Spamcop für Dummies
heise.de: Die meisten Provider ignorieren Spam-Hinweise - shermanns blog
Sherman macht sich in seinem Blog Gedanken um das Beschwerdemanagement im Falle Spam.
Leider bezieht er sich dabei einzig und allein auf das IT-Sicherheits-Team, was dem unbedarften Privatanwender meist nicht zur Verfügung steht.
Was macht denn nun der 0815 zugespammte User mit seinen Beschwerden?
Statt den Header auseinander zu nehmen, sich durch das technische Gewirr zu wühlen,
welches dem Standarduser meist völlig unverständlich ist, kann man sich beispielsweise bei Spamcop registrieren und seine Spammails in einem Rutsch an diese weiterleiten.
Das kostet nix und geht schnell.
Zum Ablauf:
Man registriert sich und bekommt eine Emailadresse , welche ähnlich dieser aussieht:
submit.j80z4XxxYmuyxxBbU8@spam.spamcop.net
Diese Adresse kann man dann beispielsweise in sein Adressbuch aufnehmen.
Trifft nun Spam im heimischen Emailprogramm ein, markiert man diese Mails ->rechte Maustaste-> weiterleiten.
(Bitte darauf achten, das diese als Anhang weitergeleitet werden)
Als Weiterleitungsadresse gibt man dann, ...na?...richtig, die Spamcopadresse ein. (submit.j80z4XxxYmuyxxBbU8@spam.spamcop.net)
-->Senden
Das war's. 
Was macht Spamcop nun damit? (kurz und knapp)
Es wird die Email untersuchen (parsen), versuchen, herauszubekommen, an wen die Beschwerde gerichtet werden muss und nimmt dann den Spammer in eine Blacklist auf.
Diese Blacklisten werden zum Beispiel von Antispamprogrammen genutzt.
Sehen wir uns mal so eine geparste Email an:
Der Originalheader:
X-Envelope-From:
X-Envelope-To:
X-Delivery-Time: 1106235055
Received: from yahoobb219024132185.bbtec.net (YahooBB219024132185.bbtec.net [219.24.132.185]) by mailin.webmailer.de (8.13.1/8.13.1) with SMTP id j0KFUoMq015664 for; Thu, 20 Jan 2005 16:30:53 +0100 (MET)
Message-Id: <2005___________________5664@mailin.webmailer.de>
Antwort an: Best Russell
Von: Johnathan Raines
An: x
Betreff: Try Valium
Datum: Thu, 20 Jan 2005 10:29:31 -0500
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="--04-41751-3807-195-03151"
X-Text-Classification: spam
(Hier hat mein Spamfilter die Mail schon als Spam erkannt und gekennzeichnet)
X-Evolution-Source: pop://post.XXX.de%3awebmaster%40XXX.de@127.0.0.1/
(Emailadresse hab ich geändert)
Stop paying high prices for the meds you need.
Buy direct from overseas and put some money back in your pocket!
Nun macht sich Spamcop auf die Suche nach Informationen:
Parsing header:
Received: from yahoobb219024132185.bbtec.net (YahooBB219024132185.bbtec.net [219.24.132.185]) by mailin.webmailer.de (8.13.1/8.13.1) with SMTP id j0KFUoMq015664 for
; Thu, 20 Jan 2005 16:30:53 +0100 (MET)
219.24.132.185 found
host 219.24.132.185 = YahooBB219024132185.bbtec.net (cached)
YahooBB219024132185.bbtec.net is 219.24.132.185
Possible spammer: 219.24.132.185 < --IP wird erkannt
219.24.132.185 is not an MX for YahooBB219024132185.bbtec.net
host YahooBB219024132185.bbtec.net (checking ip) = 219.24.132.185
Received line accepted
IP haben wir nun...Und weiter?
Spamcop wird nun die Beschwerdeadressen für diese IP rausfinden:
24.132.185:
Routing details for 219.24.132.185
[refresh/show] Cached whois for 219.24.132.185 : abuse@bbtec.net
Using abuse net on abuse@bbtec.net
abuse net bbtec.net = abuse@bbtec.net, postmaster@bbtec.net
Using best contacts abuse@bbtec.net postmaster@bbtec.net < - Beschwerdeadressen
Yum, this spam is fresh!
Message is 0 hours old
219.24.132.185 listed in dnsbl.njabl.org ( 127.0.0.9 )
219.24.132.185 listed in dnsbl.njabl.org ( 127.0.0.9 )
219.24.132.185 is an open proxy
219.24.132.185 not listed in query.bondedsender.org
219.24.132.185 not listed in iadb.isipp.com < ---Hier wird geschaut, ob die Spam-IP schon in sogenannten Blacklisten geführt wird . In diesem Fall wird sie das.
data found in body, aborting link detection
In diesem Fall versuchte Spamcop, Linkadressen, für die geworben werden soll, zu extrahieren.
Ein Antispamprogramm kann dann bei Spamcop nachfragen:
"Du, ich hab hier eine Email mit Link auf www.ichspammeweilicheindummerspammerbin.com.
Ist das Spam?"
Spamcop sagt dann dem Antispamprogramm:
"Heute haben 20000 User genau die selbe Email bekommen, mit genau demselben Link...es wird wohl Spam sein, sortier es aus."
Dein Antispamprogramm wird dann die Email nach deinen Regeln als Spam behandeln. In den meisten Fällen wird sie in den Mülleimer verschoben. Aber das kannst du ja alles selbst einstellen.
Da im Eifer des Gefechtes auch mal ein Fehler passieren kann und man dadurch unter Umständen auch Unschuldige treffen kann, fragt Spamcop zum Schluss:
Please make sure this email IS spam:
From: ()
What do you have to lose? Saving some money?
http://www.eavv.net/rx/tangy
View full message
Wir kontrollieren also nochmal, ob es wirklich Spam war.
->Bestätigen.
(Man bekommt nach der Weiterleitung noch einen Bestätigungslink, in welchem man das tun kann.)
Wenn alles fertig ist, fast Spamcop nun zusammen, was es tun wird:
Report Spam to:
Re: 219.24.132.185 (Administrator of network where email originates)
To: postmaster@bbtec.net (Notes)
To: abuse@bbtec.net (Notes)
An diese 3 Emailadressen wird es also die Beschwerde richten.
Das war es dann auch schon. 
Klingt nach viel Arbeit im ersten Augenblick, deshalb nochmal kurze Zusammenfassung:
Spammail markieren->weiterleiten an Spamcop->Bestätigungslink klicken.
Wer Interesse an den Statistiken hat: Die sind hier zu finden.
[Update] Habe beim Aufräumen gerade eben noch diese Liste gefunden. Hier werden Reaktionen auf Beschwerden bewertet.
Gespeichert unter:
Merken!, SpamSchon gelesen?
No related posts.
shermann 
Missi