Vielen Dank Mittwoch für die Hinweise.
Die Vermutungen sind zutreffend. Es sind in der Tat jeweils Texte für Nur-Text und für HTML enthalten.
Da die Bande sich heute schon wieder gelöst hat, konnte ich das auch gleich nochmals nachprüfen (siehe unten).
In Thunderbird habe ich „Reiner Text“ eingestellt. Ändere ich das auf „vereinfachtes HTML“, so erscheint sofort der andere Text. Demzufolge ist bei 1&1 im Postfach HTML voreingestellt (und entweder kann das dort nicht auf Nur-Text umgestellt werden oder diese Möglichkeit ist arg versteckt).
Den Dreck über eine Zwischenstation abladen
(um Spam-Filter besser umgehen zu können ?)
Unterschiedliche Texte für Nur-Text und HTML
(Wozu das gut sein soll, ist mir ein Rätsel)
Verschiedene Links für Nur-Text und HTML
(Um besser sehen zu können, wem man einfacher Schad-Programme unterjubeln kann ?)
Erstaunlich viel Aufwand für einfachen Pillen-Spam.
Was hat die Bande wirklich im Sinn ?
Aber diese Fragen wird wohl nur die Spammer-Bande beantworten können.
Schönen Gruß
header:
01: Return-Path: <admin [at] cccfscm.org>
02: Received: from cccfscm7.servername.com ([198.104.112.205]) by mx-ha.xxx.de
03: (mxxxx008) with ESMTPS (Nemesis) ID: [ID filtered]
04: <xxx [at] xxx.de>; Wed, 17 Aug 2016 xx:xx:xx +0200
05: Received: from [193.106.30.42] (port=32834 helo=evalawyers.com)
06: by cccfscm7.servername.com with esmtpa (Exim 4.86_1)
07: (envelope-from <admin [at] cccfscm.org>)
08: ID: [ID filtered]
09: for poor [at] spamvictim.tld; Wed, 17 Aug 2016 xx:xx:xx +0400
10: To: "xxx" <poor [at] spamvictim.tld>
11: Subject: xxx, Cialis Generikas per Ueberweisung
12: Message-ID: [ID filtered]
13: Date: Wed, 17 Aug 2016 xx:xx:xx +0300
14: From: "Standard & Poor" <admin [at] cccfscm.org>
15: Reply-To: admin [at] cccfscm.org
16: MIME-Version: 1.0
17: X-Mailer-LID: [ID filtered]
18: List-Unsubscribe:
19: <http://www.liebesmedizintabletten.com.de/fx/unsubscribe.php?[UNSUB filtered]>
20: X-Mailer-RecptID: [ID filtered]
21: X-Mailer-SID: [ID filtered]
22: X-Mailer-Sent-By: 1
23: Content-Type: multipart/related;
24: type="multipart/alternative"; charset="UTF-8"; boundary="xxx"
25: Content-Transfer-Encoding: 8bit
26: Content-Disposition: inline
27: X-AntiAbuse: This header was added to track abuse, please include it with any abuse
28: report
29: X-AntiAbuse: Primary Hostname - cccfscm7.servername.com
30: X-AntiAbuse: Original Domain - xxx.de
31: X-AntiAbuse: Originator/Caller UID/GID: [UID filtered]
32: X-AntiAbuse: Sender Address Domain - cccfscm.org
33: X-Get-Message-Sender-Via: cccfscm7.servername.com: authenticated_ID: [ID filtered]
34: X-Authenticated-Sender: cccfscm7.servername.com: admin [at] cccfscm.org
35: Envelope-To: <poor [at] spamvictim.tld>
Standard & Poor erscheint auch als Absender der Blähung. cccfscm hat aber nichts mit Standard & Poor zu tun (zumal das Original Standard & Poor‘s heisst)
Und im Header dann ein Stück weiter unten (Hervorhebungen durch mich):
Content-Type: multipart/alternative;
boundary="xxx"
--xxx
Content-Type: text/plain; format=flowed; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Guten Morgen xxx,
xxx, heute einkaufen.
http: www liebesmedizintabletten.com.de/fx/link.php?
personalisiert 1
Ich verbleibe mit besten Wünschen,
Ralph Zuberle
Überprüft von Kaspersky Anti-Virus
--xxx
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: 8bit
<html>
<head>
</head>
<body>
<span style="font-size: medium;">Schönen Guten Tag <strong>xxx
</strong>,</span><span style="font-size: small;"><strong><span
style="font-size: small;"><br /><br /><a
href="http://www.liebesmedizintabletten.com.de/fx/link.php?
personalisiert 2>xxx,
klicken Sie hier.</a><br /><br /></span></strong></span><span
style="font-size: medium;"><a
href="http://www.liebesmedizintabletten.com.de/fx/link.php?xxx><img
alt="xxx, hier zur Bestellung." src="xxx"
height="200" width="580" /></a><br /><br /></span><span
style="text-decoration: underline; font-size: medium;"><span
style="font-family: book antiqua,palatino;"></span></span><br /><span
style="font-family: book antiqua,palatino; font-size: medium;">Herzliche
Grüße,</span><br /><span style="font-size: medium;"><span
style="font-family: book antiqua,palatino;">Sofie Richter<br /><br
/></span>Geprüft durch G Data Antivirus</span><br />
<img
src="http://www.liebesmedizintabletten.com.de/fx/open.php?xxx.jpg"
height="1" width="10"></body>
</html>
--xxx--
--xxx
Content-Type: image/png; name="xxx"
Content-Transfer-Encoding: base64
Content-ID: <xxx>
Lesezeichen