---

Hej gruppe

Jeg bli'r i øjeblikket nærmest tæppebumpet med Viagra reklamer.

Hovedparten kommer til et alias under pc.dk domænet - Jeg kan se på headeren at mailen går til et større antal adresser under
samme domæne.

Der må altså cirkulere lister med email adresser som spammerne anvender...

Nogen der ved hvor disse lister findes, dvs news grupper, web sites eller andet ?

<mlr>

---

Michael Rasmussen skrev:

>Jeg bli'r i øjeblikket nærmest tæppebumpet med Viagra reklamer.

Det må gøre ondt (du mener nok "bombet").

>Hovedparten kommer til et alias under pc.dk domænet - Jeg kan se
>på headeren at mailen går til et større antal adresser under samme domæne.

Det er almindeligt.

>Der må altså cirkulere lister med email adresser som spammerne anvender...

Ok du milde, ja. Det har der gjort i årevis. I en lang periode
var den spam jeg fik, såmænd reklame for spamlister med
tilhørende spamprogrammer som man kunne købe.

>Nogen der ved hvor disse lister findes, dvs news grupper, web sites eller andet ?

Du mener hvor de samler adresserne fra? Primært fra
debatgrupperne og primært (stort set udelukkende) fra
From-adressen.

De kan sådan set samles fra alle offentlige kilder, og det sker
da også, men det er ret sjældent at de går efter andet end
usenet. Det er det nemmeste. Det lader stadig til at de ikke har
opsamlet mailadresser fra den header i indlæggene der hedder
"Reply-To:".

Og hvor ved vi det fra?

Fra dem der laver en helt speciel adresse som de kun bruger ét
eneste sted. Hvis den spammes, ved vi at der samles adresser
derfra. Hvis ikke, ved vi at der ikke gør.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen <nospamius@lundhansen.dk> wrote:

>>Jeg bli'r i øjeblikket nærmest tæppebumpet med Viagra reklamer.
>
>Det må gøre ondt (du mener nok "bombet").

Stavning er ikke min stærkeste side

>Du mener hvor de samler adresserne fra? Primært fra
>debatgrupperne og primært (stort set udelukkende) fra
>From-adressen.
>
>De kan sådan set samles fra alle offentlige kilder, og det sker
>da også, men det er ret sjældent at de går efter andet end
>usenet. Det er det nemmeste. Det lader stadig til at de ikke har
>opsamlet mailadresser fra den header i indlæggene der hedder
>"Reply-To:".
>
>Og hvor ved vi det fra?
>
>Fra dem der laver en helt speciel adresse som de kun bruger ét
>eneste sted. Hvis den spammes, ved vi at der samles adresser
>derfra. Hvis ikke, ved vi at der ikke gør.

Der må være andre måder - Det mail alias der i øjeblikket gi'r mig problemer har jeg haft i flere år, men ** aldrig ** brugt.

Jeg har checket flere søgemaskiner inklusive deja, min mailadresse findes ingen steder.

Men fakta er at jeg tæppebombes (!!).

Måske er det så simpelt at de bare sender til alle kombinationer fra AAAA - Z på domænet ?!

<mlr>

---

"Michael Rasmussen" <mic@NO_SPAMdou.dk> skrev i en meddelelse
news:taba305gljjnt3ingsk7ft13qq52tpcro8@4ax.com...
> Måske er det så simpelt at de bare sender til alle kombinationer fra
AAAA - Z på domænet ?!
>
Jeps, det ser man tit. Der startes fra a@, og så køres der ellers derudaf.
De mailadresser hvor de ikke får en "modtager ukendt" reply fra mailserveren
må jo findes, så der er gevinst. Lige luks ned i mailbasen. Mange (dog for
få) sætter deres mailserver op til ikke at svare tilbage på denne måde. Man
kan dog stadig blive ramt ved denne Alphaspam metode, men det vil i så fald
være mere sporadisk.

Et (serverbaseret) spamfilter bør derfor idag se ikke kun på 1 mail, men på
strømmen som en helhed. Hvis der for nylig er kommet en mail til abc@ og der
så kommer en kort tid efter til abd@, abe@ osv med samme indhold, så skal
strømmen stoppes.

