> Das dient nur als Beispiel. Die “info@…” wird aber sehr oft
> verwendet.
Ja, aber meistens von nicht existierenden Domains oder Domains die
wirklich den Spammer gehoeren (Antwort trotzdem zecklos, da
info@->Muelleimer; allerdings wird vorher die Existenz deiner Adresse
verifiziert 
> Wenn Du Provider-ähnliche Aufgaben übernimmst, bist Du zur
> “abuse@…” verpflichtet.
Sagt wer? Ich kenne auch Provider wo abuse@->Muelleimer gilt. Du
kriegst eine Standard Antwort, du moegest doch ein Formular auf ihrer
Webseite benutzen (das meistens komplett nutzlos ist). Was wenn
jemand aber WWW nicht nutzen kann, sondern nur Mails verschicken und
empfangen kann? Dann kann er gar keinen Abuse melden.
> Ja. Spam ist ja in den meisten Staaten ebenfalls verboten.
Alleine die Definition von Spam variert hier gewaltig. Und Spam ist
nichtmal ueberall in Europa verboten und auch in den USA ist es sogar
von Staat zu Staat verschieden (Bundesweite Spam Gesetze kamen dort
noch nie zum Einsatz, auch wenn ja seit neusten welche existieren).
> Sollte dies einen Anhaltspunkt liefern können, müssten _alle_
> eMail-Adressen irgendwo registriert und entsprechend mit realen
> Personen abgeglichen werden.
Wie bei DNS. Telefonnummern sind doch auch registriert (hier kann ich
mich doch auch nicht verstecken, in dem ich schnell mal ne Nummer
beantrage, dann perverse Anrufe mache, die Nummer wieder abmelde und
in der Versenkung verschwinde).
> Das geht mir dann doch zuweit in
> Richtung Ãœberwachung.
Also hast du kein Telefon, weil du sonst zu weit ueberwacht wirst?
Und du hast keine Domain, weil du sonst zu viel ueberwacht wirst?
Nein. Natuerlich hast du beides, aber bei E-Mail stoert dich so ein
Verzeichnis auf einmal, bei den anderen beiden nicht… Wieso?
Ausserdem ist doch jeder Provider fuer seine Pappenheimer zustaedig
(es gibt ja auch nicht EINEN Registrar von Domains. Alleine fuer .COM
gibt es doch an die hundert, oder?) Also ist es nicht ein Listung,
sondern tausende kleine, verteilt auf hunderte von Services.
>> Das SMTP Protokoll muss halt so abgaendert werden, dass es
>> Authentifizierung zwingend vorschreibt.
>
> ESMTP gibts schon, darüber
> _kann_ man eine Authentifizierung verlangen.
Ich weiss dass es das gibt, aber es ist nicht ueberall im Einsatz. Es
sollte aber zwingend sein und jeder Server sollte Mails verwerfen,
die nicht von einem ESMTP Server stammen.
> Wieder mit der Vorgabe, dass die Authentifizierung auf zentralen
> Servern abgelegt werden muss, damit die jewilige Mail-Maschine dort
> nachfragen kann, ob der jeweilige User “validiert” ist.
Das muss nur die erste Maschiene.
Schau, ich sende Mail ueber GMX (mail.gmx.de). Ich authentifiziere
mich bei GMX mit Username und Passwort. Das kann nur ich und niemand
sonst. Damit hat GMX schon mal sicher gestellt, dass ich der bin fuer
den ich mich ausgebe. Nehmen wir an, ich sende mit der Mail Adresse
abcde@msn.de (das geht zwar nicht, GMX erlaubt nur mit GMX Adressen
zu senden, aber tun wir mal so).
Jetzt leitet GMX die Mail weiter an mail.yahoo.de; Yahoo.de empfaengt
die Mail.
Jetzt ueberprueft er erstmal, dass die IP Adresse des Rechners, der
ihm die Mail geschickt und die Domain Adresse im Received Header
uebereinstimmen (also angaeblich wurde die Mail von mail.gmx.net
weitergeleitet, empfangen habe ich die Mail aber von IP a.b.c.d…
Frage: Ist a.b.c.d auch wirklich mail.gmx.net??? Nein? Jemand gibt
sich hier als Mail Server aus -> Spam oder Betrueger)
Dann macht er eine Verbindung zu mail.msn.de auf und fraegt den
Server “Hab gerade ne mail von abcd@msn.de erhalten. Gibt es so einen
Account wirklich” Nein? -> Spam
Steht der Server auf der Blacklist? Dann mail verwerfen.
Wenn nicht macht er eine Verbindung zum Server auf, von dem er die
Mail bekommen hat und fraegt ihn “Hab gerade eine Mail *angaeblich*
von dir bekommen, Absender abcd@msn.de, kommt die wirklich von dir?”
und der Server schaut in seinen Logs nach und antwortet. -> Nein?
Hier macht jemand IP Spoofing! Ja, dann ist alles okay, weil im
Ernstfall koennte man ueber diese Logs den *echten* Sender ermitteln
und dingfest machen.
Wie soll der Spammer vorgehen? Nehmen wir an, er sendet mit meiner
E-Mail Adresse als Absender, ueber welchen Server soll er gehen? Wenn
er ueber einen ESMTP Server musse er sich anmelden. Logins auf
solchen Servern gibts aber nur gegen Identitaet. Ergo kann ich den,
der meine E-Mail missbraucht und damit Spam versendet sofort dingfest
machen.
Und ohne ESMTP Login kann er keine Mails versenden. Das stellen die
drei obigen Pruefungen sicher.
> Ja. Aber der Provider kennt den Typen mit dem offenen Relay.
Egal. Selbst wenn er deren Account killed, wurde ein unschuldiger
getroffen und der Spammer findet schon den naechsten Proxy Betreiber
und macht weiter.
Mit ESMTP und NNTP-Authentifizierung waere das nicht passiert.
> Zuerst sollte die Unschuldsvermutung
> gelten.
Wer fahrlaessig Schaden verursacht ist nicht unschuldig. Er ist
mitschuldig am entstandenen Schaden. Klar trifft ihn keine
Vollschuld, aber eine Teilschuld.
Das jemand deinen Rechner knackt und an deine ESMTP Passwoerter kommt
ist aeusserst unwahrscheinlich. Und wenn, dann hattest du sie auf der
Platte gespeichert (unverschlueselt), was wieder fahrlaessig ist.
Und solche Faelle sind sehr konstruiert. Wenn SMTP laufen wuerde wie
oben beschrieben, dann faellt das Spam-Level um >90%. Wie man mit den
Rest verfaehrt (wenn dann halt doch mal eine Rechner geknackt wird),
das ist dann eher ein sozialpolitisches Problem und weniger ein
technisches.
Mir geht es hier darum, dass man Spam leicht technisch eindaemmen
koennte. Viel leichter als mit Gesetzen oder in dem man fuer jede
Mail Geld zahlen muss. ESMTP und ein paar Gegenchecks im Server und
schon gibts keinen Spam mehr.
Servus,
Mecki
>