Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 16

Thema: Spam in seriösem Gewand

  1. #1
    Mitglied
    Registriert seit
    16.01.2021
    Beiträge
    80

    Standard Spam in seriösem Gewand

    Ich habe hier eine Mail die wahrscheinlich Spam ist obwohl sie ohne Rechtschreibfehler ist. Aber wahrscheinlich wollen die nur ihre Tests verkaufen oder da ist ein Virus im Link.
    Dann steht zwar für Rückfragen stehen sie zur Verfügung aber es fehlt welche Firma und Telefonnummer. Allerdings erkennt mein Mailprogramm als Firma Mail Wizz.
    Bei whois:torweler.com (der Link whois:torweler.com... steht wenn man mit Mauszeiger auf dem Link steht) landet man auch auf Mail Wizz. Woher erkennt mein Mailprogramm Mail Wizz (das Logo links neben der Mail-Adresse)? Das Mailprogramm ruft doch nicht den Link selbständig auf? Wäre ja gefährlich falls Virusseite.

    Ich wollte sie hier nur veröffentlichen weil sie fast perfekt aussieht also nicht dieses schlecht geschriebene und schlecht formatierte Zeugs was man sonst so bekommt.

    Zudem gibts sogar den Menschen der im Schreiben steht wobei ich nicht glaube, dass das der ist. Die Spam-Versender nehmen ja auch bekannte Namen um seriöser zu wirken.

    Google sagt mir:

    A. D.
    Stabstelle Wirtschaftsförderung und Förderungsmanagement
    M. Str. XXXXX
    21502 Geesthacht

    Hier ein KEIN Screenshot von der Mail, die mein Spamfilter nicht erkannt hat:
    Geändert von cmds (28.04.2022 um 16:14 Uhr) Grund: Screenshot wegen pers. Daten gelöscht, Pers. Daten im Posting entfernt

  2. #2
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    12.849

    Standard

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Anonym und ohne Impressum
    Creation Date: 2022-03-22

  3. #3
    Mitglied
    Registriert seit
    16.01.2021
    Beiträge
    80

    Standard

    Zitat Zitat von Arthur Beitrag anzeigen
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Anonym und ohne Impressum
    Was meinst du mit bzw wo hast du das Creation Date her?

    Hier mein Screenshot der Mail ohne Namen und Mail-Adressen. Sorry.
    [Link nur für registrierte Mitglieder sichtbar. ]

    Weiss jemand woher mein Mailprogramm den Namen Mail Wizz haben kann (links oben das Logo neben den Mail-Adressen)?
    Im Kopfzeile oder Quelltext der Mail habe ich nichts gefunden.
    Geändert von jörg111 (28.04.2022 um 16:57 Uhr)

  4. #4
    Neues Mitglied Avatar von Dr_Who
    Registriert seit
    07.05.2019
    Ort
    Gallifrey
    Beiträge
    17

    Standard

    Wenn der Herr Jörg111 mal einen Header (anonymisiert) posten würde...?!

    Das Creation Date lässt sich mit whois.domaintools.com herausfinden
    Ich bin ein Timelord vom Planeten Gallifrey

  5. #5
    Mitglied
    Registriert seit
    16.01.2021
    Beiträge
    80

    Standard

    Zitat Zitat von Dr_Who Beitrag anzeigen
    Wenn der Herr Jörg111 mal einen Header (anonymisiert) posten würde...?!


    Hier der Header.
    Ich hoffe, ich habe es richtig anonymisiert.
    Allerdings wird nicht die gesamte Mailadresse blau bei den langen Adressen die ich anonymisiert habe. Wahrscheinlich zu lang?

    Übrigens: Die Mail-Adresse im Header bei Return-Path ist ein Mix aus der Absendermail und aus meiner Mail. Hab ich so noch nicht gesehen.


    header:
    01: Return-Path: <x [at] torweler.com>
    02: Authentication-Results: kundenserver.de; dkim=pass header.i=andreas [at] torweler.com
    03: Received: from s7.torweler.com ([51.222.135.214]) by mx.emig.kundenserver.de
    04: (mxeue109 [217.72.192.66]) with ESMTPS (Nemesis) ID: [ID filtered]
    05: for <Meine Mailadresse>; Mon, 25 Apr 2022 xx:xx:xx +0200
    06: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=dkim; d=torweler.com;
    07: h=Date:To:From:Reply-To:Subject:Message-ID:List-Id:List-Unsubscribe:
    08: MIME-Version:Content-Type; i=andreas [at] torweler.com;
    09: bh=lYX3teplF/vDrKkq/TV4WXnLtGmOZk6YJFBo1Dr82pQ=;
    10: b=CXAiQ4PtO2ihczBcYkadN/iFLOz6FTft2SX4EmybDgeQy7+hzmaaRVdBwH6zEagKKzrk6WAjoQbV
    11: 4XMrH68qASJXZRZE79NiOiy8my7kqzXESHj0mQmExlACWapEhCH9BAKGV1Ylq5WBTxSmiKlNV3Fu
    12: SbinzYH6bkT9uEBFn4XImMHFx63t5fLpzcak6iGMW+xbXuN7PRUgwb0YW8ERsX+WZNKzxfxPq7TH
    13: Gmw5B2bbAr3BEcggf4gR8wE6UWS6UB3UlQIpGw0NfqltKBtYUWIM8o4yLdD3MxwFe9M+eIAibgp3
    14: mzqD3H/FH7pSiJSEUGoI5fZDJNquBzJnOz2ScA==
    15: Received: from www.torweler.com (158.69.116.154) by s2.torweler.com for
    16: <MeineMailadresse>; Mon, 25 Apr 2022 xx:xx:xx +0000 (envelope-from
    17: <poor [at] spamvictim.tld>)
    18: Date: Mon, 25 Apr 2022 xx:xx:xx +0000
    19: To: "Meine Mailadresse" <Meine Mailadresse>
    20: From: Andreas Nachname<andreas [at] torweler.com>
    21: Reply-To: Andreas Nachname<andreas [at] larsaktion.com>
    22: Subject: Frist bis zum 25.05
    23: Message-ID: [ID filtered]
    24: X-Campaign-UID: [UID filtered]
    25: X-Subscriber-UID: [UID filtered]
    26: X-Customer-UID: [UID filtered]
    27: X-Customer-GID: [ID filtered]
    28: X-Delivery-SID: [ID filtered]
    29: X-Tracking-DID: [ID filtered]
    30: List-Unsubscribe-Post: List-Unsubscribe=One-Click
    31: List-ID: [ID filtered]
    32: X-Report-Abuse: Please report abuse for this campaign here:
    33: https://www.torweler.com/index.php/campaigns/x/report-abuse/x
    34: Precedence: bulk
    35: X-EBS: https://www.torweler.com/index.php/lists/block-address
    36: List-Unsubscribe: <mailto:x [at] torweler.com?[UNSUB filtered]>
    37: X-Sender: bcopy [at] torweler.com
    38: X-Receiver: Meine Mailadresse
    39: X-Mailer: PHPMailer - 6.x
    40: MIME-Version: 1.0
    41: Content-Type: multipart/alternative;
    42: boundary="b1_wP72PW9yy5GzfuhsvkB2siyjrfUv3xQwdUOexHQr0rI"
    43: Envelope-To: <Meine Mailadresse>
    44: X-Spam-Flag: NO
    Geändert von schara56 (29.04.2022 um 05:56 Uhr) Grund: Header anonymisiert

  6. #6
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    548

    Standard

    whois:larsaktion.com ist mir in Spam-Zusammenhängen auch schon aufgefallen, ist allerdings schon über 2 Wochen her.
    Sowohl diese Domain als auch whois:torweler.com ist über NameCheap mit dem zugehörigen Anonymisierungsdienst "Withheld for Privacy ehf" aus Island registriert, ein Garant für Spam und noch kriminelleres.

    Mit einer kleinen Erweiterung für postfix weise ich alle Mails von NameCheap-registrierten Domains ab. Es sind ein paar Ausnahmen für legitime Domains eingetragen, aber mit der Grundregel NameCheap=Spam liegt man schon zu über 90% richtig. Die restlichen bekommen in der Fehlermeldung einen Hinweis, wie sie eine Ausnahme anfordern können.

    hoppala

  7. #7
    Deekaner Avatar von deekay
    Registriert seit
    07.07.2006
    Ort
    Lippe / NRW
    Beiträge
    6.787

    Standard

    Der zunächst mal angebliche Absender existiert und arbeitet bei der Stadt G. Ich würde die Mail an diesen Mitarbeiter weiterleiten und zunächst auf einen Irrtum hinweisen. Also dass man eben garnicht der richtige Empfänger ist. Und dann mal die Reaktion abwarten
    "Es gibt tausendundeinen Grund, warum ein Mensch bestimmte Einzelheiten seiner Privatsphäre nicht offenbaren will, und es besteht nicht die geringste Pflicht, dies auch noch begründen zu müssen. Es reicht, dass man es nicht will."

    (Pär Ström, Autor und IT-Unternehmensberater)

  8. #8
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    548

    Standard

    Übrigens tauchten auch noch ein paar Domainnamen auf, die offenbar aus der gleichen Mistküche stammen:

    s1 bis s8.terlipe.com (CIDR 51.161.27.124/29)
    s1 bis s16.tonegerz.com (CIDR 51.222.211.112/28)
    s1 bis s16.tolikus.com (CIDR 66.70.228.144/28)

    Wie sollte es anders sein, OVH als Hoster, NameCheap als Registrar.

    hoppala

  9. #9
    Mitglied
    Registriert seit
    16.01.2021
    Beiträge
    80

    Standard

    Zitat Zitat von hoppala Beitrag anzeigen
    Übrigens tauchten auch noch ein paar Domainnamen auf, die offenbar aus der gleichen Mistküche stammen:

    s1 bis s8.terlipe.com (CIDR 51.161.27.124/29)
    s1 bis s16.tonegerz.com (CIDR 51.222.211.112/28)
    s1 bis s16.tolikus.com (CIDR 66.70.228.144/28)

    Wie sollte es anders sein, OVH als Hoster, NameCheap als Registrar.

    hoppala
    Wie ist das zu verstehen? Ich kenne mich damit leider nicht aus. Wie kommst du auf die bzw wo stehen die bzw. was bedeutet s1-s8 bzw. s1-s16 usw? Wofür steht das CIDR?

    Oder ist das nur etwas für die Spezialisten ? :-)

    Hat denn jemand schon einmal eine Mailadresse gesehen, wo der Absendername vermischt wurde mit der Empfängeradresse also der eigenen Adresse?

    Bei Return-Path und envelope from steht das:
    Format:
    Absendername-Teil meiner Mailadresse vor dem @=Teil meiner Mailadresse hinter dem @torweler.com

  10. #10
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    548

    Standard

    Hallo jörg111, das "s1 bis s8" heißt, dass die Hostnamen s1.terlipe.com, s2.terlipe.com usw. vergeben sind. Die CIDR-Notation beschreibt zusammenhängende IP-Bereiche, also s1.terlipe.com ist 51.161.27.124, s2 ist 51.161.27.125 usw. Ein /29 enthält 8 IP-Adressen, ein /28 dann 16.
    Das ist aber für Nicht-Spezialisten wirklich nicht interessant :-) Es macht nur deutlich, wie viele Server der Spammer gemietet hat, um seinen Müll zu verbreiten und dabei nicht wegen einer gesperrten IP-Adresse gleich ganz blockiert zu werden.

    Das mit der Mailadresse sehe ich auch (daran erkenne ich unter Anderem die gemeinsame Herkunft). Offenbar versucht der Spammer, das seriös aussehen zu lassen, denn eine Reihe von legitimen Mailinglisten machen das ähnlich, dass die Empfängeradresse im Absender noch mal codiert ist, so dass Zustellfehler der richtigen Adresse zugeordnet werden können. Ich glaube, das interessiert diesen Spammer aber nicht wirklich, denn trotz unserer Ablehnungen schickt er immer weiter seinen Müll.

    hoppala

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen