PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Abnehm-Pillen-oder-sonstwas-Spam



blizzy
17.03.2013, 09:17
Was verspricht sich Spammy davon? Oder spinnt nur seine Ratware? Sofern man Mails nur im Textmodus liest (was eigentlich selbstverständlich sein sollte), sieht man nur ein bisschen Spamprosa:



ort SaID: [ID filtered]
"A search at a residential address in north-west London is ongoing."

Und hier der Header:

Return-Path: <7551134 [at] 0-nq.com>
Received: from mailin54.aul.t-online.de ([172.20.27.3])
by ehead408.aul.t-online.de (Dovecot) with LMTP ID: [ID filtered]
Sun, 17 Mar 2013 xx:xx:xx +0100
Received: from mxgmgvo.071373545roui666.es ([178.159.165.194]) by mailin54.aul.t-online.de
with smtp ID: [ID filtered]
Message-ID: [ID filtered]
Date: Sun, 17 Mar 2013 xx:xx:xx -0700
Reply-To: "Sabrina" <7551134 [at] 0-nq.com>
From: Med-Natur <ae-dudtekemdxeebteldveaefebemes @ gmx.de>
X-Accept-Language: en-us
MIME-Version: 1.0
T o: 577621sppel-dudtekemdxeebteldveaefebemes @ t-online.de
Subject: =?ISO-8859-1?B?MzBLaWxvIHJ1bnRlciBpbiBudXIgNCBXb2NoZW4h?=
Content-Type: text/html;
charset="Windows-1252"
Content-Transfer-Encoding: 7bit
X-TOI-SPAM: n;1;2013-03-17Txx:xx:xxZ
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: [ID filtered]
X-TOI-SPAMCLASS: CLEAN, ALMOST-EMPTY
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <meine-addy.de>


Interessant sind die From- und die to-Adressen. Was bezweckt Spammy damit? Und wie wird aus dem Subject das angezeigte "30Kilo runter in nur 4 Wochen!"?

truelife
17.03.2013, 09:32
Speichere die E-Mail doch mal im Formal *.eml - oder alternativ *.txt ab. Danach kannst du ganz gefahrlos mittels Texteditor die E-Mail öffnen. Vielleicht bringt das Klarheit.

erdbeernase
17.03.2013, 09:35
Es wird ein Bild nachgeladen:

http://i.imgur.com/1aO8upj.jpg

dieses verweisst auf:

http://bit.ly/20dekdlmz

Hab aber beides nicht getestet und variiert je Mail.

kjz1
17.03.2013, 10:29
Und von da geht es weiter auf:

http://www.natur-med24.net/lida/

Das sollte einer der hier wohlbekannten Vollpatienten sein. Die Spur führt in die Ukraine.

blizzy
17.03.2013, 10:56
Speichere die E-Mail doch mal im Formal *.eml - oder alternativ *.txt ab. Danach kannst du ganz gefahrlos mittels Texteditor die E-Mail öffnen. Vielleicht bringt das Klarheit.

Ja, dann werden entsprechende Links angezeigt, das ist mir bekannt.

Vermutlich geht Spammy davon aus, dass die Empfänger seiner Müllladungen die Mails im Klicki-Bunti-Format anschauen. Wer sie im Textformat anschaut, schaut halt in die Röhre und hat keine Chance, an die bunten Pillen ranzukommen :)

Wuschel_MUC
17.03.2013, 11:15
Es wird ein Bild nachgeladen:
http://i.imgur.com/1aO8upj.jpg
dieses verweist auf:
http://bit.ly/20dekdlmz

Damit wird also geprüft, ob die E-Mail-Adresse existiert. Also Grund genug, die Mail nur als Text zu öffnen.

Wuschel

kjz1
17.03.2013, 15:37
Damit wird also geprüft, ob die E-Mail-Adresse existiert. Also Grund genug, die Mail nur als Text zu öffnen.

Bescheidene Frage: wie soll das funktionieren? Dann müsste nämlich Spammy für jede einzelne Mail ein Bild bei imgur hochladen und für jede Mail eine andere Weiterleitung bei bit.ly erzeugen. Also so einige hundertausend Bilder bei imgur und hundertausende Links bei bit.ly. Ausserdem gehören beide Dienste höchstwahrscheinlich keinen Spammern. Wie kommt Spammy dann aber an die Logfiles ran, wer wann über welche URL zugegriffen hat?

antispam2006
17.03.2013, 18:46
imgur.com gehört den Spammer (mMn). Lediglich muss man das Imgurbild personalisieren, den bit.ly-Link jedoch nicht.

Gruß Antispam2006

kjz1
17.03.2013, 20:50
imgur.com gehört den Spammer (mMn).

Gibt es dafür Beweise? imgur ist bei WOT voll grün gelistet, auch Spamhaus weiss über imgur nichts zu berichten, bei Zscaler sind sie auch als benign gelistet. Dass ein solcher Service von Spammern missbraucht wird, ist klar, sagt aber noch nichts über die Besitzverhältnisse aus. Wenn man nur nach dem Missbrauch geht, dann ist Yahoo schon seit Jahren fest in Spammerhand.

Fidul
17.03.2013, 20:51
Das sollte einer der hier wohlbekannten Vollpatienten sein.
"Fundacion Private Whois". Na sowas, erweitert das Timo jetzt sein Geschäftsfeld in Richtung Mönchichi? Wie überraschend.

kjz1
17.03.2013, 20:52
"Fundacion Private Whois". Na sowas, erweitert das Timo jetzt sein Geschäftsfeld in Richtung Mönchichi? Wie überraschend.

Nö, Timo spammt doch für alles, was Kohle bringt und bei Drei nicht auf den Bäumen ist...

erdbeernase
17.03.2013, 23:37
Also Grund genug, die Mail nur als Text zu öffnen.

Mails werden bei mir als Text angezeigt:-)
Wenn mir danach ist schau ich in den Code rein.

antispam2006
18.03.2013, 05:56
Gibt es dafür Beweise? imgur ist bei WOT voll grün gelistet, auch Spamhaus weiss über imgur nichts zu berichten, bei Zscaler sind sie auch als benign gelistet. Gibt es nicht, daher der Zusatz meiner Meinung nach. Allerdings das "Whoisprotect" spricht Bände (mMn).

Gruß Antispam2006

kjz1
18.03.2013, 10:03
Gibt es nicht, daher der Zusatz meiner Meinung nach. Allerdings das "Whoisprotect" spricht Bände (mMn).

Na ja, nach Whoisprotect kann man heute auch nicht mehr richtig filtern, denn das greift 'seuchenartig' um sich. Insbesondere Domains, die irgendwie mal in den juristischen Focus (das Urheberrecht läßt grüßen) geraten könnten, sind heute fast ausnahmslos mit Whoisprotect versehen. Ob das was nützt, ist eine andere Frage.