Autor: Christian Eichert (moga_at_timisoara.net)
Datum: 18. Aug 2004
----------8<---------------------------------------
> In letzter Zeit bekomme ich ab und an SPAM-Emails, die durch den SPAM-Filter
> von GMX "durchgeschl?pft" sind, die witzigerweise leer sind, d.h. keinerlei
> erkennbaren Text,HTML oder Bild enthalten (Das es sich um SPAM handelt sieht
> man an den zumeist seltsamen Absendern.
ich habe da mal eine Regel gefungden fuer den Spamassassin die solche
Mails als Spam bewertet. Es macht auch Sinn: wenn Du von jemandem echt
mal eine leere Mail bekommst dann ist auch nicht viel verloren gegangen
:)
> Das Nachfolgende Beispiel ist diesbez?gl. leider nicht sehr gut).
> Da die Mails leer sind, kann ich auch nicht (wenn ich den wollte ;-))
> zum Kauf von irgendwelchem Unsinn verleitet werden.
Es gibt da noch drei wichtige "unsinnige" arten von Spam:
a) Weisheiten Sprüche usw .. Witze
b) wirrer text zB. dsfufnbd dfjdf dskjdf dfkdffd
c) Zitate aus anderen mails weiterleitungen
alle drei sind eigentlich keine mails sondern aktive trojaner die telnet
an den mailserver von web.de machen. (eine mail ist nix anderes als ein
telnet auf den smtp port). Da web.de mails von dynamischen IP's
akzeptiert, akzeptiert er also auch die telnets von dynamischen IP's.
Da die infizierten Computer gültige IP's haben, in keiner rdbl liste
geschwaerzt funzt die ganze sache.
Sorte a) sorgt dafür dass der spamassassin verwir wird. Falsch
eingestellte Spam Filter die nach Heuristischen Methoden funktionieren
so wie der in Mozilla werden den Spammer sogar in die whitelist
eintragen. da der Text harmlos ist.
Sorte b) soll eine fremde Sprache simulieren ... und damit der
kontrolle entwischen
Sorte c) soll die mail in die whitelist bringen durch "verwanter" text.
> Beim Suchen nach dem Sinn, kam mir die Vermutung, das diese Mail
> dem Zweck dienen k?nne, zu pr?fen, ob eine Email-Adresse funktioniert
> (denn diese Mails kommen ja durch) um dann den eigentlichen SPAM
> folgen zu lassen.
Richtig.
Die leere Mail ist ja 100% kein Spam.
Die Spam wird von einem trojaner versendet, und da die vom trojaner
gefakete mail in ihren header den smtp server des spammers hat bekommt
der spammer mit welche mail tut und welche nid, da web.de es ihm sagen
wird.
> Gibt es also eine "sinnvolle" Anwenung von solchen Testmails aus Sicht
> der SPAMmer und wenn ja, was tun?
>
> === Schnippp ====
> Return-Path: <xsobc_at_sohu.net>
:))
da meldet web.de hin welche mail existiert und welche nid.
> X-Flags: 0000
> Delivered-To: GMX delivery to stephan.gromer_at_gmx.de
> Received: (qmail 14294 invoked by uid 65534); 17 Aug 2004 09:38:47 -0000
> Received: from ool-4354accf.dyn.optonline.net (HELO ool-4354accf.dyn.optonline.net) (67.84.172.207)
und das hier ist die IP des infizierten.
mfg
Chr.Eichert
Dieses Archiv wurde generiert von hypermail 2.1.7 : 18. Aug 2004 CEST