Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 30

Thema: "Dieses ist eine Kopie der folgenden Nachricht"

  1. #1
    Mitglied Avatar von Rava
    Registriert seit
    13.02.2007
    Ort
    near 127.0.0.1
    Beiträge
    298

    Frage "Dieses ist eine Kopie der folgenden Nachricht"


    header:
    01: Return-Path: <info [at] pensionvitis.at>
    02: Received: from mout-xforward.kundenserver.de ([82.165.159.9]) by mx-ha.gmx.net
    03: (mxgmx117 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <poor [at] spamvictim.tld>; Mon, 30 Mar 2020 xx:xx:xx +0200
    05: Received: from infong1231.kundenserver.de ([82.165.80.250]) by
    06: mrelayeu.kundenserver.de (mreue011 [172.19.35.7]) with ESMTPA (Nemesis) id
    07: 1M72Xn-1jQgej1fEV-008aX7 for <poor [at] spamvictim.tld>; Mon, 30 Mar 2020 xx:xx:xx +0200
    08: Received: from 84.38.180.239 (IP may be forged by CGI script)
    09: by infong1231.kundenserver.de with HTTP
    10: ID: [ID filtered]
    11: X-Sender-Info: <474286629 [at] infong1231.kundenserver.de>
    12: Precedence: bulk
    13: To: poor [at] spamvictim.tld
    14: Subject: Kopie von: Ich finde, du siehst toll aus. Willst du reden?
    15: Date: Mon, 30 Mar 2020 xx:xx:xx +0200
    16: From: "pensionvitis.at" <info [at] pensionvitis.at>
    17: Reply-To: qsbxtjmtpa <XXX [at] XXXgmx.de>
    18: Message-ID: [ID filtered]
    19: MIME-Version: 1.0
    20: Content-Type: text/plain; charset=utf-8
    Dieses ist eine Kopie der folgenden Nachricht, die an Jane Q. Public via Pension VITIS gesendet wurde:

    Dies ist eine Mailanfrage via whois:https://pensionvitis.at/ von:
    qsbxtjmtpa <XXX@XXXgmx.de>

    Hey!
    Schau dir meine Fotos an
    whois:https://meip.website?[Zufällig aussehende Buchstaben und Zahlen entfernt]==
    Was ist der Sinn auf whois:https://meip.website? zu verweisen? Das ist nicht mal eine gültige URL.
    Gruß, Rava

    Malware auf Wind-Systemen besser nicht lokal speichern!
    Ebenso Links zu Phishing-Sites nur betreten, wenn Ihr wisst was Ihr da macht!

  2. #2
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    17.920

    Standard

    Es ist eine gültige URL.

    Zum Beispiel hier gefahrlos testbar: https://www.browserling.com/browse/w...2/meip.website
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  3. #3
    Diplom Privatier (c) Avatar von cmds
    Registriert seit
    04.05.2006
    Ort
    N 53° 07.274′ E 7° 58.678′
    Beiträge
    12.529

    Standard

    Die leitet dann irgendwann auf google.com um, was damit bezweckt werden soll erschliesst sich mir nicht.
    Die Signatur befindet sich aus technischen Gründen auf der Rückseite dieses Beitrages!
    Dieser Eintrag wurde extrem umweltfreundlich, aus wiederverwendeten Buchstaben gelöschter E-Mails geschrieben und ist vollständig digital abbaubar.
    „Ich fürchte den Tag, wenn Technologie unsere Wechselbeziehungen beeinflusst, die Welt wird Generationen von Idioten haben.” Albert Einstein 1879-1955
    „Die ältesten Wörter sind die besten und die kurzen die allerbesten." Sir Winston Churchill 1874–1965
    "Nur die Lüge braucht die Stütze der Staatsgewalt, die Wahrheit steht von alleine aufrecht."Thomas Jefferson1743-1826




  4. #4
    Mitglied Avatar von Rava
    Registriert seit
    13.02.2007
    Ort
    near 127.0.0.1
    Beiträge
    298

    Standard

    Zitat Zitat von truelife Beitrag anzeigen
    Es ist eine gültige URL.

    Zum Beispiel hier gefahrlos testbar: https://www.browserling.com/browse/w...2/meip.website
    Danke, kannte ich noch nicht die Seite. Sehr hilfreich.
    Ich versuche es mal mit einem selbst generiertem beliebigen Code (da ich vermute das die den nutzen um meine Email zu verifizieren um die Adresse noch teurer weiterverkaufen zu können.
    https://www.browserling.com/browse/w...e?bLaBlA773563
    Dennoch, wenn ich zumindest den selbst generierten Code per browserling.com aufrufe gibt es einen redirect und schließlich lande ich bei Google.

    Gibt es eine Möglichkeit das was browserling.com anzeigt zu pausieren damit man die Weiterleitung analysieren kann?
    Unter Tools habe ich ja Screenshots, aber die beziehen sich nur auf das aktuell sichtbare nicht auf was schon wieder "Vergangenheit" ist.
    Gruß, Rava

    Malware auf Wind-Systemen besser nicht lokal speichern!
    Ebenso Links zu Phishing-Sites nur betreten, wenn Ihr wisst was Ihr da macht!

  5. #5
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    10.733

    Standard

    Jane Q. Public ist eine weibliche Variante von John Q. Public
    https://en.wikipedia.org/wiki/John_Q._Public

    Eine Spammail die der obigen stark ähnelt
    https://mailspam.info/en/kopie-von-hey-wie-geht-es-dir-heute_6598464918860405591-9b509518c44ae79c1f3c5b137e7efd9a.htm

  6. #6
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    17.920

    Standard

    Auf der Webseite läuft ein komisches Script:

    <script>
    var _0x59a1=['location','window.location.href=\x22r.php?email=\x22+strGET','search'];(function(_0x193ed4,_0x59a1a5){var _0x32161a=function(_0x22d5c6){while(--_0x22d5c6){_0x193ed4['push'](_0x193ed4['shift']());}};_0x32161a(++_0x59a1a5);}(_0x59a1,0xce));var _0x3216=function(_0x193ed4,_0x59a1a5){_0x193ed4=_0x193ed4-0x0;var _0x32161a=_0x59a1[_0x193ed4];return _0x32161a;};var strGET=atob(window[_0x3216('0x1')][_0x3216('0x0')]['replace']('?',''));setTimeout(_0x3216('0x2'),0x9c4);
    </script>
    Ich vermute, dass mein funktionierenden Links (also vermutlich korrekt hinterlegter, dekodierter E-Mail-Adresse) tatsächlich eine Weiterleitung aktiv ist. Dem Txt nach vermutlich für eine Bezahlseite für Pornobildchen oder einen SMS-Chat oder so einen Kram.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  7. #7
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.358

    Standard

    derselbe Ganove:


    header:
    01: Received: from m18s4-1-17db.ispgateway.de ([37.200.100.156]) by
    02: mx-ha.gmx.net
    03: (mxgmx114 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <x>; Sun, 12 Apr 2020 xx:xx:xx +0200
    05: Received: (qmail 4124 invoked from network); 12 Apr 2020 xx:xx:xx -0000
    06: Received: from unknown (HELO m18s4-1-17db.ispgateway.de) (127.0.0.1)
    07: by localhost with SMTP; 12 Apr 2020 xx:xx:xx -0000
    08: Received: (from u41315 [at] localhost)
    09: by m18s4-1-17db.ispgateway.de (8.14.9/8.13.6/Submit) ID: [ID filtered]
    10: Sun, 12 Apr 2020 xx:xx:xx +0200

    Subject: Kopie von: Hey, wie geht es dir heute?
    Dies ist eine Mailanfrage via https://tsv-neckartailfingen.de/ von:
    <xxx@gmx.de>

    Top burny busty busty chicks nur auf dieser Seite!

    Folge dem Link, und es wird dir nicht leid tun -
    whois:http://heav.site...
    IP: 104.28.2.148 -> Cloudflare

    Ohne Tracking ID landet man wieder bei Tante Gugl.

    Die Redirect-Kette:

    whois:https://heav.site/r.php?email=&co=bWVkcWI=&s= Man beachte das r.php, siehe: https://www.antispam-ev.de/forum/sho...40775-Cannabis

    whois:https://xeiz.site/email?s=&sid1=z&email=
    IP: 104.31.69.135 -> Cloudflare


    whois:http://91.211.249.121/gateway.php?frm=dm&token=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1cmwiOiJodHRwczpcL1wvZ29vZ2xlLmNvbSJ9.k2Q2Il9FVhwosiwHs4Qb5pRzKB0P4culXkTw1JpwVcQ
    = whois:vm741013.had.su
    server-panel.net, angeblich in den Niederlanden(Server location - Netherlands, Dronten), aber dann: Mahe, Seychelles und ns4.zomro.su (mnt-by: mnt-ua-bord-it-1),
    was dann wieder stark auf die Russenmafia in der Ukraine hindeutet.


    whois:https://google.com/
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  8. #8
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.358

    Standard

    Wieder dieselben Ganoven, auf französisch:


    header:
    01: Received: from montpellier2.web-ecclesial.fr ([217.182.81.46]) by
    02: mx-ha.gmx.net (mxgmx114 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    03: Received: from localhost (localhost [127.0.0.1])
    04: by montpellier2.web-ecclesial.fr (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Tue, 14 Apr 2020 xx:xx:xx +0200 (CEST)
    06: X-Virus-Scanned: Debian amavisd-new at montpellier2.web-ecclesial.fr
    07: Received: from montpellier2.web-ecclesial.fr ([127.0.0.1])
    08: by localhost (montpellier2.web-ecclesial.fr [127.0.0.1]) (amavisd-new,
    09: port 10024)
    10: with LMTP ID: [ID filtered]
    11: Tue, 14 Apr 2020 xx:xx:xx +0200 (CEST)
    12: Received: by montpellier2.web-ecclesial.fr (Postfix, from userID: [ID filtered]
    13: ID: [ID filtered]

