbändige User über Gebühr strapazeren dürfte. Lange Rede kurzer Sinn: meine Emailadresse ist verbrannt. Und so dürfte es noch anderen Usern ergangen sein.

Das Kontaktadressen in Weblogs vorhanden sein sollen, dürfte neben einer Binse auch ein Service an den Leser sein. Thingamablog fragt beim Neuanlegen eines Weblogs einiges ab, darunter auch eine Emailadresse. Diese wird nun bei jeden Eintrag im Klartext in den HTML-Code der Seite geschrieben. Damit nimmt das Problem seinen Lauf. Etliche Harvester weiden sich an Inhalten fremder Seiten und sättigen sich an gefundenen Emailadressen.

Eine so gefundene Adresse findet praktisch zeitgleich seinen Eingang in diverse Spamverteiler. Mit dem Erfolg, dass sich Massenhaft unerwünschte Werbung im Email-Eingang befindet. Der folgende Nervkram dürfte hinreichend bekannt sein. Eine mögliche Abhilfe stellt das Verschleiern der Emailadresse dar. Allerdings in der Form, dass sie für einen Kontaktwilligen durch simples anklicken nutzbar bleibt.

eine Vorbemerkung sei noch gestattet: Es geht in der Hauptsache um Möglichkeiten, denen normalen Anwendern offen stehen oder mit recht simplen Mitteln in Skriptform durch einfaches einfügen in Templates bewerkstelligt werden können. Admins, die einen Mail-Server betreiben, dürften in diesem Beitrag nicht auf ihre Kosten kommen. Also die Blacklist, Whitelist oder mittlerweile benutzten Greylist bleiben einem technisch versierteren Kreis vorbehalten. Ebenso difizielere Programmierung der Server an sich, um etwa eine Mailannahme heraus zu zögern, um Würmern die Lust an ihrer Arbeit zu verleiden.

Lösungsvorschläge, die Grafiken für die Emailadressen anbieten, fallen wegen nicht vorhandener Barrierefreiheit im allgemeinen und schlechter Bedienbarkeit im besonderen aus. Außerdm müssen noch Grafiken erstellt werden, die zwar von einem Menschen gelesen werden können, aber nict von einem Algorithmus. Erwähnt werden sollte durchaus noch, dass die Harvester – oder besser gesagt deren Programmierer – alles andere als Blöd sind. Daher können die folgende vorgestellte Vorgehensweisen nicht unbedingt zum Erfolg führen.

Die wahrscheinlich billigste und am wenigsten aufwändige Methode dürfte die regelmäßige Änderung der Kontakt-Emailadresse sein. Aber mal im Ernst, irgendwann nervt es auch und man kommt auf Namen wie 6krX38pl@xy.com, weil einem Klangvolle Namen ausgegangen sind. in diesem Zusammenhang stelle man sich vor, man sollte aus welchem Zufall heraus auch immer gezwungen sein, eine Geschäftsbeziehung mit einer solchen Emailadresse aufzubauen. Na, herzlichen Glückwunsch.

Ebenfalls wenig aufwändig dürfte mit ein wenig Javascript das auskodieren der Adresse in HTML-Entites sein. Ein einfaches, online verfügbares Programm stellt beispielsweise Robert Kehl auf seiner Homepage (eMail Ecoder) dar. Der simple Kodierer ist über die linke Navigationsleiste erreichbar. In dem Formular einfach eine Adresse eingeben, und schon wird eine Zeile mit HTML-Entities erzeugt. Diese wird einfach an die Stelle innerhalb eines Templates kopiert, wo sie später auf der Webseite erscheinen soll. Das Beispiel aus dem vorhergehenden Absatz sieht dann so aus: 6krx38pl@xy.com

In Thingamablog beispielsweise wird diese kodierte Zeile über das Menü Weblog, den Menüpunkt Weblog bearbeiten der Dialog zum Konfigurieren des Weblogs aufgerufen. Dort klickt man auf Autoren. In der rechts befindlichen Liste Feld erscheinen nun alle Autoren, die für dieses Weblog berechtigt sind. Der gewünschte Autor wird mit einem einfachen Mausklick ausgewählt. In der Mitte des 'Konfigurieren'-Dialogs befinden sich untereinander drei Schaltflächen. Mit einem Klick auf Editieren erscheint ein kleiner Dialog namens 'Author bearbeiten' (unvorteilhafte Übersetzung…). Eine von den drei Eingabezeilen ist mit Email beschriftet. In dem rechts daneben befindlichen Eingabefeld wird die Zeichenkette (das Beispiel aus den vorherigen Absaz) einkopiert. Danach noch einmal das Blog komplett veröffentlichen, und schon passt es.

