Tobias Eggendorfer. No Spam!

(1)

Tobias Eggendorfer No Spam!

(2)

(3)

Tobias Eggendorfer

No Spam!

Besser vorbeugen als heilen

Software & Support Verlag GmbH Frankfurt 2005

(4)

Tobias Eggendorfer : No Spam!

Besser vorbeugen als heilen.

Frankfurt, 2005 ISBN 3-935042-71-X

http://www.software-support-verlag.de http://www.entwicklerpress.de/buecher/nospam

Ihr Kontakt zum Verlag und Lektorat: lektorat@software-support.biz

Bibliografische Information Der Deutschen Bibliothek

Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.ddb.de abrufbar.

Korrektorat: Petra Kienle

Satz: text & form GbR, Carsten Kienle Umschlaggestaltung: Melanie Hahn

Belichtung, Druck und Bindung: M.P. Media-Print Informationstechnologie GmbH, Paderborn.

Alle Rechte, auch für Übersetzungen, sind vorbehalten. Reproduktion jeglicher Art (Fotokopie, Nachdruck, Mikrofilm, Erfassung auf elektronischen Datenträgern oder andere Verfahren) nur mit schriftlicher Genehmigung des Verlags. Jegliche Haftung für die Richtigkeit des gesamten Werks kann, trotz sorgfältiger Prüfung durch Autor und Verlag, nicht übernommen werden. Die Programmbeispiele dienen nur der Er- klärung und sind nicht ungeprüft für den Produktionseinsatz geeignet. Die im Buch

(5)

Inhaltsverzeichnis

Vorwort . . . 9

Notwendige Vorkenntnisse . . . 11

Zum Umgang mit diesem Text . . . 13

1 Einführung . . . 15

1.1 Untaugliche Filter . . . 15

1.2 Spam an der Wurzel bekämpfen . . . 16

2 Was ist Spam? . . . 19

2.1 Etwas Geschichte . . . 19

2.2 Spam und Recht . . . 20

2.3 Unsolicited Bulk E-Mail . . . 23

3 Woher haben Spammer die Mailadressen?. . . 25

3.1 Freiwillige Eingabe . . . 25

3.2 Adressen im Internet automatisch sammeln . . . 25

3.2.1 Durchsuchen von Internetseiten. . . 25

3.2.2 Newsgroups und ähnliche Quellen . . . 28

3.2.3 Erraten von Adressen . . . 29

3.2.4 Adresshandel . . . 31

4 Grundlegende Vorsichtsmaßnahmen. . . 33

4.1 Umgang mit Mailadressen . . . 33

4.2 Wegwerfadressen . . . 34

4.3 Newsletter und Ähnliches . . . 36

4.4 Keinesfalls: gefälschte Absenderadressen . . . 37

4.5 Webtelefonbücher . . . 38

4.6 Spammer beim Sammeln identifizieren. . . 39

4.7 SMTP-Teergruben . . . 39

4.8 Rechtsweg . . . 41

5 E-Mail-Adressen von Webseiten verbannen . . . 43

5.1 Adressen fälschen . . . 45

5.2 Verstecken mit HTML-Code . . . 46

5.2.1 Kontaktformular. . . 47

(6)

Inhaltsverzeichnis

5.2.2 Tarnen mit HTML . . . 58

5.2.3 Rechtliches. . . 66

5.3 Bilder und Ähnliches . . . 67

5.3.1 E-Mail-Adresse als Bild. . . 67

5.3.2 PDF . . . 69

5.3.3 Flash. . . 70

5.4 JavaScript . . . 72

5.4.1 Das Grundprinzip. . . 72

5.4.2 Eine stabilere Lösung. . . 74

5.4.3 Theoretische Informatik ausnutzen . . . 76

5.4.4 Mit Verschlüsselung. . . 77

5.4.5 Harvester mit JavaScript . . . 83

5.4.6 JavaScript-freie Browser . . . 84

5.5 Weitere Verfahren . . . 86

5.6 Test auf echten Webseiten . . . 87

5.7 Test mit echten Harvestern. . . 89

6 Automatisch tarnen . . . 93

6.1 Apache-Modul . . . 94

6.1.1 Installation . . . 95

6.1.2 Programmierzauber . . . 96

6.1.3 Tarnfunktion. . . 96

6.1.4 Das Script selbst. . . 97

6.2 Tuning . . . 100

7 Missbrauch fertiger Scripten . . . 103

7.1 Missbrauch von Kontaktformularen . . . 104

7.1.1 Empfänger als INPUT TYPE HIDDEN . . . 104

7.1.2 Nutzereingabe im From-Feld. . . 106

7.1.3 Nutzereingabe sonstiger Header-Felder. . . 106

7.1.4 Zusammenfassung . . . 107

7.2 Missbrauch von eCards . . . 107

7.2.1 Hinweise zur Umsetzung . . . 109

7.3 Send-To-A-Friend . . . 122

(7)

Inhaltsverzeichnis

8 Harvester blockieren . . . 123

8.1 Anforderungen . . . 123

8.2 Überlastungsprophylaxe. . . 124

8.2.1 Semaphoren in PHP . . . 125

8.3 Die Lösung. . . 126

8.4 Ein Script – viele Namen . . . 127

8.5 Suchmaschinen schützen . . . 128

8.6 Beispiel-Teergrube . . . 128

8.6.1 Konfiguration der Beispiel-Teergrube . . . 128

8.6.2 Das Script. . . 129

8.7 Test . . . 134

8.8 Weitere Verbesserungsmöglichkeiten . . . 135

9 Absichern von Mailinglisten und Newslettern . . . 137

9.1 Sicherheitsziele . . . 137

9.2 Anmeldeverfahren . . . 138

9.2.1 Opt-Out . . . 138

9.2.2 Einfacher Opt-In . . . 138

9.2.3 Double-Opt-In . . . 139

9.2.4 Anmeldebestätigung . . . 141

9.3 Laufender Betrieb . . . 141

9.3.1 Schutz der Mailadressen . . . 142

9.3.2 Schutz der Liste . . . 144

9.4 Zusammenfassung . . . 146

10 Zusammenfassung . . . 147

Literaturhinweise. . . 151

Stichwortverzeichnis . . . 157

(8)

(9)

Vorwort

Spamfilter sind langsam, fehleranfällig und wirken meiner Meinung nach am falschen Ende: Sie entfernen Spam erst dann, wenn er auf dem Server des Empfängers eingetroffen ist und ihm damit bereits Kosten verursacht hat. Das Ziel sollte daher sein, Spam schon vor der Entstehung zu unterbinden und so die Investition in aufwendige Spamfilter überflüssig zu machen.

Ich möchte Ihnen in diesem Buch Verfahren und Möglichkeiten der präventi- ven Spam-Vermeidung vorstellen, die ich entweder selbst entwickelt habe oder für die ich im Rahmen meiner Recherchen Anregungen und Ideen entdeckte, die ich dann häufig noch verfeinern konnte.

Mein Ansatz ist dabei zu verhindern, dass Spammer überhaupt in den Besitz von E-Mail-Adressen gelangen. Dadurch wird ihnen das wichtigste Hand- werkzeug genommen.

Spammer ernten E-Mail-Adressen vorzugsweise – aber nicht ausschließlich – von Webseiten. Daher stelle ich hier unter anderem Lösungen vor, wie sich Webseiten so gestalten lassen, dass Sammelprogramme dort keine E-Mail- Adressen mehr finden. Dabei werde ich auch eine Lösung implementieren, die die vorgeschlagenen Verfahren automatisiert durchführt, ohne dass die bestehenden Webseiten manuell geändert werden müssten.

Zwei große Themenkomplexe in der Spambekämpfung spare ich aus: zum einen die Konfiguration von Mail-Servern, so dass sie nicht als Open Relay missbraucht werden können¹, und zum anderen die Problematik des „Open Proxy“. Beide Probleme erscheinen mir zu speziell und sind in der Literatur mittlerweile ausführlich und ergiebig diskutiert. Zudem setzen beide Lösun- gen einen Schritt hinter meinem Ansatz an: Sie versuchen, den Versand von Spam zu behindern, und greifen damit erst dann ein, wenn der Spammer bereits E-Mail-Adressen seiner Opfer hat.

Ich hoffe, in der folgenden Darstellung die richtige Mischung aus Theorie und Praxis gefunden zu haben. Und ich hoffe, dass ich mein Ziel, Ihnen durch an- schauliche Erklärungen das Verständnis zu erleichtern, erreiche.

1. Siehe z.B.: [COS97] für Sendmail, [HEIN04] für Postfix und [SIL01] sowie [BER03a] für qmail.

(10)

Vorwort

In „Notwendige Vorkenntnisse“ gebe ich Ihnen einige Hinweise, welche Vor- kenntnisse Sie zum Verständnis der einzelnen Kapitel mitbringen sollten. Sie werden sehen, dass häufig eine gesunde Portion Neugier und Interesse aus- reicht, um den Beispielen zu folgen.

Leider bin ich auch nur ein Mensch und somit fehlbar – gerade eine erste Aus- gabe hat den Fehlerteufel in sich. Daher würde ich mich über Feedback, An- merkungen, konstruktive Kritik, aber auch über eine Sammlung meiner schönsten Tippfehler und unverständlichsten Sätze freuen. Zu diesem (und vielen weiteren Zwecken) existiert auf meiner Homepage http://www.eggen- dorfer.info ein Kontaktformular.

Sollten Sie sehr viele Fehler finden – oder auch reichlich Verbesserungsvor- schläge haben, dann wird dort auch eine Seite mit entsprechenden Hinweisen entstehen.

Ich wünsche Ihnen viel Spaß bei der Lektüre!

(11)

Notwendige Vorkenntnisse

Von meinem Verlag wurde ich mehrfach gefragt, an wen sich das Buch wende.