    IP: 217.182.81.46 -> OVH

    Ceci est une copie du message que vous avez envoyé à Osmosis via
    chretiensetcultures

    Ceci est un message expédié via https://chretiensetcultures.fr/ par :
    <xxx @ gmx.de>

    Komm rein und lass uns Spaß haben
    whois:http://heav.site/r.php

    mit der üblichen Weiterleitungskette.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  9. #9
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.358

    Standard

    Wieder dieselben Kriminellen:


    header:
    01: eceived: from nc-servervidavet.noucode.com ([92.222.104.35]) by
    02: mx-ha.gmx.net
    03: (mxgmx117 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <x>; Thu, 16 Apr 2020 xx:xx:xx +0200
    05: Received: from localhost (localhost [127.0.0.1])
    06: by nc-servervidavet.noucode.com (Postfix) with ESMTP ID: [ID filtered]
    07: for <x>; Tue, 14 Apr 2020 xx:xx:xx +0200 (CEST)
    08: Received: from nc-servervidavet.noucode.com ([127.0.0.1])
    09: by localhost (nc-servervidavet.noucode.com [127.0.0.1]) (amavisd-new,
    10: port 10024)
    11: with ESMTP ID: [ID filtered]
    12: Tue, 14 Apr 2020 xx:xx:xx +0200 (CEST)
    13: Received: by nc-servervidavet.noucode.com (Postfix, from userID: [ID filtered]
    14: ID: [ID filtered]
    15: X-Mailer: PHPMailer (phpmailer.sourceforge.net) [version 2.0.4]

    gecrackt: webmaster@aloeverayanimales.com

    IP: 92.222.104.35 -> OVH

    Copia de:

    Esta es una consulta de correo electrónico
    http://www.aloeverayanimales.com/ a través de:
    <xxx@gmx.de>

    Ich würde dir erlauben,

    mich zu ******, wenn du hier wärst
    whois:http://meip.website...
    IP: 104.28.6.11 -> Cloudflare



    header:
    01: Received: from vm39.fcomet.com ([45.79.9.66]) by mx-ha.gmx.net (mxgmx114
    02: [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    03: <x>; Thu, 16 Apr 2020 xx:xx:xx +0200
    04: Received: from vjdseh83 by vm39.fcomet.com with local (Exim 4.93)
    05: (envelope-from <admin [at] julianmousleyandsons.co.uk>)
    06: ID: [ID filtered]
    07: for x; Thu, 16 Apr 2020 xx:xx:xx +0000
    08: X-PHP-Originating-Script: 521:class.phpmailer.php

    gecrackt: admin@julianmousleyandsons.co.uk

    IP: 45.79.9.66 -> LINODE-US

    This is a copy of the following message you sent to Epsilon via
    julianmousleyandsons

    This is an enquiry email via https://julianmousleyandsons.co.uk/ from:
    <xxx@gmx.de>

    Willst du telefonieren?
    Klicken Sie hier, um die Nummer zu sehen -
    whois:http://feax.fun...
    IP: 104.28.0.33 -> Cloudflare

    Beide Male wohl eine unsichere PHP-Version gecrackt.

    Und hier will das Schweinderl nach der Weiterleitung verdienen:

    whois:http://find-your-datings8.com
    IP: 193.35.48.6 -> iridatelecom, RU/team-host.ru
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  10. #10
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.358

    Standard

    wieder von diesen Ganoven:


    header:
    01: Received: from scriptmail.scaledsystems.com ([209.132.4.91]) by
    02: mx-ha.gmx.net
    03: (mxgmx116 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <x>; Fri, 17 Apr 2020 xx:xx:xx +0200
    05: Received: (qmail 29547 invoked from network); 17 Apr 2020 xx:xx:xx -0000
    06: Received: from script5.scaledsystems.com (209.132.7.45)
    07: by scriptmail.scaledsystems.com with SMTP; 17 Apr 2020 xx:xx:xx -0000
    08: Received: by script5.scaledsystems.com (Postfix, from userID: [ID filtered]
    09: ID: [ID filtered]

    Subject: Copy of: Wie geht es dir? Wie geht es dir?
    This is a copy of the following message you sent to Adobe Pet Hospital
    via Adobe Pet Hospital and Laser Surgery Center

    This is an enquiry email via http://adobepet.com/ from:
    <xxx@gmx.de>

    Hallo,

    meine Fotos sind hier
    whois:http://keih.space...
    IP: 104.24.102.197 -> Cloudflare

    weiter auf:

    whois:http://xeiz.site
    IP: 104.31.68.135 -> Cloudflare

    Registrar WHOIS Server: whois.reg.ru
    Registrar URL: https://www.reg.ru/
    keih.space@regprivate.ru

    abuse@reg.ru

    xeiz.site@regprivate.ru
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

Seite 1 von 3 123 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen