Beiträge

Veröffentlicht am

Spam, Eggs, Spam, Ham, Spam, Spam, Sausage and Spam

Jeder der über einen Mail-Account verfügt wird es schon verflucht haben: die unzähligen Werbebotschaften, die einem die Mailbox dermassen fluten, das wesentliche Informationen beinahe untergehen. Spam ist eigenlich Frühstücksfleisch. Als nerviges Element wurde es durch einen Sketch der Komiker-Truppe Monty Python geprägt. Stellt sich also für jeden die Frage wie man sich vor Spam – richtiger vor Unsolicited Bulk eMail, UCE – schützen kann.

Eine Patentlösung gibt es leider nicht. Aber über ein paar Instrumente kann man den Spamern wenigstens das Leben etwas schwerer machen.

  1. bei der Gewinnung von eMail-Adressen über Webseiten kann man Spambots ein paar Beine stellen. Spambots sind Roboterprogramme die das Netz nach einem eMail-Adressmuster auf Webseiten durchforsten. Klassisch sind dabei »mailto:« oder das »@«-Zeichen. Ggf. auch verfeinert durch sog. reguläre Ausdrücke, z.B. ob hinter dem @ auch noch irgendwann ein Punkt und ein »de«, »com» oder ähnlich erscheint. Tauscht man solche verräterischen Bestandteile durch URL-Codierungen aus, muß der Erkennungsfilter des Spambots darauf schon wieder trainiert sein. Etliche sind’s, aber ein paar eben nicht, und die sind dann schon mal draussen. Für den Mac gibt es das Programm SpamStopper, das einem hilft solche URL-Codierten Mail-Adressen zusammen zu bauen. Dieser Schutz geht allerdings nicht sehr weit und wird in der Netiquette z.T. als »unfreundlich« eingestuft.
  2. einen Schritt weiter geht unsere red@ktiv-Lösung. Wir codieren eMail-Adressen beim Seitenaufruf mit PHP-Funktionen und generieren aus dem Text des Maillinks ein Bildchen. Dieses Bildchen ist für jeden User Klartext lesbar, aber Spambots können mit dem .png-Format nichts anfangen. Der Link der um dieses Bild liegt ruft darüberhinaus nicht das lokale Mailprogramm auf (was »mailto:« machen würde), sondern verzweigt in ein eigenes WebForumular. Praktische Anwendung z.B. bei http://www.transalp.de/about/kontakt.php Sämtliche dort gelisteten eMail-Adressen sind solche Bildchen, die das Kontaktformular aufrufen. Nachteil der Lösung: es braucht ein Webhosting mit PHP-Unterstützung, was i.d.R. etwas teuerer ist.
  3. wenn schon PHP, dann richtig: in jeder Datei steckt ein Header drin, der überprüft, wer diese Seite gerade aufruft. Die Spambots identifizieren sich gegenüber dem Server, so wie das auch jeder Browser oder jede Suchmaschinen tut (ein Spambot ist genau genommen nichts anderes als eine Suchmaschine und eine Suchmaschine streng genommen auch nur ein Sonderfall eines Browsers). Da diese Kennungen bekannt sind, können Seitenaufrufe durch solche Kanditaten von vorherein unterbunden werden. Nachteil: ändert der Bot seine Kennung oder gibt sich als stinknormaler Browser aus, ist diese Bremse umgangen.
  4. Noch einen Schritt weiter geht die Methode von Daniel Rehbein: Dieser wirft per PHP-Programm den Spambots »getürkte« Mailadressen zum Fraß vor, die für einen normalen Nutzer unsichtbar sind (also garantiert nur von Spamern genutzt werden). Die krude Adresse hat aber dennoch einen realen Hintergrund. Durch entschlüsseln der Mailadresse kann der Zeitpunkt des Aufrufs, die IP des Aufrufers etc. bestimmt werden. Tauchen bestimmte IP-Bereiche dabei häufiger auf, kann man schon mal nachsetzen wer sich dahinter verbirgt und einen solchen Adresslieferanten dingfestmachen. Teleinfo.de, die in Daniels Falle geraten war, hatte jedenfalls ordentlichen Rechtfertigungsdruck :-D.
  5. für Registrierungen, Umfragen, etc. etc. sollte jeder mindestens eine »Mülleimer«-Adresse haben. Gerade Webmail-Anbieter wie http://freemail.web.de oder http://www.gmx.de etc. etc. taugen sehr gut für solche Adressen, die man den Spamern zum Fraß vorwerfen kann. Wird das Postfach zu voll, einfach den Account kündigen. Für die wirklich wichtigen Sachen hat man dann noch eine zweite Adresse, die nur im engen Kreis gestreut wird.
  6. Wer eine eigene Domain besitzt, verfügt i.d.R. auch über reichlich eMail-Adressen, die man über eine Weiterleitung oder ein Default-Postfach wieder zusammenführen kann. Damit kann man dann für ebay, amazon etc. etc. eigene Mailadressen wie ebay@meinedomain.de kreiieren. Läuft dann irgendwann mal Spam auf so einer Adresse ein, kann man nachvollziehen, woher dieser kam und ggf. auch den Betreiber einer solchen Seite angehen. Gerade namhafte Anbieter, die eine Weitergabe von eMail-Adressen vorher ausdrücklich ausgeschlossen haben. werden ein Eigeninteresse haben, undichte Stellen dann zu lokalisieren um nicht selbst in Verruf zu geraten.
  7. Spamfilter. Die aus AppleMail oder aus Eudora lassen sich schon recht gut trainieren, weitere Möglichkeiten gibt es insbesondere durch den Einsatz eines eigenen Mailservers (z.B. unter Linux) der über eigene Filterregeln verfügt und diese laufend mit dem Internet abgleicht. Im Netz werden sog. Blacklists von Spamern bereitgestellt, mit der sich bestimmte aktuelle Spamaufkommen sehr gut klassifizieren und filtern lassen. Eine Übersicht liefert http://www.spam-blockers.com/SPAM-blacklists.htm Mit einem solchen vorgeschalteten Server lassen sich weiterhin auch sehr gut Virenfilter aufsetzen.

Der Vollständigkeithalber, auch wenn’s nicht zum engeren Kreis von Spam gehört:

eMail-Verkehr geht Klartext über die Leitung. D.h. jede Zwischenstation (sog. Mail-Relays) können diese theoretisch mitlesen und auswerten. Auch wenn es keinen direkten Schutz für die eMail-Adressen von Sender und Empfänger bedeutet (logisch: die müssen Klartext lesbar bleiben) kann und sollte man wichtige Nachrichten PGP-verschlüsseln.

Nur einen geringen Schutz bieten die SSL-Verbindungen zu den Mail-Relays des jeweiligen Providers. Damit wird lediglich der Datenverkehr auf dieser einen Strecke verschlüsselt. Alle anderen Zwischen-Hops von Server zu Server die zwischen Mailabsender und -empfänger liegen laufen nach wie vor Klartext ab.

Fazit: Wie auch bei Viren, Firewalls, WLAN-Abschottung und anderen Sicherheitsthemen kann es immer nur darum gehen, Hürden aufzustellen, die Leuten mit unlauteren Absichten das Leben schwer machen. Je mehr Hürden desto schwerer, aber unüberwindlich ist in letzter Konsequenz keine dieser Hürden. Nur der Aufwand zur Überwindung wächst und zumeist entwickelt sich damit das Interesse an der Überwindung umgekehrt proportional ;-).

Der Monty Python Spam-Sketch

Veröffentlicht am

Optimiert für …

Weil ich es gerade mal wieder – bei einem hochdekorierten Preisträger! – gefunden habe: es gibt nach wie vor WebDesigner die glauben, die Webwelt bestehe aus ihrer (beschränkten) Produktionsumgebung. Oder dem was Aldi verkauft. In der Konsequenz verlangt das nichts anderes als daß der Anbieter des Produkts als erstes nicht sein Produkt kommunizieren kann, sondern seiner Kundschaft Rahmenbedinungen diktieren muß. Oder gleich auf deren Besuch verzichtet. Beide Alternativen sind unter Marketinggesichtspunkten eine schlichte Katastrophe. Kunden wünschen bedient zu werden, nicht belehrt oder gar abgewiesen. Wie würden Sie empfinden, wenn Ihnen vor dem Supermarkt ein Türsteher erklärt das Sie nur unter diesen oder jenen Bedingungen hier einkaufen könnten?

Wir diskutieren mit einigen Kollegen. Und immer wieder mit welchen, die glauben an dieser Stelle die Statistiken auf ihrer Seite zu haben. Über den Verbreitungsgrad dieses oder jenes Betriebssystems, des Browsers XYZ, die Bildschirmauflösung 08/15 und des Sowieso-PlugIns.

Ok, reden wir über Statistik:

Blenden wir die auch in diesem Fall völlig richtige Weisheit Winston Churchills Man kann nur einer Statistik trauen, die man selbst gefälscht hat einmal komplett aus. Versuchen wir einfach den höchstmöglichen Verbreitungsgrad für die häufigst unterstellte Umgebung zu errechnen:

  • aktueller Internet Explorer (ab Version 5 und neuer)
  • unter Windows (wir nehmen alles mit: 3.x, 95, 98, ME, 2000, NT, XP)
  • bei einer Bildschirmauflösung von mindestens 1024 x 768 Pixeln
  • mit installiertem Macromedia Flash-PlugIn, wahlweise aktiviertem JavaScript

Unterstellen wir Windows einen Marktanteil von 90% (genaue Zahlen für Desktop Betriebssysteme sind leider nirgends zu bekommen – wahrscheinlich aus gutem Grund nicht mal von Microsoft selbst). Auch für die Browserverteilung gehen wir von 90% aus . Ebenso nehmen wir für Bildschirmauflösungen von 1024 x 768 und höher einen Verbreitungsgrad von 90% an. Bei der Auswahl zwischen Pest und Cholera Flash und JavaScript entscheiden wir uns für Flash und übernehmen die 97% Verbreitungsgrad die Macromedia von sich selbst behauptet.

Jetzt wird’s spannend

Nach einfachen Rechenregeln und der Annahme einer statistischen Normalverteilung macht das: 0,9 * 0,9 * 0,9 * 0,97 = 0,70713 oder großzügig gerundet: 71%! Nochmal: sämtliche Basiszahlen sind mit hoher Unsicherheit behaftet. Aber selbst wenn man einen »Sicherheitsaufschlag« dazu nähme und mit 0,95 * 0,95 * 0,95 * 0,99 rechnete, würden »nur« knappe 85% herauskommen. Das Szenario das eintritt, wenn die Zahlen schlechter sein sollten, mag sich jeder selbst ausmalen.

Sind 85% viel?

Nein, es sind glatte 15%, die an vollständiger Zugänglichkeit fehlen. Mal ehrlich: welcher klug rechnende Geschäftsmann kann es sich heutzutage leisten auf 15 oder gar 30% seiner potentiellen Kundschaft, seiner Umsätze, seiner Gewinne zu verzichten? Die Antwort ist ebenso einfach wie die Lösung für das oben beschriebene Dilemma: Verlangen Sie als Kunde von ihrem WebDesigner Seiten die auf allen Browsern, auf allen Betriebssystemen, bei allen Bildschirmauflösungen – richtiger sogar auf allen Ausgabegeräten, es gibt mehr als nur optische Ausgabegeräte! – mit allen Systemumgebungen funktionieren. Nicht auf einigen. Nicht auf den meisten. Auf allen! Der Aufwand für solche Seiten ist nicht größer als für das was die »optimiert für«-Fraktion abliefert.

Veröffentlicht am

„Kollegen“ – und wer sich sonst noch so im WebDesign-Markt tummelt

Bei meiner Reise durch’s Netz stoße ich immer wieder auf Seiten deren Macher mich interessieren. Sei es weil diese Seiten herausragend gut oder einfach nur grottenschlecht sind.

Nach unseren Recherchen lassen sich die Seiten und ihre Macher dabei in eine Matrix einsortieren, die etwa wie folgt ausschaut:

seitenmachermatrix

In Segment 1 (eigentlich sollte man es »Segment 0« nennen) sind die klassischen Billigheimer der Branche zu finden: private Homepage-Bastler, Studenten, Freunde und Bekannte, die einem für kleines Geld »einen Gefallen tun«. Auch Bürodienstleister, »Unternehmensberater« die alles und jedes an Dienstleistungen in ihrem Portfolio haben das hilft, die Büromiete zu zahlen, sind hier anzutreffen. Oft genug sind die Angebot in diesem Segment an Preisen pro Seite erkennbar. Die Seiten die dort entstehen sind eben trivalstes, statisches HTML das oft genug auf Standarddesigns der einschlägigen Homepage-Bastelsoftware beruht. Meine Bewertung: wer hier kauft, kauft zweimal. Von »Gefallen tun« kann daher eigentlich keine Rede sein. Wer sich als Unternehmen professionel im Internet darstellen will, braucht dazu auch professionelle Partner.

Segment 2 wird im wesentlichen durch Systemhäuser und Anbieter von Branchensoftware repräsentiert. Vorhandene Kenntnisse aus Netzwerken, Softwareentwicklung etc. wurden und werden auf Internetentwicklungen angewandt. Funktional kommen dabei z.T. sehr hochentwickelte Lösungen heraus, die oft genug aber durch den Einsatz von »zweitbesten« Technologien noch etwas ungeschliffen sind. Die optische Gestaltung ist zumeist eher rudimentär – an vielen Ecken wird erkennbar, das die Lösung aus der Hand eines Technikers stammt.

Umgekehrt verhält es sich im Segment 3: was hier an Gestaltung sogar zuviel drin steckt, fehlt auf der funktionalen Seite. Diese Seiten, die sich durch Flash-Gezappel, JavaSript-Gefummel und kruden Seitencode auszeichen, stammen zumeist aus der Feder von klassischen Werbeagenturen. Die unbestritten vorhandenen Kompetenzen aus der grafischen Gestaltung von Print und/oder TV werden größtenteils 1:1 auch dem völlig anderen Medium Internet übergestülpt.

Meine Bewertung: gut, das 2 und 3 verschiedene Sprachen sprechen. Als Team könnte daraus ansonsten eine starke Konkurrenz erwachsen. Jeder für sich kocht im eigenen Saft. Die Preise korrellieren mehr mit dem Namen der Agentur oder des Systemhauses als mit der wirklichen Leistung.

Folgerichtig sind in Segment 4 die »echten« Web-Arbeiter zu finden. Die Kernkompetenz dieser Unternehmen liegt vorallem im Team. Es ist nahezu unmöglich (ok, einzelne Genies gibt’s immer) jemanden zu finden, der über ebenso vertiefte Kenntnisse zu den Eigenheiten des Mediums Internet, wie über gestalterische Fähigkeiten als auch Programmierkenntnisse verfügt. Sehr gut qualifizierte Leute decken zumindest 2 Bereiche ab. Gute wissen wenigstens noch einzusortieren worüber der andere Spezialist redet. Billig ist keiner davon. Wo viele qualifizierte Hände Teilleistungen beisteuern ist obendrein auch noch ein gutes Projektmanagement erforderlich. Aus dieser Personalintensität und der hohen Qualifikation erklären sich die zumeist nicht ganz billigen Angebote. Qualität hat ihren Preis, rechnet sich aber langfristig.

Natürlich gibt es immer Ausnahmen von diesen Regeln, aber sie liefern Ihnen als Kunde ein Orientierung, die Sie bei der Auswahl ihres WebDesigners berücksichtigen sollten.