sexxy.de / Leaseweb

[kjz1]

Heute habe ich einen ganz anderen Spam erhalten, jedoch mit einem interessanten Detail:

header:

01: Received: from ims-m12.mx.aol.com (ims-m12.mx.aol.com [64.12.207.145])
02: 	by xxxxx (Postfix) with ESMTP ID: [ID filtered]
03: 	for xxxxx; Wed, 23 Nov 2011 xx:xx:xx +0100 (CET)
04: Received: from oms-db01.r1000.mx.aol.com (oms-db01.r1000.mx.aol.com
05: [205.188.58.1])
06: 	by ims-m12.mx.aol.com (8.14.1/8.14.1) with ESMTP ID: [ID filtered]
07: 	Wed, 23 Nov 2011 xx:xx:xx -0500
08: Received: from mtaomg-db02.r1000.mx.aol.com
09: (mtaomg-db02.r1000.mx.aol.com [172.29.51.200])
10: 	by oms-db01.r1000.mx.aol.com (AOL Outbound OMS Interface) with ESMTP id
11: D73371C00008A;
12: 	Wed, 23 Nov 2011 xx:xx:xx -0500 (EST)
13: Received: from core-dtb002a.r1000.mail.aol.com
14: (core-dtb002.r1000.mail.aol.com [172.29.162.197])
15: 	by mtaomg-db02.r1000.mx.aol.com (OMAG/Core Interface) with ESMTP id
16: 90B71E00008B;
17: 	Wed, 23 Nov 2011 xx:xx:xx -0500 (EST)
18: Received: from 217.113.228.40 by webmail-d169.sysops.aol.com
19: (205.188.252.84) with HTTP (WebMailUI); Wed, 23 Nov 2011 xx:xx:xx -0500

IP: 217.113.228.40 ---> staticline615.toya.net.pl

gecrackt: spidra2004@aol.com

bespammt:

^whois:http://vaishnova.com/profile/38AdamMoore/

IP: 173.192.178.138 ---> win240.ourcp.com

als Weiterleitung auf:

^whois:http://newsworldtoday.ru/profile/1.php

IP: 212.117.160.68 ---> ip-212-117-160-68.as5577.net

als Weiterleitung auf:

^whois:http://incomejournal7.net/finance-journals/

IP: 217.73.58.68 ---> 217-73-58-68.rustelekom.net

zu letzterer IP lese ich:

descr: Rustelekom
origin: AS28753
remarks: routed via LeaseWeb Germany
mnt-by: NETDIRECT-MNT

zudem findet man auf dieser IP noch:

Code:

makemoneyonline11.net	  	 
ns3.makemoneyonline11.net	  	 
abcdaily12.net	  	 
ns1.abcdaily12.net	  	 
ns3.abcdaily12.net	  	 
abcdaily13.net	  	 
income34.net	  	 
ns3.income34.net	  	 
workathome65.net	  	 
ns3.workathome65.net	  	 
workathome66.net	  	 
ns3.workathome66.net	  	 
workathome67.net	  	 
ns1.workathome67.net	  	 
ns2.workathome67.net	  	 
incomebiz7.net	  	 
ns3.incomebiz7.net	  	 
workathome68.net	  	 
ns3.workathome68.net	  	 
businessnews59.net	  	 
ns3.businessnews59.net	  	 
finance-income.net	  	 
ns3.finance-income.net	  	 
revolution-income.net	  	 
ns1.revolution-income.net	  	 
dailyjobblog.net	  	 
ns1.dailyjobblog.net	  	 
worldfinanceblog.net	  	 
ns1.worldfinanceblog.net	  	 
job1journal.net	  	 
ns3.job1journal.net	  	 
job2journal.net	  	 
ns3.job2journal.net	  	 
job4journal.net	  	 
ns3.job4journal.net	  	 
incomejournal.net	  	 
ns1.incomejournal.net	  	 
ns3.incomejournal.net	  	 
job-revolution.net	  	 
ns3.job-revolution.net	  	 
jobs-revolution.net	  	 
ns3.jobs-revolution.net	  	 
home80solutions.net	  	 
ns3.home80solutions.net	  	 
home81solutions.net	  	 
ns2.home81solutions.net	  	 
ns3.home81solutions.net	  	 
finance-day.net	  	 
ns3.finance-day.net	  	 
jobreporter2011.ru	  	 
ns2.jobreporter2011.ru	  	 
ns3.jobreporter2011.ru	  	 
job-news2011.ru	  	 
ns1.job-news2011.ru	  	 
7job-dailynews2011.ru	  	 
ns1.7job-dailynews2011.ru	  	 
businessnews1.ru	  	 
ns3.businessnews1.ru	  	 
weeknews24.ru	  	 
ns1.weeknews24.ru	  	 
ns3.weeknews24.ru	  	 
job-news365.ru	  	 
ns3.job-news365.ru	  	 
jobnews365.ru	  	 
ns1.jobnews365.ru	  	 
week-news-job.ru	  	 
ns3.week-news-job.ru	  	 
weeknews-job.ru	  	 
ns1.weeknews-job.ru	  	 
newspressjob.ru	  	 
ns3.newspressjob.ru	  	 
24newsjob.ru	  	 
ns3.24newsjob.ru	  	 
weeknewsjob.ru	  	 
ns1.weeknewsjob.ru	  	 
job-financialworld.ru	  	 
ns3.job-financialworld.ru	  	 
jobnewsblog.ru	  	 
ns3.jobnewsblog.ru	  	 
job-online-journal.ru	  	 
ns1.job-online-journal.ru	  	 
jobs-journal.ru	  	 
ns3.jobs-journal.ru	  	 
job-onlinejournal.ru	  	 
ns1.job-onlinejournal.ru	  	 
employment-channel.ru	  	 
ns3.employment-channel.ru	  	 
jobs-and-career.ru	  	 
ns1.jobs-and-career.ru	  	 
7daily-newspaper.ru	  	 
ns3.7daily-newspaper.ru	  	 
7job-reporter.ru	  	 
ns2.7job-reporter.ru	  	 
recruiting-reporter.ru	  	 
ns3.recruiting-reporter.ru	  	 
employment-reporter.ru	  	 
ns3.employment-reporter.ru	  	 
daily365reporter.ru	  	 
ns3.daily365reporter.ru	  	 
7jobreporter.ru	  	 
ns3.7jobreporter.ru	  	 
employmentreporter.ru	  	 
ns2.employmentreporter.ru	  	 
jobsviewer.ru	  	 
ns1.jobsviewer.ru	  	 
news-jobs.ru	  	 
ns1.news-jobs.ru	  	 
todays-jobs.ru	  	 
ns3.todays-jobs.ru	  	 
abc-7jobs.ru	  	 
ns1.abc-7jobs.ru	  	 
ns3.abc-7jobs.ru	  	 
abc7jobs.ru	  	 
ns1.abc7jobs.ru	  	 
careertrends.ru	  	 
ns3.careertrends.ru	  	 
7news-press.ru	  	 
ns3.7news-press.ru	  	 
daily-jobpress.ru	  	 
ns3.daily-jobpress.ru	  	 
job-newspress.ru	  	 
ns3.job-newspress.ru	  	 
365newspress.ru	  	 
ns3.365newspress.ru	  	 
job-newsexpress.ru	  	 
ns2.job-newsexpress.ru	  	 
7dailypress.ru	  	 
7daily-reports.ru	  	 
ns2.7daily-reports.ru	  	 
abc365-news.ru

sprich: Leaseweb arbeitet jetzt sogar für die Russenmafia? Und wieso meinen deutsche Politiker, man hätte da keine Handhabe, da sich ja alle Verantwortlichen im Ausland befänden? Oder geht es da wieder um innovative Geschäftsideen oder so...

[BeneAntispam]

Hallo zusammen,

ich habe die Mail inzwischen vier oder fünf Mal bekommen.
Die ersten drei Male mit ca. 12 Stunden Abstand.

Immer die gleiche Mail, mit richtigem Namen und kompletter Adresse!

Kann man denn mittlerweise sagen, bei wem die Daten geklaut wurden?

MfG
Bene

[schara56]

header:

01: Received: from couponsparer.org (EHLO couponsparer.org) [46.4.74.37]
02:   by mx0.gmx.net (mx033) with SMTP; 27 Nov 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: 	by couponsparer.org (Postfix) with ESMTP ID: [ID filtered]
05: 	for <x>; Sun, 27 Nov 2011 xx:xx:xx +0100 (CET)

header:

01: Received: from couponsparer.org (EHLO couponsparer.org) [46.4.74.37]
02:   by mx0.gmx.net (mx075) with SMTP; 27 Nov 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: 	by couponsparer.org (Postfix) with ESMTP ID: [ID filtered]
05: 	for <x>; Sun, 27 Nov 2011 xx:xx:xx +0100 (CET)

beworben wird dieses mal direkt - ^whois:http://www.sexxy.de
Hetzner ist informiert, dass unter einer anderen IP herum gespamt wird.

[schara56]

header:

01: Received: from couponsparer.org (EHLO couponsparer.org) [46.4.74.37]
02:   by mx0.gmx.net (mx108) with SMTP; 03 Dec 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: 	by couponsparer.org (Postfix) with ESMTP ID: [ID filtered]
05: 	for <x>; Sat,  3 Dec 2011 xx:xx:xx +0100 (CET)

beworben wird direkt ^whois:http://www.sexxy.de
Ich bin ja mal gespannt wann Hetzer auch diese IP sperrt.

[schara56]

header:

01: Received: from couponsparer.org (EHLO couponsparer.org) [46.4.74.37]
02:   by mx0.gmx.net (mx118) with SMTP; 03 Dec 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: 	by couponsparer.org (Postfix) with ESMTP ID: [ID filtered]
05: 	for <x>; Sat,  3 Dec 2011 xx:xx:xx +0100 (CET)

unverändert beworben: ^whois:http://www.sexxy.de

...] Der Kunde wurde von uns gekündigt [...

Jetzt darf er umziehen...

[dachs2000]

Hallo Leute,

bin neu hier und auch sauer über die fast täglich empfangende Spam! Vielleicht hilft das ein bischen weiter. Der Header der empfangenen mail:

header:

01: From: Neue Nachricht <nachricht [at] couponsparer.org>
02: Reply-to: service [at] media-supplies.net
03: Subject: Sven, Du hast deine Nachricht von Lena83Hanau noch nicht gelesen
04: Message-ID: [ID filtered]
05: List-Unsubscribe: <http://www.couponsparer.org/index.php?[UNSUB filtered]>
06: MIME-Version: 1.0
07: Content-Transfer-Encoding: 8bit
08: Content-Type: text/plain; charset="ISO-8859-15"
09: X-GMX-Antivirus: 0 (no virus found)
10: X-GMX-Antispam: 0 (Mail was not recognized as spam);
11:  Detail=5D7Q89H36p44V6Xf/1+ul4Sx518lxpjkjPPVgQ1IjAZQ1SLnvcwYITUhqrjLCLoVTmyW9
12:  PyhzX/wTBuEguxpyBsirX0IURtZYi15aH9dE+36qQX62BfDR5H5xNeaOA3Mc1OhtsLqBeRsZQB5Y
13:  +hEuWaPqHxM8FFM0g103aw9DDA+Wh6QlWy3/B2p2WjZepvuEvslR+tT/wZM9aZDIaOjbzsTwTREr
14:  HACWDBgmHhsKj0=V1;

Der Betreiber der Seite (falls noch nicht genannt):

Die Seite ^whois:www.couponsparer.de wird betrieben von:

[schara56]

...] Der Header der empfangenen mail: [...

Dem Header fehlt das einzige was einen Header lesenswert macht: die abgehende IP-Adresse. Außerdem wird im Header ^whois:couponsparer.org angegeben und nicht ^whois:couponsparer.de.
Woraus schließt Du, dass die Betreiber identisch sind?

[schara56]

header:

01: Received: from couponsparer.net (EHLO couponsparer.net) [78.46.104.227]
02:   by mx0.gmx.net (mx029) with SMTP; 09 Dec 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: 	by couponsparer.net (Postfix) with ESMTP ID: [ID filtered]
05: 	for <x>; Fri,  9 Dec 2011 xx:xx:xx +0100 (CET)

^whois:http://www.sexxy.de

[schara56]

header:

01: Received: from couponsparer.org (EHLO couponsparer.org) [46.4.74.37]
02:   by mx0.gmx.net (mx067) with SMTP; 15 Dec 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: 	by couponsparer.org (Postfix) with ESMTP ID: [ID filtered]
05: 	for <x>; Thu, 15 Dec 2011 xx:xx:xx +0100 (CET)

Eine gute Stunde später dann Nr. 2

header:

01: Received: from couponsparer.org (EHLO couponsparer.org) [46.4.74.37]
02:   by mx0.gmx.net (mx082) with SMTP; 15 Dec 2011 xx:xx:xx +0100
03: Received: from localhost.localdomain (localhost [127.0.0.1])
04: 	by couponsparer.org (Postfix) with ESMTP ID: [ID filtered]
05: 	for <x>; Thu, 15 Dec 2011 xx:xx:xx +0100 (CET)

Beworben wird: ^whois:http://www.stargames.com/bridge.asp?idr=*schnippschnapp*
Ich frage mich so langsam, warum Hetzner diesen Kunden (sofern es immer der gleiche ist) nicht einfach rausschmeissen kann.

...]Top-Gewinn im letzten Monat: EUR 41.234,45. Spielteilnahme ab 18. 18 was? Uhr? Körpervolumen in m³?
[...]
------
Diese Nachricht wurde durch Media Supplies versendet.
Sie möchten keine weiteren Angebote von uns erhalten?
Klicken Sie folgenden Link zum Abmelden:
^whois:http://www.couponsparer.org/index.php?mid=*schnippschnapp*
-------
Haben Sie Fragen zu dieser E-Mail?
Wenden Sie sich direkt an unseren Kundenservice.
Kundenservice: service@media-supplies.eu
Impressum: Media Supplies Ltd., Caldervale Rd. 1, West Yorkshire, WF1 5PF

Das wird nicht klappen - es gibt nicht mal einen MX-Record für diese Domain:

Code:

Standardserver:  google-public-dns-b.google.com
Address:  8.8.4.4

> set q=mx
> media-supplies.eu
Server:  google-public-dns-b.google.com
Address:  8.8.4.4

*** media-supplies.eu wurde von google-public-dns-b.google.com nicht gefunden: Non-existent domain.

[homer]

Ich frage mich so langsam, warum Hetzner diesen Kunden (sofern es immer der gleiche ist) nicht einfach rausschmeissen kann.

Ich frage mich sowieso, ob die Hutfarbe bei Hetzner nicht langsam immer dunkler wird. Bei meinen letzten Spamcop-Reports stand da auch "refuses reports" bei den Hetzner-Abuse-Adressen.