Bei mir ging die Tage Spam bezüglich dem möglichen Gewinn für ein Samssung-Handy ein.

Interessant an der Tatsache war, dass sich die Seite zwar ohne Probleme aufrufen ließ, sich jedoch immer wieder der angeblich verantwortliche laut Impressum änderte. Als Zieldomain fungierte immer:

whois:neues-smartphone-gewinner.com

Je nach Aufruf steht dann im Impressum entweder die

Lead Spot Media GmbH
Uferstraße 41
D-55116 Mainz

oder die

Inside Lead GmbH
Hanauer Landstrasse 291 B
D-60314 Frankfurt

Das Impressum ist dann jeweils entsprechend angepasst, obwohl sich alles auf der Domain whois:neues-smartphone-gewinner.com abspielt, ohne weitere Parameter im Code. Auch die Urhaberrechte am Layout der Zielseite hat ja nach Aufruf man die eine, mal die andere Firma:

Urheberrechte: Die Rechte für alle Texte, das Layout, den HTML-Code und die Skripte liegen bei der Lead Spot Media GmbH. Jede Form der weiteren Nutzung bedarf der ausdrücklichen Genehmigung durch den jeweiligen Inhaber der Rechte.
Urheberrechte Die Rechte für alle Texte, das Layout, den HTML-Code und die Skripte liegen bei der Inside Lead GmbH. Jede Form der weiteren Nutzung bedarf der ausdrücklichen Genehmigung durch den jeweiligen Inhaber der Rechte.
An einen simplen Programmierfehler mag ich da nicht glauben.

Durch den Spamfilter hat es die E-Mail jedenfalls nicht geschafft:


header:
01: X-Account-Key: account1
02: X-UIDL: [UID filtered]
03: X-Mozilla-Status: 0001
04: X-Mozilla-Status2: 00000000
05: X-Mozilla-Keys:                                                                        
06: 	        
07: Return-Path: <bounce[BOUNCE filtered]@glizednemy.eu>
08: Received: from smtp-mx1.pinomails1271.eu ([81.29.3.24]) by mx-ha.gmx.net
09:  (mxgmx016 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
10:  for <*snip*>; Sat, 10 Nov 2018 xx:xx:xx +0100
11: DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=mailer; d=glizednemy.eu;
12:  h=Date:Subject:MIME-Version:Reply-To:Content-Type:From:Message-Id:To; i=ordi [at] glizednemy.eu;
13:  bh=***=;
14:  b=***=
15: DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=mailer; d=glizednemy.eu;
16:  b=***=;
17: Date: Sat, 10 Nov 2018 xx:xx:xx +0100
18: MIME-Version: 1.0
19: Reply-To: Samsung promo <ordi [at] glizednemy.eu>
20: Content-Type: multipart/alternative;
21:  boundary="=_c66f4270314fed83cac24577b66cef84"
22: From: Samsung promo <ordi [at] glizednemy.eu>
23: Message-ID: [ID filtered]
24: To: poor [at] spamvictim.tld
25: Envelope-To: <poor [at] spamvictim.tld>
26: Subject: *** GMX Spamverdacht ***
27: 	=?UTF-8?Q?RE:=2C=20Ihr=20Konto=20wurde=20geschlossen.=20Bitte=20?=
28:  =?UTF-8?Q?schlie=C3=9Fen=20Sie=20Ihre=20Registrierung=20ab.?=
29: X-GMX-Antispam: 5 (eXpurgate); Detail=V3;
30: X-Spam-Flag: YES

whois:glizednemy.eu
whois:pinomails1271.eu
whois:81.29.3.24


Die Spammail enthält die Bewerbung eines Samsung-Handy als Bild, darunter folgt Spamprosa. Kostprobe:

Flu das tag schen durch ein stieg buben dache. Geblieben schwachen neugierig am zu zu. Grundstuck launischen hereintrat nettigkeit vor tod dammerigen. Der mit wei ganze laune ewige warte stand. Gedichte ehrbaren so es familien vollbart gespielt am. Ige halbwegs ruh weiblein das schuftet ins zwischen. In instand ri pa klopfen lauernd. Dem hinstellte grasgarten bilderbuch feierabend bis vergnugter. Knapp dabei laune am kennt in ahren pa du.
Die Grafiken der Spammail selbst liegen hier:

whois:media.glizednemy.eu/

Hosenlatz ist offen:

whois: [Link nur für registrierte Mitglieder sichtbar. ]
bzw. whois: [Link nur für registrierte Mitglieder sichtbar. ]

Da kann man mal wild drum herumklicken. Es wird sehr viel in verschiedenen Sprachen angespammt.

Verfolgt man den Spam einmal durch die einzelnen Linketappen, findet sich:

whois: [Link nur für registrierte Mitglieder sichtbar. ]
302 Temporary Redirect -->
whois: [Link nur für registrierte Mitglieder sichtbar. ]
302 Temporary Redirect -->
whois: [Link nur für registrierte Mitglieder sichtbar. ]
302 Temporary Redirect -->
whois: [Link nur für registrierte Mitglieder sichtbar. ]
302 Temporary Redirect -->
whois: [Link nur für registrierte Mitglieder sichtbar. ]
302 Temporary Redirect -->
whois: [Link nur für registrierte Mitglieder sichtbar. ]

Bzw, letztes in lesbar:

whois: [Link nur für registrierte Mitglieder sichtbar. ]

Die sub-id=5854wird verdächtig lange mitgeschleift. Ob das wohl irgendein Affiliate ist?