Illustration: Sora AI
Seit einigen Wochen passierte seltsames in meinem E-Mail Postfach: In unregelmäßigen Wellen füllte es sich mit merkwürdigen Mails. Keine Werbung, kein offensichtlicher Spam, sondern automatische Antworten fremder Firmen oder Privatleute: „Danke für Ihre Supportanfrage, „Ihre Mail konnte nicht zugestellt werden“, „Ich bin im Urlaub.“ Das Problem: Ich habe nie eine Nachricht an diese Absender geschickt. Woher kommen also all diese Antworten? Und warum landen die bei mir?
Autoreply-Spam: Was auf den ersten Blick nach einem gehackten Konto aussieht, ist in Wahrheit oft ein ganz anderes Phänomen und lässt sich mit etwas technischer Neugier selbst lösen.
Schritt 1: Mailheader prüfen
Jede E-Mail enthält im Hintergrund technische Metadaten, den sogenannten Header. In den meisten Mailprogrammen lässt er sich über „Original anzeigen“ oder „Quelltext“ öffnen.
Irgendwo in dem dann erscheinenden Header-Wust stehen dann solche Zeilen:
List-ID:
Sender: [xyz@ab.irgendeinedomain.com](mailto:xyz@ab.irgendeinedomain.com)
List-Unsubscribe: <mailto:googlegroups-manage+123456789012+unsubscribe@googlegroups.com>
Solche Angaben verraten viel. In diesem Fall war schnell klar: Die Nachrichten kamen nicht direkt von den vermeintlichen Absendern, sondern wurden über Google Groups weiterverteilt, also über E-Mail-Verteilerlisten, die oft automatisch Mails an ihre Mitglieder weiterleiten. Erstellt wurden diese Listen ursprünglich von Webseitenbetreibern, die damit ursprünglich Mailings an ihre Kunden organisieren wollten ohne die Listen und die eigenen Mailserver gegen unbefugten Zugriff ausreichend abzusichern.
Schritt 2: Den Ursprung verstehen
Viele Spam-Kampagnen nutzen offene Verteiler und fügen fremde Adressen hinzu. Wird dann eine Nachricht in so einer Liste beantwortet, reagiert jedes angeschlossene Autoresponder-System und die Antworten prasseln dann auf alle Mitglieder dieser Liste ein. Man selbst hat also nichts verschickt, bekommt aber dennoch die Rückläufer. Der technische Begriff dafür lautet Backscatter oder Mailinglisten-Loop.
Typisch für diese Fälle:
– Der Header enthält Domains wie `ab.irgendeinedomain.com`.
– Die Zeilen `List-ID`, `Mailing-list` oder `Precedence: list` sind vorhanden.
– Der „Return-Path“ endet auf eine kryptische Google-Adresse.
All das weist auf eine Weiterleitung über Google Groups hin.
Schritt 3: Richtig austragen
Die gute Nachricht: Man kann sich selbst austragen, ohne Kontakt zu den Listenbetreibern.
Suche im Mailheader die Zeile mit List-Unsubscribe und schicke eine komplett leere E-Mail an diese Google-Adresse. Kein Betreff, kein Text. Nur absenden, und zwar direkt von dem Konto, das die unerwünschten Mails empfängt. Kurz darauf kommt eine Bestätigung von Google („You have been unsubscribed from …“).
Falls mehrere solcher Mails auftauchen, wiederholt man den Vorgang mit den jeweils anderen `List-Unsubscribe`-Adressen.
Schritt 4: Nachkontrolle
Hören die Mails nach ein bis zwei Tagen auf, war die Liste die Ursache.
Tauchen weiterhin ähnliche Nachrichten auf, sollte man erneut in den Header sehen, vielleicht steckt eine zweite Gruppe oder Weiterleitung dahinter.
Bleiben die Mails aus, ist das Problem erledigt.
Interessante und leicht verständliche Erklärung.
Manchmal denke ich, ich hätte schon jeden Sch* in den letzten 30 Jahren durchgespielt, aber gerade habe ich wieder dazugelernt.
So ging’s mir auch. Erstmal drauf kommen. Aber dann wars einfach.
Ich leite die Mails immer an abuse@google.com weiter. Ist ja schließlich ein Abuse. Die sollen mal gucken, dass die diesen Missbrauch in den Griff bekommen. Ist eigentlich ein Unding, dass Google Mailinglisten-Nachrichten an unbestätigte E-Mails verschickt.
Ich befürchte, dann wird das aber so schnell nichts. Die Unsubscribe-Mail funktioniert zuverlässig. Die Listen sind ja aus Google-Gruppen, die andere Leute erstellt und nicht ordentlich gegen unbefugten Zugriff abgesichert haben. So vermute ich z.B. bei einer Liste, in der meiner E-Mail auftauchte, dass die Adressen über ein ungesichertes „Subscribe“-Formular auf der Webseite eines kleinen Shops hinzugefügt wurde. Das Formular hatte keinen Captcha und offenbar alles, was dort eingetragen wurde, direkt in die Mailingliste übertragen. Aktuell flodden Bots wieder solche Formulare.