Ergebnis 1 bis 10 von 10

Thema: Rätselhafte Mails mit Buchstabensalat

  1. #1
    Neues Mitglied
    Registriert seit
    29.09.2013
    Beiträge
    7

    Standard Rätselhafte Mails mit Buchstabensalat

    Hallo,
    in der Suche habe ich nichts zu solchen Mails gefunden. Sie kommen immer an die selbe Mailadresse (habe mehrere).
    Lt. Firefox-Monitor, HPI und [Link nur für registrierte Mitglieder sichtbar. ] ist diese Adresse nicht gehackt.

    Ich klicke natürlich nicht auf den Link oder lasse mir die blockierten Inhalte anzeigen.
    Mit den Absendern hatte ich noch nie zu tun.
    Statt lesbarem Text nur Buchstabensalat. Weiß jemand was das soll?
    Der Name ist richtig angegeben, kommt aber genau so auch in der Mailadresse vor.

    Wenn das Pishing ist, wundere ich mich über die Form. Oder setzt man hier auf die Neugierde der Empfänger, dass die den Link anklicken?



    Weitere Mail:


    Quelltext der Planet-Sports-Mail:

    header:
    01: From - Fri Jun 12 xx:xx:xx 2020
    02: X-Account-Key: account12
    03: X-UIDL: [UID filtered]
    04: X-Mozilla-Status: 0001
    05: X-Mozilla-Status2: 00000000
    06: X-Mozilla-Keys:
    07:
    08: Return-Path: <order [at] planet-sports.de>
    09: Delivered-To: h..... [at] ...mail.de
    10: Received: from director02 ([10.0.121.147])
    11: by dovecot08 with LMTP ID: [ID filtered]
    12: for <h..... [at] ...mail.de>; Fri, 12 Jun 2020 xx:xx:xx +0200
    13: Received: from localhost ([10.0.121.147])
    14: by director02 with LMTP ID: [ID filtered]
    15: ; Fri, 12 Jun 2020 xx:xx:xx +0200
    16: X-Original-To: m.h... [at] ...mail.de
    17: Authentication-Results: mxpostfix03.mail.de; spf=permerror (SPF Permanent Error: Too
    18: many DNS lookups) smtp.mailfrom=planet-sports.de (client-ip=218.189.189.46;
    19: helo=server01.dnshosthere.com; envelope-from=order [at] planet-sports.de;
    20: receiver=m.h..... [at] ...mail.de)
    21: Authentication-Results: mxpostfix03.mail.de; dmarc=fail (p=quarantine dis=none)
    22: header.from=planet-sports.de
    23: Authentication-Results: mxpostfix03.mail.de; dkim=none; dkim-atps=neutral
    24: Received: from server01.dnshosthere.com (unknown [218.189.189.46])
    25: by mxpostfix03.mail.de (Postfix) with ESMTP ID: [ID filtered]
    26: for <m.h..... [at] ...mail.de>; Fri, 12 Jun 2020 xx:xx:xx +0200 (CEST)
    27: Received: from [218.189.189.46] (helo=server01.dnshosthere.com)
    28: by mx02.mail.de with ESMTPS (eXpurgate 4.13.0)
    29: (envelope-from <order [at] planet-sports.de>)
    30: ID: [ID filtered]
    31: for <m.h.... [at] ...mail.de>; Fri, 12 Jun 2020 xx:xx:xx +0200
    32: Received: from WIN-4K804V6ADVQ ([213.227.154.239])
    33: (authenticated bits=0)
    34: by server01.dnshosthere.com (8.13.8/8.13.8) with ESMTP ID: [ID filtered]
    35: for <m.h.... [at] .....mail.de>; Fri, 12 Jun 2020 xx:xx:xx +0800
    36: Date: Fri, 12 Jun 2020 xx:xx:xx +0200
    37: To: m.h... [at] ...mail.de
    38: From: Planet-Sports <order [at] planet-sports.de>
    39: Subject: M H....... - Zahlung fehlgeschlagen - AODRAHL4YCD2AV
    40: Message-ID: [ID filtered]
    41: X-Mailer: PHPMailer 5.2.27 (https://github.com/PHPMailer/PHPMailer)
    42: MIME-Version: 1.0
    43: Content-Type: multipart/alternative;
    44: boundary="b1_24a709ad28ff65fd54fd2dd387c47d34"
    45: Content-Transfer-Encoding: 8bit
    46: X-purgate-ID: [ID filtered]
    47: X-purgate-type: clean
    48: X-purgate-size: 3294
    49: X-purgate-Ad: Categorized by eleven eXpurgate (R) http://www.eleven.de
    50: X-purgate: clean
    51: X-EsetID: [ID filtered]

    This is a multi-part message in MIME format.

    --b1_24a709ad28ff65fd54fd2dd387c47d34
    Content-Type: text/plain; charset=utf-8
    Content-Transfer-Encoding: 8bit

    Â Â Sehr geehrte/r, M H......!


    --b1_24a709ad28ff65fd54fd2dd387c47d34
    Content-Type: text/html; charset=us-ascii

    <!DOCTYPE html>
    <html lang="de">
    <head><title></title></head>
    <body id="eX2d3cHkxyA1i8" class="YRu7f4vkXMt3nh" name="foTNSxmUWO20zdMJ7y">
    <table id="4NikEGuTW0atLfUAB"><tbody class="7neM0WaxH1pO">
    <tr class="khrCqIyJZsPY8tXT1v"><td colspan="0" class="kWsYKa2EAZX73pyvQ"><img src="http://precede.mattdelacroix.net/YfQePbVMBuIZ3znGFWvkcDEL87psRaxOiN6rXgy4lhwA0CUTKo29tmjS15qJd.png" alt="q4fz0H6SpAh9x" class="qlAof3YDbtncVeCLr8S">
    </td></tr>
    <tr class="0lq4IA7V26yktfXxaFNv"><td colspan="1" class="TN3JZzu8Gto6VKQ5"><img src="http://precede.mattdelacroix.net/6CKyt5d8LGMT2Egs1rojVNF0Xncq9UwblhZYIDpJSR73OixmPuAzkfWQv4eBa.png" alt="EDq35cYR12zj" class="xKowzOZl5uUyB">
    </td></tr>
    <tr class="e4E6k3zKjpaBWsDSXL"><td colspan="0" class="FNLkAZH35DztM"><img src="http://precede.mattdelacroix.net/CZy56Aol9dUOLfmjM8PxGaIuXTnDeiV2t0BrFE7RwWNgk1QpSvcJzhKsYqb43.png" alt="jgUGySMarn0hw" class="6jQVFAq3wC8NanX4GexE">
    </td></tr>
    <tr class="7gJnathi6G5WXyUSM"><td colspan="1" class="9pea0AYx57lUXyVPj"><div id="Q10r2AxDqagKS6e" class="GWaN9AyDFuSk8" name="aqOFKlEzXh6vUJ"> <h1 class="h1"><a style="font-family:sans-serif,Arial,Verdanaf3DqX0CMWyb7HcoFNli"><font style="margin-right:50.508px;color:rgb(15,11,16)" size="3"><br>&nbsp;&nbsp; Sehr geehrte/r, M H.....!</font><alt></alt><alt></alt></a></h1></div></td></tr>
    <tr class="4S3LtCcO9gd6"><td colspan="0" class="8IZQgrqiF4AsetJ"><a href="http://seat.indiemusic.network/B6AFC4971E19A3B5089AAF6BDDB86161?twec=M H...." alt="qjugD1HK3zWShBbe5"><img src="http://precede.mattdelacroix.net/ikCP3mbQtyZhvWnuSB25fEOqG9M60VK8ojsewcUdDN4JLRTl7ap1xXFYIrgAz.png" alt="d0xRMToUH7iIJO" class="YE9zmyRLMWxN0DpGuKS"></a>
    </td></tr>
    <tr class="BVdyPi04XNTUcm9"><td colspan="0" class="SdFBD7YxpU2z3n"><img src="http://precede.mattdelacroix.net/qERXly8T47hgtaSv3mVABJs5c1CMLw0YZGkOrQPbUfzdiF2N9jeIx6uDWnKop.png" alt="0H5FyzctPgOiVN" class="QUIT4BVL2H1kORMoGE9">
    </td></tr>
    <tr class="NjxTuL0wIek9Z5DMagCS"><td colspan="5" class="rEg497ueH1oUqhMk"><img src="http://precede.mattdelacroix.net/6tajUPfVQkhY3FqOdBSX4oCRz12rvDbGpTLI07ZiNxK5nw8WJEyMlmgucAe9s.png" alt="9yVD5mLjoY87d" class="HvbtfK3JTsrWVLMAP">
    </td></tr>
    <tr class="zNDuFIVWJHC5RnXv"><td colspan="0" class="B2COIbmf3Gdetg0L"><img src="http://precede.mattdelacroix.net/BubpJGhV93046SizDKXnvTO2AyQjxoUfECRgdaPZ8LMNwckWesImrF7Ylt51q.png" alt="I3gF7rlkmEjauphcwMbH" class="PCMEedqzSgUpDy">
    </td></tr>
    <tr class="Uz9oaTODY6NIhxdr7bwM"><td colspan="0" class="b7SZvyhU0aXoODldRe"><img src="http://precede.mattdelacroix.net/YfQePbVMBuIZ3znGFWvkcDEL87psRaxOiN6rXgy4lhwA0CUTKo29tmjS15qJd.png" alt="ey4TKicGrbRgtPqXa6" class="2yFdmxbfoaS0E">
    </td></tr>
    <tr class="x6KQaBcwRVnOufb02"><td colspan="2" class="lKgJV9SrOFNGn70C"><img src="http://precede.mattdelacroix.net/rv17cBAPTmEdlDy0oCuGibj6nLJgZxOe9s3SaUwpzI8tWRXVkY5FfQ2KhqM4N.png" alt="Jun4SX3MF0bjYc" class="rJyZBhto0Yd9">
    </td></tr>
    </tbody></table>
    </body>
    </html>



    --b1_24a709ad28ff65fd54fd2dd387c47d34--
    In der "KRUPS"-Mail verweisen die eingebundenen Bilder zu einem ähnlichen "http://clumsy.matthewdelacroix.net"
    Geändert von schara56 (17.09.2020 um 18:08 Uhr) Grund: Header + Quote gesetzt

  2. #2
    Senior Mitglied Avatar von RA Meier-Bading
    Registriert seit
    17.07.2005
    Beiträge
    4.236

    Standard

    Da zeigt der TB nur die ALT-Tags der eingebetteten Bilder an.
    Wenn man die Domain der Bildquelle hllp://precede.mattdelacroix.net aufruft, landet man auf einer gefälschten PayPal-Seite hllp://paypal.zahlung-de8394502.info, die sich sicherlich über die Eingabe vieler vieler Daten freut.

    [OK, ich sollte das hier lieber nicht verlinken]

  3. #3
    Neues Mitglied
    Registriert seit
    29.09.2013
    Beiträge
    7

    Standard

    Danke, ist also das vermutete Pishing, wenn auch ziemlich dämlich gemacht.

    Ein Beispiel, dass die drei genannten Seiten (Firefox-Monitor, HPI und haveibeenpwned) auch nicht alles finden können. Hatte dort auch schon "Treffer", auf die kam dann aber auch wesentlich mehr SPAM.

    Ist es sinnvoll, diese Pishing-Seite an paypal zu melden oder interessiert die das nicht?

  4. #4
    Deekaner Avatar von deekay
    Registriert seit
    07.07.2006
    Ort
    Lippe / NRW
    Beiträge
    7.451

    Standard

    Manchmal bekommt man auf eine Meldung einen Standarttext zurück. Dass man eben solche Seiten nicht aufrufen soll und weiteres allgemeines BlaBla

    In viel öfteren Fällen bekommt man aber gar keine Antwort. Wenn man eine Meldung macht, sollte man dem Hoster auch eine schicken.
    "Es gibt tausendundeinen Grund, warum ein Mensch bestimmte Einzelheiten seiner Privatsphäre nicht offenbaren will, und es besteht nicht die geringste Pflicht, dies auch noch begründen zu müssen. Es reicht, dass man es nicht will."

    (Pär Ström, Autor und IT-Unternehmensberater)

  5. #5
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Das hat sicherlich die Ratware versagt. Die zufälligen Buchstabenfolgen sollten wohl als 'Bayes-Brecher' dienen und sollten normalerweise als weisse Schrift auf weissem Hintergrund (nicht) angezeigt werden. Da war Phishki halt zu doof, die eigene Ratware zu bedienen.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #6
    Neues Mitglied
    Registriert seit
    29.09.2013
    Beiträge
    7

    Standard

    Schade, dass paypal so lapidar reagiert.

    Welches wäre denn der relevante Hoster in diesem Fall (Planet-Sports)?
    Der zu dem Link seat.indiemusic.network oder zu paypal.zahlung-de.. ?

  7. #7
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    IP: 47.241.27.36 -> AS45102 Alibaba (US) Technology Co., Ltd.

    Ob man allerdings bei einem chinesischen Cloud-Anbieter (a la Google oder Amazon) irgendwelche Erfolgsaussichten hat...
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  8. #8
    Senior Mitglied Avatar von RA Meier-Bading
    Registriert seit
    17.07.2005
    Beiträge
    4.236

    Standard

    Ach, wenn Du in astreinem Chinesisch hinschreibst, geht es vielleicht ganz schnell...

  9. #9
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.602

    Standard

    Sehe ich das falsch, oder geht jeder Link zu whois: [Link nur für registrierte Mitglieder sichtbar. ]?

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/YfQePbVMBuIZ3znGFWvkcDEL87psRaxOiN6rXgy4lhwA0CUTKo29tmjS15qJd.png
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/6CKyt5d8LGMT2Egs1rojVNF0Xncq9UwblhZYIDpJSR73OixmPuAzkfWQv4eBa.png
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/CZy56Aol9dUOLfmjM8PxGaIuXTnDeiV2t0BrFE7RwWNgk1QpSvcJzhKsYqb43.png
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/ikCP3mbQtyZhvWnuSB25fEOqG9M60VK8ojsewcUdDN4JLRTl7ap1xXFYIrgAz.png
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/qERXly8T47hgtaSv3mVABJs5c1CMLw0YZGkOrQPbUfzdiF2N9jeIx6uDWnKop.png
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/6tajUPfVQkhY3FqOdBSX4oCRz12rvDbGpTLI07ZiNxK5nw8WJEyMlmgucAe9s.png
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/BubpJGhV93046SizDKXnvTO2AyQjxoUfECRgdaPZ8LMNwckWesImrF7Ylt51q.png
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/YfQePbVMBuIZ3znGFWvkcDEL87psRaxOiN6rXgy4lhwA0CUTKo29tmjS15qJd.png
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/rv17cBAPTmEdlDy0oCuGibj6nLJgZxOe9s3SaUwpzI8tWRXVkY5FfQ2KhqM4N.png

    Code:
    <meta http-equiv="refresh" content="0; url=http://youjizz.com" />
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  10. #10
    Neues Mitglied
    Registriert seit
    29.09.2013
    Beiträge
    7

    Standard

    Beeindruckend, was ihr da alles herauslesen könnt, ich finde in dem Quelltext nicht mal die erwähnte IP: 47.241.27.36.
    Danke für eure Hilfe

    Das hier ist die neueste derartige Mail vom 15.09.20, diesmal verlinken die Bilder zu whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Der Link zu whois: [Link nur für registrierte Mitglieder sichtbar. ] leitet weiter zu whois: [Link nur für registrierte Mitglieder sichtbar. ] - die gibt es aber nicht (mehr).

    header:
    01: From - Wed Sep 16 xx:xx:xx 2020
    02: X-Account-Key: account12
    03: X-UIDL: [UID filtered]
    04: X-Mozilla-Status: 0001
    05: X-Mozilla-Status2: 00000000
    06: X-Mozilla-Keys:
    07:
    08: Return-Path: <info [at] kk-hygiene.de>
    09: Delivered-To: poor [at] spamvictim.tld
    10: Received: from director04 ([10.0.121.188])
    11: by dovecot08 with LMTP ID: [ID filtered]
    12: for <poor [at] spamvictim.tld>; Tue, 15 Sep 2020 xx:xx:xx +0200
    13: Received: from localhost ([10.0.121.146])
    14: by director04 with LMTP ID: [ID filtered]
    15: ; Tue, 15 Sep 2020 xx:xx:xx +0200
    16: X-Original-To: m.... [at] e.mail.de
    17: Authentication-Results: mxpostfix02.mail.de; spf=pass (sender SPF authorized)
    18: smtp.helo=cphmedia.com (client-ip=67.225.172.68; helo=cphmedia.com;
    19: envelope-from=info [at] kk-hygiene.de; receiver=m.... [at] e.mail.de)
    20: Authentication-Results: mxpostfix02.mail.de; dmarc=none (p=none dis=none)
    21: header.from=kk-hygiene.de
    22: Authentication-Results: mxpostfix02.mail.de;
    23: dkim=pass (1024-bit key; unprotected) header.d=cphmedia.com header.i=@cphmedia.com
    24: header.b=XuvRFkr7;
    25: dkim-atps=neutral
    26: Received: from cphmedia.com (unknown [67.225.172.68])
    27: by mxpostfix02.mail.de (Postfix) with ESMTP ID: [ID filtered]
    28: for <poor [at] spamvictim.tld>; Tue, 15 Sep 2020 xx:xx:xx +0200 (CEST)
    29: Received: from [67.225.172.68] (helo=cphmedia.com)
    30: by mx04.mail.de with ESMTPS (eXpurgate 4.13.0)
    31: (envelope-from <poor [at] spamvictim.tld>)
    32: ID: [ID filtered]
    33: for <poor [at] spamvictim.tld>; Tue, 15 Sep 2020 xx:xx:xx +0200
    34: DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
    35: d=cphmedia.com; s=default; h=Content-Transfer-Encoding:Content-Type:
    36: MIME-Version:Message-ID:Subject:From:To:Date:Sender:Reply-To:Cc:Content-ID:
    37: Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
    38: :Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:
    39: List-Subscribe:List-Post:List-Owner:List-Archive;
    40: bh=/5cv8dHG92DNaAD+J9Du7ZlnPWuvKiV7goXktHW+pEU=; b=XuvRFkr7VfE87X9KxkXM5DO9P/
    41: NH92zuhjs3c7lpHqanyUttIFMueMb9NuC6TzLfoS8+0UNQGSrPiHARc6Ql4oF6WhudjzJjK1od+Nb
    42: ZzC7vOxVRhiKTVYB78qWvpzva7Me0YyTCxpruI50C/EGrGhw1iyhvycTtsSEOMknABBI=;
    43: Received: from [213.227.155.178] (port=55583 helo=localhost.localdomain)
    44: by server.cphmedia.com with esmtpa (Exim 4.93)
    45: (envelope-from <poor [at] spamvictim.tld>)
    46: ID: [ID filtered]
    47: for poor [at] spamvictim.tld; Tue, 15 Sep 2020 xx:xx:xx -0400
    48: Date: Tue, 15 Sep 2020 xx:xx:xx +0200
    49: To: poor [at] spamvictim.tld
    50: From: KK Hygiene <info [at] kk-hygiene.de>
    51: Subject: =?utf-8?Q?Best=C3=A4tigung_-_8N2JEWMREMHA-M-H....?=
    52: Message-ID: [ID filtered]
    53: X-Priority: 3
    54: X-Mailer: PHPMailer 5.2.7 (https://github.com/PHPMailer/PHPMailer/)
    55: MIME-Version: 1.0
    56: Content-Type: multipart/alternative;
    57: boundary="b1_574f459be136a1fcb5d811164953121d"
    58: Content-Transfer-Encoding: 8bit
    59: X-AntiAbuse: This header was added to track abuse, please include it with any abuse
    60: report
    61: X-AntiAbuse: Primary Hostname - server.cphmedia.com
    62: X-AntiAbuse: Original Domain - e.mail.de
    63: X-AntiAbuse: Originator/Caller UID/GID: [UID filtered]
    64: X-AntiAbuse: Sender Address Domain - kk-hygiene.de
    65: X-Get-Message-Sender-Via: server.cphmedia.com: authenticated_ID: [ID filtered]
    66: X-Authenticated-Sender: server.cphmedia.com: jportals [at] cphmedia.com
    67: X-Source:
    68: X-Source-Args:
    69: X-Source-Dir:
    70: X-purgate-ID: [ID filtered]
    71: X-purgate-type: clean
    72: X-purgate-size: 3479
    73: X-purgate-Ad: Categorized by eleven eXpurgate (R) http://www.eleven.de
    74: X-purgate: clean
    75: X-EsetID: [ID filtered]

    Inhalt:
    --b1_574f459be136a1fcb5d811164953121d
    Content-Type: text/plain; charset=utf-8
    Content-Transfer-Encoding: 8bit

    Â Â Â KK-Hygiene - Zahlung - M H...


    --b1_574f459be136a1fcb5d811164953121d
    Content-Type: text/html; charset=utf-8
    Content-Transfer-Encoding: 8bit

    <!DOCTYPE html>
    <html lang="de">
    <head><title></title></head>
    <body id="of5w4EjnIbYdBC" class="7Wd91OvSLbm6NYc" name="VxiF2AfcKj4edwLq">
    <table id="MLkbDFSyIEBw975PpHo"><tbody class="Y8nvRVqKg1oHSXTrtsi">
    <tr class="i3nSvxHlFpZCI"><td colspan="0" class="yaoN6wqWeZzK"><img src="http://sparkle.artpeg.com/MU7uqdS3Oh49p02gmVJonKsYaQWCNe8tvXcGbEiBjRylFx1zDAIZrT5fLwkP6.png" alt="v42tQW3L8VxMgBy" class="Rhtsa19w7jPqEZyS">
    </td></tr>
    <tr class="9PW0gqSrYejivtX"><td colspan="3" class="yZ0kfbhjMYFr3sIn4B"><img src="http://sparkle.artpeg.com/YlcrSFPEK8QNtbUJVns0674D1up5CMLoxRW23GhfwyzXikZgeB9vmOqTaAjId.png" alt="Efds79k1wxeqZJ" class="sdLnxuGTFA9ahHM">
    </td></tr>
    <tr class="oitfTrBJSq7LH"><td colspan="0" class="fCjRekh9Y76b"><img src="http://sparkle.artpeg.com/2Qd3WDRo1kMu9TSBwmvNpOteAn4jGr5Y8aXysxKPqZgb6FUVc0JChE7LIlifz.png" alt="utABLhgOjSse26E" class="6sovQ91rN3YSx">
    </td></tr>
    <tr class="ZpPe7k0rEzM43u9mc8"><td colspan="2" class="1LSijKJq4vytcUDm5rk"><div id="eftV2WBFE1XixLh" class="lastKwn2YU3X" name="FZVwkXf4s2Wv"> <h1 class="h1"><a style="font-family:Roboto,sans-serif,Verdana,Arial7lmcNjLa0tCRAG"><font style="margin-right:50.424px;color:rgb(0,14,10)" size="3"><br>&nbsp;&nbsp;&nbsp; KK-Hygiene - Zahlung - M H...</font><alt></alt><alt></alt></a></h1> </div></td></tr>
    <tr class="d1AqJjNwVotZGxl3"><td colspan="2" class="czluM0ENASWF9Y2"><a href="http://rich.rdhomeloan.com/7A027AA56A055732C90AB15DBEC986B9?sec=M H..." alt="rNv3tVjwDBAMqHQy2uo"><img src="http://sparkle.artpeg.com/ZRJvW8uE0j7Ne91FcwnCKtoVGXxmLbkOUAl3P4s5YTzDrayBfIi2pgQhdqM6S.png" alt="NGRqyiLzmZhKTlC" class="dVi9NkgC8v6eOHI47A1"></a>
    </td></tr>
    <tr class="4V7KMefg3IipCFBbyN2T"><td colspan="0" class="uN3SDdwkLVgah"><img src="http://sparkle.artpeg.com/PGVf1IJkwW8h2QFtRCpb0ioqMuYnNlxasKO6AcD7eS94rLjEZgB3zXvT5yUmd.png" alt="BT8PMUkaH9WF5ru4" class="f1aOpt92X8qjsKHQ">
    </td></tr>
    <tr class="FvG9znJrjPN0x275AMSo"><td colspan="5" class="qgDcKPn24NoILA3ks16"><img src="http://sparkle.artpeg.com/UJLj1375X9ZCiAkhaTVd2KzIOR4Dfx6cPMo8BYSyrpQwEqtsF0mbvneWglGNu.png" alt="9h13zaNCPfQW5Oy" class="QYytOaws8jn06HfSAr">
    </td></tr>
    <tr class="Db5iyfpGwSWF"><td colspan="0" class="dEUy64r1lnbgNZFQDAw"><img src="http://sparkle.artpeg.com/EqsfQ9Wx4dmSTiBKb5owkMJCeYzvn71AyP6Fp0jDXUauI3V8NhRGgZcLltrO2.png" alt="DHTWCoEPsKZlSVYk4" class="QiaUdKVu6cmpNYSo2yB">
    </td></tr>
    <tr class="gyNIPDKCqJZup"><td colspan="4" class="Z6OpPmlF8NXh30aT49"><img src="http://sparkle.artpeg.com/IlTDX9vGuht1gOa80WczNRB5AMbqFxnJfYVUK7esSwE6pokrPZC43imyQdL2j.png" alt="KkLPf8y1iIAWe7sHa" class="GH9mrnCaFiqwvA">
    </td></tr>
    <tr class="0a4LQquzFAR876ciplB"><td colspan="4" class="oDbXfacndpeqWLQjkz52"><img src="http://sparkle.artpeg.com/NuicjQnBbalCmXxDA7JWKeR04pqEUMfyT5ZOwYPrdvhS9okV6t1I32sgF8LGz.png" alt="eI7HrUmw6MdgVTcS1aC" class="9x1DjIOi7RAg">
    </td></tr>
    <tr class="jHPFWDxa1KfB9Jk5bL"><td colspan="2" class="OfumgN03PFQvM26s"><img src="http://sparkle.artpeg.com/8CP1vUMjzRFAk9yuW6BV7ecgdhQfqpn4So5rGNYXIlJLw2OKs30xDimZaTEbt.png" alt="PpMUz3bGCaxrmFN9YcHS" class="38aoOIGuW4Uy2vVn">
    </td></tr>
    </tbody></table>
    </body>
    </html>



    --b1_574f459be136a1fcb5d811164953121d--
    Der Inhalt wie in den in #1 gezeigten Bildern aus (auch wenn ich Thunderbird erlaube, die von außen stammenden Inhalte anzuzeigen)

    Das Thunderbird-Addon DKIM Verifier zeigt übrigens jeweils eine gültige Signatur an, hier z.B.: "Gültig(Signiert durch cphmedia.com)". Diese Spammer sind zwar zu doof, vernünftigen Text zu übertragen - aber immerhin korrekt signiert


    Werde diese Mails nun mal bei Mail.de als Junk kennzeichnen, evtl. wird damit ja deren SPAM-Filter trainiert.
    Ärgerlich ist nur, dass hier eine private Mailadresse bespamt wird. Da wurde wohl der PC einer meiner Privatkontakte korrumpiert.
    Geändert von Mani (18.09.2020 um 11:12 Uhr)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen