PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : 4 mal der gleiche 'YOU HAVE BEEN APPROVED'



Wurgl
25.01.2006, 14:13
4 mal ist heute der Lotteria Primitiva Spam eingeschlagen.

From - Wed Jan 25 xx:xx:xx 2006
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <loteriaprimit [at] virgilio.it>
X-Original-To: ---- [at] arcor.de
Received: from localhost (mail-in-03.arcor-online.net [151.189.21.43])
by mail-in-01-z2.arcor-online.net (Postfix) with ESMTP ID: [ID filtered]
Wed, 25 Jan 2006 xx:xx:xx +0100 (CET)
Received: from mail-in-03.arcor-online.net ([127.0.0.1])
by localhost (mail-in-03 [127.0.0.1]) (amavisd-new, port 10024) with LMTP
ID: [ID filtered]
Received: from vsmtp1.tin.it (vsmtp1.tin.it [212.216.176.141])
by mail-in-03.arcor-online.net (Postfix) with ESMTP ID: [ID filtered]
Wed, 25 Jan 2006 xx:xx:xx +0100 (CET)
Received: from pswm18.cp.tin.it (192.168.70.68) by vsmtp1.tin.it (7.2.060.1)
ID: [ID filtered]
Message-ID: [ID filtered]
Date: Wed, 25 Jan 2006 xx:xx:xx +0100 (GMT+01:00)
From: "loteriaprimit [at] netscape.net" <loteriaprimit [at] virgilio.it>
Reply-To: loteriaprimit [at] netscape.net
Subject: YOU HAVE BEEN APPROVED
Mime-Version: 1.0
Content-Type: text/plain;charset="UTF-8"
Content-Transfer-Encoding: 7bit
X-Originating-IP: 83.54.137.76
To: undisclosed-recipients:;
X-Virus-Scanned: amavisd-new at arcor.de


LOTERIA PRIMITIVA
AWARD/PROMOTIONAL DEPARTMENT
SPAIN.
http://loteria.
com/primitiva.php

We are please to announce you as one of the 12
lucky winners in the email lottery programme draw of the LOTERIA
PRIMITIVA held on the 12th of october 2005. All 12 winning addresses
were randomly selected from a batch of 100,000,000 international emails,
Your email address emerged along sidewith 12 others as a category 6
winner in this year's loteria primitiva award Draw.

Most recently the
foundation set up the NEW HOPE LOTTERY to give out prizes based on the
computer ballot system( THEREFORE YOU DO NOT NEED TO BUY A TICKET TO
ENTER FOR IT.YOUR EMAIL ADDRESS WAS RANDOMLY SELECTED AS A WINNER YOUR
EMAIL WON YOU THIS PRIZE).

Consequently,you have therefore been
approved a MEGA JACK POT of
1,427,159.00 euro ( One million,four
hundred and twenty seven thousand,
one hundred and fifty-nine euro )
only.The following particulars are
attached to your lotto payment
order:

(i) Result winning numbers:16-27-35-43-46-47-2-4
(ii) email
ticket number: FL754/22/76
(iii) Lotto code number: PDP98643JK
(iv) The
file Ref number: FL/04/67903456/SP

Please,note that you will be
require to notarized and obtained a vetting
approval which you are to
pay to obtained the document before your
winning prize can be
transfered.This Municipal /documentation fee of
your total winning fund
for the acquire/approval of the VETTING
APPROVAL DOCUMENTS issued in
your name before transfer of your prize
can be effected and transfered
to you as this is very "compulsory".
To immediately claim your prize,
contact the claim/paying agent below.

LOTERIA TRUST AGENCY S.L
=========================
Mr.Marcus Antonio
TEL:0034-696-331-297
EMAIL
TO:loteriaprimit [at] netscape.net
WEB SITE:www.loteria.com

The above claim
agent will assist you in the processing and remittance of your prize
funds to you,note not later than one week After this date if you do not
contact and process your winning prize,all funds will be returned as
unclaimed,call the above number for more details.All respond should be
sent to the above mail box.

N.B: Procedures to claiming your prize:
************************************************************************
1.Please quote yourReference number in all correspondence with the
claims officer.
2.Indicate your full name and Address,Country,Telephone,
Mobile and Fax
Number and Occupation.

Once again on behalf of all our
staff,

CONGRATULATIONS!!!

Sincerely,

MARIA LOMAS.
Promotions Manager
The Loteria Primitiva
http://loteria.com/primitiva.php
---------------------------------------------------------------------
This e-mail transmission contains information that is confidential
and
may be privileged.It is intended only for the addressee(s) named above,
make sure you contact your claim agent above.Also make sure you send
down your phone and your fax number to your claim agent for effective
communication.
----------------------------------------------------------------------


Interessanterweise nur an zwei Email-Adressen, beides sind Adressen, die ich äusserst selten verwende. Aber alle 4 sind von 7.2.060.1 abgeschickt. Komisch. Echt komisch. Traceroute geht nicht, Whois bringt nur das 7/8 Netz? Was ist dieses 7.2.060.1?

Goofy
25.01.2006, 14:34
Siehe bei centralops.net:
7.2.060.1 gehört zu:
DoD Network Information Center
Defense Information Systems Agency
Columbus, Ohio

Die Mail wurde aber wohl eher nicht darüber verbreitet, sondern über
vsmtp1.tin.it [212.216.176.141])
das entspricht in Deinem header der Einlieferstelle, die an Deinen Arcor-Mailprovider gemailt hat. Die weiteren Zeilen dürften zur Irreführung da stehen (->Fälschung, machen die Spammer häufig so).

212.216.176.141 scheint einer der Mailserver von Telecomitalia zu sein, bekanntermassen ein schmerzfreies Mugu-Nest, wo viele Mugus Mailaccounts unterhalten, die i.d.R. auch auf Beschwerden kaum abgeschaltet werden.

Wurgl
25.01.2006, 14:44
Siehe bei centralops.net:
7.2.060.1 gehört zu:
DoD Network Information Center
Defense Information Systems Agency
Columbus, Ohio


Das hat Whois auch geliefert, nur hat mich ein Class-A Netz etwas verwirrt, obwohl ... Hmm, scheint okay zu sein. Die totale Verwirrung kam wohl durch nicht funktionierendes Traceroute und nicht funktionierende Namensauflösung. Naja, was solls.



Die Mail wurde aber wohl eher nicht darüber verbreitet, sondern über
vsmtp1.tin.it [212.216.176.141])
das entspricht in Deinem header der Einlieferstelle, die an Deinen Arcor-Mailprovider gemailt hat. Die weiteren Zeilen dürften zur Irreführung da stehen (->Fälschung, machen die Spammer häufig so).


Also sind Zeile 16 und 17 des Headers ein Fake?

Goofy
25.01.2006, 14:50
Schon der erste Teil von Zeile 16 zeigt´s:



16: Received: from pswm18.cp.tin.it (192.168.70.68).............

Queried whois.arin.net with "192.168.70.68"...

OrgName: Internet Assigned Numbers Authority
OrgID: [ID filtered]
Address: 4676 Admiralty Way, Suite 330

Immer wenn der Hinweis auf die IANA kommt, heisst das, dass diese IP bisher gar nicht vergeben wurde (!). Ein Netzwerk mit dieser IP dürfte also gar nicht existieren.
Also folgt, dass alle Logangaben zum Sendeverlauf ab hier fake sind.

homer
25.01.2006, 15:43
[code]
Queried whois.arin.net with "192.168.70.68"...
OrgName: Internet Assigned Numbers Authority
OrgID: [ID filtered]
Address: 4676 Admiralty Way, Suite 330

Immer wenn der Hinweis auf die IANA kommt, heisst das, dass diese IP bisher gar nicht vergeben wurde (!). Ein Netzwerk mit dieser IP dürfte also gar nicht existieren.
Also folgt, dass alle Logangaben zum Sendeverlauf ab hier fake sind.
Nicht in diesem Fall. Die 192.168.0.0/16 sind sog. private IP-Adressen, die in internen Netzen gefahrlos verwendet werden dürfen. Ein I-Cafe hat dann einen Uplink, der per NAT diesen dem privaten Netz zur Verfügung stellt. Ist diese NAT-Box dann auch noch MTA für das lokale Netz, so ist ein solcher Mailheader durchaus korrekt und gibt evtl. den Rechner an, von dem der Müll tatsächlich abgekippt wurde.

Wurgl
25.01.2006, 16:06
Nicht in diesem Fall. Die 192.168.0.0/16 sind sog. private IP-Adressen, die in internen Netzen gefahrlos verwendet werden dürfen. Ein I-Cafe hat dann einen Uplink, der per NAT diesen dem privaten Netz zur Verfügung stellt. Ist diese NAT-Box dann auch noch MTA für das lokale Netz, so ist ein solcher Mailheader durchaus korrekt und gibt evtl. den Rechner an, von dem der Müll tatsächlich abgekippt wurde.


Nee, in diesem Fall bin ich tatsächlich der Depp.
Received: from pswm18.cp.tin.it (192.168.70.68) by vsmtp1.tin.it (7.2.060.1)
ID: [ID filtered]


Diese beiden Zeilen sind Schrott. Zum einen steht die IP-Adresse sonst immer in eckigen Klammern und zum anderen frag ich mich, warum die 060 mit einer führenden 0 geschrieben wurde, aber die 7, 2 und 1 nicht. Das ist wohl eher eine Versionsnummer.

Goofy
25.01.2006, 16:15
Nicht in diesem Fall. Die 192.168.0.0/16 sind sog. private IP-Adressen, ...

ups, Du hast recht. Vielleicht stimmt dann die 192.168.70.68 tatsächlich (lokales Netzwerk mit NAT-box, Internetcafe).

Schon wegen der komischen Schreibweise dürfte aber der Rest der Zeile fake sein.