Samantha spammt munter für eine nur für mich erstellte Bekleidungs- und Accesoire-Linie:
Zitat:
Sehr geehrte Damen und Herren,
Sie sind toll und einzigartig!
Ich möchte Ihnen eine einzigartige Bekleidungs- und Accessoire-Linie
vorstellen, welche alternative Lifestyle-Enthusiasten in ganz Europa
beliefert..
Check our website:
whois:
Seit 20 Jahren bieten wir innovative, spaßige und qualitativ hochwertige
Bekleidung und Accessoires – sowohl für Groß- als auch Einzelhandel –
und lagern derzeit mehr als 6.000 großartige Produkte! Von Rockabilly und
Pin-ups bis Tattoos und Punk Rock Motiven – wir sind weltweit einer der
größten Anbieter alternativer Bekleidung!
Wenn Sie einer unserer Kunden werden, werden Sie auf folgende Weise
profitieren:
- Mehr als 6.000 verfügbare Produkte - online und auf Lager
- Schnelle Lieferung direkt zu Ihnen nach Hause
- Kostenfreie Lieferung für Bestellungen über 100€
- Wir lagern alles von sexy Kleidern, Matrosen-Röcken über Punk-Tops bis
Betten für Ihre Brieftasche und noch vieles mehr
- Berühmte Marken wie LiquorBrand, Six Bunnies, Rock Eagle, Rock Angle,
Hotrod Hellcat, Minute Mirth, Hotrod, Pinup, Sailor, und mehr!
- Weltweite Lieferung!
- Sowohl für den Groß- als auch Einzelhandel. Wir beliefern viele Läden
mit cooler Bekleidung in ganz Europa.
Check our website:
whois:
Wenn Sie die Punk- und alternative Szene so sehr lieben wie wir es tun,
dann repräsentieren Sie Ihren inneren Rocker und alternativen Lifestyle
mit Kleidung die der Welt zeigt wer Sie sind und wofür Sie stehen.
Tragen Sie ein Shirt nicht nur weil es cool ausschaut; tragen Sie es, weil
es Ihr inneres Ich wiederspiegelt!
Als nette Willkommensgeste können Sie sich für unsere Spezielle Promo VIP
Liste anmelden und wir senden Ihnen einen 20% Discountcode, den Sie sofort
nutzen können. Ohne jegliche Verpflichtungen.
Check our website:
whois:
um die guten Sachen sehen.
Hoffentlich bis bald.
Beste Grüße,
Samantha
Contact:
Damit ich die Mail auch ja nicht übersehe, bekomme ich diese gleich 4 Mal:
header:
01: Received: from huzhou.755525.com ([104.255.34.110]) by mx-ha.gmx.net
02: (mxgmx111) with ESMTP (Nemesis) ID: [ID filtered]
03: <[snip]>; Mon, 10 Aug 2015 xx:xx:xx +0200
header:
01: Received: from youku.276662.com ([199.83.103.190]) by mx-ha.gmx.net (mxgmx105)
02: with ESMTP (Nemesis) ID: [ID filtered]
03: <[snip]>; Mon, 10 Aug 2015 xx:xx:xx +0200
header:
01: Received: from huzhou.755525.com ([104.255.34.110]) by mx-ha.gmx.net
02: (mxgmx110) with ESMTP (Nemesis) ID: [ID filtered]
03: <[snip]>; Mon, 10 Aug 2015 xx:xx:xx +0200
header:
01: Received: from huzhou.755525.com ([104.255.34.110]) by mx-ha.gmx.net
02: (mxgmx109) with ESMTP (Nemesis) ID: [ID filtered]
03: <[snip]>; Mon, 10 Aug 2015 xx:xx:xx +0200
Bei der beworbenen Domain crabdance.com handelt es sich um einen kostenlosen Webdienst / Weiterleitungsdienst von . Im Quelltext sieht man dann auch die eigentliche Zielseite:
Zitat:
<!-- This site "whois:" is using the free URL redirection service at -->
<!-- The real (cloaked URL) site can be found directly at whois: -->
<!-- Please report any abuse of this free service -->
Spammy will also whois: nicht preisgeben. Kein Problem, das mache ich doch gerne.
whois: hat nach der Beschwerde bei freedns.afraid.org nicht lange gehalten:
Zitat:
Hello,
Thanks for the note, this host has been terminated.
Kind regards,
J.[...]
Damit landete jeder Spam-Empfänger danach nur noch auf einer nicht verfügbaren Seite. Aber weiter im Text:
Unter whois: finden sich Vorschaubilder für Punk / Pin-Up / Gothic-Mode - und ein Eintragsformular, um meinen 20%-Gutschein zu erhalten: whois:
Da lasse ich mich nicht zweimal bitten. Einige Zeit später kommt dann die Mail:
Zitat:
Punk Rocker, Pin up girl & Tatoo Lover.
Ja, ich möchte einen Rabatt von 20%!
Klicken Sie hier, um Ihre Adresse zu bestätigen und erhalten den Rabatt jetzt!.
Hinter "Klicken Sie hier" steckt der Link: whois:
header:
01: Return-Path: bounce[BOUNCE filtered]@eigbox.net
02: Received: from bosmailout09.eigbox.net ([66.96.185.9]) by mx-ha.gmx.net
03: (mxgmx101) with ESMTP (Nemesis) ID: [ID filtered]
04: <[snip]>; Mon, 10 Aug 2015 xx:xx:xx +0200
05: Received: from bosmailscan05.eigbox.net ([10.20.15.5])
06: by bosmailout09.eigbox.net with esmtp (Exim)
07: ID: [ID filtered]
08: for [snip]; Mon, 10 Aug 2015 xx:xx:xx -0400
09: Received: from [10.115.3.31] (helo=bosimpout11)
10: by bosmailscan05.eigbox.net with esmtp (Exim)
11: ID: [ID filtered]
12: for [snip]; Mon, 10 Aug 2015 xx:xx:xx -0400
13: Received: from boscustweb3303.eigbox.net ([10.20.112.232])
14: by bosimpout11 with
15: ID: [ID filtered]
16: X-Authority-Analysis: v=2.1 cv=Q9Rc4uGa c=1 sm=1 tr=0
17: a=[snip]
18: Received: from ipg.kekadoocom by boscustweb3303.eigbox.net with local (Exim)
19: ID: [ID filtered]
20: for [snip]; Mon, 10 Aug 2015 xx:xx:xx -0400
21: X-EN-Info: U=ipg.kekadoocom P=/signup.php
22: X-EN-CGIUser: ipg.kekadoocom
23: X-EN-CGIPath: /signup.php
24: X-EN-OrigIP: 87.163.86.8
25: Message-ID: [ID filtered]
26: To: [snip]
27: Subject: Danke für die Registrierung.
28: X-PHP-Originating-Script: 4999426:signup.php
29: From: Samantha <samantha [at] kekadoo.com>
30: MIME-Version: 1.0
31: Content-Type: text/html; charset=ISO-8859-1
32: X-Mailer: PHP/5.3.29
33: X-EN-Timestamp: Mon, 10 Aug 2015 xx:xx:xx -0400
34: Date: Mon, 10 Aug 2015 xx:xx:xx -0400
35: Sender: Samantha <samantha [at] kekadoo.com>
36: Envelope-To: <[snip]>
Nach dieser Bestätigung bekomme ich dann meinen Rabattcode, aber nicht von kekadoo.com, sondern von:
clarabella.nl
Zitat:
Thank you...
I wanted to send you a short email to simple say, THANK YOU and WELCOME aboard our VIP list.
If you are a punk rocker, pin up girl, tattoo lover or just love the alternative lifestyle - you are in the right place. You rock...and we are here to serve YOU!
We've been in the business serving the alternative scene for over 20 years and have thousands of products online...everything in stock. Whatever we have on the site we can ship immediately.
As we promised you at sign up, here is our personal gift to you...a coupon code for a 20% discount: [snip]
Use it in our shop whois: during the checkout process.
[...]
header:
01: Return-Path: bounce[BOUNCE filtered]@mail175.atl61.mcsv.net
02: Received: from mail175.atl61.mcsv.net ([205.201.135.175]) by mx-ha.gmx.net
03: (mxgmx012) with ESMTP (Nemesis) ID: [ID filtered]
04: <[snip]>; Tue, 11 Aug 2015 xx:xx:xx +0200
05: DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=k1; d=mail175.atl61.mcsv.net;
06: h=S[snip]
07: DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=k1; d=mail175.atl61.mcsv.net;
08: b=[snip]
09: Received: from (127.0.0.1) by mail175.atl61.mcsv.net ID: [ID filtered]
10: Subject:
11: =?utf-8?Q?Ihr=20Rabattcode=2C=2020%=20Rabatt=20f=C3=BCr=20Punkrocker=2C=20Pin=2DUp=20Girls=20u
12: d=20Tattoo=20Lovers?=
13: From: =?utf-8?Q?Clarabella=20Tattoo=20Wear?= <info [at] clarabella.nl>
14: Reply-To: =?utf-8?Q?Clarabella=20Tattoo=20Wear?= <info [at] clarabella.nl>
15: To: =?utf-8?Q?=C2=A0?= <[snip]>
16: Date: Tue, 11 Aug 2015 xx:xx:xx +0000
Der Link zum Shop leitet erstmal mit Tracking-Nummern um: whois:, von dort geht es aber dann doch direkt zum Shop. Die übergebenen Parameter im Link sind interessant - ich habe das unten eimal fett markiert:
whois:
Clarabella Tattoo Wear - Newsletter for an alternative generation / DE
1st email for German / 20discount /2015-08-11
Schönen Gruß für den Fall, da man mit dem Spam nichts zu tun haben will. Wer profitiert aber nun vom Spamrun? Ein schwedischer Onlineshop mit niederländischer Domain!
Zitat:
CLARABELLA
Köpmannagatan 10
24171 Marieholm
Schweden
Email:
Fax: +46 40 6929113
EU VAT: SE556740856101
Zitat:
CLARABELLA
IBAN: SE17 8000 0831 3923 7679 1972
BIC / SWIFT CODE: SWEDSESS
Bankname: Sparbanken Skane
Platz der Bank: Kävlinge / SCHWEDEN