Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 27

Thema: Spam von INTERPUBLICATIONS Ltd. für Maxda Kredite

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Neues Mitglied
    Registriert seit
    10.08.2005
    Beiträge
    23

    Standard Spam von INTERPUBLICATIONS Ltd. für Maxda Kredite

    Servus,

    seit ein paar Tagen kommt hier bald im stündlichen Rhythmus (wenn auch mittlerweile geblockt durch den Sparfilter) Spam für eine Kredit-Sofortzusage über Mazda an. Versendet von einer "Internetpublications Ltd." aus UK.


    header:
    01: X-Spam-Level: ***
    02: Delivered-To: xxxxx
    03: X-Mailer: Sendloop Mailer - UID6e4fd574623065b4edac01be8c636700
    04: List-Unsubscribe: <mailto:x [at] unsubscribe.sender-base.com>,
    05: <http://qpostie2.com/unsubscribe/x>
    06: X-EsetID: [ID filtered]
    07: Domainkey-Signature: a=rsa-sha1; c=nofws; q=dns; s=sl; d=sender-base.com;
    08: b=xxWaBqpPj9xr0D4Z+ra4VkJIF2yNddNiF5ydovreidSzGeFwkDoAetpfDt189lTRi/6sEV9eggi7
    09: TVievn7pXycqXCsxG9TVt9qvDg5slDDqMWw3KEZINhCpYdXvJkD4MFE24v5fwwqKmeLT/DCv4YWA
    10: GUQ+ow/1+99lAT0123o=;
    11: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on mail.xxxxxxxxx.de
    12: X-FblID: [ID filtered]
    13: X-Report-Abuse: http://qpostie2.com/report-abuse/x
    14: Return-Path: <SlC99fG0BcCQGsWinuysy5xKrYE [at] sender-base.com>
    15: Mime-Version: 1.0
    16: X-Complaints-To: abuse [at] sendloop.com
    17: Message-ID: [ID filtered]
    18: X-Spam-Language:
    19: List-ID: [ID filtered]
    20: Dkim-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=sl; d=sender-base.com;
    21: h=To:Subject:MIME-Version:Content-Type:Sender:List-ID:Reply-To:List-Unsubscribe:From:Date;
    22: i=info=3Ddialogsuite.com [at] sender-base.com; bh=ud1DpYM8R5cMxm4stm+U8Qq3zk8=;
    23: b=FdefI6U8jqLPUTZ3GzjKvOM7KZEXYD3udFUFtetLApb4XQ8++5mKhw4ZGN8JaPDvt7xzHprLw3gD
    24: KNOeeHNDZz4bdyoBcszO3TE6BLvKpJlvP86czKzLUr7jvlsRMmZihPtFxoZGRZVH8Q/t+z/qq+lb
    25: l8kMeltavUaZcU9jTB4=
    26: Sender: Maxda Sofortzusage <info=dialogsuite.com [at] sender-base.com>
    27: X-Feedback-ID: [ID filtered]
    28: X-Spam-Status: No, hits=3.6 required=5.0 tests=AWL: 0.379,BAYES_50:
    29: 1.567,HTML_IMAGE_RATIO_02: 0.437, HTML_MESSAGE: 0.001,MIME_HTML_ONLY:
    30: 0.001,MIME_HTML_ONLY_MULTI: 0.001, MISSING_MID: [ID filtered]
    31: X-Spam-Status: No, score=3.8 required=4.5 tests=AWL,DKIM_SIGNED,DKIM_VERIFIED,
    32: FUZZY_CREDIT,HTML_IMAGE_RATIO_02,HTML_MESSAGE,MISSING_MID,MPART_ALT_DIFF,
    33: RAZOR2_CF_RANGE_51_100,RAZOR2_CF_RANGE_E8_51_100,RAZOR2_CHECK, RCVD_IN_DNSWL_LOW
    34: autolearn=disabled version=3.2.5
    35: X-Job: 27360
    36: Content-Type: multipart/alternative;
    37: boundary="1f3b8527c3e335206f44ee509f650a801cc162326a2d0591a76a53c67f6b"
    38: X-Envelope-To: xxxxxxxxxxxxxxx
    39: Received-Spf: pass (borg.xxxxxxxxxk.de: SPF record at sendloop-1.com designates
    40: 198.96.95.9 as permitted sender)
    41: Received: (qmail 25873 invoked by UID: [UID filtered]
    42: Received: by simscan 1.4.0 ppID: [ID filtered]
    43: Received: from mo9.mailsend7.com (198.96.95.9) by borg.xxxxxxxxx.de with SMTP; 15 Dec
    44: 2015 xx:xx:xx -0000

    Der Anfrage-Link der E-Mail zeigt übrigens auf folgende Domain:
    whois:qpostie2.com

    Die E-Mail Adresse zeigt wiederum auf die Domain:
    whois:c-om.eu

    Scheinen nach meinem Spam-Log zufolge ziemlich hartnäckig zu sein :-/ - dem Domain-Whois der beworbenen URL nach scheint der Ursprung eher in Richtung Türkei zu deuten, wozu auch der Name passt der für das Netzwerk-Segment verantwortlich ist.

    Gruß,
    jets-power
    Geändert von thomas1611 (15.12.2015 um 14:34 Uhr) Grund: Betreff korrigiert

  2. #2
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.322

    Standard

    Wie sieht denn der Mailtext dazu aus?
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  3. #3
    Offiz. Diskordianer-Papst Avatar von Investi
    Registriert seit
    17.07.2005
    Beiträge
    10.730

    Standard

    Nein, das kann doch gar nicht sein. S.Sch. ist also immer noch aktiv! Der ist hier im Forum seit mindestens 12 Jahren bekannt. Hat der aus der Winow-Pleite nichts gelernt, ausser, dass man seinen Wohnsitz in die Schweiz verlegen sollte? Hier geht es nicht um "pöhse Werber", sondern ganz klar um Energie, die der Typ nicht in geordnete Bahnen lenken kann, sondern auf kriminelle Weise ausleben muss.
    Investi
    --------------------------------------------------------------------------------------------
    Artikel 5 Grundgesetz
    (1) Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten. Die Pressefreiheit und die Freiheit der Berichterstattung durch Rundfunk und Film werden gewährleistet. Eine Zensur findet nicht statt.

  4. #4
    Senior Mitglied
    Registriert seit
    24.11.2008
    Ort
    Dortmund
    Beiträge
    1.274

    Standard

    link ist defekt
    ____
    IANAL

  5. #5
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    10.300

    Standard

    Vermute mal dass es um winow.de geht.
    taucht zigmal im Forum auf z.B http://www.antispam-ev.de/forum/show...ighlight=winow

    PS: die Domain steht zum Verkauf

  6. #6
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    17.467

    Standard

    whois:c-om.eu, die INTERPUBLICATIONS LTD. - das sagt mir was. Müsste ich mal daheim in meiner Datenbank nachschlagen.

    edit:

    Da gab es schonmal Spam und mitbeteiligt waren eine SL24 LTD. als Secretary der INTERPUBLICATIONS LTD und der Director der INTERPUBLICATIONS LTD, ein

    Herr S. S.
    Oberfeldmatt 9
    6037 Root (LU)
    OT Längenbold
    Schweiz

    höchstselbst. Und mit seinem Schweizer Wohnsitz kannst du ihn auch aus Deutschland heraus abmahnen. Ggf. bei der Einwohnerkontrolle in Root nachfragen, ob die Daten noch stimmen. Die Anfrage beim Bürgeramt ist aber kostenpflichtig und kostet 10 Schweizer Franken: https://secure.i-web.ch/gemweb/root/...ienst_id=16992
    Geändert von truelife (15.12.2015 um 13:07 Uhr) Grund: edit
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  7. #7
    Neues Mitglied
    Registriert seit
    10.08.2005
    Beiträge
    23

    Standard

    Zitat Zitat von tomk Beitrag anzeigen
    maxda oder mazda?
    Maxda natürlich ;-/ .... blöde Autokorrektur. Vielleicht kann einer der Moderatoren den Fehler im Thread-Betreff ändern. Sorry :-/

    Zum Mail-Text selber, da es eine HTML Mail war die fast nur aus Grafiken besteht, hier ein Screenshot:



    Gruß,
    jets-power

  8. #8
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.322

    Standard

    Schau mal in den Quelltext der E-Mail (eg Strg + U beim Thunderbird). Dort sollte man eine "ID" (eg id=1515012D1 117850M) oder ähnliches sehen - das bitte mal posten.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  9. #9
    Neues Mitglied
    Registriert seit
    10.08.2005
    Beiträge
    23

    Standard

    Hallo,

    @thomas611:
    erstmal danke für die Korrektur :-)

    Zitat Zitat von schara56 Beitrag anzeigen
    Schau mal in den Quelltext der E-Mail (eg Strg + U beim Thunderbird). Dort sollte man eine "ID" (eg id=1515012D1 117850M) oder ähnliches sehen - das bitte mal posten.
    In der eigentlichen base64-kodierten HTML Mail findet sich nur nur solche Links, wobei die immer den gleichen Code am Ende haben:
    Code:
    http://qpostie2.com/track/click/*schnipp*/1/aHR0cHM6Ly93d3cuZmFjZWJvb2suY29tL3d3dy5tYXhkYS5kZT9mcmVmPXRz/
    Wenn man sich das genau anschaut, ist der letzte Teil des Links ebenfalls base64-kodiert und ergibt:
    Code:
    https://www.facebook.com/www.maxda.de?fref=ts
    Der erste Teil wiederum scheint rein die eigentliche unique id zu sein in meiner Mail.

    Ein zweiter Link bestätigt das ganze:
    Code:
    http://qpostie2.com/track/click/*schnipp*/1/aHR0cDovL3d3dy5tYXhkYS5kZS91bXNjaHVsZHVuZy8_YV9haWQ9MTkxOCZhX2JpZD1jYzA0ODY0OA==/
    Der hintere Teil ist wieder ein base64-kodierter Link, aber diesmal zu:
    Code:
    http://www.maxda.de/umschuldung/?a_aid=1918&a_bid=cc048648
    Womit wir die Partner-ID wiederum vom Spammer haben. Ich denke, das werde ich einmal an Maxda melden.

    Selbst übrigens der vermeintliche E-Mail Link ist ähnlich aufgebaut:
    Code:
    http://qpostie2.com/track/click/*schnipp*/1/bWFpbHRvOmluZm9AYy1vbS5ldQ==/
    Was wiederum dann zu folgender "URL" weiterleitet:
    Code:
    mailto:info@c-om.eu
    Also selbst hier wird man getrackt, bevor dann der E-Mail Client wieder aufgeht.

    Die restlichen Ins wiederum sind nur im Header:


    header:
    01: Return-Path: <*schnipp*@sender-base.com>
    02: X-Report-Abuse: http://qpostie2.com/report-abuse/*schnipp*
    03: Sender: =?UTF-8?Q?Maxda=20Sofortzusage?= <info=dialogsuite.com [at] sender-base.com>
    04: X-Feedback-ID: [ID filtered]
    05: List-Unsubscribe: <mailto:*schnipp*unsubscribe.sender-base.com>,
    06: <http://qpostie2.com/unsubscribe/*schnipp*>
    07: X-Mailer: Sendloop Mailer - UID6e4fd574623065b4edac01be8c636700

    Der lokale Teil der E-Mail Adresse beim Return-Patt ist übrigens identisch mit dem Code in der HTML Mail.

    Bei Bedarf, kann ich den gesamten HTML Code gerne dekodiert posten (bzw. ein Link zu Pastbin posten). Die Grafiken übrigens verlinken direkt zu Maxda, falls das noch von Interesse für jemand sein sollte.

    Gruß,
    jeti-power
    Geändert von schara56 (16.12.2015 um 07:09 Uhr) Grund: ge-*schnipp*-t

  10. #10
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.322

    Standard

    Evtl. erst mal Maxda auf die Füße treten...
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen