Re: 210.77.221.6 (Ursprungsquelle der Spammail)
To: poor [at] spamvictim.tld, poor [at] spamvictim.tld, poor [at] spamvictim.tld
Re: dhghost.net (beworbene Seite)
To: poor [at] spamvictim.tld
Re: yourwife_tla [at] aol.com (Dropbox)
To: poor [at] spamvictim.tld
re: yoyo.hostingxxx4free.com/index.php?cid=225 (remove-Link)
To: poor [at] spamvictim.tld, poor [at] spamvictim.tld

===8<==============Original message text===============
Received: from [172.20.2.118] (helo=mailgate7.cinetic.de)
by mx07.web.de with esmtp (WEB.DE(Exim) 4.93 #56)
ID: [ID filtered]
for poor [at] spamvictim.tld; Thu, 12 Dec 2002 xx:xx:xx +0100
Received: from mailin-01.mx.aol.com ([210.77.221.6])
by mailgate7.cinetic.de (8.11.6/8.11.6/WEBDE Linux 8.11.6-0.3) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 12 Dec 2002 xx:xx:xx +0100
Date: Thu, 12 Dec 2002 xx:xx:xx +0100
Message-ID: [ID filtered]
From: Wifey <yourwife_tla [at] aol.com>
To: <poor [at] spamvictim.tld>
Subject: she told us you wanted to see this
MIME-Version: 1.0
Content-Type: text/html; charset="US-ASCII"
Content-transfer-encoding: 7bit
X-WEBDE-TAG: S
Sender: yourwife_tla [at] aol.com

INCREASE YOUR PENIS SIZE BY 1/4 INCH IN ONE WEEK!
Guaranteed!!!!!!
OUR DOCTOR APPROVED TABLET WILL ENLARGE YOUR PENIS UP TO 3 INCHES.
NO PREscriptION NECESSARY! YOU CAN HAVE REALISTIC GAINS IN JUST A FEW WEEKS.
Over 100,000 Satisfied Customers! Complete PENIS Enlargement System! Laboratory Tested, Doctor Approved! Do you want a bigger PENIS? Do you want to pleasure your partner every time? Do you want your PENIS to be HARD as a ROCK all the time? If you are serious about ENLARGING, strengthening and developing your PENIS, then you have finally found what you are looking for. With over 35 years of research behind our product, we can guarantee results. Our prorietary exercises when used with the DHG supplements will give you results! We guarantee it!
Get Real Prescription Meds Online dhghost.net/optin01/?WM_ID=6967





Go here if you are not wanting this male anymore yoyo.hostingxxx4free.com/index.php?cid=225&eid=...
===8<===========End of original message text===========

Kam im Doppelpack auf privat und dienstl. Adresse.

Grüsse

Eniac

--
Ceterum censeo netmails.com esse delendam.

Bei mir auch aufgeschlagen.
================================================================================
X-Envelope-From: <yourwife_tla [at] aol.com>
X-Envelope-To: <poor [at] spamvictim.tld>
X-Delivery-Time: 1039661868
Received: from mailin-01.mx.aol.com ([200.217.232.58])
by mailin.webmailer.de (8.9.3/8.8.7) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 12 Dec 2002 xx:xx:xx +0100 (MET)
Date: Thu, 12 Dec 2002 xx:xx:xx +0100 (MET)
Message-ID: [ID filtered]
From: Wifey <yourwife_tla [at] aol.com>
To: <poor [at] spamvictim.tld>
Subject: she told us you wanted to see this
MIME-Version: 1.0
Content-Type: text/html; charset="US-ASCII"
Content-transfer-encoding: 7bit
<html>
....
http://www.dhghost.net/optin01/?WM_ID=6967 (<a href=)"><font face="Arial, Helvetica, sans-serif">Get
Real Prescription Meds Online</font></a><font face="Arial, Helvetica, sans-serif"><br>
...
<font face="Arial, Helvetica, sans-serif">http://yoyo.hostingxxx4free.com/index.php?cid=225&eID: [ID filtered]
here if you are not wanting this male anymore </a></font>

=========================================================================
Liege ich richtig wenn ich Deine Abuseadressen übernehme?
Für mich siehts so aus, aber bin neu in dem "Geschäft" und möchte keinen
Unfug treiben.
Danke und Gruß
teschi

> Liege ich richtig wenn ich Deine Abuseadressen übernehme?
Nicht ganz, in Deinem Fall ist der Ursprung ein anderer.
200.217.232.58 --> postmaster [at] telemar-ba.net.br und mail-abuse [at] nic.br
Ach ja und wie`s so aussieht, bounct die postmaster-Adresse von hostingxxx4free.com, kannst Du Dir also schenken.
HTH
Eniac

--
Immer feste druff!

Ups; den anderen Ursprung sehe ich jetzt auch.
Da war ich wohl beim vergleichen der Header etwas flusig.
Danke für die Hinweise, dann werde ich mal die Meldungen verschicken.
Hast Du schon eine Reaktion auf Deine Meldungen (ausser dem bounce)
oder bin ich da zu optimistisch in der Zeitschiene?
Gruß
teschi
--------------------------------------------------------------
Nachtrag:
Wie bist Du auf postmaster [at] telemar-ba.net.br gekommen?
Ich habe über whois.registro.br nach Eingabe der IP ...
----
... abuse [at] TELEMAR.NET.BR...
Security issues should also be addressed to
nbso [at] nic.br, http://www.nic.br/nbso.html
Mail abuse issues should also be addressed to
mail-abuse [at] nic.br
----
... gefunden.
Nach der Methode "Doppelt hält besser" alle versorgen?
Gruß
teschi

> Hast Du schon eine Reaktion auf Deine Meldungen (ausser dem bounce)
oder bin ich da zu optimistisch in der Zeitschiene?
Na ja, bei complaints an China kann man schon froh sein, wenn mal ein Autoresponder antwortet, Brasilien ist da nix besser. Von exodus.net habe ich noch nie eine Rückmeldung bekommen.
Grüsse
Eniac

--
Immer feste druff!

> ... abuse [at] TELEMAR.NET.BR...
Oh, die habe ich wohl in dem Gewirr übersehen, aber die postmaster-Adresse sollte auch funktionieren.
Ansonsten darfst Du sie bei http://www.rfc-ignorant.org verpetzen, da die postmaster-Adresse für Betreiber von SMTP-Servern gemäss RFC 2142 obligatorisch ist.
Grüsse
Eniac


--
Immer feste druff!

Noch eine Unsichererneulingfrage:
Bin auf Deine Standardtexte gestoßen. Welche Abschnitte passen?
1.-ist klar. Noch einer, oder wirds albern?
Vielen Dank nochmal fürs Bisherige.
Gruß
teschi
-------------------------------------------------------------
Nachtrag:
Egal - ist raus nur mit 1. Abschnitt.
Mal schauen was wird.

>Ach ja und wie`s so aussieht, bounct die postmaster-Adresse von hostingxxx4free.com, kannst Du Dir also schenken.
Habe mal bei register.com ne whois Abfrage nach hostingxxx4free.com gestartet. Die liefern das Ergebnis in einer 9kB großen top_verisign.cgi.gif und einer 5kB Großen bottom_verigsign.cgi.gif [Sc..de: abtippen]
Sind Dir/euch die Einträge bekannt?
Demnach wird ein "More Facials" (Firma?) bzw. "Craven Morehead" (Person?), Anschrift, "NL" (Land?) mit "Phone: 011411232..." und "e-mail: facialjoe [at] pisonme.com" als Adminstrative Contact geführt.
Technical Contact / Zone Contact ist register.com in NY (Phone,Fax,Mail)
Macht es Sinn den facialjoe anzuschreiben? Weitersuchen (pisonme.com)? oder vergessen (register.com ist wohl der Falsche)?
GEEKTOOL liefer die gleichen Daten als Text.
Gruß
teschi

Moin,
> Bin auf Deine Standardtexte gestoßen. Welche Abschnitte passen?
> 1.-ist klar. Noch einer, oder wirds albern?
typischerweise sieht ein complaint bei mir so aus:

Dear Madam or Sir,

TO: poor [at] spamvictim.tld, poor [at] spamvictim.tld
The following Unsolicited Commercial E-mail appears to have been relayed through an SMTP server at your site { 210.77.221.6 }.
You may wish to consider closing your SMTP ports to prevent further abuse of your system resources by spammers. For information on how to prevent SMTP hijacking, please see http://spam.abuse.net/tools/mailblock.html.

TO: poor [at] spamvictim.tld
The headers in the junk email I have received (included below) pointing to your domain are likely forged.
If so, you will probably not be amused to hear that a spammer is forging your identity and you may want to take legal action.
It is still possible, however, that { yourwife_tla [at] aol.com } is genuine. In that case, I respectfully suggest that you consider terminating the abuser`s account.

TO: poor [at] spamvictim.tld
This it to complain about Unsolicited Commercial Email (junk email, or spam) mass-mailed by your customer { dhghost.net }. Please terminate the account.

TO: poor [at] spamvictim.tld
a link to your customer { yoyo.hostingxxx4free.com/index.php?cid=225 } was offered as an unsubscribe link to make this mail look legal.
--------------------------------------------------------------------
$MAIL_QUÄLTEXT_INCL_ALLER_HEADERZEILEN


> Habe mal bei register.com ne whois Abfrage nach hostingxxx4free.com gestartet.
> [...]
> Macht es Sinn den facialjoe anzuschreiben? Weitersuchen (pisonme.com)?
Hm, `pisonme.com` hört sich an wie `leckarsch.de` und existiert wie dieser Scheissejoe natürlich nimmer.
Ist es sinnvoll, diesen Sachverhalt neben rfc-ignorant.org auch an das zuständige NIC zu melden. Wenn ja, welches wäre das?
In diesem Zusammenhang:
Ich habe in der letzten Zeit öfters Spam bekommen, der subdomains von `rocksolidfree.com` und `reliablefreehost.com` bewirbt (http://board.antispam.de/board/topic.php...&forum=11719959 (http://board.antispam.de/board/topic.php?&board=210112&id=242330&forum=11719959)), das scheint alles zusammen zu gehören:
Domain name: reliablefreehost.com
Registrant Contact:
FRAUD
SPAM DEPT Complaints (poor [at] spamvictim.tld)
973-758-0880
FAX: 973-758-0880
SPAM COMPLAINTS
orange, NJ 07039
US

Administrative Contact:
Global Internet Marketing, Inc.
Cravin Morehead (poor [at] spamvictim.tld)
(775) 465-1151
FAX: (775) 725-7825
202 N. Curry Street
Suite 100
Carson City, NV 89703
US

Und gerade frisch aufgeschlagen:
===8<=============Original message header==============
[interne Received-Zeilen des Exchange Servers]
Date: Fri, 13 Dec 2002 xx:xx:xx +0100 (MET)
Message-ID: [ID filtered]
X-Authentication-Warning: gate2-a.xxx.de: smtpd set sender to <ntshppr [at] aol.com> using -f
From: Net Shopper <ntshppr [at] aol.com>
To: <poor [at] spamvictim.tld>
Subject: be a bigger man
MIME-Version: 1.0
Content-Type: text/html; charset="US-ASCII"
Content-transfer-encoding: 7bit
===8<==========End of original message header==========
Beworbener Link wie gehabt, remove-Link diesmal: yoyo.hostingxxx4free.com/index.php?cid=227&eid=...

Grüsse
Eniac

--
Immer feste druff!

>typischerweise sieht ein complaint bei mir so aus:
Schönen Dank für die Vorlage.
>Hm, `pisonme.com` hört sich an wie `leckarsch.de` und existiert wie dieser Scheissejoe natürlich nimmer.
Das sagt mir: Gründlicher forschen - dann Nachfragen. Werde beim nächstenmal daran denken.
>Ist es sinnvoll, diesen Sachverhalt neben rfc-ignorant.org auch an das zuständige NIC zu melden. Wenn ja, welches wäre das?
Hmm, "Register.com" Whois Database sagt:
---
Organization:
More Facials
Craven Morehead
34 W uttergabten W E
Jorgenberg, mk10674
NL
Phone: 0114112325765
Email: facialjoe [at] pissonme.com
Registrar Name....: Register.com
Registrar Whois...: whois.register.com
Registrar Homepage: http://www.register.com
Domain Name: HOSTINGXXX4FREE.COM
Created on..............: Tue, Dec 03, 2002
Expires on..............: Wed, Dec 03, 2003
Record last updated on..: Mon, Dec 09, 2002
Administrative Contact:
More Facials
Craven Morehead
34 W uttergabten W E
Jorgenberg, mk10674
NL
Phone: 0114112325765
Email: facialjoe [at] pissonme.com
Technical Contact, Zone Contact:
Register.Com
Domain Registrar
575 8th Avenue - 11th Floor
New York, NY 10018
US
Phone: 902-749-2701
Fax..: 902-749-5429
Email: domain-registrar [at] register.com
Domain servers in listed order:
DNS27.REGISTER.COM 216.21.234.84
DNS28.REGISTER.COM 216.21.226.84
Register your domain name at http://www.register.com
-
You may be able to buy this domain name through http://www.afternic.com/offer
---
(NIC?) Gegenfrage: Ist der als `NIC` eingetragen, oder ist NIC die Abkürzung für den "Registrar Name"?
Wenn er direkt als "NIC" eingetragen sein soll, fehlt er - oder wir müssen uns an anderer Stelle schlauer machen. Ich tippe darauf Du meinst den "Registrar", das währe demnach "register.com" [Angabe ohne Gewähr - Neuling].
>In diesem Zusammenhang:
Bei mir sind die noch nicht aufgeschlagen. Wenn ich so durchs Forum klicke scheint bei mir wenig Spam zu landen (2x´Kaffemail´,22x´Mareike´& Co.). Ich sammle aber auch erst seit Juni. Vorher wurde der Müll kommentarlos entsorgt.
Sorry wenn ich nicht behilflich sein konnte

Gruß
teschi

Meine Meldung hat wohl nur die Adresse verifiziert. Es gibt Nachschub mit...
-----------------------
..."Subject: GRACIE Fan Club 4993"....
-----------------------
und
-----------------------
..."Subject: geiler Stoff [ID: [ID filtered]
-----------------------
Im ersten Fall eine HTML-Mail die ihre Bilder von "herbal-place.com/webcams/..." bezieht.
Im zweiten Fall Text mit Link zur geschlossenen "netmails.com/members/xlivex" Site.
Die Header schiebe ich in besser in neu Treads. Eure Suchfunktion hat keine vorhandenen geliefert.
Gruß
teschi

Moin,
ich denke mal, dass Eine hat mit dem Anderen nichts zu tun.
Deine Adresse ist auf irgendeine CD gebrannt und wird in Spammerkreisen verhökert.
Einen sonstigen Zusammenhang zwischen deutschen Dialerabzockern und asiatischem Pimmelverlängerungsspam vermag ich nicht zu erkennen.
Grüsse
Eniac

--
Immer feste druff!