Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 13

Thema: Massenhaft völlig sinnloser Spam von der Domain "multi-expo.eu"

  1. #1
    Neues Mitglied
    Registriert seit
    08.11.2017
    Beiträge
    2

    Standard Massenhaft völlig sinnloser Spam von der Domain "multi-expo.eu"

    Guten Morgen zusammen,

    nach mehr als 20 Jahren Internet und dem Betrieb von zwei eigenen Mailservern denke ich eigentlich, so einige Erfahrung rund um das Thema Spam-Seuche gesammelt zu haben. Den Hintergrund der meisten Spam-Nachrichten "versteht" man ja irgendwo (eigentlich ist "verstehen" solcher kranker Hirne das falsche Wort, aber scheinbar gibt es immer noch einen ausreichenden Anteil Idioten die auf den Mist reinfallen) - aber das hier gibt mir nun Rätsel auf.

    Seit 2 Tagen startete massiver Spam von den Mailservern "mail.multi-expo.eu" auf alle möglichen Adressen. Der Mailserver ist "echt", verfügt über einen ordentlichen PTR-Eintrag, Standort Deutschland. Bei einigen DNSBL ist er wohl schon "in Beobachtung", jedoch noch nicht als Spam-Host bestätigt. Cyren erkennt das Ganze auch (noch) nicht als Spam, und die lokale SpamAssassin-Bewertung reicht meist nicht für einen Block oder Spam-Tag.

    Die massenhaften Nachrichten machen jedoch nicht wirklich Sinn, die sehen alle so aus:

    olzaqkl iwrombv
    ovyirdx <ovcifcf@multi-expo.eu>
    Archiviert: 7.11.2017, 21:22
    Gesendet: 6.11.2017, 23:16
    An: (Hier steht immer irgendeine sinnvoll erscheinende deutsche Mailadresse drin)

    ytfanzr exsyjtm odwitkb enfykwz ohkakrj ucdayyk
    Das Ganze ist in den Mailservern recht einfach zu blocken ("*@multi-expo.eu" auf die Blacklist), aber irgendwie lässt mich mein Grübeln nach dem Sinn nicht los. Wer oder was hat etwas davon, immer 6 Blöcke zu je 7 zufällig generierten Buchtaben massenhaft durch die Welt zu schicken? Kein Link drin, keine Malware, nichts verstecktes - einfach nur diese 6 Buchstabenblöcke.

    Gut, Spam muss nicht immer sinnvoll sein ... aber irgendjemand muss sich doch etwas dabei "gedacht" haben, so einen Hack zu implementieren?!?

  2. #2
    Mitglied Avatar von Speedy56
    Registriert seit
    03.11.2011
    Ort
    SouthBavaria
    Beiträge
    138

    Standard

    Als Spam getarnte verschlüsselte Nachrichten an Terroristen?
    Sorry da fällt mir absolut nix sinnvolles ein!
    „Man muss dem Leben immer um mindestens einen Whisky voraus sein“ (Humphrey Bogart)

  3. #3
    Neues Mitglied
    Registriert seit
    08.11.2017
    Beiträge
    2

    Standard

    Zitat Zitat von Speedy56 Beitrag anzeigen
    Als Spam getarnte verschlüsselte Nachrichten an Terroristen?
    Sorry da fällt mir absolut nix sinnvolles ein!
    Schön dass ich da nicht alleine bin

    Eine Welle dieser Art habe ich auch noch nicht gesehen. Habe mal den Düsseldorfer Provider benachrichtigt, sind gleich 4 seiner Server die den Mist versenden ...

  4. #4
    Senior Mitglied Avatar von RA Meier-Bading
    Registriert seit
    17.07.2005
    Beiträge
    3.754

    Standard

    Zitat Zitat von netmax Beitrag anzeigen
    immer 6 Blöcke zu je 7 zufällig generierten Buchtaben
    Nein, für Zufall sind zu viele "y" drin. Da Du ja offenbar Zeit zum Grybeln hast, versuch doch mal ROT-13 usw. Erinnert übrigens irgendwie an Enigma-Code, so ähnlich jedenfalls.

  5. #5
    Senior Mitglied Avatar von deekay
    Registriert seit
    07.07.2006
    Ort
    Lippe / NRW
    Beiträge
    4.661

    Standard

    Dieser Spam ist hier auch eingeschlagen. Meine Vermutung: Vielleicht hat man eine Mailadressenliste per hack ergattert und proboert nun, welche Adressen valide sind um diese dann zu verkaufen oder mit einem "echten Inhalt" zu bespammen.
    "Es gibt tausendundeinen Grund, warum ein Mensch bestimmte Einzelheiten seiner Privatsphäre nicht offenbaren will, und es besteht nicht die geringste Pflicht, dies auch noch begründen zu müssen. Es reicht, dass man es nicht will."

    (Pär Ström, Autor und IT-Unternehmensberater)

  6. #6
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    7.398

    Standard


    header:
    01: Received: from mail.spa-hotel.biz.ua (mail.spa-hotel.biz.ua [93.190.141.160])
    02: by x (Postfix) with ESMTP ID: [ID filtered]
    03: for <x>; Fri, 10 Nov 2017 xx:xx:xx +0100 (CET)
    04: Received: from spa-hotel.biz.ua (mail.spa-hotel.biz.ua [93.190.141.160])
    05: by mail.spa-hotel.biz.ua (Postfix) with ESMTPA ID: [ID filtered]
    06: Thu, 9 Nov 2017 xx:xx:xx +0200 (EET)
    07: [...]
    08: List-Unsubscribe: <http://spa-hotel.biz.ua/ru/unsubscribe/do?hash=*schnapp*>
    apfoqwd elhovtj okhalbd ewcyxvb edzafbf
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  7. #7
    Senior Mitglied Avatar von Wuschel_MUC
    Registriert seit
    01.02.2006
    Ort
    München
    Beiträge
    4.261

    Standard

    Zitat Zitat von deekay Beitrag anzeigen
    ... probiert nun, welche Adressen valide sind...
    Müsste er dafür nicht eine echte Antwortadresse angeben?
    Wer mir was tut, sei auf der Hut!

  8. #8
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Oberfranken
    Beiträge
    2.813

    Standard

    Zitat Zitat von Wuschel_MUC Beitrag anzeigen
    Müsste er dafür nicht eine echte Antwortadresse angeben?
    Nicht zwingend, wenn der Spambot Antworten des MTA im SMTP-Dialog auswertet.

    Ich hätte lieber 100 Nazis als Kunden, als einen Asylanten. - Klaus, 55, Bestatter

  9. #9
    Senior Mitglied Avatar von deekay
    Registriert seit
    07.07.2006
    Ort
    Lippe / NRW
    Beiträge
    4.661

    Standard

    Neueste angezeigte Absende-Adresse: hotel-spa.co.ua
    "Es gibt tausendundeinen Grund, warum ein Mensch bestimmte Einzelheiten seiner Privatsphäre nicht offenbaren will, und es besteht nicht die geringste Pflicht, dies auch noch begründen zu müssen. Es reicht, dass man es nicht will."

    (Pär Ström, Autor und IT-Unternehmensberater)

  10. #10
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    7.398

    Standard

    Ich möchte hier an den Fall erinnern (vermutlich Timo) der sich von ca. September 2013 bis Nobember 2013 zog: lauter Spam mit anfänglich drei Zeichen im Betreff und Body - später mehrere Zeichen im Betreff und drei Zeichen im Body.

    Den Link dazu hier im Forum finde ich gerade nicht.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen