PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [ASK AG] Hotelstester



Nix-Spam
19.02.2008, 21:31
X-Symantec-TimeoutProtection: 0
Return-path: <xxx [at] gutscheine-fuer-uebernachtungen.com>
Delivery-date: Tue, 19 Feb 2008 xx:xx:xx +0100
Received: from [195.4.92.22] (helo=12.mx.freenet.de)
by mbox41.freenet.de with esmtpa (ID: [ID filtered]
ID: [ID filtered]
for poor [at] spamvictim.tld; Tue, 19 Feb 2008 xx:xx:xx +0100
Received: from mail1.gutscheine-fuer-uebernachtungen.com ([78.41.84.2]:32132 helo=gutscheine-fuer-uebernachtungen.com)
by 12.mx.freenet.de with smtp (port 25) (Exim 4.69 #10)
ID: [ID filtered]
for xxxxx; Tue, 19 Feb 2008 xx:xx:xx +0100
From: "Hoteltester-Einladung" <Hoteltester [at] gutscheine-fuer-uebernachtungen.com>
To: xxxx
Subject: =?ISO-8859-1?B?U2llIHdlcmRlbiBIb3RlbHRlc3RlciwgSGVyemxp?=
=?ISO-8859-1?B?Y2hlbiBHbPxja3d1bnNjaCE=?=
Date: Tue, 19 Feb 2008 xx:xx:xx +0100
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Content-Transfer-Encoding: 8bit
List-Unsubscribe: <mailto:leave-iskundenbig-6031531N [at] gutscheine-fuer-uebernachtungen.com>
Message-ID: [ID filtered]
Delivered-To: xxx
Envelope-to: xxx
X-Warning: Message contains Spam signature (149285::080219203749-610A1930-FC323822/2237036840-2733500782/0-10)
X-purgate-ID: [ID filtered]

Guten Tag xxxxr,

wir freuen uns, Ihnen heute mitteilen zu dürfen, dass Sie ausgesucht wurden, aus unserem 1900 Hotel- & Resort-Portfolio weltweit Hotels zu testen.

Unsere Plätze sind begrenzt, daher bitten wir Sie nun, innerhalb von 2-3 Werktagen,Ihre Daten zu ergänzen. Nach dieser Frist müssen wir Sie, laut unseren Regularien, leider ablehnen.

Zur Datenaufnahme klicken Sie bitte hier:

(Dieser Link ist nur für Sie bestimmt. Bitte geben Sie diesen Link nicht weiter.)
http://gutscheine-fuer-uebernachtungen.com/
Wir wünschen Ihnen, Sdsddd Ererer, viel Spaß und freuen uns, Sie als Reisetester begrüßen zu dürfen.

Ihre Reisetest-Beauftragte

Roswitha Ebert-Zoll

schara56
19.02.2008, 21:59
Dunnerschlach! Schon wieder die Mischpoke.

Jetzt segelt man unter dem Banner von:
A** AG
Alte Steinhauserstrasse **
CH-6330 Cham
Registriert via Key-Systesms (who else?) am 08.01.2008 / erneuert gestern, 18.02.2008 - warum so spät spammen?
Gespamt wurde über AiPiH100-31 (http://www.ripe.net/fcgi-bin/whois?form_type=simple&full_query_string=&searchtext=EUIP69-RIPE&submit.x=18&submit.y=6&submit=Search) - Beschwerden an peering-Partner und ripe sind stets willkommen.
Vollkommen überraschend ist reisetester.com nicht mal Whois-Protected. Dafür aber gutscheine-fuer-uebernachtungen.com..

@Chris [at] EiPie100-31
Ich wette euch bleibt der Fisch noch im Halse stecken - das ist nur noch eine Frage der Zeit.

Für gerade mal 89,00 EUR zzgl. evtl. noch mal 45,00 EUR - geradezu eine Gelegenheit!
Wer kann da noch verzagen? ;)

@mods:
bitte *Headern*

@Nixspam
Du bist kein Einzelfall (http://www.mw-internet.de/spamvertising.php?ns=resolv1.nameservereintrag.com)

Dotshead
19.02.2008, 22:02
http://samspade.org/whois/78.41.84.2

Wie zu erwarten war.

homer
19.02.2008, 22:50
Dafür aber gutscheine-fuer-uebernachtungen.com..

Auf dem Nameserver (http://cert.uni-stuttgart.de/stats/dns-replication.php?query=resolv1.nameservereintrag.com&submit=Query) taucht ja auch der Fauschdus auf :lil:

Und die fitwell.ag ist wohl deren neuestes Projekt? Zumindest steht auch hier der Preis mal wieder in der letzten Zeile, nur nach einigem Scrollen sichtbar bei einer Auflösung von 1024x768 :mad:

Dotshead
19.02.2008, 22:58
Auf dem Nameserver sind ja alle Bekannten da, oder ist es immer nur das fauschdus?

Goofy
19.02.2008, 23:06
Die Fäustlepfand-Domains sind zu allem Überfluß whois-protected.

Das ist angesichts des vielsagenden Domainnamens auch sicher unbedingt sinnvoll. :clown:

"Ach, wie gut, dass niemand weiß, dass ich Rumpelstilzchen.com heiß... :noteeth: "

schara56
20.02.2008, 09:26
Auf dem Nameserver (http://cert.uni-stuttgart.de/stats/dns-replication.php?query=resolv1.nameservereintrag.com&submit=Query) taucht ja auch der Fauschdus auf :lil:V-Stuss und der andere Rotz wurde am 20.12.07 umgezogen (http://www.antispam-ev.de/forum/showpost.php?p=135029&postcount=129). Über wen die Zone NAMESERVEREINTRAG.COM aufgelöst wird ist ja auch kein Geheimnis (http://cert.uni-stuttgart.de/stats/dns-replication.php?query=ns1.ip69.de&submit=Query)

Sastef
21.02.2008, 13:59
Hey, erklärt mir als Dummie doch mal bitte, was es genau es technisch bedeutet, wenn hierhttp://cert.uni-stuttgart.de/stats/dns-replication.php?query=resolv1.nameservereintrag.com&submit=Query die .Biz-Domain von F. E. zusammen mit den ganzen Abzock-Domains auftaucht. Lässt sich hier eine organisatorische Verbindung von F. E. zu den anderen Angeboten nachweisen?

homer
21.02.2008, 14:43
Hey, erklärt mir als Dummie doch mal bitte, was es genau es technisch bedeutet [...]
Wenn ich das richtig verstanden hab, dann wird eine Liste mitgeschrieben, welcher DNS für eine Domain zuständig ist, die z.B. in einer Mail genannt wird. Es wird also "hintenrum" rausgelesen, was auf einem DNS so rumliegt, da dieser, sofern richtig konfiguriert, über "seine" Domains keine Auskunft gibt.


Lässt sich hier eine organisatorische Verbindung von F. E. zu den anderen Angeboten nachweisen?
Ich wage mal zu sagen: Nein.
Es wird lediglich dargestellt, dass bestimmte Domains den selben Nameserver nutzen. Selbst wenn die Domains auf der selben IP liegen würden wäre das noch kein Hinweis auf eine "organisatorische Verbindung". Wenn natürlich der Server/die IP(s) von z.B. F. E. gemietet werden ist das was anderes.

Sastef
21.02.2008, 18:21
Kann man das zumindest als auffällig bezeichnen oder ist die Wahrscheinlichkeit, dass diese Domains alle auf einem Domainserver liegen, auch so recht hoch? Will sagen, wieviele gibts denn davon? Wie kann ich dieses Ergebnis (siehe Link) denn technisch zutreffend bewerten?

Skeeve
21.02.2008, 18:45
Die "Testurteile" auf der Website (siehe hier für die Grafik: http://www.reisetester.com/Bilder/header.jpg ) sind aber auch ziemlich heftig. Wenn das mal nicht abmahnwürdig durch die Stiftung Warentest ist...

Goofy
21.02.2008, 19:58
Kann man das zumindest als auffällig bezeichnen oder ist die Wahrscheinlichkeit, dass diese Domains alle auf einem Domainserver liegen, auch so recht hoch? Will sagen, wieviele gibts denn davon? Wie kann ich dieses Ergebnis (siehe Link) denn technisch zutreffend bewerten?

Grundsätzlich ist es so, dass ein Nameserver sowohl Spammerdomains wie auch ganz normale Domains verwalten kann. Bei vielen Webhostern, die in einer Grauzone im Übergang zum Black-Hat arbeiten, ist das so.

In diesem Fall ist es jedoch so, dass auf dem betreffenden Nameserver fast ausschließlich Domains gehostet werden, deren Betreiber durch wettbewerbswidriges Geschäftsgebaren aufgefallen sind. Insofern darf man das IMHO mit Fug und Recht als "auffällig" bezeichnen, zumal hier ja mit diesem Ausdruck keine weiteren Schlußfolgerungen gezogen werden.

"Auffällig" sind ja z.B. auch die Gemeinsamkeiten in den Modalitäten der Domainregistrierung; es wird in mehreren Fällen vergleichbar mit whois-Protection gearbeitet.

Als "auffällig" darf man es jederzeit bezeichnen; beweisen tut es jedoch nichts.

Sastef
21.02.2008, 21:14
In diesem Fall ist es jedoch so, dass auf dem betreffenden Nameserver fast ausschließlich Domains gehostet werden, deren Betreiber durch wettbewerbswidriges Geschäftsgebaren aufgefallen sind. Insofern darf man das IMHO mit Fug und Recht als "auffällig" bezeichnen, zumal hier ja mit diesem Ausdruck keine weiteren Schlußfolgerungen gezogen werden.

Kann man denn sagen, dass die Liste abschließend alle Domains aufführt, die auf dem Nameserver gehostet (also deren "Klarnamenszuordnung" zu den jeweiligen IP-Adressen verzeichnet) ist? Wohl kaum oder? M. a. W.: Ist diese "Passive DNS Replication" sowas wie IP-Reverse bzw. die IP-Neighbours-Suche? So ein Nameserver müsste doch viel mehr als die zehn oder fünfzehn Adressen hosten denk ich mir.

Verständnisfrage: Der Nameserver hat doch selbst die IP-Adresse 80.249.115.185 und dies wird aufgelöst in den Server-Namen resolv1.nameservereintrag.com. Richtig? Oder seh ich das recht, dass auch die anderen Domains alle dieselbe IP-Adresse 80.249.115.185 haben?

Goofy
21.02.2008, 22:00
Kann man denn sagen, dass die Liste abschließend alle Domains aufführt, die auf dem Nameserver gehostet (also deren "Klarnamenszuordnung" zu den jeweiligen IP-Adressen verzeichnet) ist?

I.d.R. ja. Es kann immer mal sein, dass solche Abfragen nicht ganz aktuell sind, dass also die eine oder andere Domain bereits nicht mehr auf dem ns steht, oder dass eine neu registrierte noch nicht aufgeführt wird.



So ein Nameserver müsste doch viel mehr als die zehn oder fünfzehn Adressen hosten denk ich mir.

Das kann sein, muß aber nicht sein. Es gibt ns, die nur eine einzige domain hosten (oft ist das bei Spammerdomains so). Andere ns verwalten dagegen hunderte Domains.



Verständnisfrage: Der Nameserver hat doch selbst die IP-Adresse 80.249.115.185 und dies wird aufgelöst in den Server-Namen resolv1.nameservereintrag.com. Richtig? Oder seh ich das recht, dass auch die anderen Domains alle dieselbe IP-Adresse 80.249.115.185 haben?

Ein Nameserver muß nicht notwendigerweise auf einem getrennten Server laufen.
Man findet oft Konstellationen vor, wo der Nameserver gemeinsam mit den Webseiten auf einem Server unter einer gemeinsamen IP läuft. Obwohl das IMHO nicht unbedingt empfehlenswert ist, aber nach RFC ist es zulässig.

Sastef
22.02.2008, 04:56
Der Zusammenhang genügt mir als Indiz. Eine wichtige Information. Vielen Dank!

Sirius
29.02.2008, 08:37
Received: from my-web-news.com (HELO mail.my-web-news.com) [84.246.240.203]
by *o.la.la* with SMTP; 28 Feb 2008 xx:xx:xx +0100
From: "Ines" <ik [at] my-web-news.com>
To: localpart [at] domain
Subject: Fuer Sie liegen Hotelgutscheine bereit
Date: Wed, 27 Feb 2008 hh:mm:ss +0100
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Content-Transfer-Encoding: 8bit
List-Unsubscribe: <mailto:leave-liste?[UNSUB filtered]>
Message-ID: [ID filtered]


Guten Tag,

wir freuen uns, Ihnen heute mitteilen zu dürfen, dass Sie ausgesucht wurden, aus unserem 1900 Hotel- & Resort-Portfolio weltweit Hotels zu testen.

Unsere Plätze sind begrenzt, daher bitten wir Sie nun, innerhalb von 2-3 Werktagen,Ihre Daten zu ergänzen. Nach dieser Frist müssen wir Sie, laut unseren Regularien, leider ablehnen.

Zur Datenaufnahme klicken Sie bitte hier: http://www.hotelgutscheine.net/?voucher=nutzlosbranche.com

(Dieser Link ist nur für Sie bestimmt. Bitte geben Sie diesen Link nicht weiter.)

Wir wünschen Ihnen viel Spaß und freuen uns, Sie als Reisetester begrüßen zu dürfen.

Ihre Reisetest-Beauftragte

Ines Krause Der Link leitet weiter zu reisetester.com der Ask AG.

Das passt hierzu: http://www.antispam-ev.de/forum/showthread.php?p=142274#post142274

Absender ist vermutlich der Homo enuresis aus Horni-MestoWiesbaden. Der hat sich im IP-Block ziemlich breit gemacht:

84.246.240.2 = mail2.inter-news.net
84.246.240.3 = mail2.inter-news.net
84.246.240.4 = mail2.inter-news.net
84.246.240.5 = mail2.inter-news.net
84.246.240.6 = mail2.inter-news.net
84.246.240.7 = mail2.inter-news.net
84.246.240.8 = mail2.inter-news.net
84.246.240.9 = mail2.inter-news.net
84.246.240.10 = mail2.inter-news.net
84.246.240.11 = mail2.inter-news.net
84.246.240.12 = mail2.inter-news.net
84.246.240.13 = mail2.inter-news.net
84.246.240.14 = mail2.inter-news.net
84.246.240.15 = mail2.inter-news.net
84.246.240.16 = mail2.inter-news.net
84.246.240.17 = mail2.inter-news.net
84.246.240.18 = mail2.inter-news.net
84.246.240.19 = mail2.inter-news.net
84.246.240.20 = movie-news.net
84.246.240.21 = movie-news.net
84.246.240.22 = movie-news.net
84.246.240.23 = movie-news.net
84.246.240.24 = movie-news.net
84.246.240.25 = movie-news.net
84.246.240.26 = movie-news.net
84.246.240.27 = movie-news.net
84.246.240.28 = movie-news.net
84.246.240.29 = movie-news.net
84.246.240.30 = movie-news.net
84.246.240.31 = inter-news.net
84.246.240.32 = inter-news.net
84.246.240.33 = inter-news.net
84.246.240.34 = mail3.inter-news.net
84.246.240.35 = mail3.inter-news.net
84.246.240.36 = mail3.inter-news.net
84.246.240.37 = mail3.inter-news.net
84.246.240.38 = mail3.inter-news.net
84.246.240.39 = mail3.inter-news.net
84.246.240.40 = mail3.inter-news.net
84.246.240.41 = mail3.inter-news.net
84.246.240.42 = mail3.inter-news.net
84.246.240.43 = mail3.inter-news.net
84.246.240.44 = mail3.inter-news.net
84.246.240.45 = mail3.inter-news.net
84.246.240.46 = mail3.inter-news.net
84.246.240.47 = mail3.inter-news.net
84.246.240.48 = mail3.inter-news.net
84.246.240.49 = mail3.inter-news.net
84.246.240.50 = mail3.inter-news.net
84.246.240.51 = mail3.inter-news.net
84.246.240.52 = mail3.inter-news.net
84.246.240.53 = mail3.inter-news.net
84.246.240.54 = mail3.inter-news.net
84.246.240.55 = mail3.inter-news.net
84.246.240.56 = mail3.inter-news.net
84.246.240.57 = mail3.inter-news.net
84.246.240.58 = mail3.inter-news.net
84.246.240.59 = mail3.inter-news.net
84.246.240.60 = mail3.inter-news.net
84.246.240.61 = mail3.inter-news.net
84.246.240.62 = mail3.inter-news.net
84.246.240.63 = inter-news.net
84.246.240.64 = inter-news.net
84.246.240.65 = inter-news.net
84.246.240.66 = mail4.inter-news.net
84.246.240.67 = mail4.inter-news.net
84.246.240.68 = mail4.inter-news.net
84.246.240.69 = mail4.inter-news.net
84.246.240.70 = mail4.inter-news.net
84.246.240.71 = mail4.inter-news.net
84.246.240.72 = mail4.inter-news.net
84.246.240.73 = mail4.inter-news.net
84.246.240.74 = mail4.inter-news.net
84.246.240.75 = mail4.inter-news.net
84.246.240.76 = mail4.inter-news.net
84.246.240.77 = mail4.inter-news.net
84.246.240.78 = mail4.inter-news.net
84.246.240.79 = mail4.inter-news.net
84.246.240.80 = mail4.inter-news.net
84.246.240.81 = mail4.inter-news.net
84.246.240.82 = mail4.inter-news.net
84.246.240.83 = mail4.inter-news.net
84.246.240.84 = mail4.inter-news.net
84.246.240.85 = mail4.inter-news.net
84.246.240.86 = mail4.inter-news.net
84.246.240.87 = mail4.inter-news.net
84.246.240.88 = mail4.inter-news.net
84.246.240.89 = mail4.inter-news.net
84.246.240.90 = mail4.inter-news.net
84.246.240.91 = mail4.inter-news.net
84.246.240.92 = mail4.inter-news.net
84.246.240.93 = mail4.inter-news.net
84.246.240.94 = mail4.inter-news.net
84.246.240.95 = mail4.inter-news.net
...
84.246.240.190 = mail.netzneuigkeiten.com
84.246.240.191 = mail.netzneuigkeiten.com
84.246.240.192 = mail.netzneuigkeiten.com
84.246.240.193 = mail.netzneuigkeiten.com
84.246.240.194 = mail.netzneuigkeiten.com
84.246.240.195 = mail.netzneuigkeiten.com
84.246.240.196 = mail.netzneuigkeiten.com
84.246.240.197 = mail.netzneuigkeiten.com
84.246.240.198 = mail.netzneuigkeiten.com
84.246.240.199 = mail.netzneuigkeiten.com
84.246.240.200 = mail.netzneuigkeiten.com
84.246.240.201 = mail.my-webnews.com
84.246.240.202 = mail.my-webnews.com
84.246.240.203 = my-web-news.com
84.246.240.204 = mail.my-webnews.com
84.246.240.205 = mail.my-webnews.com
84.246.240.206 = mail.my-webnews.com
84.246.240.207 = mail.my-webnews.com
84.246.240.208 = mail.my-webnews.com
84.246.240.209 = mail.my-webnews.com
84.246.240.210 = mail.my-webnews.com
84.246.240.211 = mail.my-webnews.com
84.246.240.212 = mail.my-webnews.com
84.246.240.213 = mail.my-webnews.com
84.246.240.214 = mail.my-webnews.com
84.246.240.215 = mail.my-webnews.com
84.246.240.216 = mail.my-webnews.com
...
84.246.240.226 = mail.informiert-sein.com
84.246.240.227 = mail.informiert-sein.com
84.246.240.228 = mail.informiert-sein.com
84.246.240.229 = mail.informiert-sein.com
84.246.240.230 = mail.informiert-sein.com
84.246.240.231 = mail.informiert-sein.com
84.246.240.232 = mail.informiert-sein.com
84.246.240.233 = mail.informiert-sein.com
84.246.240.234 = mail.informiert-sein.com
84.246.240.235 = mail.informiert-sein.com
84.246.240.236 = mail.informiert-sein.com
84.246.240.237 = mail.informiert-sein.com
84.246.240.238 = mail.informiert-sein.com
84.246.240.239 = mail.informiert-sein.com
84.246.240.240 = mail.informiert-sein.com
84.246.240.241 = mail.informiert-sein.com
84.246.240.242 = mail.informiert-sein.com
84.246.240.243 = mail.informiert-sein.com
84.246.240.244 = mail.informiert-sein.com
84.246.240.245 = mail.informiert-sein.com
84.246.240.246 = mail.informiert-sein.com
84.246.240.247 = mail.informiert-sein.com
84.246.240.248 = mail.informiert-sein.com
84.246.240.249 = mail.informiert-sein.com
84.246.240.250 = mail.informiert-sein.com
84.246.240.251 = mail.informiert-sein.com
84.246.240.252 = mail.informiert-sein.com
84.246.240.253 = mail.informiert-sein.com
84.246.240.254 = mail.informiert-sein.com

ekaros7463
07.03.2008, 19:56
Sollten die etwas mit den "sheiks" zu tun haben??? Kennt das jemand?

Return-Path: <bounce[BOUNCE filtered]@gutscheine-fuer-uebernachtungen.com>
Received: from rly-mc06.mail.aol.com (rly-mc06.mail.aol.com [172.20.118.148]) by air-mc01.mail.aol.com (v121.4) with ESMTP ID: [ID filtered]
Received: from gutscheine-fuer-uebernachtungen.com (mail1.gutscheine-fuer-uebernachtungen.com [78.41.84.2]) by rly-mc06.mail.aol.com (v121.4) with ESMTP ID: [ID filtered]
From: "Hoteltester-Einladung" <Hoteltester [at] gutscheine-fuer-uebernachtungen.com>
To:xy [at] yx
Subject: =?ISO-8859-1?B?U2llIHdlcmRlbiBIb3RlbHRlc3RlciAtIEhlcnps?=
=?ISO-8859-1?B?aWNoZW4gR2z8Y2t3dW5zY2gh?=
Date: Thu, 06 Mar 2008 xx:xx:xx +0100
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Content-Transfer-Encoding: 8bit
List-Unsubscribe: <mailto:leave-crmlist-6494313S [at] gutscheine-fuer-uebernachtungen.com>
Message-ID: [ID filtered]
X-AOL-IP: 78.41.84.2
X-AOL-SCOLL-SCORE: 0:2:117593688:9395240
X-AOL-SCOLL-URL_COUNT:
X-AOL-SCOLL-AUTHENTICATION: listenair ; SPF_helo : +
X-AOL-SCOLL-AUTHENTICATION: listenair ; SPF_822_from : +

Guten Tag ros eka, <<<So lautet auch mein Name auf der Rechnung vonnb24

wir freuen uns, Ihnen heute mitteilen zu dürfen, dass Sie ausgesucht wurden, aus unserem 1900 Hotel- & Resort-Portfolio europaweit Hotels zu testen.

Unsere Plätze sind begrenzt, daher bitten wir Sie nun, innerhalb von 2-3 Werktagen, Ihre Daten zu ergänzen. Nach dieser Frist müssen wir Sie, laut unseren Regularien, leider ablehnen.

Zur Datenaufnahme klicken Sie bitte hier:
Guten Tag ros eka,

wir freuen uns, Ihnen heute mitteilen zu dürfen, dass Sie ausgesucht wurden, aus unserem 1900 Hotel- & Resort-Portfolio europaweit Hotels zu testen.

Unsere Plätze sind begrenzt, daher bitten wir Sie nun, innerhalb von 2-3 Werktagen, Ihre Daten zu ergänzen. Nach dieser Frist müssen wir Sie, laut unseren Regularien, leider ablehnen.

Zur Datenaufnahme klicken Sie bitte hier:
http://gutscheine-fuer-uebernachtungen.com/tools/tl.php?email=xy [at] yx
(Dieser Link ist nur für Sie bestimmt. Bitte geben Sie diesen Link nicht weiter.)

Wir wünschen Ihnen, ros eka, viel Spaß und freuen uns, Sie als Reisetester begrüßen zu dürfen.

Ihre Reisetest-Beauftragte

Roswitha Ebert-Zoll
(Dieser Link ist nur für Sie bestimmt. Bitte geben Sie diesen Link nicht weiter.)

Wir wünschen Ihnen, ros eka, viel Spaß und freuen uns, Sie als Reisetester begrüßen zu dürfen.

Ihre Reisetest-Beauftragte

Roswitha Ebert-Zoll

schara56
07.03.2008, 20:34
Sollten die etwas mit den "sheiks" zu tun haben??? Kennt das jemand?[...]
Guten Tag ros eka, <<<So lautet auch mein Name auf der Rechnung vonnb24[...Ähnlichkeiten sind rein zufällig - z. B.:
- dass die beiden Domains im gleichen Netzblock liegen (wobei dieser nur eine /24 ist)
- dass beide Domains über die gleichen Nameserver aufgelöst werden
- dass beide Whois-Einträge vermutlich keine wahrheitsgemäßen Inhalte tragen
- dass beide Domain über Key-Systems registriert wurden
- dass beide Domains Abo-Charakter tragen
- dass beide Domains die gleiche Art von Tracker verwenden (ja - ok bei nachbarschaft ist der Tag nicht geschlossen...)

Du siehst - keine Gemeinsamkeiten nur blöde Zufälle :p.

antispam2006
08.03.2008, 11:47
Du siehst - keine Gemeinsamkeiten nur blöde Zufälle :p.

Die Daten wurden auch von Umfragenscout übernommen.

Gruß Antispam2006

DJANGO
27.03.2008, 18:38
http://reporter.zdf.de/ZDFde/inhalt/11/0,1872,7185131,00.html

Dubiose Reise-Gewinne
Wie Urlauber ins Ausland gelockt werden

Aber was nach einem kostenlosen Traumurlaub klingt, entpuppt sich als teurer Nepp mit Kaffeefahrt-Charakter.

MeinerEiner
06.05.2008, 13:59
From - Tue May 06 xx:xx:xx 2008
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <bounce[BOUNCE filtered]@gutscheine-fuer-uebernachtungen.com>
X-Spam-Checker-Version: SpamAssassin 3.1.1 (2006-03-10) on
Meinereiner
X-Spam-Level:
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham
version=3.1.1
X-Original-To: Meinereiner
Delivered-To: Meinereiner
Received: from gutscheine-fuer-uebernachtungen.com (mail1.gutscheine-fuer-uebernachtungen.com [78.41.84.2])
by Meinereiner (Postfix) with SMTP ID: [ID filtered]
for Meinereiner; Tue, 6 May 2008 xx:xx:xx +0200 (CEST)
From: "Angelika Schuster" <angelika.schuster [at] gutscheine-fuer-uebernachtungen.com>
To: Meinereiner
Subject: Sie werden Hoteltester - Herzlichen Glueckwunsch!
Date: Tue, 06 May 2008 xx:xx:xx +0200
MIME-Version: 1.0
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
List-Unsubscribe: <mailto:ützelbrützeldönnerkebap [at] gutscheine-fuer-uebernachtungen.com>
Message-ID: [ID filtered]

Guten Tag ********,
wir freuen uns, Ihnen heute mitteilen zu dürfen, dass Sie ausgesucht wurden, aus unserem 1900 Hotel- & Resort-Portfolio europaweit Hotels zu testen.

Unsere Plätze sind begrenzt, daher bitten wir Sie nun, innerhalb von 2-3 Werktagen, Ihre Daten zu ergänzen. Nach dieser Frist müssen wir Sie, laut unseren Regularien, leider ablehnen.

Zur Datenaufnahme klicken Sie bitte hier:
http://gutscheine-fuer-uebernachtungen.com/tools/tl.php?pol=izei&email=Meinereiner
(Dieser Link ist nur für Sie bestimmt. Bitte geben Sie diesen Link nicht weiter.)

Wir wünschen Ihnen, Meinereiner, viel Spa� und freuen uns, Sie als Reisetester begrü�en zu dürfen.
Ihre Reisetest-Beauftragte

Angelika Schuster

Arthur
06.05.2008, 14:11
Auch wieder einer aus der Nutzlosbranche mit dem schon fast klassisch zu
nennenden Layout und den mikroskopischen Kostenhinweisen in den nur mit der
Lupe zu findenden AGB

§ 9 Kosten für die Nutzung
Für die Nutzungsgebühr von 89 Euro pro Einzelperson stellt der Anbieter dem Kunden eine 12-monatige Nutzung von 3 Gutscheinen - im Folgenden auch Verbundgebühr genannt - zur Verfügung. Diese Gebühr entsteht für die Bereitstellung der Gutscheine. Für jede weitere Person, die über einen Kunden in einen Account aufgenommen wird, entstehen weitere Kosten. Für jede weitere erwachsene Person kommen zu der Nutzungsgebühr von 89 Euro weitere 45 Euro jährlich hinzu. Für jedes eingetragene Kind bis zu 16 Jahren fallen weitere 25 Euro jährlich an. Der Anbieter berechnet nur die Nutzungsgebühr, die für die Plattform www.reisetester.com anfällt. Dies beinhaltet die Verbundgebühr für die jeweilige Anzahl an User. Für alle eingetragenen Personen gilt hierbei die gleiche Dauer der Vertragslaufzeit.

Goofy
06.05.2008, 14:29
Sowohl gehostet als auch gespammt natürlich wieder einmal von einem der Server unseres "Wir-stellen-nur-die-IP-Adressen-bereit"-Hosters aus Düsseldorf.

schara56
06.05.2008, 14:47
hrhrhr - sogar mit SPF-Eintrag :p

gutscheine-fuer-uebernachtungen.com. TXT "v=spf1 a mx -all"

ekaros7463
06.05.2008, 22:36
Hab jetzt 5 Anrufe bekommen...bzw meine bessere Hälfte..und nun das dreiste: nachdem mein Schatz darauf hingewiesen hat, dass die genannte(wahre)E-Mailadresse die meine sei,da hat die Dame doch glatt noch weitere Versuche gestartet um mich direkt zu erreichen...und dass trotz klarer Aufforderung weitere Telefonate zu unterlassen. Freche Antwort darauf: Ich spreche mit ihrem Mann und nicht mit ihnen....unglaublich


@mods: hab unter der Telefonrubrik nix passendes gefunden...wenn doch bitte verschieben...aber ohne mecker...grins

ttennis
08.07.2008, 12:45
Hi!
Weiß zwar nicht:
I: In welchen Fällen bringt es eigentlich etwas erhaltene ähnliche Spams zu veröffentlichen? (= Ist es richtig, dies mit dieser getan zu haben?) Und:
II: Benötigt Ihr für evtle. Maßnahmen immer den gesamten Header? Und:
III: War es richtig als einziges den Präfix der Mail-Adresse (der 5 x vorkam: 3 x als richtige Adresse ("@excite.com") + 2 x als "@xprdmailbe.nwk.excite.com" - unkenntlich zu machen; und das durch "..."?

Aber Untiges bekam ich am 24.5. (erst jetzt geöffnet).

Ausschlaggebend dafür, es hier zu veröffentlichen, war, dass
- diese Mail im Posteingang meiner excite.com-Adresse stand, statt, wie 97% der anderen Spams, im Spam-Ordner
- => da als evtl.-nicht-Spam-weil-vom-Mailprovider-nicht-als-solche-erkannt noch nerviger + darauf-reinfall-gefährlicher.
IV: Ob das einfach Zufall ist, oder wie sonst schaffen die es, nicht rausgefiltert zu werden?

Return-Path: <nl [at] 24dm1.com>
Delivered-To: ... [at] xprdmailbe.nwk.excite.com
Received: (qmail 9232 invoked from network); 24 May 2008 xx:xx:xx -0000
Received: from unknown (HELO localhost.localdomain) ([10.50.30.225]) (envelope-sender <nl [at] 24dm1.com>)

by 0 (qmail-ldap-1.03) with SMTP

for <... [at] xprdmailbe.nwk.excite.com>; 24 May 2008 xx:xx:xx -0000
Return-Path: <nl [at] 24dm1.com>
Received: from server1.24dmserver.com (unknown [91.184.54.148])

by xprdmx29.nwk.excite.com (Postfix) with ESMTP ID: [ID filtered]

for <... [at] excite.com>; Sat, 24 May 2008 xx:xx:xx -0400 (EDT)
Received: from mail1 (localhost.localdomain [127.0.0.1])

by server1.24dmserver.com (Postfix) with ESMTP ID: [ID filtered]

for <... [at] excite.com>; Sat, 24 May 2008 xx:xx:xx +0200 (CEST)
Date: Sat, 24 May 2008 xx:xx:xx +0200
From: "24dm1" <news [at] 24dm1.com>
[ Add to Address Book | Block Address | Report as Spam ]
To: ... [at] excite.com
Subject: Werden Sie Reisetester - kostenlos ins 5-Sterne Hotel
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-Mailer: KMail/1.5.4
User-Agent: KMail/1.5.4
X-KM-Flags: 1.1684513.16
Message-ID: [ID filtered]
X-FII-Tracking: 0.000400


Sehr verehrtes Glückskind,
wir freuen uns, Ihnen heute mitteilen zu dürfen, dass Sie ausgesucht wurden, aus unserem 1900 Hotel- & Resort-Portfolio weltweit Hotels zu testen.
Unsere Plätze sind begrenzt, daher bitten wir Sie, innerhalb von 2-3
Werktagen, Ihre Daten zu ergänzen. Nach dieser Frist müssten wir Sie, laut
unseren Regularien, leider ablehnen. Zur Datenaufnahme bitte hier klicken:
http://24dm1.com/ref.php?id=4eb653d1
Wir freuen uns Sie als Reisetester begrüßen zu dürfen.
Ihre Glücksfee
Hans in Glück

alariel
08.07.2008, 13:51
*Meine Meinung und daher definitiv nicht representativ ;)*
Zu I)
Dadurch lässt sich feststellen, wo der Spam (genau) herkommt... manchen mag das nicht interessieren, andere aber durchaus :)
Sofern die Quelle immer gleich ist - das ist sie eigentlich seltenst - sollte das durchweg erkennbar sein; in so einem Fall bietet es sich an, Header wohl nur bei einer Abweichung zu posten...

Zu II)
Nunja, ich persönlich verlass' mich nur auf den Eintrag, der vom Empfangenen Mailserver stammt (also in diesem Falle die hier:
Received: from unknown (HELO localhost.localdomain) ([10.50.30.225])
(envelope-sender <nl [at] 24dm1.com>)
by 0 (qmail-ldap-1.03) with SMTP
for <... [at] xprdmailbe.nwk.excite.com>; 24 May 2008 xx:xx:xx -0000
Received: from server1.24dmserver.com (unknown [91.184.54.148])
by xprdmx29.nwk.excite.com (Postfix) with ESMTP ID: [ID filtered]
for <... [at] excite.com>; Sat, 24 May 2008 xx:xx:xx -0400 (EDT)
Ich vermute, 10.50.... steht lokal bei Dir? Der Adressbereich weist darauf hin...
Was bedeutet, dass 91.184.54.148 der eigentlich versendende Server aus den Niederlanden in diesem Falle wäre...
Maßnahmen - nunja, was sich als Spamschleuder qualifiziert blocke ich halt in meinem Mailserver. Ansonsten liegt's an einem selbst - wie oben schon gesagt, es kann auch für andere interessant sein...

Zu III)
Wieso nicht? :)
Allerdings anonymisier ich immer beides, da viele auch einfach Domains harvesten - um dann an "info [at] ..." zu spammen - oder real existierende Domains für ihren Versand zu nutzen. However...

Zu IV)
Dafür müsste man wissen, welcher Filter eingesetzt wird, und wie er gepflegt wird...

Gruß,
Ala
(mit einer wie oben schon erwähnt höchst eigenen und keineswegs offiziellen Sichtweise der Dinge ;))

ttennis
15.07.2008, 12:06
-> cmds: - Sorry, dass ich Quote- statt Header-Tag nahm!
- Wo war denn da (im Header!?) ein Werbelink (der zu entschärfen war)? (Den im Zitat hatte ich ja "Whois"iert ;).)

-> alariel: Danke!
- Wieso betonst Du denn (= 2x), dass es nur Deine Meinung und daher nicht representativ sei? Finde Deine Antwort eher sachlich und daher objektiv hilfreich.

Zu I) ..Sofern die Quelle immer gleich ist - das ist sie eigentlich seltenst - sollte das durchweg erkennbar sein; in so einem Fall bietet es sich an, Header wohl nur bei einer Abweichung zu posten...
Na, dann hab ich's ja richtig gemacht(!?).

Zu II) ..Eintrag, der vom Empfangenen Mailserver stammt..
Ich vermute, 10.50.... steht lokal bei Dir? Der Adressbereich weist darauf hin..
Hab zwar keine Ahnung,
- was all die Kürzel bedeuten,
- was Du mit "steht lokal bei Dir" meinst, und
- warum (also) meine eigene (abgewandelte) Adresse (... [at] xprdmailbe.nwk.excite.com) auch unter der Rubrik ABSENDER steht,
aber
- "localhost.." scheint ja mein eMail-Anbieter (excite.com) zu sein, und
- der tatsächliche Absender dürfte nl [at] 24dm1.com sein.

Maßnahmen - nunja, was sich als Spamschleuder qualifiziert blocke ich halt in meinem Mailserver. Ansonsten liegt's an einem selbst - wie oben schon gesagt, es kann auch für andere interessant sein...
Eben! Wenn immer nur jeder an sich selbst denken würde,
- gäb es dieses Forum ja gar nicht und
- würde die Wurzel des Übels nicht gefunden => bekämpft, so dass
-- die Spam-Mails insgesamt NOCH viel mehr wären und
-- die Versender GAR nicht bekämpft, geschweige denn bestraft würden (was ich wichtig finde).


Zu IV) Dafür müsste man wissen, welcher Filter eingesetzt wird, und wie er gepflegt wird...
Nun ja - jedenfalls ist es ja inzwischen so, dass eben bei den meisten Mail-Providern (bei mir z.B. Yahoo, Excite.com, Freenet, Web.de ..) die allermeisten Spams entdeckt werden und direkt in den "Spam-Ordner" gehen und nur wenige % in den Posteingang durchschlüpfen.
Und da bleibt die Frage, ob das Zufall ist oder die eine Lücke gefunden haben, die a) allgemein = für alle/viele Provider gilt und b) stopfbar ist.

Naja - von mir soll's das gewesen sen, denn ich hab ja weder Können noch das ganz große Interesse noch Zeit mich weiter damit zu beschäftigen. Wollte halt nur einen kleinen Teil beitragen und mich informieren, womit ich/man helfe/hilft und womit nicht.

alariel
15.07.2008, 15:52
-> alariel: Danke!
- Wieso betonst Du denn (= 2x), dass es nur Deine Meinung und daher nicht representativ sei? Finde Deine Antwort eher sachlich und daher objektiv hilfreich.

Weil andere das eben vielleicht anders sehen ;)
Ich bin nichtmal Mitglied, und kann daher schon nichts allgemeingültiges aussagen ;)


Hab zwar keine Ahnung,
- was all die Kürzel bedeuten,
- was Du mit "steht lokal bei Dir" meinst, und
- warum (also) meine eigene (abgewandelte) Adresse (... [at] xprdmailbe.nwk.excite.com) auch unter der Rubrik ABSENDER steht,

Wichtig sind da eigentlich nur die IP-Adressen. 10.x.x.x ist eigentlich für private Netzwerke reserviert, kann aber auch innerhalb des Rechenzentrums weitergeleitet sein. Demzufolge dürfte die Mail eben von 91.184.54.148 stammen ;)
Ach ja... Kürzel..???

