Wie fängt man einen Spammer?

Die Vorgehensweise ist einfach: man packe eine präparierte E-Mail-Adresse, bestehend aus IP, Datum und Zeit des Seitenaufrufs, auf seine Webseite. Versteckt sie dort im HTML-Code, sodass sie für normale Besucher nicht sichtbar ist, und wartet bis man unter dieser E-Mail-Adresse Spam erhält. Anhand von IP, Datum und Zeit des Zugriffs lässt sich dann meistens der Provider ermitteln, um z.B. weitere Schritte einzuleiten. Selbstverständlich könnte der Spammer, um seine Herkunft zu verschleiern, auch einen anonymisierenden Proxyserver einsetzen, wie z.B. Tor oder JAP. Da Verbindungen über Proxyserver aber oft sehr langsam sind, ist es fraglich ob Spammer sie dafür nutzen würden.

Beispiel:

Deine derzeitige IP lautet 38.107.179.236 und du hast diese Webseite am 05.02.2012 um 06:58:02 Uhr betreten!

Mehr als diese 3 Informationen werden nicht benötigt. Jetzt packt man sie in ein PHP-Skript, das daraus einen mailto-Link erzeugt. Damit der Link nicht im Browser angezeigt wird, lässt man einfach den Verweistext (zwischen <a> und </a>) weg. Zuerst erzeugen wir mit der PHP-Funktion date() eine formatierte Datum- und Zeitausgabe der aktuellen Zeit, die wir mit time() ermitteln. Dann holen wir uns noch mit der Servervariablen $_SERVER['REMOTE_ADDR'] die aktuelle IP.

Als Ergebnis enthält der HTML-Code dann in etwa folgenden Link:

Was bei diesem Link auffällt ist seine ziemliche Länge, weshalb ein Spambot ihn eventuell auch nicht berücksichtigen würde. Also schrumpfen wir ihn zurecht und verwenden dafür die hexadezimale Schreibweise. Zuerst holen wir uns mit time() den Unix-Timestamp(Zeitstempel), der das aktuelle Datum und die Zeit enthält. Dieser timestamp enthält die vergangenen Sekunden seit Beginn der Unix-Epoche (1.Januar 1970, 00:00:00 GMT). Dann wandeln wir den timestamp mit dechex() um, und erhalten einen 8 Zeichen langen (4Byte, 32Bit) Hexadezimalwert. Mit der Funktion ip2long() wandeln wir die IP in einen Long-Wert (32Bit) um, und wieder mittels dechex() in einen 8 Zeichen langen (4Byte, 32Bit) Hexadezimalwert.

Als Ergebnis enthält der HTML-Code dann in etwa folgenden Link:

Wenn man jetzt noch das info und die beiden Bindestriche weglässt, so würde die E-Mail-Adresse noch um weitere 6 Zeichen schrumpfen. Um das ganze später wieder umwandeln zu können, benutzt man die PHP-Funktionen long2ip() und hexdec(). Anmerkung: wem das immer noch zu lang ist, der könnte es mit einer Logdatei versuchen, die bei jedem Seitenaufruf IP, Datum, Uhrzeit und zusätzlich einen einmaligen Wert/Zeichenkette abspeichert, der gleichzeitig auch als E-Mail-Adresse dient.

Proxy oder reale IP?

Die Servervariable $_SERVER['REMOTE_ADDR'] liefert uns eine IP, die aber nicht zwingend vom Seitenaufrufer stammen muss. Denn wie oben schon angesprochen, könnte der Spammer auch einen Proxy benutzen. Um dies zu erkennen bietet sich folgendes PHP-Skript an:

Anmerkung: bei einem offenen Proxy zeigt uns das obige PHP-Skript die reale IP an. Benutzt der Spammer aber einen anonymen Proxy (Tor, JAP), so zeigt das Skript auch nur dessen IP an!