Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 14

Thema: Microsoft azure Spam mit gefälschten ikea Absender ARCTOLL LTD.

  1. #1
    Neues Mitglied
    Registriert seit
    29.08.2014
    Beiträge
    19

    Böse Microsoft azure Spam mit gefälschten ikea Absender ARCTOLL LTD.

    Ich bekomme täglich von Microssoft Azure Fake Spam mit gefäschten absendern siehe unten mit ikea Absender:


    der Scam Link in der Mail geht dann weiter zu whois: https://moebel-markt.sicher-mitmachen.de/campaign_2580.html?xxxxxxx die seite gehört einer ARCTOLL LTD.

    E-Mail: info(at) arctoll . com
    Arctoll Ltd.
    Suite 102, Ground Floor, Blake Building,
    Corner Eyre & Hutson Streets,
    Belize City,
    Belize


    jedoch mögen die ihren eigenen scam nicht, als ich die scam mail weitergeleitet habe kam diese abgelehnt zurück mit einer nachricht:

    Remote-MTA: dns; mx02.hamburg-cloud.de
    Diagnostic-Code: smtp; 554 5.7.1 Spam message rejected

    Final-Recipient: rfc822;... @cooper-ads.com

    demach steckt eine deutsche Firma dahinter :

    cooper-ads . com
    Cooper Advertising GmbH
    Am Kaiserkai 62
    20457 Hamburg


    header:
    01: Return-Path: <MAILER-DAEMON>
    02: X-Original-To: mail@
    03: Delivered-To:
    04: Received: by server. (Postfix, from userID: [ID filtered]
    05: ID: [ID filtered]
    06: Authentication-Results: server. ;
    07: spf=pass (sender IP is 127.0.0.1) smtp.mailfrom= smtp.helo=localhost
    08: Received-SPF: pass (server.: localhost is always allowed.) client-ip=127.0.0.1;
    09: envelope-from=postmaster [at] localhost; helo=localhost;
    10: X-Original-To:
    11: Delivered-To:
    12: Received: from adsfsdf-i16p.northeurope.cloudapp.azure.com
    13: (adsfsdf-i16p.northeurope.cloudapp.azure.com [40.127.178.63])
    14: by server. (Postfix) with ESMTP ID: [ID filtered]
    15: for < >; Wed, 30 Dec 2020 xx:xx:xx +0100 (CET)
    16: Received-SPF: none ( no valID: [ID filtered]
    17: Content-Type: multipart/alternative;
    18: boundary="===============6548124704059346154=="
    19: MIME-Version: 1.0
    20: Subject: Ihre IKEA Bestellung wartet auf Sie, immer noch interessiert?
    21: From: IKEA Lieferung <no-reply [at] ikea.de>
    22: To:
    23: Message-ID: [ID filtered]
    24: X-PPP-Message-ID: [ID filtered]
    25: X-PPP-Vhost:
    26: Date: Wed, 30 Dec 2020 xx:xx:xx +0100 (CET)
    Geändert von schara56 (30.12.2020 um 20:10 Uhr) Grund: Kotzflecken weggewischt

  2. #2
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    9.493

    Standard

    Dahinter steckt:
    Code:
    CEOO Marketing GmbH
    Zürichbergstraße 7
    8032 Zürich 
    Schweiz
    
    E-Mail: info(at)ceoo.ch
    Beworbene Domain IP Adresse(n) Weiterleitung (j/n)
    whois:https://laudypauty.com
    /*schnapp*
    whois:51.81.112.128 [X] ja / [ ] nein
    whois:https://giftcardmission.com
    /r
    /*schnapp*
    /*schnapp*
    /*schnapp*
    /
    whois:72.11.134.188
    whois:149.56.201.43
    [X] ja / [ ] nein
    whois:https://ihre-tageschance.de
    /de,ikea,aff,2020,arctoll_1610.html
    ?idPartner=1042
    &idCampaignAd=0
    &subId=17S
    &subIdentifier=*schnapp*
    whois:130.255.79.89 [X] ja / [ ] nein
    whois:https://moebel-markt.sicher-mitmachen.de
    /campaign_2580.html?coyoteAffiliTokenId=*schnapp*
    &
    whois:130.255.79.89 [ ] ja / [X] nein
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  3. #3
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    522

    Standard

    Und Microsoft kümmert sich einen Dreck darum, dass aus ihrer Cloud seit Wochen heftigst gespammt wird. Na ja, jedes /24 mit einer azure.com Adresse landet sofort in der IPtables-Drop-Liste, von da kommt dann in den Monaten bis zum nächsten Server-Reset nichts mehr rein.

    hoppala

  4. #4
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    234

    Standard

    Inzwischen gibt sich ein Server Cluster aus der beliebten OS Reihe mit einer schon fast minütlichen Sequenz Mühe whois:akafud-<hexwelsch>.northeurope.cloudapp.azure.com, das HELO kommt mit irgendwas wie "*.gen.tr" daher und die Links tragen so was wie whois:https://optimized-by.rubiconproject.com/t/.....
    Letzte Wochen waren es noch:
    whois:adsfsdf-i<nn>p.northcentralus.cloudapp.azure.com und whois:aserv011a1-ip<nn>.westus.cloudapp.azure.com
    1402 Einträge insgesamt; Wenn das so weitergeht, dann ist Microsoft bald vollständig auf einer Blackliste, schneller als wir impfen können.
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  5. #5
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    9.493

    Standard

    offtopic:
    Zitat Zitat von nlnn Beitrag anzeigen
    ...] Wenn das so weitergeht, dann ist Microsoft bald vollständig auf einer Blackliste, schneller als wir impfen können.
    Vielschichtig amüsant - Dankeschön!
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  6. #6
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    234

    Standard

    Ein Ticket bei MS, einige Tage später und noch immer keine Lösung. Die Absender sind allesamt irgendwas mit deutsch(.*)?\.xyz. MS sucht anscheinend noch nach der Sicherheitslücke; Dass das ihr honorables Clientel ist, mag ich noch nicht glauben (vielleicht ist's aber auch einfach pecunia non olet)
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  7. #7
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    522

    Standard

    Zitat Zitat von nlnn Beitrag anzeigen
    (vielleicht ist's aber auch einfach pecunia non olet)
    Ich vermute eher, die Kalkulation für die Cloud-Services ist auf Kante genäht, da ist kein Budget für ein Abuse Desk eingeplant. Natürlich kickt man auch keine zahlenden Kunden, wenn die Chefs aufs ROI schauen. Was dann schon ziemlich genau das trifft, was du gesagt hast...

    hoppala

  8. #8
    Mitglied
    Registriert seit
    06.10.2008
    Ort
    Rhein-Main Gebiet
    Beiträge
    134

    Standard

    Ich hatte im Oktober 2020 mehrere Bruteforce Attacken von MS IPs auf Mailkonten. Da hat MS relativ schnell reagiert und das beendet.

  9. #9
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    234

    Standard

    Da hast aber Glück gehabt. Wenn das nicht auf die Mail sondern nur auf Bankkonten geht - z.B. mit Viagra und Bitcoin Junk - sind die scheinbar recht entspannt.
    Bisher habe ich noch nicht mal eine einzige richtige Mail aus dem ...cloudapp.azure.com Bereich gesehen, somit kann man Microsoft helfen wenn man Zugriff auf eine postfix Konfiguration hat, dort ist in den Header Checks (pcre) ein
    Code:
    /^Received: .*cloudapp\.azure\.com/  REJECT Microsoft cloudapp.azure.com fraud/spam
    sehr effizient.
    Geändert von nlnn (24.02.2021 um 14:42 Uhr) Grund: Besser mit Hilfe
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  10. #10
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    234

    Standard

    akafud-<hexwelsch>.eastus.cloudapp.azure.com hat scheinbar ein aus für .gen.tr bekommen und macht jetzt auf thescoreesports.com.
    Chuck Norris isst keinen Honig, er kaut die Bienen!

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen