Ausgeknipst

Laut SpOn und heise online hat Microsoft es juristisch geschafft das Botnetz Waledac auszuknipsen. Ein kurzer Blick auf einige Mailstatistiken hier zeigen aber noch keine Wirkung dieser Maßnahme. Es sind immer noch genügend Spammails unterwegs, welche aber zum Glück zu 90% abgewiesen werden. Postfix/SpamAssassin, Senderbase und Ironport sei Dank.

---

Nachtrag von heise online: Ein Botnetz geht, der Spam bleibt

Update: 2010er Bug in SpamAssassin

Und laut heise online ist von diesem Bug auch GMX betroffen: Jahr-2010-Problem im Spam-Filter von GMX [Update].

2010er Bug in SpamAssassin

Das Jahr 2010 fängt ja gut an. In der Version 3.2.5 von SpamAssassin hat sich ein 2010er Bug eingeschlichen: FH_DATE_PAST_20XX scores on all mails dated 2010 or later. Das gibt extra 3.4 Punkte!

Erwischt!

Mist, jetzt hat mich auch noch das FBI erwischt. Eben eine Mail aus Washington bekommen:

ROBERT MUELLER III
EXECUTIVE DIRECTOR FBI
FEDERAL BUREAU OF INVESTIGATION FBI.WASHINGTON DC.
Email: wwwfbi.usgov1@live.com
Telephone Operator: 206-339-2854
FBI SEEKING TO WIRETAP INTERNET

ATTENTION:
We believe this notification meets you in a very good present state of mind and health. We the Federal bureau of investigation (FBI) Washington, DC in conjunction with some other relevant Investigation Agencies here in the United states of America have recently been informed through our Global intelligence monitoring network that you presently have a transaction going on with the Central Bank of Nigeria (CBN) as regards to your over-due contract payment which was fully endorsed in your favor accordingly.

We will find a way to fix a schedule for you to come to our head-quarter in Washington DC to enable us advise you on what to do, but meanwhile you are further advised to be contacting us via email for now because we are having various investigations that we are working on now [...] ... noch viel mehr und ziemlich viel Mailtext.

Komisch nur, dass das FBI nun schon über Brasilien Mails verschicken muss, denn der Mailserver dalila.hotlink.com.br (189.1.1.233), von dem diese Mail kam, befindet sich offensichtlich dort.

Dosenfleisch Fan Forum

Auch nicht schlecht: Dosenfleisch Fan Forum. Ich hatte sowas ähnlich auch mal eine Zeit am laufen, finde aber leider die Scripte dazu nicht mehr ...
[RT: nixspam]

Die Russen kommen

Eben bei einem Kunden über das Problem gestolpert, dass sein Mailserver massiv mit Bounce-Mails aus Russland zugebombt wird. Da er leider keinen Mailserver hat, welcher über Bounce Verfication verfügt, war schnell die Idee geboren, die Netzblöcke zusammenzutragen, von welchen diese Bounces kommen und dann zu sperren, besser alle Netze aus Russland. Und bei der Recherche bin ich über die RBL DNSBL countries.nerd.dk gestolpert. Interessanterweise kann ich damit tatsächlich den SMTP-Zugriff von kompletten Länder sperren. ... Erstmal Tschüß ihr Bounces aus .ru

Imagespam strikes back [2]

Herr Mathew Phollo, ein 50jähriger Anwalt aus Südafrika, verspricht mir 20% Provision von 6,5 Mio $, wenn ich eine Partnerschaft mit ihm eingehe, damit der südafrikanische Staat nicht das Geld des verstorbenen Gunter Haymann bekommt.


Lieber Herr Phollo,

aus diversen Gründen verzichte ich lieber auf dieses überaus attraktive Angebot. Ich spiele lieber weiter Lotto und hoffe dort auf meine Million. Das erscheint mir doch ein wenig sicherer.

Mit freundlichem Gruß.


Auch diese Mail enthielt den kompletten Text als JPG-Anhang, also ein typischer Vertreter des Imagespams.

Imagespam strikes back

Einige Spam-Analysten meinten, dass aktuell Imagespam wieder zurückkehrt (war vor ca. zwei Jahren schon mal massiv ein Problem und ist danach praktisch verschwunden). Heute habe ich doch tatsächlich eine Mail bekommen von Mathew Phollo aus Cap Town Südafrika, in welcher der Inhalt der Mail aus einem kompletten JPG-Bild besteht. Der Inhalt ist der übliche Million Dollar Quatsch (konkret hier 6,5 Mio $) - also diese altbekannte Nigeria Fraud Mails.

Wir sind Spam

Irgendwie habe ich es schon immer geahnt: Wir armen Deutschen bekommen am meisten Spam. Wir sind Spam!! Weiterlesen: Wir sind Spamkönige (SPIEGEL ONLINE).

Schweine im Internet

Es war ja klar, dass die Spammer auf die Schweinegrippe-Welle aufspringen mussten: May 2009 State of Spam Report Released: Spam Pandemic Continues (Symantec Spamstatistik für April 2009). Dass wir wieder ein fast "normales" Spamniveau haben, bestätigen leider auch meine Statistiken. In diesem Sinne: Grunz, grunz, hatschi.

Spam frisst Strom

Interessante Rechnung: Spam kostet nicht nur viel Geld, sondern braucht auch noch Unmengen an Strom und produziert damit CO2: Spam-Mails verbrauchen jährlich 33 Milliarden Kilowattstunden. Was beweist, dass Spam umweltschädlich ist. Könnte man von mir aus auch abschaffen.

DSBL offline

Irgendwie scheine ich verpasst zu haben, dass DSBL als RBL aufgehört hat zu arbeiten. Durch einen dummen Zufall heute mitbekommen, dass z.B. von Google hier vom Postfix keine Mails mehr angenommen werden, weil es keine DNS-Aufösung mehr gibt für (noch nicht mal im heise Newsticker findet sich eine Erwähnung dazu). DSBL ist wohl leider eine von den vielen freien Listen, die ihren Dienst in den letzten Jahren eingestellen mussten. Wenn auch nach eigener Bekundung der Betreiber von DSBL der Meinung ist, dass seine Liste keinen grossen Schutz mehr vor Spammails darstellt, da Spammer mittlererweile weniger über offene Mail-Relays ihren Schund verschicken, sondern eher über trojanisierte PC und hier greifen RBLs tatsächlich weniger gut.

Ein kurzer Anflug von Hoffnung

Es war uns wohl nur ein kurzes Aufatmen gegönnt, also alles fast wie vorher: heise online - 09.12.08 - Zurück zum normalen Spam-Wahnsinn.

Jahrestief

Laut der aktuellen Heise-Meldung "Spam fällt auf Jahrestief" ist durch die Abkopplung der Botnetz-Steuerzentrale beim Hoster McColo das Spamaufkommen auf ein Jahrestief gefallen. Dies spiegelt sich auch in meiner lokalen Spamstatistik nieder. Ab Anfang November ist die Anzahl der abgewiesenen und positiv als Spam erkannten Mails zurückgegangen:



Nach der ursprünglichen Meldung von heise am 12.11.2008: US-Provider ziehen Spam-Schleuder den Stecker konnte ich hier noch keinen signifikaten Rückgang erkennen, dafür jetzt aber umso drastischer.

Sehr schön sieht man dies auch bei den Statistiken auf einer IronPort C150-Appliance:



Ab dem 12.11.2008 ist hier ein Rückgang bei den durch den Reputationsfilter geblockten Mails zu erkennen.

referrer spam

Wenn ich mir so meine HTTP-Zugriffe und Statistiken anschaue, dann fallen mir seit geraumer Zeit merkwürde Einträge als Referrer auf mit Websites mit ziemlich eindeutigen Namen. Dieser Referrer-Spam betrifft nur den Hauptwebserver hier, aber zum Glück (noch) nicht die Zugriffsstatistik dieses Blogs. Jetzt muss ich erstmal schauen, wie ich diesen Schrott wieder losbekomme ...

Erleichterung

heise online meldet zwar, dass in den USA einer grossen Spamschleuder der Stecker gezogen wurde, aber so richtig kann ich hier noch keinen Rückgang in meiner Statistik sehen. Ich warte mal bis Ende der Woche noch ab, dann sollte hier auch ein Trend sichtbar sein.

6th German Anti Spam Summit

Hoppla, schon wieder auf einem Foto und wie angekündigt aus Wiesbaden beim 6th German Anti Spam Summit, ausgerichtet vom eco-Verband.

Was gibt es Neues von den Experten? Image-Spam und Spams mit PDF- und sonstigen Anhängen sind im Gegensatz zum Vorjahr vollständig verschwunden. Das Aufkommen von Spammails ist weiterhin rasant steigend, wenn auch die eigentlichen Inhalte der Spammails kleiner und einfacher werden, in der Form, dass relativ wenig Text und ein Verweis auf eine URL sich im Inhalt befinden. Ziel der Spammer scheint mittlererweile weniger der Verkauf von Rolex, Viagra, Vergrösserungen von diversen Körperteilen usw. zu sein, sondern eher die Opfer auf infizierte Websites mit ihrem Browser zu führen, um ihnen dort Schadsoftware unterzuschieben. Spam wird von daher nur noch als Transportmittel benutzt, um Schwachstellen in anderen Applikationen, wie den verschiedenen Browsern, auszunutzen.

5th German Anti Spam Summit

Ach du Schreck, da bin ich ja auf dem Foto vom letzten Jahr in Köln. Ok, am Dienstag dann wieder in Wiesbaden.

Langeweile

Seit die Spamfilterung auf meinem Server sehr zur Zufriedenheit aller Beteiligten arbeitet, ist es richtig langweilig in meiner Inbox ...

Gefährlich

Das Spam gefährlich ist, ahnten wir ja schon immer. Aber dass Spam solche Auswüchse annimmt, ist wohl neu: Spam-Mails verursachen Polizeiaktion.

Arschgeweih ist out

Ich dachte eigentlich, dass Arschgeweihe, also diese merkwürdigen Tatoos am Steiß, seit 1-2 Jahren total out sind. Jetzt erreichtd mich doch tatsächlich folgende Mail in meiner Firmenmailbox:

Arschgeweihe sind modern und überall wird über sie gesprochen. Noch besser ist es allerdings, wenn man nicht nur darüber spricht, sondern sie lieber anschaut. Wir zeigen dir die schärfsten Videos und Bilder der Sexspiele von Girls, die den Schlampenstempel zu Recht tragen.

Sowas von out aber aber auch. Ich erkläre jetzt auch gleich Spam für out!

Ein Leben fast ohne Spam

Hmm, schon lange keine richtigen Spam-Mails mehr bekommen, einerseits kommt mir das verdächtig vor, aber "richtige" Mails kommen hier noch an. Könnte fast stolz sein auf mein tolles Antispam-System :-) Wenn ich es offiziell dürfte, würde ich es dringenst jedem weiterempfehlen. Aber andererseits ist es fast schon wieder langweilig, wenn so wenig Müll im Posteingang ;-)

30 Jahre Spam

Herzlichen Glückwunsch - oder auch nicht.

Ungarn

Interessanterweise finde ich fast jedesmal kurz nach einer Huber-Spamwelle immer auch Zugriffe aus Ungarn im Log hier. Da der Huber Christian sich ja offensichtlich nach Ungarn abgesetzt hat und von dort seine unnützigen Mails verschickt, stimmt mich das schon ein wenig nachdenklich. Will er hier vielleicht den Erfolg der Verbreitung seiner Mails kontrollieren? Oder ist das ganze vielleicht nur ein virales-Marketing-Dingens?

Huber ist wieder da

Der Huber ist leider wieder aktiv. Und zu aller Überraschung hat er sich diesmal einiges neues ausgedacht. Er benutzt nun eine neue Mailadresse, web.de hat ihm wohl nicht mehr gepasst:
Eingabe <johannhuberohg@email.darkpoetry.com>
Aber die Mail kommt immer noch aus Ungarn von der bekannten IP-Adresse mail.keszthelynet.hu (195.56.183.2). Im Mailheader taucht noch ein "stonespc2" auf mit der IP 88.132.15.106. Keine Ahnung, ob das auf Hubers Musikgeschmack schliessen lässt oder seinen Zustand. Ansonsten geht die Mail wieder wie üblich an viele viele Empfänger , die direkt adressiert werden. Ich habe immer noch den Eindruck, dass die Empfänger grob regional eingeteilt sind. Als Ausnahme hängt dieser Mail diesmal kein TIFF-Attachment oder PDF-Datei als Fax an, sondern alles unwichtige steht diesmal direkt in der Mail in Textform. Der Inhalt ist aber immer der altbekannte. Ich erspare mir es ihn hier aufzuführen.

Den Zugriffen nach hier, hat Huber tatsächlich wiedermal eine grössere Spamwelle losgetreten ...

Reichtum

Oha, jetzt fragt doch tatsächlich Mr David Wood, der sich selbst als "Auditor General, and Chairman, Audit Committee of Bank of Scotland" bezeichnet, ob er über mein Konto mal so locker £30,000,000.00 GBP transferieren darf. Was konkret dabei bei mir hängen bleibt, verrät er leider nicht. Vielleicht sollte ich mal fragen, ob Mr. Wood nicht vielleicht doch ein Nigerianer ist, dessen Vater eine höhere Position inne hatte und er hat flüchten müssen und will nun irgendwie an das Geld usw.usf.?

Die Mail kam übrigens vom Mailserver smtp4.navegante.com.sv/201.247.157.99. Die Top-Level-Domain .sv ist El Salvador, also nix mit Schottland oder ist jetzt schon Schottland in El Salvador und ich habe das nicht mitbekommen?

Viele Zugriffe

Oha, was ist denn da los? Heute ziemlich viele Zugriffe hier und viele kommen über unsere große Suchmaschine und suchen nach "Huber" und "Eschenlohe". Anscheinend hat der Huber Christian wieder eine Belästungungswelle losgeschickt. Bis jetzt kam zumindest hier noch nichts an, was evtl. meinen Verdacht bestätigt, dass er seine Belästigungen halbwegs geografisch zusammenfasst und verteilt. Oder ist das nur die Ruhe vor dem Sturm?

Merkwürdige Firewalls

Innerhalb kürzester Zeit (gestern in Düsseldorf und heute in Ludwigshafen) zwei merkwürdige Firewalls erlebt, die einen vernünftigen und korrekten Betrieb einer sinnigen Antispamlösung erfolgreich verhinderten. In beiden Fällen wurden alle aus dem Internet eingehende IP-Adressen bei Mailverbindungen hinter der Firewall maskiert. Damit funktionieren alle DNSRBLs basierten Lösungen oder auch beispielsweise SenderBase überhaupt nicht und die meisten Antispamlösungen sind dadurch einer ihrer stärksten Möglichkeiten gegen die Spamflut beraubt.

Im einen Fall lag es an verkorksten iptables-Einträgen. Der zuständige IT-KruscherDienstleister hatte ein beeindruckend komplexes iptables-Firewall-Script, dass für ausgehende UND eingehende Verbindungen Masquerading macht, nicht im Griff. Für ausgehende Verbindungen Richtung Internet Masquerading kann ich ja noch verstehen, aber aus dem Internet eingehende Verbindungen? Der Sinn hat sich mir da nicht ganz erschlossen. Und auf die Antwort, dass dies ja das Prinzip von NAT bzw. Masquerading wäre, habe ich resigniert und eine andere sichere Lösung realisiert ohne Firewall.

Im zweiten Fall handelte es sich um eine GenuaGate-Firewall, bei der es anscheinend nicht so einfach ist eine transparente SMTP-Verbindung zu der Antispamlösung einzurichten, ohne dass die Firewall immer dazwischen fummelt. Aber immerhin hat sich hier der Herstellersupport als kompetent erwiesen, zumindest hörte es sich am Telefon so an, als ob sie wissen, um was es hier geht.

Bei beiden war lediglich die Konfiguration und Inbetriebnahme einer Antispamlösung beauftragt, was im Regel- und Planfall auch innerhalb kurzer Zeit umgesetzt werden kann. Wenn es dann aber wegen solcher externen Probleme sich extrem in die Länge zieht, man eigentlich weiss warum es so nicht nicht funktionieren kann, aber nicht selbst eingreifen kann (bzw. darf), da dies in die Zuständigkeit der anderen Dienstleister fällt, fällt es mir extrem schwer geduldig zu bleiben (gngngn). Von in diesem Zuge notwendige DNS-Änderungen schreibe ich erstmal nichts (die dauern auch schon drei Tage, ohne dass was passiert ...).

PS: Wie soll man zum Thema NAT auf die Frage reagieren: "Was meinen Sie mit offiziellen IP-Adressen?". Das leben als Dienstleister kommt mir manchmal wie die Hölle vor. Im nächsten Leben werde ich auch Kunde. Dann wird alles besser ;-)

Ein Märchen?

Das Jahr fängt gut an: Gestern grippal infektiös niedergestreckt und heute verspricht mir Kwasha Jr <markwci@seznam.cz>, dass von "812,000,000 euros" immerhin "812,000 euros" bei mir bleiben können. Kwasha Jr, der eine tschechische Mailadresse hat (warum eigentlich?) und Martin heisst, hatte auch ein Problem mit seiner Stiefmutter, da sie ihn schlecht behandelt hatte. Das erinnert mich ein wenig an Aschenbrödel (oder Aschenblödel? die Jerry Lewis Variante aka Cinderella). Zu allem Überfluss gibt es da auch noch zwei Stiefschwestern ... Naja, und der arme Vater hat heimlich vor seiner Frau (die Stiefmutter von Martin) die Kohle verstecken müssen und vor seinem Tod seinen Sohn informiert. Nun fürchtet sich der arme Martin sehr und sorgt sich arg, wie er an sein Geld kommen könnte. Das Leben kann so ungerecht sein, aber irgendwie finde ich es erbauend. Vielleicht sollte Martin in Analogie zu Aschenbrödel auf seinen Prinz oder Prinzessin warten, je nach sexueller Veranlagung.

Und wenn sie nicht gestorben sind ...

Trends 2008?

Das Thema Reputationssystem ist ja schon seit einiger Zeit beim Thema Antispam im Einsatz, z.B. bei den Antispam-Appliances von IronPort und hat sich hier gut bewährt. In eine ähnliche Richtung geht der Artikel "E-Mail ohne Spam" in der aktuellen iX-Ausgabe 1/2008. Und nachdem nun TrustedSource für Check Points OPSEC zertifiziert wurde, könnte das Thema Reputationssysteme nicht nur bei Antispam ein Trend für 2008 werden. Wenn ich mir allerdings die Website von TrustedSource anschaue, werde ich den Eindruck nicht ganz los, dass dies wie ein Plagiat von IronPorts SenderBase aussieht. Ich kann mich aber auch täuschen ...

Gähn

Spammässig ist momentan alles ziemlich ruhig. Und neue Viren, Trojaner oder anderes schädliches Zeugs zur Analyse gab es auch schon länger nicht mehr. Und das andere IT-Zeugs ist nicht so spektakulär, dass es mich reizen könnte. Langeweile macht sich breit ...

Befangen

Huber hat wieder geschrieben. Er will jetzt alle verklagen bis nach München und bezichtigt sie der Befangenheit ...

Traurige Berühmtheit?

Der Huber hat es mit seinen Spam-Mails sogar schon in's Wikipedia geschafft in einem Eintrag über Eschenlohe.

Huberlinks

Wenn's interessiert, hier noch ein paar Links gefunden z.T. bei StoiBär gefunden und auch selbst recherchiert aktuell:

• Gefangene im eigenen Haus - Tagesspiegel vom 30.8.2002
• Berüchtigte Familie verlässt Eschenlohe - Merkur Online - Garmisch-Partenkirchner Tagblatt vom 27.05.2003
• In den Fall der ermordeten "Oma Trinchen" kehrt keine Ruhe ein - Merkur Online - Garmisch-Partenkirchner Tagblatt vom 28.01.2004
• "Mordhaus" noch nicht unterm Hammer - Merkur Online - Garmisch-Partenkirchner Tagblatt vom 15.08.2007
• So? Die Johann Huber oHG hat mich jetzt auch im E-Mail-Verteiler - Foxgate vom 22.10.2007

Ist es nicht schon schlimm genug, dass die Hubers früher anscheinend Eschenlohe terrorisierten? Nein, seit der Christian Huber weiß wie man Internet schreibt, muß er nun auch noch den Rest der Welt zuspammen! Warum kann man die nicht alle zusammen in eine zugehörige Anstalt einweisen?

Unglaublich aber wahr (schon wieder der Huber)

Nachdem längere Zeit Ruhe war, fängt der Huber wieder an, seine abstrusen und wirren Mails zu verschicken. Im Text beschrieben beklagt er sein Anliegen "Es sind dutzende Klagen und Anzeigen an allen deutschen Gerichten - sofern e-mail vorhanden - anhaengig, aber bis heute nicht bearbeitet! Jetzt kommt der bisherige Koordinater der Rechtsverstösse gegen das Mühlengelaende vor Eschenlohe usw.usf. ..." und hat nun ein wohl Problem damit, dass das heimische Mühlengelände in Eschenlohe, welches anscheinend nun doch zwangsversteigert wurde, von von jemanden ersteigert wurde und diese als neue Besitzer die bestehenden Gebäude abreissen wollen, um neue Häuser dort errichten zu lassen. Weiterhin wird ein Staatsanwalt namentlich verunglimpft, sowie ein Direktor des wohl zuständigen Amtsgerichtes. Ein Mord ist dort in der Vergangenheit wohl auch passiert oder zumindest hat sich dort ein ungeklärter Todesfall ereignet. Ein Hinweis auf Hubers ungarische Website darf in der Mail natürlich auch nicht fehlen, in der man evtl. bisher verpasste Dokumente nachlesen kann. Und zum Schluß wird noch das mangelnde Interesse der Medien beklagt. Wobei ich mir vorstellen könnte, dass dies auch nach hinten losgehen könnte, wenn die Medien auf einmal größeres Interesse bekommen könnten. Inhaltlich ist auffällig, daß er teilweise ohne deutsche Umlaute schreibt, an anderer Stelle aber wieder mit Umlauten, ebenso wie auch in seinem Anschreiben als Fax an die von ihm bescholtene Justiz, welches als PDF-Attachment der Mail anhängt. Achja, Post-Faxempfng ist immer noch nicht möglich. Seine Spamwellen sind offensichtlich regional aufgeteilt, wenn ich mir die Mailempfänger anschaue. Am Freitag kamen sie gleich doppelt und das gleiche heute nochmal. Die meisten Empfänger lassen sich hier lokal grob dem Rhein-Neckar-Raum zuordnen. Das Schema ist immer noch gleich, der gefälschter Absender von Web.de Rundschreiben <babette_babic@web.de> und das ganze wieder von einer ungarischen IP-Adresse aus dem Ort Keszthely am Balaton:

---

Größere Kartenansicht

---

Mal schauen, ob die Sammelklage was nützt und dem Spuk langsam mal ein Ende bereitet.

Übrigens gibt es hier auch sporadisch Zugriffe aus Ungarn aus ebenjener Ecke. Wer das wohl sein mag?

Sammelklage

Wie ich eben aus einem Kommentar zu Hubers Spam erfahren habe, läuft seit heute morgen eine Sammelklage gegen Huber. Nähere Infos dazu gibt es hier.

Ehrlich währt am ...

Vielleicht sollte ich auch ein Botnetz aufbauen? Das scheint sich wohl eher zu lohnen als ehrliche Arbeit.

Spamstatistik August 2007

Aus Zeitgründen diesmal nur eine kurze Spamstatistik für diesen Monat: 207 Mails befanden sich in meiner Inbox, welche vom SpamAssassin als Spam erkannt wurden und keine falsch erkannte Spammail. Und natürlich gibt es noch eine Unzahl durch RBLs (SenderBase, Spamhaus, DSBL) abgewiesene Mails, die ich heute nicht zähle.

Unterwegs

Einmal Köln und zurück.

nach was zum Thema Huber

Zufällig über folgenden Zeitungsartikel gestolpert vom 15.8.2007 aus dem Garmisch Partenkirchener Tagblatt: "Mordhaus" noch nicht unterm Hammer. Ich kenne zwar die Hintergründe nicht, bringt aber ein wenig Licht in die Belästigungen vom Huber.

Huber aktiv

Die Hubers sind aktiv, das kann man nicht leugnen. Hans Georg Huber lässt sich zur Bürgermeisterwahl am 2. März 2008 in Eschenlohe aufstellen und zum Landrat vom Landkreis Garmisch-Partenkirchen am gleichen Datum. Langweilig scheint denen nicht gerade zu sein. Wenn er da nicht gewählt wird, befürchte ich, dass wir wieder überschwemmt werden mit seinen lästigen und unsäglichen Mails.

Übrigens besteht die PDS Basisorganisation Eschenlohe aus genau drei Mitgliedern: Hans Georg Huber, Christian Georg Huber und Irene Anita Huber. Ich würde sowas nicht unbedingt als Partei bezeichnen, sondern eher als Familienclan.

Hubers neuer Trick

Oh, der Huber hat sich was Neues einfallen lassen. Der relevante Teil der Mail kommt nicht mehr als PDF sondern als JPG-Bild. Und zu allem Überfluß verkündet er nun auch noch, dass er jetzt eine eigene Webseite hat:


... wir dürfen uns für die bisherige Unterstützung bedanken. Um u.a. Sie und eine breitere Öffentlichkeit am Besten und Effektivsten informieren zu können, haben wir uns entschlossen, eine eigene Website für unsere Firma einzurichten. Diese Webseite ist unter http://www.xxxx-yyyy-zzz.hu/ zu finden. Unter den einzelnen Punkten ...blablabla...

Die URL veröffentliche ich hier erstmal nicht, diesen Gefallen tue ich dem Huber bestimmt nicht auch noch Werbung für seine Website zu machen. Interessant finde ich auch, dass er sich immerhin eine Website (wenn auch in Ungarn) leisten kann, aber gleichzeitig schreibt "Post-/Fax-Empfang ist immer noch nicht möglich" und E-Mail-Empfang demzufolge auch noch nicht funktioniert.

Die Domain wurde am 2.8.2007 auf einen gewissen Tánczos Róbert registriert als Privatperson.

Als Absender gibt sich Huber nicht mehr viel Mühe, sondern nimmt bei dieser Mail einfach eine Fantasie-Adresse, wie "Rundbrief <abcdcba@freemail.hu>" und verschickt die über den ungarischen Mailserver mail.keszthelynet.hu (195.56.183.2). Ich vermute mal auch, dass die Mail über ein ungarisches Internetcafe verschickt wurde, zumindest lässt mich folgender Ausschnitt aus den Mailheadern dies mutmassen:

Received:  from holmikicafe1 (nms.hirsat.hu [195.56.183.1]) 
 by mail.keszthelynet.hu (Postfix) with SMTP id 8AAED504A3; 
 Fri, 24 Aug 2007 10:46:47 +0200 (CEST)

Und alle Empfänger sind wiedermal offen adressiert und zum großen Teil regional hier zugehörig, grob die Rhein-Neckar-Dreieck umfassend mit Heidelberg (viele Adressen von der Uni Heidelberg), Mannheim, Südhessen mit der Bergstraße usw.

Huberwelle

Mir scheint, dass die aktuelle Welle mit Hubers nichts- nutzigen Mails hier für massiv gehäufte Zugriffe sorgt. Ein Zugriff ist diesmal auch wiedermal aus Ungarn dabei.

Huber wieder da

Ok, der Huber ist wieder da und das gleich doppelt. Und jetzt bekommt er wie versprochen ein eigenes Label hier! Die Mail hat wie immer das gleiche Schema, komtm angeblich von BuergerRundschreiben <babette_babic@web.de> (hatten wir schon), kommt von einem ungarischen Mailserver (mail.keszthelynet.hu/195.56.183.2 - hatten wir auch schon) und besteht wie auch schon gehabt nur aus der PDF-Datei "BuergerRundschreiben.pdf", in welcher sich der Huber wiedermal über das Amtsgericht Weilheim auslässt. Also alles nichts neues, aber immer noch extrem nervig. Netterweise meint der Huber noch im Subject (und das ist neu), dass man evtl. seinen Acrobat Reader aktualisieren soll, da damit sein Sermon am besten zu öffnen wäre. Ansonsten wieder mal: Schreiben der Johann Huber OHG (Daten siehe pdf-Anlage, die am besten durch eine aktuellere Version von Adobe Acrobat Reader zu oeffnen ist)! Uebersandt durch eine fremde E-mail-Adresse! E-mail-Empfang ist hier unmoeglich!.

Huber goes overseas

Nach den aktuellen Serverstatistiken suchen verzweifelte Engländer und Amerikaner mit Hilfe vom Übersetzungsdienst von Google Erleuchtung zu den Huber-Mails. Der Übersetzungsdienst von Google erzeugt folgende Übersetzung daraus: Google Language Tools. Hoffentlich versteht noch einer, was damit gemeint ist? Ich habe gerade beschlossen, dass Huber ein eigenes Label verpasst bekommt, falls ich noch eine Mail von ihm bekommen sollte!

Spamstatistik Juli 2007

Und schon wieder ist ein Monat vorbei, deswegen hier die Spamstatistik für Juli 2007.

Es kamen noch 233 Mails an, welche als Spam erkannt wurden und sechs Mails, welche nicht als Spam erkannt wurden. Es gab keine False Positives. Im Vergleich zu den Vormonaten sieht das dann folgendermassen aus:

Monat	getaggte Spams	nicht erkannte Spams
07/2007	233	6
06/2007	368	8
05/2007	1035	12
04/2007	1181	11
03/2007	1130	8
02/2007	1039	12
01/2007	917	6
12/2006	1178	9

Als Vergleich noch die Anzahl der geblockten Mails im Vergleich zum Vormonat:

	geblockte Mails	geblockte Mails	geblockte Mails
Grund	05/2007	06/2007	07/2007
Helo command rejected	4439	701	120
DNS-Name nicht vorhanden oder kein reverse DNS	-	6009	14392
User unknown	891	84	58
DSBL	1	587	254
SORBS	19	4178	3441
spamhaus.org		1143	2601
SenderBase	75	17	5111

SenderBase steht nun als erstes in der Liste der DNSRBLs, danach kommt DSBL, gefolgt von SORBS und Spamhaus am Schluß. SenderBase hat sich an dieser Stelle sehr gut bewährt. Was mich aber überrascht hat, dass Spamhaus (und auch SORBS) hier anscheinend eine relativ aggressive Listung von Einträgen hat, da doch noch eine hohe Anzahl von Mailservern nach den anderen DNSRBLs von Spamhaus (bzw. SORBS) geblockt wurde. Die hohe Anzahl der Mailserver ohne DNS-Eintrag fand ich auch ein wenig überraschend, aber aus einem mir noch unbekannten Grund weisst mein Postfix diese mit einem 400er SMTP-Code ab, was u.U. bedeutet, dass Mailserver es mehrmals versuchen ihre Mails loszuwerden.

Sehr schön kann man dies auch anhand der grafischen Auswertung verfolgen:

Durch einen unbemerkten Konfigurationsfehler von Februar bis April 2007 stieg der Mailverkehr stark an. In dieser Zeit wurden durch SpamAssassin auch überdurchschnittliche viele Mails als Spam erkannt. Erst ab Mai 2007 griffen langsam die ersten Änderungen, die nach weiteren Optimierungen in den aktuellen Ergebnissen gipfeln. Der grafischen Statistik nach ist aktuell als Trend ein großer Anstieg der zurückgewiesenen Mails für August erkennbar. D.h die nächste Statistik dürfte wieder spannend werden.

Huber international

Den Zugriffen nach gibt es auch aus dem Raum Washington DC, USA mindestens drei "Huber-Opfer". Scheint also so, als ob die Huber-Spams sich auch schon in die USA verbreitet haben.

Excel Spam

Super, jetzt kommen die Penny- Stocks- Spam schon als Zip- verpackter Excel- Anhang daher.

Mensch Huber

Als hätte ich es geahnt. Da sind sie wieder, die Hubers (Christian Georg Huber und der alte Johann Huber) mit einem neuen "BuergerRundschreiben" und das gleich in doppelter Ausfertigung. Diesmal von einer web.de Mailadresse. Meine erste Befürchtung, daß einer der beiden aus Ungarn ausgewiesen wurde, hat sich nicht bestätigt. Die Mail wurde von mail.keszthelynet.hu/195.56.183.2 verschickt. Und immer wieder das gleiche Schema der Mail. Viele unschuldige Empfänger und wiedermal als Schreiben der "PDS Basisorganisation Eschenlohe" deklariert. Daß sich überhaupt die PDS angeblich nach Bayern traut, ist ja auch interessant.


Date: Thu, 26 Jul 2007 18:36:49 +0200
From: BuergerRundschreiben <babette_babic@web.de>
To: <wieder sehr viele Mailopfer>,
Subject: Schreiben der PDS Basisorganisation Eschenlohe
          (Daten siehe pdf-Datei) an die Buergerinnen
          und Buerger! Weiterinformieren erwuenscht!
         Uebersandt durch eine fremde E-mail-Adresse!
          E-mail-Empfang ist hier nicht moeglich!


Und wiedermal ein ellenlanges eingescanntes PDF-Dokument als Attachment. Der Inhalt ist aber identisch zu meinem letzten Beitrag dazu. Er hat also immer noch Probleme mit der Bürgermeisterwahl in Schrobenhausen. Da kann ich dem Huber nur zurufen: Mensch Huber, wir haben es kapiert, Du hast ein Problem. Mehr derartiger Mails ändern auch nichts an Deinem Problem. Und wenn Du so weitermachst, wird Dein Problem vermutlich ganz anders, als Du Dir vorstellen kannst.

Huber Huber

Schon länger nichts mehr von den Hubers (Christian Georg Huber und der alte Johann Huber) aus Eschenlohe oder Schrobenhausen gehört und seinen "BuergerRundschreiben". Wie ich aber an den Webzugriffen auf dieses Blog sehen kann (viele Suchanfragen zu den Hubers) und auch durch direktes Feedback eben mitbekommen habe, spammen die beiden munter weiter mit ihren obskuren Mails. In einem der Foren, die man dazu ergooglen kann (was für ein Wort!), wird behauptet, dass der jüngere Huber ein ehemaliger Schüler des Werdenfels Gymnasiums in Garmisch-Partenkirchen ist und Jura studierte. Das würde auch diese verquerten pseudojuristischen Formulierungen in den PDF-Dokumenten erklären. Angeboren kann so was ja nicht sein.

Interessanterweise habe ich auch einige Zugriffe hier aus Ungarn. Ob das wohl der flüchtige Christian Georg Huber ist, der sich mit wechselnden ungarischen Freemail-Accounts tarnt? Wir sind weiter gespannt auf das nächste "BuergerRundschreiben" und was ihn diesmal stört.

Durch die Hölle mit Aktien-Spam?

Mailserver-Höllenritt durch Aktien-Spam überschreibt heise online eine neue Welle von Penny-Stocks-Spam mit PDF-Dokumenten. Auf den Systemen hier ist zwar ein leichter Anstieg erkennbar der geblockten Mails, aber als Höllenritt würde ich das jetzt nicht unbedingt bezeichnen. Sieht für mich eher aus wie die üblichen Schwankungen im alltäglichen Spamrauschen. Aber wir beobachten ebenfalls weiter.

Huber, Du nervst langsam!

Irgendwie nervt der Huber langsam ganz gewaltig. Jetzt hat er auch noch ein Problem mit der Bürgermeisterwahl in Schrobenhausen vom 13.8.2006. Sein Filius wurde nicht zur Bürgermeisterwahl zugelassen! Welch' Drama, das eigentlich niemanden interessiert. Und der Filius ist wohl auch noch Vorsitzender der örtlichen PDS. Und das mitten in Bayern!!

Seine Mails sind offensichtlich immer nach einem ähnlichen Schema aufgebaut. Als Absender taucht eine ungarische Freemail-Adresse auf, diesmal BuergerRundschreiben <user19@balatonszentgyorgy.hu> als Absender. Die Empfänger stehen immer alle komplett mit Mailadressen im "To"-Feld. Im Subject/Betreff wird dann immer auf eine PDF-Datei verwiesen und der Hinweis, dass diese Mail durch eine fremde Mailadresse verschickt wurde und Mail-Empfang nicht möglich sei. Den tatsächliche Sachverhalt kann man dann in der PDF-Datei nachlesen, die offensichtlich irgendwelche eingescannten Faxdokumente sind. Entweder hat der Christian Georg Huber (*1976) einen rührigen Vater mit seinem Sägewerk "Johann Huber OHG" in Eschenlohe oder das ganze ist irgendwie ein plumber Joe-Job. Achja, der alte Huber hat auch noch eine "Huber Land- und Forstwirtschaft GmbH" als Firma. Weiteres kann man über Google finden.


Date: Fri, 20 Jul 2007 16:51:07 +0200
From: BuergerRundschreiben <user19@balatonszentgyorgy.hu>
To: <viele Mailadressen>
Subject: Schreiben der PDS Basisorganisation Eschenlohe
         (Daten siehe pdf-Datei) an die Buergerinnen
         und Buerger! Weiterinformieren erwuenscht!
         Uebersandt durch eine fremde E-mail-Adresse!
         E-mail-Empfang ist hier nicht moeglich!

Anhang: PDSBOESSchreiben.pdf


Der Huber scheint mittlererweile kein ganz Unbekannter mehr zu sein.
Hier vielleicht noch ein paar Interessante Links dazu:

• Forumsbeitrag von altmuehl.net
  
• TP: Deppenalarm im Forum von traum-projekt.com
  

Spam auf die Ohren

Outside The Inbox - Die wohl erste von Email-Spam inspirierte Musik-CD.

Erbe-Übertragung !!!

From: Fred MWAPE <dealproject2007@yahoo.it>
Reply-To: dealproject2105@yahoo.dk
To: <me>
Subject: Erbe-Übertragung !!!

Guten Tag mein geehrter Freund, Mein name ist Herr Fred MWAPE, Ich bin ein General Manager in der abteilung Firmekundebetreung der Wes Bank SUD AFRIKA. Dieser Abteilung ist auch zustaendig fuer den betreung alle auslandischen Kunden. Ich kontaktiere Sie bezüglich des Transfers einer sehr großen Summe Geldes vom Konto eines Verstorbene kunde unsere bank. Ich weiß, daß eine Transaktion dieser Größenordnung zunächst bei jedem Besorgnis erregen wird und versichere ich Ihnen, daß Ich um alles gekümmert habe. Aufgrund der Dringlichkeit der Angelegenheit habe ich mich entschlossen, Sie zu kontaktieren. Es geht um folgendes: Einer meiner Kollegen ist zuständig für das Konto von Mr. John Ernst (Jack) Eichler 69, aus Cedar Grove New Jersey, USA., der im September 11, 2001 in New York bei einem terroristen Anschlag ums Leben kam. Er
starb gemeinsam mit sener mitarbeitern in der World Trade Centre Gebaude. Am 6. Juni 2000, Herr John Ernst (Jack) Eichler zahlte eine Folge von Fest Anzahlung von Geld für zwölf Kalendermonate in sein persönliches Konto ein. Die totale Menge, die er innerhalb dieses Jahres einzahlte war Zwölf Million,Fünf Hundert Tausend United States Dollar.

Und am Schluß sind es sogar "Vierzehn Millionen sieben hundert und funfzig tausend US Dolaar". Gut angelegtes Geld ;-)

Aktienspam

So, jetzt kommen diese nervigen Penny-Stock-Spammails auch schon als PDF ...

Spamstatistik Juni 2007

Es wird mal wieder Zeit für die monatlich Spamstatistik. Diesmal dürfte sie ein wenig "realistischer" sein, nach den letzten Konfigurationsproblemen, hat mir aber auch die komplette Statistiken wohl komplett versaut.

Es kamen nur noch 368 Mails an, welche als Spam erkannt wurden und acht Mails, welche nicht als Spam erkannt wurden. Es gab keine False Positives. Im Vergleich zu den Vormonaten sieht das dann folgendermassen aus:

Monat	getaggte Spams	nicht erkannte Spams
06/2007	368	8
05/2007	1035	12
04/2007	1181	11
03/2007	1130	8
02/2007	1039	12
01/2007	917	6
12/2006	1178	9

Als Vergleich noch die Anzahl der geblockten Mails im Vergleich zum Vormonat:

	geblockte Mails	geblockte Mails
Grund	05/2007	06/2007
Helo command rejected	4439	701
DNS-Name nicht vorhanden oder kein reverse DNS		6009
User unknown	891	84
DSBL	1	587
SORBS	19	4178
spamhaus.org		1143
SenderBase	75	17

SenderBase hat bei den DNSRBLs erst an letzter Stelle gegriffen. Ich habe dies im Juli nun umgestellt, so dass SenderBase zuerst reagiert und dann erst die anderen DNSRBLS. Nächsten Monat wird es sich dann weisen, ob es so funktioniert.

Schon wieder reich

Der Geldsegen kommt diesmal zur Belustigung angeblich aus Ghana:

Zuerst mochte ich bei ihnen vorstellen. Mein Name ist Herr Dave Samuel, ein Manager bei der STANBIC BANK Ghana Ltd, Accra . In meiner Abteilung entdeckte ich eine verlassene Summe von USD 7.5M (Sieben Millionen, Fünfhundert Tausend, US Dollar) in einem Konto, diese Geld gehört eine Kunde von deine Land aber die Mann ist in 1999 gesterben in eine Flugzeugabsturz mit seine ganz Familie. Seit damals ist niemand für das Geld angekommen und wenn niemand für das Geld kommen, geht die komplette Summe an die Bank und die Regierung von Ghana. Jetzt wünsche wir, daß wir zusammen arbeiten und dieses Geld teilen. Mit Ihrer Erlaubnis werden wir Sie als Verwandten des verstorbenen Kunden deklarieren, damit wir die summe von USD$ 7.5M Überweisen kann. Wir haben entschieden, dass für Ihre Hilfe Sie bekomme 30 % nach der Über-tragung. Wir versichern Ihnen eine 100% risikofreie Abwicklung. Bitte Sie solle diese Sache mit der höchsten Geheimhaltung und Vertraulichkeit behandeln. So, wenn ich von Ihnen innerhalb von drei Tagen nicht höre, werde ich annehmen, dass Sie sich nicht interessieren, und ich werde um einen neuen Partner dringend bitten, aber wenn Sie sich interessieren, e-mail mir Bescheid an: dsamuel65@yahoo.com Zu diesem Zwecke senden Sie mir bitte Ihre Persönlichen Daten ... usw.usf.

... ohne Worte. Klick und lösch'. Schlimmer finde ich aber, dass der Antispamfilter nicht angeschlagen hat :-|

Abwehr

TrendMicro hat nun ebenfalls eine echte Antispam-Appliance im Programm, die sich InterScan Messaging Security Appliance (IMSA) nennt. Die Features klingen insgesamt recht ähnlich zu IronPort-Appliances. Herausragendes Vergleichsmerkmal der IMSA ist der Email Reputation Service als direkte Konkurrenz zu IronPorts SenderBase. Laut den Marketing-Whitepapers soll dieser Reputation Service besser sein, als alle anderen Konkurrenzprodukte, was laut der Untersuchung von Opus One Anti Spam Solution Testing vom Februar 2007 zu sehen ist. Hier liegt TrendMicro bei der "Spam Catch Rate" vor allen anderen Anbietern, allerdings ist die "False Positive Rate" auch höher wie beispielsweise bei IronPort (Opus One sagt mir persönlich jetzt im Moment nichts - scheint so eine Consultingfirma in den USA zu sein).

Wenn dieser Reputation Service von TrendMicro der gleiche ist (was ich befürchte), der vor ca. einem Jahr bei einem Kunden auf einer IMSS testweise eingesetzt wurde, wundert mich dieses Ergebnis dieser Studie ein wenig, denn damals wurde dieser Test abgebrochen, da keine Verbesserung zur bisherigen Lösung sichtbar war. Dieser Reputation Service bestand im wesentlichen aus den DNSRBLs von maps.vix.com, die von TrendMicro aufgekauft wurden (und damit vom freien Markt verschwanden).

Eben eine sehr merkwürdige Mail erhalten:

Date: Thu, 21 Jun 2007 17:13:33 +0200
From: BuergerRundschreiben <bleiben@freemail.hu>
To: <ca. 200 Mailadressen>
Subject: Schreiben der Johann Huber OHG (Daten siehe tif-Anlage) an die Buergerinnen und Buerger! Uebersandt durch eine fremde e-mail-Adresse! E-mail-Empfang ist hier nicht moeglich!

Unglaublich aber wahr!

Das unzustaendige Amtsgericht D-82362 Weilheim betreibt gegen den Nicht-Eigentümer
Christian Georg
Huber (*3O.O7.1976 in D-Schrobenhausen) die "Zwangsversteigerungsverfahren" K 157/O4 - K
159/O4.
Herr Christian Georg Huber (*1976) erhielt bis heute keine einzige Unterlage! Die
"Versteigerungen" er-
fuhr er zufaellig aus dem Internet. Wochenlang war der zweite "Versteigerungstermin" im
Internet für blablabla ...

usw.usf. Das geht noch ziemlich weiter und interessiert hier einen tatsächlich nicht so richtig. Am Schluß dann noch:

Mit freundlichem Gruss
Ihre Johann Huber OHG (Daten siehe tif-Anlage)

P.S.: In letzter Zeit wird unser e-mail-Versand gestört!
Falls die Anlagen nicht direkt lesbar sind, zuerst auf Festplatte herunterladen
und dann Lesen!

Armer Herr Huber. Muß schon eine fremde Mailadresse aus Ungarn benutzen, um sich Gehör zu verschaffen. Scheint im ersten Moment alles wirres Zeugs zu sein, aber anscheinend hat Herr Huber das gleiche Problem, wie ein Teil der Bevölkerung: Das bürokratische und korrupte Deutschland und muß dies nun lauthals in dieser Form kundtun.

Aber eine echte Spammail scheint das nicht zu sein, da sich in der Mail tatsächlich viele Bilder-Anhänge mit Fax und Behördenanschreiben(?) usw. befinden, immerhin 2,3 MB. Da hat sich jemand richtig viel Mühe gegeben. Obwohl oder weil das ganze irgendwie seltsam ist, werde ich den Herrn Huber am Mailserver sperren. Weitere interessante Infos zu Herrn Huber findet man beispielsweise bei Google. Der scheint öfter mal solche merkwürdigen Aktionen zu starten.

Massiv

Seit gestern abend sind einige Mailserver massiv unter Beschuß. Es kommen tonnenweise Mails mit gefälschten paypal.de-Absender an. Allein gestern und heute 136961 Mails nur an einen Server! Die Mails wurden zwar alle abgewiesen, trotzdem leidet die die Performance etwas darunter. Weitere Massnahmen werden diskutiert.

ePost

Postfix kann manchmal anstrengend sein (aber mit sendmail wäre es vermutlich schlimmer gewesen). Aber jetzt geht alles so wie gewünscht. Bis zum nächsten Mal.

Fehlkonfiguriert?

Anscheinend ist mein postfix hier irgendwo nicht ganz sauber konfiguriert, da DSBL, SORBS und der Policy-Server mit SenderBase nur sporadisch funktionieren. Oder die Postfix- oder die SUSE-Version hat eine Macke? Das stellt natürlich meine letzte Statistik stark in Frage. Und ich hatte mich noch gewundert, warum sowenig geblockt wird ...

Spamstatistik Mai 2007

Für Mai 2007 sieht es bei mir folgendermaßen aus:

1035 erkannt Spammails ausgefiltert und 12 nicht erkannt Spammails. Wenn ich dies mit den Werten aus den Monaten vorher vergleiche, bleibt es sich eigentlich ähnlich:

Monat	getaggte Spams	nicht erkannte Spams
05/2007	1035	12
04/2007	1181	11
03/2007	1130	8
02/2007	1039	12
01/2007	917	6
12/2006	1178	9

Trotz der gestrigen Meldung, dass der "Spam-König" in den USA verhaftet wurde, kann ich noch keinen spürbaren Rückgang sehen. Auch die zusätzliche Aktivierung von SenderBase-Reputationsfilter brachte doch nicht so viel, wie ich gedacht hätte. Das kann aber auch daran liegen, dass das Perl-Script hier mit meinem lokalen Postfix (als Policy-Server) nicht so 100%ig läuft, wie ich mir das vorstelle.

Für Mai hier noch die Zahl der geblockten Mails:

Grund	Anzahl geblockte Mails
Helo command rejected	4439
User unknown	891
SORBS	19
DSBL	1
SenderBase	75

Und hier finde ich interessant, dass die RBLs so gut wie gar nicht mehr greifen, dafür umso besser die HELO-Einschränkung am Postfix. SenderBase hatte ich zwar erst Mitte des Monats aktiviert, aber mir hier wie schon geschrieben mehr erwartet.

Geografisch verteilt

Spam geografisch verteilt: Mailinator Spam Map

DKIM - DomainKeys Identified Mail

Einige Links zu DKIM nach der heise Meldung RFC gegen Spam:

• RFC4871 - das RFC zu DKIM
  
• www.dkim.org - MIPA (Mutual Internet Practices Association) Website zu DKIM
  
• domainkeys.sourceforge.net - Sourceforge-Website mit praktischen Beispielen
  
• Wikipedia-Seite zu DKIM
  
• Anleitung von IronPort zur Einrichtung von DKIM
  

Yahoo unterstützt beispielsweise DKIM und einige andere größere Firmen, wie Amazon, Dell, eBay usw.

Und seit eben ist DKIM auch bei she.de/she.net für ausgehende Mails aktiv. Was mir noch nicht ganz klar ist: Wie überprüfe ich mit der IronPort hier eingehende Mails, welche einen DKIM-Header haben? Was passiert, wenn der nicht passt? Und was passiert mit diesen Mails? Fragen über Fragen ...

Penny-Stock-Image-Spam

Die Jungs werden immer dreister. Jetzt kombinieren sie schon Bilder mit diesen nervigen Penny-Stock- Spam-Mails. Die grau hinterlegten Teile in der Mail sind tatsächlich leicht angegraute JPEG-Bilder, um OCR-Software die Erkennung zu erschweren, bzw. es auch schwierig zu machen hier einen Hash-Wert bilden zu können (das nächste Bild in der nächsten Spammail sieht dann vermutlich minimal anders aus).

Kennen lernen, das Geheimnis Siddhartha

... Und sagen können, was dir geschehen ist in der Stunde deiner. Samanas komme, bei welchen ich lange Zeit gelebt habe. Du ein Mann geworden und wählst selber deinen Weg. Durch die Dämonen bewirkt. Mein Sohn ist mir geschenkt worden. Dem Leid der Welt. Verließ er sein. Er tun kann. Ich esse kein Brot... usw.usf.

Häh? Die Umlaute waren alle verhunzt. Aber mit oder ohne Umlaute verstehe ich nur Bahnhof. Was der Autor dieser Mail uns wohl mitteilen wollte? Vielleicht interessiert es mich aber gar nicht.

Mineralöl-Spam

Pfingsten scheint die Zeit des Mineralöl-Penny-Stock Spams zu sein. Von 26.5.2007 bis heute 12 Spammails mit ähnlichem Inhalt bekommt, dass sich das Mineralbusiness schnell entwickelt, man schnell ein paar Aktien kaufen soll und dadurch andere reich und glücklich macht (letzteres stand natürlich so nicht in diesen Penny-Stock Spams). Ansonsten ca. 90 allgemeine Spammails seit dem 26.5. also ungefähr 45 pro Tag auf meiner privaten Mailadresse. Allerdings scheint die Gesamtanzahl der Spammails über die Feiertage bis jetzt nicht wesentlich gestiegen zu sein im Vergleich mit der vorigen Woche. Also alles wie gehabt. SpamAssassin hat sie alle korrekt ausgefiltert. Ich habe leider immer noch keine Übersicht zusammengestellt, was SenderBase, DSBL und SORBS schon beim SMTP-Verbindungsaufbau abgewiesen haben.

Gestern in Köln

Postfix und SenderBase

Auch wenn SenderBase und postfix hier noch nicht so richtig harmonieren (läuft als Policy Server, der manchmal geht und manchmal nicht), kann ich hier trotzdem schon mal die Tendenz erkennen, dass weniger Spammails tatsächlich durchkommen. Wenn die Spammer jetzt nicht über die Feiertage im Mai ordentlich aufdrehen, könnte das so im Bereich von ca. 50% weniger sein. Mal abwarten, wie es sich noch weiter entwickelt.

Spamstatistik April 2007

Die aktuelle Spamstatistik für den April 2007 sieht so aus:
1181 erkannte Spammails und 11 nicht erkannte Spammails. Ein Trend zum Besseren oder Schlechteren ist da noch nicht erkennbar.

SenderBase Beta

Die neue Beta-Weboberfläche von SenderBase gibt es hier. Macht einen aufgeräumteren Eindruck. Nett auch, dass Google Maps integriert wurde (wenn auch hier die üblichen Probleme der Lokalisierung von IP-Adressen oder Domains auftreten). Der SenderBase-Score (SBRS) wird zwar immer noch nicht angezeigt, aber zumindest der "Email Reputation Score" wird in poor, neutral und good klassifiziert so dass man ungefähr sehen kann, was passieren würde, wenn SenderBase eingesetzt wird, um Mails abzuweisen.

Vollstreckungsmassnahmen [2]

Auch hier bekam jemand Post von A. Becker. Der Becker muss es ja ganz schön nötig haben, nachdem ich heute in meinem Spamordner eine frische Mail mit dem Subject: Achtung: 76592 Euro gerichtlicher Streitwert. Sie werden auf ca. 2.500 Euro inkl. Anwaltskosten verklagt wenn Sie nicht zahlen gefunden habe. Gleiche Kontonummer in Koblenz. Ganz schön dreist, direkt hier den Namen und Kontonummer so anzugeben. Auf Antispam gibt es dazu auch ein längeres Posting mit entsprechenden Threat dazu. Der Herr Becker hat einige zweifelhafte Domains auf sich laufen, eine schweizer Adresse bzw. Domain ist aber tatsächlich wohnhaft in Koblenz.
--- [Nachtrag vom 16.4.2007] ---
Sollten SIE SELBST die Bestellung zu livecamflatrate.com duchgefuehrt und bislang noch nicht bezahlt haben, empfiehlt es sich fuer sie nun UMGEHEND - spaetestens bis zum 07.06.2006 - die Bezahlung zu veranlassen. Alle hierfuer benoetigten Daten finden Sie weiter unten in dieser Mail.
Ähem, 07.06.2006? Das ist schon ein wenig her. Wohl ein altes Template erwischt.

Vollstreckungsmassnahmen

Interessant, dass ich an meine eBay-Mailadresse (ja, ich habe eine spezielle Mailadresse für eBay) nun eine Spammail bekommen habe mit dem Subject ("Betreff" für Outlook-Benutzer): "Ausstehende Zahlung - Androhung von Vollstreckungsmassnahmen" wg. irgendeinem obskuren Jahreszugang. Würde mich mal interessieren, woher die diese spezielle Mailadresse haben. Die Mail kam über eine IP-Adresse aus Brasilien (cumprimentos). Interessanterweise ist auch noch eine Bankverbindung in Koblenz (mit Namen!) angegeben, an dem man das Geld überweisen soll.

SenderBase frei

Entgegen der Behauptung in meinem Leserbrief in der aktuellen iX wurde ich insofern positiv korrigiert, dass SenderBase als DNSRBL doch frei zugänglich ist. Netterweise hat Uwe Sommer mir ein Perl-Script zur Verfügung gestellt, welches SenderBase in Postfix einbindet. Leider bin ich noch nicht näher dazu gekommen mir das Script detaillierter anzuschauen.

Penny Stocks Spam

Momentan ziemlich massiv Spam für "3U TELECOM AG". Nein, ich kaufe deren Aktien nicht.

Unnütze Kursrakete

Seltsamerweise werden von der IronPort-Antispam-Lösung sog. Pennystock-Spammails in letzter Zeit gar nicht erkannt, obwohl diese vom Schema her sich doch recht ähneln. SpamAssassin ist von der Erkennung da besser unterwegs.

Spamstatistik März 2007

Und hier wieder meine subjektive Spamstatistik für diesen Monat:

1130 erkannte Spammails erfolgreich ausgefiltert. 8 Mails nicht als Spam erkannt und eine Mail irrtümlich als Spam erkannt. Und dann natürlich noch eine Unzahl geblockte Mails dank DSBL und SORBS, falscher HELO/DNS-Namen und falscher oder fehlender Reverse-DNS-Einträge.

Spamstatistik Februar 2007

Hier wiedermal die monatliche Spamstatistik:

1039 erkannte Spammails, welche korrekt als Spam erkannt wurden. 12 Mails wurden in diesem Monat nicht als Spam erkannt und es gab keine falsch erkannten Spammails. Ja, und dann kommen noch unzählige Mails dazu, welche aufgrund von RBLs und falschem HELO- oder DNS-Einträgen geblockt wurden. Die zähle ich jetzt aber nicht, das sind aber immer auch relativ viele.

Graue Listen

Oha, AOL benutzt neuerdings Greylisting.

Spamstatistik Januar 2007

In Zukunft an dieser Stelle nur noch die Statistiken aus meiner privaten Mailbox: 917 erkannte Spammails. Insgesamt hatte ich noch 6 nicht erkannte Spammails und keine falsch erkannten Spammails. Ich schätze mal, dass ca. 80-90% aller Mails die hier eintrudeln, tatsächlich Spam sind und der minimale Rest "echte" Mails. Interessant wäre auch noch die Anzahl der durch die hier aktive RBL abgewiesenen Mails hier aufzunehmen, sowie Mailzustellversuche von Hosts ohne gültigen Reverse-DNS-Eintrag oder mit falschen HELO-Namen.

Trügerische Ruhe

Seit Anfang des Jahres kommen so gut wie keine nicht-erkannte Spammails mehr hier an, wenn auch die Tendenz der eingehenden und erkannten Spammails trotzdem steigend ist. Entweder arbeiten die Filter so gut, oder ist das nur das allgemeine Spam-Hintergrundrauschen, das die Filter (SpamAssassin oder IronPort) ganz gut wegfiltern oder ist das erst die Ruhe vor dem großen Sturm?

Spamstatistik Dezember 2006

In der privaten Mülltonne: 1178 erkannte Spammails und 9 nicht erkannte Spammails (SpamAssassin sei Dank). In meinen Firmenmailboxen: 2182 erkannte Spammails in meiner direkten Mailbox und 8362 erkannte Spammails bei den Mailverteilern bei 170 nicht erkannte Spammails. Und das obwohl schon ca. 80% der eingehenden Spammails direkt abgewiesen werden:


Die Abweisung von Spammails erfolgt in diesem Fall durch den Reputationsfilter von SenderBase (ein Dienst von IronPort.

Die Mailstatistik hier wird sich wahrscheinlich in Zukunft ein wenig ändern, da erkannte Spammails an Mailverteiler nicht mehr zugestellt werden (um lokal von den Mailclients ausgefiltert zu werden), sondern erstmal in Quarantäne am Mailserver gesteckt, um sie nach 30 Tagen zu löschen.

Welle

Die von einigen Medien (und vermutlich Herstellern von Antispamprodukten) angekündigte massive Spamwelle zu Weihnachten blieb bis jetzt aus, wenn ich mir meine Antispamstatisik anschaue. Glück gehabt oder nur Markschreierei?

Spamstatistik für November 2006

So, nachdem die Antispamsysteme wieder alle im Gleichtakt laufen, hier die aktuelle Statistik für November 2006: 

In meiner Firmen-Inbox	2264 Spammails
Mailverteiler-Inbox	9636 Spammails
Insgesamt	19272 Spammails
Nicht erkannte Spammails	236 Mails
In meiner privaten Mailbox	1295 Spammails
Nicht erkannte Spammails	23 Mails
Falsch erkannte Spammails	1 Mail

Schon wieder einer

Heute schon wieder einen "netten" Trojaner fangen können, der vom Virenscanner nicht erkannt wurde (Rechnung.exe), der auf interessante Webseiten führt und mit unkenntlich gemachten Javascript-Code versucht zusätzliche Schadsoftware zu installieren (armes Windows, armer IE). Und wenn man mit dem Firefox auf die Webseite geht, dann soll man sich gefälligst die Hilfedatei "help.zip" herunterladen, da die Webseite nur mit dem IE funktioniert. Soso, netter Versuch ;-)

Phisher, Pharmer und Jäger

Von Phishern und Jägern - "Phishing" ist zum Massendelikt geworden, doch die Polizei schläft nicht ... Interessanter Artikel zum Thema von Telepolis.

Josef der Phisher Neubauer

Ist ja schon nett, was sich die Phisher alles einfallen lassen. Nun sind sie schon besorgt um unsere Online-Sicherheit. Ein ganzer Stab von Mitarbeitern, die den ganzen Tag bei deren Systeme die Online-Aktivitäten überwachen (die haben bestimmt schon alle ganz dicke Brillen auf), hat festgestellt, dass ein anderer Böser von der IP 213.7.18.217 versucht hat auf mein Konto zuzugreifen. Und die 213.7.18.217 würde nicht meiner aktuellen IP entsprechen. Ja da schau her, woher wissen die den meine aktuelle IP-Adresse morgens um 4h18? Wenn die "Hochtechnologien" einsetzen, dann wundert mich das nicht. Und jetzt muss ich auch noch meinen Online-Zugang bestätigen bis zum 14.11.2006, sonst wird er gesperrt. Erschreckend ist eher daran, dass deren Deutsch langsam besser wird, wenn es auch noch nicht seriös genug klingt, um das ganze ernst genug zu nehmen.

Hier die Mail im Original (ohne HTML):
Date: Sat, 11 Nov 2006 04:18:56 -0200
From: Sicherheitsabteilung von Volksbank
To: hostmaster@here
Subject: Dringende Mitteilung von Volksbank

Sehr geehrte Kundin,
Sehr geehrter Kunde

Wir sind beauftragt, die maximale Sicherheit Ihrer Personaldaten mit den Hochtechnologien zu gewährleisten.
Wir haben einen ganzen Stab von Mitarbeitern, die Monitoring der online-Aktivität durchführen und verdächtige Aktionen vorbeugen.
Wir tun alles mögliche, um unsere online-Kunden zu schützen, aber Schritte, die wir unternehmen, kön nen weitaus besser und effektiver sein, wenn Sie mit uns zusammenarbeiten werden, um sich selbst zu schützen.
Am 10 November 2006 brachte unser Sicherheitssystem den erfolglosen Versuch des Online Zugangs zu Ihrem Konto ans Licht von der IP-Adresse 213.7.18.217, was Ihrer aktuellen IP-Adresse nicht entspricht.
Bitte klicken Sie hier um online-Zugang zu bestätigen.
Falls Sie Ihren online-Zugang bis 14.11.2006 nicht bestätigen, wird Ihr Konto aus Sicherheitsgründen blockiert und wir senden Ihnen auf dem Postweg den Aktivierungskode, den Sie brauchen, um den online-Zugang zu Ihrem Konto zu erneuern.
Falls Sie Ihren online-Zugang nicht bestätigen, wird der Aktivierungskode im Laufe einer Woche gesandt. Bitte klicken Sie hier um online-Zugang zu bestätigen.
Falls Sie Ihren online-Zugang bis 14.11.2006 nicht bestätigen, wird Ihr Konto aus
Sicherheitsgründen blockiert und wir senden Ihnen auf dem Postweg den Aktivierungskode, den Sie brauchen, um den online-Zugang zu Ihrem Konto zu erneuern.
Falls Sie Ihren online-Zugang nicht bestätigen, wird der Aktivierungskode im Laufe einer Woche gesandt.

Mit freundlichen Grüssen

Josef Neubauer
Sicherheitsabteilung

Und netterweise führt der Klick auf "hier" zu http://www.rhondadethlefs.com/TWljaFlbCBTb3V0aHdhcmQ7NjAgRGVubWFyayBSY, der Website der bodygebildeten Dame Rhonda Dethlefs und da wird einem gleich ein WMF-Exploit untergejubelt (xpl.wmf), den Kaspersky als Trojan-Downloader.JS.Agent.bi erkennt. Leider gibt es dazu keine nähere Information, nur dass es eine verdeckte Schadroutine enthält. Vermutlich wurde Rhondas Site gehackt und der Trojaner dort plaziert. Passt bloss auf Jungs, dass Euch die Rhonda nicht erwischt. So wie die aussieht, zieht die euch die Ohren und andere Extremitäten lang! Und danke, liebe Sicherheitsabteilung, ihr wusstet bestimmt, dass ich solche Sachen sammle :-)

213.7.18.217 ist eine zypriotische IP-Adresse, allerdings nicht erreichbar, wurde vermutlich zufällig ausgewählt. Die Mail kam von der IP 59.11.192.131, wahrscheinlich ein trojanisierter PC in Südkorea.

Phishing-Statistiken

Interessant:
Erste Phishing-Statistiken
von PhishTank.

Millionen Spam-Mails überschwemmen das Web

... stand vorhin im Videotext von SAT1. Wer's glaubt ... Viel Ahnung haben jedenfalls die Schreiber wohl nicht. Wäre ja schlimm, wenn mein Web-Browser mit Millionen von Spam-Mails überschwemmt wird.

Spam kommt schon wieder

Ach nee, wer hätte das vermutet: Spam ist wieder im Kommen, schreibt heise online, laut MessageLabs. Irgendwie kann ich da nur noch lakonisch mit einem müden Schulterzucken reagieren.

Botnetze und Spam

So so, The Register meint, dass Botnetze hinter der letzten Spamwelle stehen: Bot nets likely behind jump in spam. Nein, da wäre ich nie draufgekommen ;-)

Mail von Wikipedia

Eben eine seltsame Mail von Wikipedia bekommen:

From: Wikipedia <Dorothy@sbcglobal.net>
To: <mailaddress@here>
Subject: Wikipedia - Alarm. Neue Variante des W32.Blasters im Umlauf. Wurm-Fix zum Download

Wikipedia schlägt Alarm. Neue Variante des W32.Blasters im Umlauf. Wurm-Fix zum Download. W32.Blaster (auch: W32.Lovsan und MSBlast) ist ein Computerwurm, der sich durch Ausnutzung
... usw. usf. (Rest gekürzt)

Die Mail scheint mir recht stümperhaft zusammengebaut zu sein. Es existieren zwar Links zu dem angeblichen Wikipedia-Artikel, die Seite gibt es dort aber nicht. Der Inhalt der Mail entspricht im wesentlichen dem Wikipedia-Artikel zu W32.Blaster. Allerdings fehlt im HTML-Code der (versteckte) Link zum Download, von daher macht die ganze Mail nicht viel Sinn ausser, dass da vielleicht jemand am Üben ist, um uns zu verleiten Schadcode herunterzuladen.

---

[Nachtrag]
Eben berichtet auch heise online darüber: Virenautoren nutzen Wikipedia zur Verbreitung von Schädlingen

Spamstatistik, grafisch

Spamstatistik, diesmal in grafischer Form.

Image Spam

Da mittlererweile viele Spam-Mails mit Texten im Grafikformat verbreitet werden, haben die meisten kommerziellen Hersteller von Anti-Spam-Produkten darauf reagiert, indem sie OCR-Mechanismen zusätzlich zur weiteren Spamerkennung einsetzen. Leider konnte ich da bei den Open-Source-Tools in diesem Bereich noch nicht viel brauchbares finden. Aber bei SA Rules Emporium konnte ich ein interessantes Plugin für SpamAssassin entdecken, das zwar keine Bilderkennung in Form von OCR vornimmt, aber immerhin eine Bewertung ermöglicht, wenn sich Inline-Grafiken in einer Mail befinden. Die Bewertung funktioniert auch anhand der Grösse von Bildern, was auch Sinn macht- Eben selbst hier getestet und es funktioniert prima. Das Plugin ist auf jeden Fall empfehlenswert für Mailserver mit SpamAssassin.

Freunde aus Afrika

Nachdem sich mein Freund aus Nigeria lange nicht mehr gemeldet hat, kam heute stattdessen eine Mail aus Ghana (und das gleich zweimal). David Kufuor (Mail-Adresse ist bekannt) verspricht $930,000.00 (Nine Hundred and thirty thousand US Dollars). Eigentlich kann er das Geld gleich auf mein Konto bei der Commonwealth Bank of Australia überweisen. Mehr muss er wirklich nicht machen.

Aus der Spam-Tonne

Beim Wühlen in der stinkigen Spam-Tonne, fiel mir auf, dass ich wohl ein Konto in Australien haben muss, anders kann ich mir diese Mail nicht erklären:

---

Date: Thu, 31 Aug 2006 22:38:57 +0200
From: Commonwealth Bank management team <no-reply@commonwealth.com.au>
To: tk@hillsol.com.au
Subject: Commonwealth Bank of Australia warning message.

Dear customer

Due to concerns, for the safety and integrity of the Commonwealth Bank of
Australia account we have issued this warning message.

It has come to our attention that your Commonwealth Bank account information
needs to be updated as part of our continuing commitment to protect your
account and to reduce the instance of fraud on our website. If you could
please take 5-10 minutes out of your online experience and update your
personal records you will not run into any further problems with the online
banking service.

However, failure to update your records will result in account suspention.
Please update your record on or before 4th of September 2006.

Once you have updated your account records Commonwealth Bank account service
will not be interrupted and will continue as normal.

To update your Commonwealth Bank of Australia records please follow the link
below:

http://www.Fake-Link-zu-boeser-Abzocker-Site.com.au

Thank you.
Commonwealth Bank of Australia management team.

Commonwealth Bank email ID-909DFDS

---

Leutz, schickt mir einfach die Kohle, anstatt blöde Mails zu schicken!

PS: Mein Freund aus Nigeria mit den vielen US-Dollars hat mir schon lange nicht mehr geschrieben.

Einsam

CA bietet in einer Mailingaktion das Produkt CA Anti-Spam for Business an, welches 100% Spamfreiheit verspricht. Aber wie wir alle wissen: Traue nie dem Werbefernsehen und schon gar nicht einem Vertriebsmenschen (und schon gar nicht Mailingaktionen, die normalerweise schon per se als Spam aussortiert werden sollten). Zudem funktioniert die CA-Lösung nur in der berüchtigten Outlook/Exchange-Umgebung, ab und an muss man doch noch in die Quarantäne schauen, ob sich dort eine Mail eines länger vermissten Bekannten befindet, so dass ich dieses Produkt nicht ganz für ernst nehmen kann.

Teuer

11,7 Millionen Dollar Schadenersatz verlangt ein amerikanisches Unternehmen von einem britischen Anti-Spam-Projekt. Ja spinnen die denn? Oder sollen wir nicht doch gleich E-Mails abschaffen? Käme vermutlich billiger.

Spamstatistik Juni 2006

Wieder mal verspätet die Spamstatistik von Juni 2006: 624 Spammails in meiner privaten Mailbox und keine false positives. 6076 Spammails in meiner Firmenmailbox, wobei hier 1065 direkt an mich gerichtet waren und 5011 Spammails mich via Mailverteiler erreichten.

Schwierig wird die Spamfilterung auch dadurch, dass seit einiger Zeit ein Mailverteiler offensichtlich auf einer Spamliste gelandet ist (vermutlich durch einen trojanisierten PC mit dieser Mailadresse in seinem unsäglichen Outlook-Adressbuch) und nun Spammails mit diesem Absender verschickt werden. Dies hat zur Folge, dass sich Mailzustellungsfehlermeldungen häufen, mit der Nachricht, dass Mails über die Verfügbarkeit von meist russischen jungen Frauen und dass diese alle auf uns warten, nicht zugestellt werden konnten. Als ob das jemand interessiert. Streng genommen sind dies keine Spammails, sondern Statusmeldungen der betroffenen Mailserver, aber nervig ist dies trotzdem. Es gab auch einige wenige false positive Meldungen mit Meldungen von Spam-RBL oder auch Spamcop, die irrtümlich als Spammails deklariert wurden.