Hallo zusammen!

Diese Spammail kann mehrere Funktionen haben:
- Listenwäsche um tote eMailadressen zu entfernen und eine hochwertige Adressenliste zu erhalten
- Vorbereitung eines Hackerangriffs auf einen speziellen Rechner

Daher:
- Grundsätzlich HTML-Ansicht von eMails abschalten
- Nachladen von Grafiken (Webbugs!) verbieten

From - Sat Jun 27 00:[...] 2009
Return-Path: <bounce [at] buuduu.info>
Delivery-Date: Sat, 27 Jun 2009 00:[...] +0200
Received: from host.buuduu.info (buuduu.info [89.248.166.53])
by [...] (node=[...]) with ESMTP (Nemesis)
ID: [ID filtered]
Received: from www.buuduu.info (host.buuduu.info [89.248.166.53])
(Authenticated sender: mandy [at] buuduu.info)
by host.buuduu.info (Postfix) with ESMTPA ID: [ID filtered]
for <[...]>; Fri, 26 Jun 2009 22:[...] +0200 (CEST)
To: [...]
Subject: hallo
Message-ID: [ID filtered]
Date: Thu, 25 Jun 2009 13:[...] +0200
From: "Petra" <petra [at] buuduu.info>
Reply-To: petra [at] buuduu.info
MIME-Version: 1.0
X-Mailer-LID: [ID filtered]
List-Unsubscribe: <http://www.buuduu.info/mail/unsubscribe.php?[UNSUB filtered]>
X-Mailer-SID: [ID filtered]
X-Mailer-Sent-By: 1
X-SpamScore: 3.1
tests= DATE_IN_PAST_24_48 HTML_IMAGE_ONLY_04 HTML_MESSAGE

Der Text der eMail ist schön übersichtlich gehalten:

sag ramona viel grüße
Die eingebettete Grafik hat es dagegen in sich:

<img
src="http://www.buuduu.info/mail/open.php?M=[...]&image=.jpg"
height="1" width="10">
Der Link enthält eine Zeichenfolge mit der Lesebestätigung und und IP-Adresse einem Datensatz zugeordnet werden können. Die Grafik ist ist nur einen Pixel hoch und 10 Pixel lang, sieht also aus wie der Unterstrich "_". Das ist ein weiterer deutlicher Hinweis, daß die eMail ein Ausspähversuch ist.

Die IP und Domain kommen aus Amsterdam:
IP-whois (http://whois.domaintools.com/89.248.166.53)
whois buuduu.info (http://whois.domaintools.com/buuduu.info)

Nebelwolf

Received: from [94.102.51.60] (helo=host.mandelz.info)
by mx45.web.de with esmtp (WEB.DE 4.110 #293)
ID: [ID filtered]
Received: from www.mandelz.info (mandelz.info [94.102.51.60])
(Authenticated sender: poor [at] spamvictim.tld) by host.mandelz.info (Postfix) with ESMTPA ID: [ID filtered]
To: poor [at] spamvictim.tld
Subject: hallo
Message-ID: [ID filtered]
Date: Wed, 24 Jun 2009 xx:xx:xx +0200
From: "Christin" <christin [at] mandelz.info>
Reply-To: christin [at] mandelz.info
MIME-Version: 1.0
X-Mailer-LID: [ID filtered]
List-Unsubscribe: <http://www.mandelz.info/mail/unsubscribe.php?[UNSUB filtered]>
X-Mailer-SID: [ID filtered]
X-Mailer-Sent-By: 1
Content-Type: multipart/alternative; charset="UTF-8"; boundary="b1_3d8a043a923f018f0d2d49097e9d3428"
Content-Transfer-Encoding: 7bit
Return-Path: return [at] mandelz.info

sag bitte tina viele grüße

http://www.mandelz.info/mail/open.php?M=
height=3D"1" width=3D"10"></body></html>
----------------------

Versand erfolge auch aus NL 94.102.51.60 Ecatel LTD.

Gruß Antispam2006

[...] Nachladen von Grafiken (Webbugs!) verbieten
Wo kann ich das eigentlich einstellen? :confused:

Klingt verrückt, aber bei uns wird die Mailsignatur auf Geheiß der Geschäftsleitung als nachzuladende Graphik in Mails eingebaut. Die EDV-Abteilung hat mich gerügt, als ich meine eigene Signatur gebastelt habe, und behauptet, dies sei gegen ihr Votum so beschlossen worden. Jetzt würde eine Änderung wiederum so viele Arbeitsstunden kosten, daß sie wider besseres Wissen nicht mehr erfolgen könne. :clown:

Bei Thunderbird werden Mails grundsätzlich nur in Textansicht geöffnet, dabei können auf keinen Fall Webbugs geladen werden.

Besonders kritisch ist bei MS-Outlook die "Mailvorschau". Diese arbeitet im html-Mode, mit der Rendermaschine des IE, und lädt z.T. bereits in der Mailvorschau Exploit-Code, ohne dass die Mail überhaupt geöffnet wurde. Ebenfalls werden z.T. schon in der Vorschau Webbugs geladen.
Ein Hoch auf diese praktischen Features. :p
Man soll das wohl bei den neuen Outlook-Versionen angeblich auch irgendwie abstellen können, aber da bin ich als überzeugter Thunderbird-Nutzer überfragt.

Wo kann ich das eigentlich einstellen?

Im Wesentlichen hängt das vom Mailclient ab... ;)
Welchen nutzt Ihr denn?

Klingt verrückt, aber bei uns wird die Mailsignatur auf Geheiß der Geschäftsleitung als nachzuladende Graphik in Mails eingebaut.
Nachzuladen aus dem Mailanhang oder nachzuladen aus dem Internet? Ersteres lassen viele Clients zu, Zweiteres sollte aus Sicherheitsgründen deaktiviert sein. In manchen Organisationen (Firmen, Universitäten) unterbindet auch die Firewall einen Zugriff von Mailclients auf Dateien aus dem Internet.

Magst Du bitte mal die EDV-Menschen zwei Dinge fragen:

Was bitte soll der Sinn hinter nachzuladenden Grafiken sein, außer dass sie "schöner" aussehen? Als professionell würde ich eine solche Auflage jedenfals nicht bezeichnen.
Und welcher Zweck wird damit verfolgt? Wollen die bei aus dem Internet nachzuladenden Grafiken etwa aus den Weblogs ableiten, wie viele Euer Mails bei Euren GeschäftspartnerInnen pro Tag die Mails von welchem Mitarbeiter lesen?
Du schreibst, Du seist gerügt worden. Nun ist eine Rüge ein ernstzunehmendes arbeitsrechtliches Werkzeug, das man als Arbeitnehmer nicht einfach so hinnehmen muss, jedenfalls nicht wegen einer solchen Lapalie. Hat Eure EDV-Abteilung überhaupt Befugnis, eine Rüge zu erteilen?

Schönen Gruß
Mittwoch

Bei Outlook 2003:

"Extras/Optionen/Sicherheit" --> unter "Einstellungen für den automatischen Download ändern" --> alle Haken anklicken --> zweimal mit "OK" bestätigen.

Bei Outlook 2007 ist diese Funktion erst gar nicht vorhanden...

Mailsignaturen bei gewerblichen Mails enthalten die vorgeschriebenen Angaben gem. TMG/TDG.

Diese Angaben müssen barrierefrei vorgehalten werden.

Das bedeutet:

Ist die Signatur in einer Graphik unten angehängt, dann können blinde Personen (die mit Sprachausgabesystem arbeiten) diese Angaben nicht hören.
Personen, die - wie von Mittwoch erwähnt - an weit verbreiteten Systemen arbeiten, die aus Sicherheitsgründen das automatische Nachladen von Graphiken aus dem Mail-Client heraus unterbinden, können diese Angaben ebenfalls nicht einsehen.

Damit stehen bei diesen Geschäfts-Mails wohl einem großen Teil der Adressaten die gesetzlich geforderten Pflichtangaben nicht zur Verfügung.

Es gibt einige Anwälte in Deutschland, die von nichts anderem ihren Lebensunterhalt bestreiten, als von Abmahnungen gegen solche Geschäftsbetriebe.
Leider eine todsichere Sache, gegen solche Abmahnungen ist man so gut wie chancenlos.

...
Besonders kritisch ist bei MS-Outlook die "Mailvorschau". Diese arbeitet im html-Mode, mit der Rendermaschine des IE, und lädt z.T. bereits in der Mailvorschau Exploit-Code, ohne dass die Mail überhaupt geöffnet wurde. ...
Seit Outlook 2007 wird Word zum Anzeigen der E-Mails verwendet, weil der IE offenbar doch viel zu unsicher war. Daher müssen Newsletter etc. nun wieder mit Tabellen arbeiten, weil Word nur unzureichend die Formatierung mit CSS unterstützt. Webbugs werden aber leider sowohl mit den älteren wie auch mit 2007 dargestellt ...

Für was muss man überhaupt e-Mails in html schicken? :confused:

Kann man in so eine html auch Makroviren für Word direkt einbauen?:skull:

Its not a bug, its a feature... fragt sich da nur, für wen?

Und HTML-Mails muss man nehmen, seit es "Management" gibt. Da zählt nicht Information, sondern Aussehen...

... Kann man in so eine html auch Makroviren für Word direkt einbauen?:skull:

Wenn Du es schaffst, den Nicht-Text-Teil als "application/rtf" anstelle von "text/html" zu markieren dann könnte das evtl. funktionieren ...

Iiiih. :lil:
Allein die pure Möglichkeit, dass sowas evtl. geht, würde mich, wenn ich an verantworlicher Stelle für eine EDV zu entscheiden hätte, das Verbot der Outlook-Nutzung im Betrieb aussprechen lassen.
Word führt Makros ungefragt aus, so weit ich weiß... :rolleyes:

Hi zusammen,


Bei Thunderbird werden Mails grundsätzlich nur in Textansicht geöffnet, dabei können auf keinen Fall Webbugs geladen werden.
Bei Outlook, das ich trotz der unsicher voreingestellten Sicherheitsfeatures wegen seiner Funktionsvielfalt privat immer noch gerne verwende, kann man die Mailvorschau leicht abstellen. Ich habe inzwischen festgestellt, daß die neueren Versionen das Nachladen solcher Webbugs verhindern.
Ich habe die Sicherheitsstufe in den Zoneneinstellungen auf "Eingeschränkte Sites" eingestellt, und in dieser Zone habe ich einfach alles deaktiviert.
Wir haben in unserem Betrieb bis vor wenigen Monaten Eudora verwendet, jetzt Thunderbird.
Ich mußte in meinem Spamfilter die Erkennung solcher nachladenden Images abschalten, um unsere Firmenmails empfangen zu können. ;)


Nachzuladen aus dem Mailanhang oder nachzuladen aus dem Internet?
Die Bilder werden tatsächlich vom Firmenserver bereitgestellt und in einer geöffneten Mail nachgeladen.
Unsere EDV-Leute wollten das auch nicht so, wurden aber von der Geschäftsleitung angewiesen, das so einzurichten.
Vielleicht haben sie gedacht, daß damit ggf. Änderungen zentral für alle durchgeführt werden können.
Die EDV-ler haben mich nicht offiziell oder gar schriftlich gerügt, sondern mißbilligt, habe michmißverständlich ausgedrückt.


Mailsignaturen bei gewerblichen Mails enthalten die vorgeschriebenen Angaben gem. TMG/TDG. Diese Angaben müssen barrierefrei vorgehalten werden. [...]
Unsere Signatur besteht aus einem Text- und einem Imageteil. Der zweite Teil ist somit offensichtlich nicht TMG/TDG-konform?
Das muß ich mal berichten ...

Ich gebe Goofy recht in der Einschätzung, daß Html-Mails unnötig sind, aber ich bin dennoch ein Liebhaber formatierter Texte ...
Bisher habe ich offensichtlich ausreichend vorsichtig mit brain.exe mein Mailaufkommen bearbeitet – ich hatte jedenfalls bisher noch nie eine Malwareinfektion, auf keinem meiner Computer.

Gruß, Chactory

Ich habe die Sicherheitsstufe in den Zoneneinstellungen auf "Eingeschränkte Sites" eingestellt, und in dieser Zone habe ich einfach alles deaktiviert.

Immer wieder mal hat es gegen Outlook sogenannte "Cross-Zone-Exploits" gegeben, da helfen die "Zoneneinstellungen" dann auch nichts mehr.



Wir haben in unserem Betrieb bis vor wenigen Monaten Eudora verwendet, jetzt Thunderbird.
Ich mußte in meinem Spamfilter die Erkennung solcher nachladenden Images abschalten, um unsere Firmenmails empfangen zu können. ;)

Eure Firmenmails lassen sich bei Thunderbird "whitelisten".



Unsere Signatur besteht aus einem Text- und einem Imageteil. Der zweite Teil ist somit offensichtlich nicht TMG/TDG-konform?
Das muß ich mal berichten ...

Sobald in diesem Image relevante Pflichtangaben stehen, wird es problematisch.


ich hatte jedenfalls bisher noch nie eine Malwareinfektion, auf keinem meiner Computer.

Klopf an Holz, dass es so bleibt. ;)

Danke für Deine Antwort, Goofy! :)
Vielen Dank für den wichtigen Hinweis auf diese "Cross-Zone-Exploits"!
Ich klopfe an meinen Holzschädel, alles andere hier ist aus Kunststoff. :D

sag bitte tina viele grüße

http://www.mandelz.info/mail/open.php?M=
height=3D"1" width=3D"10"></body></html>
----------------------

Versand erfolge auch aus NL 94.102.51.60 Ecatel LTD.

Gruß Antispam2006


Habe versehentlich darauf geantwortet ( vorab geöffnet )...

Habe ich jetzt einen Trojaner auf der Festplatte ?
Woran erkenne ich daß "irgendwas" infiziert ist ?
Worauf muß ich jetzt achten ?

Mein PC ( windows vista ) hat ständig Probleme mit Viren Programmen, folglich habe ich kein aktuelles.

Bitte um Hilfe ( bitte kein Fachchinesisch ),
danke

Ich vermute ob Deines Posts, dass Du dieselbe Mail wie antispam2006 erhalten hast.

Einen Trojaner hast Du Dir durch das Mail-Öffnen vermutlich nicht eingefangen. Ich gehe hierbei davon aus, dass Du ein ordentliches Mailprogramm verwendest oder aber unter Autschlook alles abgeschaltet hast, was potentielle Gefahren birgt (Hinweise zur Konfiguration gibt es ja genug). Ergo, reinen Text betrachtet hast.

Erkennen, dass etwas infiziert ist? Wenn Du beim Hochfahren des Rechners auf einmal ein Windows auf der Platte hast.
...
Ok, Scherz beiseite. Das erkennst Du so gar nicht. Dafür gibt es Virenscanner, bzw. Rescue-CDs mit Virenscannern (z.B. von Avira). Einfach herunterladen - im Zweifel auf einem anderen PC, z.B. vom Kumpel - und brennen.
Vor allem solltest Du mit einer solchen CD Deinen PC scannen. Da Windows in dem Fall nicht gestartet wird, sollte es auch keine Probleme machen.

Ansonsten empfehle ich: Für Mails ein Programm != Outlook, und zum surfen ein Programm != IE.


Mein PC ( windows vista ) hat ständig Probleme
Das finde ich jetzt irgendwie doppelt gemoppelt... :D
*SCNR*

"Autschlook" .. "Programm != Outlook" ... "Programm != IE" :confused:
Ich finde, dass es besser wäre, etwas weniger Insider-Slang zu benutzen, wenn solche Hilferufe beantwortet werden.

Das soll nicht persönlich gemeint sein, sondern gilt ebenso für viele anderen Helfer, die hier im Forum den Hilfsbedürftigen Ratschläge erteilen. Ich bin sicher, dass viele Ratsuchende bei solchen Antworten sich fragen,"was meint der da?" Aus dem Text der Hilferufe erkennt man doch schon sehr oft: Das ist wieder mal einer mit PC-Kenntnissen auf niedrigem Niveau.

Hallo Francis!


Habe versehentlich darauf geantwortet ( vorab geöffnet ) ...Als erstes solltest Du mal ganz dringend einige Tipps lesen, wie man sich am Computer verhalten muß! Du darfst Dich ja auch nicht einfach ins Auto setzen und losrasen, sondern muß die Gefahren im Straßenverkehr kennen. Hier sind ein paar Stellen zum Lesen:
http://www.spiegel.de/netzwelt/tech/0,1518,97406,00.html
http://www.nzz.ch/2006/05/12/em/articleE42GF.html
http://www.uni-koeln.de/rrzk/kompass/91/k914.html

Mir persönlich helfen:
- Windows aktuell halten
- Nur getestete, in seriösen Magazinen erwähnte Software installieren
- Nie eine Mail oder eine Datei ohne vorheriges Nachdenken öffnen
- Nie auf kritische Websites gehen
- Niemals unseriöse Billigangebote aus Spammails annehmen!
- Sicherheitssoftware verwenden (Firewall, Antivirensoftware, Spamfilter)
- Systempflege betreiben (Backups, Secunia, Spybot, CCleaner)
- Möglicherweise würde Dir helfen, wenn Du, wie Alariel schreibt, andere als die übliche
- und anfällige Windowssoftware einsetzen würdest, also zum Browsen am besten den
- Firefox und zum Mailen am besten den Thunderbird.


Woran erkenne ich daß "irgendwas" infiziert ist ?Man kann "merkwürdiges Verhalten" seines Computers nur erkennen, wenn man informiert und geistig wach daran arbeitet. Typische unspezifische Anzeichen sind etwa Verlangsamungen, Aktivitäten des Computers, die man nicht selber gestartet hat, merkwürdige Messages, automatisches Anzeigen von Websites, die man nicht selber aufrief, Firewall- und Antiviren-Meldungen u.v.m.


Mein PC ( windows vista ) hat ständig Probleme mit Viren Programmen, folglich habe ich kein aktuelles.Ich möchte nicht, daß Du Dich angegriffen fühlst, aber ich möchte Dir klarmachen, daß Du Dein eigenes Verhalten einmal kritisch überdenken mußt. Möglicherweise ist Dein Computer durch Deine eigene Unaufmerksamkeit ein solcher Bot, Teil eines Botnetzes, der ferngesteuert wiederholt Spammails versendet, Internetattacken verübt, etc.

Es ist meiner Meinung nach dringend erforderlich, daß Du Deinen Computer "plattmachst" und komplett neu aufsetzt. Deine Daten solltest Du vorher sichern und anschließend mit einem virenfreien System mit mindestens einem Antivirenprogramm komplett scannen, bevor Du sie wieder aufspielst.

Windows Vista verwendet man am besten als einfacher User, dann bietet es zumindest so viele Warnungen, daß man Aktivitäten des Computers als eigene oder "Bösartige" erkennen könnte.

Gruß, Chactory

Hmm, keine Antwort ... ist wohl endgültig abgeschmiert ... :rolleyes:

Ich finde, dass es besser wäre, etwas weniger Insider-Slang zu benutzen, wenn solche Hilferufe beantwortet werden.

DAS ist noch kein Insiderslang. Der geht anders...
Und "ungleich" schreibt man nunmal != ... (bis ich grad in der Wikipedia nach != gesucht habe wusst' ich auch nicht, wie ich ein ≠ produziere.)

Natürlich hätte ich meine Meinung auch verkürzt wiedergeben können: "Tritt Windows in die Tonne und gönne Dir zum Surfen ein richtiges Betriebssystem", aber das ginge am Thema irgendwie vorbei. Zumal so mancher Windows eben zum zocken noch braucht, oder warum-auch-immer bei Windows bleiben will. Naja, ich muss ja auch nicht alles verstehen; meinetwegen soll jeder nach Lust und Laune.

[...] meinetwegen soll jeder nach Lust und Laune.
Vielen Dank, Alariel. :p ;)

Es geht weiter

Received: from [89.248.166.22] (helo=host.buuduu.info)
by mx32.web.de with esmtp (WEB.DE 4.110 #314)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sat, 08 Aug 2009 xx:xx:xx +0200
Received: from www.knoton.info (knoton.info [89.248.166.22])
(Authenticated sender: rosi [at] knoton.info)
by host.buuduu.info (Postfix) with ESMTPA ID: [ID filtered]
for <poor [at] spamvictim.tld>; Sat, 8 Aug 2009 xx:xx:xx +0200 (CEST)
To: poor [at] spamvictim.tld
Subject: hi
Message-ID: [ID filtered]
Date: Sat, 08 Aug 2009 xx:xx:xx +0200
From: "Rosi" <rosi [at] knoton.info>
Reply-To: rosi [at] knoton.info
MIME-Version: 1.0
X-Mailer-LID: [ID filtered]
List-Unsubscribe: <http://www.knoton.info/mail/unsubscribe.php?M=
X-Mailer-SID: [ID filtered]
X-Mailer-Sent-By: 1
Content-Type: multipart/alternative; charset="UTF-8"; boundary="b1_0ba3de088f9a4dddc9e946af563772ca"
Content-Transfer-Encoding: 7bit
Return-Path: bounce [at] knoton.info

hallo, sag bitte der julia viele grüße von mir

http://www.knoton.info/mail/open.php?M=
height=3D"1" width=3D"10"
-----------------------------------------------
Ja nee is klar. Über Rückfragen freut sich rrohn [at] mail.ru

Auf 89.248.166.22 liegen neben knoton.info noch Projekte mit den klangvollen Namen wie

www.tittenclub.info
www.voyeurseite.info
www.schwarze-girls.info

Na dann..

Gruß Antispam2006

Hi,
ich habe eine Email bekommen, nur leider kann ich sie nicht richtig zuordnen. Ich habe nur eine Vermutung, dass sie wohl auf Antwort warten, um festzustellen, dass die Email aktiv ist. Falls ich falsch liege, einfach bitte verschieben :).

Received: from [94.102.51.44] (helo=host.ronsob.info)
by mx45.web.de with esmtp (WEB.DE 4.110 #314)
ID: [ID filtered]
for ... [at] web.de; Wed, 19 Aug 2009 xx:xx:xx +0200
Received: from www.ronnon.info (ronnon.info [94.102.51.44])
(Authenticated sender: julia [at] ronnon.info)
by host.ronsob.info (Postfix) with ESMTPA ID: [ID filtered]
for <.... [at] web.de>; Wed, 19 Aug 2009 xx:xx:xx +0200 (CEST)
To: ... [at] web.de
Subject: na du
Message-ID: [ID filtered]
Date: Wed, 19 Aug 2009 xx:xx:xx +0200
From: "Julia" <julia [at] ronnon.info>
Reply-To: julia [at] ronnon.info
MIME-Version: 1.0
X-Mailer-LID: [ID filtered]
List-Unsubscribe: <http://www.ronnon.info/send/unsubscribe.php?[UNSUB filtered]>
X-Mailer-SID: [ID filtered]
X-Mailer-Sent-By: 1
Content-Type: multipart/alternative; charset="UTF-8"; boundary="b1_6300a4570c9c23f8e7195c7cf7c72ad8"
Content-Transfer-Encoding: 7bit
Return-Path: bounce [at] ronnon.info


hallo, sag bitte der beate viele grüße, danke


Das war die einzige Nachricht. Gut ich denke meine Vermutung stimmt, weil im Header etwas von List-Unsubscribe steht.
Grüsse querre

Ein etwas dubiose um nicht zu sagen typische Domain sowohl vom Inhalt her als auch der Registrierung
ronnon.info

Google kennt sie bisher nicht, dafür aber den Registranten ein bißchen
BUUDUU.INFO
jenseyy.info
mandelz.info

Die Forensuche zeigt diesen Thread http://www.antispam-ev.de/forum/showthread.php?t=24992. Die Mails dienen zur Adressvalidierung.

Gruß Antispam2006

@Mods tackern?

Kann mir einer von euch weiterhelfen.

Ich habe eine dieser blöden Mails erhalten "sag bitte tina viele grüße"
Und verdammt ich hab die Mail aufgemacht, jetzt fragt ihr euch, man ist der blöd oder was.
JA das bin ich wohl, weil meine Freunding Tina genannt wird, d.h. mir kam die Mail zuerst garnicht spanisch vor.

Kurz und knapp, ich hab mit Thunderbird die mail aufgemacht und die Grafiken geleaden :(

Jetzt meine Frage, muss ich mir auch als MAC-User sorgen machen, wenn ja welche überhaupt???!

Sicher nicht.
Das ist halt einfach nur der übliche Spam für Hamburger Fischmarktprojekte.

Kann evtl. sein, dass Du demnächst mehr Spam kriegst, manche Grafik-Links in Spam-Mails sind mit tracking-codes gespickt, so dass die Spammer z.T. daran sehen können, ob Du die Spam-mail aufgemacht hast. Dann kommt Deine Mail-Adresse in die "Confirmed"-Datenbank, weil Du ein (mögliches) Interesse gezeigt hast.

Ich gehe mal davon aus das man mit Pornospam beglückt wird, denn wenn man auf 89.248.166.53 schaut, auf welchen auch www.buuduu.info liegt, findet man diese Domain http://engundjung.com/.
Diese leitet dann auf, wer ahnt es?!, zu http://www.affaire.com/index.php?WMID=71399&CTRLID=Jlc9Mw%3D%3D3&PID=1 . Und diese sind bereits mehrfach durch Spam angeblicher Affiliatepartner aufgefallen.

Gruß Antispam2006

Was könnte der Sinn sein? Listenwäsche?
From - Mon Sep 14 xx:xx:xx 2009
X-Account-Key: account3
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <bounce [at] tonsen.info>
X-Flags: 0000
Delivered-To: GMX delivery to me [at] somewhere
Received: (qmail invoked by alias); 13 Sep 2009 xx:xx:xx -0000
Received: from tonsen.info (EHLO tonsen.info) [94.102.55.178]
by mx0.gmx.net (mx051) with SMTP; 14 Sep 2009 xx:xx:xx +0200
Received: from www.tonsen.info (tonsen.info [94.102.55.178])
(Authenticated sender: jenny [at] tonsen.info)
by tonsen.info (Postfix) with ESMTPA ID: [ID filtered]
for <me [at] somewhere>; Mon, 14 Sep 2009 xx:xx:xx +0200 (CEST)
To: me [at] somewhere
Subject: Hallo
Message-ID: [ID filtered]
Date: Mon, 14 Sep 2009 xx:xx:xx +0200
From: "Jenny" <jenny [at] tonsen.info>
Reply-To: jenny [at] tonsen.info
MIME-Version: 1.0
X-Mailer-LID: [ID filtered]
List-Unsubscribe: <http://www.tonsen.info/send/unsubscribe.php?[UNSUB filtered]>
X-Mailer-SID: [ID filtered]
X-Mailer-Sent-By: 1
Content-Type: multipart/alternative; charset="UTF-8"; boundary="b1_bxcx8xbx2xbxexax9x6x1x4xbxcxdxaxe"
Content-Transfer-Encoding: 8bit
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

--b1_bxcx8xbx2xbxexax9x6x1x4xbxcxdxaxe
Content-Type: text/plain; format=flowed; charset="UTF-8"
Content-Transfer-Encoding: 8bit

Hallo,
kannst du bitte der anja viele grüße von mir sagen?
Danke

--b1_bxcx8xbx2xbxexax9x6x1x4xbxcxdxaxe
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: 8bit

<html><head></head><body>Hallo,<br />kannst du bitte der anja viele
gr&uuml;&szlig;e von mir sagen?<br />Danke<img
src="http://www.tonsen.info/send/open.php?M=###&L=#&N=#&F=H&image=.jpg"
height="1" width="10"></body></html>

--b1_bxcx8xbx2xbxexax9x6x1x4xbxcxdxaxe--

Die Welt ist elefantastisch,
sie ist wunderschön!
Bunt wie 'ne Tüte Bonbons
Laßt uns auf die Reise geh'n...

Was immer Du geraucht hast, rauch weniger davon - oder gib mir was ab ;)
Was Dimitri Katzenklo mit der Domain tonsen.info weiss ich nicht, die Whois-Daten klingen aber nicht sehr vertrauenerweckend. Ich tippe mal auf Listwashing in Kombination mit einem lustigen Exploit.

Was könnte der Sinn sein? Listenwäsche?

Davon ist auszugehen. Es sollte in diesen Thread gehören http://www.antispam-ev.de/forum/showthread.php?t=24992

Gruß Antispam2006

Was immer Du geraucht hast, rauch weniger davon - oder gib mir was ab ;)
Ich bin militanter Nichtraucher. Pfeiff Dir einfach mal zusammen mit einem 3jährigen 50 Folgen davon rein. Dann verstehst Du mich vielleicht.

Received: from tonsen.info (EHLO tonsen.info) [94.102.55.178]
by mx0.gmx.net (mx055) with SMTP; 16 Sep 2009 xx:xx:xx +0200
Received: from www.tonsen.info (tonsen.info [94.102.55.178])
(Authenticated sender: jenny [at] tonsen.info)
by tonsen.info (Postfix) with ESMTPA ID: [ID filtered]
for <x>; Wed, 16 Sep 2009 xx:xx:xx +0200 (CEST)

src="http://www.tonsen.info/send/open.php?M=12345&L=9&N=7&F=H&image=.jpg"

Ganz interessant:
http://www.wjunction.com/archive/index.php/t-7503.html

http://h.imagehost.org/t/0523/002.jpg (http://h.imagehost.org/view/0523/002)

Pfeiff Dir einfach mal zusammen mit einem 3jährigen 50 Folgen davon rein. Dann verstehst Du mich vielleicht.Genau das! Nun gut, meine Tochter ist 5 und jetzt 6 Jahre. Verstehe Dich aber sehr gut! :)

Received: from tonsen.info (EHLO tonsen.info) [94.102.55.178]
by mx0.gmx.net (mx012) with SMTP; 21 Sep 2009 xx:xx:xx +0200
Received: from www.tonsen.info (tonsen.info [94.102.55.178])
(Authenticated sender: jenny [at] tonsen.info)
by tonsen.info (Postfix) with ESMTPA ID: [ID filtered]
for <x>; Sun, 20 Sep 2009 xx:xx:xx +0200 (CEST)
Schnüffellink:
http://www.tonsen.info/send/open.php?M=12345&L=9&N=9&F=H&image=.jpg"

BTW: wenn man den Schrott bei Spamcop verpetzt würde ich den Link nicht verpetzen lassen ;)