PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spam von agpkanzlei.de?



sandstorm
30.11.2006, 20:05
Hallo liebe Forenmitglieder,

habe soeben folgende Mail bekommen. Da ich echt keine Lust mehr auf den täglichen Spam habe würde ich gerne gegen den Urheber vorgehen.. frage mich nur gerade ob die verlinkte Firma wirklich dahinter steht? gibt es da erfahrungswerte?

Return-path: <rechtsrat2007online [at] gmx.net>
Delivery-date: Thu, 30 Nov 2006 xx:xx:xx +0100
Received: by mx0.webpack.hosteurope.de (xxxxx) running EXperimental Internet Mailer (even more power) using smtp
from [201.73.192.230] (helo=gmx.net)
ID: [ID filtered]
for XXXXX; Thu, 30 Nov 2006 xx:xx:xx +0100
Message-ID: [ID filtered]
Date: Thu, 30 Nov 2006 xx:xx:xx +0600
From: "Anderkonten-Zinsen-Genauabrechner" <rechtsrat2007online [at] gmx.net>
User-Agent: Mozilla/5.0 (Windows; U; Win95; en-GB; rv:0.9.4) Gecko/20011019 Netscape6/6.2
X-Accept-Language: en-us
MIME-Version: 1.0
To: <XXXXX>
Subject: Anderkonten-Zinsen-Genauabrechner
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-HE-Virus-Scanned: yes
X-HE-Spam-Level: +
X-HE-Spam-Score: 1.7
X-HE-Spam-Report: Content analysis details: (1.7 points)
pts rule name description
---- ---------------------- --------------------------------------------------
0.4 NO_RELAYS Informational: message was not relayed via SMTP
1.3 TRACKER_ID: [ID filtered]
Envelope-to: XXXXX


Mailinhalt:
---
Sehr geehrte Damen und Herren,

brauchen Sie Rat? Sofort ansehen und klicken: www.agpkanzlei.de

Schauen Sie mal vorbei!

Mit freundlichem Gruss
---

Wäre nett wenn Sie mir weiterhelfen können.

Danke und Gruß

Nebelwolf †
30.11.2006, 20:13
Hallo sandstorm,

die eMail stammt mit hoher Wahrscheinlichkeit nicht von der Anwaltskanzlei, sondern ist vermutlich eine Racheaktion eines abgemahnten Spammers an den Rechtsanwälten oder so etwas ähnliches.

Nebelwolf

skater
30.11.2006, 20:16
Also ich würde zu 90% sagen, dass das nen JoeJob (http://www.antispam-ev.de/wiki/JoeJob) ist.
Wie Nebelwolf schon sagte möchte sich da wohl jemand rächen :rolleyes:

MfG
skater

sandstorm
30.11.2006, 21:10
Hallo zusammen,

danke schon einmal für Ihre Einschätzung. Dachte eigentlich auch, dass ein Anwalt das ja wirklich wissen muss.

Andererseits könnte man das ja auch ausnutzen, als komplett Unverdächtiger [natürlich ohne verbindung zu dieser e-mail, sondern allgemein gefragt :)]? oder kommt das eher selten vor?

Die gmx-Adresse müsste aber doch tatsächlich der Absender sein, odeR?

Grüße

Nebelwolf †
30.11.2006, 21:16
Nein,

die IP-Adresse kommt aus Brasilien: 201.73.192.230

Eine Anleitung gibt es hier: http://www.antispam-ev.de/wiki/EMailHeader

Nebelwolf

skater
30.11.2006, 21:18
Die gmx-Adresse kann man auf jeden Fall auch fälschen, schaue dir mal die JoeJobs hieri m Forum an, da kann man auch sehen was man so alles fälschen kann.
Ich würde mich am besten mal mit der Anwaltskanzlei in Verbindung setzen, mit Hinweis auf diesen Thread hier.

MfG
skater

Liquid-Sky-Net
30.11.2006, 21:26
[x] Done ( Kenne mich mit Joes ja mittlerweile bestens aus :sick: )

Tombow
30.11.2006, 21:31
Die gmx-Adresse müsste aber doch tatsächlich der Absender sein, odeR?

Nein. Laut whois wurde über eine brasilianische IP abgekippt, die als offenes HTTP-Proxy bei einigen Blocklisten "im Angebot" ist. Da hält sich wohl jemand für ganz schlau. Wundert mich nur, wie der JoeJob durchgekommen ist, da für die IP keinerlei DNS-Records existieren.

RA Meier-Bading
01.12.2006, 00:43
Da auch das helo gefälscht ist, dürfte es wohl etwas mehr als nur ein HTTP-Proxy sein. Da hat sich immerhin einer ein bisschen Mühe gegeben und eine original-GMX Mail nach seinen Bedürfnissen abgeändert.

Vielleicht kommt ja GMX die Message-ID: [ID filtered]

@sandstorm:
Gab es noch mehr Received-Zeilen oder nur die eine?



TooniX

sandstorm
01.12.2006, 11:05
Hallo zusammen,

vielen Dank schon einmal für die vielen Antworten. Insbesondere, dass man auch das helo fälschen kann wusste ich nicht.

@TooniX: es waren alle Received - Zeilen

Eine Frage hat sich mittlerweile geklärt, und zwar dürfte der Spammer tatsächlich andere Motive haben (als Werbung für sein Unternehmen zu machen ;) ). Habe nämlich leider seitdem zwei weitere Mails vom wohl gleichen Absender an verschiedene Mail-Adressen bekommen (andere IP, aber gleiches Schema). Ich poste mal der Vollständigkeit halber beide Mails mit Header:

An die gleiche Adresse ging (dieses Mal ohne Tracking-Pixel):

Return-path: <rechtsrat2007online [at] gmx.net>
Delivery-date: Thu, 30 Nov 2006 xx:xx:xx +0100
Received: by xxxx.hosteurope.de running Exim 4.43 using esmtp
from xxxxx.hosteurope.de ([xxxxx]);
ID: [ID filtered]
Received: by mx0.webpack.hosteurope.de (xxxxx) running EXperimental Internet Mailer (even more power) using smtp
from [222.122.178.55] (helo=gmx.net)
ID: [ID filtered]
for xxxxx; Thu, 30 Nov 2006 xx:xx:xx +0100
Message-ID: [ID filtered]
Date: Thu, 30 Nov 2006 xx:xx:xx +0100
From: "Tipp der Woche" <rechtsrat2007online [at] gmx.net>
User-Agent: Mozilla 4.61 [en] (Win95; U)
MIME-Version: 1.0
To: <xxxxx>
Subject: Tipp der Woche
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-HE-Virus-Scanned: yes
X-HE-Spam-Level: /
X-HE-Spam-Score: 0.4
X-HE-Spam-Report: Content analysis details: (0.4 points)
pts rule name description
---- ---------------------- --------------------------------------------------
0.4 NO_RELAYS Informational: message was not relayed via SMTP
Envelope-to: xxxxx


Inhalt
---
Servus,

brauchen Sie Rat? Gehen Sie auf www.1a-top-immobilien.de

Schauen Sie auf unsere Homepage!

Mit freundlichem Gruss
---


Die zweite Mail an eine andere Adresse:


Received: by mx0.webpack.hosteurope.de (xxxxx) running EXperimental Internet Mailer (even more power) using smtp
from [59.56.173.2] (helo=gmx.net)
ID: [ID filtered]
for xxxxx; Fri, 01 Dec 2006 xx:xx:xx +0100
Message-ID: [ID filtered]
Date: Fri, 01 Dec 2006 xx:xx:xx +0000
From: "Nach-eingereichter-Berufungsschrift-Mandatskuendiger" <rechtsrat2007online [at] gmx.net>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.5) Gecko/20031122
X-Accept-Language: en-us
MIME-Version: 1.0
To: <xxxxx>
Subject: Nach-eingereichter-Berufungsschrift-Mandatskuendiger
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-HE-Spam-Level: /
X-HE-Spam-Level: /


Inhalt
---
Verehrtes Mitglied,

brauchen Sie Rat? Sofort ansehen und klicken: www.comline-shop.de

Klicken Sie zu uns!

Gruss
---

Müssten doch eigentlich noch mehr Leute betroffen sein? Hmm, sieht mir auf jeden Fall nach einem größeren Umfang der Versand-Aktion aus.

Beste Grüße

Tombow
01.12.2006, 12:42
Derselbe M.O.

Im ersten Fall ein koreanisches, im zweiten ein chinesisches open proxy. Spammy scheint nicht sonderlich schlau zu sein, zumal auch die Proxies wieder in diversen Blocklists auftauchen.

Was mich wundert, sind die whois der in den JoeJobs erwähnten Domains. Beide sehen zumindest auf dem ersten Blick OK aus, somit hätte man drei ge-joe-te Domains und immer die gleiche (gefälschte?) Absenderaddresse. Mehrere JoeJobs? Oder einer, gegen den Inhaber der erwähnten Absender-e-Mail gerichtet? Oder versucht hier Spammy zwei, drei oder mehr Fliegen mit einer Klape zu schlagen?

Gool
01.12.2006, 18:18
Das ist vermutlich derselber JoeJobber wie auch in den anderen Fällen.

Tombow
01.12.2006, 20:38
Daß es derselbe JoeJobber ist, ist mir klar. ABER:

Ist es nur ein JoeJob, sind es mehrere...oder ist es sogar ein "echter" Spam Run, der dann durch einen oder mehrere JoeJobs verschleiert wird?

Wenn eine Domain z.B. per Spam beworben wird und zugleich mit demselben M.O. mehrere andere ge-joe-t, da kann sich der echte Auftraggeber ja locker dahinter verstecken, daß alles JoeJobs seien.