Mail + "Ablehnen"-Button (SPAM)

Dieses Thema im Forum "Hardware" wurde erstellt von Chriss, 26. Juli 2003.

  1. Chriss

    Chriss New Member

    ... hab erst vor kurzem entdeckt, dass das Mail-Programm in der Menüleiste ja einen roten Knopf hat (wenn aktiviert), um Spams abzuweisen.

    Soll also den Eindruck beim Versender erwecken, als würde die Adresse nicht (mehr) bestehen. Lohnt sich das oder blickt die andere Seite das sowieso gleich, dass das ein Fake ist ?
    Die goldene Regel lautet ja, nie zu antworten. Aber wie ist es in diesem Fall – nutzt das jemand ?

    Danke für die Meinungen !
     
  2. sissifan

    sissifan New Member

    Ich drück den Knopf immer bei Spams. Die Mail kommt dann als "Unknown" zurück und wenn ich den Knopf nochmals drücke, dann wird die Mail in den Papierkorb verschoben. Warum versteh ich auch nicht.
     
  3. kawi

    kawi Revolution 666

    @ chriss

    mich würde ja auch mal interessieren wie die so abgewiesene maiul, vor allem im header aussieht und ob das beim betrachten des quelltextes als fake zu durchschauen ist ...

    wenn du mir deine mailadresse zukommen lässt würd ich dir ja mal ne testmail schreiben, die du dann wiederum ablehnst und ich mir mal die Meldung näher ansehe :)

    Ich würde den header dann auch mal vergleichen mit einer tatsächlich abgelehnten mail beim selben Provider, indem ich mal ne phantasieadresse die tatsächlich "unknown" ist ebenfalls mit ner mail bestücke
     
  4. gratefulmac

    gratefulmac New Member

    und dann veröffentliche es hier.
     
  5. Chriss

    Chriss New Member

    @kawi,
    danke für Dein Angebot

    .... wenn ich jetzt die Adresse hier lasse, dann passiert ja genau das, was man vermeiden soll - ich werd bei dem nächsten screening erfaßt und steh auf 200 Spamlisten ... ;o)

    Hast Du denn nicht 2 Mailadressen ? Dann könntest es doch von A nach B schicken, hab ich auch schon gemacht - nur fachgerecht analysieren kann ichs nicht ;-)

    Es macht aber ordentlich Eindruck *g*
     
  6. kawi

    kawi Revolution 666

    schick mir doch deine mailadresse über den Messenger meines Profils hier. oder schreib kurz an
    kai@case-media.de

    Ja klar hab ich zwei mailadressen, aber ich will einen original "unknown" an den selben server produzieren um die mails zu vergleichen doch meine adressen / mailserver sind alle so eingerichtet das jede mail durchkommt, und sei es nur an den postmaster. da gibts kein unknown ... und mail hab ich selbst ja auch nicht eingerichtet ...
     
  7. Max.Renn

    Max.Renn Anti-Besserwisser

    Ich glaube, die Funktion ist größtenteils wirkungslos, denn die Absender von Spam sind in der Regel ja selbst gefaket. Eine Reply-Mail würde gar nicht ankommen, sonder als Fehlsendung zu dir selbst zurück kommen.

    Es gibt imho nur zwei effektive Spam-Killer:

    1. Regelmäßiger Wechsel der E-Mail-Adresse, wenn Spam kommt (denn die Spammer verkaufen sich gegeneitig die funktionierenden Adressen)

    2. EinSpamfilter, der interaktiv zwischen Sender und Empänger der Mail arbeitet und am besten noch vor den eigenen Mail-Server geschaltet wird, damit man die Mails gar nicht erst vom Server runterladen muss. Beispiel: http://www.spamarrest.com

    Seit ich Spam-Arrest benutzt habe ich keine einzige Spam-Mail mehr bekommen, obwohl das System täglich etwa 15 Mails im Filter auffängt. Von denen registriert sich keiner, weil sie - wie ich oben geschrieben habe - die Registrierungs-Mail (die ein Reply auf ihre Sendung ist) wegen der gefakten Adresse gar nicht empfangen können.

    maX
     
  8. Chriss

    Chriss New Member

    @kawi,
    hab dir tesmail geschickt ... Danke

    @Max.Renn
    hast auch wieder recht, die Absenderadressen sind - sehr wahrscheinlich - auch gefaked, DANN würde das ganze gar nix nutzen.

    aber jedes mal eine neue Mail-Adresse scheint mir auch ziemlich unpraktisch und dieses spam-arrest kostet ja auch einiges.

    Dann halt ich es lieber erst mal mit PopMonitor oder SpamFire, die ja im Grunde dasselbe machen und Spams auch recht gut blocken. Allerdings trau ich mich nicht auf "automatisch löschen" stellen, aus Angst, er fängt vielleicht doch auch die eine oder andere erwünschte Mail ab.
    Übrigens haben die auch einen "BOUNCE"-Button, und die zurückgeschickten Mails kamen wieder zurück - eben weil unzustellbar, fällt mir grade ein. Dann paßt das also, was Du sagst.

    Jedenfalls ruf ich immer darüber erst mal die Mails ab, nie über AppleMail direkt

    Grüße,
    C.
     
  9. MacGhost

    MacGhost Active Member

    Wenn das Mail auf dem Rückweg genauer analysiert wird, kann man im Header sehen das zuvor in Deiner Mailbox angekommen ist und vom Apple Mail zurückgesendet wurde.
    Netter Versuch aber nicht so wirklich wirkungsvoll.
    Besser sich einen Provider suchen der AntiSpam Funktionen auf dem Mailserver bereitstellt.
    Denn da ist auch bei einer Analyse des Quelltextes kein Hinweis das es Dich doch gibt.
    Bei GMX & WEB funktioniert das sehr zufriedenstellend, wenn man das entsprechend konfiguriert.
    Ich habe ganze Länder inzwischen auf die Blacklist gesetzt und etliche Provider und seitdem ist Ruhe.
    Im Schnitt pro Woche eine Spamnachricht ist das Ergebnis.
    Bei der AntiSpam Funktion aus Apple Mail herraus wurden es nicht weniger Mails sondern mehr.
    Scheinbar sind die Spammer inzwischen auch so schlau in den Quelltext zu schauen der zurück kommt.
     
  10. kawi

    kawi Revolution 666

    AUSWERTUNG:

    Also Absender von newsletter ect könnte man ziemlich glaubhaft vermitteln das der Absender unbekannt ist.

    Allerdings gibt es mehrere Anhaltspunkte die stutzig machen und Zweifel über die Echtheit der Unknown Meldung aufkommen lassen. Und wenn man sich daraufhin den Quelltext ansieht stößt man leicht drauf.

    Überhaupt erst Stutzig macht der Absender:
    "postoffice" <- was solln das ? Den Absender halte ich für das größte Manko. Der ist so unrealistisch das ich überhaupt erst anfange nachzuforschen was es denn mit der mail auf sich hat.
    jede mail delivery software die ich bereits in Aktion gesehen habe setzt als Absender ein
    "Mail Delivery System" (1&1, yahoo, web.de, gmx) oder
    "Mail Delivery Subsystem" (mac.com)
    ein "postoffice" als Absender lässt erstmals vermuten das die mail nicht von einem wirklichen delivery System abgewiesen wurde.
    Das ist schade, denn die Absender Angabe einer unknown mail hätte Apple sicherlich problemlos "besser faken" können.

    Zweiter Punkt: Betreff
    Der meistbenutzte Betreff bei unzustellbaren Mails beginnt mit der Melduing des mailer deamons
    "Mail delivery failed: returning message to sender"
    (gmx, 1&1, web.de, yahoo)

    die mail von apples mail hat den Betreff:
    Returned mail: see transcript for details
    Okay, ist mir auch schon untergekommen (mac.com) Aber eben nicht so oft ... sieht schon ungewohnt aus so im Postfach neben all den anderen zurückgekommenen mails.

    Pluspunkt an dieser Stelle:
    glaubwürdige real erscheinende message der returned mail:

    + + + + + + + + + +
    The original message was received at 2003-07-27 12:28:25 +0200
    from postoffice.local. [10.0.0.1]

    ----- The following addresses had permanent fatal errors -----
    <zensiert@gmx.net>

    -----Transcript of session follows -----
    ... while talking to postoffice.local..:
    >>> RCPT To:<zensiert@gmx.net>
    <<< 550 5.1.1 unknown or illegal alias: zensiert@gmx.net
    550 <zensiert@gmx.net>... User unknown
    + + + + + + + + + + +

    Dumm nur das hier bereits ein Verweis auf die herkunft der Meldung enthalten ist.
    "from postoffice.local. [10.0.0.1]"
    Hm, moment die Original Message kam aber von mir, ergo hätte dort MEINE ID stehen müssen. Aber egal ... merkt warscheinlich kein Schwein

    mac.com liefert im übriugen ein:

    + + + + + + ++ + + + + +
    ----- Transcript of session follows -----
    ... while talking to smtp-bounce.mac.com.:
    >>> DATA
    <<< 550 5.1.1 unknown or illegal alias: dfsklfjfihxdopju@mac.com
    550 5.1.1 <dfsklfjfihxdopju@mac.com>... User unknown
    <<< 554 5.5.0 No recipients have been specified.
    + + + + + + ++ + + + + +

    die Meldungen von Exim (1&"1, gmx, web.de, yahoo)
    sehen ungefähr so aus:

    + + + + + + ++ + + + + +
    A message that you sent could not be delivered to one or more of its
    recipients. This is a permanent error. The following address(es) failed:

    xwdsf@eiche-koepenick.de
    SMTP error from remote mailer after RCPT TO:<xwdsf@eiche-koepenick.de>:
    host mx.kundenserver.de [212.227.126.149]: 550 Unknown local part xwdsf in <xwdsf@eiche-koepenick.de>
    + + + + + + ++ + + + + +

    oder
    + + + + + + ++ + + + + +
    A message that you sent could not be delivered to one or more of its
    recipients. This is a permanent error. The following address(es) failed:

    blathsdusss@web.de
    SMTP error from remote mailer after RCPT TO:<blathsdusss@web.de>:
    host mx-ha01.web.de [217.72.192.149]: 550 Unknown local part blathsdusss in <blathsdusss@web.de>
    + + + + + + ++ + + + + +


    Okay, dann bin aber doch stutzig geworden und werfe einen Blick in den Quelltext:
    Erste Zeile:
    Return-path: <chrissseine@reale mailadresse>
    AAARRGGGHHH

    jede unknown Meldung liefert in dem feld ein
    Return-path: <>

    weiter unten:
    X-Mailer: Apple Mail (2.552)
    AARRGGHHH wie kann eine mail die nicht angekommen ist von einem mailprogramm wie Apple mail gesendet werden ...
    Das X-Mailer Feld hätte namentlich gar nicht existieren sollen ...

    noch schlimmer wirds darunter:
    To: Kai <meine@adresseeternitymagazin.de>
    Resent-From: chrissseine@adresse.de

    Okay, spätestens hier wird klar, das diese mail tatsächlich über chriss seinen account angekommen und auch die return mail von dort initiert wurde.


    FAZIT: Jeder oberflächliche spammer sollte soich damit täuschen lassen, da er viel zu sehr damit beschäftigt ist immer neue und weitere mails zu versenden, anstelle die Identität der return mails zu prüfen.
    Die return Meldung wirkt echt und auf den ersten Blick überzeugend.
    da wo solche mails von Hand aussortiert werden wirds warscheinlich dazu führen das die mailadresse aus dem verteiler entfernt wird.

    ABER:

    die grösste Dummheit ist die Angabe des Absenders in der ersten Zeile als Return-path.
    Wirklich blöd, denn das ist die Adresse die automatisch ins Mailadressbuch übernommen wird, die sich Outlook Und OE, Entourage ect ins Adressbuch schreiben. In Programmen wie Outlook ect kann man hier sogar getrennt eine andere adresse eintragen oder dieses Feld leer lassen.

    Jede Spamadresse die automatisch mit einem script weder den Betreff, noch den inhalt einer Spam mail auswertet wird hier fündig, weil das einzige was zum aktualisieren der Datenbestände verwendet ist oftmals NUR der Eintrag im "return-path" ist.

    Kein script der welt wirft einen Blick in den text oder in den betreff, da kann dort tausendmal "unknown" stehen ... die Existenz eines Absenders wird anhand der return-path angabe verifiziert.

    Also: Dumm gelaufen. Nice Try

    Für professionelle Spammer ungeeignet. Zum aussortieren seines Bekanntenkreis evtl ganz nützlich

    :)
     
  11. Rotweinfreund

    Rotweinfreund + Jevers Liebhaber

    Super Exkurs von dir!!
     
  12. Chriss

    Chriss New Member

    auch von mir ein "Vielen Dank !"

    aber die genannten Schwächen oder Fallen müßte Apple doch vergleichsweise einfach abändern/beheben können, oder ?
     
  13. Max.Renn

    Max.Renn Anti-Besserwisser

    Kann man wahrscheinlich sogar leicht selbst patchen (btw. gib's eigentlich "ResEdit" für X?)

    maX
     
  14. kawi

    kawi Revolution 666

    @chriss
    > aber die genannten Schwächen oder Fallen müßte
    > Apple doch vergleichsweise einfach abändern/

    Naja zumindest den return-path und den Namen des Absenders. Bei return path kann man ja schon mit Outlook express nen anderen Namen einrichten als die eigentliche adresse

    kann man warscheinlich (wenn man weiß wo die Daten dafür liegen) wirklich selbst machen


    @Max.Renn
    > Kann man wahrscheinlich sogar leicht selbst
    > patchen (btw. gib's eigentlich "ResEdit" für X?)

    Das Tool deiner Wahl heisst "Resourcerer"
    :)
     
  15. Chriss

    Chriss New Member

    ... also wenn jemand von Euch oder irgendjemand sonst das "patcht", dann könnte er die notwendigen Schritte hier ja ganz uneigennützig mitteilen ... ;-)

    Danke schon mal im voraus ... ;-) !
     
  16. danilatore

    danilatore Moderatore Mitarbeiter

    mann kawi, wie oft muss ich eigentlich noch danke sagen?

    ;) danke
     

Diese Seite empfehlen