Spam im Minutentakt

3 views
Skip to first unread message

Chr. Maercker

unread,
Sep 6, 2021, 5:19:16 AMSep 6
to
Hallo,

eine unserer Mailboxen wird gerade im Minutentakt mit Spam beschickt.
Unterschiedliche Einliefer-IPs, in einem Fall ergab die Prüfung jedoch,
dass es die IP des beworbenen Herstellers selbst ist:
Received: from mta3.my.birkenstock.com (mta3.my.birkenstock.com
[13.111.28.179])
Absender @birkenstock.com passt dazu, ebenso Werbung und URL im
Textbody. Bisher ca. 300 Spams in deutsch und niederländisch, alle
vergleichsweise seriös wirkend. Wahrscheinlich handelt es sich durchweg
um Werbung halbwegs seriöser Hersteller, in der Stichprobe ist kein
Pillenspam etc. enthalten.

Vermutlich wurde vom User auf irgendeiner Website ein Werbebutton oder
"Newsletter" geklickt. Was mich wundert ist, dass die Werbung direkt von
den Herstellern kommt und nicht von der IP einer Werbeagentur etc.
Benachrichtigen Werbeagenturen ihre Kunden, wen sie bombardieren dürfen?
Und haben die alle Software, die automatisch innerhalb kurzer Zeit den
Spam abschickt?
--


CU Chr. Maercker.

Chr. Maercker

unread,
Sep 7, 2021, 6:10:08 AMSep 7
to
Marcus Jodorf wrote:
> Die Adresse gehört zum Adressblock von Salesforce. Also CRM System.
> Quasi der einzige Sinn und Zweck von dem Laden ist es, Kunden regelmäßig
> mit Werbung zu beglücken und Informationen zu sammeln.

Welche Adresse? Ich hatte nur 13.111.28.179 angegeben und die löst exakt
auf den Namen auf, der im Received-Feld steht. Selten genug bei Spam.
Allerdings innerhalb einer IP-Range von Salesforce, das hatte ich übersehen.

> Die Frage ist also, wie die Empfängeradresse da ins System gekommen ist.
> Ich würde da einfach mal beim Hersteller anfragen.

Bei welchem? ;-) Der Nutzer bekommt Werbung von zig Firmen!

> Falls ein User sich da wirklich angemeldet und Werbung erlaubt hat, dann
> ist es halt in diesem Falle schlicht kein Spam und alles ganz normal
> gelaufen.

Offenbar nicht bei Salesforce.

--


CU Chr. Maercker.

Chr. Maercker

unread,
Sep 7, 2021, 11:04:53 AMSep 7
to
Andreas Kohlbach wrote:
> Wird nur dieser oder auch andere seriöse Hersteller beworbenen?

Hab den ausgewählt, weil es der einzige ist, den ich kenne. Vielleicht
waren noch mehr dabei, aber ich hab keine Lust, die ganze Tonne von dem
User zu durchschnüffeln.

> Da der auch in Niederländisch kommt, finde ich interessant.

>> Vermutlich wurde vom User auf irgendeiner Website ein Werbebutton oder
>> "Newsletter" geklickt.

> Müssten dann normal die Mails nicht diesen User erreichen?

Tun sie ja, massenhaft. Und anscheinend via Einliefer-IPs, deren Domains
den jeweiligen Firmen zugeordnet sind, aber in Ranges von Salesforce liegen.

>> Was mich wundert ist, dass die Werbung direkt von
>> den Herstellern kommt und nicht von der IP einer Werbeagentur etc.
>> Benachrichtigen Werbeagenturen ihre Kunden, wen sie bombardieren dürfen?
>> Und haben die alle Software, die automatisch innerhalb kurzer Zeit den
>> Spam abschickt?

> ... hat Euer Filter aufgrund der Massen an Mail getriggert.

Nein eben nicht. Da nicht von klassischen Spammer-IPs verschickt wurde
und wenig spamtypische Phrasen im Text enthalten sind, wundert mich das
nicht. Mein clientinterner Filter hat das Zeug auch durchgelassen, dort
kann es aber daran liegen, dass Outlokus die originalen Headerdaten in
den Textbody verfrachtet. Ich filtere nur IPs in den Headern. Man
bekommt Headerdaten mit diesem Outlokus nur über die Funktion "als
Anhang weiterleiten" übertragen. Kommentarlose Weiterleitung wie
PegaMail u.a. hat Outlokus anscheinend nicht.

--


CU Chr. Maercker.

Chr. Maercker

unread,
Sep 7, 2021, 11:50:20 AMSep 7
to
Karl-Josef Ziegler wrote:
> Salesforce und Niederlande triggern bei mir dieses hier:

Naja, einklich wohnen die in den Staaten:
Salesforce.com, inc. Salesforce Tower, 415 Mission Street, 3rd Floor,
San Francisco, CA 94105, United Steaks

Weiß der Geier, warum der User niederländische Werbung mit abgefasst hat.

> <https://www.antispam-ev.de/forum/showthread.php?41192-Thalia-%96-Spam-ohne-Werbeeinverst%E4ndnis-auf-gesperrte-E-Mail-Adresse&highlight=salesforce>

BTW: Es ist extrem selten, dass Suchmaschinen die eigenen Seiten einer
gesuchten Einrichtung bringen. Bei Salesforce funktioniert's. :-\
--


CU Chr. Maercker.

Chr. Maercker

unread,
Sep 8, 2021, 5:42:10 AMSep 8
to
Andreas Kohlbach wrote:
> Also haben sich/hat ein User Euren Abuse-Desk davon in Kenntnis gesetzt?

ACK, indem bei mir angerufen wurde. ;-)

> War nur ein User betroffen, ist das vielleicht seine Schuld, was geklickt
> zu haben, was aber nicht die Flut von Mails entschuldigt.

Davon gehe ich aus, es ist ein Einzelfall. Wird sich aber kaum erinnern
können, wann und wo, noch dazu, wo teilweise erst Jahre später Spam
kommt, wie in dero Krankenakte beschrieben.

> Sind mehrere betroffen - und ohne selbst was in die Wege geleitet zu
> haben - würde ich das als Spam klassifizieren wollen.

Hab schon überlegt, die IP-Ranges von Salesforce komplett sperren zu
lassen. Leider verschicken die nicht bloß Werbung, sondern bieten auch
Bibliothekssysteme, Datenbanken u.a.m. an.

--


CU Chr. Maercker.

Chr. Maercker

unread,
Sep 8, 2021, 5:52:23 AMSep 8
to
Karl-Josef Ziegler wrote:
> Salesforce kenne ich eigentlich aus einem anderen (durchaus) seriösen
> Zusammenhang: diese Plattform wird als Supportportal für einen großen
> internationalen Anbieter von Bibliothekssoftware verwendet.
Ich hatte ja schon erwähnt, dass ich auf zum Suchwort "Salesforce",
entgegen fast allen sonstigen Suchergebnissen, etliche Treffer an
vorderster Stelle von deren eigener Website bekam. Und auch unter den
nachfolgenden war nichts, was an eine Krankenakte erinnert. Bei der
Suche nach "Salesforce +Spam" gab es auch keine relevanten Treffer:

> Die bieten also CRM an, eigentlich ein seriöses Geschäft.

Zu "Salesforce +Spam" bekam ich etliche Seiten Antispam-Policy,
ebenfalls direkt von salesforce.dom auf vordersten Plätzen. In der Tat
alles unüblich für Schwarzhüte.

> kann man natürlich auch zur Spammerei missbrauchen. Das ist dann aber
> wohl eher den Kunden der Plattform anzulasten.

Wenn es max. 2..3 Firmen gewesen wären, würde ich Dir sofort recht
geben. Da es aber wesentlich mehr waren, scheint ein Algorithmus bzw.
eine Datenbank von Salesforce beteiligt zu sein.

--


CU Chr. Maercker.

Chr. Maercker

unread,
Sep 8, 2021, 10:02:13 AMSep 8
to
Chr. Maercker wrote:
> Wenn es max. 2..3 Firmen gewesen wären, würde ich Dir sofort recht
> geben. Da es aber wesentlich mehr waren, scheint ein Algorithmus bzw.
> eine Datenbank von Salesforce beteiligt zu sein.

Würde es denn reichen, wenn sich der User bei 2..3 Firmen austrägt?
Einige, z.B. dolce-gusto.de liefern einen Unsubscribe-URL, der halbwegs
echt wirkt. Bei Spammern steht dort i.a. der gleiche URL wie der, den
sie bewerben.

--


CU Chr. Maercker.

Mike Grantz

unread,
Sep 8, 2021, 10:33:49 AMSep 8
to
On 07.09.2021 17:04, Chr. Maercker wrote:

> Hab den ausgewählt, weil es der einzige ist, den ich kenne. Vielleicht
> waren noch mehr dabei, aber ich hab keine Lust, die ganze Tonne von dem
> User zu durchschnüffeln.

Du liest fremde Emails?

Thomas Hochstein

unread,
Sep 8, 2021, 4:30:03 PMSep 8
to
Karl-Josef Ziegler schrieb:

> Salesforce kenne ich eigentlich aus einem anderen (durchaus) seriösen
> Zusammenhang: diese Plattform wird als Supportportal für einen großen
> internationalen Anbieter von Bibliothekssoftware verwendet. Die bieten
> also CRM an, eigentlich ein seriöses Geschäft.

Naja, das ist ein Unternehmen mit ca. 50.000 Mitarbeitern und ~ 17
Mrd. Umsatz, also nicht irgendeine kleine Spammerklitsche, und der
Eigentümer - nach Aufkauf - von bekannten Diensten wie Slack oder
Heroku.

<https://de.wikipedia.org/wiki/Salesforce.com>

-thh
--
BITTE *vor* dem Posten in de.admin.net-abuse.mail die Hinweise unter
<https://th-h.de/net/usenet/faqs/danam-intro/> lesen!

Weitere kleine Texte rund um das Thema E-Mail: <https://th-h.de/net/mail/>

Thomas Hochstein

unread,
Sep 8, 2021, 4:30:03 PMSep 8
to
Mike Grantz schrieb:

> Du liest fremde Emails?

Du nicht?

Chr. Maercker

unread,
Sep 9, 2021, 6:44:23 AMSep 9
to
Andreas Kohlbach wrote:
> Wenn ich bespammt werde und (besonders bei Spammer, die selbst das
> Spammen anbieten für mich interessant) nach dem Namen der Webseite
> suche, finde ich auf oft deren "Anti Spam Policy". Oder wie man dem
> Spamfiltern entgegen kann.

Zu echten Spammern finden sich i.a. aber auch Krankenakten. Zu
Salesforce fand meine Suchmaschine nicht mal den einzelnen Altfall von
2015, den Karl-Josef Ziegler verlinkt hat, jedenfalls nicht unter den
ersten ca. 50 Treffern.

--


CU Chr. Maercker.

Chr. Maercker

unread,
Sep 9, 2021, 6:44:58 AMSep 9
to
Mike Grantz wrote:
> Du liest fremde Emails?

Ich bekomme sie sogar weitergeleitet. :-)

--


CU Chr. Maercker.

Chr. Maercker

unread,
Sep 10, 2021, 6:20:20 AMSep 10
to
Beate Goebel wrote:
> Die Mailadresse des Users mal bei https://haveibeenpwned.com/
> einwerfen, um zu schauen, ob es einen Leak gibt?

Treffer. :-\
Wobei ich bei den Werbesendungen davon ausgehe, dass versehentlich ein
"Newsletter" oder so was abonniert wurde. Weil Salesforce halt kein
klassischer Spammer ist.

--


CU Chr. Maercker.

Chr. Maercker

unread,
Sep 10, 2021, 4:04:00 PMSep 10
to
Beate Goebel wrote:
> Dann hat er die Adresse noch woanders benutzt und von da ist sie
> "verkauft" worden.

ACK

> Dann ist auf jeden Fall ein Passwort-Wechsel wichtig.

Einen Zusammenhang mit dem Verbrennen einer eMailadresse sehe ich zwar
nicht unbedingt, aber bei dem System empfielt es sich dennoch. Etliche
Accounts haben dort noch Passwort-Richtlinien, bei denen nur die ersten
acht Zeichen relevant sind.
--


CU Chr. Maercker.

Chr. Maercker

unread,
Sep 10, 2021, 4:13:00 PMSep 10
to
Andreas Kohlbach wrote:
> Schade, dass die Seite keine Auflistung macht, wo man genau gepawned
> ist. Meine hier ist es auch. Nicht dass mich das wundert.

Dito, allerdings nicht meine Spamtonne. Hab heute Pwd-Richtlinie > 8
Zeichen einrichten lassen. Gab es bei Dir Anzeichen für Missbrauch der
betr. Mailbox? Bei mir nicht. Da sie auf einem Relay liegt, der mal
Mailserver war, ist sie chronisch leer. Zum Spammen könnte sie dennoch
misnutzt werden.

> Andererseits scheint die Seite keinen guten Zugriff auf Pastebin zu
> haben. Mein liebster Nigeria-Spammer kommt seit Monaten über
> <keystoneb.j...@gmail.com>, welche ich dort mehrfach
> einpflegte. Die Adresse ist laut der Seite oben aber nicht gepawned.

Bei GMail könnte er sie selbst angelegt haben. Schick ihm doch mal'n gut
präparierten Phish. ;-)

> Weiß jemand, wo man gut Adressen von Nigeria-Spammern verbrennen kann,
> dass diese auch in den Index von Google kommen? Denn Seiten von Pastebin
> lassen sich in der Regel nicht (in seltenen Fällen aber eben doch) in
> seinem Index finden. Dabei haben sie nicht mal "robots=noindex" im Head.

Die wissen schon, warum sie Pastebin auf die Exclude-list gesetzt haben. ;-)

--


CU Chr. Maercker.

Chr. Maercker

unread,
Sep 10, 2021, 4:51:25 PMSep 10
to
Beate Goebel wrote:
> Das stimmt nicht. Du musst nach dem Ergebnis runter scrollen, und den
> Adblocker ausschalten.

> Da kommt ein roter Bereich.

Eher rotbraun, oder?

> Bei mir steht da z.B.

... direkt unter "Oh no - pwnded!":
"Pwned in 1 data breach and found no pastes (subscribe to search
sensitive breaches)"

Das meinst Du aber vermutlich nicht:

> "Adobe: In October 2013, 153 million Adobe accounts were breached with
> each containing an internal ID, username, email, encrypted password and
> a password hint in plain text. The password cryptography was poorly
> done and many were quickly resolved back to plain text. The unencrypted
> hints also disclosed much about the passwords adding further to the
> risk that hundreds of millions of Adobe customers already faced.
>
> Compromised data: Email addresses, Password hints, Passwords,
> Usernames"

...

Der Scrollbalken ist stellenweise schwarz auf schwarz bzw. grau auf
blaugrau und damit fast unsichtbar. Udn die wirklich interessanten Infos
stehen natürlich ganz unten. Die gelisteten "compromised data" dürften
alle in mind. einem Datensatz vorkommenden sein und nicht allesamt für
jeden einzlnen Datensatz der jeweiligen Sammlung gelten. Ergo ist
unklar, welche Daten sie zu bestimmten eMailadressen wirklich haben.
Beim betr. User stehen t.B. Passwords gar nicht erst in der Liste.
Bei Stichproben habe ich noch zwei weitere Mailboxen gefunden, für beide
ist die gleiche Quelle angegeben. Für den User, um den es im Thread
geht, wird eine andere Quelle genannt. Alles die gleiche Maildomain.
Vermutlich haben die Namen und Mailadressen aus der hauseigenen
Personensuche geharvestet oder so was. Diesen Verdacht habe ich schon lange.
--


CU Chr. Maercker.

Mike Grantz

unread,
Sep 11, 2021, 4:59:25 PMSep 11
to
On 09.09.2021 12:44, Chr. Maercker wrote:

>> Du liest fremde Emails?
>
> Ich bekomme sie sogar weitergeleitet. :-)

Genehmigt. :)

"die ganze Tonne von dem User zu durchschnüffeln." liess Raum für
Interpretationen.

Mike Grantz

unread,
Sep 11, 2021, 5:00:06 PMSep 11
to
On 10.09.2021 12:20, Chr. Maercker wrote:

> Wobei ich bei den Werbesendungen davon ausgehe, dass versehentlich ein
> "Newsletter" oder so was abonniert wurde. Weil Salesforce halt kein
> klassischer Spammer ist.

Semi-OT, da ich grad über diese Nachricht gestolpert bin:
https://www.cnbc.com/2021/09/10/salesforce-offers-to-relocate-employees-from-texas-after-abortion-bill.html
Reply all
Reply to author
Forward
0 new messages