Ergebnis 1 bis 9 von 9

Thema: Pillenspam aus der Ukraine via Berlin

  1. #1
    Mitglied
    Registriert seit
    08.03.2014
    Beiträge
    384

    Standard Pillenspam aus der Ukraine via Berlin

    Am 7. August im Spam-Ordner aufgeschlagen:

    Sehr geehrte/r korrekter Vorname+korrekter Nachname !

    Fritz Frederik von Anhalt bestellt Maennerpillen günstig.

    http//www.liebesmedizinrechnung.com.de/fx/personalisierter Link


    Mit freundlichen Grüßen,
    Leonie Böhm

    Soweit der übliche Pillen-Spam.
    (Wobei ich allerdings gerne wüsste, aus welchem Datenklau diese Bande meine Adresse hat. Da der Link personalisiert ist, möchte ich darauf verzichten, der Bande auch noch meine Adresse zu bestätigen.)

    Interessant jedoch der Header:


    header:
    01: Return-Path: <test [at] d12345-f67890.com>
    02: Received: from bromedia.berlin ([85.214.62.117]) by mx-ha.xxx.de (mxxxx104)
    03: with ESMTPS (Nemesis) ID: [ID filtered]
    04: 07 Aug 2016 xx:xx:xx +0200
    05: Received: from evalawyers.com (unknown [193.106.30.42])
    06: by bromedia.berlin (Postfix) with ESMTPA ID: [ID filtered]
    07: for <poor [at] spamvictim.tld>; Sun, 7 Aug 2016 xx:xx:xx +0200 (CEST)
    08: DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
    09: s=default; d=d12345-f67892.com;
    10: xxx
    11: xxx;
    12: h=To:Subject:Message-ID:Date:From:Reply-To:MIME-Version:X-Mailer-LID:List-Unsubscribe:X-Maile
    13: -RecptId:X-Mailer-SID:X-Mailer-Sent-By:Content-Type:Content-Transfer-Encoding;
    14: To: "xxx" <poor [at] spamvictim.tld>
    15: Subject: Fritz Frederik v. Anhalt bestellt Tabletten hier
    16: Message-ID: [ID filtered]
    17: Date: Sun, 07 Aug 2016 xx:xx:xx +0300
    18: From: "Diskret klicken" <test [at] d123456-f67890.com>
    19: Reply-To: test [at] d12345-f67890.com
    20: MIME-Version: 1.0
    21: X-Mailer-LID: [ID filtered]
    22: List-Unsubscribe: <http://www.liebesmedizinrechnung.com.de/fx/unsubscribe.php?[UNSUB
    23: filtered]>
    24: X-Mailer-RecptID: [ID filtered]
    25: X-Mailer-SID: [ID filtered]
    26: X-Mailer-Sent-By: 1
    27: Content-Type: multipart/alternative; charset="UTF-8";
    28: boundary="b1_bf40a45833b2eb13e081cd"
    29: Content-Transfer-Encoding: 7bit
    30: Envelope-To: <poor [at] spamvictim.tld>


    Falls ich das richtig verstehe, hat ein §§§ mit Hilfe der Russen-Mafia von der IP-Adresse 193.106.30.42 aus der Ukraine diesen Spam verschickt.
    Aber nicht an mich direkt, sondern erst an Bromedia in Berlin.
    Und von dort wurde es eine Sekunde später von der IP 85.214.62.117 (Strato Berlin) an mich weitergeleitet.

    d12345-f67890.com ist von mir anonymisiert, denn es gibt den Herrn D. F. mit der korrekt geschriebenen Internet-Seite. Zudem ist D. F. Teil der Bromedia.

    Da ich – ich gestehe es - mich mit dem Analysieren der Header und den Tricks der Spam-Mafiosi noch nicht so gut auskenne frage ich mich nun
    ob auch Return-path und Zwischenstation im Header getürkt sind, evtl. um Bromedia in Verruf zu bringen (Joe-Job)
    ob jemand die IT von Bromedia geentert hat
    oder ob da ein Jungspund dem Rotzer in Braunschweig nacheifert

    Kann mir hier bitte jemand auf die Sprünge helfen.
    Vielen Dank.

    Gruß
    Geändert von Mindgespammt (09.08.2016 um 22:40 Uhr)
    Spammer:
    Ich kann auf jeden Fall mit vernünftigem Menschenverstand, und aus eigener Erfahrung, keine Bedrohung in dieser Werbung erkennen, die eine Handlung erfordert

  2. #2
    Mittwoch
    Gast

    Standard

    Die Received-Zeilen sind von oben nach unten chronologisch rückwärts angeordnet, d.h. der letzte empfangende Server schreibt immer die oberste Zeile. Die HELO-Angabe (=aufgelöster Domainname) kann dabei vom sendenden Server beliebig gewählt, also auch gefälscht werden. Die in eckigen Klammern stehende IP hingegen nicht, weil der empfangende Mailserver diese einsetzt. Wenn man also die IP in einen Whois-Service einwirft, kann man sehen, ob gefälscht wurde oder nicht.

    Konkret:
    • whois:85.214.62.117 = whois:bromedia.berlin => nicht gefälscht.
    • Der Bromedia-Server hat die Mail von der IP whois:193.106.30.42 empfangen, die in die Ukraine gehört, dort vermutlich ein Dialup-Account ist.

    Da direkt bei Bromedia eingeliefert wurde, ist da irgendwas . Schauen wir mal genauer hin und machen für die whois:85.214.62.117 einen Service Scan, der unter anderem das hier sagt:
    SMTP - 25 220 bromedia.berlin ESMTP Postfix
    POP3 - 110 +OK Dovecot ready. <479b.2.57aa4bff.LL16m6pHStfXkYWbIaRQnw==@h2563126.stratoserver.net>
    IMAP - 143 * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN AUTH=LOGIN AUTH=DIGEST-MD5 AUTH=CRAM-MD5] Dovecot ready.
    An IMAP scheint man nur per gültigem Login ranzukommen. Da die Bromedia-Domain bei Strato gehostet wird, nehme ich an, dass der Postfi-Server für das SMTP als anderen möglich Weg der Maileinlieferung ebenfalls eine Authentifizierung verlangt.

    Heißt also, dass der ukrainische Gauner mit sehr hoher Wahrscheinlichkeit ein gültiges Login für den Bromedia-Mailserver hat. Entweder, weil Bromedia selber ein faules Ei ist, oder weil, was ich für wahrscheinlicher halte, irgendwelche Passwörter von einem Schädling zu seinem Herrchen übermittelt wurden und nun hier genutzt werden.

    Ein Joe-Job ist auszuschließen.


    Zum Üben: EMailHeader.

