Spam Mail für Webseite mit OBJECT-Tags (Subject: oh~ bideo)
Daniel Rehbein
seit einigen Stunden bekomme ich gleichlautende Spam-Mails von diversen
kleinen Providern oder Mailservern von Firmen, z.B. von:
mail1.medien-service.net [62.159.226.134]
mail1.pcom.de [194.25.152.15]
mail.intramail.de [194.25.224.8]
mail.nordhessen.net [62.146.89.42]
node1.mail8.netdiscounter.de [62.112.137.244]
webshield.connectiv.de [217.6.129.27]
mrelay01.ada-arc.de [217.144.33.11]
mail.empex.net [217.5.189.230]
ffm1.web-arts.de [217.69.162.183]
mail.kumasoft.de [213.144.27.149]
moutng.kundenserver.de [212.227.126.186]
moutng.kundenserver.de [212.227.126.187]
moutng.kundenserver.de [212.227.126.188]
mail.pro-stb.de [62.225.15.75]
In den Mails beworben werden Unterseiten von http://myhome.naver.com/,
auf denen ohne aktive Inhalte lediglich ein paar kryptische Zeichen zu
sehen sind. Im Code ist aber ein Stück Javascript-Code und eine
mehrfache Aufführung eines Object-Tags noch vor dem HTML-Body zu sehen.
Die Object-Tags haben wiztool.cab#version=1,0,0,1 als Codebase.
Weiß jemand, was es damit auf sich hat? Und wieso kommt diese Mail nicht
von verwurmnten Rechnern in Domains wie z.B. t-dialin.net oder
t-ipconnect.de? Anbei eine dieser Mails inkl. Headerzeilen.
Daniel Rehbein
www.mein-dortmund.de
------- schnipp -------
X-Envelope-From: <memory-...@memory-metalle.de>
X-Envelope-To: <patrik...@freulein.guestbook.myphotos.cc>
X-Delivery-Time: 1122732116
Received: from mail1.pcom.de [194.25.152.15:4312] (EHLO mail1.pcom.de)
for <patrik...@freulein.guestbook.myphotos.cc>; Sa, 30 Jul 2005
16:01:56 +0200 (CEST)
Received: from web-c3oqhi3bnde (221.139.3.14)
by mail1.pcom.de with MERCUR Mailserver (v4.03.15
MTIxLTIxNzgtNTkwMA==)
for <patrik...@freulein.guestbook.myphotos.cc>; Sat, 30
Jul 2005 15:58:48 +0200
From: "dmgf" <memory-...@memory-metalle.de>
To: patrik....@zucker.fake-ip.shacknet.nu
Subject: oh~ bideo
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="96ad7782-9a41-47e5-bbae-f4ccfbdce1ed"
Date: Sat, 30 Jul 2005 22:58:36 +0900
Message-Id: <05073015...@mail1.pcom.de>
This is a multi-part message in MIME format
--96ad7782-9a41-47e5-bbae-f4ccfbdce1ed
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/k0910t1851t" target=3D"_blank">web =
bideo</a></p>
</body>
http://myhome.naver.com/k0910t1851t
</html>
[ZJzeesVeUd]
--96ad7782-9a41-47e5-bbae-f4ccfbdce1ed--
.
Daniel Rehbein
> seit einigen Stunden bekomme ich gleichlautende Spam-Mails von diversen
> kleinen Providern oder Mailservern von Firmen, z.B. von:
>
> mail1.medien-service.net [62.159.226.134]
> mail1.pcom.de [194.25.152.15]
> mail.intramail.de [194.25.224.8]
> mail.nordhessen.net [62.146.89.42]
> node1.mail8.netdiscounter.de [62.112.137.244]
> webshield.connectiv.de [217.6.129.27]
> mrelay01.ada-arc.de [217.144.33.11]
> mail.empex.net [217.5.189.230]
> ffm1.web-arts.de [217.69.162.183]
> mail.kumasoft.de [213.144.27.149]
> moutng.kundenserver.de [212.227.126.186]
> moutng.kundenserver.de [212.227.126.187]
> moutng.kundenserver.de [212.227.126.188]
> mail.pro-stb.de [62.225.15.75]
Interessanterweise kommen solche Mails sogar von einem Host mit dem
Namen "webshield". Der Name läßt ja vermuten, daß dies ein Firewall ist,
also etwas, was gerade dafür schützen soll, daß der Rechner von Fremden
mißbraucht wird.
Die Headerzeilen sehen zudem auch noch schlüssig aus. Es macht also den
Anschein, als würde die Mail tatsächlich von Benutzern auf den
jeweiligen Rechnern abgeschickt. Dagegen spricht natürlich, daß die Mail
gleichlautend von verschiedenen Rechnern kommt, seltsamerweise aber
nicht von Dialup-Adressen.
Daniel Rehbein
www.mein-dortmund.de
------- schnipp -------
X-Envelope-From: <agrarb...@agrarberatung.com>
X-Envelope-To: <bastian...@38500.morast.guestbook.myphotos.cc>
X-Delivery-Time: 1122737105
Received: from webshield.connectiv.de [217.6.129.27:2525] (EHLO
webshield.connectiv.de)
for <bastian...@38500.morast.guestbook.myphotos.cc>; Sa, 30 Jul
2005 17:25:05 +0200 (CEST)
Received: from mailer3.connectiv.de ([217.6.129.17]) by
webshield.connectiv.de with InterScan Messaging Security Suite; Sat, 30 Jul
2005 14:41:50 +0200
Received: by mailer3.connectiv.de with MERCUR Mailserver (v5.00.12
MTExLTI1NjEtNjY3MA==) for
<bastian...@38500.morast.guestbook.myphotos.cc>; Sat, 30 Jul 2005
14:48:01 +0200
From: "miss,j" <agrarb...@agrarberatung.com>
To: bastian....@zeppelin.kleinkunst.konkurskobold.de
Subject: Spam: oh~ bideo
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary=20dbb8b7-a6d7-4e91-aae5-cffc19d02a29
Date: Sat, 30 Jul 2005 21:34:13 +0900
Message-Id: <05073014...@mailer3.connectiv.de>
X-imss-version: 2.029
X-imss-result: Default_Triggered
X-imss-scores: Clean:0.00000 C:2 M:3 S:5 R:5
X-imss-settings: Baseline:1 C:1 M:1 S:1 R:1 (0.0000 0.0000)
This is a multi-part message in MIME format
--20dbb8b7-a6d7-4e91-aae5-cffc19d02a29
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/r7030e3665n" target=3D"_blank">web =
bideo</a></p>
</body>
http://myhome.naver.com/r7030e3665n
</html>
[jGy_`lQReOmGeA]
--20dbb8b7-a6d7-4e91-aae5-cffc19d02a29--
.
Gabriele Neukam
> Die Headerzeilen sehen zudem auch noch schlüssig aus. Es macht also den
> Anschein, als würde die Mail tatsächlich von Benutzern auf den
> jeweiligen Rechnern abgeschickt. Dagegen spricht natürlich, daß die Mail
> gleichlautend von verschiedenen Rechnern kommt, seltsamerweise aber
> nicht von Dialup-Adressen.
Kann es sein, dass die Leute ein Online-Spiel (angeblich Freeware)
installiert haben, das nebenher Werbung verschickt? Oder so was
Ähnliches...
Gabriele Neukam
--
Ah, Information. A property, too valuable these days, to give it away,
just so, at no cost.
Daniel Rehbein
>>Die Headerzeilen sehen zudem auch noch schlüssig aus. Es macht also den
>>Anschein, als würde die Mail tatsächlich von Benutzern auf den
>>jeweiligen Rechnern abgeschickt. Dagegen spricht natürlich, daß die Mail
>>gleichlautend von verschiedenen Rechnern kommt, seltsamerweise aber
>>nicht von Dialup-Adressen.
> Kann es sein, dass die Leute ein Online-Spiel (angeblich Freeware)
> installiert haben, das nebenher Werbung verschickt? Oder so was
> Ähnliches...
Dann aber müsste ich doch zumindest die Smarthosts der großen Provider
unter den IP-Adressen, von denen der Spam kommt, wiederfinden. Das ist
aber nicht der Fall.
Eine Mail mit dem etwas abweichenden Betreff "web bideo oh~ web bideo"
habe ich von smtp.dedenet.de [195.145.96.19] erhalten. Die Firma DEDENET
hat laut whois-Auskunft den Adreßbereich 195.145.96.0 bis
195.145.97.255. Die Webseiten unter http://dedenet.de/ (leider komplett
als Graphiken mit leeren Alternativtexten gesetzt) lassen nicht gerade
den Schluß zu, daß es sich hier um einen Einwahlprovider handelt. So
hale ich es auch für unwahrscheinlich, daß daß auf den Rechnern Spiele
installiert sind.
Daniel Rehbein
www.daniel-rehbein.de
------- schnipp -------
X-Envelope-From: <diyo...@diyonline.de>
X-Envelope-To: <brigit...@47445.weber.guestbook.myphotos.cc>
X-Delivery-Time: 1122736851
Received: from smtp.dedenet.de [195.145.96.19:1114] (HELO smtp.dedenet.de)
for <brigit...@47445.weber.guestbook.myphotos.cc>; Sa, 30 Jul 2005
17:20:51 +0200 (CEST)
Received: from vvcoiiovcvozhh.pdzl.com [220.88.202.177] by
smtp.dedenet.de id <2005073017140541>; 30 Jul 2005 17:14:05 +0200
From: "dmgf" <diyo...@diyonline.de>
To: brigitt...@xqopx.serveftp.org
Subject: web bideo oh~ web bideo
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="9906c26a-a8f8-4e10-8291-1ee4ae1646fc"
Date: Sun, 31 Jul 2005 00:14:00 +0900
X-DeDe-Envelope-To: brigit...@47445.weber.guestbook.myphotos.cc
This is a multi-part message in MIME format
--9906c26a-a8f8-4e10-8291-1ee4ae1646fc
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/l8901i5309r" target=3D"_blank">web =
bideo</a></p>
</body>
http://myhome.naver.com/l8901i5309r
</html>
[_A`FelUYKBWJ\_m[I]
--9906c26a-a8f8-4e10-8291-1ee4ae1646fc--
.
Daniel Rehbein
> Received: from webshield.connectiv.de [217.6.129.27:2525] (EHLO
> webshield.connectiv.de)
> for <bastian...@38500.morast.guestbook.myphotos.cc>; Sa, 30 Jul
> 2005 17:25:05 +0200 (CEST)
> Subject: Spam: oh~ bideo
Mir fällt gerade auf: Die Mail ist offenbar von webshield.connectiv.de
als Spam klassifiziert worden. Denn die von anderen Servern
eintreffenden Mails tragen den Zusatz "Spam:" in der Betreffzeile nicht.
Trotz der Erkennung aus Spam bei webshield.connectiv.de wird die Mail
aber per SMTP verschickt. Wie paßt das zusammen?
Daniel Rehbein
www.mein-westfalen.de
Daniel Rehbein
>> Subject: Spam: oh~ bideo
Auch mail.x-dot.de [195.35.108.68] kennzeichnet die Mail im Betreff als
Spam, schickt sie mir aber trotzdem. Was mir bei der Mail auch noch
auffällt: Die Absenderadressen passen zu den IP-Adressen. So wird
kath-kirche-hannover.de tatsächlich bei x-dot.de verwaltet.
Seltsamerweise finde ich trotz zu dem Betreff "oh~ bideo" keinerlei
Meldung irgendwo im Web oder Usenet. Auch news.admin.net-abuse.sightings
hat nichts passendes. Und hier in de.admin.net-abuse.mail führe ich
Selbstgespräche. Dabei müsste die Kennzeichnung der Mails durch manche
der ausliefernden Mailserver als "Spam" doch dafür sprechen, daß außer
mir noch viele andere solche Mails erhalten haben.
Daniel Rehbein
www.mein-dortmund.de
------- schnipp -------
X-Envelope-From: <kath-kirch...@kath-kirche-hannover.de>
X-Envelope-To: <romeo....@guestbook.myphotos.cc>
X-Delivery-Time: 1122741099
Received: from mail.x-dot.de [195.35.108.68:52087] (EHLO baldur.x-dot.de)
for <romeo....@guestbook.myphotos.cc>; Sa, 30 Jul 2005 18:31:39
+0200 (CEST)
Received: from web-c3oqhi3bnde ([221.139.3.14])
by baldur.x-dot.de (8.12.3/8.12.3/Debian-6.6) with SMTP id j6UGUQu4023428;
Sat, 30 Jul 2005 18:30:27 +0200
Message-Id: <200507301630....@baldur.x-dot.de>
From: "bee" <kath-kirch...@kath-kirche-hannover.de>
To: romeo....@virus.blogdns.com
Subject: *****SPAM***** oh~ bideo
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="3df63bb8-5dcd-4124-ba8c-b8df580384d3"
Date: Sun, 31 Jul 2005 01:30:26 +0900
X-xdot-MailScanner-Information: Please contact x-dot GmbH for more
information
X-xdot-MailScanner: Found to be clean
X-xdot-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=8.305, benötigt 5,
BAYES_10 -0.91, HTML_60_70 0.11, HTML_CHARSET_FARAWAY 0.50,
HTML_MESSAGE 0.10, MIME_BOUND_MANY_HEX 2.70,
MIME_CHARSET_FARAWAY 2.45, MIME_HTML_ONLY 0.32,
MSGID_FROM_MTA_SHORT 3.03)
X-xdot-MailScanner-SpamScore: ssssssss
This is a multi-part message in MIME format
--3df63bb8-5dcd-4124-ba8c-b8df580384d3
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/c8123k5233x" target=3D"_blank">web =
bideo</a></p>
</body>
http://myhome.naver.com/c8123k5233x
</html>
[hvQfQZAJaA[Tax]
--3df63bb8-5dcd-4124-ba8c-b8df580384d3--
.
Bodo Eggert
> Mir fällt gerade auf: Die Mail ist offenbar von webshield.connectiv.de
> als Spam klassifiziert worden. Denn die von anderen Servern
> eintreffenden Mails tragen den Zusatz "Spam:" in der Betreffzeile nicht.
> Trotz der Erkennung aus Spam bei webshield.connectiv.de wird die Mail
> aber per SMTP verschickt. Wie paßt das zusammen?
Z.B MailScanner kennzeichnet verdächtige Mails als Spam, leitet sie aber
weiter, wenn sie einen Grenzwert nicht überschreiten.
--
Ich danke GMX dafür, die Verwendung meiner Adressen mittels per SPF
verbreiteten Lügen zu sabotieren.
Hatto von Hatzfeld
> In den Mails beworben werden Unterseiten von http://myhome.naver.com/,
> auf denen ohne aktive Inhalte lediglich ein paar kryptische Zeichen zu
> sehen sind. Im Code ist aber ein Stück Javascript-Code und eine
> mehrfache Aufführung eines Object-Tags noch vor dem HTML-Body zu sehen.
> Die Object-Tags haben wiztool.cab#version=1,0,0,1 als Codebase.
>
> Weiß jemand, was es damit auf sich hat?
Ich habe wiztool.cab einmal an Kaspersky gemailt und bekam die Antwort
"Hello, thank you, detected."
Es scheint also Malware zu sein.
Auf http://www.kaspersky.com/de/scanforvirus wird sie allerdings noch nicht
erkannt.
Ciao,
Hatto
--
Eine gültige Mailadresse zu verwenden IST eine Regel. Eine ganz normale.
Etwa so verbindlich wie die Regeln des Mensch-ärgere-dich-nicht. Keiner
kann dich zwingen, dich an diese Regeln zu halten. Aber irgendwann will
vielleicht keiner mehr mit dir spielen. [Rudolf Polzer in danam]
Simone Schultze
> Dann aber müsste ich doch zumindest die Smarthosts der großen Provider
> unter den IP-Adressen, von denen der Spam kommt, wiederfinden. Das ist
> aber nicht der Fall.
Reicht "mailout05.sul.t-online.com"?
Derzeit teste ich ein neues Fake-Relay und dachte schon, daß ich
irgendetwas flasch konfiguriert habe, weil ich fast *ausschließlich*
genau diesen Spam bekomme!
Die Sache muß bereits gestern losgegangen sein, und eine extreme
Größenordnung haben. Leider habe ich z.Z. keine Möglichkeit dem näher
nachzugehen (Urlaub).
Der normale Spam kommt schon gar nicht mehr durch :-)
Es _muß_ sich um eine wurmbasierte Geschichte handeln, denn von meinen
Lieblingsspammern habe ich noch keine solche Mail erhalten.
Hier mal ein paar meiner Quellen aus .de:
k-wv.de
ffm1.web-arts.de
mail.hees-computer.de
mail1.pcom.de
mrelay01.ada-arc.de
maildmz01.rrz-freiburg.de
mailsweeperv4.vhm-ibb.de
Hatto von Hatzfeld
> Ich habe wiztool.cab einmal an Kaspersky gemailt und bekam die Antwort
> "Hello, thank you, detected."
>
> Es scheint also Malware zu sein.
>
> Auf http://www.kaspersky.com/de/scanforvirus wird sie allerdings noch
> nicht erkannt.
Nur wenige Minuten später :-) erkennt er jetzt:
wiztool.cab/wiztool.ocx Infiziert: Trojan-Downloader.Win32.Agent.sa
Ciao,
Hatto
--
Zwei Dinge scheinen unendlich zu sein: das Universum
und die menschliche Dummheit. Beim Universum bin ich
mir nicht so sicher... (Albert Einstein)
Rainer Zocholl
>Daniel Rehbein wrote:
>> seit einigen Stunden bekomme ich gleichlautende Spam-Mails von
>> diversen kleinen Providern oder Mailservern von Firmen, z.B. von:
>>
>Interessanterweise kommen solche Mails sogar von einem Host mit dem
>Namen "webshield". Der Name läßt ja vermuten, daß dies ein Firewall
>ist, also etwas, was gerade dafür schützen soll, daß der Rechner von
>Fremden mißbraucht wird.
Nunja, es kommt immer wieder vor das solche "Firewalls"
nur das eigene System schützen, aber ein Sicherheitsloch für
Fremde aufreissen. Erinnert sei an die unsäglich "Viruswall"
der Firma Trendmirco, die vor ein paar Jahre Firmen servern
wohl zu tausende in offene relays verwandelte, da für diese
plötzlich alle emails von 127.0.0.1 kamen...
Rainer
Rainer Zocholl
>Daniel Rehbein wrote:
>> seit einigen Stunden bekomme ich gleichlautende Spam-Mails von
>> diversen kleinen Providern oder Mailservern von Firmen, z.B. von:
>>
>Interessanterweise kommen solche Mails sogar von einem Host mit dem
>Namen "webshield". Der Name läßt ja vermuten, daß dies ein Firewall
>ist, also etwas, was gerade dafür schützen soll, daß der Rechner von
>Fremden mißbraucht wird.
Nunja, es kommt immer wieder vor das solche "Firewalls"
Rainer Zocholl
>Hallo,
>seit einigen Stunden bekomme ich gleichlautende Spam-Mails von
>diversen kleinen Providern oder Mailservern von Firmen, z.B. von:
>mail1.medien-service.net [62.159.226.134]
>mail1.pcom.de [194.25.152.15]
>mail.intramail.de [194.25.224.8]
>mail.nordhessen.net [62.146.89.42]
>node1.mail8.netdiscounter.de [62.112.137.244]
>webshield.connectiv.de [217.6.129.27]
>mrelay01.ada-arc.de [217.144.33.11]
>mail.empex.net [217.5.189.230]
>ffm1.web-arts.de [217.69.162.183]
>mail.kumasoft.de [213.144.27.149]
>moutng.kundenserver.de [212.227.126.186]
>moutng.kundenserver.de [212.227.126.187]
>moutng.kundenserver.de [212.227.126.188]
>mail.pro-stb.de [62.225.15.75]
>In den Mails beworben werden Unterseiten von http://myhome.naver.com/,
>Received: from mail1.pcom.de [194.25.152.15:4312] (EHLO mail1.pcom.de)
> for <patrik...@freulein.guestbook.myphotos.cc>; Sa, 30 Jul 2005
>16:01:56 +0200 (CEST)
Anscheinend benutzen Spammer Deine IP in gefälschten Headern
oder wie kommt das zustande?
news.admin.net-abuse.sightings Oct 14 2004, 1:29 am
From gull...@belchenland.com Thu Oct 14 01:28:39 2004
Return-Path: <gull...@belchenland.com>
X-Original-To: jay.skin...@oryx.com
Received: by kalyani.oryx.com (Postfix, from userid 1005)
id B03F91BDE7B; Thu, 14 Oct 2004 01:28:39 +0200 (CEST)
Received: from ACD2BEBD.ipt.aol.com (ACD2BEBD.ipt.aol.com [172.210.190.189])
by kalyani.oryx.com (Postfix) with SMTP id 12C891BDE5A
for <jay.skin...@oryx.com>; Thu, 14 Oct 2004 01:28:35 +0200 (CEST)
Received: from belchenland.com (mail1.pcom.de [194.25.152.15])
by ACD2BEBD.ipt.aol.com (Postfix) with ESMTP id CB7890EBD9
for <jay.skin...@oryx.com>; Thu, 14 Oct 2004 02:21:42 -0400
Message-ID: <000101c4b1b6$bd962dbe$85dc...@belchenland.com>
Gibt man nur die IP im Mozilla an, landet man auf einer
Seite " WebMail-Zugriff"
http://194.25.152.15/
Server: MERCUR WebMail-Service v1.10.16
"MERCUR WebMail-Client Version 1.1"
http://162.146.89.42 -> http://mail.nordhessen.net:1080/->
Server: MERCUR WebMail-Service v1.10.35
"MERCUR WebMail-Client Version 1.1"
http://62.159.226.134/ -> Post.Office v3.5.3 release 223
Keine Server infos
Abbreviated license number: 127-56717U2500L250S0V35
Software.com, Inc. 1993-1998(!)
http://62.112.137.244/
Server: Apache/2.0.53 (Linux/SUSE)
X-Powered-By: PHP/4.3.10
http://62.112.137.244/horde/imp/login.php
IMP: Copyright 2001-2004, The Horde Project. IMP is under the GPL.
http://217.69.162.183/
Server: Apache/1.3.27 (Unix) mod_ssl/2.8.12 OpenSSL/0.9.6h PHP/4.3.3 mod_webapp/1.2.0-dev mod_jk/1.2.2
X-Powered-By: PHP/4.3.3
Image(!) uc.gif: "Diese Websietbefindet sich momentan im Aufbau!"
alt-tetxt: under conrstuction"
http://213.144.27.149/cgi-bin/qmailadmin
Server: Apache/2.0.40 (Red Hat Linux)
"Mailadministration mail.kumasoft.de"
Als kommentar:
http://sourceforge.net/projects/qmailadmin/ qmailadmin 1.2.7
http://www.inter7.com/vpopmail/ vpopmail 5.4.2
"qmailadmin 1.2.7"
CAN-2002-1414
Buffer overflow in qmailadmin allows local users to gain privileges via a
long QMAILADMIN_TEMPLATEDIR environment variable.
Not Vulnerable: Inter7 qmailadmin 1.0.6 ff.
Ist also wohl schon behoben.
"vpopmail 5.4.2"
http://www.securityfocus.com/archive/1/372257
Sieht schon "besser" aus...
Ist doch schon seltsam, das da fast überall auf dem Masil server auch
ein Webserver mit Webmail o.ae. läuft.
Sollen die Spamer inzwischen "genötigt" sein, webmail formulare
zu gebrauchen?
Du müsstest anhand der Header besser sehen könen wo das webmail
interface liegen könnte.
Rainer
Rainer Zocholl
>Hallo,
>seit einigen Stunden bekomme ich gleichlautende Spam-Mails von
>diversen kleinen Providern oder Mailservern von Firmen, z.B. von:
>mail1.medien-service.net [62.159.226.134]
>mail1.pcom.de [194.25.152.15]
>mail.intramail.de [194.25.224.8]
>mail.nordhessen.net [62.146.89.42]
>node1.mail8.netdiscounter.de [62.112.137.244]
>webshield.connectiv.de [217.6.129.27]
>mrelay01.ada-arc.de [217.144.33.11]
>mail.empex.net [217.5.189.230]
>ffm1.web-arts.de [217.69.162.183]
>mail.kumasoft.de [213.144.27.149]
>moutng.kundenserver.de [212.227.126.186]
>moutng.kundenserver.de [212.227.126.187]
>moutng.kundenserver.de [212.227.126.188]
>mail.pro-stb.de [62.225.15.75]
>In den Mails beworben werden Unterseiten von http://myhome.naver.com/,
>Received: from mail1.pcom.de [194.25.152.15:4312] (EHLO mail1.pcom.de)
> for <patrik...@freulein.guestbook.myphotos.cc>; Sa, 30 Jul 2005
>16:01:56 +0200 (CEST)
Rainer Zocholl
>Daniel Rehbein wrote:
>> seit einigen Stunden bekomme ich gleichlautende Spam-Mails von
>> diversen kleinen Providern oder Mailservern von Firmen, z.B. von:
>>
>> webshield.connectiv.de [217.6.129.27]
>Interessanterweise kommen solche Mails sogar von einem Host mit dem
>Namen "webshield". Der Name läßt ja vermuten, daß dies ein Firewall
>ist, also etwas, was gerade dafür schützen soll, daß der Rechner von
>Fremden mißbraucht wird.
Die Möhre ist auch nicht unbekannt:
Return-Path: <serv...@alpenland.com>
Received: from webshield (webshield.connectiv.de [217.6.129.27])
by xcobalt.connectiv.de (8.9.3/8.9.3) with SMTP id TAA05376
for <fiek...@connectiv.de>; Thu, 4 Oct 2001 19:22:01 +0200
From: serv...@alpenland.com
Received: FROM al1.alpenland.com BY webshield ; Thu Oct 04 19:14:56 2001
+0200
Received: from wz ([192.168.1.30]) by al1.alpenland.com
(Post.Office MTA v3.5.3 release 223 ID# 0-0U10L2S100V35)
with SMTP id com; Thu, 4 Oct 2001 19:29:36 +0200
To: Interessen...@xcobalt.connectiv.de
Subject: 04.10., Ihre Anfrage via Webmasterplan
Date: Thu, 04 Oct 2001 19:15:59 +0100
Message-Id: <37168.802776041664000.958@localhost>
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 8bit
X-UIDL: 80dbc91fc2c1c79c14ae285f3b3fef75
>78 Mio. mögl. Pressekontakte nur 9,80 Euro
>Daniel Rehbein
>www.mein-dortmund.de
>------- schnipp -------
Rainer
Daniel Rehbein
>> Dann aber müsste ich doch zumindest die Smarthosts der großen Provider
>> unter den IP-Adressen, von denen der Spam kommt, wiederfinden. Das ist
>> aber nicht der Fall.
> Reicht "mailout05.sul.t-online.com"?
Von dieser Adresse kommen die Mails bei mir nicht, dafür aber von
diversen anderen Adressen, die laut whois-Auskunft zum Telekom-Netz gehören:
mail.intramail.de [194.25.224.8]
mail.gebr-wunderlich.de [80.146.184.58]
ns.owa.de [217.6.22.226]
isis.starke-erfurt.de [212.185.192.129]
mail.hsb.net [195.145.126.4]
welcome-to.datecpro.de [195.145.99.30]
mail.empex.net [217.5.189.230]
mail.conceptnet.com [217.7.108.14]
mail.realfriends4ever.de [194.25.166.238]
Daniel Rehbein
www.daniel-rehbein.de
Daniel Rehbein
> Anscheinend benutzen Spammer Deine IP in gefälschten Headern
> oder wie kommt das zustande?
> From gull...@belchenland.com Thu Oct 14 01:28:39 2004
> Return-Path: <gull...@belchenland.com>
> X-Original-To: jay.skin...@oryx.com
> Received: by kalyani.oryx.com (Postfix, from userid 1005)
> id B03F91BDE7B; Thu, 14 Oct 2004 01:28:39 +0200 (CEST)
> Received: from ACD2BEBD.ipt.aol.com (ACD2BEBD.ipt.aol.com [172.210.190.189])
> by kalyani.oryx.com (Postfix) with SMTP id 12C891BDE5A
> for <jay.skin...@oryx.com>; Thu, 14 Oct 2004 01:28:35 +0200 (CEST)
> Received: from belchenland.com (mail1.pcom.de [194.25.152.15])
> by ACD2BEBD.ipt.aol.com (Postfix) with ESMTP id CB7890EBD9
> for <jay.skin...@oryx.com>; Thu, 14 Oct 2004 02:21:42 -0400
> Message-ID: <000101c4b1b6$bd962dbe$85dc...@belchenland.com>
Daß die Angaben in nachfolgenden Received-Zeilen nicht vertrauenswürdig
sind, ist ja nicht gerade ein Geheimnis. Bei mir kommen die Mails aber
direkt von den genannten Adressen, u.a. von mail1.pcom.de, an. Deshalb
steht bei mir diese Adresse ja auch in der obersten Received-Zeile.
X-Envelope-From: <memory-...@memory-metalle.de>
X-Envelope-To: <tanja...@das.guestbook.myphotos.cc>
X-Delivery-Time: 1122752657
Received: from mail1.pcom.de [194.25.152.15:3172] (EHLO mail1.pcom.de)
for <tanja...@das.guestbook.myphotos.cc>; Sa, 30 Jul 2005 21:44:17
+0200 (CEST)
Received: from web-c3oqhi3bnde (221.139.3.14)
by mail1.pcom.de with MERCUR Mailserver (v4.03.15
MTIxLTIxNzgtNTkwMA==)
for <tanja...@das.guestbook.myphotos.cc>; Sat, 30 Jul 2005
21:43:00 +0200
From: "nanana" <memory-...@memory-metalle.de>
To: tanja....@xqopx.serveftp.org
Subject: web bideo oh~ web bideo
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="06008019-02da-4ecf-bdf3-6f1a0bec7046"
Date: Sun, 31 Jul 2005 04:42:53 +0900
Message-Id: <05073021...@mail1.pcom.de>
This is a multi-part message in MIME format
--06008019-02da-4ecf-bdf3-6f1a0bec7046
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/n3630d4409k" target=3D"_blank">web =
bideo</a></p>
</body>
http://myhome.naver.com/n3630d4409k
</html>
[qy_uGvuaDqbxVSh]
--06008019-02da-4ecf-bdf3-6f1a0bec7046--
.
Daniel Rehbein
> Ist doch schon seltsam, das da fast überall auf dem Masil server auch
> ein Webserver mit Webmail o.ae. läuft.
>
> Sollen die Spamer inzwischen "genötigt" sein, webmail formulare
> zu gebrauchen?
> Du müsstest anhand der Header besser sehen könen wo das webmail
> interface liegen könnte.
Ich bekomme die Mail u.a. auch von der Adresse www.hartmutspenner.de
[212.124.39.195]. Schaut man sich die Webseite an, so sieht man ein paar
Seiten eines Antiquariats. Offenbar hat sich da jemand ein
Dedicated-Server-Angebot aufschwatzen lassen (und benutzt trotzdem keine
serverseitigen Skripte, sondern Javascript für Funktionalitäten). Eine
Webmail-Oberfläche kann ich dort aber nicht finden.
Daniel Rehbein
www.daniel-rehbein.de
------- schnipp -------
X-Envelope-From: <hartmut...@hartmutspenner.de>
X-Envelope-To: <dirk....@guestbook.myphotos.cc>
X-Delivery-Time: 1122784723
Received: from www.hartmutspenner.de [212.124.39.195:40966] (EHLO
hartmut-spenner.hartmutspenner.de)
for <dirk....@guestbook.myphotos.cc>; So, 31 Jul 2005 06:38:43 +0200
(CEST)
Received: from vzzozzhovcbovz.pdzl.com ([211.117.203.21])
by hartmut-spenner.hartmutspenner.de (8.12.3/8.12.3/Debian-6.6) with
SMTP id j6V3fplj028951;
Sun, 31 Jul 2005 05:41:52 +0200
Message-Id: <200507310341....@hartmut-spenner.hartmutspenner.de>
From: "dmgf" <hartmut...@hartmutspenner.de>
To: dirk....@wurmloch.darktech.org
Subject: web bideo oh~ web bideo
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="fdf64540-acd3-4d14-ac44-0e32686cbcb1"
Date: Sun, 31 Jul 2005 13:37:42 +0900
This is a multi-part message in MIME format
--fdf64540-acd3-4d14-ac44-0e32686cbcb1
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/k0910t1851t" target=3D"_blank">web =
bideo</a></p>
</body>
http://myhome.naver.com/k0910t1851t
</html>
[cGbTmxfFckmsCRbOcNsf]
--fdf64540-acd3-4d14-ac44-0e32686cbcb1--
.
Daniel Rehbein
> Du müsstest anhand der Header besser sehen könen wo das webmail
> interface liegen könnte.
Wenn die Mails tatsächlich über eine Webmail-Oberfläche eingegeben
würden, dann müssten ja sämtliche Received-Header stimmen. Dies gibt
aber bei den meisten der Mails keinen Sinn.
Siehe z.B. die unten zitierte Mail: Diese ist bei meinem Mailserver von
der Adresse mail2.macrois.de [212.223.44.51] (Port 44730) angekommen.
Die Received-Zeile darunter besagt, daß die Mail auf dem Rechner
mail2.macrois.de von einem Prozeß zu einem anderen (auf derselben
Maschine, also localhost) transferiert wurde. Die Zeile darunter besagt,
daß die Mail auf dem Server mail2.macrois.de von einem Server in Korea,
nämlich 222.108.183.127 empfangen wurde.
Wenn die Webmail-These stimmen würde, müsste also mail2.macrois.de der
Relay-Server für eine Webmail-Oberfläche eines Webservers in Korea sein.
Daniel Rehbein
www.rehbein-dortmund.de
------- schnipp -------
X-Envelope-From: <schmitt...@schmitts-kinder.com>
X-Envelope-To: <erik...@guestbook.myphotos.cc>
X-Delivery-Time: 1122801273
Received: from mail2.macrois.de [212.223.44.51:44730] (EHLO
mail2.macrois.de)
for <erik...@guestbook.myphotos.cc>; So, 31 Jul 2005 11:14:33 +0200
(CEST)
Received: (from root@localhost)
by mail2.macrois.de (8.12.6/8.12.6/SuSE Linux 0.6) id j6V9CeV3009898;
Sun, 31 Jul 2005 11:12:40 +0200
Received: from vvvozciozibozvh.pdzl.com ([222.108.183.127])
by mail2.macrois.de (8.12.6/8.12.6/SuSE Linux 0.6) with SMTP id
j6V9CXsO009891;
Sun, 31 Jul 2005 11:12:34 +0200
Message-Id: <200507310912....@mail2.macrois.de>
From: "mr,rr" <schmitt...@schmitts-kinder.com>
To: erik...@guestbook.bbsindex.com
Subject: oh~ bideo
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="368db9df-146c-44f1-ade0-960e56b3d09e"
Date: Sun, 31 Jul 2005 18:13:37 +0900
X-Virus-Scanned: by macroIS MAIL SCAN - see www.macroIS.de
This is a multi-part message in MIME format
--368db9df-146c-44f1-ade0-960e56b3d09e
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/x6321d3506w" target=3D"_blank">web =
bideo</a></p>
</body>
http://myhome.naver.com/x6321d3506w
</html>
[pYmAyfg_PR]
--368db9df-146c-44f1-ade0-960e56b3d09e--
.
Daniel Rehbein
noch ein paar Zeilen zum Thema SPF in den Header. Kann jemand etwas
damit anfangen? Ich weiß nicht, wie das zu lesen ist.
Die oberste Received-Zeile, in der dokumentiert wird, daß mir die Mail
von 84.245.137.196 (Quell-Port 3978) zugestellt wurde, stammt von meinem
Mailserver. Alles andere darunter ist der Originalheader, wie er mir von
mail.hees-computer.de [84.245.137.196] übermittelt wurde:
X-Envelope-From: <berle...@berleburger.de>
X-Envelope-To: <sonja.s...@rocket.guestbook.myphotos.cc>
X-Delivery-Time: 1122771165
Received: from mail.hees-computer.de [84.245.137.196:3978] (EHLO
mail.hees-computer.de)
for <sonja.s...@rocket.guestbook.myphotos.cc>; So, 31 Jul 2005
02:52:45 +0200 (CEST)
X-MDSPF-Result: none (mail.hees-computer.de)
Received-SPF: none (mail.hees-computer.de: berle...@berleburger.de
does not
designate permitted sender hosts)
x-spf-client=MDaemon.PRO.v8.1.0.R
receiver=mail.hees-computer.de
client-ip=221.139.3.14
envelope-from=<berle...@berleburger.de>
helo=web-c3oqhi3bnde
Received: from web-c3oqhi3bnde ([221.139.3.14])
by hees.de (mail.hees-computer.de)
(MDaemon.PRO.v8.1.0.R)
with ESMTP id md50002792082.msg
for <sonja.s...@rocket.guestbook.myphotos.cc>; Sat, 30 Jul 2005
20:35:56 +0200
From: "web" <berle...@berleburger.de>
To: sonja.s...@helsinki.gotdns.com
Subject: oh~ bideo
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="e6581448-cc0a-40e0-90d7-4cbbc7a757ea"
Date: Sun, 31 Jul 2005 03:35:49 +0900
X-Spam-Processed: mail.hees-computer.de, Sat, 30 Jul 2005 20:35:56 +0200
(not processed: message from valid local sender)
X-MDRemoteIP: 221.139.3.14
X-Return-Path: berle...@berleburger.de
X-MDaemon-Deliver-To: sonja.s...@rocket.guestbook.myphotos.cc
Reply-To: berle...@berleburger.de
Message-ID: <MDAEMON-F200507302035...@hees.de>
X-MDAV-Processed: mail.hees-computer.de, Sat, 30 Jul 2005 20:35:58 +0200
This is a multi-part message in MIME format
--e6581448-cc0a-40e0-90d7-4cbbc7a757ea
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/e0843u7962m" target=3D"_blank">web =
bideo</a></p>
</body>
http://myhome.naver.com/e0843u7962m
</html>
[TnypLLfnF_QeZqX]
--e6581448-cc0a-40e0-90d7-4cbbc7a757ea--
.
Daniel Rehbein
> Weiß jemand, was es damit auf sich hat? Und wieso kommt diese Mail nicht
> von verwurmnten Rechnern in Domains wie z.B. t-dialin.net oder
> t-ipconnect.de?
Ich habe jetzt die erste derartige Mail von einem Dialup-Zugang bekommen!
Aber auch bei diesem Vorgang sind wieder diesselben Auffälligkeiten
vorhanden, die belegen, daß es nicht einfach nur eine verwurmte
Windows-Kiste ist, sondern ein gezielt angesprochener Mailserver:
Ich habe die Mail bekommen von dem Host p5485546D.dip.t-dialin.net
[84.133.84.109]. Der Helo-String lautete "mailonly.de" und die
Absenderadresse ist velt...@veltheim.net. Schlage ich nun die Domain
der Absenderadresse, also veltheim.net, im DNS nach, so finde ich als
MX-Records mailonly.homeip.net und mailonly.mine.nu, also zwei
Dyndns-Adressen. Diese beiden Adressen zeigen derzeit beide auf
84.133.84.109, also genau die IP-Adresse, von der ich die Spam-Mail
erhalten habe. Zu demselben Resultat komme ich, wenn ich die Domain als
dem Helo-String, also mailonly.de, nachschlage. Offensichtlich funguert
also die dynamische IP-Adresse p5485546D.dip.t-dialin.net
[84.133.84.109] derzeit gerade als "richtiger" Mailserver.
Es macht also den Anschein, also würde der Verursacher die E-Mails sich
Absender-E-Mail-Adresse heraussuchen (wie in diesem Fall
velt...@veltheim.net), dazu die MX-Records ermitteln, und dann den
Mailserver irgendwie dazu bringen, Mails zuzustellen. Wie schafft der das?
Daniel Rehbein
www.daniel-rehbein.de
------- schnipp -------
X-Envelope-From: <velt...@veltheim.net>
X-Envelope-To: <felix...@claus.guestbook.myphotos.cc>
X-Delivery-Time: 1122812327
Received: from p5485546D.dip.t-dialin.net [84.133.84.109:59138] (EHLO
mailonly.de)
for <felix...@claus.guestbook.myphotos.cc>; So, 31 Jul 2005 14:18:47
+0200 (CEST)
Received: from vvcoseozcsozzi.pdzl.com by mailonly.de
with SMTP (MDaemon.PRO.v6.5.1.R)
for <felix...@claus.guestbook.myphotos.cc>; Sun, 31 Jul 2005
13:58:42 +0200
From: "dmgf" <velt...@veltheim.net>
To: felix...@y24483.xqopx.serveftp.org
Subject: oh~ bideo
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="8141b613-9bc8-479a-a297-a7fc97803ad2"
Date: Sun, 31 Jul 2005 20:58:34 +0900
X-Return-Path: velt...@veltheim.net
X-MDaemon-Deliver-To: felix...@claus.guestbook.myphotos.cc
Reply-To: velt...@veltheim.net
Message-ID: <MDAEMON-F200507311358....@mailonly.de>
This is a multi-part message in MIME format
--8141b613-9bc8-479a-a297-a7fc97803ad2
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/n0965z6965s" target=3D"_blank">web =
bideo</a></p>
</body>
http://myhome.naver.com/n0965z6965s
</html>
[BsDmLudWGjMY[itB]]
--8141b613-9bc8-479a-a297-a7fc97803ad2--
.
Daniel Rehbein
> Es macht also den Anschein, also würde der Verursacher die E-Mails sich
> Absender-E-Mail-Adresse heraussuchen (wie in diesem Fall
> velt...@veltheim.net), dazu die MX-Records ermitteln, und dann den
> Mailserver irgendwie dazu bringen, Mails zuzustellen.
Genau dies wird auch von den anderen Mails bestätigt. Zum Beispiel
kommen hier gerade etliche SMTP-Verbindungen vom Host
postamt.dataware.net [212.95.117.188] an. Die Absenderadressen der dabei
übermittelten Mails sind musik-p...@musik-produktiv.at und
eic...@eichner.net, der Helo-String ist einfach nur die IP-Adresse
212.95.117.188.
Die IP-Adresse 212.95.117.188 gehört zu dem vergleichsweise kleinen
Segment 212.95.117.128 bis 212.95.117.191 und ist registriert auf
Ullrich Eichner, Musik Produktiv GmbH & Co KG in Ibbenbueren.
Die Domainnamen musik-produktiv.at (TLD ist ".at", nicht ".de"!) und
eichner.net tauchen in der whois-Auskunft zu 212.95.117.188 nicht auf
(im Gegensatz zu der ".de"-Domain musik-produktiv.de). Der Verursacher
dieser Mails hat also nicht zu der IP-Adresse 212.95.117.188 plausible
Absenderadresse kreiert. Sondern es geht genau andersherum: Er muß
zuerst die Absenderadressen musik-p...@musik-produktiv.at und
eic...@eichner.net gehabt haben, zu denen er dann laut DNS den
MX-Server postamt.dataware.net gefunden hat.
Das ist natürlich eine seltsame und ungewohnte Situation: Der Spammer
knackt nicht irgendwelche Server und setzt wahllos Absenderadressen ein,
sondern der Spammer knackt gezielt die MX-Server zu den von ihm
gewählten Absenderadressen.
Wie schafft der Spam-Versender das? Er muß ja irgendeinen Weg gefunden
haben, um jeden X-beliebigen Mailserver zu knacken.
Immerhin hat laut Received-Zeilen der Rechner postamt.dataware.net die
Mail von dem Server 221.139.3.14 entgegengenommen, also Fernost. Wie
schafft der Mensch in Fernost es, beliebige Mailserver (der Server
postamt.dataware.net ist ja offenbar nicht gezielt wegen
Sicherheitslücken ausgewählt worden, sondern hat sich anhand einer
DNS-Anbfrage aus den Absenderadressen ergeben) dazu zu bewegen, seine
Mails zu relayen?
Daniel Rehbein
www.mein-westfalen.de
------- schnipp -------
X-Envelope-From: <musik-p...@musik-produktiv.at>
X-Envelope-To: <martin...@sybille.guestbook.myphotos.cc>
X-Delivery-Time: 1122809188
Received: from postamt.dataware.net [212.95.117.188:28731] (HELO
[212.95.117.188])
for <martin...@sybille.guestbook.myphotos.cc>; So, 31 Jul 2005
13:26:28 +0200 (CEST)
Received: from mail.dataware.net by [212.95.117.188]
via smtpd (for p5090D7FA.dip.t-dialin.net [80.144.215.250])
with SMTP; Sun, 31 Jul 2005 13:28:00 +0200
Received: from [192.168.1.1] by mail.dataware.net
(Netscape Messaging Server 3.56) with SMTP id 298;
Sat, 30 Jul 2005 12:45:44 +0200
Received: from [221.139.3.14] ([221.139.3.14]) by [192.168.1.1]
via smtpd (for [192.168.1.254] [192.168.1.254]) with SMTP;
Sat, 30 Jul 2005 12:52:13 +0200
From: "dmgf" <musik-p...@musik-produktiv.at>
To: martin...@sybille.guestbook.myphotos.cc
Subject: oh~ bideo
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="8eba25a6-2319-4902-81c0-15b2a8bf7251"
Date: Sat, 30 Jul 2005 19:50:31 +0900
Message-ID: <20050730104532060.AAA267.298@[192.168.1.1]>
This is a multi-part message in MIME format
--8eba25a6-2319-4902-81c0-15b2a8bf7251
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/o1858n3109q" target=3D"_blank">web =
bideo</a></p>
</body>
http://myhome.naver.com/o1858n3109q
</html>
[uaZyUCiLpqud]
--8eba25a6-2319-4902-81c0-15b2a8bf7251--
.
Daniel Rehbein
> Die Domainnamen musik-produktiv.at (TLD ist ".at", nicht ".de"!) und
> eichner.net tauchen in der whois-Auskunft zu 212.95.117.188 nicht auf
> (im Gegensatz zu der ".de"-Domain musik-produktiv.de). Der Verursacher
> dieser Mails hat also nicht zu der IP-Adresse 212.95.117.188 plausible
> Absenderadresse kreiert. Sondern es geht genau andersherum: Er muß
> zuerst die Absenderadressen musik-p...@musik-produktiv.at und
> eic...@eichner.net gehabt haben, zu denen er dann laut DNS den
> MX-Server postamt.dataware.net gefunden hat.
>
> Das ist natürlich eine seltsame und ungewohnte Situation: Der Spammer
> knackt nicht irgendwelche Server und setzt wahllos Absenderadressen ein,
> sondern der Spammer knackt gezielt die MX-Server zu den von ihm
> gewählten Absenderadressen.
>
> Wie schafft der Spam-Versender das? Er muß ja irgendeinen Weg gefunden
> haben, um jeden X-beliebigen Mailserver zu knacken.
Die Lösung ist ja so einfach ;-)
Die betreffenden Mailserver verhalten sich als offenes Relay, wenn sie
nur beim RCPT-Kommando mit der richtigen Absenderadresse gefüttert werden.
Ich habe es stichprobenhaft ausprobiert. Während die Server bei einer
beliebig gewählten Absenderadresse das Relaying ablehnen, werden sie zum
offenen Relay, sobald ich im SMTP-Dialog bei RCPT eine passende
E-Mail-Adresse angebe. Und offenbar ist dieses Verhalten bei Mailservern
weit verbreitet.
Ihr könnte ja selbst mal ein paar Stichproben machen, um das zu
verifizieren. Hier ein paar IP-Adressen und die dazugehörigen
Envelope-From-Adressen aus Mails (die ohnehin verbrannt sind, da sie in
Spam-Mails auftauchen), die ich erhalten habe:
max.sm-inter.net [193.239.164.11] X-Envelope-From:
<blumenstrau...@blumenstrauss-versenden.de>
node1.mail8.netdiscounter.de [62.112.137.244]
X-Envelope-From: <cdar...@cdarchiv.de>
smtp.cyberpark.de [195.226.124.1] X-Envelope-From:
<kirschne...@kirschner-wohnbau.de>
mail.webpool.de [212.172.240.7] X-Envelope-From: <aqua...@aquafree.net>
mail1.medien-service.net [62.159.226.134] X-Envelope-From:
<mond...@mondbasis.net>
mail2.macrois.de [212.223.44.51] X-Envelope-From:
<denk-...@denk-stein.com>
mail6.nci.de [212.52.224.2] X-Envelope-From: <fairm...@fairmoulds.net>
mail.conceptnet.com [217.7.108.14] X-Envelope-From:
<stadt...@stadthalle.net>
ibggate.niederrhein.de [213.164.155.1] X-Envelope-From:
<kuers...@kuerschner.de>
node1.mail8.netdiscounter.de [62.112.137.244] X-Envelope-From:
<dr...@drwe.net>
mx1.globe.de [212.124.36.2] X-Envelope-From: <fr...@frocc.org>
www.pherzog.de [84.19.0.31] X-Envelope-From: <df...@dfpug.de>
mail1.pcom.de [194.25.152.15] X-Envelope-From:
<memory-...@memory-metalle.de>
mail.x-dot.de [195.35.108.68] X-Envelope-From:
<kath-kirch...@kath-kirche-hannover.de>
mrelay01.ada-arc.de [217.144.33.11] X-Envelope-From: <has...@has-ps.com>
twos.de [80.228.25.4] X-Envelope-From: <kemp...@kempowski.de>
krusty.saemann.de [212.14.92.65] X-Envelope-From: <breit...@breithaupt.de>
mail.intramail.de [194.25.224.8] X-Envelope-From:
<bauer...@bauer-milch.de>
ns.owa.de [217.6.22.226] X-Envelope-From: <ent...@entrox.net>
webshield.connectiv.de [217.6.129.27] X-Envelope-From:
<agrarb...@agrarberatung.com>
smtp.dedenet.de [195.145.96.19] X-Envelope-From: <diyo...@diyonline.de>
Daniel Rehbein
> Die betreffenden Mailserver verhalten sich als offenes Relay, wenn sie
> nur beim RCPT-Kommando mit der richtigen Absenderadresse gefüttert werden.
>
> Ich habe es stichprobenhaft ausprobiert. Während die Server bei einer
> beliebig gewählten Absenderadresse das Relaying ablehnen, werden sie zum
> offenen Relay, sobald ich im SMTP-Dialog bei RCPT eine passende
> E-Mail-Adresse angebe. Und offenbar ist dieses Verhalten bei Mailservern
> weit verbreitet.
Ich meine natürlich nicht RCPT, sondern FROM. Die Absenderadresse wird
ja im FROM angegeben.
Daniel Rehbein
www.daniel-rehbein.de
Hatto von Hatzfeld
> Der Mailserver mail.hees-computer.de [84.245.137.196] schreibt sogar
> noch ein paar Zeilen zum Thema SPF in den Header. Kann jemand etwas
> damit anfangen? Ich weiß nicht, wie das zu lesen ist.
>
> Received-SPF: none (mail.hees-computer.de: berle...@berleburger.de
> does not designate permitted sender hosts)
> x-spf-client=MDaemon.PRO.v8.1.0.R
> receiver=mail.hees-computer.de
> client-ip=221.139.3.14
> envelope-from=<berle...@berleburger.de>
> helo=web-c3oqhi3bnde
> Received: from web-c3oqhi3bnde ([221.139.3.14])
> by hees.de (mail.hees-computer.de)
> (MDaemon.PRO.v8.1.0.R)
> with ESMTP id md50002792082.msg
> for <sonja.s...@rocket.guestbook.myphotos.cc>; Sat, 30 Jul 2005
> 20:35:56 +0200
Das heißt nur, dass der Mailserver mail.hees-computer.de nachgesehen hat, ob
die (koreanische!) IP 221.139.3.14, von der er die Mail angenommen hat, zur
Absenderadresse berle...@berleburger.de passt. Da für diese Domain aber
kein SPF-Record definiert ist, ist das Ergebnis "none".
Dass die Mail aus Korea kommt, passt ja zum koreanischen
Free-Webspace-Anbieter, bei dem der Trojaner abgelegt ist.
Zu klären wäre aber, warum mail.hees-computer.de diese Mail überhaupt
weitergeleitet hat. Auf einer Blacklist scheint er noch nicht gelandet zu
sein, ist also wohl auch kein offenes Relay. Seltsam ist da aber die Zeile:
> X-Spam-Processed: mail.hees-computer.de, Sat, 30 Jul 2005 20:35:56 +0200
> (not processed: message from valid local sender)
Man sollte mal den postmaster von hees-computer.de fragen...
Daniel Rehbein
> Das heißt nur, dass der Mailserver mail.hees-computer.de nachgesehen hat, ob
> die (koreanische!) IP 221.139.3.14, von der er die Mail angenommen hat, zur
> Absenderadresse berle...@berleburger.de passt. Da für diese Domain aber
> kein SPF-Record definiert ist, ist das Ergebnis "none".
>
> Dass die Mail aus Korea kommt, passt ja zum koreanischen
> Free-Webspace-Anbieter, bei dem der Trojaner abgelegt ist.
>
> Zu klären wäre aber, warum mail.hees-computer.de diese Mail überhaupt
> weitergeleitet hat. Auf einer Blacklist scheint er noch nicht gelandet zu
> sein, ist also wohl auch kein offenes Relay.
telnet mail.hees-computer.de 25
Trying 84.245.137.196...
Connected to mail.hees-computer.de.
Escape character is '^]'.
220 hees.de ESMTP MDaemon 8.1.0; Sun, 31 Jul 2005 15:34:37 +0200
HELO x
250 hees.de Hello p5091B218.dip0.t-ipconnect.de, pleased to meet you
MAIL FROM:<berle...@berleburger.de>
250 <berle...@berleburger.de>, Sender ok
RCPT TO:<...>
250 <...>, Recipient ok
DATA
354 Enter mail, end with <CRLF>.<CRLF>
Relaytest.
.
250 Ok, message saved <Message-ID: >
QUIT
221 See ya in cyberspace
Connection closed by foreign host.
Bei <...> habe ich meine eigene E-Mail-Adresse angegeben. Die Mail ist
tatsächlich bei mir angekommen. Es ist also so, wie ich mittlerweile
bereits an anderer Stelle dieses Threads kundgetan habe:
Wenn man nur im "MAIL FROM:" die richtige Absenderadresse angibt,
verhält der Server sich wie ein offenes Relay. Und leider nicht nur
dieser, sondern viele Server...
Daniel Rehbein
www.mein-dortmund.de
Daniel Rehbein
Hier noch die E-Mail, wie sie bei mir angekommen ist, meine eigene
E-Mail-Adresse durch <...> ersetzt:
X-Envelope-From: <berle...@berleburger.de>
X-Envelope-To: <...>
X-Delivery-Time: 1122816929
Received: from mail.hees-computer.de (mail.hees-computer.de
[84.245.137.196])
by mailin.webmailer.de (8.13.1/8.13.1) with ESMTP id j6VDZSWe016706
for <...>; Sun, 31 Jul 2005 15:35:29 +0200 (MEST)
Date: Sun, 31 Jul 2005 15:35:28 +0200 (MEST)
From: berle...@berleburger.de
Message-Id: <200507311335....@mailin.webmailer.de>
X-MDSPF-Result: none (mail.hees-computer.de)
Received-SPF: none (mail.hees-computer.de: berle...@berleburger.de
does not
designate permitted sender hosts)
x-spf-client=MDaemon.PRO.v8.1.0.R
receiver=mail.hees-computer.de
client-ip=80.145.178.24
envelope-from=<berle...@berleburger.de>
helo=x
Received: from x (p5091B218.dip0.t-ipconnect.de [80.145.178.24])
by hees.de (mail.hees-computer.de)
(MDaemon.PRO.v8.1.0.R)
with ESMTP id md50002795083.msg
for <...>; Sun, 31 Jul 2005 15:35:26 +0200
Relaytest.
X-Spam-Processed: mail.hees-computer.de, Sun, 31 Jul 2005 15:35:26 +0200
(not processed: message from valid local sender)
X-MDRemoteIP: 80.145.178.24
X-Return-Path: berle...@berleburger.de
X-MDaemon-Deliver-To: <...>
Reply-To: berle...@berleburger.de
Message-ID: <MDAEMON-F200507311535....@hees.de>
Date: Sun, 31 Jul 2005 15:35:26 +0200
X-MDAV-Processed: mail.hees-computer.de, Sun, 31 Jul 2005 15:35:28 +0200
.
Hatto von Hatzfeld
> Die Lösung ist ja so einfach ;-)
>
> Die betreffenden Mailserver verhalten sich als offenes Relay, wenn sie
> nur beim RCPT-Kommando mit der richtigen Absenderadresse gefüttert werden.
Das kommt von Konfigurationen, wie sie z.B. für (altes) sendmail auf
http://www.sendmail.org/~ca/email/chk-rcpt5.html
beschrieben ist. Aber /damals/ war das Spamproblem ja noch wesentlich
kleiner. Das erklärt nun auch, warum die Mails vor allem von kleinen
Providern kommen - nämlich solchen, bei denen MX und Postausgangsserver
identisch sind.
Interessant wäre wohl noch, von wo aus die Mails abgeschickt werden. Habe
ich das bei deinen Exemplaren richtig beobachtet, dass das immer Korea ist?
Leider kann ich es nicht nachprüfen, da ich kein einziges Exemplar bekommen
habe.
Ciao,
Hatto
--
Neulich, auf dem Städtetag:
"Sehr geehrte Bürgermeister, Bürgermeisterinnen,
Bürgerinnenmeister und Bürgerinnenmeisterinnen..."
Daniel Rehbein
> Interessant wäre wohl noch, von wo aus die Mails abgeschickt werden. Habe
> ich das bei deinen Exemplaren richtig beobachtet, dass das immer Korea ist?
>
> Leider kann ich es nicht nachprüfen, da ich kein einziges Exemplar bekommen
> habe.
Drei beliebig ausgewählte Exemplar, die ich von Mailservern in
Deutschland erhalten habe:
------- schnipp -------
X-Envelope-From: <breit...@breithaupt.de>
X-Envelope-To: <caesar....@heute.guestbook.myphotos.cc>
X-Delivery-Time: 1122743892
Received: from krusty.saemann.de [212.14.92.65:3322] (EHLO
krusty.saemann.de)
for <caesar....@heute.guestbook.myphotos.cc>; Sa, 30 Jul 2005
19:18:12 +0200 (CEST)
Received: from vvvozczozevozes.pdzl.com (unknown [222.101.142.146])
by krusty.saemann.de (Postfix) with SMTP
id 3EC5F5D508F; Sat, 30 Jul 2005 19:18:03 +0200 (CEST)
From: "mr,rr" <breit...@breithaupt.de>
To: caesar....@geheim.dnsalias.org
Subject: oh~ bideo
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="246cc111-83e2-4969-ac2d-6544f0fad2d9"
Date: Sun, 31 Jul 2005 02:17:57 +0900
Message-Id: <2005073017180...@krusty.saemann.de>
This is a multi-part message in MIME format
--246cc111-83e2-4969-ac2d-6544f0fad2d9
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/l8912m0884i" target=3D"_blank">web =
bideo</a></p>
</body>
http://myhome.naver.com/l8912m0884i
</html>
[OOTFmBELrNGUxX]
--246cc111-83e2-4969-ac2d-6544f0fad2d9--
.
