Einem Tipp von “peter” zufolge (Kommentar zum Beitrag Tipps erwünscht: Wie kann ich die Spammaschine anwerfen?) habe ich jetzt für die meine beiden Harvest-Mailadressen .(JavaScript must be enabled to view this email address) und .(JavaScript must be enabled to view this email address) einen PGP-Schlüssel erzeugt und auf einige öffentliche Keyserver hochgeladen (Liste weiter unten). Die .(JavaScript must be enabled to view this email address) habe ich nicht bedient, da sie fast nur über Porno-Newsletter usw. in die Listen der Spammer gelangt, nicht aber über Harvesting.
Das führt offensichtlich zu einer Menge Spam. So führte ein gewisser “Roscoe” ein kleines Experiment zum Spamaufkommen nach dem Hochladen seines Keys auf einen Schlüsselserver durch und berichtet in der Mailingliste Gnupg-users darüber:
So I uploaded a key with a spamgourmet disposible email address, that email address was solely for the purpose of checking if spammers harvested addresses from keyservers.
If your familar with how spamgourmet works, youll know by default that email address is only capable of recieving three emails before they just get dropped into the intarweb ether.
I did get 3 articles of spam, sent to that address, the first one came the day after key upload, then 2 more the day (or was it the two days?) after that.
“Keyserver and spam” - Beitrag der Mailingliste Gnupg-users vom 22.12.2004
Also habe ich mir auf meinem Spam-Client Thunderbird gemäß dieser erfreulichen Anleitung das Add-on Enigmail installiert und konfiguriert (das geht natürlich auch mit Windows: Installationsanleitung: E-Mails mit Enigmail und GnuPG verschlüsseln (Thunderbird/Windows)).
Dann habe ich den Schlüsselbund auf einige Keyserver hochgeladen, die ich mir quer im ganzen Web zusammengesucht habe. Besonders hilfreich war diese Liste mit öffentlichen Keyservern von David Ross.
Namentlich habe ich die .(JavaScript must be enabled to view this email address) und .(JavaScript must be enabled to view this email address) auf folgende Schlüsselserver hochgeladen:
pool.sks-keyservers.net
subkeys.pgp.net
pgp.mit.edu
pgpkeys.pca.dfn.de
PGP.NIC.AD.JP
Dazu habe ich die .(JavaScript must be enabled to view this email address) auf diese hier hochgeladen:
cryptonomicon.mit.edu
esperanza.ubuntu.com
gpg-keyserver.de
keyserv.nic.se
keyserver.fabbione.net
keyserver.kjsl.com
keyserver.mine.nu
keyserver.noreply.org
keyserver.oeg.com.au
keyserver.pramberger.at
keyserver.progman.us
keyserver.rootbash.com
kies.mcbone.net
lorien.prato.linux.it
minsky.surfnet.nl
nicpgp2.nic.ad.jp
r24-live.duf.hu
stinkfoot.org
wwwkeys.cz.pgp.net
keyserver.kjsl.com
pgp.keyserver.ch
wwwkeys.pgp.net
pgp.es.net
pgp.nic.ad.jp
pgp.zdv.uni-mainz.de
Jetzt bin ich aber mal
gespannt ...
Anmerkung: Zur Zeit ist der Stand in der Spam-Inbox dieser: .(JavaScript must be enabled to view this email address) - 248, .(JavaScript must be enabled to view this email address) - 144. Diese Woche also schon sehr viel Spam auf die schlucks-Adresse, auch ohne PGP.
Eingetragen: 23.06.2007, 14:38 in Aktivitaeten
Permalink; 4022
Wow, das sind wirklich atemberaubende Tricks, die du da einsetzst!
Diese Website würde inzwischen auch prima als Diplomarbeitsthema inkl. empirischer Feldforschung taugen
Habe vor einem Monat eine neue E-Mail-Adresse und einen neuen Schlüssel erstellt, um einer einzigen Person zu schreiben. Heute habe ich die erste Spam-Mail zu dieser Adresse erhalten. :(
Ich habe auch meine Zweifel, ob die Abfrage der Keyserver nicht zu vertrauensseelig eingestellt ist, da sie eine ganze Reihe von Mail-Adressen ausspuckt, selbst wenn nur einige Zeichen übereinstimmen.
Das ist sinnlos. Praktisch alle Keyserver sind miteinander vernetzt und tauschen alle ihre Keys miteinander aus. Es macht also von der Menge her keinen Unterschied ob man den Key auf einen oder auf hundert Server hochlädt. Es dauert nur höchstens 1-3 Tage länger - solange bis sie wieder synchronisieren.
Das heißt, dass wenn ich Emailadresse bekommen möchte, ich mir einfach einen Keyserver aufsetzen muss. Der synchronisiert sich dann mit den anderen und ich habe so 100.000+ Adressen? Cool!
Ich muss mir nicht mal mehr die Mühe machen diese zu verifizieren das macht dann ja das Web of Trust für mich