[Typo3-german] Behindertenfreundlichkeit und Emailadresse

Tue Aug 9 12:15:24 CEST 2005

Hallo Peter,

Ich sehe in der angesprochenen Brute-Force-Attack gegen Mailserver: das
"wilde Kombinieren" von Zeichen => die Generierung von eMailadressen; mit
anschließender Prüfung, ob diese vom Mailserver angenommen werden noch keine
konkurrierende Spam-Methode zu dem Sammel von eMail-Adressen direkt auf der
Website.

Zumal deine Methode 2 gravierende Haken hat:
1) Ich halte den erzeugten Trafic um Treffer zu erzeugen für relativ
gewaltig, im Vergleich zu anderen Techniken. Gehen wir einmal nur von 26
Buchstaben (das Alphabet; ohne weitere mögliche Zeichen) aus und beschränken
wir unsere eMail-Adressengenerierung auf 10 Zeichen vor dem @, dann sind
26^10 Kombinationen möglich, d.h. 141.167.095.653.376 Kombinationen. Gehen
wir davon aus das 1.000.000 eMail-Adresse je Sekunde geprüft werden können,
dann dauert es allein bei einer Domain/Website bereits über 1.633 Tage.
2) Es gibt einige Mailserver, die jegliche eMail annehmen. Diese eMails
werden intern gedropt (gelöscht) oder in eine Sammel-Mailbox geleitet,
welche seltenst genutzt wird (wegen dem vielen Spam...). Deine Datenbank hat
also für diese Domain schon 141.167.095.653.376 uneffektive Einträge. Siehe
auch obige Berechnung.

Ich halte diese Lösung für unrealistisch.

Gruß
Christian

"Peter Linzenkirchner" <peter at linzenkirchner.de> schrieb im Newsbeitrag
news:mailman.679.1123572982.2638.typo3-german at lists.netfielders.de...
Hallo Christian,

Am 8. Aug 2005 um 21:27 schrieb Christian Weiss:

> wenn Du ein Kontaktformular einsetzt sollte dieses durch ein
> CAPTCHA gesichert sein,
Ich habe letztens bei Heise eine Meldung gelesen, wonach Studenten
eine technik entwickelt haben, mit der sie bei einer
Treffergenauigkeit von 85% CAPTCHAS entziffern können.

Nach meiner Information ist es nicht möglich,

> Mit dem Kontaktformular hast Du zwar den Spam in Deiner Mailbox nicht
> verhindert, jedoch das eine eMail-Adresse automatisiert in einer
> Spam-Datenbank gelandet ist.

Damit ist also sehr wenig gewonnen.

> Der
> Referer wird leider nicht von jedem Browser übertragen bzw. von
> persönlichen
> Firewalls unterdrückt.

Per Voreinstellung vom IE 6. Bringt also nichts.

Ich glaube, dass Spambots überschätzt werden. Sie spielen zumindest
bei uns nur eine sehr geringe Rolle. Unser größtes Problem sind
Spammer, die systematisch die gesamte Domain abgrasen:
a at lisardo.de
b at lisardo.de
c at lisardo.de
usw. Bis zu 10 Buchstaben vor der Domain. Das ist einfach zu
automatisieren und ziemlich sicher - sie erwischen nahezu alle
Emailadressen der Domain. Insbesondere info, kontakt etc.; da kann
man sich schnell eine Sammlung anlegen, mit der eh 95% aller
offiziellen Kontaktadressen einer Domain abgedeckt sind. Dann noch
die Standardnamen, einfach aus einem Namenslexikon. Und die Namen aus
Adressdatenbanken etc. Sobald eine Domain abgegrast ist, geht man auf
die nächste über; die Domains selbst kann man über denic erfahren.
Einfach und wirkungsvoll.

Die zweite Technik ist das Nutzen der Bouncing-Funktion des
Mailservers. Man sendet eine Mail an einen Server, der die Adresse
nicht kennt und die Mail bounct, aber an einen gefälschten Absender.
In der Antwortadresse befinden sie dann die oben erwähnten
Iterationen der potientiellen Emailadressen. Der eigentliche Absender
taucht gar nicht mehr auf und man wird von einem bouncenden
Mailserver zugespamt. Dabei wird systematisch noch der Mailserver
gewechselt, so dass Filtern völlig aussichtslos ist.

Ich denke, Bots, die Emailadressen von Webseiten holen sind für die
Spammer nicht mehr nötig. Zuviel Aufwand, wenn es mit anderen
Techniken einfacher, schneller und vor allem völlig gefahrlos geht.
Also warum der Aufwand mit Verschlüsseln der Emailadressen auf der
Seite, das bringt nichts mehr. Macht die Seite nur unzugänglich. Eine
wirkungsvollere Gegenmaßnahme wären kryptische Emailadressen mit mehr
als 8 Buchstaben. Aber wer will das schon.

Aber das ist blos meine Meinung, die auf der Erfahrung mit unserem
Mailserver beruht. Kann sein, dass es woanders nicht so ist ...

Gruß
Peter

-- 
-----------------------------------------------
Peter Linzenkirchner
Lisardo Multimedia GmbH
Herrenbachstraße 19, 86161 Augsburg
Tel. ++49-821-150565, Fax ++49-821-150595
-----------------------------------------------