In Case of Inquiries ...

From JonDonym Wiki
(Difference between revisions)
Jump to: navigation, search
Line 23: Line 23:
 
The recipients of those spam mails are able to trace their origin to the exit mix looking at the sent headers. They send an abuse mail to the ISP of the exit mix and the ISP in turn forwards this mail to the one renting the server and expects feedback after it is processed. Do not ignore these abuse mails even if they are not relevant in a criminally liable way as this can lead to a violation of the ISP's terms and conditions and finally to a termination of the server.
 
The recipients of those spam mails are able to trace their origin to the exit mix looking at the sent headers. They send an abuse mail to the ISP of the exit mix and the ISP in turn forwards this mail to the one renting the server and expects feedback after it is processed. Do not ignore these abuse mails even if they are not relevant in a criminally liable way as this can lead to a violation of the ISP's terms and conditions and finally to a termination of the server.
  
In der Regel erhält man zusammen mir der Abuse-Meldung die komplette Spam-Mail inklusive der Header. Ein fiktives Beispiel
+
Generally, one is receiving the complete spam mail including its headers together with the abuse notice. A fictious example:
  
 
  Dear customer,
 
  Dear customer,
Line 43: Line 43:
 
  From: ........
 
  From: ........
  
Im letzten Abschnitt ''Received:'' finden sie die nötigen Informationen, um ihrerseits die Abuse-Meldung weiter zu leiten. Die Header sehen verschieden aus. Man muss sich mit jeder Abuse-meldung individuell befassen.
+
In the last section ''Received:'' may the necessary information be found to forward the abuse notice on your part. The headers are always different and every abuse notice has to be addressed individually.
  
* ''23.23.23.23'' ist ein Beispiel. Es sollte die IP-Adresse des Exit-Mix sein. Möglicherweise steht hier eine andere IP-Adresse, dann ist die Abuse-Meldung nur irrtümlich ihnen zugestellt worden. (Kommt auch vor, aber selten.)
+
* ''23.23.23.23'' is an example. It should be the IP address of the exit mix. But possibly it is an other one in which case the abuse notice was sent to you by mistake. (That happens but is quite seldom)
* ''user medium'' ist der User-Account auf dem Mailserver, der für die Versendung der Spam-Mails verwendet wurde.
+
* ''medium'' is the user account on the mail server which got used for spamming.
* ''mail.domain.tld'' ist der Mailserver, auf dem SquirrelMail (ein Web-Frontend) läuft.
+
* ''mail.domain.tld'' is the mail server on which SquirrelMail (a web frontend) is running.
  
Leiten sie die erhaltene Abuse-Meldung an den abuse Account des Mail-Providers weiter und bitten sie um Löschung des Spam-Account. Senden sie die Weiterleitung in Kopie an das Security Response Team ihres ISP, damit dort eine Rückmeldung vorliegt, dass und wie sie auf die Abuse-Meldung reagiert haben. Die meisten Provider sind damit zufrieden. Sie leiten ihre Rückmeldung ihrerseits an den Absender weiter.
+
Forward the abuse notice to the abuse account of the mail provider and ask for deleting the spam account. Furthermore, send the forwarding as a copy to the security response team of your ISP in order to give them feedback showing that and how you reacted to the abuse notice. Most providers are satisfied with that. They forward your response on their turn to the sender of the abuse notice.
  
=== Spam DNS-Blacklisten ===
+
=== Spam DNS blacklists ===
Durch die Versendung von Spam-Mails oder Spam in Foren kommt es immer wieder vor, dass ein Exit-Mix von einer DNSBL als Spam-IP gelistet wird.  
+
By spamming via mail or in forums it happens on and off that an exit mix is listed as spam IP by a DNSBL.  
  
 
Für <u>kostenfreie Exits</u> ist das in der Regel kein Problem, solange der Server nicht auch für die Versendung von Mails genutzt wird. Die ISPs verteten meist die Meinung, das der Nutzer des Servers selbst dafür verantwortlich ist, ob die IP-Adresse auf einer DNS-Blackliste steht oder nicht. Da die meisten DNSBL auch Kommentare in Foren u.ä. auswerten, wäre es eine Sysiphos-Arbeit für den Admin, ständig und immer wieder den Server von allen DNSBL zu entfernen. Da es den Mix-Betrieb nicht beeinträchtigt, können kostenfreie Exits das Problem ignorieren. Eigene E-Mails sollte man standardmäßig über eine andere IP-Adresse versenden.
 
Für <u>kostenfreie Exits</u> ist das in der Regel kein Problem, solange der Server nicht auch für die Versendung von Mails genutzt wird. Die ISPs verteten meist die Meinung, das der Nutzer des Servers selbst dafür verantwortlich ist, ob die IP-Adresse auf einer DNS-Blackliste steht oder nicht. Da die meisten DNSBL auch Kommentare in Foren u.ä. auswerten, wäre es eine Sysiphos-Arbeit für den Admin, ständig und immer wieder den Server von allen DNSBL zu entfernen. Da es den Mix-Betrieb nicht beeinträchtigt, können kostenfreie Exits das Problem ignorieren. Eigene E-Mails sollte man standardmäßig über eine andere IP-Adresse versenden.

Revision as of 15:55, 13 April 2011

En2.png De2.png    <- prev | Content

Contents

Advices for Exit Mix Administrators Regarding Abuses

If the anonymization service got abused the IP address of the exit mix is usually identified. Often it is the case that the server is assumed to cause the abuse.

Preliminaries

Already before getting the first abuses there is something one can do to minimize the trouble later on:

  • Talk to your ISP and explain what you are doing with your server and what kind of problems may occur. The best thing is to ask before signing the contract whether and under which conditions it is tolerable to deploy an anonymization service at all and if there are requirements concerning the handling of abuses. Some ISPs say: "We are just relaying traffic and you are supposed to deal with abuses." Other ISPs want to get feedback regarding the processing of abuses.
  • Do not run the exit mix on a server in your home country. This is not only recommended by JonDos in order to provide high anonymity but serves avoiding abuses as well. Insignificant abuses are often not prosecuted if an international coordination is necessary to identify the offender.
  • A "talking" Reverse-DNS entry may clarify the function of the server: IT-savvy victims or prosecutors may use tools like host or nslookup.
  • The Whois record should contain respective information about the server. The AnonBox of the Chaos Computer Club is a good example.
  • Ideally, the RIPE entry of the server's IP should point to its operator directly. Then all abuses go directly to the mix operator without detour via the ISP. Not all ISPs are offering to set the RIPE entry but if it is possible you should use this option.
  • Victims or prosecutors are often checking the IP address of the exit mix server using a web browser in order to inform themselves about its operator. It is helpful if a small web server like lighttpd provides a information page on port 80. The JonDos GmbH offers an example of an Exit Mix Information. If the anonymity service was abused in a criminally liable way this information page can influence whether one is treated as a suspect or a witness.
    • Installing the web server. (Debian: # aptitude install lighttpd )
    • The example prepared by the JonDos GmbH do you find in the mix sources in the subdirectory misc/exit-mix-notice. If you are using the mix server debian packages please install the package mix-exit-notice. The prepared web page is available in the directory /usr/share/mix-exit-notice. Do not forget to adjust the configuration for the installed web server.
SRC:   DocumentRoot /home/mix/stable/misc/exit-mix-notice
DEB:   DocumentRoot /usr/share/mix-exit-notice

Spamming via web interface

It is quite often the case that a bunch of spam mails is sent using the web interface of a mail provider. The spammer wants to stay anonymous and is usually using free anonymous services to log himself in to the web interface of a mail provider.

The recipients of those spam mails are able to trace their origin to the exit mix looking at the sent headers. They send an abuse mail to the ISP of the exit mix and the ISP in turn forwards this mail to the one renting the server and expects feedback after it is processed. Do not ignore these abuse mails even if they are not relevant in a criminally liable way as this can lead to a violation of the ISP's terms and conditions and finally to a termination of the server.

Generally, one is receiving the complete spam mail including its headers together with the abuse notice. A fictious example:

Dear customer,
.
We received a complaint regarding an IP assigned to you. Please see the complaint at the
bottom of this e-mail. We urge you to take appropriate ation to prevent future complaints.
.
Security Response Team
.
Return-path: <blabla@bla.bl>
Delivery-date: Fri, 14 Mar 2015 06:39:21 +0200
Received: from pra7.smp.wab.co.za ([196.28.77.217])
....
Received: from 23.23.23.23
       (SquirrelMail authenticated user medium)
       by mail.domain.tld with HTTP;
Date: Fri, 14 May 2010 07:37:04 +0300 (EAT)
Subject: HELLO!!
From: ........

In the last section Received: may the necessary information be found to forward the abuse notice on your part. The headers are always different and every abuse notice has to be addressed individually.

  • 23.23.23.23 is an example. It should be the IP address of the exit mix. But possibly it is an other one in which case the abuse notice was sent to you by mistake. (That happens but is quite seldom)
  • medium is the user account on the mail server which got used for spamming.
  • mail.domain.tld is the mail server on which SquirrelMail (a web frontend) is running.

Forward the abuse notice to the abuse account of the mail provider and ask for deleting the spam account. Furthermore, send the forwarding as a copy to the security response team of your ISP in order to give them feedback showing that and how you reacted to the abuse notice. Most providers are satisfied with that. They forward your response on their turn to the sender of the abuse notice.

Spam DNS blacklists

By spamming via mail or in forums it happens on and off that an exit mix is listed as spam IP by a DNSBL.

Für kostenfreie Exits ist das in der Regel kein Problem, solange der Server nicht auch für die Versendung von Mails genutzt wird. Die ISPs verteten meist die Meinung, das der Nutzer des Servers selbst dafür verantwortlich ist, ob die IP-Adresse auf einer DNS-Blackliste steht oder nicht. Da die meisten DNSBL auch Kommentare in Foren u.ä. auswerten, wäre es eine Sysiphos-Arbeit für den Admin, ständig und immer wieder den Server von allen DNSBL zu entfernen. Da es den Mix-Betrieb nicht beeinträchtigt, können kostenfreie Exits das Problem ignorieren. Eigene E-Mails sollte man standardmäßig über eine andere IP-Adresse versenden.

Für Premium-Dienste ist die Situation etwas anders. Da diese Dienste auch die anonyme Versendung von E-Mails via SMTP ermöglichen, sollten die Exit Mix Betreiber in dafür sorgen, dass ihre Server nicht auf DNSBL gelistet werden. Die Website Spam Database Lookup bietet die Möglichkeit, eine Vielzahl von DNSBL zu prüfen.

Stalking und Beleidigungen

Wenn Opfer von Stalking und Beleidungen sich an Exit-Mix Betreiber wenden, kann man auf die Möglichkeit zur Blockierung der anonymen Nutzung hinweisen. Webdienste (Blogs, Foren, Wikis oder andere Websites) können auf allen Exit-Mixen gesperrt werden, wenn der Betreiber der Website es wünscht.

Urheberrechts-Verletzungen

Urheberrechtsverletzungen sind bei JonDonym sehr selten. Die automatisiert erstellten Urheberrechts-Verletzungen sind bei den meisten Exit Mix Betreibern unbekannt. Die kostenfreien Kaskaden können nur für anonymes Surfen genutzt werden. BitTorrent über kommerzielle Kaskaden ist wenig lukrativ. Statt der Bezahlung des Traffic kann man sich das gewünschte Video auch kaufen.

Kreditbetrug u.ä.

Eine Bestellung bei einem Online-Shop erfolgt unter Angabe falscher Daten und mittels Anonymisierungsdiensten. Die Ware wird geliefert, aber die Rechnung wird nicht bezahlt. Der Online-Händler erstattet Anzeige und liefert als Beweismitteln die gespeicherte IP-Adresse. Es laufen Routine-Ermittlungen an und der Betreiber des Exit-Mix wird irgendwann als Beschuldigter oder Zeuge bei der örtlichen Kriminalpolizei vorgeladen.

Das ist kein Grund zur Beunruhigung. Nehmen sie den Termin zur Vorladung an oder vereinbaren sie einen passenden Termin. Erklären sie den Ermittlern, was sie tun und dass anhand der IP-Adresse eine Ermittlung des Täters nicht möglich ist. Ein Protokoll wird aufgesetzt und die Ermittlungen gegen den Exit-Mix Betreiber werden eingestellt. Ein vorbereitetes Informationsblatt über JonDonym ist hilfreich. (Möglicherweise wird der Beamte in Zukunft selbst den Dienst nutzen, um Datenspuren im Internet zu vermeiden.)

Mit etwas Routine können sie die Vorladung auch schriftlich beantworten und nachfragen, ob ihr persönliches Erscheinen zur Klärung weiterer Fragen nötig ist.

Schwere Straftaten

Mix-Betreuber stehen nicht außerhalb des Gesetzes. Bei schweren Straftaten besteht die Möglichkeit, dass man durch einen rechtskräftigen Beschluss gezwungen wird, Daten über die Nutzung des Dienstes zwecks Deanonymisierung der Nutzer zu speichern.

Spielen sie nicht "Katz und Maus" mit den Behörden. Erklären sie nicht ihr Einverständnis mit der Telekommunikationsüberwachnung, um später sinnlose Daten zu liefern, die ohne Kooperation der anderen Mixe nicht auswertbar sind. Erklären sie die Funktionsweise von JonDonym, die (hoffentlich) internationale Verteilung ihrer Kaskade und lassen sie sich von einem Anwalt beraten. Die JonDos GmbH wird sie unterstützen.

Bei der Umsetzung der Überwachung sind folgende Punkte zu beachten:

  1. Speichern sie nur die minimal nötigen Daten.
  2. Stellen sie sicher, dass niemand Zugriff auf die gespeicherten Daten hat.
  3. Geben sie Daten nur in dem Maße weiter, wie sie dazu gezwungen sind.
  4. Erlauben sie keine willkürliche Datensammlung. Wenn sie sich dagegen nicht wehren können, schalten sie ihren Server ab.

Ähnlich wie beim Kreditbetrug und ähnlichen kleinen Straftaten ist es auch bei schweren Straftaten möglich, dass der Betreiber des Mix Servers als tatverdächtig gilt. Man wird sie beim Verdacht auf Beteiligung an schweren Straftaten (z.B. in Zusammenhang mit Organisierter Kiminalität) nicht einfach vorladen und befragen. Die Ermittlungen gegen sie werden anfangs unbemerkt ablaufen und möglicherweise die Überwachung ihrer Telekommunikationsverbindungen einschließen, Überprüfung ihrer Bankkonten usw.

Personal tools