referrer spam

Wenn ich mir so meine HTTP-Zugriffe und Statistiken anschaue, dann fallen mir seit geraumer Zeit merkwürde Einträge als Referrer auf mit Websites mit ziemlich eindeutigen Namen. Dieser Referrer-Spam betrifft nur den Hauptwebserver hier, aber zum Glück die Zugriffsstatistik dieses Blogs. Jetzt muss ich erstmal schauen, wie ich diesen Schrott wieder losbekomme ...

Erleichterung

heise online meldet zwar, dass in den USA einer grossen Spamschleuder der Stecker gezogen wurde, aber so richtig kann ich hier noch keinen Rückgang in meiner Statistik sehen. Ich warte mal bis Ende der Woche noch ab, dann sollte hier auch ein Trend sichtbar sein.

6th German Anti Spam Summit

Hoppla, schon wieder auf einem Foto und wie angekündigt aus Wiesbaden beim 6th German Anti Spam Summit, ausgerichtet vom eco-Verband.

Was gibt es Neues von den Experten? Image-Spam und Spams mit PDF- und sonstigen Anhängen sind im Gegensatz zum Vorjahr vollständig verschwunden. Das Aufkommen von Spammails ist weiterhin rasant steigend, wenn auch die eigentlichen Inhalte der Spammails kleiner und einfacher werden, in der Form, dass relativ wenig Text und ein Verweis auf eine URL sich im Inhalt befinden. Ziel der Spammer scheint mittlererweile weniger der Verkauf von Rolex, Viagra, Vergrösserungen von diversen Körperteilen usw. zu sein, sondern eher die Opfer auf infizierte Websites mit ihrem Browser zu führen, um ihnen dort Schadsoftware unterzuschieben. Spam wird von daher nur noch als Transportmittel benutzt, um Schwachstellen in anderen Applikationen, wie den verschiedenen Browsern, auszunutzen.

5th German Anti Spam Summit

Ach du Schreck, da bin ich ja auf dem Foto vom letzten Jahr in Köln. Ok, am Dienstag dann wieder in Wiesbaden.

Langeweile

Seit die Spamfilterung auf meinem Server sehr zur Zufriedenheit aller Beteiligten arbeitet, ist es richtig langweilig in meiner Inbox ...

Gefährlich

Das Spam gefährlich ist, ahnten wir ja schon immer. Aber dass Spam solche Auswüchse annimmt, ist wohl neu: Spam-Mails verursachen Polizeiaktion.

Arschgeweih ist out

Ich dachte eigentlich, dass Arschgeweihe, also diese merkwürdigen Tatoos am Steiß, seit 1-2 Jahren total out sind. Jetzt erreichtd mich doch tatsächlich folgende Mail in meiner Firmenmailbox:

Arschgeweihe sind modern und überall wird über sie gesprochen. Noch besser ist es allerdings, wenn man nicht nur darüber spricht, sondern sie lieber anschaut. Wir zeigen dir die schärfsten Videos und Bilder der Sexspiele von Girls, die den Schlampenstempel zu Recht tragen.

Sowas von out aber aber auch. Ich erkläre jetzt auch gleich Spam für out!

Ein Leben fast ohne Spam

Hmm, schon lange keine richtigen Spam-Mails mehr bekommen, einerseits kommt mir das verdächtig vor, aber "richtige" Mails kommen hier noch an. Könnte fast stolz sein auf mein tolles Antispam-System :-) Wenn ich es offiziell dürfte, würde ich es dringenst jedem weiterempfehlen. Aber andererseits ist es fast schon wieder langweilig, wenn so wenig Müll im Posteingang ;-)

30 Jahre Spam

Herzlichen Glückwunsch - oder auch nicht.

Ungarn

Interessanterweise finde ich fast jedesmal kurz nach einer Huber-Spamwelle immer auch Zugriffe aus Ungarn im Log hier. Da der Huber Christian sich ja offensichtlich nach Ungarn abgesetzt hat und von dort seine unnützigen Mails verschickt, stimmt mich das schon ein wenig nachdenklich. Will er hier vielleicht den Erfolg der Verbreitung seiner Mails kontrollieren? Oder ist das ganze vielleicht nur ein virales-Marketing-Dingens?

Huber ist wieder da

Der Huber ist leider wieder aktiv. Und zu aller Überraschung hat er sich diesmal einiges neues ausgedacht. Er benutzt nun eine neue Mailadresse, web.de hat ihm wohl nicht mehr gepasst:
Eingabe <johannhuberohg@email.darkpoetry.com>
Aber die Mail kommt immer noch aus Ungarn von der bekannten IP-Adresse mail.keszthelynet.hu (195.56.183.2). Im Mailheader taucht noch ein "stonespc2" auf mit der IP 88.132.15.106. Keine Ahnung, ob das auf Hubers Musikgeschmack schliessen lässt oder seinen Zustand. Ansonsten geht die Mail wieder wie üblich an viele viele Empfänger , die direkt adressiert werden. Ich habe immer noch den Eindruck, dass die Empfänger grob regional eingeteilt sind. Als Ausnahme hängt dieser Mail diesmal kein TIFF-Attachment oder PDF-Datei als Fax an, sondern alles unwichtige steht diesmal direkt in der Mail in Textform. Der Inhalt ist aber immer der altbekannte. Ich erspare mir es ihn hier aufzuführen.

Den Zugriffen nach hier, hat Huber tatsächlich wiedermal eine grössere Spamwelle losgetreten ...

Reichtum

Oha, jetzt fragt doch tatsächlich Mr David Wood, der sich selbst als "Auditor General, and Chairman, Audit Committee of Bank of Scotland" bezeichnet, ob er über mein Konto mal so locker £30,000,000.00 GBP transferieren darf. Was konkret dabei bei mir hängen bleibt, verrät er leider nicht. Vielleicht sollte ich mal fragen, ob Mr. Wood nicht vielleicht doch ein Nigerianer ist, dessen Vater eine höhere Position inne hatte und er hat flüchten müssen und will nun irgendwie an das Geld usw.usf.?

Die Mail kam übrigens vom Mailserver smtp4.navegante.com.sv/201.247.157.99. Die Top-Level-Domain .sv ist El Salvador, also nix mit Schottland oder ist jetzt schon Schottland in El Salvador und ich habe das nicht mitbekommen?

Viele Zugriffe

Oha, was ist denn da los? Heute ziemlich viele Zugriffe hier und viele kommen über unsere große Suchmaschine und suchen nach "Huber" und "Eschenlohe". Anscheinend hat der Huber Christian wieder eine Belästungungswelle losgeschickt. Bis jetzt kam zumindest hier noch nichts an, was evtl. meinen Verdacht bestätigt, dass er seine Belästigungen halbwegs geografisch zusammenfasst und verteilt. Oder ist das nur die Ruhe vor dem Sturm?

Merkwürdige Firewalls

Innerhalb kürzester Zeit (gestern in Düsseldorf und heute in Ludwigshafen) zwei merkwürdige Firewalls erlebt, die einen vernünftigen und korrekten Betrieb einer sinnigen Antispamlösung erfolgreich verhinderten. In beiden Fällen wurden alle aus dem Internet eingehende IP-Adressen bei Mailverbindungen hinter der Firewall maskiert. Damit funktionieren alle DNSRBLs basierten Lösungen oder auch beispielsweise SenderBase überhaupt nicht und die meisten Antispamlösungen sind dadurch einer ihrer stärksten Möglichkeiten gegen die Spamflut beraubt.

Im einen Fall lag es an verkorksten iptables-Einträgen. Der zuständige IT-KruscherDienstleister hatte ein beeindruckend komplexes iptables-Firewall-Script, dass für ausgehende UND eingehende Verbindungen Masquerading macht, nicht im Griff. Für ausgehende Verbindungen Richtung Internet Masquerading kann ich ja noch verstehen, aber aus dem Internet eingehende Verbindungen? Der Sinn hat sich mir da nicht ganz erschlossen. Und auf die Antwort, dass dies ja das Prinzip von NAT bzw. Masquerading wäre, habe ich resigniert und eine andere sichere Lösung realisiert ohne Firewall.

Im zweiten Fall handelte es sich um eine GenuaGate-Firewall, bei der es anscheinend nicht so einfach ist eine transparente SMTP-Verbindung zu der Antispamlösung einzurichten, ohne dass die Firewall immer dazwischen fummelt. Aber immerhin hat sich hier der Herstellersupport als kompetent erwiesen, zumindest hörte es sich am Telefon so an, als ob sie wissen, um was es hier geht.

Bei beiden war lediglich die Konfiguration und Inbetriebnahme einer Antispamlösung beauftragt, was im Regel- und Planfall auch innerhalb kurzer Zeit umgesetzt werden kann. Wenn es dann aber wegen solcher externen Probleme sich extrem in die Länge zieht, man eigentlich weiss warum es so nicht nicht funktionieren kann, aber nicht selbst eingreifen kann (bzw. darf), da dies in die Zuständigkeit der anderen Dienstleister fällt, fällt es mir extrem schwer geduldig zu bleiben (gngngn). Von in diesem Zuge notwendige DNS-Änderungen schreibe ich erstmal nichts (die dauern auch schon drei Tage, ohne dass was passiert ...).

PS: Wie soll man zum Thema NAT auf die Frage reagieren: "Was meinen Sie mit offiziellen IP-Adressen?". Das leben als Dienstleister kommt mir manchmal wie die Hölle vor. Im nächsten Leben werde ich auch Kunde. Dann wird alles besser ;-)

Ein Märchen?

Das Jahr fängt gut an: Gestern grippal infektiös niedergestreckt und heute verspricht mir Kwasha Jr <markwci@seznam.cz>, dass von "812,000,000 euros" immerhin "812,000 euros" bei mir bleiben können. Kwasha Jr, der eine tschechische Mailadresse hat (warum eigentlich?) und Martin heisst, hatte auch ein Problem mit seiner Stiefmutter, da sie ihn schlecht behandelt hatte. Das erinnert mich ein wenig an Aschenbrödel (oder Aschenblödel? die Jerry Lewis Variante aka Cinderella). Zu allem Überfluss gibt es da auch noch zwei Stiefschwestern ... Naja, und der arme Vater hat heimlich vor seiner Frau (die Stiefmutter von Martin) die Kohle verstecken müssen und vor seinem Tod seinen Sohn informiert. Nun fürchtet sich der arme Martin sehr und sorgt sich arg, wie er an sein Geld kommen könnte. Das Leben kann so ungerecht sein, aber irgendwie finde ich es erbauend. Vielleicht sollte Martin in Analogie zu Aschenbrödel auf seinen Prinz oder Prinzessin warten, je nach sexueller Veranlagung.

Und wenn sie nicht gestorben sind ...

Trends 2008?

Das Thema Reputationssystem ist ja schon seit einiger Zeit beim Thema Antispam im Einsatz, z.B. bei den Antispam-Appliances von IronPort und hat sich hier gut bewährt. In eine ähnliche Richtung geht der Artikel "E-Mail ohne Spam" in der aktuellen iX-Ausgabe 1/2008. Und nachdem nun TrustedSource für Check Points OPSEC zertifiziert wurde, könnte das Thema Reputationssysteme nicht nur bei Antispam ein Trend für 2008 werden. Wenn ich mir allerdings die Website von TrustedSource anschaue, werde ich den Eindruck nicht ganz los, dass dies wie ein Plagiat von IronPorts SenderBase aussieht. Ich kann mich aber auch täuschen ...

Gähn

Spammässig ist momentan alles ziemlich ruhig. Und neue Viren, Trojaner oder anderes schädliches Zeugs zur Analyse gab es auch schon länger nicht mehr. Und das andere IT-Zeugs ist nicht so spektakulär, dass es mich reizen könnte. Langeweile macht sich breit ...

Befangen

Huber hat wieder geschrieben. Er will jetzt alle verklagen bis nach München und bezichtigt sie der Befangenheit ...

Traurige Berühmtheit?

Der Huber hat es mit seinen Spam-Mails sogar schon in's Wikipedia geschafft in einem Eintrag über Eschenlohe.

Huberlinks

Wenn's interessiert, hier noch ein paar Links gefunden z.T. bei StoiBär gefunden und auch selbst recherchiert aktuell:

• Gefangene im eigenen Haus - Tagesspiegel vom 30.8.2002
• Berüchtigte Familie verlässt Eschenlohe - Merkur Online - Garmisch-Partenkirchner Tagblatt vom 27.05.2003
• In den Fall der ermordeten "Oma Trinchen" kehrt keine Ruhe ein - Merkur Online - Garmisch-Partenkirchner Tagblatt vom 28.01.2004
• "Mordhaus" noch nicht unterm Hammer - Merkur Online - Garmisch-Partenkirchner Tagblatt vom 15.08.2007
• So? Die Johann Huber oHG hat mich jetzt auch im E-Mail-Verteiler - Foxgate vom 22.10.2007

Ist es nicht schon schlimm genug, dass die Hubers früher anscheinend Eschenlohe terrorisierten? Nein, seit der Christian Huber weiß wie man Internet schreibt, muß er nun auch noch den Rest der Welt zuspammen! Warum kann man die nicht alle zusammen in eine zugehörige Anstalt einweisen?

Unglaublich aber wahr (schon wieder der Huber)

Nachdem längere Zeit Ruhe war, fängt der Huber wieder an, seine abstrusen und wirren Mails zu verschicken. Im Text beschrieben beklagt er sein Anliegen "Es sind dutzende Klagen und Anzeigen an allen deutschen Gerichten - sofern e-mail vorhanden - anhaengig, aber bis heute nicht bearbeitet! Jetzt kommt der bisherige Koordinater der Rechtsverstösse gegen das Mühlengelaende vor Eschenlohe usw.usf. ..." und hat nun ein wohl Problem damit, dass das heimische Mühlengelände in Eschenlohe, welches anscheinend nun doch zwangsversteigert wurde, von von jemanden ersteigert wurde und diese als neue Besitzer die bestehenden Gebäude abreissen wollen, um neue Häuser dort errichten zu lassen. Weiterhin wird ein Staatsanwalt namentlich verunglimpft, sowie ein Direktor des wohl zuständigen Amtsgerichtes. Ein Mord ist dort in der Vergangenheit wohl auch passiert oder zumindest hat sich dort ein ungeklärter Todesfall ereignet. Ein Hinweis auf Hubers ungarische Website darf in der Mail natürlich auch nicht fehlen, in der man evtl. bisher verpasste Dokumente nachlesen kann. Und zum Schluß wird noch das mangelnde Interesse der Medien beklagt. Wobei ich mir vorstellen könnte, dass dies auch nach hinten losgehen könnte, wenn die Medien auf einmal größeres Interesse bekommen könnten. Inhaltlich ist auffällig, daß er teilweise ohne deutsche Umlaute schreibt, an anderer Stelle aber wieder mit Umlauten, ebenso wie auch in seinem Anschreiben als Fax an die von ihm bescholtene Justiz, welches als PDF-Attachment der Mail anhängt. Achja, Post-Faxempfng ist immer noch nicht möglich. Seine Spamwellen sind offensichtlich regional aufgeteilt, wenn ich mir die Mailempfänger anschaue. Am Freitag kamen sie gleich doppelt und das gleiche heute nochmal. Die meisten Empfänger lassen sich hier lokal grob dem Rhein-Neckar-Raum zuordnen. Das Schema ist immer noch gleich, der gefälschter Absender von Web.de Rundschreiben <babette_babic@web.de> und das ganze wieder von einer ungarischen IP-Adresse aus dem Ort Keszthely am Balaton:

---

Größere Kartenansicht

---

Mal schauen, ob die Sammelklage was nützt und dem Spuk langsam mal ein Ende bereitet.

Übrigens gibt es hier auch sporadisch Zugriffe aus Ungarn aus ebenjener Ecke. Wer das wohl sein mag?

Sammelklage

Wie ich eben aus einem Kommentar zu Hubers Spam erfahren habe, läuft seit heute morgen eine Sammelklage gegen Huber. Nähere Infos dazu gibt es hier.

Ehrlich währt am ...

Vielleicht sollte ich auch ein Botnetz aufbauen? Das scheint sich wohl eher zu lohnen als ehrliche Arbeit.

Spamstatistik August 2007

Aus Zeitgründen diesmal nur eine kurze Spamstatistik für diesen Monat: 207 Mails befanden sich in meiner Inbox, welche vom SpamAssassin als Spam erkannt wurden und keine falsch erkannte Spammail. Und natürlich gibt es noch eine Unzahl durch RBLs (SenderBase, Spamhaus, DSBL) abgewiesene Mails, die ich heute nicht zähle.

Unterwegs

Einmal Köln und zurück.

nach was zum Thema Huber

Zufällig über folgenden Zeitungsartikel gestolpert vom 15.8.2007 aus dem Garmisch Partenkirchener Tagblatt: "Mordhaus" noch nicht unterm Hammer. Ich kenne zwar die Hintergründe nicht, bringt aber ein wenig Licht in die Belästigungen vom Huber.

Huber aktiv

Die Hubers sind aktiv, das kann man nicht leugnen. Hans Georg Huber lässt sich zur Bürgermeisterwahl am 2. März 2008 in Eschenlohe aufstellen und zum Landrat vom Landkreis Garmisch-Partenkirchen am gleichen Datum. Langweilig scheint denen nicht gerade zu sein. Wenn er da nicht gewählt wird, befürchte ich, dass wir wieder überschwemmt werden mit seinen lästigen und unsäglichen Mails.

Übrigens besteht die PDS Basisorganisation Eschenlohe aus genau drei Mitgliedern: Hans Georg Huber, Christian Georg Huber und Irene Anita Huber. Ich würde sowas nicht unbedingt als Partei bezeichnen, sondern eher als Familienclan.

Hubers neuer Trick

Oh, der Huber hat sich was Neues einfallen lassen. Der relevante Teil der Mail kommt nicht mehr als PDF sondern als JPG-Bild. Und zu allem Überfluß verkündet er nun auch noch, dass er jetzt eine eigene Webseite hat:


... wir dürfen uns für die bisherige Unterstützung bedanken. Um u.a. Sie und eine breitere Öffentlichkeit am Besten und Effektivsten informieren zu können, haben wir uns entschlossen, eine eigene Website für unsere Firma einzurichten. Diese Webseite ist unter http://www.xxxx-yyyy-zzz.hu/ zu finden. Unter den einzelnen Punkten ...blablabla...

Die URL veröffentliche ich hier erstmal nicht, diesen Gefallen tue ich dem Huber bestimmt nicht auch noch Werbung für seine Website zu machen. Interessant finde ich auch, dass er sich immerhin eine Website (wenn auch in Ungarn) leisten kann, aber gleichzeitig schreibt "Post-/Fax-Empfang ist immer noch nicht möglich" und E-Mail-Empfang demzufolge auch noch nicht funktioniert.

Die Domain wurde am 2.8.2007 auf einen gewissen Tánczos Róbert registriert als Privatperson.

Als Absender gibt sich Huber nicht mehr viel Mühe, sondern nimmt bei dieser Mail einfach eine Fantasie-Adresse, wie "Rundbrief <abcdcba@freemail.hu>" und verschickt die über den ungarischen Mailserver mail.keszthelynet.hu (195.56.183.2). Ich vermute mal auch, dass die Mail über ein ungarisches Internetcafe verschickt wurde, zumindest lässt mich folgender Ausschnitt aus den Mailheadern dies mutmassen:

Received:  from holmikicafe1 (nms.hirsat.hu [195.56.183.1]) 
 by mail.keszthelynet.hu (Postfix) with SMTP id 8AAED504A3; 
 Fri, 24 Aug 2007 10:46:47 +0200 (CEST)

Und alle Empfänger sind wiedermal offen adressiert und zum großen Teil regional hier zugehörig, grob die Rhein-Neckar-Dreieck umfassend mit Heidelberg (viele Adressen von der Uni Heidelberg), Mannheim, Südhessen mit der Bergstraße usw.

Huberwelle

Mir scheint, dass die aktuelle Welle mit Hubers nichts- nutzigen Mails hier für massiv gehäufte Zugriffe sorgt. Ein Zugriff ist diesmal auch wiedermal aus Ungarn dabei.

Huber wieder da

Ok, der Huber ist wieder da und das gleich doppelt. Und jetzt bekommt er wie versprochen ein eigenes Label hier! Die Mail hat wie immer das gleiche Schema, komtm angeblich von BuergerRundschreiben <babette_babic@web.de> (hatten wir schon), kommt von einem ungarischen Mailserver (mail.keszthelynet.hu/195.56.183.2 - hatten wir auch schon) und besteht wie auch schon gehabt nur aus der PDF-Datei "BuergerRundschreiben.pdf", in welcher sich der Huber wiedermal über das Amtsgericht Weilheim auslässt. Also alles nichts neues, aber immer noch extrem nervig. Netterweise meint der Huber noch im Subject (und das ist neu), dass man evtl. seinen Acrobat Reader aktualisieren soll, da damit sein Sermon am besten zu öffnen wäre. Ansonsten wieder mal: Schreiben der Johann Huber OHG (Daten siehe pdf-Anlage, die am besten durch eine aktuellere Version von Adobe Acrobat Reader zu oeffnen ist)! Uebersandt durch eine fremde E-mail-Adresse! E-mail-Empfang ist hier unmoeglich!.

Huber goes overseas

Nach den aktuellen Serverstatistiken suchen verzweifelte Engländer und Amerikaner mit Hilfe vom Übersetzungsdienst von Google Erleuchtung zu den Huber-Mails. Der Übersetzungsdienst von Google erzeugt folgende Übersetzung daraus: Google Language Tools. Hoffentlich versteht noch einer, was damit gemeint ist? Ich habe gerade beschlossen, dass Huber ein eigenes Label verpasst bekommt, falls ich noch eine Mail von ihm bekommen sollte!

Spamstatistik Juli 2007

Und schon wieder ist ein Monat vorbei, deswegen hier die Spamstatistik für Juli 2007.

Es kamen noch 233 Mails an, welche als Spam erkannt wurden und sechs Mails, welche nicht als Spam erkannt wurden. Es gab keine False Positives. Im Vergleich zu den Vormonaten sieht das dann folgendermassen aus:

Monat	getaggte Spams	nicht erkannte Spams
07/2007	233	6
06/2007	368	8
05/2007	1035	12
04/2007	1181	11
03/2007	1130	8
02/2007	1039	12
01/2007	917	6
12/2006	1178	9

Als Vergleich noch die Anzahl der geblockten Mails im Vergleich zum Vormonat:

	geblockte Mails	geblockte Mails	geblockte Mails
Grund	05/2007	06/2007	07/2007
Helo command rejected	4439	701	120
DNS-Name nicht vorhanden oder kein reverse DNS	-	6009	14392
User unknown	891	84	58
DSBL	1	587	254
SORBS	19	4178	3441
spamhaus.org		1143	2601
SenderBase	75	17	5111

SenderBase steht nun als erstes in der Liste der DNSRBLs, danach kommt DSBL, gefolgt von SORBS und Spamhaus am Schluß. SenderBase hat sich an dieser Stelle sehr gut bewährt. Was mich aber überrascht hat, dass Spamhaus (und auch SORBS) hier anscheinend eine relativ aggressive Listung von Einträgen hat, da doch noch eine hohe Anzahl von Mailservern nach den anderen DNSRBLs von Spamhaus (bzw. SORBS) geblockt wurde. Die hohe Anzahl der Mailserver ohne DNS-Eintrag fand ich auch ein wenig überraschend, aber aus einem mir noch unbekannten Grund weisst mein Postfix diese mit einem 400er SMTP-Code ab, was u.U. bedeutet, dass Mailserver es mehrmals versuchen ihre Mails loszuwerden.

Sehr schön kann man dies auch anhand der grafischen Auswertung verfolgen:

Durch einen unbemerkten Konfigurationsfehler von Februar bis April 2007 stieg der Mailverkehr stark an. In dieser Zeit wurden durch SpamAssassin auch überdurchschnittliche viele Mails als Spam erkannt. Erst ab Mai 2007 griffen langsam die ersten Änderungen, die nach weiteren Optimierungen in den aktuellen Ergebnissen gipfeln. Der grafischen Statistik nach ist aktuell als Trend ein großer Anstieg der zurückgewiesenen Mails für August erkennbar. D.h die nächste Statistik dürfte wieder spannend werden.

Huber international

Den Zugriffen nach gibt es auch aus dem Raum Washington DC, USA mindestens drei "Huber-Opfer". Scheint also so, als ob die Huber-Spams sich auch schon in die USA verbreitet haben.

Excel Spam

Super, jetzt kommen die Penny- Stocks- Spam schon als Zip- verpackter Excel- Anhang daher.

Mensch Huber

Als hätte ich es geahnt. Da sind sie wieder, die Hubers (Christian Georg Huber und der alte Johann Huber) mit einem neuen "BuergerRundschreiben" und das gleich in doppelter Ausfertigung. Diesmal von einer web.de Mailadresse. Meine erste Befürchtung, daß einer der beiden aus Ungarn ausgewiesen wurde, hat sich nicht bestätigt. Die Mail wurde von mail.keszthelynet.hu/195.56.183.2 verschickt. Und immer wieder das gleiche Schema der Mail. Viele unschuldige Empfänger und wiedermal als Schreiben der "PDS Basisorganisation Eschenlohe" deklariert. Daß sich überhaupt die PDS angeblich nach Bayern traut, ist ja auch interessant.


Date: Thu, 26 Jul 2007 18:36:49 +0200
From: BuergerRundschreiben <babette_babic@web.de>
To: <wieder sehr viele Mailopfer>,
Subject: Schreiben der PDS Basisorganisation Eschenlohe
          (Daten siehe pdf-Datei) an die Buergerinnen
          und Buerger! Weiterinformieren erwuenscht!
         Uebersandt durch eine fremde E-mail-Adresse!
          E-mail-Empfang ist hier nicht moeglich!


