PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SPAMs über Strato 1und1



Satansbraten01
14.03.2016, 09:17
Derzeit kommen viele Spams (laut Header) von IP-Adressen, die deutschen Hostern gehören. Dabei werden meist Domains mit neuen Endungen wie .press, .site verwendet, die bei Enom oder Namecheap (=Reseller) registriert wurden und mit dem WhoisGuard (Panama) geschützt/gebucht wurden. Das kotzt mich schon wieder an. Ich hoffe die deutschen unternehmen etwas.
Gibt es da schon weitere Infos?

Gruß
Satansbraten

truelife
14.03.2016, 11:40
Bislang habe ich hier nichts bekommen. Es wäre vielleicht angebracht, entsprechende Threads zu starten und Mailtexte, beworbene Ziele und den Header beizufügen.

Spammailhass
19.03.2016, 13:10
Return-Path: <bounce[BOUNCE filtered]@bqc73.club>
Received: from www2.bqc73.club ([87.106.127.26]) by mx-ha.gmx.net (mxgmx111)
with ESMTP (Nemesis) ID: [ID filtered]
Mar 2016 xx:xx:xx +0100
Received: by www2.bqc73.club ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: Mia <Mia [at] bqc73.club>
To: poor [at] spamvictim.tld
Message-ID: [ID filtered]
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101
Thunderbird/38.4.0
List-Unsubscribe: <http://www.bqc73.club/abm/ZENSIERT/>,
<mailto:u-ZENSIERT-ZENSIERT [at] bqc73.club>
Date: Sat, 19 Mar 2016 xx:xx:xx +0000
Envelope-To: <poor [at] spamvictim.tld>
Subject: *** GMX Spamverdacht *** =?ISO-8859-1?Q?Scharfe_Gr=FCsse_von_Mia?=
X-GMX-Antispam: 6 (nemesis text pattern profiler); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: junk:10;V01:K0:GEKÜRZT

Hallo Süßer!

Ich habe Dein Profil gesehen und dachte mir, es könnte heiß werden mit Dir...also wenn wir beide zusammen es mal so richtig krachen lassen würden *zwinker*

Magst mir ne Freundschaftsanfrage stellen? Dann können wir mal was ausmachen?

http://www.bqc73.club/ZENSIERT/

Tschau, ich kanns kaum erwarten :-)

Bussi
Mia










---
Keine Nachrichten mehr von mir? http://www.bqc73.club/abm/ZENSIERT/

http://www.bqc73.club/ (188.240.222.204 = City Network Hosting AB)
→ http://www.seitensprung-treffen.com/ (188.240.222.206 = City Network Hosting AB)
→ http://www.seitensprung-treffen.com/247/

→ http://www.seitensprung-treffen.com/247/form.php
→ http://tradebang.xyz/lead.php?cid=ZENSIERT&formcss=http%3A%2F%2Fext.cash4flirt.com%2F247_ZENSIERT%2Fform.css (87.98.247.2 = OVH)

→ http://www.whatsfuck24.com/impressum.html (37.153.172.46 = City Network Hosting AB)

Goofy
19.03.2016, 14:52
Schon beim Abuse von 1&1 beschwert?

Mittwoch
21.03.2016, 08:56
Ich deponiere das hier, weil das Muster der Absender-IP und der Domain passt.

Man höre und staune: Der Penny-Stock-Spam ist zurück!



Return-Path: <bounce[BOUNCE filtered]@aofr8.win>
Received: from www5.aofr8.win ([212.227.11.94]) by mx-ha.web.de (mxweb002) with ESMTP (Nemesis) ID: [ID filtered]
Received: by www5.aofr8.win ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Content-Transfer-Encoding: quoted-printable
From: Aktien Insider Club <Aktien-Insider-Club [at] aofr8.win>
Subject: Diese Aktie sollten Sie kaufen
Message-ID: [ID filtered]
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101 Thunderbird/38.4.0
List-Unsubscribe: <http://www.aofr8.win/abm/****/>, <mailto:u-***@aofr8.win>
Date: Mon, 21 Mar 2016 xx:xx:xx +0000

Guten Tag,
möchten Sie auch wissen, welche Aktie bald steigen wird?
Die Erklärung ist simpel: die Aktie, die von vielen Anlegern und Spekulanten gekauft wird.

Wir empfehlen Aktien, die unserer Meinung nach bald steigen werden - weil sie unterbewertet sind oder kursrelevante Nachrichten zu erwarten sind.
Kaufen wir alle diese Aktie, so wird sie steigen - und wir alle gewinnen.

Jetzt mitmachen ? natürlich kostenlos.

Weitere Infos finden Sie hier:
http://www.aofr8.win/[schnippschnapp]/
Mit freundlichen Grüßen,
Aktien Insider Club






--
Abmelden: http://www.aofr8.win/abm/[schnippschnapp]/
Hier wird ausnahmsweise mal unverblümt Tacheles geredet.

Es gibt noch einige andere Möglichkeiten der Spurendeutung, die dazu führen könnten, dass ich das hier woanders dran tackere. Da sich aber bislang in keinem der betreffenden Themen klare Indizien dafür abzeichnen, wer tatsächlich hinter diesem Mist steht, lasse ich es hier stehen.

Einstweilen ist und bleibt die Zeichenkombination http://*/abm/* ein hervorragendes Filterkriterium.

homer
21.03.2016, 09:11
Diese Kasper habe ich mit allem möglichen Spam aus dem Rotzer-Repertoire (Versicherungen, Bekanntschaften, diversen Spekulationsmüll) schon seit einiger Zeit auf dem Schirm.
Der Dreck schlägt hier dutzendweise ein, üblicherweise ungefähr zur selben Zeit und meistens nur Mo.-Fr.

Ist aber glücklicherweise besonders gut zu filtern und belastet den SpamAssassin nicht.

Die Ziel-IP 188.240.222.204 ist auch schon länger mit für die Landingpages aktiv.
Die Domains werden immer nach dem Muster <zufällige Zeichenfolge>.<newTLD> gebildet.

nlnn
08.04.2016, 12:26
Jemand hat da noch eine Sammlung im Netz gefunden, die hier scheinbar rein passt (http://www.mywot.com/en/scorecard/jbxkvx.loan)

nlnn
09.04.2016, 08:32
So wie es aussieht kann man den Thread wohl an die Richpro antackern.

nlnn
09.04.2016, 10:06
Darüber hinaus kommt der Spam hier inzwischen aus dem Domain Factory Bereich.

Mittwoch
09.04.2016, 14:53
So wie es aussieht kann man den Thread wohl an die Richpro antackern.
Kannst Du das bitte etwas ausführlicher begründen? Ich sehe da nicht ausreichend viele Indizien.


Darüber hinaus kommt der Spam hier inzwischen aus dem Domain Factory Bereich.
Auch hierfür hätte ich gerne einen Beleg.

Schönen Gruß
Mittwoch

nlnn
09.04.2016, 21:20
Tja, das ist schwierig - bin technisch nicht so begabt.

Goofy
09.04.2016, 21:44
Dafür gibt es den Artikel
EMailHeader
Ansonsten sollte man bei Tatsachenbehauptungen immer vorher recherchieren und schauen, dass man die auch untermauern kann.

nlnn
09.04.2016, 22:17
Danke

Frechdachs
21.04.2016, 09:52
Moin moin zusammen,

das ist gestern hier eingegangen.
Man beachte die schreibweise für Facebook >> Facbeook.
Mit der bespammten Adresse habe ich gar kein FB Konto.
Ein Abmeldelink (zur bestätigung, dass die Mailadresse auch existiert) ist auch dabei. :strawberry:

Received: from mailer.weiterleiten-26.site (mailer.weiterleiten-26.site [217.160.11.188])
by mtaig-mbb04.mx.aol.com (Internet Inbound) with ESMTP ID: [ID filtered]
for <x>; Wed, 20 Apr 2016 xx:xx:xx -0400 (EDT)
Received: by mailer.weiterleiten-26.site ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: Facbeook-Zentrale Deutschland
<Facbeook-Zentrale-Deutschland [at] weiterleiten-26.site>
To: poor [at] spamvictim.tld
Subject: Freundschaftsanfrage von Alina
Message-ID: [ID filtered]
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101
Thunderbird/38.4.0
List-Unsubscribe: <http://www.weiterleiten-26.site/abm/x>,
<mailto:X [at] weiterleiten-26.site>
Date: Wed, 20 Apr 2016 xx:xx:xx +0000
x-aol-global-disposition: S
Authentication-Results: mx.aol.com;
spf=none (aol.com: the domain weiterleiten-26.site appears to have no SPF Record.) smtp.mailfrom=weiterleiten-26.site;
X-AOL-OVERRIDE-PIK-REASON: Y
X-AOL-REROUTE: YES
x-aol-sID: [ID filtered]
X-AOL-IP: 217.160.11.188
X-AOL-SPF: domain : weiterleiten-26.site SPF : none



Hier der Text

Hallo x!

2 unserer Mitglieder haben Dir eine Nachricht hinterlassen:
"Hey S=FC=DFer! Alina und ich haben Dein Profil und =FCberlegen, ob wir Dr=
ei nicht mal zusammen richtig hei=DF..."

Zum Beantworten dieser Nachricht klicke hier:

http://www.weiterleiten-26.site/Tracking-ID/

Willst Du erstmal die Nachricht ganz lesen:

http://www.weiterleiten-26.site/Tracking-ID/

Viel Spass!









--
Keine Nachrichten mehr?
http://www.weiterleiten-26.site/abm/Tracking-ID/

schara56
21.04.2016, 11:00
Wenn man die URL http://www.weiterleiten-26.site direkt aufruft geht es zu http://www.fun-and-dating.com/243/ (164.132.110.87).

Dann weiter via iFrame zu http://leadkram.com/link.php?aid=*schnipp*&formcss=http%3A%2F%2Fwww.fun-and-dating.com%2F243%2Fform.css (213.186.33.69).

Die AGB kommen von hier: http://misterundmrs.com/de/conditions.html (2.109.72.66)

Dort zeichnet sich im "Impressum" folgende Firma als verantwortlich:

Networktouch SIA
Brivibas iela 109
Riga LV 1001
E-Mail-Adresse: service [at] misterundmrs.com

Und siehe da: es Verbindungen zu joyflirter.com.
https://verbraucherschutz.de/joyflirter-com-arbeitet-mit-scheinaccounts-um-die-optische-attraktivitaet-zu-erhoehen/

kjz1
21.04.2016, 14:45
Also mal wieder die Harrislee-Connection? Deren Krankenakte füllt ja etliche Regalmeter.

Spammailhass
21.04.2016, 17:53
Dieselben Spammer wie hier: SPAMs über Strato 1und1 (https://www.antispam-ev.de/forum/showthread.php?38024-SPAMs-%FCber-Strato-1und1)

Ständig werden neuen Server angemietet (das ist kein Shared-Hosting, zu erkennen an den Hostnamen der Spamserver z. B. 217.160.11.188 = mailer.weiterleiten-26.site).


@Mods: Oben steht in der List-Unsubscribe-Doppelzeile hinter "mailto:u-" noch die Tracking-ID.

Spammailhass
21.04.2016, 18:15
Schon beim Abuse von 1&1 beschwert?

Ja, über SpamCop. Keine Reaktion.

Oder doch: Ich vermute, dass einzelne Spamserver nach ein paar Tagen stillgelegt werden. Bspw. trug der Spamserver 212.227.9.61 am 17. April den Hostnamen "mailout.sudenburger-24.top". Jetzt nicht mehr.
Received: from mailout.sudenburger-24.top ([212.227.9.61]) by mx-ha.gmx.net
(mxgmx102) with ESMTP (Nemesis) ID: [ID filtered]
<poor [at] spamvictim.tld>; Sun, 17 Apr 2016 xx:xx:xx +0200
Received: by mailout.sudenburger-24.top ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: Apotheke Sudenburger <Apotheke.Sudenburger [at] sudenburger-24.top>
To: poor [at] spamvictim.tld
Subject: Bezahlen Sie nur nach der Lieferung!
Message-ID: [ID filtered]
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101
Thunderbird/38.4.0
List-Unsubscribe: <http://www.sudenburger-24.top/abm/TRACKING-ID/>,
<mailto:u-TRACKING-ID [at] sudenburger-24.top>
Date: Sun, 17 Apr 2016 xx:xx:xx +0000
Envelope-To: <poor [at] spamvictim.tld>

Sehr geehrte Herren,

bitte verzeihen Sie uns, dass wir uns auf diese Art vorstellen.

Wenn Sie auf der Suche nach günstigen aber wirksamen Medikamenten gegen Erre.ktions.störungen sind, so möchten wir uns anbieten.

Wir verkaufen ausschließlich überprüfte Ware von bekannten deutschen Herstellern.
Wir geben Ihnen die Möglichkeit, die Waren erst nach Erhalt zu bezahlen.
Der Versand erfolgt aus Deutschland! Rezeptfrei, sicher und diskret!

Für nur 3 Euro pro Tablette!

http://www.sudenburger-24.top/

Mit freundlichen Grüßen Ihre
Apotheke sudenburger

http://www.sudenburger-24.top/ (164.132.110.77 = OVH)
→ http://www.offizieller-generikashop.com (164.132.110.87 = OVH)

Spammailhass
25.04.2016, 11:18
Received: from www2.server25.trade ([217.160.14.164]) by mx-ha.gmx.net
(mxgmx002) with ESMTP (Nemesis) ID: [ID filtered]
<x [at] example.com>; Sat, 23 Apr 2016 xx:xx:xx +0200
Received: by www2.server25.trade ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: Facebook Foto-Kommentar <Fotokommentar [at] server25.trade>
To: poor [at] spamvictim.tld
Message-ID: [ID filtered]
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101
Thunderbird/38.4.0
List-Unsubscribe: <http://www.server25.trade/abm/TRACKING-ID/>,
<mailto:u-TRACKING-ID [at] server25.trade>
Date: Sat, 23 Apr 2016 xx:xx:xx +0000
Envelope-To: <poor [at] spamvictim.tld>
Subject: *** GMX Spamverdacht *** Lisa hat Dein Foto auf Facebook Mobile kommentiert!

Hallo VORNAME!

Lisa hat eines Deiner Fotos auf der neuen Facebook-App kommentiert.

Klicke hier, um Ihrem Kommentar auch ohne die App auf der normalen Seite zu sehen:

http://www.server25.trade/TRACKING-ID/

Mit freundlichen Grüßen
Dein Benachrichtigungsteam Abteilung Deutschland










---
Keine Kommentar-Benachrichtigungen mehr?
http://www.server25.trade/abm/TRACKING-ID/

www.server25.trade (164.132.110.77)
→ www.fun-and-dating.com/243/ (164.132.110.87)

217.160.14.164 ist bei Spamhaus gelistet.

217.160.14.164 is listed in the SBL, in the following records:

SBLCSS


Received: from server.forward29.racing ([217.160.13.159]) by mx-ha.gmx.net
(mxgmx002) with ESMTP (Nemesis) ID: [ID filtered]
<x [at] example.com>; Mon, 25 Apr 2016 xx:xx:xx +0200
Received: by server.forward29.racing ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: Michelle <Michelle [at] forward29.racing>
To: poor [at] spamvictim.tld
Message-ID: [ID filtered]
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101
Thunderbird/38.4.0
List-Unsubscribe: <http://www.forward29.racing/abm/TRACKING-ID/>,
<mailto:u-TRACKING-ID [at] forward29.racing>
Date: Mon, 25 Apr 2016 xx:xx:xx +0000
Envelope-To: <poor [at] spamvictim.tld>
Subject: *** GMX Spamverdacht *** =?ISO-8859-1?Q?Michelle_gef=E4llt_Dein_Profilfoto!?=

Hallo VORNAME ,

Michelle gefällt Dein Profilfoto!

Klicke hier, um das Profil von Michelle aufzurufen oder Ihren Kommentar zu beantworten:

http://www.forward29.racing/TRACKING-ID/

Viele Grüße,
Dein FB-Team

www.forward29.racing (164.132.110.77)
→ http://www.fun-and-dating.com/209/ (164.132.110.87)


Der Spammer kennt den vollen Namen der Besitzerin der E-Mail-Adresse, so wie er in der GMX-Datenbank steht.Received: from server.link-53.faith ([217.160.13.211]) by mx-ha.gmx.net
(mxgmx006) with ESMTP (Nemesis) ID: [ID filtered]
<x [at] example.com>; Mon, 25 Apr 2016 xx:xx:xx +0200
Received: by server.link-53.faith ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: Rechnungspruefung <Rechnungspruefung [at] link-53.faith>
To: poor [at] spamvictim.tld
Subject: Letzte Meldung vor dem 1.Mai!
Message-ID: [ID filtered]
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101
Thunderbird/38.4.0
List-Unsubscribe: <http://www.link-53.faith/abm/TRACKING-ID/>,
<mailto:u-TRACKING-ID [at] link-53.faith>
Date: Mon, 25 Apr 2016 xx:xx:xx +0000
Envelope-To: <poor [at] spamvictim.tld>

Guten Tag VORNAME NACHNAME,

dies ist die letzte Meldung. Zum 1.5. wird, so wie derzeit die Aktenlage ist, Ihr Krankenkassen-Tarif einer der teuersten sein den es gibt.
Sie müssen JETZT handeln, wenn Sie noch in einen günstigeren Tarif gestuft werden wollen.

Bitte füllen Sie folgendes Formular aus, dann können wir Sie individuell neu auswerten und in einen günstigen Tarif einordnen:

http://www.link-53.faith/TRACKING-ID/

Der Tarifvergleich dauert weniger als 1 Minute und ist sehr wichtig, wenn Sie nicht zuviel bezahlen wollen!

mit freundlichen Grüßen
Buchhaltung Krankenkasse








--
Wenn Sie mit dem teuersten Tarif einverstanden sind hier Warnhinweise abbestellen: http://www.link-53.faith/abm/TRACKING-ID/

www.link-53.faith (164.132.110.77)
→ http://www.aktuelle-pkv-tarife.com (164.132.110.87)

schara56
25.04.2016, 13:06
Wie vertrauensselig - der "beste Platz" für personenbezogene Daten:

Registrant Name: WHOISGUARD PROTECTED

tarifvergleich-aktuell.com ist ein Angebot von

Aktuelle PKV-Tarife GmbH
Rosenstrasse 93
81517 München
Geschäftsführer: P* W*
Umsatzsteuer-ID: [ID filtered]
Steuernummer: beantragt
E-Mail: info [at] aktuelle-pkv-tarife.com