dyingeyes weblog: das persönliche Weblog von Boris Stumpf aus Frankfurt am Main

Und gibt irgendwie interne E-Mailadressen preis?

Wieso bekomme ich Spam an die interne Blog-E-Mailadresse, dich eigentlich nirgendwo zu sehen, geschweige denn auszulesen sein dürfte? Ich meine diese Adresse unter ›Allgemeine Einstellungen‹, die WordPress für ›administrative Zwecke‹ verwendet.

Nachdem das kurz nach Umstieg auf die neue Version einmal passierte, dachte ich noch an einen Zufall. Die Adresse war eher einfach gestrickt und hätte durchaus als so etwas wie eine ›Standardadresse‹ auf dieser Domain erraten werden können.

Es gibt sie ja wohl wirklich, diese Spam-Blindattacken an Standards wie z.B. admin@domainname.de, webmaster@, postmaster@ usw.

Also änderte ich diese Adresse vorsichtshalber in eine Form, die mit mehr als ausreichend großer Sicherheit kein Spam-Mechanismus erraten wird.

Und jetzt spaziert mir hier munter eine freche Spam-Mail (für Pillen) herein!

Wird diese interne Adresse eventuell bei irgendwelchen Antwortseiten auf Fehlermeldungen verraten?

Immerhin, ich hatte kürzlich mit einigen Tagen Distanz zwei Kommentarspam-Versuche im Akismet-Netz hängen, die wie Fehl- oder Testversuche aussahen, mit dem Text »enter text? test, sorry dfdf767df« und mit einem nicht existierenden Domainnamen verlinkt. Aber Akismet meldet ja gar nichts zurück, es arbeitet doch nur still im Hintergrund. Ein anderes Plugin vielleicht?

Falls jemand eine Idee hat, wo das Leck zu finden sein könnte, gleich hier melden. Ich gehe jetzt mal selbst forschen und werde mich zu gegebener Zeit an dieser Stelle in Sachen Aufklärung äußern …

Update am 17. September 2007:

Nach diesem Artikel hatte ich die bloginterne Adresse gegen eine neue ausgetauscht. Heute trudelt die erste Spam-Mail an die neue Adresse herein! Warum? Wie? Was?

Um sich vor illegitimen Übergriffen auf Daten des eigenen Computers zu schützen, kann es nicht ganz verkehrt sein, in Zukunft – neben der üblichen Vorsicht gegenüber den einschlägig bekannten verdächtigen E-Mails (die angeblich von Banken, Sparkassen oder Anwälten stammen) und die mit oder ohne Anhänge daherkommen – besondere Vorsicht walten zu lassen bei E-Mails, die

• von Bundes-, Landes- und Kommunalbehörden zu kommen scheinen, und
• verdächtige URLs enthalten (Gefahr der Umleitung auf möglicherweise unsichere Webseiten), und/oder
• eingebette Skripte enthalten (in HTML-Mails), und/oder
• Anhänge (Attachments) enthalten.

Ich empfehle in allen solchen Fällen eine genaue Prüfung, ob die betreffende E-Mail

• überhaupt vom angeblichen Absender stammt ¹, und/oder
• ob die betreffende Behörde überhaupt Kenntnis der E-Mailadresse haben dürfte, an die die Nachricht adressiert ist ²

¹ Es bietet sich z.B. die Möglichkeit an, die betreffende E-Mail (gegebenenfalls mit Anhang) an die angeblich absendende Behörde (an die im Von:-Feld angegebene Adresse) zurückzuschicken mit der Bitte um Bestätigung.

² Diese Prüfung empfiehlt sich bekanntermaßen als erster Augenschein bei möglicherweise Phishing-verdächtigen E-Mails von Bankinstituten.

Ich empfehle weiterhin, Anhänge bei unaufgefordert eingegangenen oder nicht im Vorfeld persönlich abgesprochenen E-Mails grundsätzlich nicht zu öffnen. Im Sinne der Sicherheit der eigenen Daten und Dokumente sollte der aufmerksame Computernutzer in solchen Fällen niemandem einen Vertrauensvorschuss einräumen, Behörden ausdrücklich eingeschlossen.

Sofern die Möglichkeit besteht, dass es sich bei einer vermutlich gefälschten E-Mail einer Behörden um den Versuch des Betruges, des versuchten Datendiebstahls oder mindestens der arglistigen Täuschung handelt, halte ich es für eine durchaus gute Idee, die betreffende E-Mail zum Zwecke der Beweissicherung im Zuge einer möglichen Strafanzeige auf einem externen Datenträger zu sichern.

Ich halte es darüber hinaus im Blick auf die Sicherheit der eigenen Daten für angemessen, abwehrende Bekundungen wie z.B. solchen des Präsidenten des Bundeskriminalamtes, die Debatte über die Online-Durchsuchungen privater Computer sei eine »Angstmacher-Diskussion, die zu Verunsicherung führen soll«, und dass es »schlicht und einfach um fünf bis maximal zehn solcher Maßnahmen im Jahr« gehe, nicht zum Anlass zu nehmen, die oben empfohlene erhöhte Aufmerksamkeit und die entsprechenden Vorsichtsmaßnahmen zu vernachlässigen.

Wie sagt eine uralte Weisheit:
Vertrauen ist gut, Kontrolle (und gehobene Vorsicht) ist besser.

Weswegen es gar keine 16 Gründe geben kann, warum Star Wars besser ist als Star Trek?

Ganz einfach:

16 – oder wieviele auch immer – Gründe könnte es nur geben, wenn Star Wars besser wäre als Star Trek. Logisch, nicht?

Da Star Wars aber nicht besser ist als Star Trek, kann es auch keine 16 Gründe für die gegenteilige Behauptung geben.

Via Thomas Gigold