Thomas Meinike: Wer ist fash@teamone.de?

Hallo,

habe gerade ein SPAM-Mail mit Fake-Absender From: "Hal F. Ash" fash@teamone.de erhalten. Der Anhang ist base64-kodiert. Die Nachricht wurde offenbar von einem .ch-Server aus versandt.

"Subject: I saw you in the chatroom" - daran wuerde ich mich erinnern ...

MfG, Thomas

  1. Hi,

    habe gerade ein SPAM-Mail mit Fake-Absender From: "Hal F. Ash" fash@teamone.de erhalten. Der Anhang ist base64-kodiert. Die Nachricht wurde offenbar von einem .ch-Server aus versandt.

    ich unterstelle einfach mal, dass ein Bot Deine eMail-Adresse auf einem Host namens "forum.de.selfhtml.org" gefunden hat, sich dessen Domain schnappte und ein "fash@" davor setzte. Der From-Header einer Mail enthält *keine* Aussagekraft.

    Cheatah

    --
    X-Will-Answer-Email: No
    X-Please-Search-Archive-First: Absolutely Yes
    1. Hallo,

      ich unterstelle einfach mal, dass ein Bot Deine eMail-Adresse auf einem Host namens "forum.de.selfhtml.org" gefunden hat, sich dessen Domain schnappte und ein "fash@" davor setzte.

      Es handelt sich um eine Adresse, die ich hier nicht verwende.

      Der From-Header einer Mail enthält *keine* Aussagekraft.

      Das ist mir klar. Ich wollte eher darauf hinaus, ob die Mail auch andere erhalten haben. Dann bleibt mir nur noch der Received-Header.

      MfG, Thomas

      1. Hi,

        Es handelt sich um eine Adresse, die ich hier nicht verwende.

        hm, dann mag's ein anderer *.teamone.de-Host sein, oder hartkodiert, oder der Algorithmus ist komplizierter.

        Ich wollte eher darauf hinaus, ob die Mail auch andere erhalten haben. Dann bleibt mir nur noch der Received-Header.

        Ach so :-) Sorry, das kann ich natürlich nicht sagen. Ich habe jedenfalls nichts dergleichen bekommen; oder aber es ist nicht durch meine Spamfilter gerutscht.

        Cheatah

        --
        X-Will-Answer-Email: No
        X-Please-Search-Archive-First: Absolutely Yes
  2. Moin moin,

    habe gestern auch sowas bekommen, dabei hab ich doch noch garnicht Geburtstag...

    Gruß

    Tommy

    From - Wed May 07 17:07:19 2003
    X-UIDL: 1052258074.26612
    X-Mozilla-Status: 0001
    X-Mozilla-Status2: 00000000
    Return-path: perez@teamone.de
    Envelope-to: <SCHNIPP>
    Delivery-date: Tue, 06 May 2003 23:54:34 +0200
    Received: from [24.202.238.35] (helo=zpok.demon.co.uk)
     by mxng05.kundenserver.de with smtp (Exim 3.35 #1)
     id 19DAOP-00042a-00
     for <SCHNIPP>; Tue, 06 May 2003 23:54:34 +0200
    Message-ID: 849101c3141a$544bbbbf$d3b43d73@72yofc2
    From: "Anastasia Perez" perez@teamone.de
    To: <SCHNIPP>
    Subject: Happy Birthday!
    Date: Tue, 06 May 2003 21:55:11 +0000
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
     boundary="----=_NextPart_000_07C2_DF75AC40.846FD03F"
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2800.1106
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106

    This is a multi-part message in MIME format.

    ------=_NextPart_000_07C2_DF75AC40.846FD03F
    Content-Type: text/plain;
     charset="iso-8859-1"
    Content-Transfer-Encoding: 8bit

    ------=_NextPart_000_07C2_DF75AC40.846FD03F
    Content-Type: text/html;
     charset="iso-8859-1"
    Content-Transfer-Encoding: base64

    IA0KIA0KCQk8aHRtbD4NCiAgIA0KIA0KPEJPRFkgYmdjb2xvcj0iI2ZmZmZm
    ZiI+DQogPHAgYWxpZ249ImNlbnRlciI+YXI5d294MnVtaXlmMTxaSD50cTMx
    MTYzY3Nxcjxicj4NCjxhIGhyZWY9Imh0dHA6Ly8lMzY0LiUzNDYuMSUzMTYu
    NCUzNC9pbmQlNjUlNzguJTcwJTY4JTcwPyU3MyU3NCU3MmElNzQiPjxYRlY+
    PGltZyBzcmM9Imh0dHA6Ly93d3cuJTc3byU3MmxkJTczZXglNzMlNDVyJTU2
    ZSU1Mi5jb20vWGklNjNYJTZGJTZCJTY2byU2YiU3MiU0Nm0lNDElNkElNDFx
    QSU3N0F1JTQ3QUUlNDYvaSU2ZCU2MSU2NyU2NSU3My90JTYyJTYyLmclNjlm
    IiBib3JkZXI9MD48L2E+DQo8YnI+c3diMGd1YncxNDxRT1I+PGJyPnhhZHZ6
    bzMzcDlzPC9wPgkNCiANCjwvQk9EWT48L2h0bWw+CQ0KCQ0KDQoNCg==

    ------=_NextPart_000_07C2_DF75AC40.846FD03F--

    1. Hi,

      Content-Transfer-Encoding: base64

      IA0KIA0KCQk8aHRtbD4NCiAgIA0KIA0KPEJPRFkgYmdjb2xvcj0iI2ZmZmZm

      [...]

      oh, wie nett:

      <html>
      <BODY bgcolor="#ffffff">
      <p align="center">ar9wox2umiyf1<ZH>tq31163csqr<br>
      <a href="http://%364.%346.1%316.4%34/ind%65%78.%70%68%70?%73%74%72a%74"><XFV><img src="http://www.%77o%72ld%73ex%73%45r%56e%52.com/Xi%63X%6F%6B%66o%6b%72%46m%41%6A%41qA%77Au%47AE%46/i%6d%61%67%65%73/t%62%62.g%69f" border=0></a>
      <br>swb0gubw14<QOR><br>xadvzo33p9s</p>
      </BODY></html>

      Der Validator würde, nach Mitteilung eines Doctypes und einer Kodierung, ungefähr folgendes bemängeln:

      • kein <title>,
      • <zh>, <xfv> und <qor> sind unbekannt,
      • kein alt-Attribut in <img>.

      Und hat irgendjemand eine Vorstellung, was sich die Spezis von der doch geringfügig merkwürdig anmutenden (und vor allem falschen) URL-Kodierung erhoffen?

      Cheatah

      --
      X-Will-Answer-Email: No
      X-Please-Search-Archive-First: Absolutely Yes