Spam in seriösem Gewand

[jörg111]

Ich habe hier eine Mail die wahrscheinlich Spam ist obwohl sie ohne Rechtschreibfehler ist. Aber wahrscheinlich wollen die nur ihre Tests verkaufen oder da ist ein Virus im Link.
Dann steht zwar für Rückfragen stehen sie zur Verfügung aber es fehlt welche Firma und Telefonnummer. Allerdings erkennt mein Mailprogramm als Firma Mail Wizz.
Bei ^whois:torweler.com (der Link ^whois:torweler.com... steht wenn man mit Mauszeiger auf dem Link steht) landet man auch auf Mail Wizz. Woher erkennt mein Mailprogramm Mail Wizz (das Logo links neben der Mail-Adresse)? Das Mailprogramm ruft doch nicht den Link selbständig auf? Wäre ja gefährlich falls Virusseite.

Ich wollte sie hier nur veröffentlichen weil sie fast perfekt aussieht also nicht dieses schlecht geschriebene und schlecht formatierte Zeugs was man sonst so bekommt.

Zudem gibts sogar den Menschen der im Schreiben steht wobei ich nicht glaube, dass das der ist. Die Spam-Versender nehmen ja auch bekannte Namen um seriöser zu wirken.

Google sagt mir:

A. D.
Stabstelle Wirtschaftsförderung und Förderungsmanagement
M. Str. XXXXX
21502 Geesthacht

Hier ein KEIN Screenshot von der Mail, die mein Spamfilter nicht erkannt hat:

[Arthur]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
Anonym und ohne Impressum

Creation Date: 2022-03-22

[jörg111]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
Anonym und ohne Impressum

Was meinst du mit bzw wo hast du das Creation Date her?

Hier mein Screenshot der Mail ohne Namen und Mail-Adressen. Sorry.
[Link nur für registrierte Mitglieder sichtbar. ]

Weiss jemand woher mein Mailprogramm den Namen Mail Wizz haben kann (links oben das Logo neben den Mail-Adressen)?
Im Kopfzeile oder Quelltext der Mail habe ich nichts gefunden.

[Dr_Who]

Wenn der Herr Jörg111 mal einen Header (anonymisiert) posten würde...?!

Das Creation Date lässt sich mit whois.domaintools.com herausfinden

[jörg111]

Wenn der Herr Jörg111 mal einen Header (anonymisiert) posten würde...?!

Hier der Header.
Ich hoffe, ich habe es richtig anonymisiert.
Allerdings wird nicht die gesamte Mailadresse blau bei den langen Adressen die ich anonymisiert habe. Wahrscheinlich zu lang?

Übrigens: Die Mail-Adresse im Header bei Return-Path ist ein Mix aus der Absendermail und aus meiner Mail. Hab ich so noch nicht gesehen.

header:

01: Return-Path: <x [at] torweler.com>
02: Authentication-Results:  kundenserver.de; dkim=pass header.i=andreas [at] torweler.com
03: Received: from s7.torweler.com ([51.222.135.214]) by mx.emig.kundenserver.de
04:  (mxeue109 [217.72.192.66]) with ESMTPS (Nemesis) ID: [ID filtered]
05:  for <Meine Mailadresse>; Mon, 25 Apr 2022 xx:xx:xx +0200
06: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=dkim; d=torweler.com;
07:  h=Date:To:From:Reply-To:Subject:Message-ID:List-Id:List-Unsubscribe:
08:  MIME-Version:Content-Type; i=andreas [at] torweler.com;
09:  bh=lYX3teplF/vDrKkq/TV4WXnLtGmOZk6YJFBo1Dr82pQ=;
10:  b=CXAiQ4PtO2ihczBcYkadN/iFLOz6FTft2SX4EmybDgeQy7+hzmaaRVdBwH6zEagKKzrk6WAjoQbV
11:    4XMrH68qASJXZRZE79NiOiy8my7kqzXESHj0mQmExlACWapEhCH9BAKGV1Ylq5WBTxSmiKlNV3Fu
12:    SbinzYH6bkT9uEBFn4XImMHFx63t5fLpzcak6iGMW+xbXuN7PRUgwb0YW8ERsX+WZNKzxfxPq7TH
13:    Gmw5B2bbAr3BEcggf4gR8wE6UWS6UB3UlQIpGw0NfqltKBtYUWIM8o4yLdD3MxwFe9M+eIAibgp3
14:    mzqD3H/FH7pSiJSEUGoI5fZDJNquBzJnOz2ScA==
15: Received: from www.torweler.com  (158.69.116.154) by s2.torweler.com for
16: 	<MeineMailadresse>; Mon, 25 Apr 2022 xx:xx:xx +0000 (envelope-from
17: 	<poor [at] spamvictim.tld>)
18: Date: Mon, 25 Apr 2022 xx:xx:xx +0000
19: To: "Meine Mailadresse" <Meine Mailadresse>
20: From: Andreas Nachname<andreas [at] torweler.com>
21: Reply-To: Andreas Nachname<andreas [at] larsaktion.com>
22: Subject: Frist bis zum 25.05
23: Message-ID: [ID filtered]
24: X-Campaign-UID: [UID filtered]
25: X-Subscriber-UID: [UID filtered]
26: X-Customer-UID: [UID filtered]
27: X-Customer-GID: [ID filtered]
28: X-Delivery-SID: [ID filtered]
29: X-Tracking-DID: [ID filtered]
30: List-Unsubscribe-Post: List-Unsubscribe=One-Click
31: List-ID: [ID filtered]
32: X-Report-Abuse: Please report abuse for this campaign here:
33: https://www.torweler.com/index.php/campaigns/x/report-abuse/x
34: Precedence: bulk
35: X-EBS: https://www.torweler.com/index.php/lists/block-address
36: List-Unsubscribe: <mailto:x [at] torweler.com?[UNSUB filtered]>
37: X-Sender: bcopy [at] torweler.com
38: X-Receiver: Meine Mailadresse
39: X-Mailer: PHPMailer - 6.x
40: MIME-Version: 1.0
41: Content-Type: multipart/alternative;
42:  boundary="b1_wP72PW9yy5GzfuhsvkB2siyjrfUv3xQwdUOexHQr0rI"
43: Envelope-To: <Meine Mailadresse>
44: X-Spam-Flag: NO

[hoppala]

^whois:larsaktion.com ist mir in Spam-Zusammenhängen auch schon aufgefallen, ist allerdings schon über 2 Wochen her.
Sowohl diese Domain als auch ^whois:torweler.com ist über NameCheap mit dem zugehörigen Anonymisierungsdienst "Withheld for Privacy ehf" aus Island registriert, ein Garant für Spam und noch kriminelleres.

Mit einer kleinen Erweiterung für postfix weise ich alle Mails von NameCheap-registrierten Domains ab. Es sind ein paar Ausnahmen für legitime Domains eingetragen, aber mit der Grundregel NameCheap=Spam liegt man schon zu über 90% richtig. Die restlichen bekommen in der Fehlermeldung einen Hinweis, wie sie eine Ausnahme anfordern können.

hoppala

[deekay]

Der zunächst mal angebliche Absender existiert und arbeitet bei der Stadt G. Ich würde die Mail an diesen Mitarbeiter weiterleiten und zunächst auf einen Irrtum hinweisen. Also dass man eben garnicht der richtige Empfänger ist. Und dann mal die Reaktion abwarten

[hoppala]

Übrigens tauchten auch noch ein paar Domainnamen auf, die offenbar aus der gleichen Mistküche stammen:

s1 bis s8.terlipe.com (CIDR 51.161.27.124/29)
s1 bis s16.tonegerz.com (CIDR 51.222.211.112/28)
s1 bis s16.tolikus.com (CIDR 66.70.228.144/28)

Wie sollte es anders sein, OVH als Hoster, NameCheap als Registrar.

hoppala

[jörg111]

Übrigens tauchten auch noch ein paar Domainnamen auf, die offenbar aus der gleichen Mistküche stammen:

s1 bis s8.terlipe.com (CIDR 51.161.27.124/29)
s1 bis s16.tonegerz.com (CIDR 51.222.211.112/28)
s1 bis s16.tolikus.com (CIDR 66.70.228.144/28)

Wie sollte es anders sein, OVH als Hoster, NameCheap als Registrar.

hoppala

Wie ist das zu verstehen? Ich kenne mich damit leider nicht aus. Wie kommst du auf die bzw wo stehen die bzw. was bedeutet s1-s8 bzw. s1-s16 usw? Wofür steht das CIDR?

Oder ist das nur etwas für die Spezialisten ? :-)

Hat denn jemand schon einmal eine Mailadresse gesehen, wo der Absendername vermischt wurde mit der Empfängeradresse also der eigenen Adresse?

Bei Return-Path und envelope from steht das:
Format:
Absendername-Teil meiner Mailadresse vor dem @=Teil meiner Mailadresse hinter dem @torweler.com

[hoppala]

Hallo jörg111, das "s1 bis s8" heißt, dass die Hostnamen s1.terlipe.com, s2.terlipe.com usw. vergeben sind. Die CIDR-Notation beschreibt zusammenhängende IP-Bereiche, also s1.terlipe.com ist 51.161.27.124, s2 ist 51.161.27.125 usw. Ein /29 enthält 8 IP-Adressen, ein /28 dann 16.
Das ist aber für Nicht-Spezialisten wirklich nicht interessant :-) Es macht nur deutlich, wie viele Server der Spammer gemietet hat, um seinen Müll zu verbreiten und dabei nicht wegen einer gesperrten IP-Adresse gleich ganz blockiert zu werden.

Das mit der Mailadresse sehe ich auch (daran erkenne ich unter Anderem die gemeinsame Herkunft). Offenbar versucht der Spammer, das seriös aussehen zu lassen, denn eine Reihe von legitimen Mailinglisten machen das ähnlich, dass die Empfängeradresse im Absender noch mal codiert ist, so dass Zustellfehler der richtigen Adresse zugeordnet werden können. Ich glaube, das interessiert diesen Spammer aber nicht wirklich, denn trotz unserer Ablehnungen schickt er immer weiter seinen Müll.

hoppala