Ein Spammer missbraucht Ihre Mailadresse – was tun?

Spam, Phishing- und Schädlings-E-Mails werden meist mit gefälschter Absenderadresse verschickt. Was tun, wenn es ausgerechnet Ihre Adresse ist?

von Gaby Salvisberg 22.05.2014 (Letztes Update: 22.08.2018)

Ärgerlich genug, dass Spammer Ihr E-Postfach mit Junkmails überschütten. Noch schlimmer ist es, wenn es sich nicht bloss um nervtötende Werbung handelt, sondern um Phishingmails oder gar welche mit einem Trojaner als Anhang.

Der Gipfel des Ärgernisses ist aber, dass praktisch alle Spammer und sonstigen Onlineschurken natürlich nicht ihre eigenen Mailadressen als Absender setzen, sondern die einer anderen, meist unschuldigen Person oder Organisation. Resultat: All die Unzustellbarkeitsmeldungen (Fachbegriff: Bounces, dt. etwa: Abpraller), Abwesenheitsnotizen und sonstigen (oft gehässigen) Reaktionen auf die Spam- oder Schädlingsmails landen bei jener Person, der die hierfür missbrauchte Mailadresse gehört. Also zum Beispiel bei Ihnen. Manchmal auch bei uns.

Wie passiert so etwas überhaupt?

Das noch immer verwendete Mailprotokoll erlaubt es theoretisch, jede beliebige Mailadresse als Absender zu verwenden. Spammer wollen keine Mailantworten auf ihre Müllmails. Sie wollen nur, dass die Empfänger die Links in den Mails anklicken, die darin beworbenen wertlosen Aktien oder sonstigen Produkte kaufen oder den verseuchten Anhang öffnen. Darum setzen Spammer keine ihrer eigenen echten Mailadressen in den Absender. 

Lästige Bounces zu Mails, die Sie nie verschickt haben Lästige Bounces zu Mails, die Sie nie verschickt haben Zoom

Stattdessen picken die Spammer eine der vielen Tausend zusammengeklauten Adressen aus ihrer Liste heraus und setzen diese Adresse ins «From»-Feld der Massenmail. Manchmal steht die Adresse auch im optionalen Feld «Reply To» oder «Envelope from». All dies hat einen lästigen Effekt, da Spammer auch haufenweise ungültige Adressen anschreiben: Die zugehörigen Unzustellbarkeitsnachrichten à la «Mail delivery failed» landen bei Ihnen. Die werden im Fachjargon als «Bounces» bezeichnet. Ebenso erhalten Sie aber auch sämtliche Abwesenheitsmeldungen, sämtliche sonstigen Autoresponder und alle Mails von wütenden Anwendern, die einfach auf «Antworten» klicken, um Sie (der unschuldig ist) wegen Ihres vermeintlichen Spamversands zu beschimpfen. 

Früher war es zum Teil noch sinnvoll, sich die Bounces genau anzuschauen. Manche Provider fügen diesen Bounces noch die ursprüngliche Mailnachricht bei – oder wenigstens deren Original-Header. So konnte man durch Analyse der enthaltenen «Received»-Zeilen herausfinden, welche IP-Adresse diese Mails in die Gegend gepustet hat. Es erlaubte eine Beschwerdemail an den dortigen Provider, der seine Kunden zur Raison bringen sollte. Heute nützt das nicht mehr viel, da der meiste Spam über Bots verschickt wird: Der Versand passiert ab einer Vielzahl infizierter PCs. Sich bei all deren Providern zu beschweren, wäre eine Höllenarbeit. Und die Kunden wissen oft selbst nichts davon, dass auf ihren PCs ein Schädling sitzt, der Spam verschickt.

Klar ist eines: Inhaber der «From»-Adresse im Spam und der Eigentümer der Maschine, von der ein bestimmtes Spam-Exemplar verschickt worden ist, haben in praktisch keinem Fall etwas miteinander zu tun – und erst recht nicht mit dem Inhalt der Spam-E-Mail.

Aussitzen, filtern, SPF-Eintrag setzen

Erhalten Sie also jetzt Bounces von Spam, den Sie nicht verschickt haben? Ärgern Sie sich nicht – und sitzen Sie es aus. Der Spuk ist üblicherweise nach einigen Minuten, Stunden oder höchstens Tagen vorbei.

Info auf der Webseite: Gehört Ihre durch Spammer missbrauchte Mailadresse zu einer Firma? Und müssen Sie aufgrund der Anzahl Bounces davon ausgehen, dass nicht nur eine Handvoll, sondern viele gefälschte Mails mit Ihrer Adresse ins Netz geblasen worden sind? Dann empfehlen wir, dass Sie auf Ihrer Webseite eine kurze, sachliche Notiz anbringen, wie z.B. so etwas: «Es sind Phishing-E-Mails mit einer unserer Absenderadressen im Umlauf. Die Mails stammen nicht von uns, unsere Server wurden nicht angegriffen und wir haben auch keine Daten weiterverkauft. Es ist nur einem Spammer eingefallen, unsere Mailadresse als Absenderadresse zu missbrauchen. Löschen Sie die Mails.»

Wegfiltern: Falls die Bounce-E-Mails Ihnen in die Quere kommen, filtern Sie diese weg – und zwar am besten gleich im Postfach, und nicht erst in Ihrem Mailprogramm. Loggen Sie sich hierfür ins Webinterface Ihres betroffenen Mailkontos ein. Setzen Sie da einen Filter auf die Unzustellbarkeitsnachrichten. Die sollen direkt beim Eintreffen in einem separaten Ordner landen. Falls Sie befürchten, dass diese Ihr Postfach füllen, löschen Sie alle mit Ausnahme der paar neusten. So können Sie abschätzen, ob der Spuk vorbei ist.

Vergessen Sie aber nicht, den Filter zu entfernen, sobald wieder Ruhe eingekehrt ist. Schliesslich wollen Sie bestimmt keinen echten Bounce verpassen, wenn Sie sich tatsächlich mal selber bei einer Mailadresse vertippt haben.

Massnahme vom Provider: Ihr Mailprovider kann auch noch etwas helfen. Erkundigen Sie sich bei ihm nach SPF (Sender Policy Framework). Wenn er dieses nutzt und bei Ihnen aktiviert, wird es für Spammer in Zukunft schwieriger, Mails mit Ihrer Absenderadresse an den Mann zu bringen. SPF funktioniert so, wenn ein Provider dies aktiviert hat: Beim Empfang einer Mail für einen Kunden prüft er, ob es zur Absenderadresse einen SPF-Eintrag gibt. Der SPF-Eintrag enthält Infos darüber, welche Server als Einzige die Erlaubnis haben, Mails mit jener Absenderadresse zu verschicken. Stammt die Mail von einem anderen Server, gilt sie als mutmasslich gefälscht. Sie wird je nach eigenen Regeln ganz abgewiesen oder beim Kunden direkt in den Spamordner verfrachtet.

Bei aktiviertem SPF müssen Sie aber genau darauf achten, die von Ihrem E-Mail-Provider empfohlenen Server zu verwenden. Andernfalls bringen Sie Ihre Mails nicht mehr ans Ziel, da andere SPF-praktizierende Server Ihre Mails für Spam halten.


    Kommentare

    Keine Kommentare

    Sie müssen eingeloggt sein, um Kommentare zu verfassen.