Viele Kunden von Domain-Registraren machen dieselbe Erfahrung: Kaum ist eine Domain neu registriert, schon wird der dazugehörige eMail-Account mit Spam-eMails überflutet. Und das, obwohl man seine (neue) eMail-Adresse noch nirgends kommuniziert hat.
Woher kommt das?
Bei Registrierung von Domains erfolgt üblicherweise zunächst eine Eintragung der Kontakt-Informationen des Inhabers wie etwa der Mail-Adresse in die meist öffentlich einsehbare WHOIS-Datenbank und macht sie damit potentiell für Missbrauch anfällig. Viele »Adresshändler« bieten tagesaktuelle CD-ROMS an, mit frischen eMail-Adressen aus den entsprechend WHOIS-Einträgen. Betroffen sind davon überwiegend .com-, .net-, .org-, .biz- und .info-Domains.
Aber auch .de-Domain-Inhaber sind davon betroffen, sofern sie bei der Anmeldung eine eMail-Adresse angeben und deren Veröffentlichung autorisieren. Die Angabe einer eMail-Adresse ist für .de-Domains allerdings nicht zwingend. Weder braucht eine eMail-Adresse für den Domain-Inhaber noch den admin-c angegeben werden. Alleine der tech-c muss per eMail erreichbar sein, weshalb dessen eMail-Adresse bei der Anmeldung mitgeteilt werden muss. Das übernimmt aber der Provider, der üblicherweise der einzutragende tech-c ist. Denic selbst trägt auch nur dessen eMail-Adresse in die Whois-Datenbank ein, es sei denn –, wie gesagt –, der Domain-Inhaber hat die Veröffentlichung autorisiert. Die Chancen des Missbrauchs von Denic-Daten ist damit gering.
Eine mögliche Gegenmassnahme wäre für die Domain-Registrierung eine eigene eMail-Adresse anzulegen und nur gelegentlich abzurufen. Jedoch muss sichergestellt werden, dass eMail-Nachrichten der jeweiligen Vergabestelle den Domain-Inhaber auch erreichen können. Ansonsten droht im Extremfall der Verlust der Domain.
Eine andere Masche nutzt die Catch-All-Funktionalität vieler eMail-Accounts. Catch-All bedeutet, dass grundsätzliche jede eMail den entsprechenden Domain-Inhaber erreicht, völlig unabhängig davon, was vor dem (at)-Zeichen geschrieben steht, also a1@domain.de, a2@domain.de, a3@domain.de, usw. Über einen sogenannte Zonefile-Download erstellen findige Spammer tagesaktuelle Listen der weltweit neu registrierten Domains. Und jede (neue) Domain wird damit zur »frischen« eMail-Adresse für die Spammer!
Erste Sofortmassnahme ist hier das Deaktivieren der Catch-All-Funktion im Config-Bereich des Providers.
Eindeutige Hauptursache für die meist äußerst lästigen und milliardenfach verbreiteten Werbemails sind aber wohl eMail-Adressen, die auf Websites oder in Newsgroups stehen und so leicht Opfer von speziellen Suchprogrammen (»Spidern«) werden. Daneben sammeln einzelne Anbieter eMail-Adressen über gezielte Angriffe auf Mailserver: mit Hilfe etwa von Wörterbüchern werden gezielt Domains auf Kombinationen möglicher Mail-Adressen abgefragt, wobei die Gefahr von Spam umso größer ist, je kürzer eine eMail-Adresse ist.
Zum effektiven Schutz hiervor empfiehlt sich eine simple Massnahmen: zum einen sollten eMail-Adressen so gut wie möglich auf Websites »versteckt« werden, also nicht immer am Ende der Seite. Zum anderen sollten sie leicht verfremdet werden, beispielsweise »mail(at)domain. com« statt »mail@domain.com«. So bleiben sie für menschliche User leicht erkennbar und den meisten Suchmaschinen aber verborgen. Auch der Einsatz von eMail-Encodern, die herkömmliche eMail-Adressen in den ASCII-Code übersetzen oder in UTF8-Zeichen, bieten Abhilfe.
Schliesslich lässt sich die eMail-Adresse statt in reinem Text auch als Graphikdatei etwa im .gif-Format darstellen, und bleibt so für die Suchroboter unsichtbar.
Wie schützen Sie sich effektiv vor »Domain-Spam«? Diskussion im Forum von domain-people.de.