Das traurige an der Sache ist, das es Ihnen nach dem Gesetz der großen Zahl dies mehr oder weniger immer gelingen wird.

Es tragen aber auch noch andere wesentlich zum "Erfolg" dieser kriminellen Banden bei: 1) Große Mailprovider prüfen nur ungenügend auf schädlichen Inhalt. 2) Domaineigentümer und deren Netzverantwortliche nutzen nur ungenügend die zur Verfügung stehenden Mittel (z.B. SPF)

ad 1) Die große Zahl von Benutzern , die solche Mails erhalten, sind
entweder mit Ihrer Domain bei einen Massenhoster, oder haben einen
Mailaccount bei einem der großen Mailhoster (gmx, web.de,t-online.de
tiscali, aol, yahoo, gmail usw…)
Und genau dies riesige Schar von Nutzern bekommt solche Mail, man kann
sich leicht ausmalen wie oft der Schadinhalt ausgeführt wird.
Solche Mails dürften nie und nimmer in der Inbox eines Nutzers
auftauchen, ja noch nichtmal in einem Verdacht- oder Unbekannt-Order.
Kleine Provider haben diese Problematik schon längst im Griff, alleine
die großen stehlen sich hier aus der Verantwortung.

ad 2) Es kostet den Domaineigentümer absolut nichts endlich
einen gültigen SPF Record in seiner DNS Definition abzulegen, damit
verantwortungsbewußte Mailprovider diese "Prüfvorschrift" auch
durchführen können.
Was ist nun passiert? Leider muss ich ziemlich
technisch werden, das Thema ist nicht wirklich trivial, sonder hoch
komplex. Der geneigte Leser mag es mir verzeichen wenn es hier von
"böhmischen Dörfern" nur so wimmelt.

Unser Bundeskriminalamt hat zwar einen TXT-Record im DNS, aber der ist
pure Webung für seinen Provider.

;; ANSWER SECTION:
bka.de. 11710 IN TXT "Created by update.named 3.6a – NetUSE AG"

und die eigenliche Mail-Domain des BKA ist eigenlich "@bka.bund.de", und auch diese Domain hat keinen SPF-RECORD

;; QUESTION SECTION:
;bka.bund.de. IN TXT

und auch die bund.de Domain hat keinerlei Vorsorge getroffen:

;; QUESTION SECTION:
;bund.de. IN TXT

Die Ironie an der ganzen Geschichte ist ja, das das BKA nicht mit Absenderadressen "vorname.name@bka.de" sondern mit "vorname.nachname@bka.bund.de" mit der Welt kommuniziert.
Unter den Adressen "…@bka.de" akzeptiert das BKA ja nur E-Mails, geantwortet wird immer mit einer "…@bka.bund.de" Adresse.

Auf diesen Hintergrund basiert dieser Vorschlag von SPF Definitionen, die natürlich nicht vollständig sein können.

bka.de. 7200 IN TXT "This domain sends no email"
bka.de. 7200 IN TXT "Null SPF is for tracking purposes only"
bka.de. 7200 IN TXT "All mail claiming to be from @bka.de is forged"
bka.de. 7200 IN TXT "v=spf1 +exists:CL.%{i}.FR.%{s}.HE.%{h}.null.spf.bka.de -all"

und:

bka.bund.de. 7200 IN TXT "v=spf1 a mx include:provider.de -all"

Mit derartigen SPF Einträgen für den BUND und das BKA und weiterer Behörden könnte jeder Mailserver dieser Welt sofort sagen "325986-abteilung@bka.de kann gar nicht authetisch sein", da ja die Domain bka.de sagt "wir senden
keinen Mails mit dieser Domain" und PUNKT! Würden dann auch noch alle großen Mailprovider eine SPF Eingangsprüfung
machen, wäre die Mehrzahl der E-Mail Nutzer von dieser Art von
Belästigungen und Schadinhalten verschont geblieben.

So einfach kann die Welt sein, aber die Verantwortlichen schlafen, und
machen immer kompliziertere Gesetze (TKG) zur
Überwachung und Regelung des Zusammenlebens in unserer Republik, aber
dies hier ist ein globales Problem, und ein Spammer oder Krimineller
aus dem "Ausland" schert sich um nichts.
Würde sich endlich mal jemand Verantwortlich zeigen müßte das BKA nicht
diese Pressemitteilung
herausgeben und alle Rundfunksender vor diesen Mails warnen. Sie würden
so und in solchen Mengen erst gar nicht bei unschuldigen E-Mail Nutzern
"aufschlagen".

Dies ist ein öffentlicher Aufruf an den Bundesdatenschutzbeauftragten endlich zu handeln und dieses Thema energisch innerhalb kurzer Zeit zu verfolgen und Maßnahmen zu ergreifen.

Pressemeldungen wie z.B. in heise online:
Weitere Details zum Trojaner in gefälschten BKA-Mails [Update]
oder im spiegel online etwas zu leichtfertig von der satirischen Seite… Vorsicht vor falschen E-Mails! oder in der sueddeutsche.de Der "Bundestrojaner" ist da und pc-welt Neue BKA-Mails und vorgebliche Rechnungen
zu diesem Thema beleuchten leider den dahinter stehenden technischen Aspekt nicht oder nur ungenügend.

Insbesondere die Aussage laut sueddeutsche.de von Jürgen Stock:

Das Problem: Jürgen Stock, Vizepräsident des BKA, ist
keineswegs der Absender. Statt dessen kommt die Mail von Unbekannten,
die damit Daten auf den Computern der Empfänger stehlen wollen

ist völlig am Thema vorbei. Es ist die Absenderadresse die hier ein Problem macht. natürlich ist der Urheber unerkannt und
anonym (noch). Die Verantwortung seinen eigenen Namen möglichst
effizient zu schützen liegt beim Eigentümer, und das ist das BKA bzw.
der BUND.

Gerhard W. Recher

Wie man in einem Zustellungsbericht entnehmen kann, haben einige Stellen beim BUND Probleme mit dieser Technologie:
DeliveryFailureReport_bsifb.pdf

Return-Path: <325986-abteilung@bka.de>X-Original-To: trap@funny.clean-mx.comDelivered-To: trap@funny.clean-mx.comReceived: from relayn.netpilot.net (nocn.netpilot.net [62.67.240.20])	by ksrv8.netpilot.net (Postfix) with ESMTP id E73DE252D443	for
; Fri,  2 Feb 2007 11:47:37 +0100 (CET)Received: from localhost (unknown [127.0.0.1])	by localhost (Postfix) with ESMTP id 8CA68EAC23F	for
; Fri,  2 Feb 2007 10:43:26 +0000 (UTC)Received: from relay.netpilot.net ([62.67.240.16]) by localhost (newtunix [62.67.240.20]) (clean-mx, port 10024) with ESMTP id 14441-07 for
; Fri,  2 Feb 2007 11:43:26 +0100 (CET)Received: from [62.118.181.2] (unknown [62.118.181.2])	by relay.netpilot.net (Postfix) with ESMTP id B504118D5A	for ; Fri,  2 Feb 2007 11:42:57 +0100 (CET)Received: from Lena (Lena [192.168.114.17])	by Lena (8.12.8p1/8.12.8) with ESMTP id i6E78AF87CBA68	for ; Fri, 2 Feb 2007 16:40:23 +0300	(envelope-from 325986-abteilung@bka.de)Date: Fri, 2 Feb 2007 16:40:23 +0300From: "BKA Abteilung 19855" <325986-abteilung@bka.de>Reply-To: "BKA Abteilung 19855" <325986-abteilung@bka.de>X-Priority: 3 (Normal)Message-ID: <00403587.20070202134023@bka.de>To: webmaster@victimdomain.tldSubject: Ermittlungsverfahren Nr. 181854MIME-Version: 1.0Content-Type: multipart/mixed; boundary="----------36F123F0C37818E"

------------36F123F0C37818EContent-Type: text/html; charset=ISO-8859-1Content-Transfer-Encoding: 7bit

Sehr geehrte Damen und Herren,

das Herunterladen von Filmen, Software und MP3s ist illegal und wird mit bis zu 5 Jahren Freiheitsentzug bestraft.
Wir möchten Sie darauf hinweisen, dass Ihr Rechner unter der IP 217.71.103.40 erfasst wurde.
Ihre Daten wurden uns von Ihrem Provider zu Verfügung gestellt und eine Strafanzeige wurde erlassen.
In dem angeführten Anhang finden Sie die Strafanzeige mit dem  Aktenzeichen Nr.:#  130067

Drucken Sie diese bitte aus und faxen Sie diese mit einer Stellungname an uns zu.
Eine Kopie der Strafanzeige wird Ihnen in den nächsten Tagen schriftlich zugestellt.


Hochachtungsvoll
i.A. Jürgen Stock

Bundeskriminalamt BKA
Referat LS 2
65173 Wiesbaden
Tel.: +49 (0)611 - 55 - 12331
Fax.: +49 (0)611 - 55 - 0
------------36F123F0C37818E
Content-Type: application/x-msdownload; name="Akte58583.zip"
Content-transfer-encoding: base64
Content-Disposition: attachment; filename="Akte58583.zip"

.... 

------------36F123F0C37818E

Im diesem Fall berücksichtigt der Service noch nicht einmal eine SPF Definition eines armen Opfers.

Was ist passiert? Ganz einfach. Der Service bekommt eine Spammail die angeblich von einen Absender stammt, der aber definitiv dem Rest der Welt per DNS Eintrag erklärt hat, dass er NICHT von einem DSL Anschluß (adsl196-204-228-206-196.adsl196-8.iam.net.ma) seine Post versendet.

So eine Definition sieht in diesem Fall so aus:

victimdomain.tld. 86400 IN TXT "v=spf1 a mx include:netpilot.net -all"

und weder der A-Record noch alle MX-Records und schon gar nicht das was netpilot definiert ist annähernd im Netzblock des Spammers.

Was aber macht der Service?

Er nimmt die Mail an, erkennt das sein Filterkunde keinen User mit dem alias "dooley" hat, erlärt auch noch das der Inhalt kein Spam ist (X-StarScan-Version: 5.5.10.7; banners=-,-,filterkundendomain.tld) und befördert den gesamten Inhalt per Bounce an das unschuldige Opfer.

Eigentlich liegt ja hier eine Fehleistung 3.0 vor, aber ich will an der Stelle nicht kleinlich sein.
Und diese Fehlleistungen sind an der Tagesordnung, aber CLEAN MX putzt auch diese "spoof-replys" oder "Backscatter" Mails zuverlässig raus.

Überzeugen Sie sich selbst von der Leistungsfähigkeit von CLEAN MX fordern Sie einen Testbetrieb für Ihre Domain an

]]> http://blog.clean-mx.com/archives/7-fehleistungen-20-oder-regeln-sind-nicht-zum-spass-aufgestellt-worden.html/feed 0 http://blog.clean-mx.com/archives/6-fehlleistungen-20-oder-was-machen-andere-filtersysteme.html http://blog.clean-mx.com/archives/6-fehlleistungen-20-oder-was-machen-andere-filtersysteme.html#comments Tue, 30 Jan 2007 23:43:02 +0000 Gerhard W. Recher http://news.clean-mx.com/?p=7 Es ist schon erstaunlich was andere managed Spam Solutions so durch Ihre Filter lassen.

In diesem Fall nimmt z.B. Messagelabs von einem DSL-Spammer die Fracht ohne mit der Wimper zu zucken auf, und dann kommt es dicke: die Spam-mail wandert durch den "tower" und wird nicht als Spam erkannt und an des unschuldige Opfer ausgeliefert.

Auch hier wurde eine CLEAN MX Kunde wieder mal erfolgreich von solchen unsinnigen Müll geschützt.

Überzeugen Sie sich selbst von der Leistungsfähigkeit von CLEAN MX fordern Sie einen Testbetrieb für Ihre Domain an

Received: from relayx.netpilot.net ([62.67.240.18])
 by localhost (newtunix [62.67.240.20]) (clean-mx, port 10024) with ESMTP
 id 06830-04 for ; Sat, 20 Jan 2007 21:27:04 +0100 (CET)
Received: from mail94.messagelabs.com (mail94.messagelabs.com [216.82.240.115])
	by relayx.netpilot.net (Postfix on SuSE Linux 7.3 (i386)) with SMTP id 411753421E
	for ; Sat, 20 Jan 2007 21:26:35 +0100 (CET)
X-VirusChecked: Checked
X-Env-Sender: bqrsuphp@bulldog-design.de
X-Msg-Ref: server-5.tower-94.messagelabs.com!1169324787!55687593!15
X-StarScan-Version: 5.5.10.7; banners=.,-,-
X-Originating-IP: [68.213.48.78]
Received: (qmail 31398 invoked from network); 20 Jan 2007 20:26:33 -0000
Received: from adsl-068-213-048-078.sip.ard.bellsouth.net (HELO costacarolina.com)
(68.213.48.78)
  by server-5.tower-94.messagelabs.com with SMTP; 20 Jan 2007 20:26:33 -0000
Received: from hinet.net ([192.168.1.3]) by costacarolina.com with Microsoft
SMTPSVC(6.0.3790.1830);
	 Sat, 20 Jan 2007 15:26:31 -0500
Message-ID: <0f1d01c73cd1$3ffbda90$ef8b722a@yzcv>
From: "Kommit Stephen" 
To: "Prisca" ,
	
Subject: Von Gabi kommt dieser Tipp
Date: Sat, 20 Jan 2007 12:58:27 -0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0F1A_01C73C8E.31D89A90"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-OriginalArrivalTime: 20 Jan 2007 20:26:31.0743 (UTC) FILETIME=[45A214F0:01C73CD1]
X-Virus-Scanned: by netpilot GmbH at clean-mx.de
X-Spam-Status: Yes, hits=28.6 tagged_above=-999.0 required=6.1
 tests=HTML_MESSAGE, RAZOR2_CF_RANGE_51_100, RAZOR2_CF_RANGE_E8_51_100,
 RAZOR2_CHECK, URIBL_JP_SURBL, URIBL_NETPILOT, URIBL_OB_SURBL, URIBL_SC_SURBL,
 URIBL_WS_SURBL
X-Spam-Level: ****************************
X-Spam-Flag: YES

This is a multi-part message in MIME format.

------=_NextPart_000_0F1A_01C73C8E.31D89A90
Content-Type: text/plain;
    charset="iso-8859-1"
Content-Transfer-Encoding: 8bit

Guten Morgen Prisca,
Von Gabi kommt dieser Tipp

564314    R|O|L|E|X        158765
406608  B|R|E|I|T|L|I|N|G  623874
212420    O|M|E|G|A        284688
633266  P|A|T|E|K          612267
500436     C|A|R|T|I|E|R   807827

Über 942 Modelle zur Auswahl, Preise ab 149.- EURO

http://jvzwr.texastarget.com

Steinleitner das Viktoria gerne ablösbar Prisca Andensteisshuhn möchte,
kaufen beschuldigt Benzinpumpe rein mehr Bürogeräte
Prisca wo er/sie schläft stehen Anrufwiederholung Auftauchen
Bürogeräte wie Fettsucht.

______________________________________________________________________
This email has been scanned by the MessageLabs Email Security System.
For more information please visit http://www.messagelabs.com/email
______________________________________________________________________

1) Der Massenhoster Schlund und Partner, inzwischen ja unter United Internet zusammen mit gmx und web.de untergekommen, nimmt eine Spam für einen Kunden an, der eine Weiterleitung an einen anderen Sammelaccount gesetzt hat.

Schlund.de prüft nicht die Bohne, dass hier Spam vorliegt, sondern leitet einfach weiter, nachdem Sie von einem DSL-Client aus Fernost, den Sie erst gar nicht hätten annehmen dürfen, die Fracht bekommen haben.

2) der Spammer selber hat anscheinend seine Bot-Clients nicht richtig im Griff, denn seine Fracht wurde nicht personalisiert und mit Inhalt gefüttert, ist aber trotzdem Spam und lästig.

zum Glück gibt es ja CLEAN MX und damit dem armen Kunden solchen Schrott vom Leibe hält.

Überzeugen Sie sich selbst von der Leistungsfähigkeit von CLEAN MX fordern Sie einen Testbetrieb für Ihre Domain an

Received: from relay3.netpilot.net ([62.67.194.35])
 by localhost (newtunix [62.67.240.20]) (clean-mx, port 10024) with ESMTP
 id 29335-04 for ; Tue, 30 Jan 2007 22:05:25 +0100 (CET)
Received: from mout-xforward.kundenserver.de (mout-xforward.kundenserver.de
[212.227.15.37])
	by relay3.netpilot.net (Postfix) with ESMTP id 87B5BE40A
	for ; Tue, 30 Jan 2007 22:04:56 +0100 (CET)
Received-SPF: softfail (mxeu11: transitioning domain of d2.dion.ne.jp does not designate
124.106.243.218 as permitted sender) client-ip=124.106.243.218;
envelope-from=0130shinutxz@d2.dion.ne.jp; helo=124.106.243.218;
Received: from [124.106.243.218] (helo=124.106.243.218)
	by mx.kundenserver.de (node=mxeu11) with ESMTP (Nemesis),
	id 0MKuA8-1HC09s0y3n-0005Zm for victim@hisfirstdomain.tld; Tue, 30 Jan 2007 22:04:54
+0100
Message-Id: <20070130210525.87B5BE40A@relay3.netpilot.net>
Date: Tue, 30 Jan 2007 22:04:56 +0100 (CET)
From: 0130shinutxz@d2.dion.ne.jp
To: undisclosed-recipients:;
X-Virus-Scanned: by netpilot GmbH at clean-mx.de
X-Spam-Status: Yes, hits=10.6 tagged_above=-999.0 required=6.1
 tests=MISSING_SUBJECT, MSGID_FROM_MTA_ID, NO_REAL_NAME,
 RCVD_IN_BL_SPAMCOP_NET, RCVD_IN_SORBS_WEB, RCVD_NUMERIC_HELO,
 SPF_HELO_SOFTFAIL, SPF_SOFTFAIL, UNDISC_RECIPS
X-Spam-Level: **********
X-Spam-Flag: YES

[Unknown Tag *$$cl3* Please Fix]
	[Unknown Tag *$$cl3* Please Fix]
	for ; Tue, 30 Jan 2007 15:06:36 -0600
[Unknown Tag *$$cl1* Please Fix]
	[Unknown Tag *$$cl2* Please Fix]
	for ; Tue, 30 Jan 2007 15:06:36 -0600
Reply-To: "Lora Prince" <0130shinutxz@d2.dion.ne.jp>
From: "Lora" <0130shinutxz@d2.dion.ne.jp>
Message-ID: <7638153142.845396519695@d2.dion.ne.jp>
Date: Tue, 30 Jan 2007 15:06:36 -0600
To: 
Subject: <$$text>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-Spam-Flag: YES

<$$text>
<$$text>
<$$text>
<$$text>
<$url1>?<$mcrypt>

Was kostet es im Detail:

• Suchmaschinen - Die Kommentare die Ihrer Leser hinterlassen haben letztendlich einen großen Einfluss auf die Art und Weise wie Ihr Blog im Netz von Suchmaschinen gefunden wird. Dies kann bei unnützen , “spammy“ Kommentaren sehr schnell gegen Sie arbeiten.
  Es gibt viele Nutzer, die Suchmaschinen nach absolute bizarren Begriffen durchsuchen um Sie zu finden, das ist sehr kontraproduktiv. Sie wollen ja letztendlich mit Ihrem Content gefunden werden, und nicht an erster Stelle unter irgendwelche pharmazeutischen Mitteln auftauchen.
• Unerwünschte Links zu schlechten/schädlichen Angeboten
  Sie kommen schnell in „Verruf“ wenn Ihnen Links zu rassistischen Seiten oder ähnlichem „untergeschoben“ werden, das hat einen direkten Einfluß auf Ihr Anwaltsbudget.
• Nochmal Suchmaschinen und „Dead-Links“
  Haben Sie viele tote Links in Ihre Webauftritt, so wird Sie Google nicht wirklich mögen, und eigentlich sollte Google immer ein Freund sein.
• Reputation
  Ihr Auftritt erscheint sehr schnell „ungepflegt“, und wie im täglichen Leben, der augenscheinliche erste Eindruck schafft Sympathien. Ein Blog das durch Spammer Kommentare verunziert ist macht sofort einen schlechten Eindruck, und Ihrer Leserschar wendet sich gerade beim ersten Kontakt mit Ihrem Auftritt mit einem Mausklick von Ihnen ab.
• Die Ethische Seite
  Nicht jede Meinung und deren Ausformulierung passt wirklich zu Ihrem Stil und Ihrer „Message“, es hat nichts mit Zenzur zu tun wenn Sie Kommentare ablehnen, in einem privaten E.Mail Thread kann man ja unter Umständen mit einem Kommentator diskutieren, aber nicht öffentlich auf dem Blog.

Also was tun?

• Die Hände in den Schoss legen und nichts tun? –> falsche Antwort, siehe alle vorherstehenden Argumente.
• Alle Kommentare und Trackbacks sperren ? –> falsche Antwort, Wir wollen ein lebendiges Internet, für was haben wir uns die Mühe gemacht ein Blog oder ein Web aufzusetzen ?
• Einen Kommentar Checker und Trackback Checker einsetzen ? –> Das kommt der Sache schon viel näher…
• Captchas als Eingabe-„Hürde“ aktivieren ? –> Schlecht für den der wirklich was qualifiziertes zu Ihrem Inhalt zu vermelden hat, er vertippt sich generell 3 mal bei der Eingabe und lässt frustriert von seinem Vorhaben ab. Die wirklichen Spammer, fassen Sie auch nicht mit diesem „Trick“.

Die Lösung:

Setzen Sie CLEAN MX als Ihre Lebensversicherung im Kampf gegen Spam ein.

CLEAN MX verschiebt die Front von Ihnen weg zu unseren zentralen Diensten.

Wir haben mit CLEAN MX eine globale Sicht der Dinge auf die E-Mail Spam-Szene und auf die Blogger Spam Szene. Unsere Zentrale Datenbanken, und die dahinter stehenden Verfahren haben in nunmehr 4 Jahren unerbittlichen Trainings eine unerreichte Qualität erreicht, die Sie einzeln nicht erreichen können.

Überzeugen Sie sich selbst von der Leistungsfähigkeit von CLEAN MX fordern Sie einen Testbetrieb für Ihre Domain an

test auf pizza.de pizza.de