    Schönen Gruß
    Mittwoch

  3. #3
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    9.793

    Standard

    Ein offenes Relay scheint der Server von bromedia auch nicht zu sein: whois: [Link nur für registrierte Mitglieder sichtbar. ]/openrelay/
    Code:
    [Method 0 @ 1470802676]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>
    <<< 454 4.7.1 <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 1 @ 1470802677]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]
    <<< 454 4.7.1 <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 2 @ 1470802679]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>
    <<< 454 4.7.1 <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 3 @ 1470802680]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>
    <<< 454 4.7.1 <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 4 @ 1470802681]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>
    <<< 454 4.7.1 <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 5 @ 1470802682]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <relaytest%mailradar.com@[85.214.62.117]>
    <<< 454 4.7.1 <relaytest%mailradar.com@[85.214.62.117]>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 6 @ 1470802684]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <relaytest%mailradar.com.com@[bromedia.berlin]>
    <<< 501 5.1.3 Bad recipient address syntax
    >>> QUIT
    <<< 221 2.0.0 Bye
    [TEST PASSED]
    [Method 7 @ 1470802685]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <"
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]">
    <<< 454 4.7.1 <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 8 @ 1470802686]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <"relaytest%mailradar.com">
    <<< 454 4.7.1 <relaytest%mailradar.com>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 9 @ 1470802687]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]@[85.214.62.117]>
    <<< 454 4.7.1 <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]@[85.214.62.117]>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 10 @ 1470802688]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <"
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]"@[85.214.62.117]>
    <<< 454 4.7.1 <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]@[85.214.62.117]>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 11 @ 1470802690]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]@bromedia.berlin>
    <<< 454 4.7.1 <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]@bromedia.berlin>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 12 @ 1470802691]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <@[85.214.62.117]:
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>
    <<< 454 4.7.1 <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 13 @ 1470802692]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <@[bromedia.berlin]:
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>
    <<< 454 4.7.1 <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 14 @ 1470802693]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <mailradar.com!relaytest>
    <<< 454 4.7.1 <mailradar.com!relaytest>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 15 @ 1470802695]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <mailradar.com!relaytest@[85.214.62.117]>
    <<< 454 4.7.1 <mailradar.com!relaytest@[85.214.62.117]>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 16 @ 1470802696]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <mailradar.com!relaytest@[bromedia.berlin]>
    <<< 501 5.1.3 Bad recipient address syntax
    >>> QUIT
    <<< 221 2.0.0 Bye
    [TEST PASSED]
    [Method 17 @ 1470802697]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <relaytest%mailradar.com@>
    <<< 454 4.7.1 <relaytest%mailradar.com@>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 18 @ 1470802698]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <antispam@[85.214.62.117]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]@>
    <<< 454 4.7.1 <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]@>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    [Method 19 @ 1470802699]
    <<< 220 bromedia.berlin ESMTP Postfix
    >>> HELO mailradar.com
    <<< 250 bromedia.berlin
    >>> MAIL FROM: <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>
    <<< 250 2.1.0 Ok
    >>> RCPT TO: <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>
    <<< 454 4.7.1 <
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ]>: Relay access denied
    >>> QUIT
    <<< 221 2.0.0 Bye
    All tested completed! No relays accepted by remote host!
    Als Spamempfänger sollte man aber Bromedia auf diesen Sachstand aufmerksam machen:
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/impressum/

    Kleiner Nachtrag:
    Da liegt noch einiges an URLs auf der Halde - whois: [Link nur für registrierte Mitglieder sichtbar. ]/www/rezeptfreimeds.us
    Code:
    potenzanimalisch.us
    potenzgut.us
    potenzserioes.us
    potenzexpresslieferung.us
    potenzecht.us
    potenzmarkt.us
    potenzdrogerie.us
    potenzfiliale.us
    potenzversandzentrale.us
    potenzzentral.us
    potenzabrechnung.us
    potenzspass.us
    potenzerotisch.us
    potenzerotik.us
    potenzliebe.us
    potenzleben.us
    potenzliebesleben.us
    potenzmenshealth.us
    rezeptfreikaufen.us
    rezeptfreieinkaufen.us
    rezeptfreiapo.us
    rezeptfreikauf.us
    rezeptfreivorkasse.us
    rezeptfreirechnung.us
    rezeptfreidoktor.us
    rezeptfreiapotheke.us
    rezeptfreiarzt.us
    rezeptfreidhl.us
    rezeptfreixpress.us
    rezeptfreitabs.us
    rezeptfreitabletten.us
    rezeptfreishop.us
    rezeptfreishopping.us
    Geändert von schara56 (10.08.2016 um 09:14 Uhr) Grund: Nachtrag
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  4. #4
    Mitglied
    Registriert seit
    08.03.2014
    Beiträge
    384

    Standard

    Vielen Dank Mittwoch und schara56.

    Ich wollte sicher sein, dass ich das richtig gesehen habe, dass der Spam wirklich über eine Zwischenstation abgeladen wurde. Denn zu Unrecht möchte ich niemanden beschuldigen.

    Die Firma habe ich benachrichtigt und es wurde mir zugesagt, dem Vorfall nachzugehen.
    Mal sehen, was dabei herauskommt.

    Schönen Gruß
    Spammer:
    Ich kann auf jeden Fall mit vernünftigem Menschenverstand, und aus eigener Erfahrung, keine Bedrohung in dieser Werbung erkennen, die eine Handlung erfordert

  5. #5
    Mitglied
    Registriert seit
    08.03.2014
    Beiträge
    384

    Standard

    Die Bande hat wieder zugeschlagen und wieder über eine Zwischenstation.

    Und es gibt noch etwas, was ich beim ersten Mal leider übersehen hatte.


    header:
    01: Return-Path: <info [at] broxies.com>
    02: Received: from server.broxies.com ([198.1.67.40]) by mx-ha.xxx.de (mxxxx105)
    03: with ESMTPS (Nemesis) ID: [ID filtered]
    04: 15 Aug 2016 xx:xx:xx +0200
    05: DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=broxies.com
    06: ; s=default; h=Content-Transfer-Encoding:Content-Type:List-Unsubscribe:
    07: MIME-Version:Reply-To:From:Date:Message-ID:Subject:To:Sender:Cc:Content-ID:
    08: Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
    09: :Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Subscribe:
    10: List-Post:List-Owner:List-Archive;
    11: xxxxxxx
    12: Received: from [193.106.30.42] (port=37850 helo=evalawyers.com)
    13: by server.broxies.com with esmtpsa (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
    14: (Exim 4.87)
    15: (envelope-from <info [at] broxies.com>)
    16: ID: [ID filtered]
    17: for poor [at] spamvictim.tld; Mon, 15 Aug 2016 xx:xx:xx +0000
    18: To: "xxx" <poor [at] spamvictim.tld>
    19: Subject: =?UTF-8?B?VGhlbyAtIGRpZSBBcG90aGVrZSBmw7xyIHJlemVwdGZyZWkgUGlsbGVu?=
    20: Message-ID: [ID filtered]
    21: Date: Mon, 15 Aug 2016 xx:xx:xx +0300
    22: From: "Bestellen Sie hier" <info [at] broxies.com>
    23: Reply-To: info [at] broxies.com
    24: MIME-Version: 1.0
    25: X-Mailer-LID: [ID filtered]
    26: List-Unsubscribe: <http://www.liebesmedizinspass.com.de/fx/unsubscribe.php?[UNSUB
    27: filtered]>

    Der personalisierte Teil von „List-Unsubscribe“ ist im Header, den ich innerhalb des Postfachs aufrufe, geringfügig anders als der, den ich sehe, nachdem ich das in Thunderbird heruntergeladen habe.


    Dies ist der Text, der in Thunderbird zu sehen ist:

    Guten Tag Vorname Nachname,

    Klicken Sie.

    [Link nur für registrierte Mitglieder sichtbar. ]. liebesmedizinspass.com.de/fx/link.personalisiert

    Leidenschaft pur geniessen.

    Geprüft durch Kaspersky 2014

    Ich verbleibe mit freundlichen Grüßen,
    Ruth Buchner
    Mache ich den Dreck im Postfach auf, so ist dieses zu sehen:

    Guten Morgen Vorname Nachname,

    Bilder angezeigt

    Damit es beim Voegeln so richtig spass macht!

    Geprüft durch Comodo Mac Security

    Freundliche Grüße,
    Swantje Koberger
    Mein erster Gedanke war natürlich, dass es zwei verschiedene Blähungen wären.
    Dies ist aber nicht der Fall.

    Dass in Thunderbird „http...“ zu sehen ist, wo im Postfach „“Bilder angezeigt“ steht, kann ich aufgrund verschiedener Einstellungen noch nachvollziehen.
    Wie kann es aber sein, dass im Postfach der restliche Text vom Inhalt her ganz anders ist als der, den ich in Thunderbird zu sehen bekomme ?

    Auch bei der Blähung vom 7.8. waren die Texte im Postfach und in Thunderbird verschieden. Dies habe ich erst heute bemerkt, da ich Mails und erst recht Spam üblicherweise nur in Thunderbird öffne.

    Schönen Gruß
    Spammer:
    Ich kann auf jeden Fall mit vernünftigem Menschenverstand, und aus eigener Erfahrung, keine Bedrohung in dieser Werbung erkennen, die eine Handlung erfordert

  6. #6
    Mittwoch
    Gast

    Standard

    Zitat Zitat von Mindgespammt Beitrag anzeigen
    Wie kann es aber sein, dass im Postfach der restliche Text vom Inhalt her ganz anders ist als der, den ich in Thunderbird zu sehen bekomme ?
    Das könnte ich erst dann beurteilen, wenn ich die Mail samt Header als Quelltext sehen würde. Ich vermute, dass entweder die Mail zweiteilig ist, und dass die HTML-Fassung komplett anderen Text enthält als die Nur-Text-Fassung, oder dass die Mail im HTML-Teil aktiven Code (JavaScript oder ähnliches) enthält, der in Thunderbird ausgeführt wird und die abweichende Darstellung erzeugt bzw. nachlädt.

    Schönen Gruß
    Mittwoch

  7. #7
    Mitglied
    Registriert seit
    08.03.2014
    Beiträge
    384

    Standard

    Vielen Dank Mittwoch für die Hinweise.
    Die Vermutungen sind zutreffend. Es sind in der Tat jeweils Texte für Nur-Text und für HTML enthalten.
    Da die Bande sich heute schon wieder gelöst hat, konnte ich das auch gleich nochmals nachprüfen (siehe unten).

    In Thunderbird habe ich „Reiner Text“ eingestellt. Ändere ich das auf „vereinfachtes HTML“, so erscheint sofort der andere Text. Demzufolge ist bei 1&1 im Postfach HTML voreingestellt (und entweder kann das dort nicht auf Nur-Text umgestellt werden oder diese Möglichkeit ist arg versteckt).

    Den Dreck über eine Zwischenstation abladen
    (um Spam-Filter besser umgehen zu können ?)
    Unterschiedliche Texte für Nur-Text und HTML
    (Wozu das gut sein soll, ist mir ein Rätsel)
    Verschiedene Links für Nur-Text und HTML
    (Um besser sehen zu können, wem man einfacher Schad-Programme unterjubeln kann ?)

    Erstaunlich viel Aufwand für einfachen Pillen-Spam.
    Was hat die Bande wirklich im Sinn ?
    Aber diese Fragen wird wohl nur die Spammer-Bande beantworten können.

    Schönen Gruß




    header:
    01: Return-Path: <admin [at] cccfscm.org>
    02: Received: from cccfscm7.servername.com ([198.104.112.205]) by mx-ha.xxx.de
    03: (mxxxx008) with ESMTPS (Nemesis) ID: [ID filtered]
    04: <xxx [at] xxx.de>; Wed, 17 Aug 2016 xx:xx:xx +0200
    05: Received: from [193.106.30.42] (port=32834 helo=evalawyers.com)
    06: by cccfscm7.servername.com with esmtpa (Exim 4.86_1)
    07: (envelope-from <admin [at] cccfscm.org>)
    08: ID: [ID filtered]
    09: for poor [at] spamvictim.tld; Wed, 17 Aug 2016 xx:xx:xx +0400
    10: To: "xxx" <poor [at] spamvictim.tld>
    11: Subject: xxx, Cialis Generikas per Ueberweisung
    12: Message-ID: [ID filtered]
    13: Date: Wed, 17 Aug 2016 xx:xx:xx +0300
    14: From: "Standard & Poor" <admin [at] cccfscm.org>
    15: Reply-To: admin [at] cccfscm.org
    16: MIME-Version: 1.0
    17: X-Mailer-LID: [ID filtered]
    18: List-Unsubscribe:
    19: <http://www.liebesmedizintabletten.com.de/fx/unsubscribe.php?[UNSUB filtered]>
    20: X-Mailer-RecptID: [ID filtered]
    21: X-Mailer-SID: [ID filtered]
    22: X-Mailer-Sent-By: 1
    23: Content-Type: multipart/related;
    24: type="multipart/alternative"; charset="UTF-8"; boundary="xxx"
    25: Content-Transfer-Encoding: 8bit
    26: Content-Disposition: inline
    27: X-AntiAbuse: This header was added to track abuse, please include it with any abuse
    28: report
    29: X-AntiAbuse: Primary Hostname - cccfscm7.servername.com
    30: X-AntiAbuse: Original Domain - xxx.de
    31: X-AntiAbuse: Originator/Caller UID/GID: [UID filtered]
    32: X-AntiAbuse: Sender Address Domain - cccfscm.org
    33: X-Get-Message-Sender-Via: cccfscm7.servername.com: authenticated_ID: [ID filtered]
    34: X-Authenticated-Sender: cccfscm7.servername.com: admin [at] cccfscm.org
    35: Envelope-To: <poor [at] spamvictim.tld>

    Standard & Poor erscheint auch als Absender der Blähung. cccfscm hat aber nichts mit Standard & Poor zu tun (zumal das Original Standard & Poor‘s heisst)


    Und im Header dann ein Stück weiter unten (Hervorhebungen durch mich):

    Content-Type: multipart/alternative;
    boundary="xxx"

    --xxx
    Content-Type: text/plain; format=flowed; charset="UTF-8"
    Content-Transfer-Encoding: 8bit

    Guten Morgen xxx,

    xxx, heute einkaufen.

    http: www liebesmedizintabletten.com.de/fx/link.php? personalisiert 1

    Ich verbleibe mit besten Wünschen,
    Ralph Zuberle

    Überprüft von Kaspersky Anti-Virus

    --xxx
    Content-Type: text/html; charset="UTF-8"
    Content-Transfer-Encoding: 8bit

    <html>
    <head>
    </head>
    <body>
    <span style="font-size: medium;">Sch&ouml;nen Guten Tag <strong>xxx
    </strong>,</span><span style="font-size: small;"><strong><span
    style="font-size: small;"><br /><br /><a
    href="http://www.liebesmedizintabletten.com.de/fx/link.php? personalisiert 2>xxx,
    klicken Sie hier.</a><br /><br /></span></strong></span><span
    style="font-size: medium;"><a
    href="http://www.liebesmedizintabletten.com.de/fx/link.php?xxx><img
    alt="xxx, hier zur Bestellung." src="xxx"
    height="200" width="580" /></a><br /><br /></span><span
    style="text-decoration: underline; font-size: medium;"><span
    style="font-family: book antiqua,palatino;"></span></span><br /><span
    style="font-family: book antiqua,palatino; font-size: medium;">Herzliche
    Gr&uuml;&szlig;e,</span><br /><span style="font-size: medium;"><span
    style="font-family: book antiqua,palatino;">Sofie Richter<br /><br
    /></span>Gepr&uuml;ft durch G Data Antivirus</span><br />
    <img
    src="http://www.liebesmedizintabletten.com.de/fx/open.php?xxx.jpg"
    height="1" width="10"></body>
    </html>

    --xxx--

    --xxx
    Content-Type: image/png; name="xxx"
    Content-Transfer-Encoding: base64
    Content-ID: <xxx>
    Spammer:
    Ich kann auf jeden Fall mit vernünftigem Menschenverstand, und aus eigener Erfahrung, keine Bedrohung in dieser Werbung erkennen, die eine Handlung erfordert

  8. #8
    Mittwoch
    Gast

    Standard

    Zitat Zitat von Mindgespammt Beitrag anzeigen
    Unterschiedliche Texte für Nur-Text und HTML
    (Wozu das gut sein soll, ist mir ein Rätsel)
    Verschiedene Links für Nur-Text und HTML
    (Um besser sehen zu können, wem man einfacher Schad-Programme unterjubeln kann ?)
    Die Gründe für die verschiedenen Texte und Links können vielfältig sein. Im einfachsten Fall ist das einfach nur ein Versehen bzw. ein Bedienfehler der Ganovensoftware, mit der man solche Spamruns erzeugt und verwaltet.

    Wenn man eine gezieltere Entscheidung annimmt, so könnte es tatsächlich so sein, dass die Macher rausfinden möchten, welches Spamopfer HTML bevorzugt. Diese Leute sind einfacher zu täuschen, weil man den URL hinter beliebigem anderen Text verstecken kann. Sicherheitslücken dürften auch ein Aspekt sein. Und mit HTML hat man ganz andere Gestaltungsmöglichkeiten. Nur-Text-Leser dürften tendenziell eher die vorsichtigeren Benutzer sein, und damit für Spammer unattraktiv.

    Eine andere Deutung könnte die Tatsache sein, dass viele Spamfilter HTML-Mails ohne Nur-Text-Teil drastisch abwerten bzw. ausfiltern. Da HTML aufwändiger zu prüfen ist als Nur-Text – Spamfilter sind in der Regel laufzeitoptimiert, da sie in kurzer Zeit enorme Mengen verarbeiten müssen –, wird häufig nur der Nur-Text-Teil auf weitere Indizien untersucht. Und wenn der unverdächtig erscheint, weil dort z.B. keine typischen Merkmale für Spamlinks erkannt werden, rutscht eine Mail schon mal eher durch.

    Ist aber alles nur spekulativ. Wenn ich sicher wüsste, wie Spammer ticken, bräuchte ich mich nicht mehr mit meinem Nine2Five-Job rumärgern.

    Schönen Gruß
    Mittwoch

  9. #9
    Mitglied
    Registriert seit
    08.03.2014
    Beiträge
    384

    Standard

    Lange Zeit war Ruhe, jetzt hat die Pillen-Mafia aus der Ukraine mich wieder mit ihrem Dreck beglückt, dieses Mal über Finnland abgeladen und es hat über drei Tage gedauert, bis das von Finnland hier ankam

    header:
    01: Return-Path: <info [at] customer-mail.databasement.fi>
    02: Received: from customer-mail.databasement.fi ([185.81.70.131]) by mx-ha.xxx.de
    03: (mxxxx109 [212.227.17.8]) with ESMTP (Nemesis) ID: [ID filtered]
    04: for <poor [at] spamvictim.tld>; Sun, 30 Oct 2016 xx:xx:xx +0100
    05: Received: by customer-mail.databasement.fi (Postfix, from userID: [ID filtered]
    06: ID: [ID filtered]
    07: Received: from evalawyers.com (127.0.0.1 [127.0.0.1])
    08: by customer-mail.databasement.fi (GD-LPC-smtpd) with SMTP
    09: for <poor [at] spamvictim.tld>; Thu Oct 27 xx:xx:xx 2016
    10: To: "Vorname Name" <poor [at] spamvictim.tld>
    11: Subject: Fritz F. v. Anhalt kauft Maennertabs exklusiv hier
    12: Message-I D: <xxx [at] www.manneskraft-shop.com.de>
    13: Date: Thu, 27 Oct 2016 xx:xx:xx +0300
    14: From: "Sehlenberg" <info [at] customer-mail.databasement.fi>
    15: Reply-To: info [at] customer-mail.databasement.fi
    16: MIME-Version: 1.0
    17: X-Mailer-LID: [ID filtered]
    18: List-Unsubscribe: <http://www.manneskraft-shop.com.de/fx/unsubscribe.personalisiert

    der Inhalt wie er in der Version Reiner Text angezeigt wird:
    Guten Morgen Vorname Nachname!

    Fritz F. v. Anhalt besorgt Potenzmittel günstig.

    http:// www. manneskraft-shop.com.de/fx/link.personalisiert

    Herzliche Grüße,
    Isabella Brandt

    Zu #1: Die Firma B. in Berlin hat die Sache geprüft und festgestellt, dass deren Server aufgrund eines zu schwachen Passworts von den Spammern mitbenutzt wurde.
    Spammer:
    Ich kann auf jeden Fall mit vernünftigem Menschenverstand, und aus eigener Erfahrung, keine Bedrohung in dieser Werbung erkennen, die eine Handlung erfordert

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen