Aus dem Rechenzentrum

… dann bleibt Fremdschämen selten aus. Über einen Hinweis von Bert Ungerer kam ich auf den taz-Artikel Panne bei T-Online. Er mag heute einmal repräsentativ für viele Artikel mit IT-Bezug stehen, die man in der Nicht-IT-Presse so findet – dass es hierbei ausgerechnet die taz trifft, ist dabei schlichter Zufall. So wird im Artikel berichtet:

Unangenehme Überraschung für Kunden von T-Online. Wenn sie in den vergangenen Wochen E-Mails versandten, bekamen sie oft unvermutete Fehlermeldungen: Ihre Nachricht konnte nicht zugestellt werden, wurde verzögert oder blieb einfach verschwunden.

Vielleicht bin ich hier einfach nur vorgeschädigt, aber ich kann es langsam nicht mehr hören. E-Mails verschwinden nicht, und es ärgert mich zunehmend, wenn das Medium E-Mail von irgendwelchen Schlaumeiern als unzuverlässig gebrandmarkt wird. Ja, E-Mails landen im Spamordnern. Ja, E-Mails werden verzögert, beispielsweise durch Greylisting. Ja, E-Mails können bouncen, wenn der Empfängerserver sie nicht akzeptiert. Aber sie verschwinden nicht. Das ist nur der vordergründige Eindruck, der bei vielen Usern entsteht, die schlicht keinen Blick in ihren Spamfilter werfen oder Bounces nach dem Motto „Das ist ja Englisch, das versteh ich nicht“ löschen und dann so tun als wüssten sie von nichts. Die Fälle, in denen E-Mails tatsächlich verschwinden, sind extrem selten (triple bounces würden mir hier ad hoc einfallen) und praktisch immer auf klare Fehlkonfigurationen zurückzuführen – die dann aber eben überhaupt nichts mit dem Spamproblem zu tun haben und in der Regel auch nicht auf das Medium E-Mail zurückzuführen sind, sondern auf entsprechende von Usern selbst verfasste Filterregeln.

Schuld war ein Spam-Filter, der die Mail-Server des deutschen Groß-Providers als Versender unerwünschte Werbepost deklarierte.

Man mag den Unterschied für akademisch halten, aber: Spamcop ist eine Blacklist und kein Spamfilter. Betreiber von Mailservern können aus freien Stücken entscheiden, ob sie eine solche Blacklist heranziehen, um ihre SMTP-Verbindungen bereits grob vorzufiltern. Spamcop selbst filtert überhaupt nichts – das wäre technisch auch gar nicht möglich, solange nicht die MX-Records im DNS den Mailtraffic einer Domain explizit über Spamcop routen würden. Stattdessen stellt Spamcop einfach nur die Information bereit: „Von diesem und jenem Host wird viel Spam versendet“, und diese Information ist zunächst einmal schlicht und einfach wahr – das leugnet ja nicht einmal T-Online. Es ist also mitnichten so (und dieser Eindruck entsteht aus dem Artikel), dass einfach mal irgendso eine Antispamfirma den ausgehenden Mailverkehr von T-Online abklemmen könnte. Das ist immer noch die freie Entscheidung der Betreiber der empfangenden Mailserver, ob sie der Empfehlung von Spamcop folgen wollen oder nicht.

Spezialisierte Betreiber wie Spamcop überwachen das Spamvolumen weltweit und registrieren haargenau wie viele Spam-Nachrichten von einer IP-Adresse kommen.

Das ist blanker Unsinn. Wenn Mailserver A eine Mail an Mailserver B sendet, dann bekommt Spamcop davon exakt überhaupt nichts mit. Faktisch hat Spamcop nur zwei Datenquellen: Einerseits manuelle Beschwerden, bei denen Empfänger unerwünschter Mails jene an Spamcop meldeten, und zweitens Spamfallen, also E-Mail-Adressen, die nie für legitimen Mailverkehr verwendet wurden und somit ausschließlich von Spammern angeschrieben werden, sei es, weil sie jene Adressen schlicht geraten haben, oder weil sie Websites oder Verzeichnisse abgescannt haben, wo jene Mailadressen publiziert wurden. Spamcop hat also eben gerade keine Ahnung, wie viele Spam-Nachrichten von einer IP-Adresse kommen. Es zählt nur Beschwerden. Der Unterschied mag im Detail liegen, aber da der Autor explizit konstatiert, Spamcop würde die Anzahl der Spam-Nachrichten „haargenau registrieren“, ist anzunehmen, dass er schlicht nicht begriffen hat, wie Spamcop funktioniert (und wie nicht).

Doch alle Bemühungen von T-Online, von der Spamcop-Liste gestrichen zu werden, scheiterten zunächst, da der Anbieter auf seine Regeln beharrte: Wer von der Liste gestrichen werden will, muss den Spam-Ausstoss seiner Mailserver auf ein Mindestmaß beschränken.

Abgesehen davon, dass der Autor hoffentlich gemeint hat, dass Mailserver den Spam-Ausstoß auf ein Minimum beschränken sollten (denn was wäre denn bitte ein Mindestmaß für Spam-Ausstoß?!), ist das erstmal durchaus richtig. Die Formulierung aber, dass T-Online sich doch irgendwie „bemüht“ habe, und dass das aber „gescheitert“ sei, legt nahe, dass der Autor offenbar der Meinung ist, Spamcop habe das Scheitern gewissermaßen verschuldet. Aber warum genau hätte Spamcop sich auch anders verhalten sollen? Spamcop veröffentlicht, von wessen Servern viel Spam versendet wird. Von den T-Online-Mailservern wurde viel Spam versendet. Die Information, die Spamcop dann entsprechend führt, ist also völlig richtig, und sie ist auch nicht einfach so zurückzunehmen, nur weil T-Online quengelt. Hinter der Formulierung des Autors steht offenbar die Einschätzung, dass T-Online für das Internet sozusagen „too big to fail“ sei und man hier entsprechend Sonderregeln schaffen müsste, weil … ja, warum eigentlich? Es gibt nämlich eben genau keinen Grund, für T-Online irgendwelche Sonderregeln zu schaffen. Die müssen sich an die Spielregeln halten und Spam so weitgehend wie möglich vermeiden, so wie auch wir, und so wie auch jeder andere Provider.

Als es dann schließlich darum geht, dass T-Online nun auch Spamfilterung für ausgehende Mails durchführt, ergänzt der Autor:

Solche Filter sind noch nicht üblich, werden aber von immer mehr Unternehmen eingesetzt. Das Problem: die Trefferquote mag auf Papier weit über 99 Prozent liegen. Bei Millionen Nachrichten Täglich bleiben aber immer wieder einige hängen. Der elektronische Briefträger ist nicht verlässlich.

Schon wieder dieses Märchen von der unzuverlässigen E-Mail..! Es gibt exakt zwei Varianten: Entweder T-Online akzeptiert eine Mail zum Versand – oder aber eben nicht. Und dann erhält der Absender eine Fehlermeldung. Vielleicht versteht er sie nicht; vielleicht ignoriert er sie; vielleicht zeigt sein Mailclient sie ihm nicht auffällig genug an, aber das ändert nichts daran, dass der „elektronische Briefträger“ sehr wohl verlässlich ist.

Versuche ich nun also, mein gesamtes bisheriges Wissen über E-Mail zu vergessen und völlig unbefleckt diesen Artikel zu lesen, so habe ich heute gelernt: E-Mail ist ein unzuverlässiges Frickelsystem, in dem laufend Mails veschwinden; es gibt eine Firma namens Spamcop, die genau weiß, welche IP wieviele Spammails verschickt (wofür rein logisch zwingende Voraussetzung ist, dass sie offenbar den gesamten E-Mail-Verkehr des Universums analysiert); und wenn diese Firma namens Spamcop das so will, dann kann sie alle Mails, die T-Online verschickt, als Spam deklarieren – oder die Mails auch ganz verbannen; der Autor scheint sich da nicht sicher zu sein. Und außerdem hat T-Online sich doch bemüht (man versuche das doch einmal, wie ein „er hat sich stets bemüht“ in einem Arbeitszeugnis zu verstehen), aber obwohl T-Online doch – da sind wir uns natürlich alle einig – ein hochseriöses Unternehmen ist, hat diese patzige Spamcopfirma einen auf dicke Hose gemacht und war so kleinkariert, auf seinen Regeln zu beharren, statt für den womöglich größten Provider Deutschlands doch mal Fünfe gerade sein zu lassen.

Was dem Artikel letzten Endes völlig abgeht, ist der simple Fakt, dass es längst überfällig war, dass T-Online sich seiner hauseigenen Spamproblematik verstärkt annimmt. Ich bezweifele, dass es so zügig dazu gekommen wäre, hätte dieses Blacklisting durch Spamcop nicht stattgefunden. Und ich zolle T-Online meinen Respekt dafür, dass es sich nicht einfach nach Gutsherrenart einen Teufel drum geschert hat, dass irgendeine Firma ihre Mailserver auf einer Blacklist führt, sondern dies zum Anlass genommen hat, tatsächlich aktiv etwas gegen ihr Spamproblem zu tun. Im Endeffekt ist das Internet also ein kleines bisschen besser geworden. Dafür sollten wir nicht nur T-Online für die längst überfällige Spam-Prophylaxe danken, sondern auch Spamcop, die das forciert haben.

Was bleibt, ist meine Enttäuschung über die entsetzliche Qualität des Artikels. Wenn ich nun schon Artikel zu Themen, bei denen ich mich selbst doch recht gut auszukennen glaube, derart haarsträubend finde: Wie könnte ich dann Artikeln aus Themenbereichen, von denen ich weitaus weniger verstehe, noch das Vertrauen schenken, dass mir jene sachlich, korrekt und ausgewogen erklären, was in der Welt gerade so wichtig ist? An einer eigenständigeren, geschärften Medienkompetenz, die einen dazu ermutigt, auch weiterführende und auch alternative Quellen zu berücksichtigen, führt also wieder einmal kein Weg vorbei.

Ich weiß nicht, seit wievielen Jahren genau es als „bad practice“ gilt, Bounces zu versenden. Bounces gehen nun mal an die Adresse, die als Envelope Sender in der SMTP-Session angegeben wird – und das muss eben durchaus nicht die Adresse desjenigen sein, der die Mail tatsächlich verschickt hat. Insbesondere bei Spam ist das regelmäßig nicht der Fall, was letzten Endes heißt: Mailserver, die Mails nicht direkt in der SMTP-Session ablehnen, sondern jene erst akzeptieren und dann später bouncen, lösen damit als Antwort auf eine Welle von Spam eine Welle von Bounces aus, die dann denjenigen trifft, den der Spammer zufällig als Absender gewählt hat. Ich selbst habe im Lauf der Jahre immer mal wieder erlebt, wie plötzlich innerhalb weniger Stunden zehntausende von Bounces auf meiner Mailadresse eintrafen, die jemand als Absender von Spam verwendet hatte.

Das Ärgerliche dabei ist, dass sich sowas nur schwer filtern lässt, denn die Bounces sind ja so gesehen durchaus „legitime“ im Sinne von „gut gemeinten“ Mails; sie haben keinen strikten Aufbau, und im blödesten Fall zitieren sie auch die Originalmail nicht, so dass der Spamfilter wirklich keine Chance hat, wenn ich ihn nicht darauf trainieren will, allgemein Bounces als Spam anzusehen.

Folgerichtig haben einige RBL-Betreiber damit begonnen, nicht nur Hosts, die Spam versenden, auf ihre Listen zu setzen, sondern auch Hosts, die Bounces versenden. Dazu gehören nicht nur ganz exotische RBLs, sondern auch Größen wie z.B. SpamCop, die durchaus eine gewisse Reputation haben und das Problem in ihrer FAQ gut erläutern.

Mittlerweile sind so ziemlich alle Mailserver auf einem Entwicklungsstand, dass sie Mails, die sie dann ohnehin nicht zustellen, auch gar nicht erst annehmen. Selbst das von uns gerne eingesetzte netqmail, dem gerne – und zu Recht – vorgeworfen wird, „delayed bounces“ zu senden, setzen wir nicht ohne eine Empfängerprüfung ein, in der Regel den validrcptto.cdb-Patch.

Der Einzige, der mir legitimer- und auch erwünschterweise Bounces senden können sollte, dürfte in einer idealen Welt ausschließlich der Mailserver sein, den ich zum Relaying verwendet habe – denn der muss ja nun meine zu verschickenden Mails erstmal annehmen; er ist ja nicht der Empfänger, sondern der Postbote, der dann erstmal schauen muss, wo er eine Mail hintragen muss, und von daher regelmäßig erst später wissen kann, ob ein Empfänger existiert oder nicht.

An wem aber ist diese an sich doch recht positive Entwicklung, Mails, die man nicht haben will, direkt in der SMTP-Session abzulehnen, weitestgehend spurlos vorübergegangen? Am Über-600-Millionen-User-Netzwerk Facebook, deren Macher es als gute Idee ansehen, dass ihre User nun auch per E-Mail mit Nicht-Facebook-Mitgliedern kommunizieren können (und ich als Nicht-Facebook-Mitglied hatte das immer als Feature angesehen, dass das nicht geht – also, als Feature für mich meine ich).

Facebook-User haben offenbar die Möglichkeit, dies als Option ein- oder auszuschalten. Leider dringt das nicht bis zum Facebook-MX durch, der Mails an User, die das gar nicht wollen, problemlos annimmt:

$ dnsmx facebook.com
10 smtpin.mx.facebook.com
$ telnet smtpin.mx.facebook.com 25
Trying 66.220.155.11...
Connected to smtpin.mx.facebook.com.
Escape character is '^]'.
220 smtpin.mx.facebook.com ESMTP
HELO mainz.jonaspasche.com
250 smtpin.mx.facebook.com says HELO to 82.207.131.175:46878
MAIL FROM:<jpasche@jonaspasche.com>
250 MAIL FROM accepted
RCPT TO:<SOME_USER@facebook.com>
250 RCPT TO accepted
DATA
354 continue.  finished with "\r\n.\r\n"
Subject: Test

Test
.
250 OK 82/1F-27359-C29DDED4
QUIT
221 smtpin.mx.facebook.com closing connection
Connection closed by foreign host.

Sekunden später trudelt die Bouncemail ein (hier der Übersicht wegen etwas gekürzt; eigentlich ist es ein multipart/report):

From: Facebook <mailer-daemon@mx.facebook.com>
To: jpasche@jonaspasche.com
Subject: Sorry, your message could not be delivered
Date: Tue, 07 Jun 2011 00:55:25 -0700

This message was created automatically by Facebook.

Based on the email preferences of the person you're trying to email, this message
could not be delivered.

Reporting-MTA: dns; 10.138.205.200
Arrival-Date: Tue, 07 Jun 2011 00:55:22 -0700

Status: 5.1.1
Last-Attempt-Date: Tue, 07 Jun 2011 00:55:55 -0700
Final-Recipient: rfc822; SOME-USER@facebook.com
Action: failed
Diagnostic-Code: smtp; 550 5.1.1 RCP-P2
http://postmaster.facebook.com/response_codes?ip=82.207.131.175#rcp Refused due to
recipient preferences

„Refused due to recipient preferences“ – und das wusste man zum Zeitpunkt des RCPT TO noch nicht? Also bitte, das muss doch im Jahr 2011 besser gehen. Vor allem dann, wenn man Mail für so eine große Userbasis macht.

Wer Zugangsdaten zum Abruf von Mails hat, kann damit üblicherweise auch Mails versenden. Das ist bei uns genauso wie bei praktisch allen anderen Providern auch.

Nun wissen wir natürlich nicht, was für ein Client das ist, der sich da via SMTP AUTH an einem unserer Mailserver anmeldet. In diesem Fall ist es kein Desktop-Mailclient, sondern ein Postfix-Mailserver, den der Kunde lokal bei sich betreibt. Sein Desktop-Mailclient verschickt also Mails über Postfix, und Postfix macht dann SMTP AUTH bei uns. Kein Problem, geht.

Schlecht wird es, wenn es um Spam geht. In diesem Fall ist beim Kunden nämlich offenbar ein User-Passwort geknackt worden und dann fleißig Spam über seinen Postfix-Server geschickt worden – der dies dann wiederum brav via SMTP AUTH über uns weitergeleitet hat. Gut, dass in solchen Fällen dann schnell unser Monitoring anspringt, das in diesem Fall feststellte, dass dieser User ungewöhnlich viele Mails verschickt, die dann als zumindest temporär nicht zustellbar in der Mailqueue verblieben. Minuten später war der betreffende Account zum Relaying gesperrt – ein nettes Feature von vpopmail, weil der Abruf von Mails weiterhin problemlos möglich bleibt, nur eben kein Relaying mehr. Die betreffenden Mails haben wir aus der Mailqueue in die Quarantäne verschoben, damit der reguläre Mailbetrieb erstmal weitergehen konnte.

Wir haben für diesen Fall mittlerweile ein vorgefertigtes Schreiben, das wir mit ein paar Log-Auszügen schmücken und das den Kunden sinngemäß zu folgenden drei Punkten auffordert:

1. Teilen Sie uns mit, was genau die Ursache für den Spamversand war
2. Teilen Sie uns mit, was genau Sie unternommen haben, um vergleichbare Vorfälle in Zukunft zu verhindern
3. Bestätigen Sie uns bitte ausdrücklich, dass Sie ihre lokale Mailqueue geleert haben

Ziel ist, sicherzustellen, dass der Kunde wirklich verstanden hat, was das Problem war. Insbesondere Leute, die sich mit Mailserver-Administration auskennen, werden die Hände über dem Kopf zusammenschlagen, wenn sie wüssten, wie häufig wir auf Frage 2 die Antwort „Ich habe einen Spamfilter auf meinem PC installiert“ lesen müssen, was nun eben gerade überhaupt nichts damit zu tun hat, dass man ein Open-Relay-Problem hat. Es liegt uns zwar allgemein fern, Kunden „erziehen“ zu wollen. In diesem Bereich tun wir es trotzdem – freundlich, hilfreich, aber auch konsequent. Spamming ist ein AGB-Verstoß, egal ob der Kunde Urheber des Spamversands ist (sowas resultiert dann auch gleich in einer fristlosen Kündigung) oder Spam „nur“ durchgeleitet hat, oftmals durch Unwissenheit. In diesem Bereich geben wir dann auch durchaus eine zweite Chance, wenn klar ist, dass der Kunde den Vorfall zum Anlass genommen hat, sein System entsprechend abzusichern.

Ursprünglich enthielt das Schreiben nur die ersten beiden Punkte. Den dritten haben wir ergänzt, nachdem es wiederholt vorkam, dass Kunden zwar tatsächlich das ursprüngliche Problem begriffen und auch nachprüfbar behoben hatte – aber noch ein paar tausend bereits entgegengenommene Mails in seiner Mailqueue hatte, die sein Mailserver nach Wiederfreischaltung dann erst nochmal zu verschicken versucht hat.