Mit dieser Vorgehensweise sollten alle halbwegs modernen Browser zurecht kommen. Ein simpler Mausklick auf den Link mit der Kontaktadresse ruft erwartungsgemäß das Emailprogramm auf. Der zuvor beschriebene Weg ist auch die von mir derzeitig angewandte Methode, von der ich mir wenigstens ein paar Monate Ruhe verspreche. Die alte im Klartext vorhandene Adresse war immerhin ein gutes Jahr spamfrei. Nach der Entitie-Verschleierung arbeitet beispielsweise auch die Webseite Spam-me-not auf www.zapyon.de.

Der nächste Schritt wäre eine Lösung vollständig in Javascript. Das Problem dabei ist aber, das nicht alle Web-Surfer diese Skriptsprache aktiviert haben. Warum auch, wenn aktivierte Skriptmöglichkeiten potentielle Sicherheitlöcher in das eigene System reissen können. Dennoch sei ein Hinweis auf diese Vorgehensweise gegeben. Der Tipp erscheint zugegebenermaßen reichlich abstrakt und Bedarf vor einer Umsetzung erheblicher Programmierarbeiten. Der Vorteil könnte darin liegen, das nicht jeder Wurm sich mit Regulären Ausdrücken auskennt. Aber sicher kann man sich nicht sein; was dennoch auf einen Versuch ankommen sollte.

Etwas besser kommt der Vorschlag daher, der auf der Website www.1ngo.de angeboten wird. Zunächst wird @ durch ∂ ersetzt, was immerhin ähnlich ist. Bei aktiviertem Javascript und ein wenig CSS wird eine korrekte Emailadresse mit dem Klammeraffen als Trennzeichen zwischen Person und Domain angezeigt – Wir erinnern uns: alles vor dem @ bezeichnet eine konkrete Person, alles nach dem @ eine Domäne (oder Server, wie auch immer). Zwar wird immer noch Javascript voraus gesetzt, aber immerhin gibt es eine Rückfallebene auf normales HTML, in der halt das @ durch ∂ ersetzt wird. Beide Zeichen sind recht ähnlich und eine gewisse Transferleistung kann man von einem normalen Websurfer schon erwarten. Dann noch ein wenig Copy&Paste von der Webseite in das Emailprogramm, undschon ist ein unmittelbarer Kontakt hergestellt.

Spam im hiesiegen Sinne ist weder eine lustige Comedy von Monty Python noch der us-amerikanische Hersteller irgendwelcher Fleischsurrogate, sondern die unverlangte Zusendung irgendwelcher Werbung. Spam nervt, selbst mich als privaten Anwender. Aber solange es irgendwelche Vollpfosten gibt, die aufgrund solcher Mails etwas kaufen, solange ist es ein Kampf gegen Windmühlen. Unbestätigten Gerüchten zufolge sollen vor allem us-amerikanische Bürger angeblichen Nutzen aus dieser Werbung ziehen, in dem sie Produkte oder Aktien der so beworbenen Firmen kaufen.

Im Gegenzug verdienen die Werbetreibenden sowie Hersteller echtes Geld, denn jeder Verkauf eines einzelnen Produkts via Spam lässt die Kasse klingeln. Nicht nur das, denn seit geraumer Zeit werden wertlose, börsennotierte Unternehmen beworben. Auf die Einzelheiten dazu und wer daran wirklich verdient, hatte ich schon mehrfach verlinkt. Sollte noch eine Spammail eines dieser Penny Stocks hier eintreffen, werde ich darauf hinweisen, denn Google ist mein Freund – siehe hierzu lbwr! Ob dabei irgendwelche Klitschen am unteren Ende dieses Planeten vor die Hunde gehen, interessiert mich nicht mehr. Ob man dabei irgendwelche Spekulationsopfer trifft, interessiert micht nicht mehr.

Wischt euch mit euren billigen Wettscheinen (aka Aktien) euren Arsch ab. Es gibt genügend andere Geschäftsformen.

(Irgendwelche Pillen oder Uhren brauche ich auch nicht!)