Webdesign Blog

Heute Abend ist eine besonders unangenehme Mail bei uns eingetrudelt. Eine böse Mail vom „Google Search Quality Team“.

Eigentlich geht es darum, dass eine unserer grösseren Domains aus dem Google-Index gebannt werden sollte.

Eine mittlere Katastrophe – wenn es denn wahr wäre. Denn ich bin nicht umsonst der Skeptiker vom Dienst.

Die Domain ist rein und weiss wie kolumbianisches Kokain. Nur statische Seiten, und der Vorwurf, der in der Email gemacht wurde, stimmt absolut nicht. Eine Verwechslung? Server gehackt?

Der Text der Email ist nahezu 100% dem Original nachempfunden (s.u.). Dennoch gibt es einige Punkte, die mich stutzig gemacht haben.

Also, machen wir mal eine kleine Analyse:

1. Absender der Mail ist DONOTREPLY@gmail.com
   – Seit wann verwendet google selbst gmail-Adressen?
   Wir hatten schon einmal eine mehr oder weniger berechtigte Anzeige der gleichen Art. Aber der Absender war „DONOTREPLY@google.com“, was für mich schon mal viel authentischer wirkt als eine gmail-Adresse.
2. Der Passus „Anbei erhalten Sie ein Google Webmastertool um Ihre Seite erneut zu
   indexieren.“
   Ich hatte erwartet, dass eine .exe im Anhang zu finden ist, aber das war nicht der Fall. Seltsam, den Trojaner vergessen? (PS: „erweiterter Infinitif“ – Komma erfoderlich!)
3. Die Mail wurde von einem Mailserver in der TZ 0600 versandt. UTC+0600 ist (grob gesagt) China, Russland, Indien. Werden solche Arbeiten bei google outgesourct? Mag sein… aber ein weiteres Indiz…
4. Der Absender war über einen spanischen Dial-Up Provider eingewählt („auna.net“). Outsourcing? Waren wir gerade nicht noch in Indien oder so? Warum gerade Spanien, und nicht ein Drittweltland, wo die Arbeit billiger ist? Und soweit ich mich erinnere, befindet sich Spanien in der gleichen Zeitzone wie DE-Land. Technisch natürlich möglich, aber klingt nicht besonders sinnvoll.
5. Trotz SpamAssassin einen Spam-Wert von -0.5. Aber, wenn man genau hinguckt, ist der Absender in zwei Blacklists gelistet…
6. User-Agent: „Mozilla 4.7 [en] (Win98; I)“ – wer benutzt denn heute noch den über 10 Jahre alten Netscape 4.7? Und Win98? Neee….. oder?

Also, Fazit: Jemand wollte uns einschüchtern. Oder einen Trojaner unterjubeln, und hat vergessen, letzteren anzuhängen?

Also, ich persönlich werd heute nicht weniger ruhig schlafen als sonst.

Für den interessierten Leser die Mail im Original mit Headern, die Domain-in-question hab ich mal zensiert…

X-Account-Key: account2
Return-Path:
Delivered-To: service@mcgrip.de
Received: (qmail 12682 invoked from network); 9 May 2007 18:01:19 -0000
Received: from unknown ([80.67.18.1])
by morvan.ispgateway.de (qmail-ldap-1.03) with QMQP; 9 May 2007 18:01:19 -0000
Delivered-To: CLUSTERHOST mx01.ispgateway.de service@mcgrip.de
Received: (qmail 25052 invoked by alias); 9 May 2007 18:01:19 -0000
Delivered-To: webmaster@***DOMAIN***.de
X-Envelope-To: webmaster@***DOMAIN***.de
Received: (qmail 24756 invoked from network); 9 May 2007 18:01:19 -0000
X-Spam-Checker-Version: SpamAssassin 3.1.7 (2006-10-05) on
spamfilter16.ispgateway.de
X-Spam-Level:
X-Spam-Status: No, hits=-0.5 required=9999.0 tests=BAYES_00,FORGED_RCVD_HELO,
RCVD_IN_NJABL_DUL,RCVD_IN_PBL autolearn=disabled version=3.1.7
Received: from 50.red-82-158-194.user.auna.net (HELO gmail.com) ([82.158.194.50])
(envelope-sender )
by mx01.ispgateway.de (qmail-ldap-1.03) with SMTP
for ; 9 May 2007 18:01:17 -0000
Message-ID:
Date: Thu, 10 May 2007 00:52:55 +0600
From: „Google Search Quality DO NOT REPLY“
User-Agent: Mozilla 4.7 [en] (Win98; I)
MIME-Version: 1.0
To:
Subject: Entfernung Ihrer Webseite www.***DOMAIN***.de aus dem Google Index
Content-Type: text/plain;
charset=“ascii“
Content-Transfer-Encoding: 8bit

Sehr geehrter Seiteninhaber oder Webmaster der Domain www.***DOMAIN***.de,

bei der Indexierung Ihrer Webseiten mussten wir feststellen, dass auf
Ihrer Seite Techniken angewendet werden, die gegen unsere Richtlinien
verstossen. Sie finden diese Richtlinien unter folgender Webadresse:

http://www.google.de/webmasters/guidelines.html

Um die Qualitaet unserer Suchmaschine sicherzustellen, haben wir bestimmte
Webseiten zeitlich befristet aus unseren Suchergebnissen entfernt. Zurzeit
sind Seiten von www.***DOMAIN***.de fuer eine Entfernung ueber einen
Zeitraum von wenigstens 30 Tagen vorgesehen.

Wir haben auf Ihren Seiten insbesondere die Verwendung folgender Techniken
festgestellt:

*Seiten wie z. B. ***DOMAIN***.de, die zu Seiten wie z. B.
http://www.***DOMAIN***.de/index.htm mit Hilfe eines Redirects
weiterleiten, der nicht mit unseren Richtlinien konform ist.

Gerne wollen wir Ihre Seiten in unserem Index behalten. Wenn Sie wollen,,
dass Ihre Seiten wieder von uns akzeptiert werden, korrigieren oder
entfernen Sie bitte alle Seiten, die gegen unsere Richtlinien
verstossen. Wenn dies erfolgt ist, besuchen Sie bitte die folgende
Webadresse, um weitere Informationen zu erhalten und einen Antrag auf
Wiederaufnahme in unseren Suchindex zu stellen:

https://www.google.com/webmasters/sitemaps/reinclusion?hl=de

Anbei erhalten Sie ein Google Webmastertool um Ihre Seite erneut zu
indexieren.

Google Search Quality Team
Kopie an: webmaster@***DOMAIN***.de

Nachtrag: (10.05.2007, 14:10)
Soeben trudeln weitere solcher Mails ein. Der Spammer hatte beim ersten Mal tatsächlich den Trojaner für den Anhang vergessen, diesmal ist eine „google webmastertools.zip“ angehängt.
—
Manuel

Nachtrag:
Und fröhlich trudeln weitere E-Mails ein. Interessant, das Spammer inzwischen nicht nur Normaluser angreifen, sondern gezielt webmaster mit IT-Wissen bespammen.

—
Sebastian

Der Beitrag wurde am Mittwoch, den 9. Mai 2007 um 22:30 Uhr veröffentlicht und wurde unter Spam und E-mails abgelegt. Du kannst die Kommentare zu diesen Eintrag durch den RSS 2.0 Feed verfolgen. Kommentare und Pings sind derzeit nicht erlaubt.