Merkwürdige Spam-Mail

**Wuschel_MUC** · 04.03.2019, 16:46

header:

01: Return-Path: <erlajxt [at] semigaren.art>
02: Delivered-To: m1000166381
03: Received: from frontend02 ([127.0.0.1])
04:     by backend01-a.mail.m-online.net with LMTP ID: [ID filtered]
05:     for <m1000166381>; Fri, 01 Mar 2019 xx:xx:xx +0100
06: Received: from mail.m-online.net ([127.0.0.1])
07:     by frontend02 with LMTP ID: [ID filtered]
08:     ; Fri, 01 Mar 2019 xx:xx:xx +0100
09: Received: from scanner-3.m-online.net (unknown [192.168.6.82])
10:     by mail.m-online.net (Postfix) with ESMTP ID: [ID filtered]
11:     for <poor [at] spamvictim.tld>; Fri,  1 Mar 2019 xx:xx:xx +0100 (CET)
12: X-Virus-Scanned: by amavisd-new at mnet-online.de
13: X-Spam-Flag: NO
14: X-Spam-Score: 0.8
15: X-Spam-Level:
16: X-Spam-Status: No, score=0.8 tagged_above=0 required=5 tests=[BAYES_50=0.8,
17:     SPF_PASS=-0.001, TVD_SPACE_RATIO=0.001]
18:     autolearn=ham autolearn_force=no
19: Received: from mxin-4.m-online.net ([192.168.8.170])
20:     by scanner-3.m-online.net (scanner-3.mail.m-online.net [192.168.6.82])
21: 	(amavisd-new, port 10026)
22:     with ESMTP ID: [ID filtered]
23:     Fri,  1 Mar 2019 xx:xx:xx +0100 (CET)
24: Received: from mail.semigaren.art (mail.semigaren.art [88.99.174.226])
25:     by mxin-4.m-online.net (Postfix) with ESMTP ID: [ID filtered]
26:     for <poor [at] spamvictim.tld>; Fri,  1 Mar 2019 xx:xx:xx +0100 (CET)
27: Received: from semigaren.art (mail.beeferms.eu [77.246.144.85])
28:     by mail.semigaren.art (Postfix) with ESMTPA ID: [ID filtered]
29:     Fri,  1 Mar 2019 xx:xx:xx +0200 (EET)
30: Message-ID: [ID filtered]
31: From: "ilhawbx" <erlajxt [at] semigaren.art>
32: To: <poor [at] spamvictim.tld>
33: Subject: uvyoymb
34: Date: Fri, 01 Mar 2019 xx:xx:xx +0300
35: MIME-Version: 1.0
36: Content-Type: text/plain;
37:     charset="iso-8859-1"
38: Content-Transfer-Encoding: 7bit
39: X-MSMail-Priority: Normal
40: X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
41: X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416
42: anfiqjd erkejnv

Was ist von so einer Spam-Mail zu halten? Sowohl im Betreff als auch im Text waren nur sinnlose Zeichenketten zu sehen. Keine Links, keine Fotos.

Wuschel

**schara56** · 04.03.2019, 17:24

Die abgehende IPv4-Adresse gehört zu Hetzner.

Code:

canonical name 	mail.semigaren.art.
aliases 	
addresses 	88.99.174.226

Ruft man die Domain direkt auf kommt:

Code:

semigaren.art

This domain-name is disabled!

It is still possible to renew this domain-name, if you're the owner.
Please contact us, if you want have your domain-name renewed.

Terms & Conditions

        Ledl.net GmbH - alldomains.hosting
Friedrich Ledl
Lederergasse 6
5204 Strasswalchen
Austria
Tel:   +49.86544042002
Fax:   +43.621520889
Email: support (at) alldomains.hosting

**Frechdachs** · 04.03.2019, 17:32

Hallo Wuschel,

es könnte möglich sein, daß deine Mailadresse dahingehend überprüft wird, ob sie existiert.
Wird eine Mail an eine nicht existierende Adresse gesendet, kann der Absender eine Fehlermeldung bekommen.
Das liegt aber am Provider.

**truelife** · 04.03.2019, 19:54

Was sagt denn der Plaintext?

**Wuschel_MUC** · 04.03.2019, 20:42

Zitat von truelife

Was sagt denn der Plaintext?

Betreff:
uvyoymb

Nachrichtentext:
anfiqjd erkejnv

Kein sinnvolles Wort, kein Link, kein Bild.

Wuschel

**hoppala** · 04.03.2019, 23:51

Das ist offenbar eine möglicherweise russisch/ukrainische Spammer-Gang, die auch gerne mal unbehelligt bei myLoc hostet (auch bei vorherigen Spam-Wellen).

Domain-Namen, IPs und Hoster-Namen aus der letzten Zeit (zum Teil nicht mehr aktiv) mit Nameservice bei alldomains.hosting:

Code:

 sender_domain     | client_address  |                  client_name                  | client_asn 
-------------------+-----------------+-----------------------------------------------+------------
 alfanames.art     | 217.79.182.196  | mail.alfanames.art                            |      24961 (myLoc)
 alfanames.eu      | 89.163.141.247  | mail.alfanames.eu                             |      24961
 alfanames.network | 5.199.135.193   | mail.alfanames.network                        |      24961
 holinme.art       | 89.163.141.248  | mail.holinme.art                              |      24961
 holinme.eu        | 5.199.130.44    | mail.holinme.eu                               |      24961
 holinme.network   | 89.163.221.17   | mail.holinme.network                          |      24961
 jokmexi.eu        | 62.141.32.208   | mail.jokmexi.eu                               |      24961
 jookinge.network  | 185.20.186.9    | mail.jookinge.network                         |      50673 (Deltahost, Ukraine und Niederlande)
 lifema.eu         | 89.163.241.59   | mail.lifema.eu                                |      24961
 semigaren.art     | 88.99.174.226   | mail.semigaren.art                            |      24940 (Hetzner)
 semigaren.eu      | 217.197.116.80  | unknown                                       |      20655 (e-Style, Russland)
 semigaren.network | 138.201.162.116 | static.116.162.201.138.clients.your-server.de |      24940 (Hetzner)

Davor gab es schon lange welche mit dynadot.com-Nameservice bei myLoc:

Code:

 sender_domain | client_address  |             client_name             
---------------+-----------------+-------------------------------------
 abinjorna.eu  | 213.202.216.127 | mail.abinjorna.eu
 abinjorna.eu  | 89.163.214.124  | mail.abinjorna.eu
 adermose.eu   | 46.228.199.128  | vps1636673.vs.server-hosting.expert
 automage.eu   | 89.163.155.118  | mail.automage.eu
 balkonsky.eu  | 89.163.221.214  | mail.balkonsky.eu
 boominge.eu   | 5.199.143.160   | mail.boominge.eu
 dinercam.eu   | 5.199.130.44    | mail.dinercam.eu
 financerm.eu  | 89.163.213.3    | mail.financerm.eu
 findora.art   | 5.199.133.112   | mail.findora.art
 foodgi.eu     | 89.163.152.45   | mail.foodgi.eu
 forestmen.eu  | 213.202.219.197 | mail.forestmen.eu
 hismag.eu     | 5.104.107.138   | mail.hismag.eu
 hismag.eu     | 89.163.221.216  | mail.hismag.eu
 indystryle.eu | 81.30.158.205   | vps1638848.vs.server-hosting.expert
 jominsta.eu   | 62.141.32.162   | mail.jominsta.eu
 jominsta.eu   | 89.163.155.221  | mail.jominsta.eu
 jookise.eu    | 46.228.199.128  | vps1636673.vs.server-hosting.expert
 lisamo.eu     | 5.104.110.97    | mail.lisamo.eu
 lisamo.eu     | 89.163.155.222  | mail.lisamo.eu
 mainstree.eu  | 89.163.216.59   | unknown
 manifesr.eu   | 89.163.214.128  | mail.manifesr.eu
 medicome.eu   | 89.163.141.148  | mail.medicome.eu
 newselive.art | 62.141.46.214   | mail.newselive.art
 orgsoft.eu    | 5.104.110.188   | mail.orgsoft.eu
 popersio.eu   | 89.163.221.13   | mail.popersio.eu
 simenge.art   | 213.202.252.21  | mail.simenge.art
 tramstreem.eu | 89.163.241.249  | mail.tramstreem.eu

hoppala

**derhub** · 05.03.2019, 04:11

Es wird gerade deine E-Mail Adresse getestet.

Beachte dabei, dass die ersichtliche Mailadresse nicht deine ist sondern eine andere die sich halboffiziell anhoert. Deine ist unter X-Original-To angegeben.

Du hast nun folgendes zu erwarten:
+ spam für deutsche pharma / europäische apotheke und noch andere namen für potenzpillen, testosteron, abnehmpräparate- "Generika Testpakete ohne Vorauszahlung" / "Potenzpillen mit der Lieferung"
+ bitcoin-code Subject zZt "Erhalte täglich €5.900 mit einer UNTERGRUND Gewinnmöglichkeit"
+ "dating für sex für Deutschland"
+ websiten-erstellung Subject zZt "Smart Marketing 2019 - einfach outsourcen und Kosten sparen" facebook-seiten für etwa 650,-€
+ kredite für 2% / bankkredit. subject etwa "spielt ihre bank auch verrückt"
+ Hallux Valgus / Fuß und Nagelpilz / Prostatatitis

Tlw. auch spam für Nachtsichtbrillen, Kratzerentferner, Taschenlampen und vieles mehr.

Bei letzteren klingt manchmal ein österreichischer Slang mit durch.
Bei den Generikaseiten werden Fehler eingebaut so dass man denkt die Spammer können nicht einmal richtig deutsch und es wäre nur mit Google Translator übersetzt und würde alles von russischen seilschaften gemacht werden.

Hetzner leitet Beschwerdemails an ihren Serverkunden weiter so dass man dann die Liste waschen kann indem man solche Störenfriede beseitigt um die dann tot zu spammen, die die Füße stillhalten-

Deine Mailadresse scheint da gar in das Netzwerk von ADrom aus Österreich gelangt zu sein.

Irgendwann kommt vielleicht auch was von DataSoft Solutions aus Miami. Kann aber dauern denn es gibt ja viel zu spammen.

**Ralgert** · 08.03.2019, 18:08

Zitat von Wuschel_MUC

Betreff:
uvyoymb

Nachrichtentext:
anfiqjd erkejnv

Kein sinnvolles Wort, kein Link, kein Bild.

Wuschel

Wenn das alles war, könnte es auch ein händischer Test gewesen sein, der schief gelaufen ist.
Mache ich manchmal auch, wenn ich neue Adressen, Weiterleitung, Filter, , Portal, etc. kurz testen will. Dann kommt in der mail nur ein nummeriertes "T" oder ein paar willkürliche Tasten gedrückt. Qick and Drity.

**derhub** · 08.03.2019, 18:51

Zitat von Ralgert

Wenn das alles war, könnte es auch ein händischer Test gewesen sein, der schief gelaufen ist.
Mache ich manchmal auch, wenn ich neue Adressen, Weiterleitung, Filter, , Portal, etc. kurz testen will. Dann kommt in der mail nur ein nummeriertes "T" oder ein paar willkürliche Tasten gedrückt. Qick and Drity.

Solche kamen bei mir in den letzten Tagen mehrere rein. Ist auch nicht das erste mal.

Received: from mail.tophots.eu (mail.tophots.eu [85.114.142.87])

X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416

injyhzy eduzyzp

**Ralgert** · 08.03.2019, 19:07

Ja, bei vermehrten Auftreten liegt das Listwashing nahe.

Thema: Merkwürdige Spam-Mail

Themen-Optionen

Anzeige

Merkwürdige Spam-Mail

Lesezeichen

Lesezeichen

Berechtigungen