Drupal & Spam

Viele Websites und Programme verlangen, die eigene E-Mail-Adresse bei der Registrierung anzugeben. Der Anbieter stellt mit seiner Datenschutzerklärung klar, wofür die Daten ausschließlich benutzt werden. Indem man für jede Registrierung eine eigene Adresse benutzt, kann man herausfinden, welcher Anbieter die Adressen trotzdem in unerlaubter Weise benutzt. Der Spam-Ordner offenbart nun, welchen Anbietern man nicht trauen kann.

Benutzt wurde z.B. die Mailadresse, die zur Registrierung des JW Player bei der Firma Longtail Video erforderlich war. Dies ist ein angesehener Flash Video Players, der auch in Drupal benutzt werden kann. In 5 aufgehobenen Spam-Mails wurden offenbar pharmazeutische Websites beworben. Das Betreff enthielt häufig einen Hinweis darauf, dass dort „Vicodin“ angebotenwurde, ein starkes Schmerzmittel, das häufig in der Fernsehserie „Dr. House“ erwähnt wird. Die Mails selbst enthielten nicht mehr, als den Link zu verschiedenen Websites mit eher willkürlichen Namen. Ob diese Werbenutzung wirklich von der Datenschutzerklärung von Longtail Video eingeschlossen war, lässt sich hier nachlesen.

Bei Recherchearbeiten für mein Lieblings-Community-Projekt nahm ich auch eine Anmeldung bei der amerikanischen Community MyDanceChat vor. Lustigerweise bekomme ich nun auch an die dafür verwendete E-Mail-Adresse Spam-Mails derselben Art geschickt (überwiegend Pharma-Artikel und Postpaket-Infos).

Die Nutzung jeweils einer anderen E-Mail-Adresse für jeden Anbieter hat neben dem Analyse-Aspekt auch den Vorteil, dass man sie einfach aufgeben kann. *plonk*

Ursachen für Spam

Nicht zwingend muss der Anbieter die Daten bewusst missbrauchen. Wird der Server nicht gut administriert, schleichen sich schnell Sicherheitslücken ein, die sowohl für das Versenden von Spam, als auch für das Sammeln von Adressdaten ausgenutzt werden können. Einen guten Schutz bieten Systeme, die man gut versteht und schnell aktuell halten kann, sobald ein Sicherheitsleck bekannt wird.

Open-Source-Systeme sind sowohl Eigenproduktionen, als auch Firmenlösungen überlegen, da sehr viele Entwickler ein geschultes Auge auf den Code haben. Ist der Code außerdem einfach, weil bewährte Programmiertechniken verwendet werden und ungepflegte Altlasten im System vermieden werden, so wie bei Drupal, vermindert sich das Risiko der Kompromittierung des Systems weiter.

Spam-Vermeidung mit Drupal

Drupal ist ein Open-Source-CMS und lässt sich ohne Registrierung kostenlos von http://drupal.org/project/drupal herunterladen. Dies gilt auch für alle Drupal-Erweiterungen unter http://drupal.org/project/Modules und http://drupal.org/project/Themes

Will man seinen Benutzern ermöglichen, sich ohne erneute Dateneingabe anzumelden, bietet sich die Verwendung von OpenID an. Drupal bringt von Hause aus OpenID-Unterstützung mit.

Zur Abschirmung seiner Benutzer von Spam wird die E-Mail-Adresse der Benutzer nie in öffentlichen Benutzerprofilen angezeigt. Unerwünschte Massen-Postings lassen sich über vorherige Moderation der Benutzer, Artikel und Kommentare verhindern, was mit wenigen Konfigurationsschritten in Drupal machen lässt.

Für automatische Spam-Vermeidung bieten sich die Erweiterungen wie CAPTCHA oder Mollom an.

Auch wenn Drupal ein sehr sicheres System ist, kann unachtsame Konfiguration und Programmierung auch hier Hackern unbeabsichtigt Türen öffnen. Die Verwendung der eingebauten Drupal-Funktionen bieten hier ein großen Schutz.