PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spam über memails24.com



deekay
07.08.2016, 19:50
Diverser Spam wird seit den letzten Tagen über die Domain memails24.com bei mir abgekippt:

From - Sat Aug 06 xx:xx:xx 2016
X-Account-Key: account1
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
X-Envelope-From: <antwort [at] memails24.com>
X-Envelope-To: <xxxxxxxxxxxxxx>
X-Delivery-Time: 1470499349
X-UID: [UID filtered]
Return-Path: <antwort [at] memails24.com>
Authentication-Results: strato.com 1;
spf=none
smtp.mailfrom="antwort [at] memails24.com";
dkim=none;
domainkeys=none;
dkim-adsp=none
header.from="antwort [at] memails24.com"
X-Strato-MessageType: email
X-RZG-CLASS-ID: [ID filtered]
Received-SPF: none
client-ip=185.145.233.4;
helo="s3.memails24.com";
envelope-from="antwort [at] memails24.com";
receiver=smtp.rzone.de;
identity=mailfrom;
Received: from s3.memails24.com (s3.bit-klk.com [185.145.233.4])
by smtp.rzone.de (RZmta 38.13 OK)
with ESMTPS ID: [ID filtered]
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (curve secp521r1 with 521 ECDH bits, eq. 15360 bits RSA))
(Client dID: [ID filtered]
for <xxxxxxxxxxx;
Sat, 6 Aug 2016 xx:xx:xx +0200 (CEST)
Received: by s3.memails24.com (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Subject: Online-Einschreiben v. Samstag 06.08.2016 [#297.DD58.44126]
To: "Kunden-Nr. FR-553321" <xxxxxxxxxxxx>
From: "E-Post DE" <antwort [at] memails24.com>
Reply-To: <antwort [at] memails24.com>
Date: Sat, 06 Aug 2016 xx:xx:xx +0200
Message-ID: [ID filtered]
List-Unsubscribe: <http://www.memails24.com/go/nlu.php?[UNSUB filtered]>
X-SWM-BOUNCE: 01_02_04_337
List-ID: [ID filtered]
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="iso-8859-1"


Sehr geehrte(r) Kunden-Nr. FR-553321,

Sie erhalten folgendes Online-Einschreiben mit der Bitte um sofortigen Abruf:


Absender:
Rechtsanwalt Maximilian Wagenbauer


Betreff:
Auszahlung am 08.08.2016



Online-Ansicht:
hier klicken( Ablaufdatum 07.08.2016 )



Viren-Prüfung:
Erfolgreich, keine Viren


Mit freundlichen Grüßen,

Ihre Post



Unter dem hier klicken gelangt man dorthin: www.trackclx.com/link2.php

From - Sun Aug 07 xx:xx:xx 2016
X-Account-Key: account1
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
X-Envelope-From: <antwort [at] memails24.com>
X-Envelope-To: <xxxxxxxxxxxxxx>
X-Delivery-Time: 1470586726
X-UID: [UID filtered]
Return-Path: <antwort [at] memails24.com>
Authentication-Results: strato.com 1;
spf=none
smtp.mailfrom="antwort [at] memails24.com";
dkim=none;
domainkeys=none;
dkim-adsp=none
header.from="antwort [at] memails24.com"
X-Strato-MessageType: email
X-RZG-CLASS-ID: [ID filtered]
Received-SPF: none
client-ip=185.145.233.4;
helo="s3.memails24.com";
envelope-from="antwort [at] memails24.com";
receiver=smtp.rzone.de;
identity=mailfrom;
Received: from s3.memails24.com (s3.bit-klk.com [185.145.233.4])
by smtp.rzone.de (RZmta 38.13 OK)
with ESMTPS ID: [ID filtered]
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (curve secp521r1 with 521 ECDH bits, eq. 15360 bits RSA))
(Client dID: [ID filtered]
for <xxxxxxxxxx;
Sun, 7 Aug 2016 xx:xx:xx +0200 (CEST)
Received: by s3.memails24.com (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Subject: =?iso-8859-1?Q?Wichtige_=C4nderung_Ihres_Vertrages?=
To: "Kunden-Nr. FR-553321" <poor [at] spamvictim.tld>
From: "Vertragsservice II" <antwort [at] memails24.com>
Reply-To: <antwort [at] memails24.com>
Date: Sun, 07 Aug 2016 xx:xx:xx +0200
Message-ID: [ID filtered]
List-Unsubscribe: <http://www.memails24.com/go/nlu.php?[UNSUB filtered]>
X-SWM-BOUNCE: 01_02_04_33B
List-ID: [ID filtered]
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="iso-8859-1"

<html>
<head><meta http-equiv=3D"content-type" content=3D"text/html; charset=3Diso=
-8859-1" />
<title>Wichtige =C4nderung Ihres Vertrages</title>


Sehr geehrte(r) Kunden-Nr. FR-553321,

wir möchten Sie darüber informieren das Ihr Krankenversicherungstarif nicht
mehr aktuell bzw. zeitgemäß ist.

Durch einen Wechsel in einen neuen Tarif ( ab 57,00 Euro im Monat ) erhalten Sie
bessere Leistungen beim Arzt und im Krankenhaus.

Leider kann ich den Tarif nicht automatisch ändern, so das Sie nicht automatisch sparen,
und nicht automatisch in diese besseren Tarife rutschen.

Bitt vergleichen Sie daher hier selbst in nur 20 Sekunden, wie viel Sie sparen können. Erst

dann kann eine unverzügliche Umstellung vorgenommen werden.

Im Schnitt sparen Sie ca. 1.300 Euro im Jahr.

Alles weitere besprechen wir dann,

Ein schönes Wochenede,

Henning Körber
Vertragsabteilung II, BK



Dieses mal wird man an die Finanzwelten AG in der Schweiz weitergeleitet www.finanzwelten-ag.com

kjz1
07.08.2016, 20:40
Die Formulierungen haben irgendwie so einen 'Braunschweiger Stallgeruch'.

Mittwoch
07.08.2016, 23:02
memails24.de ist (noch?) nicht registriert. Ich habe im Titel und im Eröffnungsbeitrag .de durch .com ersetzt.

schara56
08.08.2016, 06:39
...] so einen 'Braunschweiger Stallgeruch'.Das vermute ich auch ganz stark.
Unverkennbar im Quelltext findet man das Standardformular von T* R*:

<form method="post" action="http://www.finanzwelten-ag.com/vergleich/nl.php" />
<input type="hidden" name="MailingListId" value="1" />
<input type="hidden" name="FormId" value="1" />
<input type="hidden" name="Action" value="subscribe" />
<input type="hidden" name="FormEncoding" value="iso-8859-1" />
Siehe auch exemplarisch hier (https://www.antispam-ev.de/forum/showthread.php?37509-Spam-f%FCr-Richvestor&p=394615&viewfull=1#post394615).

Der ganze Kram ist in Zypern gehosted und das Routing übernimmt LeaseWeb / Kolido (:sick:).

inetnum: 185.145.235.0 - 185.145.235.255
netname: cy-prem-235
country: CY
admin-c: AP25970-RIPE
tech-c: AP25970-RIPE
status: LIR-PARTITIONED PA
mnt-by: cy-premia-1-mnt
created: 2016-04-11Txx:xx:xxZ
last-modified: 2016-04-11Txx:xx:xxZ
source: RIPE

person: A* P*
address: Arch. Makariou III, 61
address: 6017
address: Larnaca
address: CYPRUS
phone: +35724030611
nic-hdl: AP25970-RIPE
mnt-by: cy-premia-1-mnt
created: 2016-04-01Txx:xx:xxZ
last-modified: 2016-04-01Txx:xx:xxZ
source: RIPE

% Information related to '185.145.232.0/22AS60781'

route: 185.145.232.0/22
descr: routed via LeaseWeb NL
origin: AS60781
remarks: Kolido
mnt-by: LEASEWEB-NL-MNT
created: 2016-04-06Txx:xx:xxZ
last-modified: 2016-04-06Txx:xx:xxZ
source: RIPE

kjz1
19.09.2016, 15:53
Könnte hierzu passen, wieder ist premia-vip beteiligt.

Received: from s7.24eld.com ([185.145.234.206]) by mx-ha.gmx.net (mxgmx103)
with ESMTPS (Nemesis) ID: [ID filtered]
Received: by s6.24eld.com (Postfix, from userID: [ID filtered]

Sieht mir mal wieder nach Casino bzw. Casino 2.0 aus:


Sehr geehrte(r) Kunden-Nr. xxx,

Sie haben einen E-Scheck erhalten. Dieser E-Scheck ist ein
elektronischer Scheck,
und berechtigt Sie dazu, den unten aufgeführten Kontostand auf Ihr
Bankkonto oder
Ihr Paypal Konto zu überweisen.

Um dieses Geld zu erhalten, ist eine kurze Anmeldung

http://www.24eld.com/go/link.php

hier nötig.

*Umsatzübersicht:*
.....

IP: 185.145.234.200 ---> routed via LeaseWeb NL (Leaseweb sagt schon alles....)

Der Link war natürlich personalisiert, interessant evtl. noch: aff_id=5029