Es hat also auch durchaus seinen Grund, dass wir die drei simplen Fragen durchnummerieren. Es scheint wirklich schwierig zu sein: Selbst wenn man eindringlich darauf hinweist, dass gegen die AGB verstoßen wurde; dass man andere User mit Spam belästigt hat (und man selbst will ja auch nicht von Spam belästigt werden) – all diese Formulierungen führen regelmäßig trotzdem nicht dazu, dass sich ein Kunde die Zeit nimmt, unsere wirklich nicht übermäßig lange Mail vollständig zu lesen und zu beantworten. Das Durchnummerieren der Fragen hat schon mal dazu geführt, dass ein etwas größerer Anteil von Kunden darauf kommt, dass wir auf drei Fragen vermutlich auch drei Antworten erwarten, aber für etwa ein Viertel alle derart Angeschriebenen liegt das offenbar immer noch nicht auf der Hand – mit der Folge, dass wir Nachfragen müssen, was für den Kunden, der relaytechnisch nun gerade „auf dem Trockenen“ sitzt, auch nicht wirklich so super ist.

Insbesondere nicht für den Kunden von heute. Es entwickelte sich ein längerer Mailaustausch, den ich in anonymisierter und in Umfang und Formulierungen etwas reduzierter Form gerne wiedergeben möchte – ein kleiner Einblick, womit wir uns auch herumschlagen müssen.

Ich: (sende dem Kunden die Hinweismail in puncto Sperrung)

Kunde: „Ich habe den Account meiner Tochter gelöscht und hoffe, dass die Spammails nicht mehr von meinem Account ausgehen. Bitte um Entsperrung, damit wir wieder am normalen Leben teilnehmen können.“

Ich: „Bestätigen Sie mir doch bitte noch, dass Sie auch die Mailqueue Ihres Mailservers gelöscht haben“ (mit nachvollziehbarer Erklärung, warum wir auf dieser Bestätigung bestehen)

Kunde: „Ich bin bei Ihnen, weil ich keine Zeit habe, mich permanent um mein System zu kümmern. Dass jemand Daten hackt, soll vorkommen. Ich habe den Account gelöscht. Was tot ist, kann keine Daten mehr versenden.“

Ich: (… detaillierte Erläuterung, wieso das Löschen eines Accounts etwas ganz anderes ist als das Löschen der Mailqueue … bildlicher Vergleich, dass wenn man den Typen, der die Briefe in den Briefkasten wirft, vom Briefkasten wegschubst, damit ja immer noch die bereits eingeworfenen Briefe bleiben …) – „Ich bitte daher erneut darum, uns ausdrücklich zu bestätigen, dass Sie die Mailqueue Ihres lokalen Mailservers geleert haben.“

Kunde: „Ich habe alles gelöscht. Ich habe alle Postausgangsordner kontrolliert und dort hängt nichts mehr zum Versenden.“

Ich hatte schon so ein ungutes Gefühl. Wäre es um einen Exchange-Server gegangen, hätte ich ja angenommen, das „Postausgang“ eine krude Übersetzung für „Queue“ wäre, aber bei Postfix … aber ich wollte mal nicht so pingelig sein und habe sicherheitshalber die Verarbeitung der Queue des betreffenden Relayhosts bei uns kurz mal gestoppt und erst dann das Relaying wieder freigeschaltet.

Sekunden später prasselten hunderte von Spammails auf uns ein. Gut, dass ich die Mailqueue vorher gestoppt hatte. Also – Account direkt wieder sperren; die frisch eingelieferten Spammails direkt auch wieder in die Quarantäne verschieben, Verarbeitung wieder starten.

So langsam frage ich mich, ob der Kunde überhaupt weiß, dass er einen Mailserver betreibt – und wenn ja, wie das sein kann, dass er selbst aus der überdeutlichen Formulierung „die Mailqueue Ihres lokalen Postfix-Mailservers“ immer wieder lediglich auf den Postausgangsordner seines MUAs kommt. Ich habe nun erstmal ganz konstruktiv vorgeschlagen, dass er doch einfach unsere Infrastruktur für die Ablage seiner Mailboxen nutzen könnte, was ihn ja nicht mal etwas extra kostet und gerade, wenn er im Grunde sowieso keine Zeit für die Administration hat, vermutlich auch die beste Lösung für ihn wäre, um nicht unbeabsichtigt das restliche Internet mit Spam zu belästigen. Erfahrungsgemäß fühlen sich leider oftmals gerade die Kunden, die schon mehr oder weniger objektiv durch ihr Handeln belegt haben, wie wenig sie sich auskennen, ganz besonders auf den Schlips getreten, statt einfach mal zu sagen: Alles klar, ich habe einen Fehler gemacht; was raten Sie mir? Warten wir mal ab, was da kommt.

Anfang der Woche erhielten wir eine knappe Mail eines Herrn Etzler von WebOptimizer24 (jaja, nofollow gesetzt, keine Sorge), der uns zu unserer vor kurzer Zeit gestarteten Hosting-Plattform Uberspace.de mit einem herzlichen „Respekt!“ bedachte und – vermutlich rhethorisch – fragte, warum er bisher noch nichts von uns gehört habe. In Feierabendlaune nannte ich eine Reihe von Gründen, darunter ein offensichtliches „uns gibt es erst seit Anfang des Jahres“, aber auch ein etwas augenzwinkerndes „Wir lassen die Finger von SEO“. Hätte ich doch nur geahnt, dass Herr Etzler dies offenbar als Aufforderung angesehen hat …

Ganz kurz für diejenigen, die mit dem Begriff „SEO“ nichts anfangen können: Er steht für „Search Engine Optimization“, also kurz gesagt für alle Techniken, die dafür sorgen, in Suchmaschinen weiter oben zu stehen. Suchmaschinen arbeiten schließlich mit komplexen Algorithmen, die versuchen, durch Inhaltsanalyse, vor allem aber auch durch Querverlinkungen herauszufinden, welche Inhalte eine gute Bewertung wert sind und welche nicht. Es liegt nahe, dass einige Unternehmen das sportlich sehen und wahlweise versuchen, diese Algorithmen auszureizen – oder auch auszutricksen. Insofern gibt es fließende Grenzen zwischen, nennen wir es mal, „gutem SEO“ und „bösem SEO„. Einer unserer Kunden, der – durchaus sehr erfolgreich – in diesem Bereich arbeitet, bringt „gutes SEO“ auf den erfrischend einfachen Punkt:

Das beste und meiner Meinung nach einzige SEO ist und bleibt: Schaffe guten Content oder wertige Inhalte, der Rest kommt von alleine.

Bis hierhin habe ich nichts einzuwenden: Wer das Netz mit interessanten Inhalten bereichert, hat es durchaus verdient, höher gerankt zu werden – wobei das eben weniger eine Geheimwissenschaft ist als vielmehr sehr viel Arbeit. Arbeit, die wir jedoch gerne auf uns nehmen.

Überrascht war ich nun, als ich zufällig auf ein Review über Uberspace.de bei Qype stieß, das ich leider nicht mehr verlinken kann, weil es nach dieser ganzen Aktion gelöscht worden ist – aber einen Screenshot habe ich noch rechtzeitig angefertigt. Ein Qype-User mit dem wohlklingend-generischen Namen „giuliaalpha“ lobte Uberspace.de in den Himmel und beschrieb unter anderem:

In meinem Fall ist es so, dass drei sog. Langzeitarbeitslose aus unserem Unterstützungsverein eine Geschäftsidee für das Internet hatten. Zu scheitern drohte die wirklich gute Idee an den Kosten für das Webhosting und die Programmierung der Webseite.
Dank uberspace konnte das Projekt trotz der sehr bescheidenen finanziellen Mittel online gehen. Inzwischen werden schon gute Umsätze erzielt und – so funktioniert das Konzept – jeden Monat natürlich mehr als der Mindest-Euro überwiesen.

Man könnte meinen, das wäre aus unserer Konzeption abgeschrieben, so perfekt passt es zu unserem „Zahl, soviel du für angemessen hältst“-Konzept. Der Haken ist: Uberspace.de ist erst ab dem 01.04.2011 kostenpflichtig – zum Zeitpunkt dieses Blogposts wäre das … morgen. Es ist also völliger Blödsinn, wenn „giuliaalpha“ schreibt, es würde „jeden Monat natürlich mehr als der Mindest-Euro überwiesen“ – und auch sonst enthielt das Review noch einige andere Merkwürdigkeiten. Wer sich für die Details interessiert, kann das komplette Review wie gesagt im Screenshot noch einsehen.

Und noch etwas ist in dem Review interessant:

Die Webseite wurde Pro Bono von Herrn Etzler von der Firma WebOptimizer24.de in München erstellt. Bitte sehen Sie sich auch meine Bewertung dafür an.

Ach. Jener Herr Etzler, der dem Arbeitslosenprojekt in seiner Herzensgüte die Website kostenlos erstellt? Dem Projekt, das angeblich schon seit Monaten bei Uberspace.de läuft, während Herr Etzler erst vor wenigen Tagen von Uberspace.de erfahren hat? Sorry, aber wer hier an einen Zufall glaubt, der glaubt vermutlich auch noch an den Weihnachtsmann. Vor allem, weil „giuliaalpha“ ein brandneuer Account ist, ohne öffentliches Profil, der genau zwei Reviews verfasst hat: Eins über uns, und eins über WebOptimizer24. D’Oh.

Wie man im Screenshot ebenfalls gut sehen kann, haben wir eine öffentliche Replik dazu geschrieben, mit dem Tenor: „Wir freuen uns natürlich über positive Reviews, aber echt sollten sie bitte schon sein – und dieses hier ist es eben nicht. Probiert uns doch bitte selbst aus und bildet euch ein eigenes Urteil.“ Wir haben uns vorher mit einigen Usern und auch im Team beraten und hielten das für die bessere Reaktion, als bei Qype dafür zu sorgen, das Fake-Review einfach verschwinden zu lassen.

Man möchte einwenden, dass es uns doch egal sein könnte, beziehungsweise dass wir uns doch einfach freuen könnten, wenn uns jemand mit einem positiven Review bedenkt – Stichwort „Weiß doch keiner, dass das nicht echt ist“. Stimmt aber nicht. Wir wissen es. Wir arbeiten hart dafür, uns echte Reputation zu verdienen: Wer für schnellen Support gelobt werden will, muss eben erstmal schnellen Support leisten; wer für seine saubere Serverkonfiguration Lob ernten will, muss eben seine Server sauber konfigurieren. Wir bezahlen niemanden für positive Äußerungen über Uberspace.de – und in diesem Punkt sind wir pingelig: Wenn Dritte falsch-positive Reviews über uns verfassen, wirft das ein schlechtes Licht auf uns, weil es den Eindruck erweckt (oder zumindest erwecken könnte), dass wir uns unsere Reputation nicht zu verdienen, sondern zu erkaufen versuchen. Davon distanzieren wir uns klar.

Nun, wenig überraschend war unsere öffentliche Replik kurz darauf verschwunden. Dafür erhielt ich von „giuliaalpha“ eine Direktnachricht via Qype, die ich nun eben leider nicht zitieren kann, ohne dabei die Vertraulichkeit zu brechen. Insofern müssen wir darauf vertrauen, dass uns der folgende Teil schlicht geglaubt wird – keine Sorge, es kommt gleich noch ein unterhaltsames Ende, das hier bei einer Einschätzung helfen könnte.

Natürlich war das alles ein großes Missverständnis, das „Giulia“ außerordentlich bedauert. Sie hat meine öffentliche Richtigstellung auch gleich zum Anlass genommen, ihr Review durch eine entsprechende Ergänzung zu korrigieren, von der ich ebenfalls einen Screenshot angefertigt habe, da die Korrektur zusammen mit dem Review mittlerweile natürlich auch gelöscht wurde. Um mal den relevanten Teil direkt zu zitieren:

Das Lob, das ich hier für uberspace.de ausgesprochen habe, hat den Praxistest noch nicht bestanden. Ich habe die Infos über diesen Webhoster per Mail erhalten, damit wir in ZUKUNFT diesen Anbieter nutzen bzw, unseren Mitgliedern empfehlen können. […] Richtig ist, dass die o.g. Projekte bei einem anderen Webhoster untergebracht wurden zu speziell ausgehandelten Sonderkonditionen […]“

Aha. Soso. Naja, klar: Einen Anbieter, mit dem man Sonderkonditionen aushandelt, und einen Anbieter, der bisher noch überhaupt gar kein Geld genommen hat – da kann man schon mal was verwechseln. Vor allem, wenn man so detailliert unser Konzept des frei wählbaren Preises in seiner praktischen Anwendung dokumentiert, während man tatsächlich überhaupt nicht bei uns hostet.

Der eigentliche Klopper kam dann aber in der Mail, und es erscheint mir ausnahmsweise angemessen, für einen einzigen Satz meine ansonsten eiserne Regel zu brechen, nicht ungefragt aus an mich persönlichen gerichteten Mails zu zitieren. Aber bitte, Giulia, verklag mich doch:

Und noch ein Mißverständnis muss ich ausräumen: Unser Projekt für Menschen, die es wirklich nicht einfach haben, hat gar keinen Webauftritt.

Do legst di nieder..! Es ist also nicht nur das Review zu Uberspace.de frei erfunden; auch die Korrektur von wegen „in Wirklichkeit hosten wir bei einem anderen Anbieter“ hat’s nicht so mit der Wahrheit. Und weil’s so schön ist, ist damit auch gleich die Information, dass WebOptimizer24 generös die Website des Arbeitslosenprojekts kostenlos gestaltet hat, mit weggewischt. Das hat sie natürlich nicht öffentlich geschrieben.

Entsprechend deutliche Worte habe ich in meiner Antwortmail an Giulia gefunden:

Das ist doch nicht dein Ernst, dass das ein „Missverständnis“ war. Zwischen „Unser Projekt hat gar keinen Webauftritt“ und „Das Projekt konnte bei Uberspace.de online gehen und der Telefonsupport war super und wir bezahlen jeden Monat Geld“ liegt kein „Missverständnis“, sondern das eine macht das andere zu einer fetten Lüge.

Zugegeben: Nicht sehr freundlich, aber Hand aufs Herz: Auf den Punkt. Ist doch wahr. Und weil es mir stinkt, wenn Leute glauben, mich für dumm verkaufen zu können, ergänzte ich noch kühl:

Wenn du nicht an deinen öffentlichen Äußerungen gemessen werden willst, äußere dich nicht öffentlich.

Besondere Aggressionen rief bei mir hervor, dass „Giulia“ sich darüber beklagte, ich hätte mit meiner öffentlichen Replik WebOptimizer24 in ein schlechtes Licht gerückt (Ach!), und das, obwohl die doch wirklich nichts für ihren Fehler könnten. Um hier nochmal aus ihrer eigenen (öffentlichen) Korrektur zu zitieren:

Für diesen Irrtum kann ich mich nur entschuldigen. Ich bin halt keine Internet-Fachfrau und habe mich wohl in den Begriffen Webspace, uberspace, Webhoster und Webprovider verheddert. Hinzu kam die Begeisterung, dass Unternehmen tatkräftig Langzeitarbeitlose unterstützen und aus dem Hartz IV Kreislauf heraushelfen.

Herrje, gleich muss ich weinen. Vor Begeistung Begriffe verwechselt. Klar, „Webspace, uberspace, Webhoster und Webprovider“, bei sovielen AdWords kann man schon mal den Überblick verlieren. Und was mich besonders aufregt: Dieser ständige Hinweis auf das ach so tolle Projekt. Völlig unbenommen, ob dieses Projekt für Langzeitarbeitslose nun existiert (wünschenswert wär’s ja) oder nur kreativ von einem SEO-Spammer, der gerne die Tränendrüse bedient, aus den Fingern gesaugt wurde: Selbst noch soviel Engagement „für die gute Sache“ rechtfertigt keine öffentliche Lüge, schon gar nicht, wenn diese völlig unnötig ist.

Inzwischen klingelte mein Telefon – Qype meldete sich. Das ist erstmal ein ganz normaler Vorgang: Da ich mich gestern zwecks „offizieller“ Reaktion zu dem Review als „Das ist mein Geschäft“-User bei Qype angemeldet habe, erfolgt kurz darauf eine telefonische Verifikation. Ist ja auch gut so.

Der Qype-Mitarbeiter am anderen Ende der Leitung war ausgesprochen launig drauf. Er hatte erfreulicherweise das Review sowie meine Replik bereits gelesen und äußerte sich regelrecht amüsiert zu dem Vorgang – und fand, ich habe mit der offenen Reaktion auch die beste Möglichkeit einer Replik gewählt. Gerade für ein Unternehmen wie Qype, das ja auch schnell ein Glaubwürdigkeitsproblem bekommt, wenn sich dort SEO-Spammer-Kommentare zwischen die echten Reviews mogeln, ist es ja in besonderer Weise wichtig, das eigene System sauberzuhalten. Gut, er war zugegebenermaßen nicht ganz glücklich darüber, dass ich in meiner Replik zufällig mitlesende Ubernauten gebeten habe, wenn dann doch bitte in ihren eigenen Blogs über Uberspace.de zu berichten und dann auch öffentlich mit dem eigenen Namen dafür einzustehen. Aber konnte nicht verhehlen, dass er auch ein gewisses Verständnis für meine Äußerung hatte, gerade angesichts des Vorfalls.

Nun ist das Review also plötzlich wieder weg. Ich weiß nicht, ob Qype es entfernt hat, was auch durchaus nachvollziehbar wäre; nicht nur, weil es einerseits nachweislich erfunden war, sondern auch, weil es andererseits nach der „Korrektur“ nun auch wirklich keine Silbe mehr mit Uberspace.de zu tun hatte. Aber ich tippe darauf, dass „Giulia“ es selbst gelöscht hat. Es kam nämlich noch eine Antwortmail von ihr. Und weil ich mit sowas gerechnet habe, ließ ich meine Nachricht an sie mit den Worten enden:

Ich weise sicherheitshalber darauf hin, dass ich mir vorbehalte, Auszüge aus weiteren Antworten von dir, die du an mich direkt sendest, ebenfalls öffentlich zu machen. Wenn du damit nicht einverstanden bist, sende mir bitte keine weiteren Nachrichten.

Insofern kann ich jetzt nur kalt lächelnd mit einem „she deserved it“ schließen und wünsche viel Vernügen:

Werter Jonas,

schade, dass Ihr Projekt wohl noch sehr im Anfangsstadium ist, denn Sie haben offensichtlich zu viel Zeit, viel zu viel Zeit. Jede Zeile einer Mail bzw. Posting akribisch zu analysieren, zeugt entweder von extremer Langeweile oder schlimmeren Eigenschaften

Wenn ich mir Ihre Kommenatre ansehe, haben Sie entweder meine Zeilen nicht richtig gelesen, nicht richtig erfasst oder haben andere Absichten. Ich tippe auf letzteres.

Die Frage ist auch, ob Sie tatsächlich zu überspace gehören, denn Ihr Profilbild ist ja nichts weiter als ein pixeliges Irgendwas-Firmenlogo und sicher keine Originaldatei. Das könnte natürlich auch das Werk eines unterbeschäftigten Mitbewerbers sein. Ich kann mir nicht vorstellen, dass ein Unternehmer sein eigenes Firmenlogo so verunstaltet.

Wie dem auch sei: Nachdem Sie mich als Lügnerin bezeichnen, ich meine Zeit lieber besser nutze, als für Ihre kindlichen Clownerien und auch keine Brieffreundschaft suche, ist dieser Zeilenwechsel von meiner Seite aus beendet.

Aufrichtig gute Besserung wünscht
Giulia

Der geneigte Leser möge sich nun sein Urteil selbst bilden.

Wer übrigens noch ein bisschen über WebOptimizer24 erfahren möchte, der kann sich ja diesen launigen Beitrag im Blog von seo-united.de (ja, auch hier nofollow, klar) zu Gemüte führen: H. E. ist neuer SEO Weltmeister! – aber bitte nicht den Kommentar Nr. 3 überlesen, auch wenn man es sonst in puncto Blog-Kommentaren vielleicht eher wie Stephen Fry hält. Es lohnt.

Für viele Unternehmen ist der Handel mit den Adressen der Kunden schon lange ein florierendes Geschäft, und genauso lange ärgere ich mich auch schon darüber (was auch der Grund dafür ist, dass Adresshandel mit unseren eigenen Kundendaten nicht in Frage kommt).

In den positiven Fällen wird man im Verlauf einer Bestellung ausdrücklich gefragt, ob man damit einverstanden ist, dass die Daten auch an andere Unternehmen weitergegeben werden. Das ist ohne Frage die kundenfreundlichste Variante, insbesondere, wenn es hierbei um eine Checkbox geht, die nicht automatisch vorausgewählt wird.

Was aber ist, wenn das nicht der Fall war? Diese Frage stellte ich mir, nachdem ich letzte Woche überraschend einen anderthalb Zentimeter dicken Katalog von Printus ins Haus flatterte (sofern man bei diesem Umfang noch von „flattern“ sprechen kann), einen Tag darauf noch einer vom gleichen Kaliber von Büro Plus, und noch einige Tage später ein weiterer Wälzer von Office Discount. Insgesamt also rund 5 Zentimeter, die jetzt meinen Altpapiercontainer freuen. Auffällig ist, dass alle drei Kataloge praktisch die gleiche Dicke haben und auch eine vergleichbare Aufmachung. Auch ist das Anschriftenfeld jeweils in identischem Aufbau und identischer Qualität bedruckt; nur die ID-Nummern, die offensichtlich meinen Datensatz identifizieren, unterscheiden sich. Was wiederum identisch ist, ist die dreistellige Nummer in der rechten unteren Ecke, die, wie ich nun weiß, die Datenquelle angibt – in meinem Fall die Firma Tintenfux, bei der ich kürzlich Toner bestellt habe.

Ich muss Printus und Office Discount zugute halten, dass beide Unternehmen auf meine Anfrage nach der Herkunft meiner Daten zügig und vollumfänglich geantwortet haben. Der anfängliche Eindruck, dass die Unternehmen doch irgendwie zusammengehören müssen, bestätigte sich zumindest für diese beiden (Büro Plus hat bisher nicht geantwortet): Die Antwortschreiben beider Unternehmen, die mich darum bitten, noch die dreistellige Nummer aus dem Adressfeld mitzuteilen, sind bis aufs Wort identisch.

Spannend hierbei finde ich, wenn Unternehmen HTML-Mails erstellen und dabei ein wenig stümperhaft arbeiten. Ein im Text eingefügtes „www.office-discount.de“ wird nämlich offensichtlich automatisch zu einem Link – nur dass ein Link, dem die Protokollangabe http:// fehlt, nicht etwa den Host dieses Namens aufruft, sondern eine Datei dieses Namens, relativ zum aktuellen Verzeichnis. Und weil das Mailprogramm „schlau“ ist und weiß, dass beim Versand einer Mail das relative Verzeichnis unter die Räder käme … notiert es das mit im Link, der somit lautet:

file:///\\schmid.local\VOL1\daten\pr\ks\ZAB\Datenschutzformulierungen\www.office-discount.de

Und bei Printus ist es natürlich genauso falsch, und – Überraschung – bis ins vierte Unterverzeichnis völlig identisch:

file:///\\schmid.local\VOL1\daten\pr\ks\KrampfeS\www.printus.de

Etwas Recherche später ist auch klar: Printus, Office Discount und Büro Plus haben auch jeweils die selben Geschäftsführer, und auf Nachfrage bestätigte mir auch Office Discount, dass auch Tintenfux selbst zur Unternehmensgruppe gehört:

Ihre Anschrift haben wir von der Firma tintenfux erhalten. Die Firmen büroplus, Hamburg; office discount, Neufahrn; Printus, Offenburg und tintenfux, Offenburg gehören zu einer Unternehmensgruppe, sind jedoch rechtlich selbständige Unternehmen. Wir gingen davon aus, dass die Angebotspalette auch aus den Katalogen für Sie von Interesse sein könnte.

Sonderlich weit ist meine Adresse also nicht gereist.

Die Frage, die sich mir nun stellte, war: Dürfen die meine Daten weitergeben? Denn wie Office Discount selbst schreibt: Auch wenn alle Unternehmen die gleichen Geschäftsführer haben, so sind es ja dennoch unterschiedliche juristische Personen, deren Datenaustausch den Vorgaben des Bundesdatenschutzgesetzes genügen muss.

Wie so oft poltern in Foren genervte Werbeempfänger und kloppen sich mit Hobby-Anwälten, wobei sich das Niveau der Diskussion oft auf „Ich glaube“ und „Es gab da mal ein Urteil“ und „Mein Bekannter hat gesagt“ reduziert und das, was dann wirklich Klarheit bringen könnte, außen vor bleibt: Nämlich die Quelle. Deshalb bringe ich die jetzt. Erstmal den rohen Gesetzestext, § 28 Abs. 3a BDSG:

(3a) Wird die Einwilligung nach § 4a Absatz 1 Satz 3 in anderer Form als der Schriftform erteilt, hat die verantwortliche Stelle dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie in drucktechnisch deutlicher Gestaltung besonders hervorzuheben.

(Was nun folgt, ist keine Rechtsberatung. Dazu wäre ich als Nicht-Jurist auch nicht befugt. Es ist vielmehr eine Auseinandersetzung mit einem Gesetzestext auf Basis gesunden Menschenverstands, nicht auf Basis juristischer Qualifikation.)

Zunächst einmal für mich ein wenig überraschend: Es ist durchaus legitim für ein Unternehmen, die Einwilligung in die Weitergabe von Adressen nicht explizit einholen zu müssen. Es scheint vielmehr ausreichend, in seinen Vertragsbedingungen zu vermerken, dass der Kunde mit Auftragserteilung auch in eine Adressweitergabe zu Werbezwecken einwilligt – zumindest sofern die Schriftform zum Einsatz kommt.

Etwas fraglich erschien mir die Definition der Schriftform: Sind AGB, die auf der Rückseite eines Papierformulars aufgedruckt sind, anders zu behandeln, als AGB, die sich – oft nur sehr versteckt – auf einer Website finden? Nun, offensichtlich ist das tatsächlich so. Der Gesetzestext unterscheidet hier nun mal ausdrücklich zwischen der Schriftform (für die die Vorgabe, die Einwilligung in eine Datenweitergabe deutlich hervorzuheben, wohl unzweifelhaft ist) und „anderen Formen“, wobei bei jenen anderen Formen die elektronische noch eine Sonderstellung einnimmt. Die Pflicht zur „schriftlichen Bestätigung des Inhalts der Einwilligung“ dürfte daher nach meinem Verständnis beispielsweise bei einer telefonischen Einwilligung zum Tragen kommen, wo es auch durchaus Sinn ergibt, weil eine telefonische Einwilligung anders kaum nachgewiesen werden könnte.

Die Anforderungen an eine elektronische Einwilligung sind dann aber dementsprechend erstaunlich gering: Sie muss protokolliert werden (kein Problem – ohne AGB-Bestätigung würde ja sowieso die ganze Bestellung nicht ausgeführt), der Inhalt muss abrufbar sein (kein Problem – AGB steht im Web), und der Einwilligung muss widersprochen werden können (kein Problem – einfach noch ein Feld in der Datenbank). Über eine gesonderte Hervorhebung ist hier nichts zu lesen.

Damit wird in dieser Frage aus meiner Sicht schwammiges Terrain betreten. Denn ich habe ja nun gerade keine Einwilligung in der Form „[X] Meine Daten dürfen weitergegeben“ erteilt, sondern lediglich „[X] Ich akzeptiere die AGB“ angeklickt. Für die Schriftform sieht der Gesetzestext einen ausdrücklichen Passus für den Fall vor, dass die Einwilligung nicht ausdrücklich im Bestellformular steht, sondern in den AGB „versteckt“ wird. Aus welchem Grund sollte das gleiche Prinzip bei AGB auf einer Website nicht gelten?

An diesem Punkt wird wohl nur ein Rechtsanwalt verbindlichere Informationen zur Auskunft geben können, wobei sich selbst juristisch ausgebildete Personen in meinem Bekanntenkreis in der Beurteilung nicht sicher sind. Es läge also durchaus im Bereich des Möglichen, dass der von mir durchgeführte Vorgang schon überhaupt nicht als eine Einwilligung im Sinne des Gesetzes betrachtet werden kann, denn die Einwilligung wurde mir ja sozusagen „untergeschoben“. In ähnlich gelagerten Fällen wie beispielsweise der Zusendung eines Newsletters wurde inzwischen oft genug geurteilt, dass die Einwilligung dazu eben gerade nicht in AGB untergebracht werden darf, sondern explizit angefragt werden muss, z.B. mit einer Checkbox – und diese Checkbox darf auch nicht automatisch vorausgewählt sein.

Wenn doch schon für die Zusendung eines eigenen Newsletters nach einer Bestellung recht hohe Hürden aufgestellt werden, so würde mich doch sehr wundern, wenn eine Weitergabe von Daten an andere viel geringere Hürden besitzt; handelt es sich hierbei doch um einen weitaus schwerwiegenderen Eingriff in meine Datenhoheit.

So oder so muss ich zumindest bei den Vorgaben zur Schriftform immer ein wenig schmunzeln: Offensichtlich geht der Gesetzgeber ganz pragmatisch davon aus, dass die meisten Leute die AGB ohnehin maximal kurz überfliegen. Andernfalls wäre mir nicht erklärbar, wieso einzelne Passagen von Gesetz wegen besonders hervorgehoben werden müssen.

Festzuhalten bleibt aber: Kundenfreundlich ist eine untergeschobene Einwilligung zur Weitergabe der Adressen in keinem Fall. Insofern habe ich wenig Verständnis dafür, wenn Tintenfux nun „bedauert“, dass ihr Vorgehen bei mir zu „Verärgerung“ geführt hat. Dass Kunden es typischerweise nicht wünschen, dass ihre Daten zum Zweck der Werbung weitergegeben werden, ist ja nun kein Geheimnis. Wäre Tintenfux und mit ihm die ganze Printus-Gruppe wirklich daran interessiert, Kunden nicht zu verärgern, müssten sie eben vielleicht einfach mal Zufriedenheit über Profit stellen.

Da passt ja nun mal überhaupt keine Summe zur anderen:

Jegliche Links in der – selbstverständlich frei erfundenen – Bestellbestätigung verweisen dann auf einen der bekannten Online-Pillenverkäufer.

Interessant: Die Bestellbestätigung ahmt das Original von Amazon wirklich bis ins Detail nach – selbst die zusätzlichen X-AMAZON-Header finden sich auch hier. Die Bilder in der HTML-Mail sind im Übrigen nicht eingebettet, sondern würden (sofern man sowas zulässt) vom Amazon.com-Server nachgeladen. Damit haben die Spammer zumindest eins geschafft: Sie haben sich durch mein DSPAM gekämpft, das ansonsten mit einer Treffergenauigkeit von derzeit 99,84% für meinen Mailaccount aufwarten kann. Dafür gebührt den Spammern dann schon ein wenig Respekt, trotz Rechenschwäche. ;-)

Double-Opt-In ist der Fachbegriff für eine Methode, mit der eine Bestellung eines e-Mail-Newsletters oder auch einer Ware/Dienstleistung über das Internet juristisch möglichst wasserdicht vonstatten gehen soll.

Ziel dieses Verfahrens ist es, sicherzustellen, dass nicht irgendeine x-beliebige Person unter fremdem Namen für eine fremde Person im Internet etwas bestellen kann, sei es aus Jux, oder um die fremde Person bewusst zu schädigen.

[…]
In der Regel ist denn auch ein seriöser Dienstleister neben anderen Merkmalen wie schlüssigem Impressum, gutem Leumund in Suchmaschinen u.a. an der Durchführung dieses Double-Opt-In-Verfahrens zu erkennen.

Dagegen berufen sich unseriöse Versender von Newslettern („Spammer“) häufig auf das einfache Opt-In-Verfahren. Sie behaupten schlichtweg, der Spamempfänger habe sich per Opt-In bei dem Newsletter angemeldet, […]

(Quelle)

Seit Monaten erhalte ich den MySpace-Newsletter an root@extraserver.net. Die Domain gehört zu den von mir betreuten. Wie man sich anhand des Teils vor dem @ vermutlich denken kann, handelt es sich hierbei um eine Systemadresse, an die eigentlich nur Cronjobs „schreiben“. Wenn ich also eins mit Sicherheit ausschließen kann, dann, dass ich unter dieser Adresse einen Newsletter abonniert habe. Schon gar nicht den von MySpace. MySpace interessiert mich nämlich nicht die Bohne.

Die Newsletter enthalten einen Abmeldelink. Der ist lang und kryptisch. Rufe ich ihn aber auf, bekomme ich sofort einen Redirect auf die Startseite – und den Newsletter weiterhin. Fan-tas-tisch.

Also denk ich mir, „schreibste denen mal ne Mail“. Ich gehe auf myspace.com. Erstmal muss ich ganz nach unten scrollen, zu „Über MySpace (Impressum)“, denn etwas, was irgendwie nach „Kontakt“ klänge, findet sich nicht. Im Impressum finde ich keine E-Mail-Adresse. Stattdessen einen „Kontakt & Kundendienst: Bitte hier klicken“-Link. Ich lande auf der Seite „Häufig gestellte Fragen / FAQ“. Ja Himmel, diese Seite war in der Fußzeile neben dem Impressum verlinkt. Hätte ich hierhergewollt, hätte ich das schon angeklickt. Aber schön. In einer Seitenleiste, unter „Nützliche Links“ finde ich in kleiner Schrift den Punkt „Wende dich an MySpace“. Gut, endlich. Ich komme auf die Seite „Kontaktanfrage“ und muss ein Thema wählen. Das Thema „Andere“ ist das einzige, was passt. Die überraschende Auswahl der Unterthemen: „Problem wird nicht aufgeführt“ – und „Ist MySpace kostenlos?“. Nun denn, mein Problem wird nicht aufgeführt. Senden. Kann ich jetzt meine Nachricht senden? Oha, noch nicht: MySpace stellt anhand meiner griffigen Themenauswahl zunächst fest: „Die folgenden häufigen Fragen sind für deine Frage möglicherweise relevant“. Nein, sind Sie nicht! Ich muss noch den Button „Nein, E-Mail an Kundenservice senden“ anklicken. Dann, dann endlich bin ich auf einem Eingabeformular. Es ist betitelt mit „Du schickst eine E-Mail an den Kundenservice, nicht an Tom“. Rechts daneben ein Bild von Tom. In einem roten Kreis, durchgestrichen. Untertitel: „Diese Nachricht geht nicht an Tom“. Ich habe keine Ahnung, wer Tom ist. Ich kenne keinen Tom. Aber langsam glaube ich, MySpace hält seine User für beschränkt. Und noch viel wichtiger: MySpace will auf keinen Fall mit irgendjemandem kommunizieren. Flugs noch einmal nachgezählt: Fünf Klicks war das Kontaktformular letztlich entfernt. Doch damit fing das Grauen erst an. Wie’s weitergeht, seht ihr gleich, nach der nächsten Maus.

Ein Kontaktformular ist keine „Adresse der elektronischen Post“ – Allein das Bereitstellen eines Kontaktformulars im Impressum einer Internetseite genügt den Anforderungen von § 5 Abs. 1 Nr. 2 TMG nicht.

(Quelle, Leitsatz der Redaktion zu: LG Essen, Urteil v. 19.09.2007, Az. 44 O 79/07)

Wie’s mit dem eigentlichen Grauen dann weiterging, wollte ich erzählen. Ich schreibe also munter an MySpace, ganz freundlich, dass ich mich nicht daran erinnern kann, diesen Newsletter bestellt zu haben, und dass ich gerne den Opt-In-Nachweis für die Zusendung des Newsletters an diese Adresse sehen möchte.

MySpace kontert:

Falls du das Problem hast, dass jemand deine E-Mail-Adresse für ein Betrügerprofil verwendet, können wir dir zur Hilfe kommen. […] Du mußt uns dann nur schreiben, dass wir für dich das Betrügerprofil bitte löschen sollen. Bitte schicke uns dabei gleichzeitig die URL oder die Freunde-ID des Betrügerprofils (damit meinen wir den Namen bzw. den Nummernstrang am Ende der http:// Adresse im Webbrowser, wenn du das Profil besuchst, z.B. http://profile.myspace.com/…viewprofile&friendid=0000000 oder http://MySpace.com/MySpaceURL).

Äh, bitte was? Was weiß denn ich, wie die MySpace-URL oder die friendid von dem Spaßvogel heißt, der eine von mir betriebene E-Mail-Adresse in seinem Profil eingegeben hat? Und vor allem: MySpace wird doch wohl bitteschön bei der Registrierung eine Mail an jene Adresse senden, damit jene validiert werden kann – was ist denn da schiefgegangen, dass auch ohne diese Validierung einfach mal ein Newsletter verschickt wird? Nebenbei wurmt mich, dass MySpace mich einfach so duzt. Das mag ja unter den MySpace-Freunden so üblich sein. Ich bin aber keiner von denen. Aber ich will mal nicht so sein, auch wenn ich eisern beim „Sie“ bleibe. MySpace bleibt eisern beim „du“. Ist wohl Corporate Identity.

Ich schreibe MySpace, dass ich keine Ahnung habe, was für ein Profil das sein soll, und erinnere daran, dass mir gegenüber noch ein Opt-In-Nachweis zu erbringen sei. Diesmal setze ich noch eine Frist dazu. Macht sich immer gut.

Die Antwort verblüfft:

das fragliche Profil/ die Gruppe/ der fragliche Inhalt wird in Kürze gelöscht oder wurde bereits gelöscht. Damit sollte außerdem behoben sein, dass du keine weitere Newsletter erhältst. Wir bitten jedoch in diesem Zusammenhang um etwas Geduld. Auch wenn sich das Profil im Löschungsprozess befindet ist es möglich, dass deine Email Adresse noch auf der Verteilerliste steht. Spätenstens nach dem übernächsten Zyklus sollte dies behoben sein. Solltest du danach noch Newsletters erhalten, dann wende dich bitte erneut an uns.

Äh, ja, und wo genau war jetzt der Opt-In-Nachweis? Und wieso wird die E-Mail-Adresse nicht einfach aus dem Verteiler entfernt, sondern das Profil (das mir schnuppe ist – ist ja nicht meins) in einen „Löschungsprozess“ versetzt, von dem ich noch den „übernächsten Zyklus“ abwarten muss? Was ist überhaupt ein Zyklus? Ein Tag? Eine Woche? Ein Monat?

Ich verwende MySpace gegenüber nun partiell Großbuchstaben und fordere sie ein drittes Mal dazu auf, MIR DEN OPT-IN FÜR DIE ZUSTELLUNG IHRES NEWSLETTERS AN DIESE ADRESSE NACHZUWEISEN.

Doch MySpace ist eine offensichtlich gut geölte Ignoranzmaschine. Prompt folgt:

Wenn du kein Konto mehr bei uns hast dann werden wir daran arbeiten deine Email-Adresse aus dem System zu löschen. Solltest du danach wider Erwarten dennoch Nachrichten und Newsletter von uns erhalten, informiere uns bitte umgehend.

Wenn dein Problem dadurch nicht vollständig gelöst wird, dann klicke auf „Antworten“ und gib uns zusätzliche Informationen, die in deinen Augen relevant sind.

Heute nachmittag schrieb ich noch, dass ich nach meiner bisher einzigen Klage – trotz Erfolges – nicht wirklich Gefallen daran gefunden hätte, andere zu verklagen. In mir steigt ein starkes Wutgefühl auf und ich frage mich, ob ich nicht vielleicht doch Gefallen daran finden könnte. Himmel nochmal! OPT-IN! NACHWEIS! JETZT! Das kann doch wohl für eins der größten sozialen Netzwerke weltweit nicht so ein Problem sein! Ich schreibe erneut. In Großbuchstaben. Zwischen gestrichelten Linien. Dass ich endlich den Opt-In-Nachweis sehen will. Und dass ich ja eine Frist gesetzt hatte. Und dass die noch gilt.

MySpace, eisern.

die E-Mail Adresse root@extraserver.net wurde bereits aus dem Verteiler genommen. Bekommst du weiterhin noch den Newsletter?

Mich durchzuckt die Erinnerung an eine Szene aus „Die Nanny“: Mr. Sheffield ist nach einem von Miss Fines sprudelnden Wortwasserfällen in zu hoher Tonlage bemerkenswert still. Seine nächsten Worte sind: „Ich glaube, ich hatte gerade einen Hirnschlag.“

Ich antworte wahrheitsgemäß, dass ich bisher keinen weiteren bekommen habe, aber ja auch gar nicht weiß, wie oft er verschickt wird. Und ob meine Adresse schon gelöscht wurde. Oder noch im Löschungsprozess hängt. Und wieviele Zyklen jener noch vor sich hat. Und ich erinnere an die Frist. Opt-In-Nachweis, wissenschon.

MySpace sieht die Ursache für den ganzen Aufriss nicht etwa darin, dass man nicht dazu in der Lage ist, mir meinen Opt-In nachzuweisen, sondern schiebt es auf den User. Kein Wort davon, dass es für die gesamte seriöse Werbe- und Newsletterbranche schon seit Jahren völlig selbstverständlich ist, das Einverständnis für den Erhalt eines Newsletter zu -p-r-ü-f-e-n-, bevor man den Newsletter tatsächlich versendet. Aber es liegt natürlich auf der Hand: MySpace ist hier das Opfer. Das Opfer eines betrügerischen Jungen, der so gemein war, meine E-Mail-Adresse in seinem Profil einzutragen:

mit der Erstellung eines MySpace Profiles, erfolgt automatisch die Zusendung der Newsletters und der Benachrichtigungen an die im Profil angegebenen Email Adresse. Nach der Erstellung des Profiles hat der User die Möglichkeit, diese Optionen abzustellen.
Der User, der deine Email Adresse für sein Profil verwendet hat, hat diese Optionen nicht abgestellt, daher hast du die Newsletter erhalten, was nun nicht mehr sein sollte, weil das Profil bereits gelöscht wurde.
Leider ist es uns nicht möglich die persönlichen Daten unserer Benutzer ohne ordnungsmäßigen, rechtsgültigen Antrag herauszugeben.

MySpace schließt mit einem überraschenden Hinweis:

Bitte stelle eine Anklage oder leite rechtliche Schritte bei der deutschen Polizei ein und die soll sich dann mit uns in Verbindung setzen.

What the f..? Ich will doch gar nicht wissen, wer da was für ein Profil eingerichtet hat! Ich will wissen, wie MySpace dazu kommt, mir einen Newsletter zu senden und mir dann mein Einverständnis nicht nachzuweisen! Wenn ich zur Polizei gehe, dann höchstens, um jemanden wegen Spammings anzuzeigen. Nämlich MySpace.

Der Mailwechsel endet mit zwei überraschend kurzen Mails, mit denen dann auch alles gesagt ist.

Ich:

Senden Sie dann etwa nicht an die angegebene E-Mail-Adresse z.B. einen Bestätigungslink, der erst noch angeklickt werden muss, um sicherzustellen, dass die Adresse auch wirklich der Person _gehört_, die sich gerade bei Ihnen registriert?

MySpace:

Hallo,

nein. Eine Bestätigungs-Email zur Verifizierung der Email Adresse wird nicht versendet.

Vielen Dank,
Myspace.com

Na dann: Willkommen im 21. Jahrhundert.

Im September letzten Jahres hatte ich darüber berichtet, dass das Opfer einer Fax-Abzocke – natürlich nur fälschlicherweise – uns als Verantwortliche für diesen Betrug ausfindig gemacht zu haben meinte. Ärgerlich wurde die Sache dadurch, dass wir nicht nur mit falschen Anschuldigungen überzogen wurden, sondern zudem das Betrugsopfer auch noch angab, „unser“ Vorgehen an die Wettbewerbszentrale gemeldet zu haben.

Ich bin normalerweise ein friedliebender Mensch, und als solcher habe ich versucht, die Angelegenheit einfach mit einem kurzen Anruf zu klären. Nach der überraschenden Erkenntnis, die Anschuldigungen basierten darauf, dass „das doch so im Internet stehe“, resultierte das Telefonat letztlich aber nur in einer mündlichen Mittteilung, dass ich, wenn ich mit der Sache nichts zu tun hätte, das anschuldigende Schreiben doch einfach ignorieren solle. Das ging mir wiederum nicht weit genug – immerhin wurde darin ja auch geäußert, dass man mich bereits bei der Wettbewerbszentrale angeschwärzt habe. Ich äußerte also sowohl am Telefon als auch kurz darauf noch einmal schriftlich, dass ich durchaus darauf bestehen würde, die falsche Äußerung gegenüber der Wettbewerbszentrale zurückzunehmen.

Unverständlicherweise passierte dann – gar nichts, obwohl es doch trivial gewesen wäre, mit einem einfachen schriftlichen Widerruf einen Schlussstrich unter die Angelegenheit zu setzen, ohne Kosten, ohne Anwälte, ohne Gerichtsverfahren. Offensichtlich war das Gegenüber dazu aber nicht bereit, so dass ich an diesem Punkt dann anwaltliche Unterstützung hinzuzog und eine Unterlassungserklärung vorbereiten ließ. Doch auch die wurde von der Gegenseite nicht abgegeben. Vielmehr antwortete sie schriftlich, man habe „nie behauptet, dass …“ – was natürlich ein wenig unterhaltsam ist, weil mir exakt diese Behauptung zuvor nicht einfach nur schriftlich, sondern sogar per Einschreiben zugestellt wurde. Kurz, man behauptete, das alles nie behauptet zu haben, man hätte deswegen auch nichts zu unterlassen und würde deshalb auch keine Unterlassungserklärung abgeben, schon gar keine strafbewehrte.

Ich bat meinen Anwalt, doch noch ein letztes Mal dort anzurufen und denen zu erklären, dass das so nicht geht, und zu verdeutlichen, dass ich darauf bestehe, die falschen Anschuldigungen gegenüber der Wettbewerbszentrale zu widerrufen. Seine Antwort fiel knapp aus:

Frau $NAME war letzte Woche im Urlaub, deshalb habe ich sie heute erst erreicht. Sie war allerdings nicht bereit mit mir zu sprechen. Sie hat mir nur in einem aggressiven Tonfall mitgeteilt, ich solle doch bitte alles schriftlich einreichen. Offensichtlich kann man auf vernünftige Art und Weise mit $GEGENSEITE nicht kommunizieren.

Mir wurde die Sache zu bunt.

Unmittelbar vor der Verhandlung regte die Gegenseite an, ich solle meine Klage doch zurückziehen; man würde die Unterlassungserklärung dann eben unterschreiben, aber ohne Strafbewehrung, und jeder solle einfach nur seine eigenen Anwaltskosten tragen. Mein Blick muss wohl ziemlich ungläubig gewesen sein. Übrigens auch der Blick des Richters, als die Gegenseite vorbrachte, mit diesem Angebot doch „alles“ versucht zu haben, um ein Verfahren zu vermeiden. Die Ehre, das Verfahren von Anfang an zu vermeiden versucht zu haben, die käme ja wohl eher Herrn Pasche zu, waren glaube ich seine ungefähren Worte.

Ende letzter Woche traf nun das Urteil ein, dessen Lektüre mir dann doch ein kleiner innerer Reichsparteitag war:

[…]
Selbst wenn die von der Beklagten benannte Zeugin $NAME dem Kläger gegenüber telefonisch erklärt haben sollte, dass keine Forderungen gegen ihn geltend gemacht würden, was angesichts des weiteren Verhaltens der Beklagten und des Schreibens vom 30.10.2009 eher zweifelhaft erscheint, waren die in der E-Mail vom 28.9.2009 durch den Kläger aufgestellten Forderungen gegenüber der Beklagten berechtigt.
[…]
Das vorprozessuale Antwortschreiben vom 30.10.2009 auf das anwaltliche Unterlassungsbegehren ist teilweise inhaltlich unzutreffend und teilweise ausweichend formuliert. So wird unzutreffend erklärt, die Beklagte habe zu keinem Zeitpunkt behauptet, dass der Kläger für das Register „Deutscher Registereintrag“ verantwortlich sei. Das Gegenteil ist zutreffend.
[…]
Die Begründung des Klägers in seiner E-Mail vom 28.9.2009, dass er sich mit einer mündlichen Erklärung einer Mitarbeiterin der Beklagten, er solle das Anschreiben einfach ignorieren nicht zufrieden geben könne, ist plausibel und nachvollziehbar. Es wäre der Beklagten ein Leichtes gewesen und hätte sie auch nichts gekostet, die berechtigten Forderungen des Klägers in der E-Mail vom 28.9.2009 zu erfüllen. […] Stattdessen hat sie es unverständlicherweise vorgezogen, auf die berechtigten Forderungen des Klägers überhaupt nicht zu reagieren. Dass dieser daher mit anwaltlichem Schreiben von der der Beklagten Unterlassung und Auskunft gefordert hat, ist vollkommen berechtigt. Der Beklagten wäre es somit ein Leichtes gewesen, das gesamte Verfahren zu vermeiden. Dass sie die ihr von dem Kläger angebotene Möglichkeit nicht wahrgenommen hat, erscheint schlechterdings unverständlich.
[…]

Quintessenz: Die Gegenseite muss unterlassen; sie muss meine vorprozessualen Anwaltskosten tragen, und sie muss fast die vollständigen Verfahrenskosten übernehmen. Einerseits tut’s mir ja leid, weil die Gegenseite ja schon durch den Fax-Abzocker geschädigt wurde. Aber andererseits kann man sich eben trotzdem unbeteiligten Dritten gegenüber nicht einfach aufführen wie die Axt im Walde. Dass ich friedliebend bin, heißt ja nicht, dass ich mich nicht zu wehren wüsste, wenn ich mir nichts habe zuschulden kommen lassen.

Mein Rechtsanwalt bestätigte, ich hätte das Glück gehabt, hier wirklich einmal nur die guten und funktionierenden Seiten des Rechtsstaats erleben zu dürfen. Hoffen wir, dass so schnell kein weiterer Anlass zu einer Klage besteht. Ich kann nicht behaupten, Gefallen daran gefunden zu haben.

Wir setzen auf einigen Accounts DSPAM zur Filterung ein. Den Brückenschlag zwischen qmail und DSPAM schafft hierbei maildrop:

$ cat info/.qmail
|preline maildrop $HOME/dspamfilter

Der entsprechende Abschnitt in dspamfilter sieht dann so aus:

# DSPAM die Mail bewerten lassen
xfilter "/command/dspam --deliver=innocent,spam --stdout"

# Mail wegsortieren, wenn DSPAM das meint
if( /^X-DSPAM-Result: Spam/ )
{
  to "./Maildir/.0 Spamfilter.als Spam erkannt/"
}

# Ansonsten: In normales Maildir zustellen
to ./Maildir/

Nun basiert DSPAM letztlich auf Algorithmen aus dem Bereich der Statistik. Grob vereinfacht gesagt führt es eine Datenbank, in der er Wörter und Wortgruppen mit einem Wert zwischen 0 und 1 versieht, der aussagt, ob die Verwendung eher auf Spam (0) oder legitime Mails, also Ham (1) hindeutet. Anfangs haben alle Wörter einen mittleren Wert, der sich dann mit der Zeit durch Training nach oben oder unten verschiebt – oder in der Mitte bleibt, wenn ein Wort sowohl in Spam als auch in Ham häufig vorkommt.

Nun gibt es ab und zu aber Fälle, wo selbst das mehrfache Umlernen einer nicht als Spam erkannten Mail via „als Spam lernen“-Ordner einfach nicht den gewünschten Effekt erzielt; insbesondere dann, wenn sich DSPAM sowieso schon nicht so sicher ist, weil selbst die signifikantesten gefundenen Wörter und Wortgruppen eher im Mittelfeld liegen als gegen 0 oder 1 zu tendieren. Die Hauptforderung von Endkunden lautet dann schnell: „Setzt doch den Absender auf die Blacklist“. Diese Möglichkeit bietet qmail natürlich durch aus (wie control/badmailfrom), aber so global wollen wir solche Blacklists nicht pflegen. Aber in der Filterkonfiguration des Users, der sich das Blacklisting wünscht, können wir so etwas natürlich realisieren. Die einfachste Möglichkeit wäre sicherlich so etwas hier:

if( /^From: boeserspammer/ )
{
  to "./Maildir/.0 Spamfilter.als Spam erkannt/"
}

Allerdings würden wir ja schon gerne davon profitieren, dass die DSPAM-Treffergenauigkeit auch weiterhin berücksichtigt, dass der User diese Mails nicht haben will. Also haben wir an diesem Punkt ein automatisches Umlernen mit eingebaut, und damit das Filterscript flexibel bleibt, benutzen wir für die Liste der zu blacklistenden Adressen keinen fest eingebauten regulären Ausdruck, sondern die lookup-Funktion von maildrop, die reguläre Ausdrücke aus einer externen Datei einlesen kann.

Und so sieht’s aus:

# DSPAM die Mail bewerten lassen
xfilter "/command/dspam --deliver=innocent,spam --stdout"

# Wenn Mails von bekannten Spammern nicht als Spam erkannt wurden, als Spam umlernen
`test -f "dspamfilter-autolearn-spam"`
if( $RETURNCODE == 0 && ! /^X-DSPAM-Result: Spam/ && /^From:.*/ && lookup($MATCH, "dspamfilter-autolearn-spam") )
{
  xfilter "/command/dspam --class=spam --source=error --deliver=innocent,spam --stdout"
}

# Mail wegsortieren, wenn DSPAM das meint
if( /^X-DSPAM-Result: Spam/ || /^X-DSPAM-Reclassified: Spam/ )
{
  to "./Maildir/.0 Spamfilter.als Spam erkannt/"
}

# Ansonsten: In normales Maildir zustellen
to ./Maildir/

Es ist zu beachten, dass das X-DSPAM-Result trotz Umlernen identisch bleibt – DSPAM fügt lediglich noch einen X-DSPAM-Reclassified: Spam-Header hinzu. Also haben wir das Kriterium fürs Wegsortieren noch entsprechend erweitert.

Funktioniert prima; Kunde zufrieden. Die Pflege der Liste unerwünschter Adressen per einfacher Textdatei braucht praktisch keine Einarbeitung und kann schnell nebenbei erfolgen.

Im Rahmen unserer Arbeiten mit qmail-tauglichen Greylisting-Implementierungen sind wir auf greylite gestoßen, das zu einem der am einfachsten zu installierenden und zu benutzenden Tools gehört. Es unterstützt MySQL als Backend, was insbesondere deshalb für uns wichtig ist, weil wir mehrere Filterserver einsetzen, die sich eine Greylisting-Datenbank teilen sollen.

Auch wenn alles von Anfang an prima klappte, eins haute nicht hin: Das automatische Aufräumen von veralteten Einträgen. Zwar war in der Dokumentation nichts davon erwähnt; aus dem Sourcecode ging aber klar hervor, dass ein derartiges Aufräumen durchaus eingebaut ist.

Mit LOG_DEBUG als Log-Level war schließlich das Problem schnell identifiziert:

2010-01-18 19:51:39.804329500 greylite: Cleaning up stale verified entries.
2010-01-18 19:51:39.804348500 greylite: Query: DELETE FROM verified WHERE NOW() - ts > interval '480 hours'
2010-01-18 19:51:39.805073500 greylite: Query failed: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1

Für die Tabelle pending galt übertragen das gleiche. Das Problem ist also, dass der Autor hier eine Syntax verwendet, die von MySQL nicht unterstützt wird: INTERVAL kann dort nur zusammen mit DATE_ADD/DATE_SUB oder direkter Addition oder Subtraktion mit einem Datum verwendet. „Alleinstehend“ auf einer Seite eines Vergleichs kann es nicht genutzt werden. Damit nicht genug heißt die entsprechende Einheit in MySQL nicht etwa HOURS, sondern immer HOUR im Singular, auch wenn eine Formulierung wie INTERVAL 480 HOUR sicherlich sprachlich zweifelhaft ist. Und schließlich ist HOUR ein Schlüsselwort, das nicht gequotet werden darf. Mit anderen Worten: So kann’s überhaupt nicht gehen.

Ich habe daraufhin die beiden betreffenden SQL-Statements in der db-mysql.c schnell umgeschrieben und getestet. Der Einfachheit halber habe ich das Ergebnis als Patch bereitgestellt (greylite-3.0pre2-db-mysql.patch). Den Autor von greylite habe ich informiert; mit etwas Glück ist der Patch bei der nächsten Version nicht mehr nötig.