Blacklists (4)
Heute morgen rief ein Supporter von Hansenet an und teilte mir mit, daß das Problem mit UceProtect bekannt sei, man da aber nichts machen könne, weil ich ja mit einer dynamischen IP im Netz unterwegs sei.
Klasse. Ich hätte gerne ein wenig herumgeschrieen.
Nochmal zum Mitschreiben: Hansenet ist einer von etwas über hundert ISPs (Internet Service Providern), von denen etwa ein Drittel des weltweiten Spam-Aufkommens ausgeht - etwa 10.000 andere ISPs machen es besser, und haben ein marginales Spam-Problem. Dort hat man Maßnahmen ergriffen, die so nahe liegen, daß es völlig unverständlich ist, wenn einige wenige sich weigern, sie ebenfalls zu implementieren.
Alles, was von einem Server abgeschickt wird, kann dessen Administrator protokollieren und in kontrollierte Bahnen lenken. Wenn er feststellt, daß von einer bestimmten IP-Adresse binnen weniger Sekunden hunderte E-Mails verschickt werden, kann er messerscharf schließen, daß das unmöglich von einem menschlichen User kommen kann. Er ist dann aufgefordert, ein Skript zu schreiben, das in solchen Fällen eingreift und die betreffende IP-Adresse blockt. - Das ist nur ein simples Beispiel, man kann auch mehr tun (wobei ich, als Nicht-Admin, nicht alle Punkte verstehe).
Der Clou an der Sache ist, daß es hier ausgerechnet den kleinen Usern an den Kragen geht. Firmen und andere „Profis” verschaffen sich für sie reservierte fixe IP-Adressen (wofür sie auch ordentlich bezahlen müssen). Damit ist sichergestellt, daß sie nie in schlechte Nachbarschaft von Spammern geraten. Endkunden, die bei jeder Einwahl ins Netzwerk eine neue („dynamische”) IP-Adresse innerhalb eines gewissen Adressraums zugewiesen bekommen, sind hingegen nicht dagegen gefeit, daß gleich nebenan ein Spammer Millionen Mails mit Viagra-Werbung unters Volk bringt - womöglich unter derselben IP-Adresse, die ihnen am Tag zuvor zugewiesen wurde.
Wir „kleinen” Internet-Bewohner werden also in Sippenhaft genommen - und etwas anderes bleibt den Betreibern von Mail-Servern oder auch Blogs gar nicht mehr übrig, wenn sie nicht mit Spam zugeschüttet werden wollen. Die Versuche, den Content solcher Mails und Blog-Kommentare darauf zu untersuchen, ob sie möglicherweise Spam enthalten, sind allesamt gescheitert. Jetzt wird - zurecht! - die Brechstange herausgeholt. Dummerweise sind wir es, die die Suppe auszulöffeln haben.
Der Sys-Op bei Steinberg, mit dem ich noch gestern das Thema diskutiert hatte, wußte gerade einmal von der Existenz dieser Listen, war aber doch verwundert, daß sie momentan offenbar wirklich in Gebrauch kommen - und zog die Augenbrauen hoch, als ihm klar wurde, daß man dazu übergegangen ist, ganze Subnetz-Bereiche als „verseucht” zu markieren. In der breiten Öffentlichkeit ist die Thematik noch überhaupt nicht angekommen, und ich fürchte, es wird schwierig, jenseits der Fachwelt klar zu machen, worin überhaupt das Problem besteht.
Maßnahmen:
- Meinen Vertrag bei Hansenet werde ich umgehend kündigen - mir ist allerdings noch nicht klar, wohin ich wechseln soll. T-Online, Grogstar, und Kabel-Deutschland sind ebenfalls nicht ganz sauber,
Arcor scheint OK, verlangt aber eine Mindestlaufzeit des Vertrages von 24 Monaten- d.h., es wird schwierig, Druck auszuüben, wenn dort doch noch irgendwann geschlampt werden sollte. - Ich werde mich an die Rechtsabteilung der Verbrauerberatung wenden - die sind eigentlich immer sehr erpicht darauf, Abmahnungen an Firmen zu verschicken, die sich unlauter verhalten. In diesem Fall dürfte allerdings die Rechtsgrundlage äußerst umstritten sein.