Mit Absender nehme ich an, Du mienst die Received-Angaben? In dem Fall einfach zu lesen als "Empfangen von <möchtegernsoheissen> (<IP>) ...für <emailadresse/account>" ;)


- "localhost.." scheint ja mein eMail-Anbieter (excite.com) zu sein, und
- der tatsächliche Absender dürfte nl [at] 24dm1.com sein.
Müsste man schauen ;)
Traue keinen Namen, denn der kann eigentlich beliebig sein. Wichtig: die IP, welche im Adressbereich von VCN Corp./kolido.net liegt. NL käme damit wohl hin ^^

Gruß,
Alariel

alfred97
01.09.2008, 21:24
ach ich möchte auch so gern Tester werden :-)

From - Mon Sep 01 xx:xx:xx 2008
X-Account-Key: account5
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <bounce[BOUNCE filtered]@gutscheine-fuer-uebernachtungen.com>
X-Spam-Checker-Version: SpamAssassin 3.1.7-deb (2006-10-05) on xxxxxxx
X-Spam-Level:
X-Spam-Status: No, score=0.2 required=4.0 tests=BAYES_05,
SUBJECT_ENCODED_TWICE autolearn=no version=3.1.7-deb
X-Original-To: xxxxxxx
Delivered-To: xxxxxxx
Received: from gutscheine-fuer-uebernachtungen.com (gutscheine-fuer-uebernachtungen.com [78.41.84.6])
by xxxxxxx (Postfix) with SMTP ID: [ID filtered]
for <xxxxxxx>; Mon, 1 Sep 2008 xx:xx:xx +0200 (CEST)
From: "Hoteltester-Einladung" <Hoteltester [at] gutscheine-fuer-uebernachtungen.com>
To: xxxxxxx
Subject: =?ISO-8859-1?B?U2llIHdlcmRlbiBIb3RlbHRlc3RlciAtIEhlcnps?=
=?ISO-8859-1?B?aWNoZW4gR2z8Y2t3dW5zY2gh?=
Date: Mon, 01 Sep 2008 xx:xx:xx +0200
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Content-Transfer-Encoding: 8bit
List-Unsubscribe: <mailto:leave-mailid4-xxxxxxx [at] gutscheine-fuer-uebernachtungen.com>
Message-ID: [ID filtered]


http://reisetester.com/anmelden.php?mailid=

Goofy
01.09.2008, 21:29
?mailid=$session_code


Ob da wohl die Anmeldungen gemäß bewährtem Schema aus Fulda generiert werden?

alfred97
01.09.2008, 21:36
Name, Vorname und Mailadresse als GET-Variable :-)

Goofy
01.09.2008, 21:46
Wie praktisch.
Leicht und schnell in eine Datenbank einzupflegen. :clown:
Sehr nützlich für das Mengeninkasso.

antispam2006
30.09.2008, 04:50
Juhu jetzt darf ich auch Hotels testen...

Return-Path: <bounce[BOUNCE filtered]@gutscheine-fuer-uebernachtungen.com>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 29 Sep 2008 xx:xx:xx -0000
Received: from mail7.gutscheine-fuer-uebernachtungen.com (HELO gutscheine-fuer-uebernachtungen.com) [78.41.84.8]
by mx0.gmx.net (mx077) with SMTP; 29 Sep 2008 xx:xx:xx +0200
From: "Hoteltester-Einladung" <Hoteltester [at] gutscheine-fuer-uebernachtungen.com>
To: poor [at] spamvictim.tld
Subject: =?UTF-8?B?U2llIHdlcmRlbiBIb3RlbHRlc3RlciAtIEhlcnps?=
=?UTF-8?B?aWNoZW4gR2zDvGNrd3Vuc2NoIQ==?=
Date: Mon, 29 Sep 2008 xx:xx:xx +0200
MIME-Version: 1.0
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
List-Unsubscribe: <mailto:leave-mid7-1234567I [at] gutscheine-fuer-uebernachtungen.com>
Message-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

wir freuen uns, Ihnen heute mitteilen zu dürfen dass Sie ausgesucht wurden, aus unserem 1900 Hotel- & Resort-Portfolio europaweit Hotels zu testen.

Unsere Plätze sind begrenzt, daher bitten wir Sie nun, innerhalb von 2-3 Werktagen, Ihre Daten zu ergänzen. Nach dieser Frist müssen wir Sie, laut unseren Regularien, leider ablehnen.

Zur Datenaufnahme klicken Sie bitte hier:
http://reisetester.com/anmelden.php?tclid=personalisiertmitDatendieichnichtkenne nur für bestimmt. Bitte geben Sie diesen Link nicht weiter.)

Wir wünschen Ihnen, Vorname Nachname, viel Spaß und freuen uns, Sie als Reisetester begrüßen zu dürfen?
Ihre Reisetest-Beauftragte

A. S.
-----------------------------------------------------------------------

So eine persönliche Reisetestbeauftragte hat schon etwas.

Gruß Antispam2006

DJANGO
30.09.2008, 08:09
So eine persönliche Reisetestbeauftragte hat schon etwas.
Das wird wohl Fäustles persönliche Beauftragte sein...:D

schmubo
30.09.2008, 20:32
Hier auch aufgeschlagen - und sehr aufschlussreich:

Der personalisierte Link enthält als GET-Parameter einen ganzen Datensatz, bestehend aus E-Mail-Adresse, Anrede, Name, Straße/Hausnr. und Wohnort einschl. PLZ.

Die Daten, die ich darin gefunden habe, wurden von mir bisher nur zur Anmeldung bei einem einzigen Abo-Abzocke-Projekt verwendet, nämlich bei http://love3377.com (hosted by http://www.enom.com).

Über welche Zwischenhändler der Datensatz zu den Reisetestern gelangt ist, wäre mal ganz insteressant zu erfahren - ein T5F ist aber in meinem Fall (Anmeldung mit Phantasie-Identität) wohl nicht durchsetzbar.

schara56
01.10.2008, 08:52
...]Die Daten, die ich darin gefunden habe, wurden von mir bisher nur zur Anmeldung bei einem einzigen Abo-Abzocke-Projekt verwendet, nämlich bei http://love3377.com (hosted by http://www.enom.com).[...Die Akte des Patienten können Sie hier (https://www.antispam-ev.de/forum/showthread.php?t=13971) einsehen :p.