PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [UCE?] www.Weihnachtsmarkt-Deutschland.de



egmont
04.12.2004, 20:41
Return-path: <>
Envelope-to: poor [at] spamvictim.tld
Delivery-date: Sat, 04 Dec 2004 xx:xx:xx +0100
Received: from [212.227.15.60] (helo=mqueue.kundenserver.de)
by mxng21.kundenserver.de with esmtp (Exim 3.35 #1)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sat, 04 Dec 2004 xx:xx:xx +0100
To: poor [at] spamvictim.tld
From: redaktion [at] weihnachtsmarkt-deutschland.de <redaktion [at] weihnachtsmarkt-deutschland.de>
Subject: http://www.Weihnachtsmarkt-Deutschland.de
Date: Sat, 04 Dec 2004 xx:xx:xx +0100
Message-ID: [ID filtered]
Precedence: bulk
MIME-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
X-Original-ID: [ID filtered]

Vielen Dank, wir haben Ihr Schreiben an redaktion [at] weihnachtsmarkt-deutschland.de erhalten.

In der heißen Phase vor dem ersten Advent beträgt die Bearbeitungsdauer für kostenlose Basiseinträge ca. sechs Arbeitstage, denn es gehen täglich viel mehr Meldungen ein als an einem Tag bearbeitet werden können.

Wenn Sie unser Angebot eines prominent platzierten Premium-Eintrages in der Rubrik "Glanzlichter mit Reiseangebot" nutzen möchten, teilen Sie uns dies bitte telefonisch mit und wir ziehen Ihre Meldung vor.

Medienagentur: Herr Wengenroth (0 60 61) 70 53 95
Redaktion: Herr Schultheis (0 61 51) 95 49 10

Unsere Media-Daten finden Sie hier:
http://www.weihnachtsmarkt-deutschland.de/media-daten.html
Hallo,
die obige Mail habe ich soeben auf meine private Mailadresse erhalten (nebenbei das erste Mal, dass ich auf diese Adresse Spam bekomme) und auch gleich den Herrn Wengenroth angerufen.
Es kam das übliche Gerede: Er habe keine Ahnung, jemand anders hat mich wohl eingetragen, double-opt-in kennt er aber nicht, wenn ich mich per Mail melde, werden meine Daten gelöscht.
Hat noch jemand als angeblicher Betreiber eines Weihnachtsmarktes solch eine Mail bekommen? Lohnt es sich, ein T5F hinzuschicken und die IP des mich angeblich eintragenden Users anzufordern?
Grüße,
Stefan

Coke1984
05.12.2004, 16:38
Das lohnt sich in jedem Fall, auch wenn du das Telefongelaber dann halt nur schriftlich bekommst...

---
Rechtschreibfehler dienen der allgemeinen Erheiterung und können zu diesem Zweck gerne gesammelt und archiviert werden.

Weihnachtsmarkt-Deutschland.de
15.12.2004, 18:21
Sehr geehrter Stefan,
Herr Wengenroth ist der falsche Ansprechpartner in dieser Angelegenheit, da er unser Portal als Vertriebsleiter betreut und mit den technischen Abläufen nicht im Detail vertraut ist. Die Redaktion von Weihnachtsmarkt-Deutschland.de hat am 08.12.2004 durch die eMail eines Betroffenen erfahren, dass unverlangte Mails mit unserer Absenderadresse verschickt werden. Ich habe daraufhin das Abuse-Team unseres Providers 1&1 Puretec über den Vorfall informiert und von der betroffenen Person eine Kopie des eMail-Headers angefordert. Wenn sich der Versender der SPAM-Mails zweifelsfrei ermitteln lässt, möchten wir Strafanzeige erstatten und, im Erfolgsfall, zivilrechtlich gegen den Verursacher vorgehen.
Ich habe noch keine Rückmeldung des Abuse-Teams erhalten. Meiner eigenen Recherche zufolge kommen hier allerdings verschiedene Möglichkeiten in Betracht.
1. Der verwendete Text stammt aus unserem Autoresponder, den wir einige Tage vor dem 1. Advent 2004 für die eMail-Adresse redaktion [at] weihnachtsmarkt-deutschland.de eingerichtet haben.
1.1. Möglicherweise verschickt ein SPAMmer den Text unseres Autoresponders mit gefälschter Absenderadresse, um unserem Unternehmen zu schaden.
1.2. Es besteht auch die Möglichkeit, dass gefälschte eMail-Adressen verwendet werden, um unseren Autoresponder anzuschreiben, der dann postwendend reagiert und die Inhaber der gefälschten Adressen anschreibt. Die betroffenen Personen fassen das Schreiben als SPAM auf, da sie uns ja nicht angeschrieben haben.
Ich habe 1&1 Puretec heute noch einmal angeschrieben, und um baldige Klärung des Sachverhalts gebeten.
Mit freundlichen Grüßen
IDL Software GmbH
Klaus Schultheis
Geschäftsführer
(0 61 51) 95 49 10 fon
redaktion [at] weihnachtsmarkt-deutschland.de

schara56
15.12.2004, 18:29
Vielen Dank, wir haben Ihr Schreiben an redaktion [at] weihnachtsmarkt-deutschland.de erhalten.Würde für einen Autoresponder sprechen - wird aber seeehr gerne Standardspam verwendet.

Möglicherweise verschickt ein SPAMmer den Text unseres Autoresponders mit gefälschter Absenderadresse, um unserem Unternehmen zu schaden Unwahrscheinlich - wieso ausgerechnet mit einem Autorespondertext?

1.2. Es besteht auch die Möglichkeit, dass gefälschte eMail-Adressen verwendet werden, um unseren Autoresponder anzuschreiben, der dann postwendend reagiert und die Inhaber der gefälschten Adressen anschreibt. Die betroffenen Personen fassen das Schreiben als SPAM auf, da sie uns ja nicht angeschrieben haben. Wenn das der Autorespondertext ist (1:1) dann ist es natürlich die reply-to-Adresse, die vom Autoresponder verwendet wird und die ist bei fast jedem Provider beliebig zu fälschen. Gibt es Header von den eingehenden Mails?

Weihnachtsmarkt-Deutschland.de
15.12.2004, 19:15
Hier sind zwei Header, die ich an das Abuse-Department von 1&1 zur Anlayse weitergeleitet habe. Der erste Header stammt von einem Betroffenen, dessen eMail-Adresse und Namen ich hier gekürzt wiedergebe.
Der zweite Header stammt von einer "SPAM-Mail" von redaktion [at] weihnachtsmarkt-deutschland.de an meine eigene Adresse editor [at] erfolg-im-internet.com. In diesem zweiten Fall hätte ich mich demnach also selbst gespammt. Interessant ist, dass editor [at] erfolg-im-internet.com ein Weiterleitung ist, also kein POP3. Diese Adresse steht in den HTML-Headern einiger WebSites unseres Unternehmens. Es ist also ein Leichtes, diese Adresse zu harvesten und zu SPAMmen. Da es sich um eine Weiterleitung handelt und ich keine Mails mit diesem Absender verschicke, kann ich ausschließen, dass ich den Autoresponder von redaktion [at] weihnachtsmarkt-deutschland.de versehentlich selbst angeschrieben habe und deshalb die angebliche "SPAM-Mail" erhielt.
Außerdem lege ich zwei Header von Viren-Mails bei, die ich heute an redaktion [at] weihnachtsmarkt-deutschland.de erhielt. Die Absenderadressen sind vermutlich gefälscht. Die beiden Mails blieben hier im Virenfilter hängen:
----------- Virusmeldung der Mail von title [at] t-online.de -------
Anlagendatei: weihnachten.christmas.htm7642.zip
Virusname: W32/Zafi.d [at] MM
Unternommene Aktion: Säubern nicht möglich...
Anlagendatei: weihnachten.christmas.htm7642.zip
Virusname: W32/Zafi.d [at] MM
Sekundäre unternommene Aktion: Verschoben...

-------------- Virusmeldung der Mail von abuse [at] gov.us -----
Anlagendatei: details.zip
Virusname: W32/Netsky.p [at] MM!zip
Unternommene Aktion: Säubern nicht möglich...
Anlagendatei: details.zip
Virusname: W32/Netsky.p [at] MM!zip
Sekundäre unternommene Aktion: Verschoben...
--------------------------------------------


----- Anlage: Header von Herrn Kretzs..... erhalten -----
Return-Path: <>
X-Flags: 0000
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail 15982 invoked by UID: [UID filtered]
Received: from mqueue.kundenserver.de (EHLO mqueue.kundenserver.de)
(212.227.15.67)
by mx0.gmx.net (mx069) with SMTP; 08 Dec 2004 xx:xx:xx +0100
To: poor [at] spamvictim.tld
From: redaktion [at] weihnachtsmarkt-deutschland.de
<redaktion [at] weihnachtsmarkt-deutschland.de>
Subject: http://www.Weihnachtsmarkt-Deutschland.de
Date: Wed, 08 Dec 2004 xx:xx:xx +0100
Message-ID: [ID filtered]
Precedence: bulk
MIME-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
X-Original-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)

----- Header der Mail, die ich am 09.12. an "editor [at] erfolg-im-internet.com" erhielt -----
Return-path: <>
Envelope-to: poor [at] spamvictim.tld
Delivery-date: Thu, 09 Dec 2004 xx:xx:xx +0100
Received: from [212.227.15.62] (helo=mqueue.kundenserver.de)
by mxng14.kundenserver.de with esmtp (Exim 3.35 #1)
ID: [ID filtered]
for poor [at] spamvictim.tld; Thu, 09 Dec 2004 xx:xx:xx +0100
To: poor [at] spamvictim.tld
From: redaktion [at] weihnachtsmarkt-deutschland.de <redaktion [at] weihnachtsmarkt-deutschland.de>
Subject: http://www.Weihnachtsmarkt-Deutschland.de
Date: Thu, 09 Dec 2004 xx:xx:xx +0100
Message-ID: [ID filtered]
Precedence: bulk
MIME-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
X-Original-ID: [ID filtered]

------ Header einer Viren-Mail, die an redaktion [at] weihnachtsmarkt-deutschland.de gerichtet war -----
Return-Path: <titel [at] t-online.de>
Delivery-Date: Wed, 15 Dec 2004 xx:xx:xx +0100
Received: from [212.227.126.212] (helo=mxng16.kundenserver.de)
by mxeu4.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from [194.25.134.80] (helo=mailout01.sul.t-online.com)
by mxng16.kundenserver.de with esmtp (Exim 3.35 #1)
ID: [ID filtered]
for poor [at] spamvictim.tld; Wed, 15 Dec 2004 xx:xx:xx +0100
Received: from fwd00.aul.t-online.de
by mailout01.sul.t-online.com with smtp
ID: [ID filtered]
Received: from mailto.t-online.de (r1hD12ZUYeptH4zvyX+fDiXJvtliTJUwqcFCedXPDk60Xg2SYwcRwl@[217.231.254.51]) by fwd00.sul.t-online.com
with smtp ID: [ID filtered]
Message-ID: [ID filtered]
From: titel [at] t-online.de (Titel)
To: <poor [at] spamvictim.tld>
Subject: Weihnachten card.
Date: Mi, 15 Dez 2004
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_656_4120_21736186.28106656"
X-Priority: 3
X-MSMail-Priority: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-ID: [ID filtered]
X-TOI-MSGID: [ID filtered]
Envelope-To: poor [at] spamvictim.tld
X-SpamScore: 0.042
tests= INVALID_DATE

----- Header einer Viren-Mail von gov.us -----

Return-Path: <abuse [at] gov.us>
Delivery-Date: Wed, 15 Dec 2004 xx:xx:xx +0100
Received: from [217.245.31.152] (helo=weihnachtsmarkt-deutschland.de)
by mxeu1.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
From: abuse [at] gov.us
To: poor [at] spamvictim.tld
Subject: Internet Provider Abuse
Date: Wed, 15 Dec 2004 xx:xx:xx +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority: 3
X-MSMail-Priority: Normal
Message-ID: [ID filtered]
Envelope-To: poor [at] spamvictim.tld
X-SpamScore: 0.952
tests= NO_REAL_NAME MISSING_MIMEOLE

Nebelwolf
15.12.2004, 19:19
Hallo zusammen!
Derzeit spucken einige Würmer mit falscher Absenderangabe durch das Netz. Es sieht so aus, als wäre so eine Wurm-eMail an redaktion [at] ... verschickt worden und der Autoresponder antwortet. Es müßte im Postfach von Weihnachtsmarkt-Deutschland eine passende Wurmmail geben, wenn nicht schon gelöscht.
In diesem Fall sind Absender und Empfänger der Mail Opfer. Es gibt eine 3. Person auf deren Rechner Euere eMailadressen gespeichert sind und versendet werden.
Schöne Grüße
Nebelwolf

Nebelwolf
15.12.2004, 19:24
Hallo,
da haben sich unsere Postings überschnitten. Eine Bitte an den Weihnachtsmarkt:
Alle seriösen Adressen aus den Headern löschen oder ungültig machen. Sonst freuen sich die eMail-Havester.
Danke
Nebelwolf

Weihnachtsmarkt-Deutschland.de
15.12.2004, 19:45
Ja, ich habe seit 17.00 Uhr 24 Wurm-Mails erhalten, die noch im Quarantäne-Ordner liegen. Die Mails mit den beiden letztgenannten Headern sind also noch vorhanden. Im Laufe des Tages habe ich den Quarantäne-Ordner vermutlich drei Mal gelöscht und dabei ca. 400 bis 600 Quarantäne-Fälle von heute gelöscht. Jedenfalls erinnere ich mich an eine Lösch-Aktion mit 295 Mails in Quarantäne. Das ist das übliche Pensum.
Ich habe schon vermutet, dass vielleicht Wurmverseuchte Rechner im Spiel sind. Allerdings scheint es schier unmöglich herauszufinden, welchen gemeinsamen Bekannten Herr Kretzs.... und ich vielleicht haben, dessen Rechner von einem Wurm befallen ist und nun Herrn Kretzs... und mich in eine SPAM-Runde verwickelt.
Die Redaktion von Weihnachtsmarkt-Deutschland.de hat seit dem 25.08.04 mehr als 350 Mails von Privatpersonen erhalten, die uns auf interessante Weihnachtsmärkte hingewiesen haben. Wir freunen uns über diese Brief. Wenn jedoch einige der Tippgeber wurmverseuchte Rechner haben, dann erklärt sich das wachsende Aufkommen an Wurm-Mails immerhin zum Teil.
Wie erklären sich Wurm-Mails mit gefälschten Absendern vom Typ "abuse [at] gov.us" oder "title [at] t-online.de? Solche Adressen stammen doch sicher nicht aus Adressbüchern betroffener PCs. Steckt da nicht ein kreativer Kopf dahinter, der plausible oder weniger plausible eMail-Adressen zusammenbastelt und diese dann als Absender für SPAM verwendet?
Die Adresse des SPAM-Opfers v.kretzs.... [at] gmx.net findet sich nicht in Google. Eine Vermutung ist, dass hier jemand eine andere, ziemlich ähnlich lautende Adresse akretz.... [at] gmx.de vielfältig variiert und dann verwendet hat. Gibt es darüber Erkenntnisse?

Weihnachtsmarkt-Deutschland.de
15.12.2004, 19:57
Vielen Dank für den Tipp, aber unsere Adressen sind längst geharvested, denn sie stehen auf jeder Seite unseres Portals im <A HREF="mailto:...">.
Wir möchten den Lesern von Weihnachtsmarkt-Deutschland.de nicht zumuten, eine etwas kryptische Mail vom Typ redaktion(at)weihnachtsmarkt-deutschland.de umständlich mit der Hand abzutippen. Mail-Formulare sind keine komfortable Lösung. Im Verlauf meiner Recherche bin ich auf die Möglichkeit der Verschlüsselung von mailto-Befehlen aufmerksam geworden. Vielleicht ist das ein praktikable Variante.
Möglicherweise werden funktionierende eMail-Adressen inzwischen sogar aus dem fließenden eMail-Verkehr herausgefischt. Diese Vermutung liegt nahe, da ich SPAM-Mails an eMail-Adressen erhalte, die nirgendwo veröffentlicht sind - also nicht von WebSites geharvested werden können - und die außer mir nur einige Freunde kennen.

Gool
15.12.2004, 19:58
Es gibt die Möglichkeit, Adressen aus verschiedenen Teilen zu generieren.
[localpart]@[domainpart]
[localpart] wird oft noch in [vorname][nachname] oder so ähnlich unterteilt, während [domainpart] wohl in [domain].[TLD] unterteilt wird. Somit ist es möglich, eine ganze Reihe von Adressen zu generieren. Ob eine E-Mail-Adresse über Google gefunden werden kann ist jedoch unerheblich. Wenn der Herr Kretz eine Internetseite hat, auf der die E-Mail-Adresse veröffentlicht ist, dann wird diese früher oder später auch so gefunden.
Möglich ist es auch, dass ein Spammer sich mit den genannten Würmern infiziert hat und jeder Adresse aus seiner Adressdatenbank bekommt jetzt Wurm-Post.
--
Fuck the Spammer: http://spam.blueslayah.de

Weihnachtsmarkt-Deutschland.de
15.12.2004, 20:19
Ok, das würde erklären, wie eine in google auffindbare Adresse "a.kretzs..... [at] gmx.net" in ihre Bestandteile Vorname und Name zerlegt und dann vielfältig variiert wieder zusammengesetzt werden kann, bis "vkretzs..... [at] gmx.net" oder "v.kretzs..... [at] gmx.net" herauskommt und tatsächlich ein neues SPAM-Opfer findet. Der Name kommt in Google übrigens 210.000 Mal vor. Er ist nicht so verbreitet wie Müller (4.540.000 Mal in Google), aber offenbar ein attraktiveres SPAM-Ziel als "Schultheis" mit nur 145.000 Einträgen in Google.
Da ich pro Tag ca. 1.000 bis 3.000 Mails erhalte, erreicht mich SPAM eigentlich gar nicht mehr. Ich sortiere den Posteingang nach Betreff und lösche die SPAM-Mails en-bloc.
Viele Grüße
Klaus Schultheis

Weihnachtsmarkt-Deutschland.de
17.01.2005, 10:42
Die Redaktion von Weihnachtsmarkt-Deutschland.de erhält täglich unzählige Wurm-Mails, die vermutlich mit gefälschten Absenderadressen verschickt werden. Heute war eine Mail vom Klinikum Weilmünster darunter, deren Header nachfolgend wiedergegeben wird. Die Mail mit Betreff "Re: Re: Document" enthielt eine Datei "your_document.pif", die von unserem Virenchecker als verseucht erkannt "Virusname: W32/Netsky.d [at] MM" und in Quarantäne gelegt wurde. Wir hatten keine Wurm-Mail vom Klinikum Weilmünster angefordert. Die Redaktion geht davon aus, dass das Klinikum Weilburg keine Wurm-Mails verschickt, jedenfalls nicht wissentlich.
Der Vorfall geht allerdings noch weiter, denn die Wurm-Mail vom Klinikum Weilmünster erreichte unseren Autoresponder und wurde von diesem automatisch beantwortet. Nun erhielten wir Post von Herr B. vom Klinikum Weilmünster, mit dem Hinweis, ihn aus unserem Verteiler zu entfernen. Herr B. kann selbstverständlich nicht ahnen, dass unser Autoresponder auf eine Wurm-Mail mit seinem Absender geantwortet hat. Wir haben Herrn B. über diesen Sachverhalt per eMail informiert.
Mit freundlichen Grüßen
Klaus Schultheis
0170-3554604

-- Header der Wurm-Mail vom Klinikum-Weilmünster an die Redaktion von Weihnachtsmarkt-Deutschland.de --
Return-Path: <w.bl...er [at] klinikum-weilm...ster.de>
Delivery-Date: Mon, 17 Jan 2005 xx:xx:xx +0100
Received: from [217.233.228.120] (helo=weihnachtsmarkt-deutschland.de)
by mxeu3.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
From: w.bl...er [at] klinikum-weilm...ster.de
To: poor [at] spamvictim.tld
Subject: Re: Re: Document
Date: Mon, 17 Jan 2005 xx:xx:xx +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0001_000031E4.00000064"
X-Priority: 3
X-MSMail-Priority: Normal
Message-ID: [ID filtered]
Envelope-To: poor [at] spamvictim.tld
X-SpamScore: 0.952
tests= NO_REAL_NAME MISSING_MIMEOLE

Spamgegner
17.01.2005, 11:06
Andererseits ist es natürlich auch so, dass verwurmte Kisten gerne als Spam-Relays verwendet werden.
Von daher ist es auch vorstellbar, dass Spammer Viren und Wurmautoren mit Email-adressen versorgen oder auf ähnliche Weise zusammen arbeiten...

---
Frechheit siegt

Goofy
17.01.2005, 17:16
Bedauerlich und ärgerlich, die Sache, aber so geht es vielen Domainbetreibern. Es ist ein beliebtes Spiel von Spammern und Virenautoren, beliebige, aber existente Domainnamen in die Absenderadressen einzusetzen.
Teilweise suchen sich die Viren selbst die Domains aus den Adresslisten zusammen. Wird z.B. eine Ihrer Mailadressen in der Outlook-Adressliste eines verseuchten PCs gefunden, kombiniert der Virus Ihre Domain als Absendedomain für die neue Wurmversendung in den Header.
Einziger Anhaltspunkt: diese Mail wurde abgekippt über die IP-Adresse
217.233.228.120
Bei ripe.net erhält man für die IP den Hinweis, dass diese zum t-online-Netz gehört. Wahrscheinlich eine vireninfizierte Kiste. Daher mal an t-online schreiben: abuse[ätt]t-ipnet.de .
Momentan gehen halt Santy, Netsky, Sober und andere Sachen rum.. viele Döspaddel haben einen neuen PC zu Weihnachen gekriegt, angeschlossen, Modem eingesteckt, "Hurra, ich bin drin". Und hurra - der Wurm ist drin.
Goofy