Das ist schwer zu sagen:

Einige der dargestellten Techniken (in Kapitel 4 und 5) sind für jeden nach- vollziehbar, der schon mal eine Webseite erstellt hat. Häufig sind dafür noch nicht einmal detailliertere HTML- oder gar JavaScript-Kenntnisse notwendig.

Diese Lösungsvorschläge wenden sich somit an jeden, der eine eigene Home- page betreibt. Der notwendige Code ist stets ausführlich erläutert und kann so fast immer ohne Änderungen auf die eigene Homepage übernommen werden.

In Kapitel 6 stelle ich Ihnen eine Methode vor, wie Sie die in Kapitel 5 erklär- ten Tarnverfahren automatisch von Ihrem Webserver durchführen lassen kön- nen. Das Schöne an der Lösung ist, dass Sie Ihre bestehenden Webseiten gar nicht mehr anfassen müssen, um in den Genuss effektiver Tarnung zu kommen.

Der Haken an der Sache? Wie so oft: Bevor man sich faul zurücklehnen kann, ist etwas Programmierarbeit nötig. Für das Verständnis des vorgestellten Pro- gramms sind daher Perl-Kenntnisse hilfreich. Um das Konzept zu verstehen, brauchen Sie aber nur Ihren gesunden Menschenverstand.

Kapitel 7 ist dann etwas für den kleinen Cracker in Ihnen: Wir schauen uns an, wie typische Scripten auf Webseiten von Spammern missbraucht werden kön- nen, und diskutieren, wie man sie gegen diese Angriffe abdichten kann. Um die Ideen dieses Kapitels zu verstehen, sind HTML-Grundkenntnisse und etwas Fantasie nötig. Um die Programmbeispiele nachvollziehen zu können und an die eigenen Bedürfnisse anzupassen, sind PHP-Kenntnisse empfehlenswert. So stelle ich Ihnen beispielsweise in Kapitel 7.2 ein Verfahren vor, wie man spamfrei eCards anbieten kann.

Ans Eingemachte gehen wir in Kapitel 8: Wir konstruieren eine Falle für Spammer. Das Konzept ist wiederum für jedermann verständlich – allerdings nutzt das vorgestellte PHP-Script zur Umsetzung dann einige trickreiche Pro- grammiermethoden, die ich Ihnen ausführlich erkläre. Wenn Sie das Script auf Ihrer eigenen Seite einsetzen wollen, sollten Sie daher PHP beherrschen.

In Kapitel 9 wird es wieder etwas allgemeiner: Wir diskutieren verschiedene Verfahren, um Mailinglisten vor Spammern zu schützen. Das trifft Sie vor al-

(12)

Notwendige Vorkenntnisse

lem dann, wenn Sie selbst Newsletter oder Mailinglisten anbieten wollen – sollte das der Fall sein, so haben Sie auch schon Erfahrung mit der notwendi- gen Software. Ansonsten liefert Ihnen das Kapitel einige wertvolle Hinweise, worauf Sie achten sollten, wenn Sie sich irgendwo anmelden.

Generell gilt: Die Erklärungen und Beispiele sind meiner Meinung nach für jeden verständlich, der ein bisschen gesunde Neugier mitbringt. Die unterstelle ich Ihnen, sonst hätten Sie kaum dieses Buch in der Hand.

(13)

Zum Umgang mit diesem Text

Um Programmbefehle zu markieren, verwende ich die folgende Darstellung:

Sollten durch den Druck zufällig Zeilenumbrüche an Stellen entstehen, an denen sie nicht hingehören und zu einer Fehlfunktion führen würden, markiere ich den Zeitpunkt, an dem Sie die Return-Taste drücken dürfen, mit [RET]. So- weit aber ein Zeilenumbruch nicht stört, verzichte ich im Sinne der besseren Lesbarkeit auf diesen Zusatz.

Ich verwende im Text relativ großzügig Fußnoten. Häufig gebe ich Ihnen dort Quellen an, unter denen Sie weitere Detailinformationen zu einem bestimmten Problemkreis finden können, dessen Darstellung hier den Rahmen sprengen würde. Manchmal ist es hilfreich, wenn die eigene Neugier geweckt ist, einen Einstiegspunkt für weitere Recherchen zu finden.

Die Literatur ist dabei mit einem Kürzel im Text angegeben, Sie finden die vollständigen Angaben unter dem Kürzel im alphabetisch sortierten Literatur- verzeichnis am Ende des Buchs.

Ich kann keinerlei Garantie für die Fehlerfreiheit der Programmbeispiele über- nehmen: Zwar habe ich sie ausführlich getestet, einige liefen (und laufen) auf Webseiten, die massiv von Spammern heimgesucht werden, aber die Scripten sind hier lediglich aus didaktischen Gründen eingestreut und sollen das Ver- ständnis erleichtern. Sie sollen Ihnen als Ausgangsbasis zur Entwicklung eigener Lösungen dienen, die Sie vor dem Live-Einsatz natürlich gründlich testen müssen – insbesondere auf Sicherheitslöcher².

Jedoch schränke ich das Nutzungsrecht daran ausdrücklich dahingehend ein, dass keines der Programme, Programmbeispiele oder der vorgestellten Verfah- ren von Spammern, zur Vorbereitung der Versendung oder der Versendung von Spam oder ähnlich niederträchtigen Zwecken verwendet werden darf. Eine solche Verwendung würde ich als Urheberrechtsverstoß verfolgen.

Gegen eine Nutzung zu privaten und wissenschaftlichen Zwecken unter Hin- weis auf meine Urheberschaft habe ich jedoch keinerlei Einwände.

UPDATE leser SET wissen = wissen + 1 WHERE buch_gelesen = true;

2. Mit diesem Problem beschäftigen sich ausführlich: [KOZ04], [HOG04] und [VIE01]. Eine allgemeinere Einführung liefert [PEI04].

(14)

(15)

1 Einführung

Spam lässt Ihren E-Mail-Briefkasten überquellen. Doch warum eigentlich?

Woher haben die Spammer Ihre Adresse? Und was kann man präventiv gegen Spam tun? Das sind Fragen, mit denen wir uns hier beschäftigen wollen.

1.1 Untaugliche Filter

Dabei klammern wir die Frage nach Spamfiltern bewusst aus: Erstens gibt es dazu bereits mehr als genug Literatur, zweitens sind die Filter anders als bei Viren und Würmern nur eingeschränkt wirkungsvoll. Viren und Würmer haben eindeutige Signaturen, über die sie gut automatisch erkannt werden kön- nen. Bei Spam gibt es so etwas nicht.

So hilft z.B. ein Filter, der auf bestimmte Schlagwörter reagiert, nichts: Für Apotheker, Urologen, Kardiologen und Internisten beispielsweise sind E- Mails mit dem Wort „Viagra“ häufig wichtige Anfragen von Patienten und nicht unbedingt Spam. Ähnlich werden Uhrenhändler und Juweliere die Be- griffe „Rolex“, „Cartier“ und „Breitling“ nicht auf ihre Blacklist setzen wollen.

Auch die anderen gängigen Filterverfahren scheitern an praktischen Proble- men: So schlagen manche Autoren vor, E-Mails nur von Rechnern mit festen IP-Adressen anzunehmen und haben dabei die Rechnung ohne die Telekom- munikations-Überwachungsverordnung (TKÜV) gemacht: Denn die zwingt die großen Provider dazu, an ihren Mailservern Abhörvorrichtungen bereitzu- stellen. Wer das umgehen will, nutzt diese Server nicht, sondern mailt direkt von seinem PC. Technisch ist das kein Problem.

Vielfach hochgelobt sind so genannte Open-Relay-Blacklists, also schwarze Listen von Servern, die E-Mails für fremde Domains annehmen und weitergeben („relayen“). Ungünstig ist dabei nur, dass manche Listen so aggressiv sind, dass sogar seriöse Anbieter wie web.de und GMX regelmäßig dort gesperrt werden. Mancher Administrator setzt im vollen Vertrauen sogar Listen wie die von Spamcop als einzigen Filter ein, obwohl Spamcop selbst davor warnt, weil sie ihre Liste als experimentell und sehr aggressiv einstufen.

Zudem wirkt der Filter schlicht am falschen Ende der „Spam-Kette“. Günsti- ger wäre es, das Übel Spam an der Wurzel zu packen.

(16)

1 – Einführung

1.2 Spam an der Wurzel bekämpfen

Die Wurzel ist, so haben eine Studie ([CDT03]) und eigene Untersuchungen³ ergeben, die Veröffentlichung von E-Mail-Adressen auf Webseiten. An diesem Punkt setze ich an und dokumentiere Verfahren, wie E-Mail-Adressen auf Ho- mepages für Spammer unsichtbar gemacht werden können.

Später werden wir uns überlegen, wie beispielsweise Kontaktformulare gestal- tet sein müssen, um zu verhindern, dass sie als „Spamming-Engines“ missbraucht werden können. Dabei demonstriere ich Ihnen auch ein Verfahren zum Anbieten von eCards, ohne Gefahr zu laufen, als Spammer auf Unterlassung in Anspruch genommen zu werden⁴.

In einem letzten Schritt werfen wir dann einen Blick auf ein Verfahren, das Spammern das Sammeln von Adressen vergällen soll.

Zuerst jedoch möchte ich Ihnen zeigen, wie Spammer die Adressen sammeln, und den Begriff Spam definieren. Immer mehr unerwünschte Mails werden heutzutage von Würmern und Trojanern versandt, die mit den Methoden dieses Buchs nicht kleinzukriegen sind.

Das Problem der Viren, Würmer und Trojaner können wir hier nicht behandeln – es passt nicht in diesen Rahmen. Auch dazu existiert bereits einiges an Lite- ratur⁵.

Parallel zur Erstellung dieses Buchs habe ich einen Kurs für die Volkshoch- schule München konzipiert, der sich jedoch nur auf die spamsichere Gestal- tung von Homepages konzentriert und nicht alle präventiven Möglichkeiten vorstellen sollte – schließlich ist der Zeitrahmen einer solchen Veranstaltung begrenzt. Die dort beschriebenen Methoden fasste ich für die Zeitschrift „Li- nux-User“ in einem Beitrag zusammen. Der Beitrag stieß unter den Lesern, wie zahlreiche Zuschriften belegen, auf sehr großes Interesse und erschien mittlerweile in Übersetzungen in der internationalen, englischen Ausgabe „Li- nux-Magazine“, im rumänischen Linux-Magazin „Linux-Magazin Romania“

und in der polnische Ausgabe „Linux Magazine“⁶.

3. [EGG05a], [EGG05b] und [EGG05c]

4. Siehe dazu http://de.wikipedia.org/wiki/E-Card, dort ist der Volltext der einschlägigen Urteile verlinkt

5. Siehe dazu: [EGG04d], [EGG05d]

6. Siehe: [EGG04], [EGG04g], [EGG04h], [EGG04f]

(17)

Spam an der Wurzel bekämpfen

Im deutschsprachigen Linux-Magazin stellte ich erstmals auch ein Verfahren vor, Spammer zu ärgern – sie also beim Einsammeln von Adressen nachhaltig zu behindern.⁷

Im vorliegenden Buch diskutiere ich um einiges ausführlicher, als es im Rah- men von Artikeln möglich ist, diese und andere Verfahren. Insbesondere werden dabei auch die rechtlichen Konsequenzen dargestellt.

Ich wünsche Ihnen viel Vergnügen bei der Lektüre – und eine spamfreie Zu- kunft. Die verspricht zumindest [CDT03], hindert man Spammer am Adres- sensammeln.

7. Siehe: [EGG04a]

(18)

(19)

2 Was ist Spam?

Die Bezeichnung „Spam“ wird heutzutage in einer wesentlich umfassenderen Bedeutung verwendet als ursprünglich. Viele Anwender verstehen unter Spam die massenhafte Zusendung von E-Mails unabhängig von deren Inhalt. Insbe- sondere werden auch die von Würmern automatisch generierten E-Mails von vielen Anwendern als Spam bezeichnet. Manche gehen sogar noch weiter und nennen alles Spam, was auch nur in entferntester Form unerwünschte Werbung darstellen könnte: Einige sprechen von Google-Spam, also manipulierten Trefferpositionen in einer Google-Suche, und andere von Papier-Spam und verstehen darunter Postwurfsendungen.

2.1 Etwas Geschichte

Ursprünglich stand Spam für die massenhafte Sendung unerwünschter Wer- bung in den Newsgroups, speziellen Diskussionsbereichen im Internet. Dort tauchte auch erstmalig der Begriff „Spam“ auf.

Dabei ist das Wort SPAM zunächst unverfänglich und kommt aus einem völlig anderen Bereich: SPAM in Großbuchstaben geschrieben ist nämlich als Wort- marke von der US-amerikanischen Firma Hormel Foods⁸ geschützt. SPAM steht dabei als Abkürzung für Spiced Pork and Ham und ist ein penetrant pink leuchtendes, unnatürlich aussehendes, aber in den USA ubiquitäres Dosen- fleisch. Dieses Dosenfleisch hat dort offensichtlich Kultcharakter erlangt:

Ähnlich wie für das bei uns bekanntere Nutella gibt es eigene SPAM-Koch- bücher⁹ und SPAM-Restaurants.

Den Zusammenhang zwischen diesem Fleischderivat und unerwünschter Wer- bung erzeugte indirekt Monty Python, ein britischer Komiker. In einer seiner

„Flying Circus“-Folgen möchte ein Gast in einem Restaurant, dessen Speise- karte ausschließlich Speisen enthält, die in irgendeiner Art auf SPAM basieren, ein Gericht ohne dieses Fleisch bestellen. Beim Versuch, die Bedienung nach entsprechenden Angeboten zu fragen, unterbindet ein Wikinger-Chor die Kommunikation und singt lauthals „Spam, Spam, Spam ...“.

8. Siehe dazu: http://www.spam.com 9. Siehe dazu: [WYM99]

(20)

2 – Was ist Spam?

In einem Usenet-Posting am 31. März 1993 wurde dann, so die Darstellung in [GOO04], das erste Mal für unerwünschte Werbung in Newsgroups der Begriff

„Spam“ verwendet. Die damalige Internetgemeinde, der sehr viele Fans von Monty Pythons Flying Circus angehörten, verstand die Anspielung.

Andere Autoren dokumentieren die Begriffsentstehung nicht so detailliert, sondern heben auf die massive Kommunikationsstörung und die Analogie zu diesem Sketch ab: Durch Spam wird jede normale Kommunikation unterbun- den, das Kommunikationsmedium unbrauchbar gemacht.

So laufen Postfächer wegen Spam über, Mailserver brechen unter der Flut von Werbemails zusammen und schlecht konfigurierte Filter löschen erwünschte Nachrichten, weil sie diese fälschlich für Spam halten. Der Mensch, als letzter in der Reihe, übersieht dann auch noch in den Mail-Massen die erwünschten Nachrichten. So wird E-Mail unbrauchbar.

Aus der Geschichte, die [McW05] in Romanform erzählt, ergibt sich zunächst die enge Definition von Spam: Spam sind unerwünschte Werbepostings im Usenet. Später wurde der Begriff schnell erweitert auf unerwünschte Werbe-E- Mails, die man ursprünglich „Unsolicited Commercial E-Mail“ oder kurz UCE nannte.

Tatsächlich gibt es immer wieder Hardliner, die Spam nur in der ursprüngli- chen, engen Definition der unerwünschten Usenet-Postings verwendet wissen wollen. So gab es z.B. lang anhaltende, heftige Diskussionen, als der Artikel über UCE im deutschen Wikipedia¹⁰ unter die Überschrift „Spam“ verschoben wurde. Mittlerweile wird auch dort Spam in der neueren, weiteren Definition verwendet.

Allerdings ist die überwiegende Meinung in Fachkreisen immer noch, dass unter Spam nur unerwünschte Werbemails zu verstehen sind, nicht jedoch uner- wünschte Massenmails: Letztere stellen eine Art Oberbegriff dar: Auch Spam- Mails sind unerwünschte Massenmails, englisch „Unsolicited Bulk E-Mail“

(UBE), aber nicht jede UBE ist Spam.

2.2 Spam und Recht

Spam ist nur dann Spam im Sinne unserer Definition, wenn es sich bei dem In- halt der Nachricht um unerwünschte E-Mail-Werbung handelt. Die Nachricht

10. http://www.wikipedia.de

(21)

Spam und Recht

muss also einen werbenden Charakter haben. Dabei fasst die deutsche Recht- sprechung den Begriff Werbung anwenderfreundlich sehr weit.

Wichtigstes Kriterium ist „unerwünscht“. Eine werbende Mail ist genauso wie Werbung per Fax, BTX, Telex, SMS oder auch Telefon immer dann uner- wünscht, wenn sie außerhalb einer Geschäftsbeziehung zugesandt wird und der Absender nicht mit dem Interesse des Empfängers an seiner Zusendung rechnen durfte. Durch diese Einschränkung soll der Absender die Chance haben, neue Geschäftsbeziehungen anbahnen zu können, schließlich gehört das zum üblichen Geschäftsgebahren.

Allerdings ist der Absender in Bezug auf das mutmaßliche Interesse des Emp- fängers nach deutscher Rechtsprechung beweispflichtig. Seine Begründung muss einer objektiven Nachprüfung standhalten.

Die Behauptung, dass jeder Mensch irgendwann einmal eine zwie- oder rot- lichtige Seite im Netz besuchen würde, reicht also nicht aus, sondern es muss das konkrete, aktuelle Interesse des Empfängers begründet werden¹¹. Das jedoch fällt den meisten Spammern schwer.

In einem der Verfahren, die ich gegen Spammer geführt habe, konnte sich der Spammer in seinen Schriftsätzen noch nicht einmal entscheiden, ob er mich als Freiberufler oder Privatperson kontaktiert hatte. Damit half ihm die Ausrede, ich könnte an einer Kontaktaufnahme interessiert gewesen sein, auch nicht weiter.

Die Annahme, dass der Empfänger der Werbemail auf seiner Homepage eine E-Mail-Adresse angegeben hätte und damit stillschweigend jeglicher Kontakt- aufnahme zustimme, reicht ebenso wenig für eine gültige Begründung aus.

Umstritten ist derzeit noch, ob in einer bestehenden Geschäftsbeziehung die Zusendung von Werbung in beliebigem Umfang geduldet werden muss. Die überwiegende Mehrheit geht davon aus, dass, sobald der Empfänger der weiteren Zusendung von Werbung nachweislich widersprochen hat, sie als uner- wünscht einzustufen ist und es sich damit um Spam handelt.

Unter anderem deswegen fordert das 2004 aktualisierte Gesetz gegen den un- lauteren Wettbewerb (UWG) das Vorhandensein eines Abmeldelinks in solchen Newslettern. Allerdings zeigt die Praxis, dass Spammer das Anklicken eines Abmeldelinks häufig als Bestätigung ansehen, dass Mails an die be-

11. Detaillierter zur Rechtslage [EGG04c] mit zahlreichen weiteren Quellen.

(22)

2 – Was ist Spam?

spammte Adressen tatsächlich gelesen werden. Solche Adressen werden als

„verified“ unter Spammern zu deutlich höheren Preisen gehandelt. Deshalb ist es in aller Regel nicht zu empfehlen, einen solchen Link anzuklicken¹². Nicht nur wegen der häufig mit dem Klick auf einen vorgeblichen Abmelde- link verbundenen Gefahren ist die Form des Widerspruchs dem Widerspre- chenden überlassen. Insbesondere stellt die Zusendung einer Abmahnung mit Aufforderung zur Abgabe einer Unterlassungserklärung einen Widerspruch gegen die Zusendung von weiteren Newslettern dar. Der Vorteil eines Wider- spruchs per Fax oder Brief ist zudem die Beweisbarkeit. Denn die Beweis- pflicht für den erfolgten Widerspruch liegt beim Empfänger der Werbung.

Zulässig ist es, Empfängern auf deren ausdrücklichen Wunsch hin E-Mails mit werbendem Inhalt zuzusenden. Diese Werbung wird zumeist als Newsletter bezeichnet. Beweispflichtig für die Eintragung in den Newsletter ist der Ver- sender. Daher empfiehlt sich die Verwendung eines qualifizierten Double-Opt- In-Verfahrens, um zu verhindern, dass missbräuchlich E-Mail-Adressen Drit- ter ohne deren Zutun eingetragen werden. Mit diesem Verfahren befasst sich Kapitel 9.

Wie genau diese Zustimmung zur Zusendung von E-Mail-Werbung jedoch aussehen muss, ist nicht festgelegt. Häufig konstruieren daher zwielichtige Anbieter bei Kontaktaufnahme eine Zustimmung über ein Kontaktformular oder bei Teilnahme an einem Gewinnspiel über die angeblich einbezogenen AGB. Dabei steht entweder unterhalb des Eingabeformulars im Kleingedruck- ten, dass der Absender der Nutzung seiner E-Mail-Adresse zu werblichen Zwecken zustimmt, oder aber, der Surfer muss den Teilnahmebedingungen, die in diesem Fall aus rechtlicher Sicht AGB darstellen und eine entsprechende Regelung enthalten, zustimmen.

Aus meiner Sicht ist es fraglich, ob bei einer allgemeinen Anfrage an ein Un- ternehmen über ein Kontaktformular ein Vertrag zustande kommt, der die Ein- beziehung von AGB rechtfertigen würde: Es fehlt am Vertragsbindungswillen des potenziellen Kunden, der Bedingung für einen Vertragsschluss ist. Kommt aber kein Vertrag zustande, dann können erst recht keine AGB, die ja ein vor- formuliertes Vertragswerk darstellen, Vertragsbestandteil werden.

Im Fall der Gewinnspielteilnahme wäre kritisch zu prüfen, ob eine Bedingung, die erhaltenen Daten des Teilnehmers an Dritte weitergeben zu dürfen, und das

12. Siehe dazu z.B. [GOO04]

(23)

Unsolicited Bulk E-Mail

„Zwangsabonnement“ eines Newsletters nicht überraschende Klauseln sind, mit denen ein Teilnehmer nicht zu rechnen braucht.

Die Rechtslage ist hier meiner Ansicht nach jedenfalls neu zu beurteilen und nicht zwangsläufig mit Gewinnspielen, an denen man z.B. durch Ausfüllen einer Postkarte teilnimmt, vergleichbar: Zum einen muss der Absender Postkar- ten nicht vollständig ausfüllen, was bei Online-Spielen durch entsprechende Programmierung verhindert werden kann, und zum anderen verursacht die postalische Zusendung von Werbung, die bei Offline-Gewinnspielen die übli- che Konsequenz ist, anders als E-Mail-Werbung beim Empfänger keine Kos- ten.

Die rechtswissenschaftliche Literatur schweigt sich allerdings zu dieser Frage derzeit noch aus. Auch in der Rechtsprechung findet sich noch kein entspre- chendes Urteil.

2.3 Unsolicited Bulk E-Mail

Unter UBE versteht man alle unerwünscht eintreffenden Massenmails – unab- hängig von ihrem Inhalt und Absender. UCE ist also eine Untermenge von UBE: Jede Spammail ist UBE, aber nicht jede UBE ist Spam.

Die massenhaft eintreffenden und überaus lästigen Wurm-Mails, die von infizierten Rechnern mit dem Ziel, die Infektion zu streuen, automatisch versandt werden, sind kein Spam. Bei ihnen handelt es sich ebenso um UBE wie bei mancher lästigen E-Mail aus dem Bekanntenkreis, in der ein Absender Be- langlosigkeiten an sein gesamtes Adressbuch versendet, ohne die Blind-Car- bon-Copy-Funktion (Blind-CC, BCC) seines E-Mail-Programms zu nutzen.

Damit verstößt der Absender nicht nur vollumfänglich gegen die Netiquette¹³ und handelt sich so schnell den Ruf eines DAU (DAU, dümmster anzunehmen- der User) ein, sondern er liefert auch gleichzeitig E-Mail-Würmern Futter: Die durchsuchen mittlerweile E-Mails auf infizierten Systemen nach Mailadressen neuer Opfer.

Die Unterscheidung zwischen UBE und UCE ist notwendig, da Würmer beim Sammeln von Adressen ihrer Opfer andere Verfahren verwenden. Daher sind gegen Würmer die gängigen Anti-Spam-Verfahren machtlos – effektiver ist der Einsatz eines Virenscanners auf dem Mailserver, der ähnlich wie z.B.

13. Siehe dazu: [FREY02] und [RFC1855]

(24)

2 – Was ist Spam?

ClamAVs Milter für Sendmail¹⁴ Viren und Würmer bereits im SMTP-Dialog abblockt.

Zudem sollten Arbeitsplatzrechner durch Firewallsysteme und aktuelle Vi- renscanner geschützt werden und Anwender im Umgang mit Viren geschult sein. Gerade die Anwenderschulung ist vor dem Hintergrund der zunehmen- den Verbreitung von Viren und Würmern mittels Trojaner, die einen Menschen für ihre Ausführung brauchen, eine vielfach unterschätzte Sicherheitsmaßnah- me, die großes Potenzial birgt.

Die folgenden Maßnahmen zielen einzig auf die Bekämpfung von „echtem“

Spam ab. Gegen UBE, insbesondere das von Würmern verursachte, sind sie machtlos. Aber dagegen existieren ja bereits effektive Mittel.

14. ClamAV ist ein OpenSource-Virenscanner, den es auf http://www.clamav.org gibt, und Sendmail ist der wohl am weitesten verbreitete Mailserver, zu finden unter http://www.send- mail.org. Milter ist ein Kunstwort, das aus „Mail-Filter“ entstanden ist und eine Sendmail- Schnittstelle zum Filtern von Mails beschreibt. Mehr dazu u.a. in [EGG05d]

(25)

3 Woher haben Spammer die Mailadressen?

3.1 Freiwillige Eingabe

Spammer kennen im Wesentlichen zwei Methoden, um an die E-Mail-Adres- sen ihrer Opfer zu gelangen: Entweder überzeugen sie ihre potenziellen Opfer, ihre E-Mail-Adresse auf Webseiten, Papierformularen oder telefonisch frei- willig zu verraten, meist unter Vorspiegelung eines Gewinnspiels oder eines freien Zugangs zu meist zwie- bzw. rotlichtigen Seiten. Im Rahmen zweifel- hafter AGB, häufig auch Teilnahmebedingungen genannt, holen sie sich vom Opfer sogar noch die Erlaubnis, die so gewonnene E-Mail-Adresse auch an Dritte weitergeben zu dürfen.

3.2 Adressen im Internet automatisch sammeln

Die alternative Methode setzt nicht auf Leichtgläubigkeit, sondern auf Suchro- boter, und lässt sich damit vom Anwender selbst viel schlechter kontrollieren als die freiwillige Weitergabe der E-Mail-Adresse.

3.2.1 Durchsuchen von Internetseiten

Es ist ohne Probleme und ohne großen Aufwand möglich, aus Internetseiten automatisch E-Mail-Adressen herauszusuchen. Dafür ist (theoretisch) kein be- sonderes Know-how, sondern lediglich ein leistungsstarker Rechner mit einem breitbandigen Internetzugang notwendig. Die verbleibende Arbeit erledigen Linux-Bordmittel oder einige wenige Zeilen in einer Script-Sprache wie Perl¹⁵.

Es gibt auch zahlreiche fertige Programme für solche Zwecke, wie z.B. E-Mail Hunter! oder Email Spider. Eine Zeit lang wurden diese Programme sogar für T-Online-Kunden im Download-Bereich von T-Online zur Verfügung gestellt.

15. Hinweise zur Programmierung von Spidern und damit auch Harvestern liefert z.B.

[HEM03]

(26)

3 – Woher haben Spammer die Mailadressen?

Diese Sammelprogramme sind technisch eigentlich primitiv, denn man muss nur einen kleinen Pseudo-Browser schreiben, der Internetseiten abruft und nach allem sucht, was aussieht wie ein Link oder eine E-Mail-Adresse.

Links verfolgt das Programm, um möglichst viele Seiten im Internet zu erreichen. Durch gegenseitige Links zwischen Webseiten besteht die Gefahr, dass eine Art Ring entsteht. Das Programm soll daher jede Seite nur genau einmal aufsuchen, um sich nicht in einer Endlosschleife zu verheddern. Besuchte Sei- ten müssen also protokolliert werden.

Die E-Mail-Adressen lassen sich sehr einfach über so genannte regular expressions¹⁶ im HTML-Code finden und auslesen. Dabei können natürlich E-Mail-Adressen auf verschiedenen Seiten genannt werden, so dass man einige Doubletten hat. Um diese zu eliminieren, wandelt man sie mit dem Unix-Befehl tr einheitlich in Kleinbuchstaben um, so dass beim anschließen- den Sortieren mit dem Programm sort nicht unterschiedliche Groß- und Klein- schreibung Verwirrung stiftet. Jetzt kann uniq Doubletten erkennen und ent- sorgen. Das Ergebnis dieser Operationen schreibt man in eine Datei, die man dann dem Mail-Programm als Eingabe liefert.

Für die Suche muss ein günstiger Einstiegspunkt gewählt werden. Webver- zeichnisse wie Yahoo bieten sich an, da hier unzählige Links auf jede Menge Seiten gelistet sind. Damit wird sehr schnell möglichst viel „Internet¹⁷“ abge- grast: Die Zahl der gefundenen E-Mail-Adressen lässt sich so maximieren.

Um Ihnen einen Eindruck davon zu verschaffen, wie einfach dieses Verfahren ist, gebe ich Ihnen zwei Linux-Befehlszeilen an, die eine solche Suche durch- führen können.

16. Eine Einführung in regular expressions, eine Methode zur Erkennung von bestimmten Mustern in Zeichenketten, findet sich in [EGG05] oder auch [SEL02],[FRI02] oder [STU03]. Das Konzept stammt aus der theoretischen Informatik, die mit regulären Aus- drücken so genannte reguläre Sprachen konstruiert.

17. Ich verwende hier den Begriff „Internet“ und „World Wide Web (www)“ synonym: Das ist zwar technisch nicht korrekt, entspricht aber dem Sprachgebrauch.

wget --user-agent="Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)"

-r --span-hosts -t1 --ignore-length --reject gif,jpg,jpeg,png,mpg,mpeg,avi,zip,gz,tar,css,js http://www.example.com [RET]

(27)

Adressen im Internet automatisch sammeln

Dabei handelt es sich bei der vorgeschlagenen Lösung bewusst noch längst nicht um eine Optimallösung: Zum einen werden alle Internetseiten vollstän- dig auf der Platte zwischengespeichert und erst dieses Ergebnis wird anschlie- ßend auf E-Mail-Adressen untersucht. Sie ahnen sicher, dass dies bei der Viel- zahl von vorhandenen Seiten einen schier unendlichen Speicherplatzbedarf bedeuten würde. Zum anderen überprüft das hier verwendete Programm wget, ob eine Datei robots.txt existiert, mit der Webseiten-Programmierer solchen automatischen Suchprogrammen den Zugriff auf bestimmte Seitenteile verbie- ten können¹⁸.

Allerdings ist dies eine Konvention, die nur von anständigen Entwicklern ein- gehalten wird, technisch jedoch problemlos zu umgehen ist und auch umgan- gen wird. So kann beispielsweise wget über die Konfigurationsdatei .wgetrc entsprechend konfiguriert werden, genauere Angaben enthalten die Info-Pages von wget.

Die erste Befehlszeile startet also das Programm wget, das sich dabei als Inter- net Explorer ausgeben soll, um in den Logfiles der Seitenbetreiber keine ver- dächtigen Eintragungen zu hinterlassen. Die zusätzlichen Parameter bringen wget dazu, ausschließlich HTML-Seiten herunterzuladen und Links auch über unterschiedliche Server zu verfolgen.

wget hat den Vorteil, selbst in der Lage zu sein, Links in den Seiten zu extra- hieren und zu verfolgen. Somit konnten wir uns hier Entwicklungsarbeit spa- ren.

In der zweiten Befehlszeile werden die gespeicherten Seiten auf dem Rechner nach E-Mail-Adressen durchsucht und diese extrahiert. Dies leistet der Befehl grep in Zusammenarbeit mit sed. grep greift dabei alle Zeilen heraus, in denen die Zeichenfolge „mailto:“ vorkommt. Diese markiert in einem HTML-Link eine E-Mail-Adresse.

sed verwendet dann eine regular expression, mit der es aus dem HTML-Link die E-Mail-Adresse extrahiert.

grep -rhiE "mailto:" ./ | sed "s/.*mailto:$[A-Z0-9_-]\+\(\.[A-Z0-9_- ]*$*@$[A-Z0-9_-]\+\.$\+[A-Z]\{1,4\}\).*/\1/gi" | tr "[:upper:]"

"[:lower:]" | sort | uniq > emailadressen.txt [RET]

18. Eine genaue Beschreibung des Formats und Beispiele finden sich in [KOS94] und [W3CAPPB]

(28)

Anschließend werden die E-Mail-Adressen mittels des Hilfsprogramms tr vollständig in Kleinbuchstaben umgewandelt, alphabetisch sortiert (sort) und dann von Doubletten mittels uniq befreit.

Das Ergebnis dieser Arbeit wird in die Datei emailadressen.txt geschrieben, die problemlos von jedem anderen Programm genutzt werden kann.

Zwar ist die hier vorgestellte Lösung noch weit von einem Optimum entfernt, insbesondere die aufwendige Zwischenspeicherung der Webseiten auf der Platte ist ungünstig. Auch lassen sich unter Umständen E-Mail-Adressen, die nicht in einer Zeile stehen, nicht fehlerfrei extrahieren und auch so genannte Session-Ids würden von wget nicht korrekt erkannt und interpretiert, weshalb noch Endlosschleifen entstehen könnten.

Allerdings ist es beeindruckend, dass man ohne eine einzige Zeile program- mieren zu können, nur unter Verwendung von Unix-Bordmitteln, schon einen Minimal-Harvester (harvester, engl. „Erntemaschine“) erstellen kann. Der Ein- satz von Perl und des LWP-User-Agent führt ähnlich schnell zu Ergebnissen – jedoch lassen sich dann durch eigene Programmierarbeit die Nachteile des einfachen „wget-Harvesters“ beseitigen.

Alternativ kann man auch wget für diesen Zweck umprogrammieren, schließ- lich ist es ein OpenSource-Programm, so dass der Quellcode vorliegt und sich beliebig anpassen lässt.

Tatsächlich ist der Einsatz solcher Harvester derzeit das beliebteste Verfahren.

Der Aufwand ist bei richtiger Programmierung, die mittlerweile Spammern auch schon abgenommen wird, weil entsprechende Software in großem Um- fang im Internet angeboten wird, minimal. Zudem kommen, bei geeigneter Wahl des Startpunkts der Suche, in kürzester Zeit Tausende von E-Mail-Adres- sen heraus, wie ich durch eigene Tests¹⁹ gezeigt habe – und was Sie jederzeit leicht durch Eingabe der Befehlszeilen oben verifizieren können.

3.2.2 Newsgroups und ähnliche Quellen

Beliebt sind ferner das automatische Durchkämmen von Mailinglisten-Archi- ven, was häufig auf eine automatische Suche über Internetseiten hinausläuft, und das Durchsuchen von Newsgroups, den schwarzen Brettern des Internets.

19. Siehe dazu: [CDT03], [EGG04], [EGG04a], [EGG05a], [EGG05b] und [EGG05c]

(29)

Vorteil ist, dass hier im Allgemeinen jeder Newsgroup-Post einen Treffer liefert und häufig die Adressen valide sind und gelesen werden. Nachteilig dabei ist, dass zumindest für die Suche in Newsgroups etwas mehr Aufwand notwendig ist, den die meisten Spammer anscheinend scheuen. Allerdings wird dieser Nachteil durch zahlreiche Webseiten, die Newsgroups in das WWW spiegeln und somit in Form von Webseiten anbieten, schnell kompensiert. Der bekann- teste Dienst für diesen Zweck dürfte Google Groups sein, der aus oben ge- nanntem Grund mittlerweile E-Mail-Adressen in seinem News-Archiv ver- kürzt und damit verfälscht darstellt.

Auch die Whois-Einträge zu Domainnamen werden von Spammern genutzt:

Dort muss eine gültige E-Mail-Adresse eingetragen sein, die automatisch aus- gelesen werden kann. In einem Beitrag in der einschlägigen Newsgroup de.ad- min.net-abuse.mail berichtete Can Filip Sakrak im Dezember 2004, dass auch PGP-Key-Server²⁰ nach E-Mail-Adressen abgesucht würden. Allerdings sind diese beiden Methoden derzeit noch eher selten und auch kaum lohnend, da zahlreiche Anwender dort nicht gelistet sind.

3.2.3 Erraten von Adressen

E-Mail-Adressen lassen sich auch erraten. So gibt es in den Requests for Com- ments (RFC), die eine Art Internetnorm darstellen, eine Empfehlung, welche Adressen unter jeder Domain vorhanden sein sollten. Dies sind, neben einigen anderen, info, webmaster, hostmaster und postmaster, also Adressen, denen bestimmte Funktionen in Zusammenhang mit Servern zugeordnet sind.

Hat man nun eine Liste von Domains, so kann man auf gut Glück versuchen, an diese Adressen unter den jeweiligen Domains seinen Werbemüll zu versen- den, und hat, sofern die Mailserver ordentlich konfiguriert sind, bereits eine hohe Trefferquote.

Tatsächlich erhalte ich regelmäßig an solche Accounts – beliebt ist vor allem webmaster und postmaster – Spam.

Allerdings wird diese Methode zunehmend unbeliebt, da diese Adressen häu- fig fortgeschrittenen Anwendern oder gar Administratoren zugeordnet sind, die sich massiv gegen Spam wehren und damit zu starke Gegner darstellen.

20. PGP dient zur asymmetrischen Verschlüsselung von E-Mails. Die öffentlichen Schlüssel werden auf so genannten Key-Servern bereitgestellt. Siehe auch: [EGG04e] oder z.B.

[SCHWE02]

(30)

Ein anderes Verfahren, das sehr lange z.B. bei web.de funktionierte, war das Erraten von E-Mail-Adressen. Da web.de einer der größten E-Mail-Anbieter in Deutschland ist und die meisten Anwender Adressen der Form „vorna- me.nachname@“ bzw. Variationen davon bevorzugen, lassen sich mit Hilfe eines Telefonbuchs schon eine Menge Adressen raten.

web.de unterstützte diese Methode versehentlich längere Zeit, da es beim Empfang einer E-Mail schon beim Lesen des SMTP-Envelope²¹ überprüfte, ob der Empfänger der Mail existiert, und eine entsprechende Positiv- oder Fehler- meldung generierte. Dadurch ließen sich Adressen sehr schnell verifizieren.

Mittlerweile macht auch web.de das, was zahlreiche Mailserver schon lange vorher taten: Sie nehmen die Mail zunächst anstandslos an, um später eine Fehlermeldung zu generieren. Dieses Verfahren ist deshalb günstiger, weil die Verifikation von Adressen so wesentlich mehr Aufwand bedeutet und zudem nicht nur den Mail-Server auf Empfängerseite belastet, sondern auch den des Absenders, der ja die eingehenden Fehlermeldungsmails verarbeiten muss – sofern die Absenderadresse existiert und nicht gefälscht ist. Sonst entstehen Schleifen von Fehlermeldungsmails oder es werden unbeteiligte Dritte mit Fehlermeldungen regelrecht bombardiert.

Analog war früher auch das Erraten von E-Mail-Adressen bei AOL sehr einfach: Es gab eine maximale Länge für den so genannten local part, also die Zeichenfolge, die links vom @ steht. Aufgrund des begrenzten Zeichenvorrats, der für den local part in Frage kommt, lassen sich allein durch Ausprobieren ausreichend viele gültige Adressen finden.

Diesen Aufwand zu betreiben, waren Spammer auch nicht immer gewillt – so kaufte ein Spammer einem mittlerweile ehemaligen AOL-Mitarbeiter für 50.000 US$ einfach ein Kundenverzeichnis mit E-Mail-Adressen ab.

Ebenso war es eine Zeit lang möglich, T-Online-Adressen zu erraten: Jeder Nutzer hatte eine aus seiner Telefonnummer inklusive Vorwahl und einer zu- sätzlichen eindeutigen Zahlenfolge bestehende E-Mail-Adresse. Die Telefon- nummern lassen sich wiederum automatisch aus dem Telefonbuch generieren – das gibt es zweckmäßiger Weise auf CD-ROM oder online, jeweils mit der Möglichkeit, die Zielgruppe sogar räumlich einzugrenzen.

21. Ein virtueller Briefumschlag einer E-Mail, den Mailserver generieren und auch wieder entfernen. In Ihrem Mailprogramm bekommen Sie ihn nie zu Gesicht.

(31)

Aus diesen Darstellung lässt sich folgern, dass die Wahl eines kleineren Pro- viders unter Umständen günstiger sein kann. Zudem sollte die E-Mail-Adresse nicht allzu leicht zu erraten sein – was die Nutzbarkeit für den Besitzer der Adresse wiederum einschränkt: Eine beliebige Zeichenfolge mit Sonderzei- chen lässt sich nun mal schwer kommunizieren und an Dritte weitergeben.

3.2.4 Adresshandel

Ein weiteres Standbein für Spammer, vor allem für die, die nicht einmal in der Lage sind, die eben geschilderten einfachen Such- und Ratemethoden zu nutzen, liefert der Adresshandel: Dritte generieren nach den oben beschriebenen Verfahren E-Mail-Adressen und verkaufen sie dann an neue Spammer. Häufig werden diese Adresslisten wiederum durch Spam beworben – also Spam für Spam, eine Art Meta-Spam.

Ein Beispiel für so eine Meta-Spam-Mail zeigt Abbildung 3.1.

Abb. 3.1: Meta-Spam: Diese Mail wirbt Spammer-Nachwuchs

(32)

Teilweise bleiben solche Adresslisten mehrere Jahre im „Handel“: Dadurch können plötzlich neu eingerichtete, aber noch nicht publizierte E-Mail-Adres- sen Opfer von Spam werden, nur weil diese Adresse bereits vor einiger Zeit von jemand anderem genutzt wurde.

Solche Listen findet man immer wieder auch z.B. bei eBay im Angebot. Die Preise beginnen bei einigen wenigen Euro für einige Millionen Adressen.

(33)

4 Grundlegende

Vorsichtsmaßnahmen

Ziel ist das Entwickeln von Methoden, mit deren Hilfe sich Spam möglichst frühzeitig vermeiden lässt. Bereits einige einfache Grundregeln können dazu einen wertvollen Beitrag leisten.

4.1 Umgang mit Mailadressen

Eine hohe Spam-Vermeidungsquote erreicht man bereits, indem man kritisch überprüft, wem man wann seine Mailadresse mitteilt: So ist es in aller Regel nicht empfehlenswert, auf Webseiten z.B. in Gästebüchern oder Foren die eigene Mailadresse anzugeben. Genauso wenig sollte die Mailadresse auf Post- karten für Gewinnspiele oder auf Messeständen eingetragen werden. Häufig stellt die anschließend erhaltene Werbung zwar subjektiv Spam dar, objektiv juristisch gesehen ist sie jedoch mit Einwilligung des Empfängers zugesandt und damit eben gerade kein Spam mehr.

Auch mit den Mailadressen Dritter sollte sorgfältig umgegangen werden: E- Mails an mehrere Personen sollten – außer die Empfänger kennen sich alle gut untereinander – nicht über das To:-Feld, sondern über das Bcc:-Feld versandt werden. Bcc steht für „Blind Carbon Copy“. Die im Bcc:-Feld angegebenen Empfänger erhalten die Nachricht, jedoch erfahren die anderen Adressaten nichts von diesen Empfängern. Die Adressen sind also für alle anderen unsichtbar.

Das hat zwei Vorteile: Zum einen können Würmer, die vermehrt zum Spam- Versand eingesetzt werden, diese Adressen auch nicht erkennen – sie finden also weniger Opfer. Zum anderen kann der Empfänger nicht aus Versehen eine Antwort an alle senden. Das wäre dann zwar formal kein Spam, ist aber fast genauso lästig.

Als Nebeneffekt können Dritte nicht „versehentlich“ eine Adresse an Spam- mer weitergeben: Sie kennen sie ja gar nicht.

(34)

4 – Grundlegende Vorsichtsmaßnahmen

4.2 Wegwerfadressen

Sollten Sie tatsächlich einmal an einem Gewinnspiel teilnehmen wollen oder es aus sonstigem Grund für nötig halten, eine E-Mail-Adresse anzugeben, empfiehlt sich der Einsatz von Wegwerfadressen.

Es gibt Anbieter, bei denen man E-Mail-Adressen generieren kann, die nur für eine bestimmte Zeit gültig sind. Das ist vorteilhaft, wenn Sie sicher wissen, wann die Antwort eintreffen wird.

Einen solchen Dienst bietet Spamhole unter http://www.spamhole.com an. Je- doch muss man sich dort für jede neu zu erzeugende E-Mail-Adresse erneut einloggen, was die Nutzung etwas umständlich macht.

Die Alternative sind E-Mail-Adressen, die bei Bedarf vom Mailserver des Providers automatisch erzeugt werden: MyTrashMail (http://www.mytrash- mail.com) und dodgeit (http://www.dodgeit.com) erlauben es, eine E-Mail an einen beliebigen Local-Part²² unter den jeweiligen Domains zu schicken. Die empfangenen E-Mails können dann über eine Weboberfläche abgerufen werden. Dazu muss kein Passwort angegeben werden, auch muss diese E-Mail- Adresse nicht vorher auf der Webseite eingetragen werden.

Zum „Login“ reicht es aus, den richtigen Local-Part anzugeben. Das ermög- licht es auch Dritten, E-Mails zu lesen, indem sie den Local-Part erraten. Beim Testen der verschiedenen Angebote konnte ich so mit „someone“ als Local- Part interessante (?) Nachrichten lesen.

Immerhin können E-Mails bei MyTrashMail gelöscht werden – bei dodgeit nicht, was im Allgemeinen nicht tolerabel sein dürfte. Zudem hat während meiner Tests dodgeit einige E-Mails nicht angenommen, was gegen eine prak- tische Nutzung spricht.

MyTrashMail bietet zudem die Möglichkeit, Antwortmails direkt über die Weboberfläche zu senden. Damit bietet MyTrashMail zusammen mit einem Anonymisierdienst wie z.B. dem Java Anonymous Proxy der TU-Dresden (http://anon.inf.tu-dresden.de) eine einfache Möglichkeit, anonym zu mailen.

Eine andere Lösung, zeitlich unbegrenzt gültige, aber mengenmäßig limitier- bare Accounts zu erzeugen, bietet Spamgourmet (http://www.spamgour- met.com). Dabei werden die von Spamgourmet empfangenen Nachrichten für

22. Der Teil der Mailadresse vor dem „@“-Symbol

(35)

Wegwerfadressen

den Absender unsichtbar und vor allem unbemerkt an die eigene E-Mail- Adresse weitergeleitet.

In diesem Zusammenhang kann man für jede Spamgourmet-E-Mail-Adresse unter dem eigenen Benutzernamen einstellen, wie viele E-Mails weitergeleitet werden sollen. Treffen danach noch E-Mails ein, werden sie automatisch von Spamgourmet gelöscht.

Das Praktische an diesem Dienst ist, dass Spamgourmet-Adressen jederzeit und ohne die Webseite des Dienstes besuchen zu müssen, generiert werden können. Damit ist die Funktionalität vergleichbar mit der Lösung von My- TrashMail, sie bietet jedoch den Vorteil, E-Mails per SMTP weiter an ein de- finiertes Postfach zuzustellen, und ist damit für Dritte nicht so einfach einzu- sehen.

In einer erweiterten Konfiguration kann man sogar einrichten, dass Antworten, die vom eigenen, regulären Mailaccount aus gesendet werden, getarnt werden und als Absender die für diese Kommunikation gewählte Spamgourmet- Adresse verwendet wird. Allerdings übernimmt Spamgourmet keine Anony- misierung – aus dem Header einer Antwortmail ist der Absender unter Um- ständen noch ersichtlich. Dieses Problem lässt sich aber mit einem E-Mail- Anonymisierdienst²³ bei Bedarf beheben.

Die Weboberfläche von Spamgourmet bietet zusätzliche Optionen an. So ist es beispielsweise möglich, Absender einzurichten, die bei der Zählung der E-Mail-Anzahl nicht berücksichtigt werden. Außerdem lässt sich nachträglich die Zahl der zulässigen Mails verändern.

Zusätzliche Optionen ermöglichen es auch paranoiden Nutzern, mit diesem Dienst glücklich zu werden: So kann man das Muster der E-Mail-Adressen be- einflussen, ein Raten durch einen Spammer wird somit unmöglich gemacht oder deutlich erschwert.

Im Vergleich zu dodgeit und MyTrashMail bietet Spamgourmet den Vorteil, die E-Mails für Dritte nicht so einfach zugänglich zu machen. Außerdem lassen sich bei Spamgourmet die benötigten Adressen on-the-fly generieren, die empfangenen E-Mails werden an das reguläre Postfach weitergeleitet. Ein Be- such auf einer Webseite entfällt im Gegensatz zu Spamhole.

23. Diese Dienste nennt man anonymous remailer und lassen sich, sucht man nach diesem Begriff bei Google, in großer Menge finden. Siehe dazu auch: [EGG05h]

(36)

4.3 Newsletter und Ähnliches

Spamgourmet kann auch für Newsletter eingesetzt werden, indem bestimmte Absender auf eine White-List gesetzt werden und somit von der Zählung aus- genommen sind.

Allgemein sollten für Newsletter-Abos oder Bestellungen bei Unternehmen besondere, eigene Mailadressen verwendet werden. Dadurch lässt sich die private Post von solchen Nachrichten trennen und sehr einfach, ohne den Bekann- tenkreis mit einer neuen Adresse belästigen zu müssen, die für Newsletter ein- gesetzte Adresse deaktivieren.

Häufig wird vorgeschlagen – sofern man über einen eigenen Mailserver ver- fügt –, für jedes Unternehmen eine eigene Adresse zu verwenden. Damit lie- ßen sich Weiterverkäufer von Adressen leicht identifizieren und man kann die Adresse bei Missbrauch individuell sperren.

Geht man davon aus, dass wesentlich häufiger Adressen neu angelegt werden, als welche blockiert werden müssen, so lässt sich diese Lösung nur sinnvoll mit einem Mailserver realisieren, der über eine so genannte Catch-All-Funkti- on verfügt. Dabei wird zunächst geprüft, ob die Empfängeradresse eigens definiert wurde. Ist das nicht der Fall, wird sie an eine definierte Adresse weitergeleitet.

In sendmail²⁴ lässt sich das in der virtusertable leicht einstellen. So leitet

alle Mails, die unter der Domain mail.example.com eingehen, mit unveränder- tem Local-Part an die Domain example.com weiter. Aus user@mail.examp- le.com wird damit user@example.com.

Einen „wahren“ Catch-All erzeugt die folgende Zeile:

Damit werden alle Mails, die an eine beliebige, nicht anderweitig in der virt- usertable definierte Adresse unter der Domain example.com gehen, an den lokalen Benutzer „catchall“ weitergeleitet.

@mail.example.com %1@example.com

24. Ausführlichere Informationen zu Sendmail und dessen Konfiguration liefert [COS97]

@example.com catchall

(37)

Keinesfalls: gefälschte Absenderadressen

Mit dieser Konfiguration lassen sich neue E-Mail-Adressen bei Bedarf wie bei Spamgourmet schnell anlegen, insbesondere ist eine Bearbeitung der virtuser- table nicht notwendig.

Allerdings muss zum Blockieren von Adressen die virtusertable bearbeitet werden:

Dadurch werden E-Mails an die Adresse dontbugme@example.com schon im SMTP-Dialog mit der Fehlermeldung „User unkown“ und dem entsprechenden SMTP-Fehlercode geblockt. Damit werden sie gar nicht mehr angenommen.

Ähnliche Konfigurationsmöglichkeiten bietet auch das für seine Sicherheit und Stabilität bekannte Mailserver-Programm qmail, erhältlich unter http://

www.qmail.org. Auf der qmail-Webseite findet sich eine an sich ausreichende Dokumentation. Wer gedruckte Unterlagen bevorzugt, sollte einen Blick in [SIL01] oder [MAT97], [BER03] und [BER03a] werfen. Analog gilt das für den sehr bekannten Mailtransferagenten Postfix, für den [HEIN04] wohl das Standardwerk schlechthin sein dürfte.

Der Einsatz von Wegwerfadressen hilft somit, dem Adresshandel vorzubeugen und Adresshändler zu identifizieren. Ob jedoch die Aussage, man habe die Adresse xy@example.com ausschließlich an das Unternehmen XY kommuni- ziert und somit sei dieses Unternehmen für den Weiterverkauf der Adresse ver- antwortlich, vor Gericht einen ausreichenden Beweis darstellt, steht auf einem anderen Blatt. Die einfache Sperrmöglichkeit und die Option, „Gute“ von „Bö- sen“ zumindest für den eigenen Bedarf zu trennen, sind jedenfalls Pluspunkte dieses Verfahrens.

Der Einsatz externer Anbieter wie Spamgourmet verringert den eigenen Kon- figurationsaufwand und spart eigenen Netzverkehr.

4.4 Keinesfalls: gefälschte Absenderadressen

Für die Verwendung in Newsgroups oder in den immer beliebter werdenden Internetdiskussionsforen wird häufig vorgeschlagen, gefälschte Absender- adressen zu verwenden. Zwar verhindert das nachhaltig Spam beim Verwender der Adresse, es kann aber leicht einen unbeteiligten Dritten zum Opfer machen. Entweder, weil dieser zufällig die (vermeintlich nicht existente) Adresse

dontbugme@example.com error:nouser User unkown

(38)

tatsächlich besitzt, oder aber, weil er als gefälschter Absender für den Spam herhalten musste und daher mit Fehlermeldungen überschüttet wird.

Gerade das Problem, eine Adresse zu besitzen, von der keiner ihre Existenz an- nimmt, kenne ich aus eigener Erfahrung: Ich hatte jahrelang die E-Mail-Adres- se no_spam@iname.com und nospam@acme.com. Iname ist ein Webmail-An- bieter, der ähnlich wie GMX oder web.de funktioniert und vor allem auf dem nordamerikanischen Kontinent entsprechend verbreitet ist. ACME kennen sicherlich alle Tom & Jerry-Freunde unter Ihnen – und auch viele andere: In fast allen Zeichentrickserien steht ACME zur Vermeidung von Schleichwerbung als Firmenname auf verschiedensten Produkten. Die meisten behaupten, es sei ein Akronym für „A Company that Manufactures Everything“. Die Adresse nospam@acme.com riecht also auch nach Fälschung. Leider stellten beide An- bieter ihre Dienste in der ursprünglichen Form ein, so dass Sie mich nicht mehr unter diesen schönen Adressen erreichen können.

Im worst case könnten, wenn die gefälschte Absenderadresse auch nicht existiert, Schleifen zwischen den zwei Mailservern, die gegenseitig immer wieder versuchen, eine (Fehlermeldungs-)Mail zuzustellen, entstehen, was unnötige Netzlast zur Folge hat.

Wegen dieser unschönen Nebeneffekte ist der Einsatz von gefälschten Adres- sen nicht zu empfehlen – der gleiche Effekt lässt sich über Wegwerfadressen genauso erreichen.

Alternativ sind lediglich noch nach /dev/null „geerdete“ Adressen sinnvoll.

Dabei wird automatisch jede an diese Adresse eingehende Mail in den unend- lich großen virtuellen Papierkorb /dev/null weitergeleitet und somit – ohne hässliche Fehlermeldungen – entsorgt.

4.5 Webtelefonbücher

Im Internet gibt es diverse „E-Mail-Telefonbücher“, „Personensuchdienste“

und Ähnliches. Zwar können diese Dienste bei der Suche nach einer Person durchaus nützlich sein, aber sie stellen gleichzeitig eine Fundgrube für Spam- mer dar.

Daher ist es nicht empfehlenswert, sich auf einer solchen Seite einzutragen.

Möchte man wirklich unter seinem Namen im Internet auffindbar sein, scheint es zweckmäßiger, eine im Sinne von Suchmaschinen sinnvoll gestaltete Ho-

(39)

Spammer beim Sammeln identifizieren

mepage zu betreiben, über die man für Menschen, nicht jedoch für Spammer auffindbar ist.

4.6 Spammer beim Sammeln identifizieren

Da Spam fast ausschließlich aus dem Ausland versandt wird, aber häufig genug inländische, dubiose Unternehmen bewirbt, liegt es aus präventiver Sicht nahe, den inländischen Hintermännern das Handwerk zu legen.

Jedoch müssen diese dazu zunächst identifiziert werden können. Das lässt sich sehr einfach über die von ihnen verwendeten Harvester realisieren: Präsentiert man jedem Besucher einer Webseite eine eigens für diesen Besucher generierte E-Mail-Adresse, dann sammelt jeder Harvester auch diese individuelle Adresse.

Es muss dabei sichergestellt sein, dass eine solche E-Mail-Adresse eindeutig ist und eineindeutig der IP-Adresse des Harvesters und seinem exakten Be- suchszeitpunkt zugeordnet werden kann. Denn dann lässt sich der Rechner, von dem aus gesammelt wurde, zweifelsfrei identifizieren.

Dabei besteht im Zweifel gegen den Provider des Spammers nach §13a Unter- lassungsklagengesetz (UklaG) ein Herausgabeanspruch bezüglich der Daten des Spammers, sollte eine einfache Whois-Anfrage nicht bereits die notwen- digen Informationen liefern.

Damit kann gegen die deutschen Hintermänner vorgegangen werden und diese gerichtlich auf Unterlassung in Anspruch genommen werden, wodurch sich die Zahl der potenziellen Spammer um einen reduziert.

[REHWWW] stellt die Idee und die benötigte Software vor. [REHWWW] be- richtet auch von einem konkreten Fall, bei dem deutsche Hintermänner von Spam ausgemacht werden konnten. Leider wurde in diesem Fall bislang noch keine Klage erhoben, so dass keine Gerichtsentscheidung dazu vorliegt.

4.7 SMTP-Teergruben

[REHWWWa] und [DON04a] möchten Spammern zusätzlich gezielt präpa- rierte Mailadressen anbieten, für die ein besonders konfigurierter, sehr langsa- mer Mailserver zuständig ist. Durch die besonders langsamen Antworten des Mailservers soll der Mailversand des Spammers insgesamt ausgebremst werden.

(40)

Ich halte das Verfahren allerdings nur für eingeschränkt wirkungsvoll, da es einer sehr weiten Verbreitung bedarf, um seine Wirkung entfalten zu können.

Das liegt daran, dass ein Spammer üblicherweise zum Mailserver des Empfän- gers eine Verbindung aufbaut, über die er beliebig viele Mails für diesen Mail- server einliefern kann. Hat also ein Spammer z.B. 100 Mailadressen unter einer Domain eingesammelt, dann kann er Mails an alle diese Mailadressen in einer einzigen Verbindung mit dem Mailserver einliefern. Da die Bremsfunk- tion nur die bestehende Verbindung betrifft, wird der Versand an andere Mail- server nicht behindert, denn der erfolgt typisch parallel: Jeder Rechner ist theoretisch in der Lage, ca. 64.000 parallele Verbindungen zu verschiedenen Servern zu unterhalten.

Damit müsste ein großer Anteil aller Mailserver mit solchen Teergruben aus- gerüstet werden, um wirklich effektiven Schaden bei Spammern hervorzuru- fen. Andererseits liegen mir aber auch E-Mails von Anwendern solcher Ver- fahren vor, in denen sie für deren Einsatz von Spammern wüst beschimpft und bedroht wurden.

Technisch gesehen wird bei solchen Teergruben der SMTP-Dialog künstlich maximal verzögert, um den ausliefernden Mailserver, der vermutlich einem Spammer zuzuordnen ist, auszubremsen. Sind ausreichend viele solcher Teer- gruben im Einsatz, hofft man, damit den Spammer tatsächlich lahm zu legen und ihn so an der Aussendung weiteren Werbemülls zu hindern.

Die Blockade entsteht, weil die Zahl der maximal gleichzeitig bestehenden Verbindungen zum Versand von E-Mails nach oben limitiert ist. Durch die massive Verzögerung der Kommunikation zwischen Client und Server werden diese Verbindungen besonders lange offen gehalten. In je mehr Teergruben der Spammer fällt, desto mehr Verbindungen werden so blockiert. Dadurch sinkt die Versandgeschwindigkeit des Spammers erheblich.

In der Theorie kann man durch solche Teergruben Server von Spammern völ- lig ausbremsen und damit verhindern, dass sie Spam ausliefern – oder zumindest die Auslieferung so massiv verzögern, dass sie für den Spammer unerträg- lich lange dauert.

In der Praxis hat das Verfahren jedoch einen wesentlichen Nachteil: Eigentlich jeder SMTP-Client ist in der Lage, einem SMTP-Server in einer Verbindung alle Mails für diesen Server zu übermitteln. Er muss dazu nicht mehrere parallele Verbindungen zu diesem Server aufbauen. Da die Teergrube nur genau eine Verbindung lahm legt, der Spammer aber potenziell mehrere tausend Ver-

(41)

Rechtsweg

bindungen parallel halten kann, ist der Effekt in der Praxis im Allgemeinen sehr klein, es sei denn, der Spammer tappt durch Zufall auf einen Schlag in zahlreiche Teergruben.

Da die Verbreitung solcher Teergruben eher gering sein dürfte, sinkt die Wahr- scheinlichkeit für den gewünschten Blockadeeffekt leider deutlich.

Zudem muss der Betreiber einer Teergrube sicherstellen, dass er nicht versehentlich mit seinem System „anständige“ Server blockiert. Das wird in aller Regel dadurch erreicht, dass die Teergruben nur für bestimmte (Sub-)Domains eingerichtet werden, für die die E-Mail-Adressen ausschließlich auf speziellen Harvester-optimierten Webseiten kommuniziert werden.

Damit ist der Aufwand für den Betrieb einer Teergrube relativ hoch, was sich wiederum negativ auf deren Verbreitung auswirkt – und damit auf den Blockade- effekt.

4.8 Rechtsweg

Die langfristig wirkungsvollste, präventive Anti-Spam-Maßnahme dürfte jedoch immer noch der Rechtsweg sein: Ist ein Spammer erst mit Ordnungsgel- dern von bis zu 250.000 € oder bis zu sechs Monaten Ordnungshaft bedroht und drohen ihm zusätzlich hohe Gerichtskosten, dann schwindet der Vorteil des Spamming, mit minimalen Kosten eine große Adressatengruppe zu erreichen.

Schließlich ist Spamming für den Absender wirtschaftlich interessant: Spam- mer können immer noch darauf vertrauen, dass ein kleiner Bruchteil der Emp- fänger tatsächlich die beworbene Dienstleistung gegen Entgelt erwirbt oder er- werben will, denn wer weiß schon, ob jemand, der seine per Spam beworbenen Waren über gehackte Server verkauft und damit schon erhebliche kriminelle Energie beweist, nicht zufällig auch noch die Lieferung vergisst.

Solange die Kosten für den Versand des Spam geringer sind als der zu erwar- tende Gewinn, rechnet sich diese Werbeform. Durch Ordnungsgelder und -haft sowie Gerichtskosten sinkt die Gewinnspanne.

Einige Autoren²⁵ sehen zusätzlich bereits nach geltendem Recht auch eine Strafbarkeit des Spamming an sich – unabhängig von eventuellen Straftaten

25. So allen voran die Dissertation [FRA04a], zusammengefasst in [FRA04].

(42)

oder Ordnungswidrigkeiten z.B. wegen versuchten Betrugs oder Verstoß gegen das Arznei- und Betäubungsmittelrecht, die der Spammer durch sein An- gebot verwirklicht. Das erhöht das „unternehmerische“ Risiko nochmals – zumindest für in Deutschland ansässige Spammer.

Eine aktuelle Gesetzesinitiative²⁶ möchte im Teledienstegesetz (TDG) das Fäl- schen von Header-Daten in E-Mails, das Spammer routinemäßig machen, um ihre Identität zu verschleiern, unter Strafe stellen. Kritiker befürchten jedoch, dass dadurch Spam mit korrekten Header-Daten indirekt für zulässig erklärt wird, und verweisen auf die Strafbarkeit der Verfälschung beweiserheblicher Daten, die das Fälschen von Header-Daten bereits unter Strafe stellt.

In die wirtschaftliche Richtung gehen zwar auch Vorschläge, den E-Mail-Ver- sand selbst kostenpflichtig zu machen. Dies würde allerdings zum einen den großen Vorteil der E-Mail-Kommunikation zunichte machen und zum anderen sind diese Vorschläge durch die weit verteilte Infrastruktur des Internets praktisch nicht realisierbar. Insbesondere, wenn man bedenkt, dass trotz „Ächtung“

von so genannten Open Relays immer noch zahlreiche²⁷ als Open Relay konfigurierte Mailserver in Betrieb sind. Zudem ist die Zahlungsbereitschaft im Internet nicht sonderlich groß, so dass hier zusätzliche Widerstände bei der Einführung zu befürchten sind. Schon die von zahlreichen erfahrenen Net-Ci- tizens befürwortete Abschaffung von Open Relays hat sich trotz des geringen zusätzlichen Konfigurationsaufwands noch nicht weltweit durchgesetzt.

26. Stand: 03/2005

27. Hinweise über deren Menge liefern die Open Relay Black Lists, z.B. http://www.ordb.org.

(43)

5 E-Mail-Adressen von Webseiten verbannen

Homepages lassen sich grob einteilen in „geschäftliche“ und in private Seiten.

Zu Ersteren zählen alle Seiten, die in irgendeiner Hinsicht das Ziel haben, Ein- nahmen zu generieren: sei es als Informationsquelle über Produkte und die daraus resultierenden Einkäufe, sei es durch direkten Verkauf von der Home- page, durch Bannerwerbung oder auch nur durch Links auf ein provisionsori- entiertes Buch-Partnerprogramm, wie z.B. bei Amazon oder Libri. Wobei im Fall des provisionsorientierten Partnerprogramms in der rechtswissenschaftli- chen Diskussion die Gewerbsmäßigkeit umstritten ist.

Eindeutig private Seiten verfolgen keine solche Ziele, sondern bestehen im Endeffekt „nur“ zum Spaß und Zeitvertreib des Seitenbetreibers.

Für gewerbsmäßig betriebene Internetseiten schreibt §6 Nr. 2 TDG vor, dass auf der Seite „Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation mit“ dem Anbieter „ermöglichen, einschließlich der Adresse der elektronischen Post“ enthalten sein müssen.

Dabei ist der Begriff der Gewerbsmäßigkeit sehr unscharf, da er im Gesetz nicht definiert ist, was kurz nach Einführung des Gesetzes zu Abmahnwellen wegen fehlerhaften oder nicht vorhandenen „Impressen“ führte.

Doch auch private Anbieter von Homepages sehen ihre Seiten nur selten als reinen Selbstzweck, sondern wollen in aller Regel auch Kontaktmöglichkeiten angeben, um mit den Besuchern der Seite in Diskussion treten zu können.

In allen Fällen ist es daher praktisch notwendig und sinnvoll, auf der Home- page eine Möglichkeit zur „schnellen, elektronischen Kontaktaufnahme“ vor- zusehen. Häufig wird darunter eine E-Mail-Adresse verstanden.

Einige wenige Betreiber von Webseiten nennen statt einer E-Mail-Adresse eine Handynummer und argumentieren, man würde darüber per SMS auch schnell und elektronisch kommunizieren können. Ob das tatsächlich so zu sehen ist, ist bislang von der Rechtsprechung noch nicht entschieden worden.

Stellt man sich auf den Standpunkt, dass eine schnelle elektronische Kommu- nikation per E-Mail erfolgen kann, dann erfolgt sie sicherlich auch per SMS.

Doch beide Kommunikationswege stellen de facto keinerlei Zustellzeiten si-