Manipulationen Double-opt-in-Verfahren

Gravenreuth

fühlt sich hier wohl
Das Double-opt-in-Verfahren verläuft normalerweise wie folgt:

a) Man meldet sich bei ####.de für einen Newsletter mit der mail-Adrese 1111@2222.de an.
b) ####.de sendet an die mail-Adresse 1111@2222. eine Bestätigungsmail mit einer verlinkten URL, welche man zurücksenden muss.
c) Dann erst erhält man den Newsletter.

In einem Spam-Prozess wird nun die absolute Sicherheit dieses Verfahrens behauptet.

Mir ist zumindest folgende Manipulationsmöglichkeit bekannt:

a) Man meldet sich bei ####.de für einen Newsletter mit der mail-Adrese 1111@2222.de an.
b) ####.de sendet an die mail-Adresse 1111@2222.eine Bestätigungsmail mit einer verlinkten URL, welche man zurücksendet
c) Man ist dann angemeldet und viele Anbieter haben die Option "Daten ändern". Dort ändert man nun die mail-Adresse in 5555@666.de.
d) Die Newsletter gehen von nun an ungefragt und unbestätigt an diese Email-Adresse 5555@666.de.

Sind weitere Manipulationsmöglichkeiten bekannt?

Mit freundlichen Grüßen



Günter Frhr.v.Gravenreuth
 

x45

chronische Wohlfühlitis
Gravenreuth schrieb:
d) Die Newsletter gehen von nun an ungefragt und unbestätigt an diese Email-Adresse 5555@666.de.

Vorrausgesetzt, das bei einer eMail-Adressenänderung keine erneute Bestätigungsmail (wie bei Forensystem, etc. üblich) versendet wird.
 

Bio-logisch

Moderator
Teammitglied
Zu c:
z. B. in diesem Forum muss aber die neue E-Mail ebenfalls bestätigt werden, wieder über einen Link in einer Bestätigungsmail.
Worher würde keine weitere Mail versendet werden, d also nicht stattfinden

Damit würde z. B. in diesem Forum diese Manipulation ausscheiden.

Die einzige mir bekannte Manipulation ist direkt über die Datenbank eine ander Mail einzugeben und zu bestätigen. Aber das kann nur der Administrator.

MfG
 

x45

chronische Wohlfühlitis
Bio-logisch schrieb:
Die einzige mir bekannte Manipulation ist direkt über die Datenbank eine ander Mail einzugeben und zu bestätigen. Aber das kann nur der Administrator.

Jein, gesetz dem Fall das der Link zum bestätigen einem festen Schema folgt (z.B. http://blahblubb/activate.php?email=meine@adresse.de ) kann man die Akitivierung manipulieren, ohne Zugang zur Datenbank zu haben. Meistens jedoch haben die Aktivierungssysteme jedoch eine Zufallskomponente, die auf dem Server gespeichert wird. In dem Falle ist deine Aussage natürlich richtig.
 

Gravenreuth

fühlt sich hier wohl
Bio-logisch schrieb:
Zu c:
z. B. in diesem Forum muss aber die neue E-Mail ebenfalls bestätigt werden, wieder über einen Link in einer Bestätigungsmail.
Worher würde keine weitere Mail versendet werden, d also nicht stattfinden

Damit würde z. B. in diesem Forum diese Manipulation ausscheiden.
Ist BILD so gut?

Hinzu kommt eine weitere ungereimtheit: Die mail kam über eine Adresse rein, die es so gar nicht gibt (meinen Vornamen mit "h") - und ich habe, um spam-mails zu reduzieren, kein catch-all-Einstellung!

Mit freundlichen Grüßen



Günter Frhr.v.Gravenreuth
 

Techy

Kulturbanause!
Teammitglied
sicher das die Adresse, die sich im Empfänger Feld befand auch gleich der Adresse ist, an die die eMail ging?
 

piepmatz.de

treuer Stammgast
Frag doch mal bei Sony/BMG nach, die müßten doch auch "double-opt-in" verwenden.
Die spammen mich nämlich auch voll mit Newslettern, die ich angeblich bestellt habe.
Und das an eine illegal generierte Adresse (über "catchall").
Auf meine Anfrage hin wurde mir gesagt, das wären "Fisher"
Nur, was haben "Fisher" davon, wenn ich mir bei SBMG CDs bestelle?
 

74min

fühlt sich hier wohl
hi,

also eine konkrete nachfrage beim zuständigen betrieblichen datenschutzbeauftragten (oder aufsichtsführende stelle) als betroffener sollte klarheit bringen.
wenn ich mich nicht irre, muss auch mit double-in-opt verfahren ein nachweis über die anforderung eines newsletters geführt werden können.

edit
kann man diese emailadresse durch korrektes login nach authentifikation manipulieren, ist es imho notwendig auch diese veränderten daten im rahmen der sicherstellung manipulationsfreier datenintegrität zu loggen (zumindestens ip und datum) und den vorgang einer manipulation transparent nachzuvollziehen.
/edit

viele grüsse
74min
 

Gravenreuth

fühlt sich hier wohl
74min schrieb:
hi,
wenn ich mich nicht irre, muss auch mit double-in-opt verfahren ein nachweis über die anforderung eines newsletters geführt werden können.

"Kann", nicht "muss"!
Im Fall von BILD übernehmen die die relevanten Daten in eine eigene Datei (mit unbekanntem Datenformat) und löschen alle mails vom Anmeldevorgang (zumindest legen sie keine vor). In dieser Datei steht dann beispielsweise nur noch Name/angemeldet am/e-mail Adresse/

Alle Infos aus dem Header der Anmeldemails sind dann verlustig!

Mit freundlichen Grüßen



Günter Frhr.v.Gravenreuth
 
Oben