Skip to Content.
Sympa Menu

public-l - Re: [DENICpublic-l] Pfusch in der DENIC-Datenbank zugunsten da fucking SPAMers

public-l AT list.denic.de

Subject: Public DENIC mailinglist

List archive

Re: [DENICpublic-l] Pfusch in der DENIC-Datenbank zugunsten da fucking SPAMers


Chronological Thread 
  • From: Rob Liebwein <liste.denic.de AT liebwein.de>
  • To: Dominik Vallendor <dominik AT vallendor.de>
  • Cc: public-l AT denic.de
  • Subject: Re: [DENICpublic-l] Pfusch in der DENIC-Datenbank zugunsten da fucking SPAMers
  • Date: Thu, 14 Oct 2004 18:25:39 -0700


Hallo Dominik,

Dominik Vallendor wrote:
> > Die DENIC hat ein LOG-File, aus dem abgelesen werden kann, wer
> > alles ueber externe Stellen im Internet die WHOIS-Nutzungsbedingungen
> > umgeht und damit Rechtsverletzungen macht.
>
> In dem Logfile stehen aber nur IP-Adressen gehen. Ich habe hier selbst
> Fälle, bei denen es Monate dauert, herauszufinden, wer eine IP-Adresse
> benutzt hat,

So ging es mir am Anfang auch. Abgesehen davon, wir hatten auch
bei einem Fall von Deutschland aus heraus vor einem kanadischen Gericht
den Auskunftsanspruch gegen den Provider durchgesetzt (nach DE-Recht,
uebersetzt und beglaubigt in English). Als der kanadische Provider die
Klage zugestellt bekommen hat, hat er sofort Auskunft gegeben. Was kam
dabei heraus? Die IP-Nummer von der T-Online. Wir haben dann
festgestellt, dass der Proxy offen war und dieser missbraucht worden
ist. Als diese Sache dann fertig war, war die 80 Tagesfrist aus dem
TDDSG abgelaufen.

Von daher macht dieser Weg wegen der drohenden Gefahr, dass die
80-Tagesfrist ablaeuft, im Grunde genommen nicht viel Sinn. Man muss an
die Quelle ran. Und zwar dort, wo abgesaugt wird. Hier: DENIC und deren
WHOIS.

Bei einer Auskunftssache kriegt man _nie eine einstweilige
Verfuegung. Das geht nur ueber das Hauptsache-Verfahren.

> wenn die Daten überhaupt verfügbar sind. Eine IP-Adresse
> kann man nunmal nicht abmahnen.

Selbstverstaendlich. Dazu habe ich ein Script programmiert:

InterRob | Super Suchmaschinerie | IP-ID Suche V3.342de
http://www.interrob.de/suche/ip/

InterRob | Super Searchmachinery | IP-ID Search V.3.342en
http://www.interrob.com/search/ip/

Einfach IP-Nummer eingeben, fertig.

Dann: Auszug aus einer unserer Abmahnungen (hier: T-online)

Rob Liebwein wrote:
> | TO:
> | Deutsche Telekom AG
> | D-90449 Nuernberg
> | Germany
> | +49 180 5334252

[Sachvortrag/Beweis zur IP]

> | ....Fuer die IP-Nummer 217.235.216.9 sind Sie
> | hierfuer die verantwortliche Person, vgl.
> |
> | inetnum: 217.224.0.0 - 217.237.161.47
> | netname: DTAG-DIAL15
> | descr: Deutsche Telekom AG
> | country: DE
> |
> | person: DTAG Global IP-Addressing
> | address: Deutsche Telekom AG
> | address: D-90449 Nuernberg
> | address: Germany
> | phone: +49 180 5334332
> | fax-no: +49 180 5334252
> | e-mail: ripe.dtip AT telekom.de
> | nic-hdl: DTIP
> | mnt-by: DTAG-NIC
> | changed: ripe.dtip AT telekom.de 20030210
> | source: RIPE
> |
> | person: Security Team
> | address: Deutsche Telekom AG
> | address: Germany
> | phone: +49 180 5334332
> | fax-no: +49 180 5334252
> | e-mail: abuse AT t-ipnet.de
> | nic-hdl: DTST
> | mnt-by: DTAG-NIC
> | changed: abuse AT t-ipnet.de 20030210
> | source: RIPE
> | vgl. http://www.interrob.de/suche/ip?217.235.216.9

[Sachverhaltsschilderung]
[Rechtsgrundlagen, Fundstellen}

> | Aus diesem Grunde werden Sie hiermit gleichzeitig abgemahnt,
> |
> | (a) es zu unterlassen, diesem Rechtsverletzer
> |
> | 217.235.216.9
> | vom 12.05.2003 21:06
> |
> | weiterhin den Internetzugang fuer solchartige Zwecke zur
> | Verfuegung zu stellen.
> |
> | (b) es zu unterlassen, diesem Rechtsverletzer ueber einen
> | neuen Account ihm einen neuen Internetzugang fuer
> | solchartige Zwecke zur Verfuegung zu stellen.
> |
> | Hierfuer setzen wir Ihnen der besonderen Dringlichkeit wegen
> | eine Frist bis zum
> |
> | 21.05.2003 12:00 MEZ
> | ====================
> |


Die T-Online hat daraufhin deren Kunden abgemahnt. Seitdem ist
zu diesem speziellen Fall Ruhe.


> Du versuchst hier, technische Probleme juristisch zu lösen und das
> funktioniert nunmal nicht immer.

Nein, umgekehrt. Mein technischer Vorschlag an die DENIC war,
das zu sperren, wenn jemand die WHOIS-Nutzungsbedingungen umgehen
versucht. Weiter hatte ich - ebenfalls technisch - vorgeschlagen, man
moege die Emailadresse nicht mehr als TEXT auswerfen, sondern als
GRAFIK.

Wenn die dann keinen Bock haben, dann schaue ich nach, wie ich
diese Sache jur. angehen kann und ob Aussichten auf Erfolg bestehen.

Mein technisches Problem ist:
Ich _muss_ die Emailadressen in der WHOIS ganz knackig
offenbaren. Gleichzeitig werden die WHOIS-Nutzungsbedingungen umgangen
und Emailadressen abgesaugt, die dann in den SPAMER-Datenbanken landen
und teils bei EBAY-Deutschland zum Verkaufen angeboten werden.
Feststellen kann ich das mit ganz speziellen Emailadressen wie z.B.

domtech.werbung-einwerfen-verboten AT domainnamebeispiel0001.de
domtech.werbung-einwerfen-verboten AT domainnamebeispiel0002.de

Der Grund mit der Sache "werbung-einwerfen-verboten" ist darin
zu finden, weil einer der DE-Richter mich mal getratzt hat und gesagt
hat, wo denn mein Aufkleber "Werbung einwerfen verboten" ist, der nach
der staendigen BGH-Rechtssprechung ausdruecklich am Briefkasten
anzubringen ist. Deswegen habe ich gesagt, ok, wenns kein Aufkleber dort
an meinem (POP3)-Briefkasten gibt, dann mache ich den halt selbst da
hin.

domtech.werbung-einwerfen-verboten AT domainnamebeispiel0001.de
domtech.werbung-einwerfen-verboten AT domainnamebeispiel0002.de

Seitdem haben wir alle Faelle gegen Spamers gewonnen, einige
wurden zu Geldstrafen verurteilt. Weil das mit dem
"werbung-einwerfen-verboten" jeder Depp versteht.

> > (1) Zum einen beseitigt das nicht die Tatsache, dass hier die
> > WHOIS-Nutzungsbedingungen umgangen werden.
>
> Na schön, dann soll die Denic halt bei einem whois noch 'nen großen
> Kommentar drüberklatschen mit ihren ganzen AGBs drin.

Da kann man aber nicht auf [Akzeptieren] [Nicht-akzeptieren]
anklicken, bevor(!) einem das WHOIS-Ausgabergebnis angezeigt wird. Es
widerspricht sich, wenn man auf der
http://www.denic.de/de/whois/free.jsp vorher den
WHOIS-Nutzungsbedingungen _ausdruecklich_ zustimmen muss, und
gleichzeitig diese Daten ja doch ohne der WHOIS-Nutzungsbedingungen doch
noch ausgeworfen werden. Fuer wie dumm verkauft denn die DENIC da uns
alle?

> > Beispiel:
> > http://www.enom.com/domains/whois.asp?DomainName=enom.com
>
> Und was bringt das, dass Enom das auf der Webseite macht?! Antwort: GAR
> NICHTS.

Also, ich bin jedenfalls ganz zufrieden so. Und ich meine, es
ist besser als wie Dein "GAR NICHTS". ;-)

> Angenommen ich bin Spammer: Was mach' ich? Konsole auf und tippe
> "whois enom.com". Was bekomme ich? 'ne lange Ausgabe mit
> Plaintext-E-Mail-Adressen drin. Problem gelöst. Beispiel:
>
> Registrant Contact:
> eNom, Inc.
> DNS Manager (kelsie AT enom.com)
> +1.4258838860
> Fax: +1.4258833553
> PO Box 7449
> Bellevue, WA 98008
> US

Tja, Du sagst es. Du hast Recht. Und bei der DENIC ist das mit
der whois.nic.de auch nicht anders und der gleiche Schmarrn. Der
Unterschied zwischen der DENIC und ENOM ist, dass die DENIC eine
WHOIS-Nutzungsbedingung eingebaut hat, dem man per eines [Akzeptieren]
[Nicht-akzeptieren] ausdruecklich vorher zustimmen muss.

> > Die Emailadressen werden automatisch in Grafiken umgewandelt.
> > Damit haben die Spamers a Big Problem. Ist doch geil. :-)
>
> Nein, haben sie nicht (siehe oben). Prinzipiell ist das eine gute Idee,
> funktioniert aber wg. dem whois-Dienst nicht. Damit das funktioniert,
> müsste man den whois-Dienst abschalten oder zumindestens die
> E-Mail-Adressen nur noch über das Webinterface preisgeben. Und Grafiken
> lassen sich auch wieder in Text umwandeln - Stichwort OCR. Die Frage ist
> nur, wie hoch der Aufwand wird.

Wegen der OCR-Problematik hatte ich der DENIC bei meinem
Schreiben vor Monaten schon damals auch darauf hingewiesen, die moegen
das so machen, wie es Altavista macht. Da sind die Grafiken nicht so wie
bei der ENOM, sondern etwas verzerrend mit unterschiedlichen Groessen
und Buchstaben. (Anm.: Ich seh grad, die haben das nicht mehr, aber ich
glaube, Du weisst, was ich mit dieser OCR-Verschleierung meine)

> > Wir registrieren COM/NET/ORG/INFO/usw. nur noch ueber diese ENOM
> > zum Schutz unserer Kunden, damit diese aus der WHOIS heraus nicht mit
> > Spam zugemuellt werden. Etwas anderes ist dem Kunden und auch uns selbst
> > nicht mehr zumutbar.
>
> Aha? Gib' doch mal bitte eine Beispieldomain. Sicher, dass keine
> E-Mail-Adressen im whois auftauchen?

Ich meinte vorhin die Emailadressen als TEXT anstelle als
GRAFIK.

> > Ich kann doch den DENIC-Robot nicht mit Grafiken zu
> > Registrant/Admin/Tech/Zone-Zeile feeden. :-(
>
> Das ist ja auch nicht nötig.

Besseren Loesungsvorschlag?

> > Also jeden Tag einen UPDATE machen? So ganz nach Motto:
> Ich bin mir recht sicher, dass das nicht jeden Tag gemacht werden muss.

Ok, das war uebertrieben. 1x die Woche ist allerdings schon die
Grenze. Letztes Mal hat es nur 4 Tage gedauert, da flutschte der Spam
schon rein.

> Es wird wohl nur alle paar Monate ein Spammer Deine E-Mail-Adresse aus
> der Datenbank grasen.

Nein. Mal nach 4 Tagen, mal nach ca. 2 Wochen. Manchmal aber
auch erst nach 6 Monaten. Das ist ganz unterschiedlich.

> Wenn der das zu schnell macht, greift die
> IP-Sperre bei der Denic, etc. Alles nicht sooo einfach, wie Du Dir das
> vielleicht vorstellst.

whois.nic.de sperren geht sofort.
Installation einer TEXT--->Grafik-Konvertersoftware fuer Emailadressen:
3,5 Stunden.

Wo ist das Problem? Dann wuerde ich gerne mal weiterschauen, wie sich
das mit der Spamerei entwickelt.

> Ausserdem, wenn Du bei allen Domains das selbe
> Handle eingetragen hast ist auch nur ein Update notwendig.

Eben das ist nicht der Fall. Jede Domaine hat mindestens 4
Handles, z.B.

DOMAINNAME-MEIER.DE
registrant.werbung-einwerfen-verboten AT domainname-meier.de
domadmin.werbung-einwerfen-verboten AT domainname-meier.de
domtech.werbung-einwerfen-verboten AT domainname-meier.de
domzone.werbung-einwerfen-verboten AT domainname-meier.de

DOMAINNAME-HAUSFRAU.DE
registrant.werbung-einwerfen-verboten AT domainname-hausfrau.de
domadmin.werbung-einwerfen-verboten AT domainname-hausfrau.de
domtech.werbung-einwerfen-verboten AT domainname-hausfrau.de
domzone.werbung-einwerfen-verboten AT domainname-hausfrau.de

DOMAINNAME-BLAFASEL.DE
registrant.werbung-einwerfen-verboten AT domainname-blafasel.de
domadmin.werbung-einwerfen-verboten AT domainname-blafasel.de
domtech.werbung-einwerfen-verboten AT domainname-blafasel.de
domzone.werbung-einwerfen-verboten AT domainname-blafasel.de

usw.. Damit kann man feststellen, wo die Quelle fuer diese
Spamerei ist.

Das Lustige: Diese Vollidioten muellen jede Emailadresse mit
Spam zu, obwohl es sich das z.B. bei "techzone" um das gleiche Postfach
handelt. Dann trudeln halt 80 Spams auf einmal mit exakt dem gleichen
Text rein, was den Richter sehr ueberzeugt und sehr freut. Man kriegt
dann eine einstweilige Verfuegung ohne muendlicher Verhandlung. 80 Spams
ist schon viel, gelle. ;-)

> PS: So, das war meine letzte Mail zu dem Thema. Die Diskussion bringt
> wohl eh nichts und müllt nur wieder die Liste zu.

Hast recht....

Die DENIC weiss Bescheid. Und die Spam-Verdaechtigen plonken hier schon.
:-)))

Ciao,
Rob





Archive powered by MHonArc 2.6.19.

Top of Page