X-Envelope-From: <mediam...@mediamaritim.de>
X-Envelope-To: <service...@teilweise.guestbook.myphotos.cc>
X-Delivery-Time: 1122747220
Received: from mail1.w-4.de [195.126.150.12:3336] (EHLO mail1.w-4.de)
for <service...@teilweise.guestbook.myphotos.cc>; Sa, 30 Jul 2005
20:13:40 +0200 (CEST)
Received: from web-c3oqhi3bnde (221.139.3.14)
by mail1.w-4.de with MERCUR-SMTP/POP3/IMAP4-Server (v3.30.07
KA-0098304)
for <service...@teilweise.guestbook.myphotos.cc>; Sat, 30
Jul 2005 20:07:39 +0200
From: "mr,rr" <mediam...@mediamaritim.de>
To: service...@guestbook.bbsindex.com
Subject: web bideo oh~ web bideo
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="138ccf37-f3a3-4727-96b7-8bfa845038b7"
Date: Sun, 31 Jul 2005 03:07:32 +0900
Message-Id: <05073020...@mail1.w-4.de>
This is a multi-part message in MIME format
--138ccf37-f3a3-4727-96b7-8bfa845038b7
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/o1911o3597y" target=3D"_blank">web =
bideo</a></p>
</body>
http://myhome.naver.com/o1911o3597y
</html>
[nBD]b[ECP^Dnv]
--138ccf37-f3a3-4727-96b7-8bfa845038b7--
.
X-Envelope-From: <sopr...@sopranist.com>
X-Envelope-To: <cadmium...@klamauk.guestbook.myphotos.cc>
X-Delivery-Time: 1122743602
Received: from sites.networkaholics.de [82.96.75.60:47533] (HELO
sites.networkaholics.de)
for <cadmium...@klamauk.guestbook.myphotos.cc>; Sa, 30 Jul 2005
19:13:22 +0200 (CEST)
Received: from [211.216.87.72] (helo=vzzovzsoihohv.pdzl.com)
by sites.networkaholics.de with smtp (Exim 3.16 #3)
id 1DyutT-0007Il-00; Sat, 30 Jul 2005 19:13:04 +0200
From: "msnr" <sopr...@sopranist.com>
To: cadmium...@klamauk.guestbook.myphotos.cc
Subject: oh~ bideo
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="099bc7f2-6191-4247-b31c-7b3334a052cf"
Date: Sun, 31 Jul 2005 02:12:58 +0900
Message-Id: <E1DyutT-...@sites.networkaholics.de>
This is a multi-part message in MIME format
--099bc7f2-6191-4247-b31c-7b3334a052cf
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/o1911o3597y" target=3D"_blank">web =
bideo</a></p>
</body>
http://myhome.naver.com/o1911o3597y
</html>
[EBi`BatcU`vk]
--099bc7f2-6191-4247-b31c-7b3334a052cf--
.
Daniel Rehbein
>>Die betreffenden Mailserver verhalten sich als offenes Relay, wenn sie
>>nur beim RCPT-Kommando mit der richtigen Absenderadresse gefüttert werden.
/s/RCPT/MAIL FROM
> Das kommt von Konfigurationen, wie sie z.B. für (altes) sendmail auf
>
> http://www.sendmail.org/~ca/email/chk-rcpt5.html
>
> beschrieben ist. Aber /damals/ war das Spamproblem ja noch wesentlich
> kleiner. Das erklärt nun auch, warum die Mails vor allem von kleinen
> Providern kommen - nämlich solchen, bei denen MX und Postausgangsserver
> identisch sind.
So richtig klein (und damit ahnungslos) scheinen die Provider aber nicht
alle zu sein.
So gehört die IP-Adrese maildmz01.rrz-freiburg.de [194.76.38.6], von der
ich die Mails mit der Absenderadresse arz...@arzner.de zu einem
Unternehmen, das sich "Rechenzentrum" nennt. (194.76.38.0 -
194.76.39.255: Regionales Rechenzentrum Freiburg Suedlicher Oberrhein GmbH)
Trotzdem bestätigt ein Test, daß Mails mit Absender arz...@arzner.de
tatsächlich über den Mailserver maildmz01.rrz-freiburg.de [194.76.38.6]
zugestellt werden.
Der Server des Regionalen Rechenzentrums versorgt mich außerdem noch mit
ausführlichen Informationen darüber, daß er die Mail auf Spam geprüft
hat. Dafür ist aus den Received-Zeilen nicht ersichtlich, woher er die
Mail bekommen hat. Es sieht so aus, als habe das Rechenzentrum Freiburg
die Mail auf localhost selbst eingeworfen.
------- schnipp -------
X-Envelope-From: <arz...@arzner.de>
X-Envelope-To: <freddy....@zwilling.guestbook.myphotos.cc>
X-Delivery-Time: 1122822800
Received: from maildmz01.rrz-freiburg.de [194.76.38.6:38372] (EHLO
maildmz01.rrz-freiburg.de)
for <freddy....@zwilling.guestbook.myphotos.cc>; So, 31 Jul 2005
17:13:20 +0200 (CEST)
Received: by maildmz01.rrz-freiburg.de (Postfix, from userid 65534)
id 5F1B18510D; Sun, 31 Jul 2005 17:13:05 +0200 (CEST)
Received: from localhost by maildmz01.rrz-freiburg.de
with SpamAssassin (version 3.0.0);
Sun, 31 Jul 2005 17:13:05 +0200
From: "vi" <arz...@arzner.de>
To: freddy....@zwilling.guestbook.myphotos.cc
Subject: web bideo oh~ web bideo
Date: Mon, 01 Aug 2005 00:12:56 +0900
Message-Id: <200507311513...@maildmz01.rrz-freiburg.de>
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.0.0 (2004-09-13) on
maildmz01.rrz-freiburg.de
X-Spam-Level: *****
X-Spam-Status: Yes, score=5.7 required=5.0 tests=BAYES_20,HTML_80_90,
HTML_MESSAGE,HTML_TEXT_AFTER_BODY,HTML_TEXT_AFTER_HTML,
MIME_BOUND_MANY_HEX,MIME_HTML_ONLY,MIME_QP_LONG_LINE,
MSGID_FROM_MTA_ID autolearn=no version=3.0.0
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------=_42ECEA81.BE9EE35D"
This is a multi-part message in MIME format.
------------=_42ECEA81.BE9EE35D
Content-Type: text/plain
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable
Spam detection software, running on the system "maildmz01.rrz-freiburg.de=
", has
identified this incoming email as possible spam. The original message
has been attached to this so you can view it (if it isn't spam) or label
similar future email. If you have any questions, see
postmaster for details.
Content preview: =C1=A6=B8=F1 =BE=F8=C0=BD web bideo=20
http://myhome.naver.com/k6916l3022k [kEncYQnrqf_GjjCl] [...]=20
Content analysis details: (5.7 points, 5.0 required)
pts rule name description
---- ---------------------- ---------------------------------------------=
-----
2.6 MIME_BOUND_MANY_HEX Spam tool pattern in MIME boundary
1.8 MSGID_FROM_MTA_ID Message-Id for external message added locally
0.0 HTML_TEXT_AFTER_HTML BODY: HTML contains text after HTML close tag
0.0 HTML_80_90 BODY: Message is 80% to 90% HTML
0.8 HTML_TEXT_AFTER_BODY BODY: HTML contains text after BODY close tag
0.0 HTML_MESSAGE BODY: HTML included in message
1.2 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
-0.7 BAYES_20 BODY: Bayesian spam probability is 5 to 20%
[score: 0.1765]
0.1 MIME_QP_LONG_LINE RAW: Quoted-printable line longer than 76 cha=
rs
The original message was not completely plain text, and may be unsafe to
open with some email clients; in particular, it may contain a virus,
or confirm that your address can receive spam. If you wish to view
it, it may be safer to save it to a file and open it with an editor.
------------=_42ECEA81.BE9EE35D
Content-Type: message/rfc822; x-spam-type=original
Content-Description: original message before SpamAssassin
Content-Disposition: attachment
Content-Transfer-Encoding: 7bit
Received: from vzzovvcofcozji.pdzl.com (unknown [211.220.50.198])
by maildmz01.rrz-freiburg.de (Postfix) with SMTP id F18F8850FB;
Sun, 31 Jul 2005 17:13:00 +0200 (CEST)
From: "vi" <arz...@arzner.de>
To: freddy....@zwilling.guestbook.myphotos.cc
Subject: web bideo oh~ web bideo
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="da06904a-169f-4bd7-a167-52d97140dd2e"
Date: Mon, 01 Aug 2005 00:12:56 +0900
Message-Id: <200507311513...@maildmz01.rrz-freiburg.de>
This is a multi-part message in MIME format
--da06904a-169f-4bd7-a167-52d97140dd2e
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/k6916l3022k" target=3D"_blank">web =
bideo</a></p>
</body>
http://myhome.naver.com/k6916l3022k
</html>
[kEncYQnrqf_GjjCl]
--da06904a-169f-4bd7-a167-52d97140dd2e--
------------=_42ECEA81.BE9EE35D--
.
Rainer Zocholl
>Rainer Zocholl wrote:
>> Du müsstest anhand der Header besser sehen könen wo das webmail
>> interface liegen könnte.
>Wenn die Mails tatsächlich über eine Webmail-Oberfläche eingegeben
>würden, dann müssten ja sämtliche Received-Header stimmen.
Ja, ausser es gibt exploits gleich den "ganzen" Server zu übernehmen.
Rainer
Hatto von Hatzfeld
> Hatto von Hatzfeld wrote:
>
>> Interessant wäre wohl noch, von wo aus die Mails abgeschickt werden. Habe
>> ich das bei deinen Exemplaren richtig beobachtet, dass das immer Korea
>> ist?
> Drei beliebig ausgewählte Exemplar, die ich von Mailservern in
> Deutschland erhalten habe:
> Received: from vvvozczozevozes.pdzl.com (unknown [222.101.142.146])
KORNET
> Received: from web-c3oqhi3bnde (221.139.3.14)
Hanaro
> Received: from [211.216.87.72] (helo=vzzovzsoihohv.pdzl.com)
KORNET
Weitere IPs aus deinen Postings:
222.108.183.127 = KORNET
211.117.203.2 = Hanaro
Der Verbreiter der Trojaner ist also räumlich eindeutig zu lokalisieren. Das
sieht nicht nach einem Wurm aus, sondern nach einem Täter in Korea, der
Accounts bei zwei Providern hat (oder?).
Ciao,
Hatto
--
"The social dynamics of the net are a direct consequence of the fact
that nobody has yet developed a Remote Strangulation Protocol."
(Larry Wall)
Rainer Zocholl
>Daniel Rehbein wrote:
>> Die Domainnamen musik-produktiv.at (TLD ist ".at", nicht ".de"!) und
>> eichner.net tauchen in der whois-Auskunft zu 212.95.117.188 nicht
>> auf (im Gegensatz zu der ".de"-Domain musik-produktiv.de). Der
>> Verursacher dieser Mails hat also nicht zu der IP-Adresse
>> 212.95.117.188 plausible Absenderadresse kreiert. Sondern es geht
>> genau andersherum: Er muß zuerst die Absenderadressen
>> musik-p...@musik-produktiv.at und eic...@eichner.net gehabt
>> haben, zu denen er dann laut DNS den MX-Server postamt.dataware.net
>> gefunden hat.
>>
>Die Lösung ist ja so einfach ;-)
>Die betreffenden Mailserver verhalten sich als offenes Relay, wenn sie
>nur beim MAIL-FROM-Kommando mit der richtigen Absenderadresse gefüttert
>werden.
Oh, und ich dachte solche Systeme gäbe es seit min. 5 Jahren nicht mehr...
Warum erscheinen diese Systeme nicht RBLs?
Rainer
Clemens Zauner
> Das kommt von Konfigurationen, wie sie z.B. für (altes) sendmail auf
>
> http://www.sendmail.org/~ca/email/chk-rcpt5.html
>
> beschrieben ist. Aber /damals/ war das Spamproblem ja noch wesentlich
> kleiner. Das erklärt nun auch, warum die Mails vor allem von kleinen
> Providern kommen - nämlich solchen, bei denen MX und Postausgangsserver
> identisch sind.
Oh mein Gott, das geht ja in Richtung letztes Jahrtausend. Und AFAIR
wurde ja damals bereits gewarnt, dass das unsicher ist & man das eben
so nicht machen sollte.
Blacklisten, die deppen. Für mindestens 6 Monate. Egal wie schnell die
ihre Mailer *endlich* dichtkriegen.
cu
Clemens.
PS: Eigentlich bin ich ja froh, dass ein spammy wieder mal massiv relays
ausnutzt. Ich schrub schon vor einigen Wochen dass die Anscheinend wieder
mehr werden. Vielleicht kümmern sich die Leute jetzt wieder darum.
--
/"\ http://czauner.onlineloop.com/
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \ AND POSTINGS
Hatto von Hatzfeld
> Hatto von Hatzfeld wrote:
>
>>>Die betreffenden Mailserver verhalten sich als offenes Relay, wenn sie
>>>nur beim RCPT-Kommando mit der richtigen Absenderadresse gefüttert
>>>werden.
>
> /s/RCPT/MAIL FROM
>
> [...] bestätigt ein Test, daß Mails mit Absender arz...@arzner.de
> tatsächlich über den Mailserver maildmz01.rrz-freiburg.de [194.76.38.6]
> zugestellt werden.
>
> Der Server des Regionalen Rechenzentrums versorgt mich außerdem noch mit
> ausführlichen Informationen darüber, daß er die Mail auf Spam geprüft
> hat. Dafür ist aus den Received-Zeilen nicht ersichtlich, woher er die
> Mail bekommen hat. Es sieht so aus, als habe das Rechenzentrum Freiburg
> die Mail auf localhost selbst eingeworfen.
Ein typischer Fehler von nachträglich ergänzten Filtern (sei es für Spam
oder Viren), die mit internen Weiterleitungen arbeiten, ist der, dass man
nicht mehr auf die Gefahr eines offenen Relays achtet. Das scheint mir hier
auch eine plausible Erklärung zu sein. Vielleicht hat ja jemand das Problem
erkannt, hat dann aber nur eine Prüfung auf die Absenderadresse ergänzt.
Ciao,
Hatto
--
Un égoiste est quelqu'un qui ne pense pas à moi.
(Eugène Labiche)
Hatto von Hatzfeld
> (Daniel Rehbein) 31.07.05 in /de/admin/net-abuse/mail:
>
>>Die betreffenden Mailserver verhalten sich als offenes Relay, wenn sie
>>nur beim MAIL-FROM-Kommando mit der richtigen Absenderadresse gefüttert
>>werden.
>
> Oh, und ich dachte solche Systeme gäbe es seit min. 5 Jahren nicht mehr...
>
> Warum erscheinen diese Systeme nicht RBLs?
Ich vermute Folgendes: Bisher ausgenutzte "halboffene" Relays dieser Art
(wie IIRC vor drei Jahren noch mail.ru) waren offen, sobald man im Absender
die Domain des Mailservers selbst nahm.
Diese neu ausgenutzten Relays sind dafür wohl nicht anfällig. Der neue Trick
dieses Virenspammers ist, nicht direkt nach Mailservern zu suchen und diese
zu testen, sondern Domains zu suchen und die dazu gehörigen MXe mit dieser
jeweiligen Domain zu testen. Weil vorher noch niemand auf diese Idee kam,
lief auch noch kein Spam über diese Server, und weil die üblichen
Testscripts der RBL-Betreiber ebenfalls diese Methode nicht nutzen (ist ja
auch problematisch), stehen die Server noch in keiner RBL.
Gruß,
Hatto
--
Fast alle Menschen haben mehr Beine als der Durchschnitt.
Ulrich F. Heidenreich
>Trotzdem bestätigt ein Test, daß Mails mit Absender arz...@arzner.de
>tatsächlich über den Mailserver maildmz01.rrz-freiburg.de [194.76.38.6]
>zugestellt werden.
Es geht noch einfacher:
| X-Envelope-From: <relaycheck_a...@maildmz01.rrz-freiburg.de>
| X-Envelope-To: <relaycheck@*******.**>
| X-Delivery-Time: 1122885395
| Received: from maildmz01.rrz-freiburg.de (maildmz01.rrz-freiburg.de [194.76.38.6])
| by mailin.webmailer.de (8.13.1/8.13.1) with ESMTP id j718aYcA004833
| for <relaycheck@*******.**>; Mon, 1 Aug 2005 10:36:35 +0200 (MEST)
| Received: by maildmz01.rrz-freiburg.de (Postfix, from userid 65534)
| id 2F7418556F; Mon, 1 Aug 2005 10:36:27 +0200 (CEST)
| Received: from maildmz01.rrz-freiburg.de (port-83-236-1-59.dynamic.qsc.de [83.236.1.59])
| by maildmz01.rrz-freiburg.de (Postfix) with SMTP id 7243C853BF
| for <relaycheck@*******.**>; Mon, 1 Aug 2005 10:36:26 +0200 (CEST)
| To: relaycheck@*******.**
| From: relaycheck@*******.** (Spade relay check)
| Subject: maildmz01.rrz-freiburg.de relay check
| Message-Id: <200508010836...@maildmz01.rrz-freiburg.de>
| Date: Mon, 1 Aug 2005 10:36:26 +0200 (CEST)
Sperrangelweit offen, das Ding, sobald die Domain des Absenders nur
identisch mit dem Namen des Servers selbst ist #-( Sowas wissen Spammer
ja üü-beer-haupt-nicht ...
>Dafür ist aus den Received-Zeilen nicht ersichtlich, woher er die
>Mail bekommen hat.
Hier schon. port-83-236-1-59.dynamic.qsc.de bin ich.
CU!
Ulrich
--
Standardsignatur
Uwe Sinha
[...]
> Die Lösung ist ja so einfach ;-)
> Die betreffenden Mailserver verhalten sich als offenes Relay, wenn sie
> nur beim RCPT-Kommando mit der richtigen Absenderadresse gefüttert werden.
[...]
Ich habe mir mal erlaubt, alle (ich hoffe, ich habe wirklich alle
erwischt) von Dir in diesem Fred erwähnten Kisten bei ORDB einzuwerfen.
Zu einigen meint ORDB "Address already queued for testing", wobei die
meisten davon allerdings schon mehrere Monate in der Test-Queue
festhängen.
Mal sehen, was sie vom Rest halten...
Griettinckx, Uwe
--
"Manchmal frage ich mich, warum Leute, die sowieso hinter jeder Mail
nur Spam vermuten und in jedem, der Mail verschickt, einen Spammer
sehen, nicht konsequenterweise ihren Mailerdaemon runterfahren."
-- Andreas M. Kirchwitz in de.admin.net-abuse.mail
Hatto von Hatzfeld
> Ich habe mir mal erlaubt, alle (ich hoffe, ich habe wirklich alle
> erwischt) von Dir in diesem Fred erwähnten Kisten bei ORDB einzuwerfen.
> Zu einigen meint ORDB "Address already queued for testing", wobei die
> meisten davon allerdings schon mehrere Monate in der Test-Queue
> festhängen.
Eine andere Methode zum Eintrag in eine RBL wäre, über diese Server eine
Mail an lis...@listme.dsbl.org zu schicken.
Ciao,
Hatto
--
"Aus der Sicht der Verschwörer gibt es natürlich keine Verschwörungs-
theorien, denn damit würden diese ja aufgedeckt. Anhand dieses Krite-
riums kann man Täter und Opfer wirkungsvoll unterscheiden." (Rüdiger
Sören in news:40ace7dd$0$1865$9b4e...@newsread2.arcor-online.net)
Uwe Sinha
> Uwe Sinha wrote:
[IP-Adressen der von Daniel gemeldeten Hosts bei ORDB abgekippt]
> Eine andere Methode zum Eintrag in eine RBL wäre, über diese Server eine
> Mail an lis...@listme.dsbl.org zu schicken.
ACK. Habe ich allerdings nicht gemacht, weil man da AFAIR eine spezielle
Test-Software und ein Anmelde-Cookie braucht. Hast Du etwa...? ;-)
Uwe Sinha
[...]
> Ich habe mir mal erlaubt, alle (ich hoffe, ich habe wirklich alle
> erwischt) von Dir in diesem Fred erwähnten Kisten bei ORDB einzuwerfen.
[...]
Hier mal eine Bilanz:
Eingeworfene IP-Adressen : 20
"Will NOT test" : 9 [1]
"Will test" : 11
davon:
"...is not an open relay": 3
"...is an open relay" : 4 [3]
Status unklar : 4
Das zeigt IMO mal wieder, wie vorsichtig ORDB doch ist...
Griettinckx, Uwe
[1] Begründung ist immer: "Already queued for testing" [2]
[2] wie gesagt, z.T. schon seit > 6 Monaten
[3] davon ist einer (62.112.137.244) inzwischen abgesichert worden
Uwe Sinha
Uwe "Ingrid" Sinha <uwes...@despammed.com> schrieb:
[...]
> Ich habe mir mal erlaubt, alle (ich hoffe, ich habe wirklich alle
> erwischt) von Dir in diesem Fred erwähnten Kisten bei ORDB einzuwerfen.
[...]
Hier mal eine Bilanz:
Eingeworfene IP-Adressen : 20
"Will NOT test" : 9 [1]
"Will test" : 11
davon:
"...is not an open relay": 6
"...is an open relay" : 4 [3]
Status unklar : 1
Das zeigt IMO mal wieder, wie vorsichtig ORDB doch ist...
Griettinckx, Uwe
[1] Begründung ist immer: "Already queued for testing" [2]
[2] wie gesagt, z.T. schon seit > 6 Monaten
[3] davon ist einer (62.112.137.244) inzwischen abgesichert worden
Gabriele Neukam
said...
> Diese neu ausgenutzten Relays sind dafür wohl nicht anfällig. Der neue Trick
> dieses Virenspammers ist, nicht direkt nach Mailservern zu suchen und diese
> zu testen, sondern Domains zu suchen und die dazu gehörigen MXe mit dieser
> jeweiligen Domain zu testen. Weil vorher noch niemand auf diese Idee kam,
> lief auch noch kein Spam über diese Server, und weil die üblichen
> Testscripts der RBL-Betreiber ebenfalls diese Methode nicht nutzen (ist ja
> auch problematisch), stehen die Server noch in keiner RBL.
Äh, Hatto, kannst Du das mal auf fly-2-high.com austesten (bei
Server4You gehostet)? Die Domäne und Goracer.com haben mir Phishings
gesendet, und mich hat gewundert, dass die plötzlich aus deutschen
Landen kamen. In letzterem Fall hat die Domäne sogar die Phishing-Seite
gehostet. Da muss noch ein größeres Problem bestehen.
Ach ja: Mein Phishing-Mail-Eingang wächst exponentiell; das wird immer
schlimmer.
Gabriele Neukam
--
Ah, Information. A property, too valuable these days, to give it away,
just so, at no cost.
Daniel Rehbein
> Die betreffenden Mailserver verhalten sich als offenes Relay, wenn sie
> nur beim MAIL-Kommando im SMTP-Dialog mit der richtigen Absenderadresse
> gefüttert werden.
Was mich allerdings immer noch sehr wundert, ist die Tatsache, daß ich
nirgends außer in diesem Thread etwas über die Spam-Welle finde. Eine
Google-Suche nach "oh~ bideo" oder "web bideo" liefert keine brauchbaren
Ergebnisse, weder im Web noch im Usenet.
Dabei kommen die Mails munter weiter an, die Betreffzeilen sind
lediglich um Punkte oder Minuszeichen ergänzt. Und nach den Worten von
Simone bin ich doch wohl auch nicht der einzige, bei dem solche Mails
ankommen.
Weiß jemand, was das Wort "bideo" bedeutet? Eine Google-Suche nach
diesem Wort liefert zahlreiche Resultate, aber keines davon ist in einer
mir verständlichen Sprache.
Teilweise bekomme ich die Mails auch von mehreren Servern derselben
Domain, der Versender scheint also alle MX-Records auszuprobieren. So
erhalte ich Mails mit Absender dark...@darkwood.de sowohl von
lx3.canaletto.net [212.80.228.93] als auch von mail.canaletto.net
[212.80.228.100].
Neu aufgefallen ist mir ein regionaler Provider mit dem Namen Transkom.
Von mail.transkom.net [212.28.34.80] erhalte ich die Spam-Mails mit der
Absenderadresse mkt-d...@mkt-duebel.de.
Nicht schlecht gestaunt habe ich, also ich die whois-Auskunft zu dem
Host mit dem tollen Namen h47557.serverkompetenz.net [81.169.182.254]
nachgeschlagen habe: Dahinter steckt der bekannte Provider Strato.
Daniel Rehbein
www.mein-dortmund.de
------- schnipp -------
X-Envelope-From: <cc...@ccwn.de>
X-Envelope-To: <samuel....@lanze.guestbook.myphotos.cc>
X-Delivery-Time: 1122921225
Received: from h47557.serverkompetenz.net [81.169.182.254:27719] (EHLO
mail.ccwn.info)
for <samuel....@lanze.guestbook.myphotos.cc>; Mo, 01 Aug 2005
20:33:45 +0200 (CEST)
Received: from web-c3oqhi3bnde (unknown [221.139.3.14])
by mail.ccwn.info (Postfix) with SMTP id 34EB569C285;
Mon, 1 Aug 2005 14:09:53 +0200 (CEST)
From: "werrr" <cc...@ccwn.de>
To: samuel....@geheim.dnsalias.org
Subject: web bideo oh~ web bideo..........
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="13046065-c370-4613-b23f-118a23d163df"
Date: Mon, 01 Aug 2005 21:14:21 +0900
Message-Id: <2005080112095...@mail.ccwn.info>
This is a multi-part message in MIME format
--13046065-c370-4613-b23f-118a23d163df
Content-Type: text/html; charset=ks_c_5601
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"content-type" content=3D"text/html; charset=3Deuc-kr">
<title>=C1=A6=B8=F1 =BE=F8=C0=BD</title>
<meta name=3D"generator" content=3D"Namo WebEditor v5.0">
</head>
<body bgcolor=3D"white" text=3D"black" link=3D"blue" vlink=3D"purple"
alink=3D=
"red">
<p><a href=3D"http://myhome.naver.com/z3108f7632p/" target=3D"_blank">web =
bideo</a></p>
</body>
http://<embed src=3Dhttp://myhome.naver.com/u6569f0933o/o1858n3109q.swf =
width=3D1 height=3D1>
</html>
--13046065-c370-4613-b23f-118a23d163df--
.
Florian Kleinmanns
>Weiß jemand, was das Wort "bideo" bedeutet? Eine Google-Suche nach
>diesem Wort liefert zahlreiche Resultate, aber keines davon ist in einer
>mir verständlichen Sprache.
...sondern alle in Katalan. Und da die Iberer alle das b und das v nicht
auseinanderhalten können (SCNR), würde ich "bideo" (eu) schlicht als
"Video" (de) übersetzen. Etwas, wofür auch in weiter verbreiteten
Sprachen gelegentlich per Spam geworben wird. ;-)
Grüße
Florian
--
Mail to the "From" address will be silently discarded. Use the
"Reply-To" address only.
Clemens Zauner
>> Eine andere Methode zum Eintrag in eine RBL wäre, über diese Server eine
>> Mail an lis...@listme.dsbl.org zu schicken.
>
> ACK. Habe ich allerdings nicht gemacht, weil man da AFAIR eine spezielle
> Test-Software und ein Anmelde-Cookie braucht. Hast Du etwa...? ;-)
Brauchst du nicht; wenn du das "einfach so" machst, landed der eintrag
in unconfirmed und wird dann irgendwann - bei einem positiven check
durch deren Robots - in die Hauptliste übernommen.
Die unconfirmed ist übrigends als eigene DNSBL-Zone ebenfalls abfragbar.
cu
Clemens.
Juergen Kuehne
> Weiß jemand, was das Wort "bideo" bedeutet? Eine Google-Suche nach
> diesem Wort liefert zahlreiche Resultate, aber keines davon ist in einer
> mir verständlichen Sprache.
"wo" hast du denn gesucht? ;-) Ich mach mal Google
bideo wikipedia
http://fixedreference.org/en/20040424/wikipedia/Non-native_pronunciation
s_of_English
Zitat:
| Japanese
|
| trouble with 'l', read as 'r' sound. (opposite of Cantonese accent)
| Might use /fu/ and /hu/ interchangeably as both are the same sound in
| Japanese. (For instance, "who" might be pronounced as "foo".)
|
| Similar to Spanish in the lacking of the /v/ sound. It now has two
| accepted pronunciations, /b/ and /wh/ (i.e. Video becomes bideo or
| whideo).
Ich hatte erst an etwas wie "ware_z_" gedacht, ist aber wohl janz
eenfach ;-) Vielleicht ist "bideo" ab 1.8.2005 auch in D erlaubt...
schliesslich wird das wohl von Computern so übersetzt...
Wie war das mit "Flühlingslolle"?
Grüsse von
Jürgen
Hatto von Hatzfeld
> On that special day, Hatto von Hatzfeld, (ha...@usenet.salesianer.de)
> said...
>
>> Diese neu ausgenutzten Relays sind dafür wohl nicht anfällig. Der neue
>> Trick dieses Virenspammers ist, nicht direkt nach Mailservern zu suchen
>> und diese zu testen, sondern Domains zu suchen und die dazu gehörigen MXe
>> mit dieser jeweiligen Domain zu testen. Weil vorher noch niemand auf
>> diese Idee kam, lief auch noch kein Spam über diese Server, und weil die
>> üblichen Testscripts der RBL-Betreiber ebenfalls diese Methode nicht
>> nutzen (ist ja auch problematisch), stehen die Server noch in keiner RBL.
>
> Äh, Hatto, kannst Du das mal auf fly-2-high.com austesten (bei
> Server4You gehostet)?
Ich kann deinen Verdacht nicht bestätigen. Da scheint auch ein aktuelles
sendmail zu laufen, das man so ganz leicht nicht zu einem offenen Relay
macht.
Ciao,
Hatto
--
Philosophie ist ein Spiel mit Zielen, aber ohne Regeln.
Mathematik ist ein Spiel mit Regeln, aber ohne Ziele.
Hatto von Hatzfeld
> Hatto von Hatzfeld <ha...@usenet.salesianer.de> schrieb:
>> Uwe Sinha wrote:
>
> [IP-Adressen der von Daniel gemeldeten Hosts bei ORDB abgekippt]
>
>> Eine andere Methode zum Eintrag in eine RBL wäre, über diese Server eine
>> Mail an lis...@listme.dsbl.org zu schicken.
>
> ACK. Habe ich allerdings nicht gemacht, weil man da AFAIR eine spezielle
> Test-Software und ein Anmelde-Cookie braucht. Hast Du etwa...? ;-)
Telnet reicht.
Mit der Testsoftware ist es leichter. Die findet die richtige Domain aber
nur, wenn sie auch auf dem betreffenden Mailserver liegt.
Es geht auch ohne den Status eines vertrauenswürdigen Submitters - den man
sowieso nur bekommt, wenn man schon eine Weile fehlerfrei ohne diesen
Status eingeworfen hat.
Also nur zu!
Ciao,
Hatto
--
Ende einer Diskussion am 4. April 2005 im IRC-Channel #stopHipHop:
<bitchchecker> sag mir deine netzwerk nummer man dann bist du tot
<Elch> 127.0.0.1 Ich warte dann mal auf einen dollen Hackerangriff
* bitchchecker (~ja...@irgendwas.dip.t-dialin.net) Quit (Ping timeout#)
Simone Schultze
> Was mich allerdings immer noch sehr wundert, ist die Tatsache, daß ich
> nirgends außer in diesem Thread etwas über die Spam-Welle finde. Eine
> Google-Suche nach "oh~ bideo" oder "web bideo" liefert keine brauchbaren
> Ergebnisse, weder im Web noch im Usenet.
>
> Dabei kommen die Mails munter weiter an, die Betreffzeilen sind
> lediglich um Punkte oder Minuszeichen ergänzt. Und nach den Worten von
> Simone bin ich doch wohl auch nicht der einzige, bei dem solche Mails
> ankommen.
Mir kommt da ein sehr lustiger Gedanke: Was ist, wenn wir beiden die
Einzigen sind, die diese Mails erhalten?
Wir haben schließlich zig-Millionen unbrauchbarer Mailadressen in die
Welt gesetzt, und ich habe den aberwitzigen Verdacht, daß der Spammer
sich in den rekursiven Adressverzeichnissen festgefressen hat ;-)
*lol*
Kann das wirklich sein? Während meines Urlaubs hatte ich meine Spamtraps
nach 127.0.0.1 umgeleitet. Nach meiner Rückkehr lief dann abwechselnd
"mailvernichter" und "mailablehner" zum abmelken des Overheads. Mich
wunderte nur, daß sich der Traffic nicht wie üblich auf das normale Maß
abbaute, meine Leitung wurde weiter permanent zugeballert (muß mich wohl
mal mit QOS beschäftigen :-) ).
Ich habe dann meinen Mailserver für 1,5 Stunden angeworfen und die Mails
gesammelt.
In dieser kurzen Zeit kamen fast 20.000 Mails rein!
4/5 davon war "oh bideo"-Spam, der zum Teil seit über einer Woche in den
Queues der Mailserver hing. Der normale Spam hatte schon gar keine
Chance mehr :-(
Obwohl ich 6! RB-Listen vorgeschaltet hatte, gab es auf diesen Spam nur
mikroskopisch kleine Treffer.
Die aktuelle Variante beginnt im Subject übrigens jetzt mit
"?ks_c_5601?q?dvd_dvd_dvd_dvd".
Deutsche Server habe ich nicht sehen können, aber viel .at, .it und .kr
(alle nicht in RBLs).
Interessant ist auch die Tatsache, das überwiegend sehr lang
existierende Spamtrap-Domains, und diese auch sehr gleichmäßig
bestrichen wurden. So wurden alleine 10 Domains mit jeweils ca. 4.000
Mails bedacht (in 1,5 Stunden!).
Nicht über die Diskrepanz von 20.000 Mails zu 10 x 4.000 Mails wundern.
Im zweiten Fall wurde nach der Anzahl der RCPTs differenziert, das
stimmt schon so.
Warum sind diese Server immer noch nicht in den Blacklisten aufgeführt?
Sind wir wirklich die Einzigen, die diese Mails erhalten?
Ratlos
Rainer Zocholl
>Daniel Rehbein schrieb:
>> Dabei kommen die Mails munter weiter an, die Betreffzeilen sind
>> lediglich um Punkte oder Minuszeichen ergänzt. Und nach den Worten
>> von Simone bin ich doch wohl auch nicht der einzige, bei dem solche
>> Mails ankommen.
>Mir kommt da ein sehr lustiger Gedanke: Was ist, wenn wir beiden die
>Einzigen sind, die diese Mails erhalten?
Hm, ich habe gerade mal "rejects" gegrept:
# gzip -cd *.gz | grep -e "213.144.27.149" -e "194.25.224.8" -e "194.25.224.8"
-e "62.146.89.42" -e "62.225.15.75" -e "62.112.137.244" -e "217.144.33.11" -e
"217.6.129.27" -e "217.144.33.11" -e "217.5.189.230" -e "217.69.162.183" -e "213.144.27.149"
Ein paar (je ein ..2) am 22,29 Jun, 3 6, 7, 12, 23, 28 Jul,
1 5 8 Aug
Hauptsächlich von mrelay01.ada-arc.de(217.144.33.11) und zunehmend
mail.intramail.de(194.25.224.8), nix von den anderen.
an nicht existente User wie
amwsck (uups. so was hab ich doch gerade lesen?)
e_crump_db brandie.bowen_jf mongoose ibtdjfmszm kevqiaiuoex
RCKHLRTQYV iiawduopky ndbdhcmaLamar ndbdhcmaLama
EldridgeFBNLVZDIBUE afterlifeNYYNROVWPOZCVW E.littleneck ttmanager
Die local parts sehen aus, als hätte wer diese spaltenweise
zusammenkopiert. Ist das inzwischen nur noch reiner email Terror?
Absender ist aber immer "<>", also bounce relay, kein echtes/halbes
third party relay wie wohl bei euch.
220 mail.intramail.de (IntraStore TurboSendmail) ESMTP Service ready
250 Message received and queued
relay accepted by mail.intramail.de(194.25.224.251).
220 ada-arc204.ada-arc.de ESMTP Sendmail 8.11.2/8.11.2;
550 5.7.1 <nob...@ada-arc204.ada-arc.de>... Access denied
relay rejected by ada-arc204.ada-arc.de(217.144.33.21)
Die IP Rechnung von intramail.de muss gigantisch sein...
>Wir haben schließlich zig-Millionen unbrauchbarer Mailadressen in die
>Welt gesetzt, und ich habe den aberwitzigen Verdacht, daß der Spammer
>sich in den rekursiven Adressverzeichnissen festgefressen hat ;-)
>*lol*
;-)
>Kann das wirklich sein? Während meines Urlaubs hatte ich meine
>Spamtraps nach 127.0.0.1 umgeleitet.
Und keinen Eintrag bei rfc-ignorant.org kassiert?
"bogus MX".
>Nach meiner Rückkehr lief dann
>abwechselnd "mailvernichter" und "mailablehner" zum abmelken des
>Overheads.
>Mich wunderte nur, daß sich der Traffic nicht wie üblich
>auf das normale Maß abbaute, meine Leitung wurde weiter permanent
>zugeballert (muß mich wohl mal mit QOS beschäftigen :-) ).
Das sind doch alles reguläre, schlechte gewartete Mailserver.
Die haben das Zeug u.U. Wochenlang und gigabyteweise in der Que stehen
und versuchen das immer wieder. Zum Teil sind da so kaputte Mailserver
dabei wie die von Software.com (o.ae.), die ein eine 5xx ignorieren und
ggf sogar anfangen zu versuchen gegen die IP-# auszuliefern:
Wir hatten diese Kiste per IP auf den offiziellen MTA geerdet,
und plötzlich fingen die an, das Zeug bei unserem Webserver
einliefern zu wollen, der in keinem DNSr als MX steht, aber
die "Domain" auf diese IP auflöst.
>Ich habe dann meinen Mailserver für 1,5 Stunden angeworfen und die
>Mails gesammelt.
>In dieser kurzen Zeit kamen fast 20.000 Mails rein!
Nich schlecht.
>4/5 davon war "oh bideo"-Spam, der zum Teil seit über einer Woche in
>den Queues der Mailserver hing. Der normale Spam hatte schon gar keine
>Chance mehr :-(
>Obwohl ich 6! RB-Listen vorgeschaltet hatte, gab es auf diesen Spam
>nur mikroskopisch kleine Treffer.
Welche denn?
<paranoier>
Bist Du sicher das Dir dein DNS noch voll gehört?
</paranoier>
>Die aktuelle Variante beginnt im Subject übrigens jetzt mit
>"?ks_c_5601?q?dvd_dvd_dvd_dvd".
>Deutsche Server habe ich nicht sehen können, aber viel .at, .it und
>.kr (alle nicht in RBLs).
>Warum sind diese Server immer noch nicht in den Blacklisten
>aufgeführt?
Wohl weil diese Rechner fast nicht automatisch zu testen sind?
Ich kenne nur relaytest gateways/RBLs bei denen ich eine IP-# eingeben
kann, aber keines, wo ich auf eine "mail from" domain eingeben kann.
OK, rfc-ignorant will die ganze mail haben.
Diese Kisten sind also "bullet proof" und ideal zum Spammen.
Da hilft wohl nur die mühsame Methode, die Geschäftsleitung anzufaxen,
ds sie ihren Postmaster feuern sollen, da dieser für die
Gigabyte grosse Rechnung verantwortlich ist.
Leider leider differenzieren keine(?) Provider in ihrem Account
auf "incoming" und "outging". da würde es evtl. auffallen,
wenn der "Surfonly" zugang seine Outgoing bandbreite fast
vollständig verbraucht, während kaum was rein kommt.
>Sind wir wirklich die Einzigen, die diese Mails erhalten?
Zumindest die einzigen, bei denen das nicht im Rauschen untergegangen ist.
Rainer
Simone Schultze
> Die local parts sehen aus, als hätte wer diese spaltenweise
> zusammenkopiert. Ist das inzwischen nur noch reiner email Terror?
>
> Absender ist aber immer "<>", also bounce relay, kein echtes/halbes
> third party relay wie wohl bei euch.
Reiner eMail-Terror ist noch untertrieben. Habe heute wieder einen
Zeitraum von 1,5 h analysiert, diesmal "nur" 15.000 Mails.
Das, was anscheinend ein Einzelkämpfer betrieben hat, hat jetzt auch die
regulären Spammer auf den Plan gerufen, d.h. es kommt jetzt schon
"normaler" Spam über diese Methode rein. Ist ja auch ganz logisch.
Beispiel:
195.126.150.12 mail1.w-4.de
From: mediam...@mediamaritim.de
Von denen erhielt ich insgesamt 82 Mails
71 x "?ks_c_5601?q?dvd_dvd_dvd_dvd"
4 x Software-Spam
3 x PayPal-Phishing Spam
3 x Iran restarts uranium production
1 x sonstiger Spam
Interessant ist die Seite http://www.w-4.de/ und dort besonders der Link
auf http://www.w-4.de/news/2005/07/w4news_umstellung_mail1.php und
http://www.w-vier.de/news/umstellung_mailserver.php
Dort wird beschrieben, daß ab 1.7.2005 auf POP-before-SMTP umgestellt
wurde. Warum kann der Server dennoch als Spam-Relay genutzt werden?
> 220 mail.intramail.de (IntraStore TurboSendmail) ESMTP Service ready
> 250 Message received and queued
> relay accepted by mail.intramail.de(194.25.224.251).
>
> 220 ada-arc204.ada-arc.de ESMTP Sendmail 8.11.2/8.11.2;
> 550 5.7.1 <nob...@ada-arc204.ada-arc.de>... Access denied
> relay rejected by ada-arc204.ada-arc.de(217.144.33.21)
>
> Die IP Rechnung von intramail.de muss gigantisch sein...
Mein Mitleid hält sich in Grenzen ;-)
>>Kann das wirklich sein? Während meines Urlaubs hatte ich meine
>>Spamtraps nach 127.0.0.1 umgeleitet.
>
> Und keinen Eintrag bei rfc-ignorant.org kassiert?
> "bogus MX".
Hab mal nachgeschaut, bin dort nicht gelistet ;-)
Wäre auch etwa seltsam, wenn dort DYNDNS-Dienste auftauchen würden.
>>Obwohl ich 6! RB-Listen vorgeschaltet hatte, gab es auf diesen Spam
>>nur mikroskopisch kleine Treffer.
>
>
> Welche denn?
Bei folgenden (die Listen werden nacheinander abgefragt, bei einem
Treffer wird abgebrochen):
client.dnsbl.docsnyder.de (;-))
xbl.spamhaus.org
sbl.spamhaus.org
sbl-xbl.spamhaus.org (ich weiß, daß es Quatsch ist, aber ich habe
trotzdem Treffer auf die Liste)
dul.dnsbl.sorbs.net
dnsbl.sorbs.net
> <paranoier>
> Bist Du sicher das Dir dein DNS noch voll gehört?
> </paranoier>
Ich glaub schon ;-)
>>Warum sind diese Server immer noch nicht in den Blacklisten
>>aufgeführt?
>
> Wohl weil diese Rechner fast nicht automatisch zu testen sind?
> Ich kenne nur relaytest gateways/RBLs bei denen ich eine IP-# eingeben
> kann, aber keines, wo ich auf eine "mail from" domain eingeben kann.
> OK, rfc-ignorant will die ganze mail haben.
Das wird sich in den nächsten Tagen böse rächen, da die üblichen Spammer
gerade dabei sind, auf diesen Zug aufzuspringen (s.o.).
> Zumindest die einzigen, bei denen das nicht im Rauschen untergegangen ist.
Auf jeden Fall kann keiner sagen, wir hätten euch nicht gewarnt ;-)
Übrigens werden für den "?ks_c_5601?q?dvd_dvd_dvd_dvd"-Spam jetzt
anscheinend auch die üblichen Verbreitungsmethoden über DUL genutzt
(aber nur wenig).
Daniel Rehbein
> Mir kommt da ein sehr lustiger Gedanke: Was ist, wenn wir beiden die
> Einzigen sind, die diese Mails erhalten?
> Wir haben schließlich zig-Millionen unbrauchbarer Mailadressen in die
> Welt gesetzt, und ich habe den aberwitzigen Verdacht, daß der Spammer
> sich in den rekursiven Adressverzeichnissen festgefressen hat ;-)
> Ich habe dann meinen Mailserver für 1,5 Stunden angeworfen und die Mails
> gesammelt.
>
> In dieser kurzen Zeit kamen fast 20.000 Mails rein!
> 4/5 davon war "oh bideo"-Spam, der zum Teil seit über einer Woche in den
> Queues der Mailserver hing. Der normale Spam hatte schon gar keine
> Chance mehr :-(
> Die aktuelle Variante beginnt im Subject übrigens jetzt mit
> "?ks_c_5601?q?dvd_dvd_dvd_dvd".
Ich habe jedenfalls den Eindruck, daß der Spammer, der hinter dieser
Aktion steht, nach irgendeiner Ordnung vorgeht. Der Spam mit dem Betreff
"oh bideo" kam bei mir fast nur an Adresse in Subdomain von
guestbook.myphotos.cc, der Spam "dvd_dvd" kommt dagegen an diverse
andere Dyndns-Domains, guestbook.myphotos.cc sehe ich jedoch nicht darunter.
Das spricht in der Tat für die Vermutung, daß es sich um die gesammelten
E-Mail-Adressen eines Harvesters handelt, der lange in den
Poisoning-Seiten festgehangen hat, und daß die Adressen nach den
Zeiträumen, in denen sie gesammelt wurden, sortiert sind.
Ich habe ja im Laufe der Zeit unterschiedliche Varianten ausprobiert.
Teilweise habe ich E-Mail-Adressen generiert, die zu der Domain, mit der
der Webserver angesprochen wurde, gehörten. Ein Harvester, der sich dann
festgebissen hat, hat lauter E-Mail-Adressen zur gleichen Domain
eingesammelt. Teilweise habe ich Webseiten mit E-Mail-Adressen in
diversen unterschiedlichen Domains erzeugt.
Beim meinen Poisoning-Webservern habe ich keine Logfile-Funktion
eingebaut. Bei den E-Mail-Adressen, die als Spamtrap-Adressen auf meinen
regulären Webseiten stehen, kamen kaum Treffer an. Ich habe keine
E-Mail-Adresse wiedergefunden, in der Uhrzeit und IP-Adresse des Abrufes
codiert wären :-(
Daniel Rehbein
www.mein-dortmund.de
Daniel Rehbein
>>Mich wunderte nur, daß sich der Traffic nicht wie üblich
>>auf das normale Maß abbaute, meine Leitung wurde weiter permanent
>>zugeballert (muß mich wohl mal mit QOS beschäftigen :-) ).
>
> Das sind doch alles reguläre, schlechte gewartete Mailserver.
> Die haben das Zeug u.U. Wochenlang und gigabyteweise in der Que stehen
> und versuchen das immer wieder. Zum Teil sind da so kaputte Mailserver
> dabei wie die von Software.com (o.ae.), die ein eine 5xx ignorieren und
> ggf sogar anfangen zu versuchen gegen die IP-# auszuliefern.
Das würde erklären, warum mein Mailserver so derart überlastet wird. ;-)
Ich habe mir einen Mailserver gebaut, der nur Mails von IP-Adressen aus
Deutschland annimmt. Zuerst habe ich das so gehandhabt, daß Verbindungen
von anderen IP-Adressen erst dann abgelehnt werden, wenn bei MAIL FROM
eine nicht-leere Adresse angegeben wird, so daß Bounces entgegengenommen
werden.
Nachdem mein Server durch zu viele Verbindungen von unerwünschten
IP-Adresse, habe ich ihn so abgewandelt, daß bereits beim
Eröffnungsdialog abgebrochen wird (so wie es z.B. AOL für
Dialup-IP-Adressen macht). Da kommt dann statt der Begrüßung mit 220
direkt die Ablehnung mit 554 und die Verbindung wird direkt wieder getrennt.
Trotzdem sehe ich an den IP-Verbindungen, daß diesselben Hosts es immer
wieder versuchen. Da ich die Verbindungen ablehne, weiß ich allerdings
nicht, ob die Hosts immer wieder diesselbe E-Mail einliefern wollen oder
ob es immer wieder um neue E-Mails geht.
>>Ich habe dann meinen Mailserver für 1,5 Stunden angeworfen und die
>>Mails gesammelt.
>>
>>In dieser kurzen Zeit kamen fast 20.000 Mails rein!
Ich habe nur einen T-DSL-1000-Zugang ;-)
Gruß aus Dortmund,
Daniel Rehbein
www.mein-dortmund.de
Simone Schultze
> Ich habe jedenfalls den Eindruck, daß der Spammer, der hinter dieser
> Aktion steht, nach irgendeiner Ordnung vorgeht. Der Spam mit dem Betreff
> "oh bideo" kam bei mir fast nur an Adresse in Subdomain von
> guestbook.myphotos.cc, der Spam "dvd_dvd" kommt dagegen an diverse
> andere Dyndns-Domains, guestbook.myphotos.cc sehe ich jedoch nicht
> darunter.
Evtl. hilft das weiter (habe heute mal die Teergrube angeworfen):
--------------------------------------------------------
Verbindungen von 69.90.74.13 in der Teergrube:
69.90.74.13 (69.90.74.13:2793) [Zeit bisher 00:05]
EHLO milkwoodaviaries.com
MAIL FROM:<milkwood...@milkwoodaviaries.com>
RCPT TO:<kerstin...@dkwy.ath.cx>
DATA
69.90.74.13 (69.90.74.13:2867) [Zeit bisher 00:03]
EHLO milkwoodaviaries.com
MAIL FROM:<milkwood...@milkwoodaviaries.com>
RCPT TO:<katja...@ajojo.dyndns.org>
DATA
69.90.74.13 (69.90.74.13:2987) [Zeit bisher 00:00]
EHLO milkwoodaviaries.com
MAIL FROM:<milkwood...@milkwoodaviaries.com>
RCPT TO:<kehng...@dkwy.ath.cx>
RCPT TO:<kehlty...@dkwy.ath.cx>
RCPT TO:<kehk...@dkwy.ath.cx>
RCPT TO:<kehjeizj...@dkwy.ath.cx>
DATA
Gesamtzahl der Verbindungen: 3
--------------------------------------------------------
> Das spricht in der Tat für die Vermutung, daß es sich um die gesammelten
> E-Mail-Adressen eines Harvesters handelt, der lange in den
> Poisoning-Seiten festgehangen hat, und daß die Adressen nach den
> Zeiträumen, in denen sie gesammelt wurden, sortiert sind.
Jein, ich habe die Vermutung, daß er sie einfach alphabetisch sortiert
hat, und dabei nicht mal nach den einzelnen Domänen unterschieden hat ;-)
Um das genauer zu untersuchen, müßte ich meine Logfiles aufbereiten :-(
Normalerweise interessieren mich die RCPTs nämlich nicht so sehr.
Grüße
Simone Schultze
> Rainer Zocholl wrote:
>
>>> Mich wunderte nur, daß sich der Traffic nicht wie üblich
>>> auf das normale Maß abbaute, meine Leitung wurde weiter permanent
>>> zugeballert (muß mich wohl mal mit QOS beschäftigen :-) ).
>>
>> Das sind doch alles reguläre, schlechte gewartete Mailserver.
>> Die haben das Zeug u.U. Wochenlang und gigabyteweise in der Que stehen
>> und versuchen das immer wieder. Zum Teil sind da so kaputte Mailserver
>> dabei wie die von Software.com (o.ae.), die ein eine 5xx ignorieren
>> und ggf sogar anfangen zu versuchen gegen die IP-# auszuliefern.
>
> Das würde erklären, warum mein Mailserver so derart überlastet wird. ;-)
*Das* Problem hatte ist auch, aber bei mir ist die Situation auf einmal
ganz anders (s.u.).
> Ich habe mir einen Mailserver gebaut, der nur Mails von IP-Adressen aus
> Deutschland annimmt. Zuerst habe ich das so gehandhabt, daß Verbindungen
> von anderen IP-Adressen erst dann abgelehnt werden, wenn bei MAIL FROM
> eine nicht-leere Adresse angegeben wird, so daß Bounces entgegengenommen
> werden.
Soweit, so gut.
> Nachdem mein Server durch zu viele Verbindungen von unerwünschten
> IP-Adresse, habe ich ihn so abgewandelt, daß bereits beim
> Eröffnungsdialog abgebrochen wird (so wie es z.B. AOL für
> Dialup-IP-Adressen macht). Da kommt dann statt der Begrüßung mit 220
> direkt die Ablehnung mit 554 und die Verbindung wird direkt wieder
> getrennt.
So etwas ähnliches habe ich heute auch gemacht. Zuerst hatte ich das
Problem mit der Überlastung des Mailservers (Mercury unter Windows auf
P2 350 MHz). Mein Mailserver brachte Fehlermeldungen, wenn _konstant_
mehr als 40 einliefernde Connections aktiv waren (die Bedingungen unter
denen eine so große Spamtrap arbeitet, unterscheiden sich halt sehr vom
*normalen* Einsatz eines Mailservers).
Nach einigem Herumprobieren, habe ich gemerkt, daß ich nur die
Verteilung der Mails auf das Catch-All Postfach abschalten muß, damit er
den Spam fehlerfrei schluckt. Der Spam wurde nur in die Queue gesteckt.
Nach Beendigung der jeweiligen Testzeiträume habe ich dann die
Queue-Verarbeitung wieder gestartet und alles war gut.
Dadurch konnte ich z.B. am 10.08.2005 in der Zeit von 01:00 Uhr bis
15:00 Uhr ca. 106.000 Mails empfangen.
Ich habe übrigens auch nur einen T-DSL-1000-Zugang ;-)
Heute (Gestern) stellt sich die Situation auf einmal ganz anders dar.
Ich hatte, wie Daniel, Verbindungen massiv mit 554-Fehlermeldungen
abgewiesen, da ich mit den Eingangsfilterungsmöglichkeiten des
Mercury-Mailservers experimentiert habe. Dort gibt es die Funktion
"shortterm-blacklist", wo man z.B. Rechner, die sich im HELO mit
"localhost" melden, automatisch für 30min auf eine Blacklist setzen kann.
Nach einigen Stunden trat folgende Situation ein: der Spam (und die
Auslastung meines Netzwerkinterfaces) gingen schlagartig zurück.
Normalerweise ist es so, daß wenn z.B. "mailreporter/mailvernichter" auf
der Maschine läuft, normales Surfen nicht mehr möglich ist. Der Rechner
wird bis zum Anschlag zugeballert.
Jetzt ist richtig Ruhe im Karton. Spam kommt derzeit nur im Sekundentakt
rein.
Das bringt mich zu folgenden Überlegungen:
Entweder
1. "mailreporter/mailvernichter" sind einfach nicht performant genug,
den reinkommenden Spam zu bedienen (was mein Mercury-Mailserver aber
anscheinend schafft).
Dadurch tritt dann ein "Abmelkungseffekt" ein. Der Spam-Stau löst sich auf.
Oder
2. Auf irgendeine Weise werten Spammer doch den Zustellerfolg aus.
Was davon richtig ist, kann ich nicht sagen, denn schließlich hatte ich
ja für über eine Woche meine Spamtraps komplett nach 'localhost'
geerdet, was die Spammer aber überhaupt nicht gestört hat (was
eigentlich gegen Punkt 2 spricht).
Auf jeden Fall bin ich sicher, daß Daniel exakt den gleichen Effekt
bemerken wird (Verminderung des Traffics/Spams).
> Trotzdem sehe ich an den IP-Verbindungen, daß diesselben Hosts es immer
> wieder versuchen. Da ich die Verbindungen ablehne, weiß ich allerdings
> nicht, ob die Hosts immer wieder diesselbe E-Mail einliefern wollen oder
> ob es immer wieder um neue E-Mails geht.
Klar, du machst die Tür zu, weißt nicht, wer dran klopft, und was
derjenige will ;-)
Spaß beiseite:
Ich habe für die Zeit vom 8. bis 10. August einiges an Daten gesammelt.
Diese Daten habe ich grafisch aufbereitet (Wayne's interessiert: auf
http://mitglied.lycos.de/sad20031216/ kann man sich an einem älteren
Beispiel mal ansehen, wie soetwas aussieht).
Sollte hier Interesse bekundet werden, würde ich z.B. die Daten vom
9.08.2005 Online stellen.
Man kann dort sehr anschaulich sehen, welche Rechner welchen Spam über
welchen Zeitraum (bei genügend langer Meßdauer) verschickt haben. Mann
kann auch sehr gut die Effizienz von DNSRBLs erkennen (bei den von mir
verwendeten leider kaum gegeben :( )
Sollte Daniel irgendwann mal Reportfunktionen in seine Tools einbauen
wollen, hätte ich übrigens den einen oder anderen Wunsch dazu ;-)
>>> Ich habe dann meinen Mailserver für 1,5 Stunden angeworfen und die
>>> Mails gesammelt.
>>>
>>> In dieser kurzen Zeit kamen fast 20.000 Mails rein!
>
> Ich habe nur einen T-DSL-1000-Zugang ;-)
Ich auch.
Grüße
Daniel Rehbein
> Jein, ich habe die Vermutung, daß er sie einfach alphabetisch sortiert
> hat, und dabei nicht mal nach den einzelnen Domänen unterschieden hat ;-)
Vielleicht hat er aber einfach nur ein paar Listen, die von sich aus
bereits alphabetisch sortiert waren. Meinen Adressenserver von der Seite
http://www.the-daniel-net.de/webserver.html hatte ich eine Zeitlang auch
mit der Einstellung LIST laufen, da liefert der Server recht lange
alphabetisch sortierte E-Mail-Listen.
Daniel Rehbein
www.daniel-rehbein.de