Ein Jahr Spam

Der ganz normale Wahnsinn

Der Mailserver, wie unter http://www.tedesca.net/bez/homeoff/antispam.html beschrieben, ist mittlerweile ein Jahr in Betrieb.

In diesem Zeitraum wurden durch den Mailserver 15.257 Nachrichten erfolgreich zugestellt, wovon nur noch etwa 3 bis 5% Spam waren. Dem gegenüber stehen 2.040.307 (in Worten: zwei Millionen) Nachrichten, die gar nicht erst angesehen wurden, weil sich schon der gegenüberliegende Mailserver mit einem unglaubhaften Namen identifizierte oder weil der Empfängername auf meinem Mailserver nicht existiert.

Das bedeutet, daß im Schnitt pro Tag 42 gute Mails kommen und dagegen alle 15 Sekunden eine Müll-Mail.

Interessant ist, daß die beiden betriebenen Domains sehr unterschiedliche Popularität genießen. Die erst seit April 2004 in Betrieb befindliche TEDESCA.NET bringt es nur auf ganz schwache 2.000 Angriffe pro Jahr, die restlichen 2.038.000 entfallen auf Barnim.Net, die schon seit Januar 1998 in Betrieb ist. Auch Domainnamen müssen halt erst reifen, bis sie gern genossen werden.

Den Vogel abgeschossen hat der Internetteilnehmer 199.217.136.94, wohinter sich http://www.slay.com verbirgt. Ein Benutzer des Servers von Slay Industries (Motto: "Quality is our driving force") hat zwischen dem 5. Juni 2004 morgens und dem 9. Juni morgens insgesamt 374.509 mal versucht, den Empfänger vvkcxw@barnim.net zu kontaktieren. So sah der erste Versuch aus und, wahrlich, alle anderen 374.508 sahen exakt genau so aus:

Jun 5 07:49:08 hiob postfix/smtpd[14843]: NOQUEUE: reject:
RCPT from www.slay.com[199.217.136.94]: 554 <vvkcxw@barnim.net>: Sender address rejected: Access denied;
from=<vvkcxw@barnim.net> to=<vvkcxw@barnim.net> proto=ESMTP helo=<proxyserv.slay.com>

Man soll nicht glauben, daß jemand sich beim Spamversenden so dämlich anstellt. Am 7. Juni 2004 kam es im Schnitt alle 0,8 Sekunden zu einer Kontaktaufnahme. Slay Industries (ansässig in St. Louis) selbst sagt: "Slay provides its customers with value-added, quality services and an emphasis on safety." Wenn die Jungs nicht so smart wären, würden sie also noch dümmere Nutzer auf ihren Server lassen. Merke: Alles kann immer noch schlimmer kommen.

Statistisch bereinigt um diesen Schwachsinn der Sonderklasse kommt für den Rest des Jahres immer noch alle 20 Sekunden eine Müll-Mail.

Hier die Top 50 der nichtexistenten Empfängernamen, wobei ich beschlossen habe, vvkcxw@barnim.net aus Gründen der Fairneß nicht zu werten:

Häufigkeit Mailadresse 59710 myqslmlj@barnim.net 22537 vsyc@barnim.net 6605 Ibmtton@barnim.net 2557 hrgg@barnim.net 2253 ollieweb@barnim.net 2127 oerbeck@barnim.net 2116 Ftaxikv@barnim.net 2073 popeyes@barnim.net 1964 rainbowkevin@barnim.net 1946 prettyboy3@barnim.net 1872 p0_ga@barnim.net 1860 simonwilkinson@barnim.net 1810 mkrofchi@barnim.net 1758 ordersusa@barnim.net 1748 richard.akre@barnim.net 1745 pphp@barnim.net 1670 rrood@barnim.net 1666 lancer3@barnim.net 1614 Uoabpogp@barnim.net 1613 ntziorkas@barnim.net 1577 rajagopalan_v@barnim.net 1562 nw-b5request@barnim.net 1541 sports4life8@barnim.net 1538 raines@barnim.net 1530 msgundam@barnim.net

Häufigkeit Mailadresse 1527 sdougal@barnim.net 1527 outslay@barnim.net 1521 smmaclean@barnim.net 1500 orsi_vale@barnim.net 1461 lu3wen@barnim.net 1450 opfor@barnim.net 1430 mxmai@barnim.net 1391 mvpma@barnim.net 1360 nmcclend@barnim.net 1359 mark.robson4@barnim.net 1350 stargazer104g@barnim.net 1335 meforrest@barnim.net 1332 lcmaynard@barnim.net 1303 oeivinds@barnim.net 1300 maverick_007@barnim.net 1294 matt202@barnim.net 1285 mspaes@barnim.net 1282 marilynandsteve@barnim.net 1273 p2iaa@barnim.net 1273 oriordan1@barnim.net 1270 shannonh13@barnim.net 1269 skatombe@barnim.net 1265 nikkamo@barnim.net 1264 mitraa@barnim.net 1262 paulherbort@barnim.net

Was lehrt uns das? Ich dachte, solche Angriffe nennen sich "Wörterbuchattacke", weil - nun ja, das muß wohl nicht erläutert werden. Welche Art von Wörterbuch benutzen diese Burschen? Wären sie vielleicht erfolgreicher, wenn sie mal ein richtiges Wörterbuch verwendeten?

Ich beneide Simon Wilkinson ein wenig ob seiner Popularität bei sehr durchschnittlichem Namen, frage mich, ob die romatische Beziehung von Marilyn & Steve auf dem richtigen Bahnsteig stattfindet, und was den vierten Mark Robson erfolgreicher macht als die ersten drei.

Nun gut, Simon Wilkinson habe ich selbst populär gemacht. In meinem HOWTO "Kampf gegen Spam mit Postfix und Spamassassin" habe ich Simon Wilkinson in einem kurzen Beispiel erwähnt. So ist Simon Wilkinson zur selbsterfüllenden Prophezeihung geworden.

Erneut hat sich erwiesen: Das Böse ist ganz banal, geradezu sterbenslangweilig. Das ließ mir keine Ruhe, und so versuchte ich wenigstens, die wenigen Perlen herauszufischen.

Platz	Häufigkeit	Mailadresse	Anmerkung
76	1180	miriamschenk@barnim.net	ist ein ehrlicher deutscher Name, wie man ihn aber auch leider zu Tausenden findet. Keine heiße Spur.
83	1169	richard.bomber.lancaster@barnim.net	"Der Krieg ist vorbei", war ich versucht zu sagen, oder zumindest: "konzentriert Euch doch jetzt auf den Kampf gegen die EU". Aber auch den Bomber habe ich selbst zu verantworten, denn er stand ebenfalls in meinem kleinen Beispiel.
169	974	peter.j.lipowicz@barnim.net	Herr Lipowicz war mir gleich aufgefallen. Für Herrn Lipowicz kann ich definitiv nichts. Er hat unter anderem eine wissenschaftliche Arbeit über die Partikelfiltration mit Kohlenstoff-Nanoröhren verfaßt. Ehrenvoll, er ist aber nicht auf meinem Mailserver zuhause.
246	906	pietvanderhulle@barnim.net	Piet van der Hulle lebt in Holland und spielt Bridge im Club "Sans Stress". Natürlich wüßte ich gern, was sonst ihn auszeichnet.
505	777	michael.smith13@barnim.net	ist meines Wissens der Name, mit dem man sich im Hotel einträgt, wenn man eine Affaire wagt.
604	742	lostsearcher@barnim.net	verschaffte mir einen Blick in den Abgrund und ich gab auf, noch eine Perle finden zu wollen.

Die oben aufgelisteten fünfzig Email-Adressen werden eine explosionsartige Vergrößerung ihrer Popularität erfahren, denn durch ihre Erwähnung hier im Internet gilt ihre Existenz als bestätigt. Aber ich schwöre: Niemals wird ein Nutzer von Tedesca.Net den Namen "Richard Bomber Lancaster" führen. Nie. Also bitte niemals eine Email an richard.bomber.lancaster@tedesca.net schicken.

Nicht fehlen darf hier eine Übersicht, wo der ganze Spam herkam. Diese hat mich überrascht:

Häufigkeit Ursprung 82247 cpapronet.com 60621 comcast.net 25703 proxad.net 23510 rr.com 20748 verizon.net 14104 hinet.net 13293 charter.com 12041 wanadoo.fr 11951 shawcable.net 11804 rima-tde.net 11521 interbusiness.it 10740 tpnet.pl 9771 t-dialin.net 9592 telesp.net.br 8958 blueyonder.co.uk 8408 dsl-verizon.net 7206 pacbell.net 7081 arcor-ip.net 6888 mindspring.com 6615 t-ipconnect.de 5894 hkcable.com.hk 5893 ono.com 5712 ameritech.net 5490 adelphia.net 5123 gaoland.net

Häufigkeit Ursprung 4974 noos.fr 4773 ocn.ne.jp 4638 mchsi.com 4455 vtr.net 4362 auna.net 4321 attbi.com 4087 btcentralplus.com 4061 bbtec.net 4000 virtua.com.br 3950 telepac.pt 3792 ntl.com 3781 videotron.ca 3754 hispeed.ch 3700 bellsouth.net 3673 swbell.net 3502 chello.nl 3366 bezeqint.net 3332 usen.ad.jp 3321 veloxzone.com.br 3312 fibertel.com.ar 3213 rogers.com 2792 netcabo.pt 2784 netvision.net.il 2557 rbcdain.com 2522 broadband.hu

Das kann uns vor allem eines lehren: China und Korea sind besser als ihr Ruf.