Return-Path: <1-2138195-x?martin [at] jaca.a-deals.com>
X-Flags: 1001
Delivered-To: GMX delivery to x
Received: from x [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for x (single-drop); Fri, 19 May 2006 xx:xx:xx +0200 (CEST)
Received: from jaca.a-deals.com (jaca.a-deals.com [206.131.245.68] (may be forged))
by x (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <x>; Fri, 19 May 2006 xx:xx:xx +0200
MIME-Version: 1.0
X-Accept-Language: en
X-Priority: Normal
From: Brand 42 <newsletter [at] a-deals.com>
To: x
Subject: =?iso-8859-1?B?U2llIGv2bm5lbiBHYXJ0ZW5nZXLkdGUgaW0gV2VydCB2b24gNzAwIEV1cm8gZ2V3aW5uZW4=?=
Date: Thu, 18 May 2006 xx:xx:xx EST
Message-ID: [ID filtered]
X-Mailer: 3.2.8-66 [Apr 21 2006, xx:xx:xx]
Content-Type: text/html; charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit
X-MailScanner: Found to be clean
X-MailScanner-From: 1-2138195-x?martin [at] jaca.a-deals.com
X-Collected-By: GMX/x
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=1.5; SUBJ_ILLEGAL_CHARS)
X-GMX-UID: [UID filtered]

http://www.zoo-media.co.uk

Hallo zusammen,

der Spam für Umfrage ist auch bei mir aufgeschlagen:

Return-Path: <1-2183184-gmx.de?[mein lokaler Adressteil]@maca.a-deals.com>
X-Flags: 0000
Delivered-To: GMX delivery to [mein lokaler Adressteil]@gmx.de
Received: (qmail invoked by alias); 19 May 2006 xx:xx:xx -0000
Received: from maca.a-deals.com (HELO maca.a-deals.com) [206.131.245.69]
by mx0.gmx.net (mx029) with SMTP; 19 May 2006 xx:xx:xx +0200
MIME-Version: 1.0
X-Accept-Language: en
X-Priority: Normal
From: Brand 42 <newsletter [at] a-deals.com>
To: [mein lokaler Adressteil]@gmx.de
Subject: Sie können Gartengeräte im Wert von 700 Euro gewinnen
Date: Thu, 18 May 2006 xx:xx:xx EST
Message-ID: [ID filtered]
X-Mailer: 3.2.8-66 [Apr 21 2006, xx:xx:xx]
Content-Type: text/html; charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)

Einen feinen Header haben wir da, versendet über einen Mailserver, der direkt neben a-deals.com steht.
Zeile 1: Enthält kodiert die bespammte Adresse und entscheidende Teile der Message-ID. Diese Informationen sind auch im Bodytext kodiert. Offensichtlich werden hier Fehlermeldungen, etc. ausgewertet.

a-deals.com
Der Betreiber bietet einen Austragelink an, austragen kann man dort jede eMail-Adresse, eine Prüfung oder Datenbankanbindung existiert nicht. Ein Impressum fehlt auch, registriert ist die Domain über einen Anonymisierungsdienstleister. Also ein 100%iger Schwarzhut.

Der Textkörper
Geworben wird mit einem Gewinnspiel für teflonbeschichtete Gartengeräte.
mailto:info [at] brand42.co.uk
http://www.zoo-media.co.uk/clients/teflon/de/terms.asp
http://www.zoo-media.co.uk/clients/teflon/de/privacypolicy.asp
http://www.zoo-media.co.uk/clients/teflon/de/sendtoafriend.asp
http://a-deals.com/unsub.php?e=[mein lokaler Adressteil]@gmx.de&m=2183184
http://www.zoo-media.co.uk/clients/teflon/de/1.asp
Weitere Unterseiten schnell Austauschen der Nummern ...

... und wieder in kleinster Schrift:
font color='#ffffff' face='arial,helvetica' size='1'
1;4VeMHSHKVgegBnDSPnzjKSH;2183184
Versteckte Infos über meine Identität.

Web-Bug
img src="http://a-deals.com/clickopen?msgid=2183184&
email=24hOQab76hYbQ8bc94S [at] 8Qb" width="1" height="1"
Böse, böse - hier werden Lesebestätigung und IP-Adresse übermittelt.

Brand42.co.uk und Zoo-Media.co.uk
Die Firmen sitzen beide in London und die Telefonnummern unterscheiden sich lediglich in den letzten Ziffern. Ich vermute, die hängen an der gleichen Telefonanlage. Ein Anruf bei Zoo-Media brachte kein Ergebnis, die Firma war mit einer Person besetzt, die lediglich wußte, daß die Adressen gekauft sind, aber den Anbieter natürlich nicht nennen konnte. Brand 42 wirbt mit Dupunt und Teflon-Logos und im Zoo-Media-Link steht "teflon", daher gehe ich davon aus, daß Dupont diese Aktion beauftragt hat.

Dupont und Teflon
Schriftliche und telefonische Beschwerden an die deutsch Tochter "Dupont De Nemours Deutschland GmbH" in Bad Homburg sind raus, nun bin ich auf die Ergebnisse gespannt.

Nebelwolf