En anden ting. Der er set spammere, der filtrerer på nyhedsgrupper, og hvis
de ser mailadresser med ordene NO og SPAM og _, ja så skærer man da bare de
tegn væk. Vores kreativitet forøger desværre også de "slemmes" kreativitet.

Michael Appel

---

Michael Appel skrev:

>Et (serverbaseret) spamfilter bør derfor idag se ikke kun på 1 mail, men på
>strømmen som en helhed. Hvis der for nylig er kommet en mail til abc@ og der
>så kommer en kort tid efter til abd@, abe@ osv med samme indhold, så skal
>strømmen stoppes.

Det vil kunne lukke for mailinglister og massepostninger som
f.eks. dem jeg sender til så 900 medlemmer (voksende skare).

>En anden ting. Der er set spammere, der filtrerer på nyhedsgrupper, og hvis
>de ser mailadresser med ordene NO og SPAM og _, ja så skærer man da bare de
>tegn væk. Vores kreativitet forøger desværre også de "slemmes" kreativitet.

Kik på min adresse og se hvordan du kommer et skridt foran igen.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

"Bertel Lund Hansen" <nospamius@lundhansen.dk> skrev i en meddelelse
news:9i7b30pcee0bka7m9t02fh3tfhfnfp7d1m@news.stofanet.dk...
>
> Det vil kunne lukke for mailinglister og massepostninger som
> f.eks. dem jeg sender til så 900 medlemmer (voksende skare).

Ja, hvis det ikke laves ordentligt. Det drejer sig ikke om at fange en strøm
på nogle få alfabetiske sekvenser, men mange. Du vil garanteret på din
mailingliste have mange fra samme domæne (f.eks. hotmail), men de vil næppe
være i farezonen. Det man ser på er en MEGET lille ændring i ascii-værdien
fra mail til mail i en stor mængde.

Michael

---

"Michael Appel" <frim_remove_@adg.dk> skrev i en meddelelse
news:4035ad90$0$1669$edfadb0f@dread14.news.tele.dk...

> Ja, hvis det ikke laves ordentligt. Det drejer sig ikke om at fange
en strøm
> på nogle få alfabetiske sekvenser, men mange. Du vil garanteret på
din

Spammerne tilpasser sig hele tiden (sært nok). Hvis mail serverne,
eller dit spam filter, begynder at checke for om adresserne kommer i
alfabetisk orden, randomiserer de ordenen, eller sender til nogle få
adresser ad gangen. Jeg tvivler på at man kan lave et effektivt server
(ISP)-baseret spam filter uden at afvise legitime emails for nogle
kunder (sæt nu du diskuterer Viagra med dine venner, og din ISP
auto-deleter alle emails som indeholder det ord? Et filter der ikke en
gang ville virke). Den personlige omkostning ved ikke at modtage en
legitim email er trods alt meget større end ulempen ved at skulle
bruge <delete> tasten et par gange. Du kan opsætte dit eget spamfilter
ved at konfigurere SpamPal, SpamAssasin, o.lign. efter dine behov,
eller bruge <delete> tasten. Det sidste er klart det nemmeste

--
Jesper Lund

---

"Jesper Lund" <jelu@despammed.com> skrev i en meddelelse
news:40369958$0$158$edfadb0f@dtext02.news.tele.dk...
> Spammerne tilpasser sig hele tiden (sært nok). Hvis mail serverne,
> eller dit spam filter, begynder at checke for om adresserne kommer i
> alfabetisk orden, randomiserer de ordenen, eller sender til nogle få

At spammerne hele tiden finder på nyt betyder ikke at man skal give op. Det
er klart at en teknik, der idag fjerner en stor del spam, sandsynligvis vil
være om ikke ubrugelig, så bare en delmængde af antispam-teknikken om meget
snart. Det er en dynamisk proces, der ikke slutter, før omkostningen ved
spamudsendelse overstiger de indtægter de (desværre) trods alt får ved det.

> adresser ad gangen. Jeg tvivler på at man kan lave et effektivt server
> (ISP)-baseret spam filter uden at afvise legitime emails for nogle
> kunder (sæt nu du diskuterer Viagra med dine venner, og din ISP
> auto-deleter alle emails som indeholder det ord? Et filter der ikke en
> gang ville virke). Den personlige omkostning ved ikke at modtage en
> legitim email er trods alt meget større end ulempen ved at skulle
> bruge <delete> tasten et par gange. Du kan opsætte dit eget spamfilter

Helt enig, denne filtrering duer ikke på ISP niveau, men ville kunne fungere
i en spamløsning i en virksomhed, hvor der kan laves karantæne lister, som
enten administrator eller bruger så validerer eller sletter.

Michael

---

"Michael Appel" <frim_remove_@adg.dk> skrev i en meddelelse
news:4036a2c6$0$1619$edfadb0f@dread14.news.tele.dk...

> At spammerne hele tiden finder på nyt betyder ikke at man
> skal give op.

Enig. Men det er også værd at overveje, om man ikke ender mere at
bruge mere tid på at (om)konfigurere sine spamfiltre end på at bruge
<delete> tasten.

--
Jesper Lund

---

Jesper Lund skrev:

> Enig. Men det er også værd at overveje, om man ikke ender mere at
> bruge mere tid på at (om)konfigurere sine spamfiltre end på at bruge
> <delete> tasten.

Ja. Men med de 400-500 stykker skidtpost jeg får i døgnet, regner jeg
det for ca. en times tid om måneden værd at tune mit filter (det
svarer til at jeg sparer et sekund per besked på at tune filteret,
hvis man går ud fra at det taber ca. 25% i effektivitet på en måned).
Reelt tror jeg mit filter sparer mig for mere end et sekund per stykke
skidtpost, men på den anden side ser det heller ikke helt ud til at
det taber 25% i effektivitet på en måned.

Hvis folk får mindre skidtpost bør de selvfølgelig heller ikke bruge
lige så store resourcer på at fjerne det.

Jacob
--
"Any newsgroup where software developers hang out is
an Emacs newsgroup."

---

"Michael Rasmussen" <mic@NO_SPAMdou.dk> skrev i en meddelelse
news:taba305gljjnt3ingsk7ft13qq52tpcro8@4ax.com...
> Bertel Lund Hansen <nospamius@lundhansen.dk> wrote:

En anden ting: har du checket din maskine for spyware for nylig? Der er en
risiko for at spyware samler dine mailadresser op fra din maskine og så
afleverer dem pænt eksternt til senere brug.

Den adresse du får al spammen på idag, benytter du den til både udgående og
indgående post, eller er det kun en modtageradresse?

Michael Appel

---

On Thu, 19 Feb 2004 23:18:35 +0100, "Michael Appel"
<frim_remove_@adg.dk> wrote:

>En anden ting: har du checket din maskine for spyware for nylig? Der er en
>risiko for at spyware samler dine mailadresser op fra din maskine og så
>afleverer dem pænt eksternt til senere brug.

Der er ingen spyware på maskinen

>Den adresse du får al spammen på idag, benytter du den til både udgående og
>indgående post, eller er det kun en modtageradresse?

Det er det sjove ved det - Det aktuelle mail alias har aldrig været
anvendt. Jeg har bare reserveret det til senere brug....

Træls er det - Udbyderens spamfilter har ingen effekt, så jeg kommer
nok til at lukke det alias.

Jeg kan se at hovedparten af mailen linker til en håndfuld sites på
Filipinerne - Måske skulle man overveje en lejemorder, det kan vel
ikke koste alverden derude

<mlr>

---

SonnyBoy <Sonny@i.live.nowhere> wrote:

>Jeg kan se at hovedparten af mailen linker til en håndfuld sites på
>Filipinerne - Måske skulle man overveje en lejemorder, det kan vel
>ikke koste alverden derude

Lejemorderen får vente - pludselig er al spam væk fra min TDC konto ?!

Det er nok TDC der har skruet op for spamfilteret....

<mlr>

---

On Thu, 19 Feb 2004 22:54:25 +0100, Michael Rasmussen
<mic@NO_SPAMdou.dk> wrote:

> Der må være andre måder - Det mail alias der i øjeblikket gi'r
> mig problemer har jeg haft i flere år, men ** aldrig ** brugt.

De bruger også de almindeligt udbredte funktionelle adresser (som
info, webmaster, postmaster, root etc.) samt almindelige navne,
adresser opført som contacts i whois-databaser etc. etc. De er
skam ret kreative.

-A
--
http://www.hojmark.org/

---

On Thu, 19 Feb 2004 22:06:35 +0100, Bertel Lund Hansen
<nospamius@lundhansen.dk> wrote:

> De kan sådan set samles fra alle offentlige kilder, og det sker
> da også, men det er ret sjældent at de går efter andet end
> usenet. Det er det nemmeste. Det lader stadig til at de ikke har
> opsamlet mailadresser fra den header i indlæggene der hedder
> "Reply-To:".

Jeg har fået spam på en testadresse i Reply-To, der kun er brugt
to gange på Usenet (og med det formål at teste ovenstående).

Jeg har også fået det på adresser placeret andre steder i
headeren og i body. Så vidt jeg kunne konkludere, samlede de alle
adresser op, fuldstændig ligegyldigt hvor de stod i indlægget.

Jeg har i øvrigt også fået spam på testadresser placeret skjult
(som fx med hvidt i hvidt) diverse steder på mit web-sted.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark skrev:

>Jeg har også fået det på adresser placeret andre steder i
>headeren og i body. Så vidt jeg kunne konkludere, samlede de alle
>adresser op, fuldstændig ligegyldigt hvor de stod i indlægget.

Der er bare nogle der i lang tid har kørt med falsk From-adresse,
men rigtig Reply-adresse uden at blive spammet. Derfor
konkluderer jeg at det er sjældent de samler den sidste op.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen <nospamius@lundhansen.dk> wrote:

>>Jeg har også fået det på adresser placeret andre steder i
>>headeren og i body. Så vidt jeg kunne konkludere, samlede de alle
>>adresser op, fuldstændig ligegyldigt hvor de stod i indlægget.
>
>Der er bare nogle der i lang tid har kørt med falsk From-adresse,
>men rigtig Reply-adresse uden at blive spammet. Derfor
>konkluderer jeg at det er sjældent de samler den sidste op.

Det er nærliggende at lave en xhdr reply-to: hvis man i forvejen laver
en xhdr from:. Men bortset fra det så er den eneste forskel i at
scanner hele msg's i forhold til headers tid og ressourcer. Tid har
spammerne nok af og ressourcerne stjæler de. Jeg er ikke overrasket
over at de scanner det hele.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund skrev:

>en xhdr from:. Men bortset fra det så er den eneste forskel i at
>scanner hele msg's i forhold til headers tid og ressourcer.

Det ved jeg godt.

>Tid har spammerne nok af og ressourcerne stjæler de. Jeg er ikke overrasket
>over at de scanner det hele.

Jamen, det er jo det de ikke gør - ud over nogle sjældne tilfælde
åbenbart.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen <nospamius@lundhansen.dk> wrote in
news:gl7b30ho3seasfro2hcd7u2nnaqqpcl4sp@news.stofanet.dk:

> Asbjorn Hojmark skrev:
>
>>Jeg har også fået det på adresser placeret andre steder i
>>headeren og i body. Så vidt jeg kunne konkludere, samlede de alle
>>adresser op, fuldstændig ligegyldigt hvor de stod i indlægget.
>
> Der er bare nogle der i lang tid har kørt med falsk From-adresse,
> men rigtig Reply-adresse uden at blive spammet. Derfor
> konkluderer jeg at det er sjældent de samler den sidste op.

Det er vel meget afhængigt af, hvor avanceret man ønsker at lave sin
adressehøster. Jeg tror også, at det er korrekt, at de generelt er mindre
modtagelige for spam end adresser, der findes i From-headeren. Til gengæld
er Reply-to adresser lige så modtagelige for virus som From-adresser - i
hvert fald modtog jeg omkring 6000 emails med Swen i løbet af ganske få
dage, da den var på sit højeste. De var alle sendt til min daværende Reply-
to adresse. Hvis man kigger på indholdet af en .dbx-fil i fx Notepad, så
ser man hvorfor dette er tilfældet.

--
Jesper Stocholm http://stocholm.dk

Programmer's code comment:
//It probably makes more sense when you're stoned.

---

Bertel Lund Hansen wrote:

>>Jeg bli'r i øjeblikket nærmest tæppebumpet med Viagra reklamer.
>
> Det må gøre ondt (du mener nok "bombet").

Jeg har en fornemmelse af at den korrekte stavemåde stadig ikke er
specielt behagelig.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Peddling Ourselves To Death, an essay by Fred:
http://www.fredoneverything.net/Peddling.htm

---

> Jeg bli'r i øjeblikket nærmest tæppebumpet med Viagra reklamer.
Æv, lyder ikke sjovt.

Jeg tænkte på om der er nogen af jer kloge hoveder der ved om de
"emailhøstere" spammere bruger kan læse sådan noget som det her: &#99;
Jeg tænkte på at lave en funktion der lavede emailadresser om til
htmlentiteter. Jeg ved at de høster adresser på hjemmesider (webmastere
og andre ofre), men gad vide om de kun kan høste "rigtige" bogstaver.

Camilla

---

Camilla Krag Jensen skrev:

>Jeg tænkte på om der er nogen af jer kloge hoveder der ved om de
>"emailhøstere" spammere bruger kan læse sådan noget som det her: &#99;

Hvad én mand kan låse, kan en anden låse op, og spammere kan
afkode det samme som vi kan. Imidlertid er det jo lidt mere
besværligt, og derfor er det en god idé at beskytte sig på den
måde. Den er bare ikke 100 % sikker.

>htmlentiteter. Jeg ved at de høster adresser på hjemmesider (webmastere
>og andre ofre), men gad vide om de kun kan høste "rigtige" bogstaver.

Man behøver nu ikke høste noget for at skrive til webmaster (at)
fiduso prik dk.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

2004 22:32:42 +0100, Bertel Lund Hansen wrote:

> Man behøver nu ikke høste noget for at skrive til webmaster (at)
> fiduso prik dk.

Det har du ret i. Det er den mest simple og sikre måde. Der er dog nogle
brugere (blandt andet dem nogle af de ting jeg laver henvender sig til),
der ville blive forfærdeligt forvirrede over at der pludselig stod prik
og at i stedet for det dersens snabelA.

Og Jesper, tak for dimserne! De er gransket og fundet inspirerende

Camilla

---

Camilla Krag Jensen skrev:

>> Man behøver nu ikke høste noget for at skrive til webmaster (at)
>> fiduso prik dk.

>Det har du ret i. Det er den mest simple og sikre måde.

Jeg tror at du misforstod. Jeg mener at man kan bare pumpe mails
afsted til webmaster plus diverse domænenavne, så er der sikkert
en pæn procent der rammer.

Jeg skjulte eksempeladressen for at den ikke skulle blive spammet
(endnu mere) selv om den p.t. er nedlag - på grund af spam. Og
den har aldrig været brugt nogetsteds.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Camilla Krag Jensen wrote :

> Jeg tænkte på om der er nogen af jer kloge hoveder der ved om de
> "emailhøstere" spammere bruger kan læse sådan noget som det her: &#99;
> Jeg tænkte på at lave en funktion der lavede emailadresser om til
> htmlentiteter. Jeg ved at de høster adresser på hjemmesider (webmastere
> og andre ofre), men gad vide om de kun kan høste "rigtige" bogstaver.

Jeg har lavet sådan en dims i både ASP og C# [1] og jeg bruger den mange
steder efterhånden. Den kontaktemailadresse jeg har stående på min
hjemmeside har været offentlig i mere end et halvt år - og jeg har endnu
ikke modtaget én eneste spam på den. Jeg ved desuden med sikkerhed, at
jeg jævnligt besøges af adressehøstere.

Ellers kan man lave andre ting for at undgå høstning af emails. Jeg har
med success lavet en "honningkrukke", hvor høsterne lokkes hen, og når de
kommer til krukken, blokeres deres adgang til hjemmesiden.

[1] http://asp.stocholm.dk/bluremail/
http://dotnet.stocholm.dk/csharp/bluremail/

--
Jesper Stocholm
http://stocholm.dk
Linux advocacy how-to:
http://www.datasync.com/~rogerspl/Advocacy-HOWTO-5.html