612 E-Mails - Missbrauch meiner E-Mail-Adresse

Dies war da erste Ergebnis, das KMail mir gestern morgen nach dem Rechnerstart anzeigte. Nun könnte man meinen, dass sich sooo beliebt sei - dem ist natürlich nicht so . Das Ganze war natürlich nur Spam - wobei ich mir nicht sicher bin, dass diese Bezeichnung so richtig ist.

Der Großteil der erhaltenen E-Mails waren Autoresponder verschiedener Mail-Delivery-Systeme, die unzustellbare Mails beklagten. Nicht auszudenken, in welcher Masse Mails zugestellt wurden.

Sicher ist also, dass meine E-Mail-Adresse von subversiven Subjekten missbraucht wurde. Zur Art und Weise fallen mir eigentlich nur zwei Möglichkeiten ein, wie dies zu Stande kommen konnte.

1. Die E-Mail-Adresse wurde von der Webseite ausgelesen.

Bei der missbrauchten Adresse handelte es sich um die info@-Adresse. Zugegebener Maßen war diese leicht im Impressum zu finden. Dort hatte ich sie mit Hilfe einer Grafik eingebunden, die mailto-Verlinkung war aber relativ ungeschützt zu finden. Deren Wert, also die betroffene E-Mail-Adresse, wurde lediglich aus einer .php-Datei als Variable importiert. Ein Umstand, der es findigen Crawlern also nicht unmöglich macht, sie auszulesen.

Andererseits ist es auch nicht unbedingt ein Geheimnis, dass die meisten der Domains eine info@-Adresse als primäre Kontaktmöglichkeit nutzen.  Schließlich bekam ich relativ zeitnah schon die erstem Spam-Mails auf diese Adresse geliefert. Zu diesem Zeitpunkt war meine Seite noch nicht mal online. Insgesamt gesehen war das Spam-Aufkommen aber noch in einem erträglichen Rahmen und lag schätzungsweise durchschnittlich bei 15-25 Mails pro Tag.

2. Die E-Mail-Adresse wurde von/an Dritte weitergegeben.

Sicherlich könnte man jetzt anmerken, dass es nicht der Weisheit letzter Schluss ist, eine E-Mail-Adresse und gerade diese, für die Anmeldung in verschiedenenForen/Diensten zu nutzen.  Allerdings hielt sich das Ganze ja wie beschrieben in Grenzen. Und zwar genaus so lange, bis ich auf die glorreiche Idee kam, mich bei den drei rechts stehenden Blogger-Verzeichnissen anzumelden.

Bereits wenige Stunden nach der Anmeldung bei der Bloggerei liefen die ersten Spam-Mails in meinen Filter. Einige Zeit später meldete ich mich bei den anderen zwei Diensten an. Das war genau vor drei Tagen. Interessanterweise platzt also genau zwei Tage nach der Anmeldung mein Postfach. Ein Schelm, wer sich Böses dabei denkt. Sicherlich kann man besonders in diesem Fall wieder anführen, dass ich doch eine Spam-Adresse hätte nutzen sollen. Aber mal ganz ehrlich - die info@-Adresse war ja schon kompromittiert und ich hab ja auch keine Lust, ständig meinen Spam-Account nach eventuell doch interessanten Mails zu durchforsten.

Außerdem kommt ja hinzu, dass es sich im vorliegenden Fall gar nicht um Spams im eigentlichen Sinn handelt, zumindest nicht für mich. Meine Adresse wurde als Absende-Account “lediglich” missbraucht. Das ist auch, was mich so ärgert. Würde ich nur die Spams bekommen, könnte ich damit leben - dass allerdings Spams mit meiner E-Mail-Adresse verschickt werden, ist mehr als ärgerlich.

Wie dem auch sei, der Schaden ist nun schon entstanden und daran kann ich nichts ändern. Geändert bzw. gelöscht habe ich die entsprechende E-Mail-Adresse. Natürlich überlegte ich mir, wie ich die neuen Adressen besser schützen kann.

Zum einen wird demnächst nicht mehr die Bequemlichkeit siegen und ich werde meinen Spam-Account bei einem Freemailer für Anmeldungen im Netz, egal wo, zu nutzen. Auf der anderen Seite mache ich mir auch Gedanken, wie ich die Adresse, die ich auf der Webseite angeben muss, besser schütze.

Schutz der E-Mail-Adresse innerhalb Webseite

Zu diesem Zweck gibt es verschiedene Ansätze und Wege. Kategorisch ausschließen möchte ich den Weg, die E-Mail-Adresse per document.write() oder sonstigem JavaScript-Code in die Seite einbinden zu lassen. Besucher mit deaktiviertem JavaScript würden dann ja bestenfalls nur die <noscript>-Meldung angezeigt bekommen. Das kommt für mich nicht in Frage - allgemein bin ich nicht der Fan von JavaScript, zumindest nicht, wenn es sich um solche Problemlösungen handelt.

Ein weiterer Weg ist, die E-Mail-Adresse als Grafik einzubinden und nicht als Text. Dies habe ich genutzt und habe sogar innerhalb der Grafik das begehrte @-Zeichen, sowie den normalen Aufbau der E-Mail-Adresse vermieden. Das hat allerdings den Nachteil, dass die Adresse nun nicht direkt als E-Mail-Adresse ins Auge springt und sich schon gar nicht komfortabel in den E-Mail-Client kopieren lässt.

Um das Ganze für den Besucher besser und komfortabler zu gestalten, muss also eine mailto-Verknüpfung her. Diese benötigt aber zwangsläufig die komplette E-Mail-Adresse im Quellcode. Damit diese nicht im Klartext dort zu finden ist, habe ich sie als Unicode kodiert und in dezimaler Schreibweise in den Quellcode eingetragen. Der Browser stellt sich richtig dar, für Bots soll sie so nicht lesbar sein. Um sich die Buchstaben “umrechnen” zu lassen, kann man das Terminal-Programm unicode nutzen:

# sudo apt-get install unicode
# unicode –string adresse@provider.tld

Unicode-Entsprechung: &#97;&#100;&#114;&#101;&#115;&#115;&#101;&#64;&#112;&#114;&#111;&#118;&#105;&#100;&#101;&#114;&#46;&#116;&#108;&#100;

So wird aber nur jeder Buchstabe einzeln angezeigt, so dass das Ganze ein recht mühsames Unterfangen wird. Das Internet wäre aber nicht das Internet, wenn es nicht auch dafür verschiedene Dienste bieten würde. Bevor man da aber seine zu kodierende E-Mail-Adresse blauäugig eingibt, sollte man sich den Anbieter genau ansehen - nicht dass man den Bock zum Gärtner macht. Zumindest verwundert es mich, wenn ein Dienst abbricht, sobald er keine valide Adresse erkennt - auch gestückelt sollte er die Adresse umwandeln.

Um herauszufinden,welche Methode die bessere ist, habe ich einfach zwei Adressen eingerichtet und für jede Methode eine eingetragen. Bleibt abzuwarten, auf welche zuerst eine Spam-Mail eingeht. Zu finden ist das Ganze im Impressum.