Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 27

Thema: Spam von INTERPUBLICATIONS Ltd. für Maxda Kredite

  1. #1
    Neues Mitglied
    Registriert seit
    10.08.2005
    Beiträge
    23

    Standard Spam von INTERPUBLICATIONS Ltd. für Maxda Kredite

    Servus,

    seit ein paar Tagen kommt hier bald im stündlichen Rhythmus (wenn auch mittlerweile geblockt durch den Sparfilter) Spam für eine Kredit-Sofortzusage über Mazda an. Versendet von einer "Internetpublications Ltd." aus UK.


    header:
    01: X-Spam-Level: ***
    02: Delivered-To: xxxxx
    03: X-Mailer: Sendloop Mailer - UID6e4fd574623065b4edac01be8c636700
    04: List-Unsubscribe: <mailto:x [at] unsubscribe.sender-base.com>,
    05: <http://qpostie2.com/unsubscribe/x>
    06: X-EsetID: [ID filtered]
    07: Domainkey-Signature: a=rsa-sha1; c=nofws; q=dns; s=sl; d=sender-base.com;
    08: b=xxWaBqpPj9xr0D4Z+ra4VkJIF2yNddNiF5ydovreidSzGeFwkDoAetpfDt189lTRi/6sEV9eggi7
    09: TVievn7pXycqXCsxG9TVt9qvDg5slDDqMWw3KEZINhCpYdXvJkD4MFE24v5fwwqKmeLT/DCv4YWA
    10: GUQ+ow/1+99lAT0123o=;
    11: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on mail.xxxxxxxxx.de
    12: X-FblID: [ID filtered]
    13: X-Report-Abuse: http://qpostie2.com/report-abuse/x
    14: Return-Path: <SlC99fG0BcCQGsWinuysy5xKrYE [at] sender-base.com>
    15: Mime-Version: 1.0
    16: X-Complaints-To: abuse [at] sendloop.com
    17: Message-ID: [ID filtered]
    18: X-Spam-Language:
    19: List-ID: [ID filtered]
    20: Dkim-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=sl; d=sender-base.com;
    21: h=To:Subject:MIME-Version:Content-Type:Sender:List-ID:Reply-To:List-Unsubscribe:From:Date;
    22: i=info=3Ddialogsuite.com [at] sender-base.com; bh=ud1DpYM8R5cMxm4stm+U8Qq3zk8=;
    23: b=FdefI6U8jqLPUTZ3GzjKvOM7KZEXYD3udFUFtetLApb4XQ8++5mKhw4ZGN8JaPDvt7xzHprLw3gD
    24: KNOeeHNDZz4bdyoBcszO3TE6BLvKpJlvP86czKzLUr7jvlsRMmZihPtFxoZGRZVH8Q/t+z/qq+lb
    25: l8kMeltavUaZcU9jTB4=
    26: Sender: Maxda Sofortzusage <info=dialogsuite.com [at] sender-base.com>
    27: X-Feedback-ID: [ID filtered]
    28: X-Spam-Status: No, hits=3.6 required=5.0 tests=AWL: 0.379,BAYES_50:
    29: 1.567,HTML_IMAGE_RATIO_02: 0.437, HTML_MESSAGE: 0.001,MIME_HTML_ONLY:
    30: 0.001,MIME_HTML_ONLY_MULTI: 0.001, MISSING_MID: [ID filtered]
    31: X-Spam-Status: No, score=3.8 required=4.5 tests=AWL,DKIM_SIGNED,DKIM_VERIFIED,
    32: FUZZY_CREDIT,HTML_IMAGE_RATIO_02,HTML_MESSAGE,MISSING_MID,MPART_ALT_DIFF,
    33: RAZOR2_CF_RANGE_51_100,RAZOR2_CF_RANGE_E8_51_100,RAZOR2_CHECK, RCVD_IN_DNSWL_LOW
    34: autolearn=disabled version=3.2.5
    35: X-Job: 27360
    36: Content-Type: multipart/alternative;
    37: boundary="1f3b8527c3e335206f44ee509f650a801cc162326a2d0591a76a53c67f6b"
    38: X-Envelope-To: xxxxxxxxxxxxxxx
    39: Received-Spf: pass (borg.xxxxxxxxxk.de: SPF record at sendloop-1.com designates
    40: 198.96.95.9 as permitted sender)
    41: Received: (qmail 25873 invoked by UID: [UID filtered]
    42: Received: by simscan 1.4.0 ppID: [ID filtered]
    43: Received: from mo9.mailsend7.com (198.96.95.9) by borg.xxxxxxxxx.de with SMTP; 15 Dec
    44: 2015 xx:xx:xx -0000

    Der Anfrage-Link der E-Mail zeigt übrigens auf folgende Domain:
    whois:qpostie2.com

    Die E-Mail Adresse zeigt wiederum auf die Domain:
    whois:c-om.eu

    Scheinen nach meinem Spam-Log zufolge ziemlich hartnäckig zu sein :-/ - dem Domain-Whois der beworbenen URL nach scheint der Ursprung eher in Richtung Türkei zu deuten, wozu auch der Name passt der für das Netzwerk-Segment verantwortlich ist.

    Gruß,
    jets-power
    Geändert von thomas1611 (15.12.2015 um 14:34 Uhr) Grund: Betreff korrigiert

  2. #2
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.302

    Standard

    Wie sieht denn der Mailtext dazu aus?
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  3. #3
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    17.418

    Standard

    whois:c-om.eu, die INTERPUBLICATIONS LTD. - das sagt mir was. Müsste ich mal daheim in meiner Datenbank nachschlagen.

    edit:

    Da gab es schonmal Spam und mitbeteiligt waren eine SL24 LTD. als Secretary der INTERPUBLICATIONS LTD und der Director der INTERPUBLICATIONS LTD, ein

    Herr S. S.
    Oberfeldmatt 9
    6037 Root (LU)
    OT Längenbold
    Schweiz

    höchstselbst. Und mit seinem Schweizer Wohnsitz kannst du ihn auch aus Deutschland heraus abmahnen. Ggf. bei der Einwohnerkontrolle in Root nachfragen, ob die Daten noch stimmen. Die Anfrage beim Bürgeramt ist aber kostenpflichtig und kostet 10 Schweizer Franken: https://secure.i-web.ch/gemweb/root/...ienst_id=16992
    Geändert von truelife (15.12.2015 um 13:07 Uhr) Grund: edit
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  4. #4
    Neues Mitglied
    Registriert seit
    10.08.2005
    Beiträge
    23

    Standard

    Zitat Zitat von tomk Beitrag anzeigen
    maxda oder mazda?
    Maxda natürlich ;-/ .... blöde Autokorrektur. Vielleicht kann einer der Moderatoren den Fehler im Thread-Betreff ändern. Sorry :-/

    Zum Mail-Text selber, da es eine HTML Mail war die fast nur aus Grafiken besteht, hier ein Screenshot:



    Gruß,
    jets-power

  5. #5
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.302

    Standard

    Schau mal in den Quelltext der E-Mail (eg Strg + U beim Thunderbird). Dort sollte man eine "ID" (eg id=1515012D1 117850M) oder ähnliches sehen - das bitte mal posten.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  6. #6
    Neues Mitglied
    Registriert seit
    10.08.2005
    Beiträge
    23

    Standard

    Hallo,

    @thomas611:
    erstmal danke für die Korrektur :-)

    Zitat Zitat von schara56 Beitrag anzeigen
    Schau mal in den Quelltext der E-Mail (eg Strg + U beim Thunderbird). Dort sollte man eine "ID" (eg id=1515012D1 117850M) oder ähnliches sehen - das bitte mal posten.
    In der eigentlichen base64-kodierten HTML Mail findet sich nur nur solche Links, wobei die immer den gleichen Code am Ende haben:
    Code:
    http://qpostie2.com/track/click/*schnipp*/1/aHR0cHM6Ly93d3cuZmFjZWJvb2suY29tL3d3dy5tYXhkYS5kZT9mcmVmPXRz/
    Wenn man sich das genau anschaut, ist der letzte Teil des Links ebenfalls base64-kodiert und ergibt:
    Code:
    https://www.facebook.com/www.maxda.de?fref=ts
    Der erste Teil wiederum scheint rein die eigentliche unique id zu sein in meiner Mail.

    Ein zweiter Link bestätigt das ganze:
    Code:
    http://qpostie2.com/track/click/*schnipp*/1/aHR0cDovL3d3dy5tYXhkYS5kZS91bXNjaHVsZHVuZy8_YV9haWQ9MTkxOCZhX2JpZD1jYzA0ODY0OA==/
    Der hintere Teil ist wieder ein base64-kodierter Link, aber diesmal zu:
    Code:
    http://www.maxda.de/umschuldung/?a_aid=1918&a_bid=cc048648
    Womit wir die Partner-ID wiederum vom Spammer haben. Ich denke, das werde ich einmal an Maxda melden.

    Selbst übrigens der vermeintliche E-Mail Link ist ähnlich aufgebaut:
    Code:
    http://qpostie2.com/track/click/*schnipp*/1/bWFpbHRvOmluZm9AYy1vbS5ldQ==/
    Was wiederum dann zu folgender "URL" weiterleitet:
    Code:
    mailto:info@c-om.eu
    Also selbst hier wird man getrackt, bevor dann der E-Mail Client wieder aufgeht.

    Die restlichen Ins wiederum sind nur im Header:


    header:
    01: Return-Path: <*schnipp*@sender-base.com>
    02: X-Report-Abuse: http://qpostie2.com/report-abuse/*schnipp*
    03: Sender: =?UTF-8?Q?Maxda=20Sofortzusage?= <info=dialogsuite.com [at] sender-base.com>
    04: X-Feedback-ID: [ID filtered]
    05: List-Unsubscribe: <mailto:*schnipp*unsubscribe.sender-base.com>,
    06: <http://qpostie2.com/unsubscribe/*schnipp*>
    07: X-Mailer: Sendloop Mailer - UID6e4fd574623065b4edac01be8c636700

    Der lokale Teil der E-Mail Adresse beim Return-Patt ist übrigens identisch mit dem Code in der HTML Mail.

    Bei Bedarf, kann ich den gesamten HTML Code gerne dekodiert posten (bzw. ein Link zu Pastbin posten). Die Grafiken übrigens verlinken direkt zu Maxda, falls das noch von Interesse für jemand sein sollte.

    Gruß,
    jeti-power
    Geändert von schara56 (16.12.2015 um 07:09 Uhr) Grund: ge-*schnipp*-t

  7. #7
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.302

    Standard

    Evtl. erst mal Maxda auf die Füße treten...
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  8. #8
    Neues Mitglied
    Registriert seit
    04.11.2007
    Ort
    Südhessen
    Beiträge
    29

    Standard

    Evtl. erst mal Maxda auf die Füße treten...
    Maxda hatte mir damals Auskunft über den Affiliate gegeben, das war eine Firma aus Stockern, die dann einen panamesischen Adresslieferanten benannte, für den sie nur im Auftrag handeln und leider nichts dafür können, dass der (siehe a.a.O. hier im Forum).

    Ja, ich weiß, man soll keine uralten Threads ausgraben!

    Bevor aber jemand in Root anfragt, sollte er/sie das Handelsregister des Kantons Zug lesen.

    Dort heißt es (ich hoffe, ich darf amtliche Veröffentlichungen hier so zitieren! Wenn nicht, bitte ändern, liebe Mods!)

    Handelsregister
    Kanton: Zug
    Publikationsdatum SHAB: 21.08.2014
    Name: HR des Kantons Zug
    Firmen-ID: CH-170.9.001.595-3

    UID-Nummer (bisher): CHE-339.527.544
    Firma (Name) der Gesellschaft (bisher): INTERPUBLICATIONS LTD. Wakefield, Zug Branch
    Rechtsform der Gesellschaft (bisher): Ausländische Zweigniederlassung
    Sitz der Gesellschaft (bisher): Zug

    UID-Nummer (neu): CHE-339.527.544
    Firma (Name) der Gesellschaft (neu): INTERPUBLICATIONS LTD. Wakefield, Cham Branch
    Rechtsform der Gesellschaft (neu): Ausländische Zweigniederlassung
    BFS Nummer der Gesellschaft (neu): 1702
    Sitz der Gesellschaft (neu): Cham

    Änderung der Rechtsform: keine Änderung
    Änderung des Firmen-Namens: Änderung
    Änderung der Vertretungs-Befugnis: Änderung
    Änderung des Sitzes (andere politische Gemeinde): Änderung
    Änderung des Domizils: Änderung
    Zweck-Änderung: keine Änderung
    Kapital-Änderung:
    Status-Änderung:
    UID-Änderung: keine Änderung

    Publikationstext: INTERPUBLICATIONS LTD. Wakefield, Zug Branch, in Zug, CHE-339.527.544, Ausländische Zweigniederlassung (SHAB Nr. 151 vom 08.08.2013, Publ. 1018567), mit Hauptsitz in: Wakefield (UK). Firma neu: INTERPUBLICATIONS LTD. Wakefield, Cham Branch. Sitz neu: Cham. Domizil neu: Gewerbestrasse 5, 6330 Cham. Eingetragene Personen neu oder mutierend: Sch****, S******** P****, deutscher Staatsangehöriger, in Saas-Fee, Leiter der Zweigniederlassung, mit Einzelunterschrift [bisher: in Root].
    Auf der Homepage interpublications.com heißt es:
    Als Kommunikations-, Marketing- und Investitionsberater entwickeln wir innovative Online-Kommunikationslösungen für unsere Kunden wie Maxda, Audible, Bwin, Body-Line und OK.de.
    Man wende sich also bitte nach Cham oder Saas-Fee.

    Gruß,

    Markus

  9. #9
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.049

    Standard

    Zitat Zitat von markusk Beitrag anzeigen
    Maxda hatte mir damals Auskunft über den Affiliate gegeben, das war eine Firma aus Stockern
    Stockern?!? Lassen da etwa die Maxiluschen grüßen?
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  10. #10
    Neues Mitglied
    Registriert seit
    14.03.2017
    Beiträge
    1

    Standard

    Wenn ich das richtig verstanden habe, versendet da diese Interpublications Ltd. Spam und wirbt für Maxda oder Smava etc. Davon haben die aber nur Profit, wenn jemand den Link in der Mail anklickt und zusammen mit der Kreditanfrage diese Referenznummer an Maxda oder Smava oder wen auch immer übermittelt wird. Das gschieht,- wenn ich das richtig verstanden habe, über die besagte URL in der Türkei?

    Mir scheint, dass man Interpublications kaum rechtlich dran bekommen kann, weil sie eine britische LTD sind, die aber als Sitz Cham in der Schweiz angibt. Maxda und Smava können sich aber - so meine ich - auch nicht einfach aus der Affaire ziehen (so wie sie das gerade bei mir versuchen), indem sie behaupten, die Zusammenarbeit mit Interpublications beendet zu haben. Ich beabsichtige denen zu sagen, dass ich mit Eurer Hilfe nachweisen kann, dass der Spammer noch immer Geld von denen bekommt, wegen der Referenznummer.

    Ich gehe davon aus, dass Maxda jedoch mit hilfe der Registereinträge zu der türkischen URL den Spammer eindeutig identifizieren kann, weil sie sonst könnten sie ja keine Provision zahlen können. Ist das richtig, oder wird mit mehreren URL's gearbeitet?
    Geändert von Makmak (14.03.2017 um 19:25 Uhr)

Seite 1 von 3 123 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen