Reality Check Fakemail-Scripte
16. Juni 2003 | 
Autor: Anscheinend sind diese Fakemail-Scripte, wie sie z.B. Der Schockwellenreiter auf seiner Seite hat schwer in Mode. Sie sollen auf Dauer die Datenbanken von Spammern mit unbrauchbaren Email-Adressen füllen und ihnen so die Arbeit verleiden. Ich halte das für ein denkbar honoriges Anliegen, aber ändern werden sie nichts. Der Spammer wird auch weiterhin das Web nach Email-Adressen abgrasen und vielleicht auf jede Menge Fakemail-Scripte treffen. Wenn er nun seinen Massmailer anwirft und aufgrund der vielen ungültigen Email-Adressen mehr Rückläufer als üblich erhält, wird er sich seine Datenbank anschauen und sehen was los ist.
Was folgt ist recht einfach: Man nimmt sich einen Rechner mit Internet-Verbindung und das allseits bekannte Sendmail. Dies hat schon seit langem die Funktion check_mail, die eigentlich dazu gedacht ist zu klären ob es die Absender-Domäne einer Email überhaupt gibt. Ironischerweise wurde diese Funktion als Anti-Spam Feature implementiert, aber wie alles Gute gibt es auch hier eine dunkle Seite. Er füttert nun sein Sendmail mit den Email-Adressen seiner Datenbank und folgendes passiert:
foobar:~# echo "check_mail kgmb@sprjqzivdm.at" | sendmail -bt | grep 553 Basic_check_mail returns: $# error $@ 5 . 1 . 8 $: "553 Domain of sender address " " does not exist" check_mail returns: $# error $@ 5 . 1 . 8 $: "553 Domain of sender address " " does not exist"
Es gibt eine Fehlmeldung anhand der man sehen kann das es die Domain sprjqzivdm.at im Internet nicht gibt, man kann die Adresse also löschen.
Zum Vergleich eine Adresse mit gültiger Domain:
foobar:~# echo "check_mail kgmb@aol.com" | sendmail -bt | grep 553 foobar:~#
Dies packt man in ein kleines Script und jagt es über die Datenbank und schon ist man das Problem los. Man kann auch alle neuen Adressen durch ein solches Script schicken und so dafür sorgen, das diese nie die DB erreichen.
Eine anderen Idee Spammer zu ärgern beruht auf der Annahme das der Absender einer Email auch gleichzeitig der Spammer ist. Man sammelt nun alle Adressen im From: einer erkannten Spam-Mail und stellt sie ins Internet, in der Hoffnung das der Spammer nun selbst Opfer seiner Kollegen wird. Ich habe darüber schon eine Diskussion geführt und auf die Sinnlosigkeit hingewiesen. Hier ein wenig Hintergrund:
Ich benutze Zuhause Spammassassin, das Spam anhand von bestimmten Eigenschaften erkennt und in eine Datei schreibt, wo ich hinundwieder reinschaue um false Positives zu vermeiden. Suche ich nun nach Spam-Absender in meinen Spam-Mails
foobar:~$ grep “From:” mail/caughtspam
From: “Murray Brandon” < *@spinfinder.com>
From: “” <adent @africaonline.co.sz>
From: “” <aden97 @hotmail.com>
From: “Damian Chen” <lbb6dzu33f @earthlink.net>
From: “Noah Murdock” <kslw386wqmom @prestigiousresponse.com>
SPAM: Hit! (1.8 points) No MX records for the From: domain
From: “Divito Klinich” <divitoklinich @catchamail.com>
SPAM: Hit! (1.8 points) No MX records for the From: domain
From: “Rob” <stljohnson @earthlink.net>
From: “Rolland Busby” <utgku4954 @earthlink.net>
From: “Tara Simmons” <u7c8nib7eexi @yahoo.ca>
From: “Jimmy Sewell” <ne72275a4f @earthlink.net>
From: “Sharon Ervin” <782nycnayi35@aol.com>
From: clairefowler@doramail.com
foobar:~$
und nehme mir eine Adresse (z.B. kslw386wqmom@prestigiousresponse.com) zum Testen heraus. Zuerst muss ich die Mail-Server finden, die Mails für prestigiousresponse.com annehmen.
foobar:~$ host -v -t mx prestigiousresponse.com Query about prestigiousresponse.com for record types MX Trying prestigiousresponse.com ... Query done, 1 answer, status: no error The following answer is not authoritative: prestigiousresponse.com 3600 IN MX 10 mx1.prestigiousresponse.com Authority information: prestigiousresponse.com 3600 IN NS localhost Additional information: mx1.prestigiousresponse.com 3600 IN A 66.118.180.245 stadler:~$
Es soll also mx1.prestigiousresponse.com Mails annehmen.
foobar:~$ telnet mx1.prestigiousresponse.com 25 Trying 66.118.180.245... telnet: Unable to connect to remote host: Connection refused
Hmm, es gibt dort also keinen Server der Mails annimmt. Also der nächste:
foobar:~$ host -t mx -v catchamail.com
Query about catchamail.com for record types MX
Trying catchamail.com ...
Query failed, 0 answers, status: no error
Authority information:
catchamail.com 2560 IN SOA ns1.blackcab.com hostmaster.catchamail.com (
1055779215 ;serial (version)
86400 ;refresh period (1 day)
7200 ;retry interval (2 hours)
86400 ;expire time (1 day)
7200 ;default ttl (2 hours)
)
catchamail.com MX record currently not present
Hier wurde kein Server definiert, der Mail annehmen soll. Weiter.
foobar:~$ telnet mx04.earthlink.net 25
Trying 207.217.120.249…
Connected to mx04.earthlink.net.
Escape character is ‘^]’.
220 robin EL_3_8_5 /EL_3_8_5 ESMTP EarthLink SMTP Server Mon, 16 Jun 2003 11:03:00 -0700 (PDT)
helo dd.de
250 robin Hello dd.de [62.206.130.21], please to meet you
mail from:<paul @t-online.de>
250 <paul @t-online.de>… Sender ok
rcpt to:<stljohnson @earthlink.net>
554 Quota violation for stljohnson@earthlink.net
rcpt to:<utgku4954 @earthlink.net>
550 utgku4954@earthlink.net…User unknown
quit
221 robin closing connection
Connection closed by foreign host.
Hier habe ich gleich 2 Adressen getestet da ich schonmal da war. Bei der ersten Adresse ist das Postfach voll wohl mit Beschwerden über den Spam. Das zweite Postfach gibt es nicht.
Fazit: 4 Adressen getestet, 3 davon nicht vorhanden und 1 Adresse zwar erreichbar, aber wie soll man nun Beweisen das der Inhaber auch wirklic den Spam verschickt hat? Ich könnte es nicht.
Ich könnte noch weiter ausholen, aber ich denke das Obiges fürs Erste reichen sollte. Sicher wird es jetzt Leute geben die mich Kreuzigen wollen, weil ich Spammern verrate wie sie Probleme mit Fakemail-Scripte umgehen können, aber damit kann ich Leben :)
p.s: Musste das eben nochmal überarbeiten, weil durch meine rudimentären HTML-Kenntnisse ein Teil des Textes verschluckt wurde.
Ich verwende Adressen mit Extensions. Die werden alle zugestellt, da die Extensions aber vor der Zustellung die diversen Checks durchlaufen, kann ich sie beliebig sperren.
Dazu kommt, daß die meisten Spammer es nicht peilen, wenn ein Plus-Zeichen in der Mail-Adresse steckt :)