Dezember 2004 > mehr wissen > Gefälschte E-Mail-Absender
 
Gefälschte E-Mail-Absender
Von Florence Maurice
 
Nicht nur, dass wir heutzutage täglich mit massenhaft Spam überschüttet werden, es kann auch vorkommen, dass Spam unter Ihrem Namen, d.h. mit Ihrer Mail-Adresse als Absender, verschickt wird. Sie merken das dann an den Reaktionen auf diese Spam-Mails, die natürlich an Ihre E-Mail-Adresse zurückkommen - denn diese ist als Absender angegeben. Die meisten Antworten werden solche sein, wonach die Mail unzustellbar war, oder andere informieren einen darüber, dass die E-Mail wegen Spam-Verdacht geblockt wurde. Unangenehmer, aber auch möglich, sind Beschwerde-E-Mails.

Joe Job - Spam-Mails mit gefälschten Absendern

Dies bringt zwei Probleme mit sich: zum einen ist so etwas natürlich rufschädigend und zum anderen kann es passieren, dass Sie so viele Antwort-Mails erhalten, dass Ihr Account dadurch lahm gelegt wird.
Bezüglich des ersten Problems - der rufschädigenden Wirkung - gibt es nicht viele Möglichkeiten. An sich hilft es nur, die Leute darüber aufzuklären, dass man für diesen elektronischen Müll nicht verantwortlich ist und es häufig vorkommt, dass E-Mail-Absender gefälscht werden. Diese "Richtigstellung" kann man natürlich leider nicht in selben Umfang verbreiten, wie die Spam selbst, um die Leute nicht noch mehr zu verärgern. Der erste bekanntere Fall, in dem Spam-E-Mails unter falschem Namen verschickt wurden, war der von Joe Doll aus dem Jahre 1997. Deswegen ist das Versenden von Spam unter falschem Namen auch als "Joe Job" bekannt. Sie finden bei Joe übrigens immer noch die Seite, in der er erklärt, dass er mit den Spam-Mails nicht zu tun hat.

Wenn Sie so viele Reaktionen auf die in Ihrem Namen versendeten Mails erhalten, dass Ihr Account überläuft, dann kann man dem Problem Herr werden, indem man die E-Mails an ein Web-Frontend weiterleitet und dort filtert bzw. löscht. Details dazu verrät ein Artikel in der Zeitung c't vom September (c't 19/2004, S. 142ff).

Eine Überprüfung der Absenderangabe ist im Mail-Protokoll nicht vorgesehen

Der Absender einer E-Mail kann unter bestimmten Voraussetzungen beliebig gewählt werden. Im ursprünglichen E-Mail-Protokoll ist eine Überprüfung, ob der angegebene Absender auch wirklich der Absender ist, nicht vorgesehen. Das klingt sehr erstaunlich, ist aber bei der Schneckenpost - dem normalen Brief - auch nicht anders: Auch hier könnten Sie einen beliebigen Absender angeben. Die gängigen E-Mail-Clients - wie Mozilla, Outlook, Outlook Express - bieten dies zwar nicht als Standardfunktion an, das heißt aber keineswegs, dass es nicht an sich möglich ist.

Wenn man beispielsweise mit Hilfe einer serverseitigen Skriptsprache wie PHP einen Mailversand per Hand programmiert, kann man die verschiedenen Mail-Header selbst frei angeben und wählen. Die angehängte Angabe "From: ich@mir.de" z.B. würde als Absender einer verschickten Mail "ich@mir.de" nennen - auch wenn es die Adresse gar nicht gibt.

Vielleicht haben Sie schon einmal eine Seite einer Freundin empfohlen oder Freunden einen TV-Tipp gesendet: Hier gibt es häufig Formulare, in denen Sie neben dem Adressaten und einem Text auch Ihre Absender-E-Mail-Adresse eingeben können - die ebenso gut eine x-beliebige Adresse sein könnte. Trotzdem wird sie ungeprüft als Absender verwendet.

Warum aber verwenden Spammer falsche E-Mail-Adressen?

Einerseits ist es ein Täuschungsmanöver, weil eventuelle Beschwerde-Antworten etc. eben auch an die falsche Adresse gelangen. Andererseits kann die Absenderadresse auch bewusst gewählt sein, um die entsprechenden Leute zu diskreditieren. So wurden in letzter Zeit einige Fälle bekannt, in denen als Absenderadressen von Spam die Mail-Adressen von Mitgliedern des Antispam-Forums verwendet wurden.

Wie kommen die Spammer an die Adressen?

Dieselben Adressen, die eingesetzt werden, um Spam zu versenden, können auch als Absender verwendet werden. Die Spammer finden Adressen, indem sie entweder mögliche Kombinationen von Mail-Adressen einfach austesten oder Programme einsetzen, die Webseiten gezielt auf E-Mail-Adressen durchsuchen.

Manche Würmer versenden sich besonders gern unter falschem Namen

Es gibt noch einen weiteren häufigen Fall, in dem unter Ihrem Namen Mails verschickt werden, die Sie nicht gesendet haben. Eine Spezialität etwa des Bagle-Wurms ist es, dass er als Absender nicht die E-Mail-Adresse desjenigen verwendet, dessen Rechner infiziert ist, sondern einfach eine beliebige Adresse aus dessen Adressbuch nimmt. D.h. es genügt, dass der Computer eines Bekannten mit dem Wurm infiziert ist, der Ihre Adresse im Adressbuch aufgenommen hat - schon werden infizierte Mails in Ihrem Namen versendet, was man meist erst an den Reaktionen auf eben diese E-Mails bemerkt.

Erstaunlich viele Mailserver benachrichtigen automatisch den Absender einer verseuchten Mail, was angesichts dessen, dass dieser Wurm ja nicht vom angeblichen Absender der Mail kommt, ein wirkliches Unding ist. Ebenso bieten manche Free-Mail-Accounts, wie beispielsweise Web.de, die Option, eine Meldung an den Absender einer infizierten Mail zu senden - was Sie lieber unterlassen sollten, weil dann nur einmal mehr eine unnötige Mail durchs Web geschickt wird und den Empfänger ebenso unnötig wie ungerechterweise verunsichert.
 

Quellen und Links
Die Klarstellung von Joe Doll, dass er nichts mit den Spam-Mails zu tun hat:
Spam Attack

Informationen vom Bundesamt für Sicherheit in der Informationstechnik,
Hinweis: Gefälschte Absender-Adressen

Spam als Waffe - Artikel in der Telepolis

Urs Mansmann, Jürgen Schmidt: Katastrophenmanagement - E-Mail-Konten und -Server in Betrieb halten.
c't 19/2004, Seite 142-144.

Spam-Vorsorge. In mediella 03.03
Pfischer unterwegs. In mediella 10.04

Autorin
Florence Maurice
Kontakt: florence.maurice @mediella.de