Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 14

Thema: eigentümliche E-Mails mit unterschiedlichen Themen

  1. #1
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    344

    Standard eigentümliche E-Mails mit unterschiedlichen Themen

    Hallo,
    seit 29.03.2020 habe ich insgesamt drei sehr eigentümliche E-Mail bekommen. Bei GMX selber sind sie durch den Spam-Filter gerutscht. Thunderbird hat es sicher herausgefischt. Text wird keiner angezeigt. Das Subjekt ist immer unterschiedlich

    Ich stelle mal auszugsweise den Header hier rein.


    header:
    01: Return-Path: <infos [at] beautysuccess.fr>
    02: Received: from utmjj.khalihe.com ([88.198.207.122]) by mx-ha.gmx.net (mxgmx016
    03: [212.227.15.9]) with ESMTP (Nemesis) ID: [ID filtered]
    04: <ich bei gmx.de>; Mon, 30 Mar 2020 xx:xx:xx +0200
    05: MIME-Version: 1.0
    06: From: =?UTF-8?B?S3VuZGVuc2VydmljZQ==?= <infos [at] ebay.com>
    07: Subject:=?UTF-8?B?NTAw4oKsIGbDvHIgSWhyZSBNZWludW5n?=
    08: Reply-To: infos [at] ebay.com
    09: Received: infos [at] beautysuccess.fr
    10: To: ich bei gmx.de
    11: Content-Transfer-Encoding: 7bit
    12: Content-Type: text/html; charset="UTF-8"
    13: Date: Sun, 29 Mar 2020 xx:xx:xx +0200
    14: Envelope-To: <ich bei gmx.de>
    15: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;

    Dann kommt ein bisschen Spamprosa
    Code:
    <center>
    <a href="https://storage.googleapis.com/pulstat/Corona/Corona.html"> 
    <img src="https://storage.googleapis.com/pulstat/Corona/Corona.png" border=0 /> 
    </a>
    
    
    </center>
    
    
    <style>
    <script>
    padJ4-h9tmF-ich bei gmx.de
    ixvfe-8MJOl-ich bei gmx.de
    kDrH2-N88Xr-ich bei gmx.de
    82rAG-JfIys-ich bei gmx.de
    uiCSP-dwlqJ-ich bei gmx.de
    YT7hb-3HGP7-ich bei gmx.de
    f9HoP-ZMk4w-ich bei gmx.de
    y8I3W-B1kSq-ich bei gmx.de
    OyRro-OqMLL-ich bei gmx.de
    QynHl-UYjCo-ich bei gmx.de
    51ynv-GlstT-ich bei gmx.de
    uFtSd-57ctE-ich bei gmx.de
    WDrdO-orV2y-ich bei gmx.de
                    .
                    .
                    .
    Das geht noch kilometerweit so weiter
    Die drei Header sind identisch bis auf die benutzten IP_Adressen/Server

    whois:88.198.207.122
    whois:116.203.187.130
    whois:95.217.26.99
    Return-Path: whois:<infos@beautysuccess.fr

    Das hier (Auszug aus Header)macht mich schon ein bisschen stutzig:
    <script>
    padJ4-h9tmF-ich bei gmx.de]
    Weiß jemand, was das zu bedeuten hat?
    Geändert von schara56 (11.04.2020 um 16:45 Uhr) Grund: Header vom Body getrennt
    #Ich bleibe zu Hause

  2. #2
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.346

    Standard

    Was war denn im Body? Sieht mir nach ebay phishing aus.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  3. #3
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    344

    Standard

    Einen Body als solchen gibt es nicht. Nach den "kilometerlangen" Scriptzeilen ist Schluss.

    Das einzige was im Spamordner nicht sichtbar ist, weil HTML nicht angezeigt wird, sind ein paar HTML Zeilen:

    Code:
    <a href="https://storage.googleapis.com/pulstat/Corona/Corona.html"> 
    <img src="https://storage.googleapis.com/pulstat/Corona/Corona.png" border=0 />
    und

    Code:
    <a href="https://storage.googleapis.com/lolaleads/Esmeralda/esmeralda.html"> 
    <img src="https://storage.googleapis.com/lolaleads/Esmeralda/esmeralda.png" border=0 /> 
    </a>
    <br>
    <a href="https://storage.googleapis.com/nexttrack/abdo.html#r.php?t=u&d=1287&l=51&c=46026"> 
    <img src="https://storage.googleapis.com/flowix/otto/Unsub.JPG" border=0 /> 
    </a>
    und

    Code:
    <a href="https://storage.googleapis.com/lolaleads/adult.html"> 
    <img src="https://storage.googleapis.com/lolaleads/verfuhrmich.png" border=0 /> 
    </a>
    <br>
    <a href="https://storage.googleapis.com/nexttrack/abdo.html#r.php?t=u&d=1392&l=29&c=20770"> 
    <img src="https://storage.googleapis.com/flowix/otto/Unsub.JPG" border=0 /> 
    </a>
    Sind mir, ehrlich gesagt, auch erst bei der Suche nach dem Body aufgefallen.
    #Ich bleibe zu Hause

  4. #4
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.745

    Standard

    Code:
    02: Received: from utmjj.khalihe.com ([88.198.207.122]) by mx-ha.gmx.net (mxgmx016
    03:  [212.227.15.9]) with ESMTP (Nemesis) ID: [ID filtered]
    Code:
    inetnum:        88.198.207.120 - 88.198.207.127
    netname:        HETZNER-nbg1-dc2
    descr:          Hetzner Online GmbH
    descr:          Datacenter nbg1-dc2
    country:        DE
    admin-c:        HOAC1-RIPE
    tech-c:         HOAC1-RIPE
    status:         ASSIGNED PA
    remarks:        INFRA-AW
    mnt-by:         HOS-GUN
    mnt-lower:      HOS-GUN
    mnt-routes:     HOS-GUN
    created:        2018-03-15T14:52:41Z
    last-modified:  2018-03-15T14:52:41Z
    source:         RIPE
    Ich tippe auf das hier und hadere etwas diesen Thread mit jenem zusammen zu führen.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  5. #5
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    344

    Standard

    Den Gedanken hatte ich auch. Habe mich aber mit den niederländischen Riesenspams noch nicht so intensiv beschäftigt.

    Das

    <script>
    padJ4-h9tmF-ich bei gmx.de]
    .
    .
    .
    macht die Mails eigentlich so groß.Ist das bei den NL-Riesenspams genauso?
    #Ich bleibe zu Hause

  6. #6
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.346

    Standard

    Es könnte auch dieser Spammer sein:

    https://www.antispam-ev.de/forum/sho...40775-Cannabis

    weil: Spamski arbeitet gerne mit Bildchen in den Spams, typisch für die Ratware ist auch das r.php mit Tracking-Anhang.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  7. #7
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.745

    Standard

    Zitat Zitat von isenaecher Beitrag anzeigen
    ...] Ist das bei den NL-Riesenspams genauso?
    Bei dieser zum Beispiel: 2,37 MB im Filesystem
    Code:
    <SCRIPT>
    /@@@@++++//e990/@@@@++++//-meine.emailadresse@beigmx.de-/@@@@++++//e990/@@@@++++//
    @@@@@-----_____-----@@@@@dataLayer#$@%%))))_______##@@@-meine.emailadresse@beigmx.de-@@@@@-----_____-----@@@@@dataLayer#$@%%))))_______##@@@
    adc0-meine.emailadresse@beigmx.de-adc0
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  8. #8
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    344

    Standard

    Also, ich muss gestehen, dass ich im Moment etwas auf dem Schlauch stehe, wie man bei Thunderbird die Größe einer E-Mail ermittelt. Als EML-Datei ist sie 9,1 MB groß und Thunderbird bei der Anzeige des Quelltextes entsprechend langsam.
    #Ich bleibe zu Hause

  9. #9
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.745

    Standard

    Zitat Zitat von isenaecher Beitrag anzeigen
    ...] bei Thunderbird die Größe einer E-Mail ermittelt. Als EML-Datei ist sie 9,1 MB groß [...
    Ich mache einfach ein Drag und Drop in mein Filesystem aus dem Thunderbird heraus.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  10. #10
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    344

    Standard

    Unterschiedlicher Lösungsweg, selbes Ergebnis. Es wird auch eine eml-Datei erzeugt. Die schiere Größe würde schon auf "Niederländische Riesenspams" hindeuten. Aber mit den anderen Merkmalen kennst Du Dich besser aus. Was ich immer noch nicht begreife, was soll das Script mit meiner E-Mailadresse und den unterschiedlichen Zeichenfolgen, und das "kilometerlang," bewirken?
    #Ich bleibe zu Hause

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen