Seite 1 von 10 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 92

Thema: "Dieses ist eine Kopie der folgenden Nachricht"

  1. #1
    Mitglied Avatar von Rava
    Registriert seit
    13.02.2007
    Ort
    near 127.0.0.1
    Beiträge
    304

    Frage "Dieses ist eine Kopie der folgenden Nachricht"


    header:
    01: Return-Path: <info [at] pensionvitis.at>
    02: Received: from mout-xforward.kundenserver.de ([82.165.159.9]) by mx-ha.gmx.net
    03: (mxgmx117 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <poor [at] spamvictim.tld>; Mon, 30 Mar 2020 xx:xx:xx +0200
    05: Received: from infong1231.kundenserver.de ([82.165.80.250]) by
    06: mrelayeu.kundenserver.de (mreue011 [172.19.35.7]) with ESMTPA (Nemesis) id
    07: 1M72Xn-1jQgej1fEV-008aX7 for <poor [at] spamvictim.tld>; Mon, 30 Mar 2020 xx:xx:xx +0200
    08: Received: from 84.38.180.239 (IP may be forged by CGI script)
    09: by infong1231.kundenserver.de with HTTP
    10: ID: [ID filtered]
    11: X-Sender-Info: <474286629 [at] infong1231.kundenserver.de>
    12: Precedence: bulk
    13: To: poor [at] spamvictim.tld
    14: Subject: Kopie von: Ich finde, du siehst toll aus. Willst du reden?
    15: Date: Mon, 30 Mar 2020 xx:xx:xx +0200
    16: From: "pensionvitis.at" <info [at] pensionvitis.at>
    17: Reply-To: qsbxtjmtpa <XXX [at] XXXgmx.de>
    18: Message-ID: [ID filtered]
    19: MIME-Version: 1.0
    20: Content-Type: text/plain; charset=utf-8
    Dieses ist eine Kopie der folgenden Nachricht, die an Jane Q. Public via Pension VITIS gesendet wurde:

    Dies ist eine Mailanfrage via whois: [Link nur für registrierte Mitglieder sichtbar. ] von:
    qsbxtjmtpa < [Link nur für registrierte Mitglieder sichtbar. ]>

    Hey!
    Schau dir meine Fotos an
    whois: [Link nur für registrierte Mitglieder sichtbar. ][Zufällig aussehende Buchstaben und Zahlen entfernt]==
    Was ist der Sinn auf whois: [Link nur für registrierte Mitglieder sichtbar. ] zu verweisen? Das ist nicht mal eine gültige URL.
    Gruß, Rava

    Malware auf Wind-Systemen besser nicht lokal speichern!
    Ebenso Links zu Phishing-Sites nur betreten, wenn Ihr wisst was Ihr da macht!

  2. #2
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.334

    Standard

    Es ist eine gültige URL.

    Zum Beispiel hier gefahrlos testbar: [Link nur für registrierte Mitglieder sichtbar. ]
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  3. #3
    Diplom Privatier (c) Avatar von cmds
    Registriert seit
    04.05.2006
    Ort
    N 53° 07.274′ E 7° 58.678′
    Beiträge
    12.912

    Standard

    Die leitet dann irgendwann auf google.com um, was damit bezweckt werden soll erschliesst sich mir nicht.
    Die Signatur befindet sich aus technischen Gründen auf der Rückseite dieses Beitrages!
    Dieser Eintrag wurde extrem umweltfreundlich, aus wiederverwendeten Buchstaben gelöschter E-Mails geschrieben und ist vollständig digital abbaubar.
    „Ich fürchte den Tag, wenn Technologie unsere Wechselbeziehungen beeinflusst, die Welt wird Generationen von Idioten haben.” Albert Einstein 1879-1955
    „Die ältesten Wörter sind die besten und die kurzen die allerbesten." Sir Winston Churchill 1874–1965
    "Nur die Lüge braucht die Stütze der Staatsgewalt, die Wahrheit steht von alleine aufrecht."Thomas Jefferson1743-1826




  4. #4
    Mitglied Avatar von Rava
    Registriert seit
    13.02.2007
    Ort
    near 127.0.0.1
    Beiträge
    304

    Standard

    Zitat Zitat von truelife Beitrag anzeigen
    Es ist eine gültige URL.

    Zum Beispiel hier gefahrlos testbar: [Link nur für registrierte Mitglieder sichtbar. ]
    Danke, kannte ich noch nicht die Seite. Sehr hilfreich.
    Ich versuche es mal mit einem selbst generiertem beliebigen Code (da ich vermute das die den nutzen um meine Email zu verifizieren um die Adresse noch teurer weiterverkaufen zu können.
    [Link nur für registrierte Mitglieder sichtbar. ]
    Dennoch, wenn ich zumindest den selbst generierten Code per browserling.com aufrufe gibt es einen redirect und schließlich lande ich bei Google.

    Gibt es eine Möglichkeit das was browserling.com anzeigt zu pausieren damit man die Weiterleitung analysieren kann?
    Unter Tools habe ich ja Screenshots, aber die beziehen sich nur auf das aktuell sichtbare nicht auf was schon wieder "Vergangenheit" ist.
    Gruß, Rava

    Malware auf Wind-Systemen besser nicht lokal speichern!
    Ebenso Links zu Phishing-Sites nur betreten, wenn Ihr wisst was Ihr da macht!

  5. #5
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    13.392

    Standard

    Jane Q. Public ist eine weibliche Variante von John Q. Public
    [Link nur für registrierte Mitglieder sichtbar. ]

    Eine Spammail die der obigen stark ähnelt
    [Link nur für registrierte Mitglieder sichtbar. ]

  6. #6
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.334

    Standard

    Auf der Webseite läuft ein komisches Script:

    <script>
    var _0x59a1=['location','window.location.href=\x22r.php?email=\x22+strGET','search'];(function(_0x193ed4,_0x59a1a5){var _0x32161a=function(_0x22d5c6){while(--_0x22d5c6){_0x193ed4['push'](_0x193ed4['shift']());}};_0x32161a(++_0x59a1a5);}(_0x59a1,0xce));var _0x3216=function(_0x193ed4,_0x59a1a5){_0x193ed4=_0x193ed4-0x0;var _0x32161a=_0x59a1[_0x193ed4];return _0x32161a;};var strGET=atob(window[_0x3216('0x1')][_0x3216('0x0')]['replace']('?',''));setTimeout(_0x3216('0x2'),0x9c4);
    </script>
    Ich vermute, dass mein funktionierenden Links (also vermutlich korrekt hinterlegter, dekodierter E-Mail-Adresse) tatsächlich eine Weiterleitung aktiv ist. Dem Txt nach vermutlich für eine Bezahlseite für Pornobildchen oder einen SMS-Chat oder so einen Kram.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  7. #7
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.050

    Standard

    derselbe Ganove:


    header:
    01: Received: from m18s4-1-17db.ispgateway.de ([37.200.100.156]) by
    02: mx-ha.gmx.net
    03: (mxgmx114 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <x>; Sun, 12 Apr 2020 xx:xx:xx +0200
    05: Received: (qmail 4124 invoked from network); 12 Apr 2020 xx:xx:xx -0000
    06: Received: from unknown (HELO m18s4-1-17db.ispgateway.de) (127.0.0.1)
    07: by localhost with SMTP; 12 Apr 2020 xx:xx:xx -0000
    08: Received: (from u41315 [at] localhost)
    09: by m18s4-1-17db.ispgateway.de (8.14.9/8.13.6/Submit) ID: [ID filtered]
    10: Sun, 12 Apr 2020 xx:xx:xx +0200

    Subject: Kopie von: Hey, wie geht es dir heute?
    Dies ist eine Mailanfrage via [Link nur für registrierte Mitglieder sichtbar. ] von:
    < [Link nur für registrierte Mitglieder sichtbar. ]>

    Top burny busty busty chicks nur auf dieser Seite!

    Folge dem Link, und es wird dir nicht leid tun -
    whois: [Link nur für registrierte Mitglieder sichtbar. ]...
    IP: 104.28.2.148 -> Cloudflare

    Ohne Tracking ID landet man wieder bei Tante Gugl.

    Die Redirect-Kette:

    whois: [Link nur für registrierte Mitglieder sichtbar. ] Man beachte das r.php, siehe: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    IP: 104.31.69.135 -> Cloudflare


    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    = whois:vm741013.had.su
    server-panel.net, angeblich in den Niederlanden(Server location - Netherlands, Dronten), aber dann: Mahe, Seychelles und ns4.zomro.su (mnt-by: mnt-ua-bord-it-1),
    was dann wieder stark auf die Russenmafia in der Ukraine hindeutet.


    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  8. #8
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.050

    Standard

    Wieder dieselben Ganoven, auf französisch:


    header:
    01: Received: from montpellier2.web-ecclesial.fr ([217.182.81.46]) by
    02: mx-ha.gmx.net (mxgmx114 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    03: Received: from localhost (localhost [127.0.0.1])
    04: by montpellier2.web-ecclesial.fr (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Tue, 14 Apr 2020 xx:xx:xx +0200 (CEST)
    06: X-Virus-Scanned: Debian amavisd-new at montpellier2.web-ecclesial.fr
    07: Received: from montpellier2.web-ecclesial.fr ([127.0.0.1])
    08: by localhost (montpellier2.web-ecclesial.fr [127.0.0.1]) (amavisd-new,
    09: port 10024)
    10: with LMTP ID: [ID filtered]
    11: Tue, 14 Apr 2020 xx:xx:xx +0200 (CEST)
    12: Received: by montpellier2.web-ecclesial.fr (Postfix, from userID: [ID filtered]
    13: ID: [ID filtered]

    IP: 217.182.81.46 -> OVH

    Ceci est une copie du message que vous avez envoyé à Osmosis via
    chretiensetcultures

    Ceci est un message expédié via [Link nur für registrierte Mitglieder sichtbar. ] par :
    <xxx @ gmx.de>

    Komm rein und lass uns Spaß haben
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    mit der üblichen Weiterleitungskette.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  9. #9
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.050

    Standard

    Wieder dieselben Kriminellen:


    header:
    01: eceived: from nc-servervidavet.noucode.com ([92.222.104.35]) by
    02: mx-ha.gmx.net
    03: (mxgmx117 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <x>; Thu, 16 Apr 2020 xx:xx:xx +0200
    05: Received: from localhost (localhost [127.0.0.1])
    06: by nc-servervidavet.noucode.com (Postfix) with ESMTP ID: [ID filtered]
    07: for <x>; Tue, 14 Apr 2020 xx:xx:xx +0200 (CEST)
    08: Received: from nc-servervidavet.noucode.com ([127.0.0.1])
    09: by localhost (nc-servervidavet.noucode.com [127.0.0.1]) (amavisd-new,
    10: port 10024)
    11: with ESMTP ID: [ID filtered]
    12: Tue, 14 Apr 2020 xx:xx:xx +0200 (CEST)
    13: Received: by nc-servervidavet.noucode.com (Postfix, from userID: [ID filtered]
    14: ID: [ID filtered]
    15: X-Mailer: PHPMailer (phpmailer.sourceforge.net) [version 2.0.4]

    gecrackt: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 92.222.104.35 -> OVH

    Copia de:

    Esta es una consulta de correo electrónico
    [Link nur für registrierte Mitglieder sichtbar. ] a través de:
    < [Link nur für registrierte Mitglieder sichtbar. ]>

    Ich würde dir erlauben,

    mich zu ******, wenn du hier wärst
    whois: [Link nur für registrierte Mitglieder sichtbar. ]...
    IP: 104.28.6.11 -> Cloudflare



    header:
    01: Received: from vm39.fcomet.com ([45.79.9.66]) by mx-ha.gmx.net (mxgmx114
    02: [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    03: <x>; Thu, 16 Apr 2020 xx:xx:xx +0200
    04: Received: from vjdseh83 by vm39.fcomet.com with local (Exim 4.93)
    05: (envelope-from <admin [at] julianmousleyandsons.co.uk>)
    06: ID: [ID filtered]
    07: for x; Thu, 16 Apr 2020 xx:xx:xx +0000
    08: X-PHP-Originating-Script: 521:class.phpmailer.php

    gecrackt: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 45.79.9.66 -> LINODE-US

    This is a copy of the following message you sent to Epsilon via
    julianmousleyandsons

    This is an enquiry email via [Link nur für registrierte Mitglieder sichtbar. ] from:
    < [Link nur für registrierte Mitglieder sichtbar. ]>

    Willst du telefonieren?
    Klicken Sie hier, um die Nummer zu sehen -
    whois: [Link nur für registrierte Mitglieder sichtbar. ]...
    IP: 104.28.0.33 -> Cloudflare

    Beide Male wohl eine unsichere PHP-Version gecrackt.

    Und hier will das Schweinderl nach der Weiterleitung verdienen:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    IP: 193.35.48.6 -> iridatelecom, RU/team-host.ru
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  10. #10
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.050

    Standard

    wieder von diesen Ganoven:


    header:
    01: Received: from scriptmail.scaledsystems.com ([209.132.4.91]) by
    02: mx-ha.gmx.net
    03: (mxgmx116 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
    04: for <x>; Fri, 17 Apr 2020 xx:xx:xx +0200
    05: Received: (qmail 29547 invoked from network); 17 Apr 2020 xx:xx:xx -0000
    06: Received: from script5.scaledsystems.com (209.132.7.45)
    07: by scriptmail.scaledsystems.com with SMTP; 17 Apr 2020 xx:xx:xx -0000
    08: Received: by script5.scaledsystems.com (Postfix, from userID: [ID filtered]
    09: ID: [ID filtered]

    Subject: Copy of: Wie geht es dir? Wie geht es dir?
    This is a copy of the following message you sent to Adobe Pet Hospital
    via Adobe Pet Hospital and Laser Surgery Center

    This is an enquiry email via [Link nur für registrierte Mitglieder sichtbar. ] from:
    < [Link nur für registrierte Mitglieder sichtbar. ]>

    Hallo,

    meine Fotos sind hier
    whois: [Link nur für registrierte Mitglieder sichtbar. ]...
    IP: 104.24.102.197 -> Cloudflare

    weiter auf:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    IP: 104.31.68.135 -> Cloudflare

    Registrar WHOIS Server: whois.reg.ru
    Registrar URL: [Link nur für registrierte Mitglieder sichtbar. ]
    [Link nur für registrierte Mitglieder sichtbar. ]

    [Link nur für registrierte Mitglieder sichtbar. ]

    [Link nur für registrierte Mitglieder sichtbar. ]
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

Seite 1 von 10 123 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen