Skip to content

Spam durch Keyserver?

Durch einen Beitrag im Rabenhorst wurde ich auf den Beitrag Eklatantes Spamproblem bei GPG und PGP beim Lemming aufmerksam. Er diskutiert dort die Fragestellung, ob Nutzern von GnuPG/PGP vermehrt Spam droht, wenn sie ihre Schlüssel auf öffentlichen Keyservern ablegen.

Grundsätzlich existiert natürlich die Gefahr, dass gerade diese Adressen abgefragt werden. Denn diese sind in der Regel valide Adressen, die gelesen werden und somit sind diese potentiell wertvoll. Allerdings ist die Menge beschränkt. Der geneigte Spammer dürfte derzeit drei bis vier Millionen eindeutige Adressen vorfinden. Diese herunterzuladen dürfte ein nicht unerheblicher zeitlicher Aufwand sein. Wenn Herr Spammer nun dieselbe Zeit investiert und die E-Mailadressen aus den XOVER-Daten eines Newsservers parst, sollte er die zehn- oder mehrfache Zahl erhalten. Darunter befinden sich nun viele gefälschte E-Mailadressen. Aber das sollte ihm egal sein.

Ein weiteres Argument dagegen ist auch die zu erwartende Sachkunde der GnuPG/PGP-Nutzer. Der Großteil dieser hat aus meiner Sicht wesentlich bessere technische Grundkenntnisse als der Durchschnittsnutzer und weiß insbesondere, wie man mit Spam und Spamfiltern umgeht. Also ist auch der zu erwartende Ertrag geringer. Ich weiß zwar nicht, ob Spammer derartige Überlegungen anstellen. Wenn sie es aber tun, werden sie wohl zu ähnlichen Schlüssen gelangen.

Alles in allem glaube ich nicht, dass Spam mit der “Hilfe” von Keyservern auf absehbare Zeit ein Problem darstellen wird. Vielmehr könnte der Missbrauch des Web of Trust ein Problem werden. Denn hier gibt es sehr viele Möglichkeiten, um dieses Modell kaputt zu machen. Wer hierüber genaueres Wissen möchte, sollte zum 22C3 kommen und den Vortrag von Seth Hardy anhören.

Trackbacks

No Trackbacks

Comments

Display comments as Linear | Threaded

gast on :

also ich hab schon spam auf ne adresse bekommen, die nur zum testen erstellt und in einem pubkey auf keyservern veröffentlicht wurde...

Jens Kubieziel on :

Wann hast du den Key ungefähr hochgeladen? War das die einzige E-Mail, die du erhalten hast?

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

You can use [geshi lang=lang_name [,ln={y|n}]][/geshi] tags to embed source code snippets.
Form options
cronjob