Vorsicht Falle! Wissenswertes über Spam-Trap-Adressen (Honeypots)

Mit Honigtöpfen („Honeypots“) lassen sich bekanntlich wunderbar Bären leimen. In Computernetzwerken locken die digitalen Pendants dieser süßen Versuchungen Angreifer an, um vornehmlich Infos über deren Verhalten zu sammeln. Im E-Mail-Marketing-Kontext werden unter sogenannten Spam-Traps Honeypot-E-Mail-Adressen verstanden.

Solche Fallen werden aufgestellt, um E-Mail-Spam zu fangen und dabei Daten über Inhalt und Herkunft zu liefern. Einen Bärendienst erweisen sich Versender, die viele Spam-Trap-Adressen im Bestand haben und diese unwissentlich anschreiben. Denn das ist meist ein Freifahrtschein für die unrühmliche Blacklist

LesetippWarum und wie sie regelmäßig auf Blacklist Einträge prüfen sollten

 

Was sind Spam-Traps

Spam-Traps sind zunächst einmal formell normale E-Mail-Adressen à la [email protected] Allerdings gehören sie keinem natürlichen Benutzer. Keine Person, die E-Mails von diesem Konto abruft oder schreibt. Und mit sehr hoher Wahrscheinlichkeit eben auch keine Person, die E-Mail-Kommunikation hierauf bestellt. 

Ergo: Schlagen Mitteilungen auf, ist dies ein starkes Indiz dafür, dass es sich beim Absender um einen Spammer handelt. Jemand, der entweder a.) ohne „Permission“ massenhaft Werbung an Adressen aus zweifelhaften Quellen verschickt. Oder zumindest jemand, der b.) eine ungenügende Listen-Hygiene betreibt.

 

Wer macht bzw. nutzt Spam-Traps?

Klingt nach Instrument für effektive Spam-Prävention? Ist es auch. Deswegen beziehen alle größeren Email Provider (z. B. AOL, Hotmail, 1&1, …), Blacklist-Betreiber (z. B. SpamCop) sowie Filtersysteme (z. B. Brightmail) Spam-Trap-Hits in ihr E-Mail- bzw. Absender-Scoring  mit ein. AOL schreibt auf seinen Postmasterseiten: 

[…] Member complaints, bounces, invalid recipients, failure to accept bounces, and spam trap hits all contribute to a sender's reputation. […] 

Die Handhabung ist dabei unterschiedlich. SpamCop gibt sich m.W. bereits mit einem einzigen Hit zufrieden, um den Absender auf die Blacklist zu befördern und damit die weitere E-Mail-Zustellung praktisch zu unterbinden. Andere, wie Hotmail, sind gnädiger. Was aber in der unterschiedlichen Natur zweier Spam Trap-Arten begründet ist.

 

Wie werden die schädlichen Honigtöpfe „geboren“?

Grundsätzlich können zwei Trap-Typen unterschieden werden:
  1. Adressen ([email protected]) bzw. ganze Domänen ([alles]@y.z) , die als Spam-Falle neu generiert und gestreut werden– quasi einmal Trap, immer Trap – versus
  2. Adressen von E-Mail-Benutzerkonten, für die mehrere Monate kein Log-in verzeichnet werden konnte, werden in Spam-Fallen umgewandelt – ursprünglich aktives Konto wird nach 12 Monaten zur Falle.
Letzteres kann nur durch die Webmailer selbst erfolgen. Hotmail verfährt bspw. so. Für Ersteres existieren – neben den Betreibern von Blacklists – spezialisierte Dienstleister, die große Spam-Trap-Netzwerke pflegen, wie z. B. abusix/Spamfeed.me. Das bekannte Project Honey  Pot überwacht momentan mehr als 65 Mio. Trap-Adressen (Statistiken).

 

Wie kommen die Fallen in meinen Verteiler?

Anhand der beiden Entstehungsmöglichkeiten lassen sich viele Ursachen dafür identifizieren, warum Versender Spam-Trap-Hits erzeugen können. Z. B.
  • Ernte-Tools, wie den Advanced Email Extractor, die automatisiert das WWW nach verwertbaren E-Mail-Adressen abgrasen und diese speichern ( „Harvesting“)
  • Adresskauf/Data Append von Spammern
  • Brute-Force-/Wörterbuch-Attacken, also das Ausprobieren diverser Zeichenkombinationen ([email protected][trap].de) oder Wörter ([email protected][trap].de) als Local-Parts für Honeypot-Domänen
  • Mangelhaftes Listenmanagement, das den Verteiler nicht von permanenten Bounces und „toten“ Adressen, also dauerhaft inaktiven Empfängern, säubert
  • Vergiftung des Verteilers a.) durch Wettbewerber, die in Kenntnis von Spam Traps sind und diese eintragen, oder b.) versehentlich durch Vertipper  bei der Adresseingabe und fehlender Double Opt-in-Verifizierung

 

Wie kann ich Trap-Hits sichtbar machen? SNDS & SenderScore.org

Ein Eintrag ihrer Versand-IP oder ihrer Domänen auf einschlägigen Blacklists kann mehrere Ursachen haben. Zu viele Spam-Trap-Hits ist eine davon. Um im Falle eines Falles der Sache auf den Grund zu gehen oder (besser)  einer möglichen Gefährdung pro-aktiv begegnen zu können (- wenn das Kind in den Brunnen gefallen ist, ist es schließlich zu spät -), muss man erst einmal wissen, ob beim Versand Trap-Hits erzeugt werden. Die Honypot-Adressen werden von den Eigentümern, also von den ISPs, von den Honeynet- und Blacklist-Betreibern, natürlich nicht publik gemacht. Dies erschwert einen „Gesundheitscheck“ des Verteilers. 

Dennoch existieren spezielle Monitoring-Tools. Hotmail bspw. bietet Versendern ein Reporting mittels Smart Data Network Service (SDNS). Nach der kostenfreien Anmeldung sowie der Freischaltung für den Dienst von Microsoft werden etwaige Hits für die registrierten Mailserver-IPs in einer entsprechenden Spalte „Spam Traps“ausgewiesen. Beispiel:




Ebenfalls lohnt ein Blick auf SenderScore.org. Per Eingabe der IP eines Versenders spuckt der Service einen Scorewert für die Güte des Mailstreams aus. Also das, was gemenhin unter das Konstrukt „Reputation“ fällt. Der „Senderscore“ errechnet sich aus den Daten im Reputation Data Network von Return Path, das wiederum von Partnern, wie Blacklists, Herstellern von Anti-Spam-Lösungen und diversen ISPs gespeist wird. 

Der Wert ist normiert auf einer Skala von 0 bis 100. Top-Versender scoren höher als 90, gute über 80; alles unter 60 sollte die Alarmglocken läuten lassen, da die Zustellbarkeit stark beeinträchtigt ist. Zwischen 60 und 80 besteht ein gewisses Risiko, dass E-Mails nicht ankommen. 

Die genaue Berechnungsgrundlage, d.h. die Gewichtung der Einflussfaktoren auf den Scorewert, ist nicht bekannt. Die Faktoren selbst schon. Unter anderem fließt die Zahl der Spam Trap Hits ein, die – nach einer kostenfreien Registrierung – auch ausgewiesen wird. Beispiel:
Wer Probleme mit Spam Traps identifiziert hat, sollte diese isolieren und entfernen. Aber dazu mehr an anderer Stelle. 
Return Path SenderScore.org
Microsoft SNDS