PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [UCE] Neues von Kölnsport 6/2009 (für drucksieger24.de und koelnsport.de)



Nebelwolf †
09.07.2009, 17:56
Hallo zusammen,

zur Abwechslung ein regionaler Spam-Rum aus Köln. Die eMail-Adresse ist nur im Zusammenhang mit der Greven´s Adreßbuch-Verlag Köln GmbH verwendet worden, eine Einwilligung meinerseits mit Spam belästigt zu werden, besteht natürlich nicht!

Beworben werden in der Spam-eMail:
Die Onlinedruckerei drucksieger24.de drucksieger24de UG, Leyboldstraße 13a, 50968 Köln, die telefonisch zum "Pornotarif" von 1,49 Euro/Minute erreichbar ist. drucksieger24.de
Das Kölnsport Freizeitmagazin der KÖLNSPORT Verlag & Werbeagentur GmbH koelnsport.de

Beide Domains und beide Firmen haben den gleichen Inhaber, der praktischer Weise auch gleich der Chefredakteur und Herausgeber der Spammail ist. Den Inhalt der Spammail spare ich mir, z.B. hat Daniela ihre Lehre (Ausgebildete Spammerin?) fertig und ähnliches Geblubber.

Schauen wir uns nun den Quelltext an:
From - Thu Jul 09 [...] 2009
Return-Path: <newsletter [at] koelnsport.de>
Delivery-Date: Thu, 09 Jul 2009 [...] +0200
Received: from mo-p00-ob.rzone.de (mo-p00-ob.rzone.de [81.169.146.160])
by mx.[...].de (node=mxbap1) with ESMTP (Nemesis)
ID: [ID filtered]
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; t=[...]; l=[...];
s=domk; d=koelnsport.de;[...]
Received: from PC-Redaktion-1 ([213.168.102.86])
by post.strato.de (klopstock mo42) (RZmta 18.49)
with ESMTP ID: [ID filtered]
Thu, 9 Jul 2009 [...] +0200 (MEST)
From: =?ISO-8859-1?B?S9ZMTlNQT1JU?= <newsletter [at] koelnsport.de>
Subject: Neues von =?ISO-8859-1?B?S9ZMTlNQT1JU?= 6/2009
To: [...]
MIME-Version: 1.0
Reply-To: newsletter [at] koelnsport.de
Date: Thu, 9 Jul 2009 [...] +0200
Message-ID: [ID filtered]

Der Weg der Spammail:
Der Spammer nutzte die IP 213.168.102.86 (http://whois.domaintools.com/213.168.102.86) des Kölner Providers Netcologne um die Spammail abzukippen. Als Mailserver wird ein Server der Firma Strato mit der IP 81.169.146.160 (http://whois.domaintools.com/81.169.146.160) verwendet. Das paßt sehr gut zum Hoster der beiden Webseiten, die bei Strato liegen. Die Ausrede, daß ein Fremder gespammt hat, wird wohl kaum ziehen!

Nebelwolf

alariel
09.07.2009, 20:14
...
...
FASS! :D
*dusckundwech*

Nebelwolf †
06.08.2009, 13:25
Hallo zusammen,

der Spammer Kölnsport hat wieder zugeschlagen:

From - Thu Aug 06 [...] 2009
Return-Path: <newsletter [at] koelnsport.de>
Delivery-Date: Thu, 06 Aug 2009 [...] +0200
Received: from mo-p00-ob.rzone.de (mo-p00-ob.rzone.de [81.169.146.160])
by mx.[...].de (node=mxbap2) with ESMTP (Nemesis)
ID: [ID filtered]
Received: from PC-Redaktion-1 ([213.168.102.86])
by post.strato.de (fruni mo48) (RZmta 20.2)
with ESMTP ID: [ID filtered]
Thu, 6 Aug 2009 [...] +0200 (MEST)
From: [...] <newsletter [at] koelnsport.de>
Subject: Neues von KÖNLSPORT 7/2009
To: [...]
Reply-To: newsletter [at] koelnsport.de
Date: Thu, 6 Aug 2009 [...] +0200
Message-ID: [ID filtered]
X-SpamScore: 0
tests= SIZE_LIMIT_EXCEEDED

Leicht nachvollziehbar ist der Weg des Spams:

Received: from PC-Redaktion-1 ([213.168.102.86 (http://whois.domaintools.com/213.168.102.86)])
Die IP-Adresse gehört zum Kölner Internet-Provider NetCologne, da schon die letzte Spammail von dieser IP gekommen ist, vermute ich eine statische IP.

Received: from mo-p00-ob.rzone.de (mo-p00-ob.rzone.de [81.169.146.160 (http://whois.domaintools.com/81.169.146.160)])
Wieder der gleiche, zur Domain passende Mailserver von Strato.

Folgende Domains und Firmen werden per Spammail beworben:
Autohaus Yvel Köln GmbH & Co. KG (Levy Gruppe)
Raderberggürtel 4
50968 Köln
www.yvel.de

StadtSportBundes Köln e.V.
www.ssbk.de

drucksieger24de UG
Leyboldstraße 13a
50968 Köln
www.drucksieger24.de

Perspektive fürs Leben e.V.
G[...] und B[...] H[...]
Leyboldstraße 13 a, 50968 Köln
www.perspektive-fuers-leben.de

KÖLNSPORT Verlag & Werbeagentur GmbH
Theodor-Heuss-Ring 52
50668 Köln
www.koelnsport.de

Hinter den letzten drei in der Spammail beworbenen Angeboten steckt Herr H[...]. Diese Verbindung ruft bei mir unschöne Erinnerungen hervor. Oft gelingt die saubere Trennung zuwischen sozialem und geschäftlichem Engagement nicht, wie wir hier im Forum (http://www.antispam-ev.de/forum/showthread.php?t=15897), aber auch am Beispiel der "Deutschen Kinderhilfe (http://www.welt.de/politik/article1874875/Geschaefte_unter_dem_Mantel_der_guten_Taten.html)" erleben konnten. Ein gemeinsamer Spamrun deutet in meinen Augen auf eine nicht ausreichende Trennung zwischen den unterschiedlichen Tätigkeitsfeldern hin.

Nebelwolf

Nebelwolf †
14.11.2009, 00:34
Hallo zusammen,

der Kölnsport-Spammer Gerd H. treibt weiter sein Unwesen. Diesmal spammt er unter anderem für sein Werbeblättchen, daß man für 2 Euro kaufen soll.

Hier sind die Kopfzeilen des aktuellen Spamruns:

From - Fri Nov 13 [...] 2009
Return-Path: <newsletter [at] koelnsport.de>
Delivery-Date: Fri, 13 Nov 2009 [...] +0100
Received: from mo-p00-ob.rzone.de (mo-p00-ob.rzone.de [81.169.146.160])
by [...] (node=mxbap2) with ESMTP (Nemesis)
ID: [ID filtered]
DKIM-Signature: [...]
X-RZG-AUTH: [...]
Received: from PC-Redaktion-1 ([213.168.102.86])
by post.strato.de (fruni mo45) (RZmta 22.1)
with ESMTP ID: [ID filtered]
Fri, 13 Nov 2009 xx:xx:xx +0100 (MET)
From: KÖLNSPORT <newsletter [at] koelnsport.de>
Subject:Lässt der FC anderen Vereinen keine Chance? Neues von KÖLNSPORT 10/2009
To: [...]
Reply-To: newsletter [at] koelnsport.de
Date: Fri, 13 Nov 2009 [...] +0100
Message-ID: [ID filtered]
Status: N
X-SpamScore: 0
tests= SIZE_LIMIT_EXCEEDED

Aufmerksamen Beobachtern wird aufgefallen sein, wie ähnlich die Header sind, sogar die NetCologne-IP von der der Spammer seinen Kölnsport-Müll abgekippt hat ist die Gleiche wie in seiner letzten Spammail.

Ein Auszug aus dem Inhalt:

[...]

Event-Extra-Info:
Musik für einen guten Zweck

Der von KÖLNSPORT-Herausgeber Gerd H[...] und seiner Frau Brigitte ins
Leben gerufene Hilfsverein Perspektive fürs Leben e.V. macht wieder mit
einer Charity-Aktion von sich reden.

Am 29. November (ab 15.30 Uhr) entführt das INTERMEZZO-theater seine Gäste
mit einem Konzert im Residenz am Dom http://www.residenz-am-dom.de/ auf eine
nostalgische Reise in die Kaiserzeit. Die beiden Künstler Johnnie W[...] und
Stefan K[...] spielen Werke des Sängers und Kabarettisten Otto Reuter
(1870-1931). Der Erlös des Events (Eintritt: 25 Euro) kommt dem Hilfsverein
Perspektive fürs Leben e.V. zugute.

Eintrittskarten sind über die Rezeption der Residenz am Dom, An den
Dominikanern 6-8, Rufnummer: 0221-1664-x, zu haben.

[...]
Dieser Verein wäre eigentlich mal ein interessantes Ziel für eine intensivere Recherche. So wird in der Vereinsbroschüre mit wild mit Zahlen um sich geworfen und einige Leute mit Spenden im 1.000 Euro-Bereich sehr plakativ herausgestellt, gleichzeitig aber erfahren wir auffällig wenig über den finanziellen Umfang der Hilfe. Zahlen über die Einnahmen und Ausgaben des Vereins gibt es nicht. Dafür findet sich auf fast jeder Seite ein Spendenaufruf mit Kontonummer. Nicht nur das unseröse Auftreten von Herrn H. als Spammer nährt Zweifel, auch und vor allem die Broschüre läßt bei mir die Warnlampen leuchten. Offensichtlich verfolgt der Verein vor allem das Ziel Herrn H. bei Scheckübergaben zu fotografieren.

Es folgt der klassische Satz, mir dem sich die Spammer regelmäßig verraten:

Sollte unser Newsletter Sie irrtümlich erreicht haben, oder Sie den
Newsletter zukünftig nicht mehr erhalten wollen, klicken Sie zum Abbestellen
des Newsletters bitte hier:

http://www.koelnsport.de/sites/kontakt/newsletter.html

- Änderungen und Irrtümer vorbehalten -
Impressum und V.i.S.d.P.:
KÖLNSPORT Verlag & Werbeagentur GmbH
Geschäftsführung Gerd H[...]
Theodor-Heuss-Ring 52
50668 Köln - Deutschland
Handelsregister-Nr.: Amtsgericht Köln HRB 17075


Der Umwelt zuliebe: Drucken Sie diese Mail nur aus,
wenn es unbedingt notwendig ist.

Nebelwolf

Nebelwolf †
31.03.2011, 12:14
Nicht, daß jemand glaubt, daß Gerd H. hätte von seinem schändlichen Tun abgelassen, ich habe nur keine Zeit den Müll immer zu veröffentlichen! Der Spammer benutzt jetzt einen neuen Provider, daher:
From - Thu Mar 31 [...] 2011
Return-Path: <newsletter [at] koelnsport.de>
Delivery-Date: Thu, 31 Mar 2011 [...] +0200
Received: from pepper.fredwipperfuerth.de (mail.netzwerker-koeln.de [78.35.43.146])
by [...] (node=mxeu0) with ESMTP (Nemesis)
ID: [ID filtered]
Received: from PC-REDAKTION-2 ([192.168.0.122])
(authenticated user poor [at] spamvictim.tld)
by pepper.fredwipperfuerth.de (Kerio Connect 7.1.4)
for [...];
Thu, 31 Mar 2011 [...] +0200
From: Kölnsport <newsletter [at] koelnsport.de>
Subject: Christian Clemens - Echt kölsch! - Neues von KÖLN.SPORT 03/2011
To: [...]
Reply-To: newsletter [at] koelnsport.de
Date: Thu, 31 Mar 2011 [...] +0200fredwipperfuerth.de und netzwerker-koeln.de lösen beide nach 89.31.143.1 auf, pepper.fredwipperfuerth.de und mail.netzwerker-koeln.de lösen nach 78.35.43.146 auf.
fredwipperfuerth.de http://fredwipperfuerth.de
netzwerker-koeln.de http://netzwerker-koeln.de
89.31.143.1 http://89.31.143.1
78.35.43.146 http://78.35.43.146
inetnum: 78.35.43.128 - 78.35.43.191
netname: REDAKTIONSBUERO_Wipperfuerth-1
descr: Redaktionsbuero Wipperfuerth GmbH
descr: Schanzenstr. 36
descr: D-51063 Koeln
Diesmal ist der Spam auch an einem anderen PC mit dem Namen "PC-REDAKTION-2" verfaßt worden. - Und es gibt auch einen neuen Harausgeber, der zugleich inhaber der oben genannten Domains ist:

Fred W[...]
Köln.Sport-Herausgeber

Folgende Domains werden in der eMail per Spam beworben:
koelnsport.de http://www.koelnsport.de - WOT Reputation Scorecard
(https://www.antispam-ev.de/forum/redirector.php?url=http%3A%2F%2Fwww.mywot.com%2Fde%2Fscorecard%2Fkoelnsport.de)s sbk.de http://www.ssbk.de - WOT Reputation Scorecard (https://www.antispam-ev.de/forum/redirector.php?url=http%3A%2F%2Fwww.mywot.com%2Fde%2Fscorecard%2Fssbk.de)
deinfussballclub.de http://www.deinfussballclub.de WOT Reputation Scorecard (https://www.antispam-ev.de/forum/redirector.php?url=http%3A%2F%2Fwww.mywot.com%2Fde%2Fscorecard%2Fdeinfussballclu b.de)
perspektive-fuers-leben.de http://www.perspektive-fuers-leben.de - WOT Reputation Scorecard (https://www.antispam-ev.de/forum/redirector.php?url=http%3A%2F%2Fwww.mywot.com%2Fde%2Fscorecard%2Fperspektive-fuers-leben.de)
koelnersportstaetten.de http://www.koelnersportstaetten.de - WOT Reputation Scorecard (https://www.antispam-ev.de/forum/redirector.php?url=http%3A%2F%2Fwww.mywot.com%2Fde%2Fscorecard%2Fkoelnersportsta etten.de)

... und nicht vergessen:
fredwipperfuerth.de - WOT Reputation Scorecard (https://www.antispam-ev.de/forum/redirector.php?url=http%3A%2F%2Fwww.mywot.com%2Fde%2Fscorecard%2Fredwipperfuerth .de)
netzwerker-koeln.de - WOT Reputation Scorecard (https://www.antispam-ev.de/forum/redirector.php?url=ttp%3A%2F%2Fwww.mywot.com%2Fde%2Fscorecard%2Fnetzwerker-koeln.de)

Die IPs habe ich mal ein wenig geblacklistet ...

Nebelwolf