PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Hilfe bei der Spam-Identifizierung gesucht!!



akelus
24.07.2003, 12:47
Ich erhalte inzwischen täglich mehr als 10 Spam-Mails, in denen meine privaten Mails untergehen. Bevor ich mein Mailkonto zumache und den Provider wechsle, möchte ich versuchen, den Absendern bzw. den Zieladressen (die wollen ja schließlich was von mir) auf die Spur bzw. Schliche zu kommen. Wem kann ich mal meine gesammelten Spams (Outlook-Format) zur näheren Analyse zusenden, ob sich da eine Systematik erkennen läßt?
Vielen Dank für die Hilfe....
akelus

Eniac
24.07.2003, 13:15
> Wem kann ich mal meine gesammelten Spams (Outlook-Format) zur näheren Analyse zusenden, ob sich da eine Systematik erkennen läßt?
Danke, ich bekomme selbst genug Spam. Wie man Spammails und deren Header analysiert steht in der Header-FAQ: http://www.th-h.de/faq/headrfaq.html
HTH
Eniac

akelus
24.07.2003, 13:27
Vielen Dank für die schnelle Reaktion! Einzelanalysen habe ich schon gemacht, haben mich aber nicht viel weiter gebracht. Mir geht es darum, ob anhand vieler Mails vielleicht eine Systematik (ein "Fehler") der oder des Absenders/Verursachers oder bezüglich der Empfängerseite erkannt werden kann. Der Absender kann ja recht "harmlos" sein, wichtig ist doch, wo er mich hinlocken will, um entweder einen Dialer einzufangen oder ein Pornoabo einzugehen. Liege ich da etwa falsch?
akelus

Eniac
24.07.2003, 13:51
> Der Absender kann ja recht "harmlos" sein, wichtig ist doch, wo er mich hinlocken will, um entweder einen Dialer einzufangen oder ein Pornoabo einzugehen. Liege ich da etwa falsch?
Ist es denn immer der selbe beworbene Link oder sind die mails sonst gleich aufgebaut? Steckt laut whois-Abfragen der gleiche Spammer dahinter?
Leider ist meine Glaskugel gerade zur Reparatur, vielleichst postet Du mal zwei oder drei Beispiele mit headern hier im Forum.

Eniac

akelus
24.07.2003, 17:28
VORSICHT! Links bitte nicht anklicken, sind nicht überprüft was passiert!!
Hallo Eniac und alle anderen Experten,
nachfolgend eine repräsentative Auswahl der Header von erhaltenen Spams und der Links (jeweils die letze Zeile beginnend mit http://, wo man mich hinlocken will. Vielleicht läßt sich daraus etwas ableiten. Meine t-online Adresse mache ich dicht. Mir reichts.
akelus
Return-Path: <poor [at] spamvictim.tld>
Received: from 194.25.134.74 ([219.156.4.36]) by mailin05.sul.t-online.de
with smtp ID: [ID filtered]
Received: from nes.n71b.net ([169.73.251.14])
by 194.25.134.74 with ESMTP ID: [ID filtered]
Thu, 24 Jul 2003 xx:xx:xx -0400
Message-ID: [ID filtered]
From: "" <ghost1021 [at] hanmail.net>
To: poor [at] spamvictim.tld
Subject: kenel [at] sympatico.ca gsexkr zal
Date: Thu, 24 Jul 03 xx:xx:xx GMT
http://sell22s.com/host/default.asp?
Return-Path: <Cindy [at] backedby454.biz>
Received: from backedby454.biz ([12.203.30.96]) by mailin07.sul.t-online.de
with smtp ID: [ID filtered]
Message-ID: [ID filtered]
Reply-To: "Cindy" <Cindy [at] backedby454.biz>
From: "Cindy" <Cindy [at] backedby454.biz>
To: JANET
Subject: want it huge
Date: Thu, 24 Jul 2003 xx:xx:xx ?0500
http://www.joininonit86.biz/ro.php
Return-Path: <o2cdkif [at] smartdons.us>
Received: from 194.25.134.72 ([61.144.213.219]) by mailin01.sul.t-online.de
with smtp ID: [ID filtered]
Message-ID: [ID filtered]
From: "Elbert Lucas" <o2cdkif [at] smartdons.us>
Reply-To: "Elbert Lucas" <o2cdkif [at] smartdons.us>
To: poor [at] spamvictim.tld
Cc: <wolfheart [at] t-online.de>, <wolfheer [at] t-online.de>, <wolfhelm [at] t-online.de>
Subject: Fwd:Fit in your Bikini
Date: Thu, 24 Jul 03 xx:xx:xx GMT
http://www.hghspecials.net/phgh2002/r/index.htm
Return-Path: <zugangssuport [at] hotpop.com>
Received: from hotpop.com ([213.182.188.9]) by mailin07.sul.t-online.de
with smtp ID: [ID filtered]
Message-ID: [ID filtered]
Reply-To: zugangssuport [at] hotpop.com
From: zugangssuport [at] hotpop.com
To: Customer
Subject: Ihr neuer Zugang
vb1df7ur [at] update.tripod.com.br/zugang.exe
Return-Path: <du0xfogu [at] excite.com>
Received: from 194.25.134.74 ([210.187.112.102]) by mailin05.sul.t-online.de
with smtp ID: [ID filtered]
Received: from [44.140.171.128] by 194.25.134.74; Wed, 23 Jul 2003 xx:xx:xx +0600
Message-ID: [ID filtered]
From: "Whitney Duffy" <du0xfogu [at] excite.com>
Reply-To: "Whitney Duffy" <du0xfogu [at] excite.com>
To: poor [at] spamvictim.tld
Subject: Let me give you the answer right now...Yes you can! byck rm u
Date: Wed, 23 Jul 03 xx:xx:xx GMT
http://www.m-la-ta-di.com.br/berlioz/enp/index.php?
Return-Path: <0yxmlyq5y [at] persocom.com.br>
Received: from modemcable161.42-203-24.mtl.mc.videotron.ca ([24.203.42.161]) by mailin07.sul.t-online.de
with smtp ID: [ID filtered]
Received: from sou5.cd2b.org (HELO o2w) ([219.188.164.34]) by modemcable161.42-203-24.mtl.mc.videotron.ca ID: [ID filtered]
Message-ID: [ID filtered]
From: "Stacey Morales" <0yxmlyq5y [at] persocom.com.br>
To: Empfänger gelöscht
Subject: Turn your opinions into cash
http://www.silverstate.co.sy [at] search.ph-s....php?id=sicosyl (http://www.silverstate.co.sy [at] search.ph-search.ph/search.php?id=sicosyl)
Return-Path: <sabineweber [at] web.de>
Received: from 888 ([213.221.71.47]) by mailin00.sul.t-online.de
with smtp ID: [ID filtered]
From: "sabine weber" <sabineweber [at] web.de>
To: Empfänger gelöscht
Subject: eine kleine überraschung für Dich
Link gelöscht
Return-Path: <tabdjulia3 [at] aol.com>
Received: from 68.34.122.184 ([61.175.218.98]) by mailin02.sul.t-online.de
with smtp ID: [ID filtered]
Received: from a231242.upc-a.chello.nl ([96.216.72.224]) by m10.grp.snv.yahoo.com with NNFMP; Jul, 13 2003 xx:xx:xx -0200
Received: from [63.85.85.236] by smtp-server6.tampabay.rr.com with SMTP; Jul, 13 2003 xx:xx:xx -0200
From: uxdJulia <tabdjulia3 [at] aol.com>
To: Empfänger gelöscht
Subject: :-)
Sender: uxdJulia tabdjulia3 [at] aol.com
http://www.winmail.de/cgi-bin/index.p
Return-Path: <videoteam [at] nm.ru>
Received: from mail.worldnet.att.net ([200.207.87.10]) by mailin06.sul.t-online.com
with smtp ID: [ID filtered]
Received: from mail.worldnet.att.net [154.188.206.67] (helo=mail.worldnet.att.net)
Reply-To: <videoteam [at] nm.ru>
From: "VideoTeam" <videoteam [at] nm.ru>
To: "User" <poor [at] spamvictim.tld>
Subject: Sie haben eine Video Botschaft erhalten !
http://privates/video/6671.avi

J. R.
24.07.2003, 17:46
Bitte unbedingt sämtliche Empfänger-E-Mail-Adressen unkenntlich machen, auch hier tummeln sich Adress-Sammler.
Ebenso den Link unter der Mail von sabineweber [at] web.de (drittletzte), da möchte sich ein Vesta-Dialer installieren.

Eniac
24.07.2003, 18:03
Bitte unbedingt sämtliche Empfänger-E-Mail-Adressen unkenntlich machen, auch hier tummeln sich Adress-Sammler.
Ebenso den Link unter der Mail von sabineweber [at] web.de (drittletzte), da möchte sich ein Vesta-Dialer installieren.
[x] Done.
Das übliche Sammelsurium von Dialer-, Pimmelverlängerungs- und sonstigem Spam, den jeder bekommt. Ich kann da keinerlei Gemeinsamkeiten erkennen.

Eniac

akelus
24.07.2003, 19:21
Vielen Dank für die Unterweisung eines Neulings! Habe die Hinweise befolgt und nur die Adressen dringelassen, die vermutlich "Probeadressen" sind. Mache jetzt meine Tonline-Adresse dicht.
akelus