Und wiedermal ein ellenlanges eingescanntes PDF-Dokument als Attachment. Der Inhalt ist aber identisch zu meinem letzten Beitrag dazu. Er hat also immer noch Probleme mit der Bürgermeisterwahl in Schrobenhausen. Da kann ich dem Huber nur zurufen: Mensch Huber, wir haben es kapiert, Du hast ein Problem. Mehr derartiger Mails ändern auch nichts an Deinem Problem. Und wenn Du so weitermachst, wird Dein Problem vermutlich ganz anders, als Du Dir vorstellen kannst.

Huber Huber

Schon länger nichts mehr von den Hubers (Christian Georg Huber und der alte Johann Huber) aus Eschenlohe oder Schrobenhausen gehört und seinen "BuergerRundschreiben". Wie ich aber an den Webzugriffen auf dieses Blog sehen kann (viele Suchanfragen zu den Hubers) und auch durch direktes Feedback eben mitbekommen habe, spammen die beiden munter weiter mit ihren obskuren Mails. In einem der Foren, die man dazu ergooglen kann (was für ein Wort!), wird behauptet, dass der jüngere Huber ein ehemaliger Schüler des Werdenfels Gymnasiums in Garmisch-Partenkirchen ist und Jura studierte. Das würde auch diese verquerten pseudojuristischen Formulierungen in den PDF-Dokumenten erklären. Angeboren kann so was ja nicht sein.

Interessanterweise habe ich auch einige Zugriffe hier aus Ungarn. Ob das wohl der flüchtige Christian Georg Huber ist, der sich mit wechselnden ungarischen Freemail-Accounts tarnt? Wir sind weiter gespannt auf das nächste "BuergerRundschreiben" und was ihn diesmal stört.

Durch die Hölle mit Aktien-Spam?

Mailserver-Höllenritt durch Aktien-Spam überschreibt heise online eine neue Welle von Penny-Stocks-Spam mit PDF-Dokumenten. Auf den Systemen hier ist zwar ein leichter Anstieg erkennbar der geblockten Mails, aber als Höllenritt würde ich das jetzt nicht unbedingt bezeichnen. Sieht für mich eher aus wie die üblichen Schwankungen im alltäglichen Spamrauschen. Aber wir beobachten ebenfalls weiter.

Huber, Du nervst langsam!

Irgendwie nervt der Huber langsam ganz gewaltig. Jetzt hat er auch noch ein Problem mit der Bürgermeisterwahl in Schrobenhausen vom 13.8.2006. Sein Filius wurde nicht zur Bürgermeisterwahl zugelassen! Welch' Drama, das eigentlich niemanden interessiert. Und der Filius ist wohl auch noch Vorsitzender der örtlichen PDS. Und das mitten in Bayern!!

Seine Mails sind offensichtlich immer nach einem ähnlichen Schema aufgebaut. Als Absender taucht eine ungarische Freemail-Adresse auf, diesmal BuergerRundschreiben <user19@balatonszentgyorgy.hu> als Absender. Die Empfänger stehen immer alle komplett mit Mailadressen im "To"-Feld. Im Subject/Betreff wird dann immer auf eine PDF-Datei verwiesen und der Hinweis, dass diese Mail durch eine fremde Mailadresse verschickt wurde und Mail-Empfang nicht möglich sei. Den tatsächliche Sachverhalt kann man dann in der PDF-Datei nachlesen, die offensichtlich irgendwelche eingescannten Faxdokumente sind. Entweder hat der Christian Georg Huber (*1976) einen rührigen Vater mit seinem Sägewerk "Johann Huber OHG" in Eschenlohe oder das ganze ist irgendwie ein plumber Joe-Job. Achja, der alte Huber hat auch noch eine "Huber Land- und Forstwirtschaft GmbH" als Firma. Weiteres kann man über Google finden.


Date: Fri, 20 Jul 2007 16:51:07 +0200
From: BuergerRundschreiben <user19@balatonszentgyorgy.hu>
To: <viele Mailadressen>
Subject: Schreiben der PDS Basisorganisation Eschenlohe
         (Daten siehe pdf-Datei) an die Buergerinnen
         und Buerger! Weiterinformieren erwuenscht!
         Uebersandt durch eine fremde E-mail-Adresse!
         E-mail-Empfang ist hier nicht moeglich!

Anhang: PDSBOESSchreiben.pdf


Der Huber scheint mittlererweile kein ganz Unbekannter mehr zu sein.
Hier vielleicht noch ein paar Interessante Links dazu:

• Forumsbeitrag von altmuehl.net
  
• TP: Deppenalarm im Forum von traum-projekt.com
  

Spam auf die Ohren

Outside The Inbox - Die wohl erste von Email-Spam inspirierte Musik-CD.

Erbe-Übertragung !!!

From: Fred MWAPE <dealproject2007@yahoo.it>
Reply-To: dealproject2105@yahoo.dk
To: <me>
Subject: Erbe-Übertragung !!!

Guten Tag mein geehrter Freund, Mein name ist Herr Fred MWAPE, Ich bin ein General Manager in der abteilung Firmekundebetreung der Wes Bank SUD AFRIKA. Dieser Abteilung ist auch zustaendig fuer den betreung alle auslandischen Kunden. Ich kontaktiere Sie bezüglich des Transfers einer sehr großen Summe Geldes vom Konto eines Verstorbene kunde unsere bank. Ich weiß, daß eine Transaktion dieser Größenordnung zunächst bei jedem Besorgnis erregen wird und versichere ich Ihnen, daß Ich um alles gekümmert habe. Aufgrund der Dringlichkeit der Angelegenheit habe ich mich entschlossen, Sie zu kontaktieren. Es geht um folgendes: Einer meiner Kollegen ist zuständig für das Konto von Mr. John Ernst (Jack) Eichler 69, aus Cedar Grove New Jersey, USA., der im September 11, 2001 in New York bei einem terroristen Anschlag ums Leben kam. Er
starb gemeinsam mit sener mitarbeitern in der World Trade Centre Gebaude. Am 6. Juni 2000, Herr John Ernst (Jack) Eichler zahlte eine Folge von Fest Anzahlung von Geld für zwölf Kalendermonate in sein persönliches Konto ein. Die totale Menge, die er innerhalb dieses Jahres einzahlte war Zwölf Million,Fünf Hundert Tausend United States Dollar.

Und am Schluß sind es sogar "Vierzehn Millionen sieben hundert und funfzig tausend US Dolaar". Gut angelegtes Geld ;-)

Aktienspam

So, jetzt kommen diese nervigen Penny-Stock-Spammails auch schon als PDF ...

Spamstatistik Juni 2007

Es wird mal wieder Zeit für die monatlich Spamstatistik. Diesmal dürfte sie ein wenig "realistischer" sein, nach den letzten Konfigurationsproblemen, hat mir aber auch die komplette Statistiken wohl komplett versaut.

Es kamen nur noch 368 Mails an, welche als Spam erkannt wurden und acht Mails, welche nicht als Spam erkannt wurden. Es gab keine False Positives. Im Vergleich zu den Vormonaten sieht das dann folgendermassen aus:

Monat	getaggte Spams	nicht erkannte Spams
06/2007	368	8
05/2007	1035	12
04/2007	1181	11
03/2007	1130	8
02/2007	1039	12
01/2007	917	6
12/2006	1178	9

Als Vergleich noch die Anzahl der geblockten Mails im Vergleich zum Vormonat:

	geblockte Mails	geblockte Mails
Grund	05/2007	06/2007
Helo command rejected	4439	701
DNS-Name nicht vorhanden oder kein reverse DNS		6009
User unknown	891	84
DSBL	1	587
SORBS	19	4178
spamhaus.org		1143
SenderBase	75	17

SenderBase hat bei den DNSRBLs erst an letzter Stelle gegriffen. Ich habe dies im Juli nun umgestellt, so dass SenderBase zuerst reagiert und dann erst die anderen DNSRBLS. Nächsten Monat wird es sich dann weisen, ob es so funktioniert.

Schon wieder reich

Der Geldsegen kommt diesmal zur Belustigung angeblich aus Ghana:

Zuerst mochte ich bei ihnen vorstellen. Mein Name ist Herr Dave Samuel, ein Manager bei der STANBIC BANK Ghana Ltd, Accra . In meiner Abteilung entdeckte ich eine verlassene Summe von USD 7.5M (Sieben Millionen, Fünfhundert Tausend, US Dollar) in einem Konto, diese Geld gehört eine Kunde von deine Land aber die Mann ist in 1999 gesterben in eine Flugzeugabsturz mit seine ganz Familie. Seit damals ist niemand für das Geld angekommen und wenn niemand für das Geld kommen, geht die komplette Summe an die Bank und die Regierung von Ghana. Jetzt wünsche wir, daß wir zusammen arbeiten und dieses Geld teilen. Mit Ihrer Erlaubnis werden wir Sie als Verwandten des verstorbenen Kunden deklarieren, damit wir die summe von USD$ 7.5M Überweisen kann. Wir haben entschieden, dass für Ihre Hilfe Sie bekomme 30 % nach der Über-tragung. Wir versichern Ihnen eine 100% risikofreie Abwicklung. Bitte Sie solle diese Sache mit der höchsten Geheimhaltung und Vertraulichkeit behandeln. So, wenn ich von Ihnen innerhalb von drei Tagen nicht höre, werde ich annehmen, dass Sie sich nicht interessieren, und ich werde um einen neuen Partner dringend bitten, aber wenn Sie sich interessieren, e-mail mir Bescheid an: dsamuel65@yahoo.com Zu diesem Zwecke senden Sie mir bitte Ihre Persönlichen Daten ... usw.usf.

... ohne Worte. Klick und lösch'. Schlimmer finde ich aber, dass der Antispamfilter nicht angeschlagen hat :-|

Abwehr

TrendMicro hat nun ebenfalls eine echte Antispam-Appliance im Programm, die sich InterScan Messaging Security Appliance (IMSA) nennt. Die Features klingen insgesamt recht ähnlich zu IronPort-Appliances. Herausragendes Vergleichsmerkmal der IMSA ist der Email Reputation Service als direkte Konkurrenz zu IronPorts SenderBase. Laut den Marketing-Whitepapers soll dieser Reputation Service besser sein, als alle anderen Konkurrenzprodukte, was laut der Untersuchung von Opus One Anti Spam Solution Testing vom Februar 2007 zu sehen ist. Hier liegt TrendMicro bei der "Spam Catch Rate" vor allen anderen Anbietern, allerdings ist die "False Positive Rate" auch höher wie beispielsweise bei IronPort (Opus One sagt mir persönlich jetzt im Moment nichts - scheint so eine Consultingfirma in den USA zu sein).

Wenn dieser Reputation Service von TrendMicro der gleiche ist (was ich befürchte), der vor ca. einem Jahr bei einem Kunden auf einer IMSS testweise eingesetzt wurde, wundert mich dieses Ergebnis dieser Studie ein wenig, denn damals wurde dieser Test abgebrochen, da keine Verbesserung zur bisherigen Lösung sichtbar war. Dieser Reputation Service bestand im wesentlichen aus den DNSRBLs von maps.vix.com, die von TrendMicro aufgekauft wurden (und damit vom freien Markt verschwanden).

Eben eine sehr merkwürdige Mail erhalten:

Date: Thu, 21 Jun 2007 17:13:33 +0200
From: BuergerRundschreiben <bleiben@freemail.hu>
To: <ca. 200 Mailadressen>
Subject: Schreiben der Johann Huber OHG (Daten siehe tif-Anlage) an die Buergerinnen und Buerger! Uebersandt durch eine fremde e-mail-Adresse! E-mail-Empfang ist hier nicht moeglich!

Unglaublich aber wahr!

Das unzustaendige Amtsgericht D-82362 Weilheim betreibt gegen den Nicht-Eigentümer
Christian Georg
Huber (*3O.O7.1976 in D-Schrobenhausen) die "Zwangsversteigerungsverfahren" K 157/O4 - K
159/O4.
Herr Christian Georg Huber (*1976) erhielt bis heute keine einzige Unterlage! Die
"Versteigerungen" er-
fuhr er zufaellig aus dem Internet. Wochenlang war der zweite "Versteigerungstermin" im
Internet für blablabla ...

usw.usf. Das geht noch ziemlich weiter und interessiert hier einen tatsächlich nicht so richtig. Am Schluß dann noch:

Mit freundlichem Gruss
Ihre Johann Huber OHG (Daten siehe tif-Anlage)

P.S.: In letzter Zeit wird unser e-mail-Versand gestört!
Falls die Anlagen nicht direkt lesbar sind, zuerst auf Festplatte herunterladen
und dann Lesen!

Armer Herr Huber. Muß schon eine fremde Mailadresse aus Ungarn benutzen, um sich Gehör zu verschaffen. Scheint im ersten Moment alles wirres Zeugs zu sein, aber anscheinend hat Herr Huber das gleiche Problem, wie ein Teil der Bevölkerung: Das bürokratische und korrupte Deutschland und muß dies nun lauthals in dieser Form kundtun.

Aber eine echte Spammail scheint das nicht zu sein, da sich in der Mail tatsächlich viele Bilder-Anhänge mit Fax und Behördenanschreiben(?) usw. befinden, immerhin 2,3 MB. Da hat sich jemand richtig viel Mühe gegeben. Obwohl oder weil das ganze irgendwie seltsam ist, werde ich den Herrn Huber am Mailserver sperren. Weitere interessante Infos zu Herrn Huber findet man beispielsweise bei Google. Der scheint öfter mal solche merkwürdigen Aktionen zu starten.

Massiv

Seit gestern abend sind einige Mailserver massiv unter Beschuß. Es kommen tonnenweise Mails mit gefälschten paypal.de-Absender an. Allein gestern und heute 136961 Mails nur an einen Server! Die Mails wurden zwar alle abgewiesen, trotzdem leidet die die Performance etwas darunter. Weitere Massnahmen werden diskutiert.

ePost

Postfix kann manchmal anstrengend sein (aber mit sendmail wäre es vermutlich schlimmer gewesen). Aber jetzt geht alles so wie gewünscht. Bis zum nächsten Mal.

Fehlkonfiguriert?

Anscheinend ist mein postfix hier irgendwo nicht ganz sauber konfiguriert, da DSBL, SORBS und der Policy-Server mit SenderBase nur sporadisch funktionieren. Oder die Postfix- oder die SUSE-Version hat eine Macke? Das stellt natürlich meine letzte Statistik stark in Frage. Und ich hatte mich noch gewundert, warum sowenig geblockt wird ...

Spamstatistik Mai 2007

Für Mai 2007 sieht es bei mir folgendermaßen aus:

1035 erkannt Spammails ausgefiltert und 12 nicht erkannt Spammails. Wenn ich dies mit den Werten aus den Monaten vorher vergleiche, bleibt es sich eigentlich ähnlich:

Monat	getaggte Spams	nicht erkannte Spams
05/2007	1035	12
04/2007	1181	11
03/2007	1130	8
02/2007	1039	12
01/2007	917	6
12/2006	1178	9

Trotz der gestrigen Meldung, dass der "Spam-König" in den USA verhaftet wurde, kann ich noch keinen spürbaren Rückgang sehen. Auch die zusätzliche Aktivierung von SenderBase-Reputationsfilter brachte doch nicht so viel, wie ich gedacht hätte. Das kann aber auch daran liegen, dass das Perl-Script hier mit meinem lokalen Postfix (als Policy-Server) nicht so 100%ig läuft, wie ich mir das vorstelle.

Für Mai hier noch die Zahl der geblockten Mails:

Grund	Anzahl geblockte Mails
Helo command rejected	4439
User unknown	891
SORBS	19
DSBL	1
SenderBase	75

Und hier finde ich interessant, dass die RBLs so gut wie gar nicht mehr greifen, dafür umso besser die HELO-Einschränkung am Postfix. SenderBase hatte ich zwar erst Mitte des Monats aktiviert, aber mir hier wie schon geschrieben mehr erwartet.

Geografisch verteilt

Spam geografisch verteilt: Mailinator Spam Map