11.5.2009

DNSBL - Blacklists und die Folgen

Ich habe mal ein wenig Zeit investiert und mich im Netz umgesehen, warum meine Posts (Blog-Kommentare und E-Mails) sowohl bei den ScienceBlogs als auch bei Google-Mail im Spamfilter landen. Der Grund liegt mit hoher Wahrscheinlichkeit bei meinem Internet-Provider, HanseNet (Alice).

ScienceBlogs benutzen MovableType als CMS (Content Management System), was wiederum (zumindest per Default) SpamLookup benutzt, um Spam zu zu filtern. Dort hat man (als User, wie es z.B. die ScienceBlogs sind) u.a. die Option, die eingehenden Kommentare mit Blacklists abzugleichen (und abzuweisen), Datenbanken also, in denen Versender von Spam verzeichnet sind. Die beiden wichtigsten Anbieter solcher Datenbanken heißen SURBL und URIBL. Bei denen taucht jedoch weder meine Domain (michael-michaelis.de) auf, noch die (dynamische, mir von HanseNet zugeordnete) IP-Adresse, unter der ich meine Posts (Blog-Kommentare bzw. E-Mails) verschicke.

Nach weiterer Sucherei bin ich dann auf die Seiten von BacklistAlert gestoßen. Dort erscheint HanseNet dann in weit mehr als nur einer Blacklist (vergl. die Suchergebnisse meiner momentanen IP). Bei einem Blick auf eine der dort verlinkten Seiten - UceProtect - war dann klar, was los ist: HanseNet ist dort auf Level 3 gelistet. Das ist dort die höchste Stufe, auf der ein Provider nur dann landet, wenn von ihm gehostete IP's richtig Spam in die Welt schicken:

Was bedeutet auf UCEPROTECT-Level 3 gelistet?

UCEPROTECT-Network betreibt eine dreistufige Blackliste um unseren Usern die Wahl zu lassen, wie hart sie filtern möchten. Während Level 1 nur einzelne IP's listet, die innerhalb der letzten 7 Tage wegen Mißbrauchs aufgefallen sind, kann Level 2 als Eskalationsliste bereits komplette Netzbereiche listen, aus denen innerhalb der letzten 7 Tage zu viel Mißbrauch ausgegangen ist.

Level 3 schließlich ist die höchstmögliche Eskalation[...]: Alle IP's des betroffenen Providers werden im Level 3 gelistet, wenn innerhalb der letzten 7 Tage übermäßig viel Abuse von den IP's und Netzen dieses Providers ausgegangen ist, mithin also zu viele spammende IP's im Level 1 gelistet wurden.

[...]

Es gibt derzeit weltweit etwa 105000 Provider, aber nur einige Hundert schaffen es in UCEPROTECT-Level 3 gelistet zu werden.

Gemäß der unabhängigen Statistik des international anerkannten Anti-Spam Gurus Mr. Al Iverson aus Chicago USA sind die wenigen Provider, die es schaffen in unserem Level 3 zu enden, für etwa 35 - 40% des globalen Spams verantwortlich, während der Anteil an realen Mails aus deren Netzen deutlich unter 1% liegt.

Wenn das so ist - und ich habe keinen Grund, daran zu zweifeln - lande ich also mit gutem Grund in den Spamfiltern. UceProtect versichert, daß es einem Provider durchaus möglich ist, dem Problem zu begegnen, das von seinen Servern Spam ausgeht („AOL hat etwas über 6 Millionen IP's und die Mehrheit ihrer Kunden dürften Homeuser sein düften. Trotz dieser Größe sieht man so gut wie keinen Spam aus dem AOL Adressraum.”), und schlägt konkrete Maßnahmen vor, die dieser ergreifen sollte.

Ich habe HanseNet gerade einen Brief (auch via E-Mail)[1] geschrieben, mit der Aufforderung, den Mißstand umgehend abzustellen, und damit gedroht, andernfalls den Provider zu wechseln - und bin gespannt, wie die Reaktion aussieht.

Das beschreibt aber nur einen Teil des Problems.

Heute morgen habe ich einen Kommentar von meinem Arbeitsplatz bei Steinberg gepostet - also mit der IP-Adresse eines ganz anderen Providers (das war der Ausgangspunkt meiner Recherche). Auch das schlug fehl (sprich: landete im Spamfilter). Erst als ich meine E-Mail-Adresse geändert und den Link auf meine Homepage entfernt hatte, ging der Kommentar letztlich durch.

Ein unaufgelöstes Rätsel bleibt also übrig: wieso wird ein Kommentar als Spam eingeordnet, obwohl er von einer IP-Adresse gepostet wird, die auf den Blacklists nicht auftaucht, und einen Verweis (Link, E-Mail-Adresse) auf eine Domain enthält, die ebenso wenig unter Spam-Verdacht steht?

Ich kann mir nur noch vorstellen, daß hier ein Anti-Spam-Plugin am Werke ist, das zu jeder von den Blacklists als „positiv” ausgewiesenen IPs sicherheitshalber die dazugehörige Domain abspeichert, auf die die E-Mail-Adresse verweist - Gründe, dies zu tun, gäbe es mehr als genug. Mit anderen Worten: selbst wenn ich den Provider wechsle, bliebe mir ein ungehinderter Zugang zum - z.B. - Kommentarbereich der ScienceBlogs verwehrt. Mehr noch: alle Kommentare, die einen Link auf meine Seiten enthalten, würden dort ebenfalls zunächst im Spamfilter landen, und müßten darauf warten, von einem Moderator freigeschaltet zu werden.

Solange HanseNet da keine Abhilfe schafft, werde ich jedenfalls sehr genau überlegen, ob eine Mail oder ein Blog-Kommentar es wert sind, daß mein „digitales Zuhause” auf einer Blacklist landet, wodurch ich möglicherweise auf unabsehbare Zeit von Diskursen ausgeschlossen wäre, die ich wichtig finde.




[1] Mein Schreiben an HanseNet:

Sehr geehrte Damen und Herren,

nachdem ich sowohl bei dem Versuch, in Blogs zu kommentieren (namentlich den ScienceBlogs), als auch beim Versenden von E-Mails an Accounts bei Goggle-Mail, im Spamfilter des jeweiligen Adressaten gelandet bin, habe ich nach der Ursache geforscht. Dabei musste ich feststellen, dass der komplette IP-Bereich von Hansenet auf mehreren Blacklists auftaucht. Wenn man beispielsweise bei UceProtect (http://www.uceprotect.net) nach einer IP-Adresse von Hansenet sucht (z.B. meine momentan zugewiesene IP, 85.176.2.88 ), bekommt man den Hinweis, daß Hansenet aktuell auf dem UceProtect-Level-3 gelistet wird.

Ich zitiere die Website:

“Während Level 1 nur einzelne IP's listet, die innerhalb der letzten 7 Tage wegen Mißbrauchs aufgefallen sind, kann Level 2 als Eskalationsliste bereits komplette Netzbereiche listen, aus denen innerhalb der letzten 7 Tage zu viel Mißbrauch ausgegngen ist.

Level 3 schließlich ist die höchstmögliche Eskalation, und listet ausnahmslos das betreffende Autonomus System (AS), was sofern der Provider lediglich über eine ASN (Autonomus System Number) verfügt, grundsätzlich heißt:

Alle IP's des betroffenen Providers werden im Level 3 gelistet, wenn innerhalb der letzten 7 Tage übermäßig viel Abuse von den IP's und Netzen dieses Providers ausgegangen ist, mithin also zu viele spammende IP's im Level 1 gelistet wurden.”

UceProtect verweist auf denn Umstand, daß ein Provider wie AOL trotz ca.6 Millionen IP's nur minimal Probleme mit Usern hat, die Spam versenden, und schlägt auch Maßnahmen vor, wie man diese Probleme in den Griff bekommt.

Ich möchte Sie hiermit auffordern, umgehend Maßnahmen zu ergreifen, um diesem Missstand Abhilfe zu schaffen. Andernfalls sehe ich mich gezwungen, den Provider zu wechseln.

Ich weise Sie darauf hin, daß ich den Vorgang in meinem Blog (http://www.michael-michaelis.de) dokumentieren werde – laut Zugriffsstatistik sind dort überproportional viele Besucher mit einem Hansenet-Account, die das sicherlich interessieren dürfte.

Ich bitte um eine Stellungnahme.

Mit freundlichen Grüßen,

(Kommentarfunktion z.Zt. deaktiviert.)