- Ich versuche mal, einen Text schreiben, in dem das Thema so aufbearbeitet ist, daß es auch für einen Laien verständlich wird. Es reicht natürlich nicht aus, das alles im Rahmen dieses winzigen Blogs zu belassen. Irgendwie muß das auch in den breiten Medien ankommen - mal schauen, wer sich da ansprechen läßt.
- Im meinem Blog gibt es seit heute eine Warnung, wenn man mit seiner IP-Adresse in Blacklists geführt wird - vorläufig checke ich nur gegen vier Listen, ev. werde ich das noch erweitern. Die Form ist nur vorläufig - ich vermute, daß es nerven dürfte, wenn man die Warnung ständig zu sehen bekommt.
Nachtrag: Arcor ist leider alles andere als sauber - die sind gerade kurz vor dem Aufstieg ins Level3 von UceProtect.
Einen wichtigen Punkt darf man bei der ganzen Sache nicht vergessen: nicht nur der Spammer verdient an dem Konstrukt.
Neben den die-hard ISPs, die damit werben, dass Spammer bei ihnen machen können, was sie wollen, gibt es beliebig feine Abstufungen der Duldung und Ignoranz bis zu den ISPs, die etwas unternehmen.
Mit dem Geldverdienen ist es übrigens eine komplexe Sache: es gibt ISPs, die Webmail-Angebote haben, wo Spammer nur sehr, sehr zaghaft gelöscht werden. Nicht, weil man mit denen direkt Geld verdient. Die Idee ist, möglichst grosse User-Zahlen zu haben (oder möglichst viele PImps (Page Impressions)), damit man den Werbekunden mehr Geld abknöpfen kann. In einer weiteren Indirektion geht es darum, mit Sprüchen wie "1 Million Kunden!" werben zu können.
Noch weiter darf man nicht vergessen, dass es auch bei den Blacklist-Betreibern einige Zeloten gibt, die am liebsten jeden, der auch nur so etwas wie einen quadruple-opt-in Newsletter verschickt am nächsten Baum aufknüpfen wollen. Sprich: so mancher Blacklist-Eintrag ist ein false positive.
Man kann sich mit dem ganzen Blacklist-Kram zünftig ins Bein schießen, wenn der Betreiber eben zu aggressiv blacklistet. Das herauszufinden geht nur, indem man die Mails erst mal nur nach Liste markiert und wenn man mit der Menge an false positives (muss für meinen Geschmack =0 sein) und false negatives (darf >0 sein, aber nicht zu viel) zufrieden ist, kann man das ganze scharf schalten.
In Quintessenz ist aber ein eigener, lokaler, lernender (Bayes) Filter die besser Wahl, da der Selektor hier mEn schärfer ist. Wie immer kann es eine generelle Lösung nicht geben.
Ich würde Deinen Kommentar gerne als "Gastbeitrag" auf die "Hauptebene" hiefen - Du hast einige Punkte wohl schon länger im Kopf, über die ich mir erst noch eine Meinung bilden muß.
Der entscheidende Punkt ist wohl, daß man an der Zuverlässigkeit der Blacklist-Providern genau dieselben Maßstäbe anlegen muß, mit denen man ISPs bewertet - sprich: zunächst ist da niemandem zu trauen.
Deinen Vorschlag, erst mal zu testen, ob und wie viele "false positives" einschlagen, bevor man den Laden endgültig dicht macht, ist natürlich völlig richtig, und sogar eine Grundvoraussetzung. Trotzdem kann es einem - nach einem erfolgreichen Test - passieren, daß der Provider plötzlich - hinter dem eigenen Rücken und ohne daß man es mitbekommt - seine Politik ändert.
Das macht mir auch momentan Kopfschmerzen, wenn es darum geht, einen neuen Provider zu finden: bis auf Arcor sind die alle nicht ganz sauber, und Arcor verlangt eine 24monatige Vertragsbindung.