Die Blacklist

Die wollten doch nur ins Blog und ihren eigenen Mount St. Spammens errichten:

So sieht es dann aus, wenn Spammer vermutlich ihr Verhalten ändern:

Amüsant:

(Blacklist-)Beschwerden aus aller Welt

Seit heute ist im Austragungsformular der Blacklist für Unwillige Unbedarfte gleich der zu dieser IP-Adresse verfügbare Abuse-Kontakt angegeben:


Ermittelt wird dies über abuse-contacts.abusix.org.

Aus einer internen Kommunikation, nachdem wir für die Blacklist eine weitere Spam-Falle aufgenommen hatten:

Dank Dir fürs Aufnehmen der Domain! Möge Sie weiterhin für SPAM ein Magnet sein.

Aus einer Austragung aus der Blacklist:

Removed infection from PC, the user is now in chains, and will be beaten with Cat 5 cable. If this happens again I will push her in the server room and push the Halon fire repression system. Her name will be smitten from pages such as Facebook and myspace and her memory forgotten. She will be used as an example.

Von einer Austragung aus der Blacklist

1 - Changed the user account password. This spam was the result of a compromised account.
2 - implemented outbound email filtering with MailScanner/SpamAssassin/MailWatch
3 - Forced the offending college to send their own email and not implicate MY server.
4 - Drank large quantities of Coke.

Zum Glück bleiben solche dämlichen jeder Grundlage entbehrenden Drohungen wegen des Betriebs des DNS-Servers der Blacklist eine Seltenheit bzw. eher die Ausnahnme:

Sehr geehrte Damen und Herren,

unser Kunde Herr XXX und wir werden gegen Sie eine Strafanzeige wegen vorsätzlicher Geschäftsschädigung einreichen. Grund: Sie blockieren unsere Emailadresse, die zur ganz normalen Geschäfts- und Rechnungsabwicklung mit unseren Kunden verwendet wird. Der Kunde kann weder Rechnungen noch Versandmitteilungen erhalten. Der Schaden, den Sie anrichten, wird auf € 50000.-- pro Monat beziffert.

Hier die Beweise Ihres kriminellen Tuns:

<einkauf@xxx.de>:
[IP-ADRESSE IRGENDEINES MAILSERVERS] does not like recipient.
Remote host said: 550 5.7.1 ... IP blocked see http://www.heise.de/ix/nixspam/dnsbl_en/ IP:[IP-ADRESSE DES VERSENDERS] Giving up on [IP-ADRESSE IRGENDEINES MAILSERVERS].

Auch ein Austragen aus dieser ominösen Liste ist nicht möglich, weil selbst Ihr eigenes System diese Adresse ablehnt. Beweis:

<please+remove@ixlab.de>:
217.11.48.49 does not like recipient.
Remote host said: 550-Your mailhost's IP address [IP-ADRESSE DES VERSENDERS] is not listed. Please follow the 550 instructions on http://www.dnsbl.manitu.net/. Giving up on 217.11.48.49.

Sie haben 1 Stunde Zeit, die Blockade zu beheben, danach reichen wir die Strafanzeige gegen Sie ein, verbunden mit einer Schadensersatzklage in Höhe von € 50000.-- für jeden Monat, den Sie unsere Emails blockieren.

Wir hatten darauf hin u.a. erklärt, wer genau hier was sperrt - und dass wir das definitiv nicht sind. Auch ein Bestandteil unserer E-Mail: Dass wir uns durch seine E-Mail evtl. (!) genötigt fühlen, denn trotz aller Erklärungenund damit des 'Wissens', dass wir hier nichts sperren, sondern lediglich die Server für die Blacklist zur Verfügung stellen (auch Mitstörerhaftung ist hier nur sehr entfernt heranziehbar, und das ist nunmal kein Straf- sondern Zivilrecht), uns mit Strafanzeige zu 'drohen', kommt dem Tatbestand der Nötigung durchaus nahe.

Als Reaktion kam dann folgendes:

Sehr geehrter Herr Schmitt,

das ist ja interessant, uns Nötigung vorzuwerfen. Ich habe Sie lediglich aufgefordert, diese verbrecherische Handlung, unsere Emailadresse international zu blockieren. Die erhaltenen Rückmails beweisen, dass Sie dieses Portal betreiben.

Da Sie also unsere Emailadresse Ihrem Schreiben hier nach weiterhin blockieren wollen, sehe ich mich gezwungen, die Strafanzeige bei der Staatsanwaltschaft direkt einzureichen. Mal sehen, ob Sie dem Staatsanwalt dann auch "Nötigung" vorwerfen werden.

Ihr restliches Geschreibsel soll nur von Ihrer Tat ablenken. Denn nicht der Empfänger unseres Emails verweigert die Annahme, im Gegenteil, der benötigt die Rechnung dringend, weil er auch dringend die Ware für einen Kunden benötigt. Und dieses Geschäft blockieren Sie mit Ihrem Internetsystem Xlab. Schön, dass wir diese Rückmails als Beweis bei der Strafanzeige gleich mitsenden können. Ihre Webseite des Systems wurde ja mit dem 2. Emails mitgeteilt, wie Sie lesen können. Also sind Sie der Urheber.

Wir versenden keine Spams, sondern legale Mails an unsere Kunden. Diese werden von Ihnen blockiert, indem Sie einfach unsere gesamte IP-Nummer blockieren. Sie wollen damit erreichen, uns großen finanziellen Schaden zuzufügen. Und das ist strafbar nach Strafgesetzbuch, da brauchen wir keine Privatklage nach BGB einreichen. Darum und um den Schadensersatz kümmert sich dann noch der Staatsanwalt.

Hier die Beweise Ihres kriminellen Tuns:
(... dasselbe wie aus der 1. E-Mail ...)

Und was kam am Ende raus? Die von ihm verwendete Empfänger-E-Mail-Adresse existierte so gar nicht - und hat auch nie existiert.

Von Berts Vortrag gibt es nun eine dritte, ebenfalls Web-optimierte Version:

Blacklist-Projekt "NiX Spam" (PDF, ca. 636 kB)

Das Dokument steht unter folgender Lizenz:


Creative Commons Namensnennung-Keine Bearbeitung 3.0 Unported Lizenz.

Von Berts Vortrag gibt es eine Web-optimierte Version:

Blacklist-Projekt "NiX Spam" (PDF, ca. 636 kB)

Das Dokument steht unter folgender Lizenz:


Creative Commons Namensnennung-Keine Bearbeitung 3.0 Unported Lizenz.

Berts Vortrag bei der Mailserver-Konferenz ist ab sofort u.a. hier zu finden:

Blacklist-Projekt "NiX Spam" (PDF, ca. 636 kB)

Das Dokument steht unter folgender Lizenz:


Creative Commons Namensnennung-Keine Bearbeitung 3.0 Unported Lizenz.

Nachtrag 07.07.2009 08:06 Uhr
Es gibt auch eine Web-optimierte Version.

Für alle, die sich dafür interessieren es etwas angeht (frei für "To whom it may concern")

IP-Adressen nur noch 12 Stunden lang gelistet

Die Blacklist wurde von mir um 12 Uhr, wie vorgeplant, auf Null gesetzt.

Diese Maßnahme hat einige interessante Ergebnisse geliefert. Wenn man sich z.B. die Trefferzahl


sowie die Trefferquote


anschaut, sieht man, wie schnell die Treffer wieder "hochgehen".

Für alle, die die Blacklist nutzen:

DNSBL wird vorübergehend "auf Null" gesetzt

Die Blacklist hat einen neuen Master-Server, einen unserer Rootserver XXLx4.

Nachdem die Anforderungen primär an den MySQL-Dienst auf der Maschine massiv angestiegen sind, wurde es Zeit, und die Maschine rennt dank der neuen Hardware wie eine Eins.