PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Bitcoin/Versicherungs/Strom Spam / 99smtp.com / contabo.de



eazrael
22.10.2017, 13:59
Exemplarisch für mehrer Mails:

Return-Path: <bounce [at] track.99smtp.com>
Received: from deliver ([unix socket])
by router (Cyrus 2.5.6) with LMTPA;
Sun, 22 Oct 2017 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.4
Received: from mta4.99smtp.com (mta4.99smtp.com [185.12.179.67])
(using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by mail.evilazrael.net (Postfix) with ESMTPS ID: [ID filtered]
for <poor [at] spamvictim.tld>; Sun, 22 Oct 2017 xx:xx:xx +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=1506529312.99smtp; d=99smtp.com;
h=Message-ID:Date:Subject:From:Reply-To:To:MIME-Version:Content-Type:List-Unsubscribe:List-Id; i=info [at] 99smtp.com;
bh=sXZqlTqZ0VDIgSKZ01mi/xWR0rw=;
b=fposFJVGsOYoXmfjwRcLGrhISL+k7R6/Solkol44TR2Qz1cfbvQ5DEEVTSQSFgwXVbiQRz6zMkYx
FqTUMkoRDES0mPIBrkcDnUxIyt7gJo8avXH4YWq/l9K7VR2dd2zmNCPtLyA0YFXtaNy0BqF8bAQW
RbHBEpT5GJxBR0bh3cA=
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=1506529312.99smtp; d=99smtp.com;
b=k7vozi2yv2FcUn+LQ1BbHXjzAKPdLi2T/Gyb6CfoiDqvfAwMYOUVbECbbyHJEDxfXH/EHBQL877J
Z0s/oL7VGnY0ABAnADzqo+qhnRaJe4CpPYN3prB62Z8Bd2SKYrpiZJgT1Xhmk6JT5nulqlE+IUG0
sM45wweCKV0O1QIeSGA=;
Message-ID: [ID filtered]
Date: Sun, 22 Oct 2017 xx:xx:xx +0000
Subject: Machen Sie heute noch ein =?utf-8?Q?Verm=C3=B6gen?= mit Bitcoins
From: Bitcoin Support <info [at] 99smtp.com>
Reply-To: Bitcoin Support <all [at] kapitaltrends.site>
To: "poor [at] spamvictim.tld" <poor [at] spamvictim.tld>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="_=_swift_v4_1508669817_646073c14207c6be4687018171a2f032_=_"
X-Sender: bounce [at] track.99smtp.com
X-Report-Abuse: Please report abuse for this campaign here:
http://track.99smtp.com/index.php/campaigns/*schnapp*/report-abuse/*schnapp*/*schnapp*
X-Receiver: poor [at] spamvictim.tld
X-Jadt-Tracking-DID: [ID filtered]
X-Jadt-Subscriber-UID: [UID filtered]
X-Jadt-Mailer: SwiftMailer - 5.4.x
X-Jadt-EBS: http://track.99smtp.com/index.php/lists/block-address
X-Jadt-Delivery-SID: [ID filtered]
X-Jadt-Customer-UID: [UID filtered]
X-Jadt-Customer-GID: [ID filtered]
X-Jadt-Campaign-UID: [UID filtered]
Precedence: bulk
List-Unsubscribe: <http://track.99smtp.com/index.php/lists/*schnapp*/unsubscribe/*schnapp*/*schnapp*/unsubscribe-direct?[UNSUB filtered]>
List-ID: [ID filtered]
Feedback-ID: [ID filtered]


Beworben werden irgendwelche Bitcoin-Tricks, Gewerbestrom und Versicherungen. Ziel-Adresse ist entweder eine geleakte E-Mailadresse von Destructoid.com, die in der Anti-Public Combo List und Exploit.in Combo List stehen oder eine andere allgemeine Adresse, die u.a. in der River City Meia Spam List und der Leak-Liste von Money Bookers steht.

Laut Spamcop kommen die Mails aus dem aruba.it Netz. Die Tracking Links zeigen immer auf track.99smtp.com (173.212.228.220), gehostet bei Contabo.de 99stmp.com trägt natürlich kein Impressum, die verwendete Support Skype Keinnung flowra251 lässt sich mit der E-Mail Adresse dj.moonlit [at] gmail.com verbinden (Quelle CodeCanyon.net (https://web.archive.org/web/20171001151432/https://codecanyon.net/item/general-services-application-android/12372903/comments)), welche wiederum für als Entwickler-Adresse für einige AndroID: [ID filtered]
Domain Big Data (https://web.archive.org/web/20171022113831/http://domainbigdata.com/gmail.com/mj/OhtEb8rSw6q0XXo00EkYkw) ) gehört, der anscheinend auch gerne mal deutsche Hoster (1&1, Hetzner, contabo...) verwendet. Immerhin sind beide aus Bangladesh. Die Website www.99smtp.com (173.212.208.249) ist auch bei Contabo gehostet.

Die Mails werden immer brav per Spamcop gemeldet. Passiert ist im letzten Monat nichts. Spamcop schickt reports an abuse [at] staff.aruba.it. Für contabo wird ein Report an abuse [at] m-online.net gesendet, während die anderen nach /dev/null gehen:


/dev/null'ing report for postmaster#contabo.de [at] devnull.spamcop.net
/dev/null'ing report for abuse#contabo.com [at] devnull.spamcop.net
/dev/null'ing report for abuse#contabo.de [at] devnull.spamcop.net


Händische Meldungen an abuse [at] contabo.de führten zu keinerlei Reaktion oder Antwort. Ich bin enttäuscht dass Contabo (ehemals Giga-Hosting.biz) Spammern eine Heimat in Deutschland bietet.

kjz1
22.10.2017, 21:06
Schau mal auf:

http://www.spamhaus.org/sbl/listings/aruba.it

Alles klar...