Subscription-Spam

Es gibt Attacken auf Server, die man hassen, aber verstehen kann. Wenn man als Spammer einen Account gehackt hat, kann man massig Mails über den attackierten Server versenden und gegebenenfalls Geld verdienen. Das sind zwar asoziale Bastarde, aber das Ziel ist einleuchtend. Von einer ganz anderen Sorte ist der sogenannte Subskription-Spam - denn der nutzt niemandem und schadet nur.

Wie es funktioniert

Was genau passiert da? Über ein Skript werden automatisch Mailinglisten mit einer Vielzahl von E-Mail-Adressen abonniert. In der Regel passiert nun folgendes: Die Mailinglisten-Software erzeugt eine Nachricht mit der Bitte um Bestätigung des Neueintrags und schickt diese Mail an den vermeintlichen Interessenten.

Wem es schadet

In aller Regel aber hat der Betreffende Empfänger gar kein Interesse an der Mailingliste. Gegebenenfalls wird er die Mail löschen. Wenn der Bot freilich richtig fleißig ist, dann ersäuft der Empfänger regelrecht in einer Flut von solchen Bestätigungsanforderungen.

Wie gesagt: Dem Betreiber des Bots nutzt das überhaupt nichts, es ärgert nur die Empfänger - aber manchmal scheint ja schon das zu reichen. Im nächsten Schritt ärgert es den Admin. Denn die Flut von Bestätigungsmails wird irgendwann dazu führen, dass die empfangenden Mailserver keine Lust mehr haben - und Mails vom Listenserver verzögern oder zurückweisen. Das kann bekanntermaßen dann Arbeit machen.

Abhilfe

Tatsächlich ist mit recht einfachen Mitteln bei Mailman dem Vorgehen ein Riegel vorzuschieben. Gut beschrieben ist das in diesem Beitrag . Im Prinzip wird über den Konfigurationseintrag SUBSCRIBE_FORM_SECRET ein CSRF token gesetzt, außerdem wird eine kleine Verzögerung vor der Übertragung erzwungen. Spammer sind ungeduldig, und damit hat sich der Ärger zum größten Teil erledigt.