Mr Song Lile - Most Urgent

[han]

header:

01: X-Apparently-To:   	 	 xxx [at] yahoo.de via xxx.xxx.xxx.xx; Fri, 20 Nov 2009 xx:xx:xx -0800
02: Return-Path: 		<songlileprivate [at] yahoo.com.hk>
03: X-YahooFilteredBulk: 		200.55.156.178
04: X-YMailISG:
05: 			6Psx_mgWLDt4Tj.ppJEaISRxth1bCXOavVSBddkPZRPnUDyerAoMl6lBHQURd9sp4MHduChckXMZJFx.bRQNyYjNnSAJ
06: 	meRZfxKOgVc._YMmZDEdsXi8O34BjQ7k4kH47q74FCGbB_JJnGMQf48o_9x2iwFSXhKQw1lgM_vvK4Z2w0serySHV5G5qv
07: 	EjjH7F_izQ7PSyyPVhhSiuFjRZYPPDxaCa5aeeQuAIq_YY8jmWoYYY3Sf1SJqr3HSTsagzFYXxrUJDrp_Wz.WHnTw1QvNR
08: 	irgAFJj6Wl8ar
09: X-Originating-IP: 		[200.55.156.178]
10: Authentication-Results: 		mta1028.mail.re4.yahoo.com from=yahoo.com.hk;
11: 	domainkeys=neutral (no sig); from=yahoo.com.hk; dkim=neutral (no sig)
12: Received: 		from 127.0.0.1 (EHLO mx.rimed.cu) (200.55.156.178) by
13: 	mta1028.mail.re4.yahoo.com with SMTP; Fri, 20 Nov 2009 xx:xx:xx -0800
14: Received: 		from mailer.rimed.cu (mailer.rimed.cu [200.55.156.173]) by
15: 	mx.rimed.cu (Postfix) with ESMTP  ID: xxxxx
16: Received: 		from localhost (ns2.rimed.cu [200.55.156.163]) by mailer.rimed.cu
17: 	(Postfix) with ESMTP  ID: xxxxx
18: Received: 		from 203.210.142.206 ([203.210.142.206]) by webmail.rimed.cu (Horde
19: 	Framework) with HTTP; Fri, 20 Nov 2009 xx:xx:xx +0100
20: Message- ID: xxxxx
21: Date: 		Fri, 20 Nov 2009 xx:xx:xx +0100
22: From: 		
23: Mr Song Lile <songlileprivate [at] yahoo.com.hk>  
24: Absender in den Kontakten speichern
25: Reply-to: 		songlileprivatee04 [at] yahoo.com.hk
26: To: 		undisclosed-recipients:;
27: Subject: 		Most Urgent
28: MIME-Version: 		1.0
29: Content-Type: 		text/plain; charset=ISO-8859-1; DelSp="Yes";
30: 	format="flowed"
31: Content-Disposition: 		inline
32: Content-Transfer-Encoding: 		7bit
33: User-Agent: 		Internet Messaging Program (IMP) H3 (4.3.4)
34: Content-Length: 		388

My name is Mr. Song Li le I work with the Hang Seng Bank.There is the sum of
$19,500,000.00 in my bank"Hang Seng Bank",Hong kong.I wish to make a transfer involving a huge amount of money worth$19,500,000.00 .I do solicit for your assistance in effecting this transaction.I intend to give 30% of the total funds as compensation for your assistance.

Kind Regards,
Mr. Song Lile.

[Goofy]

Der Server mit der IP 200.55.156.178 steht in Kuba und ist schon aufgefallen:

[Link nur für registrierte Mitglieder sichtbar. ]

Ref: SBL81398

200.55.156.160/27 is listed on the Spamhaus Block List (SBL)

17-Nov-2009 13:37 GMT | SR08

advance fee fraud sources at rimed.cu

Criminal scammers, probably operating out of Nigeria, have been sending
large amounts of spam through these mail servers for many days.
Rimed needs to block them.

Mit anderen Worten: wohl wieder mal ein gecrackter Squirrel-Mailserver, und die Hoster in Havanna kriegen es nicht gebacken, das Teil vom Netz zu nehmen.

Die Mugus nehmen momentan gern solche gecrackte Server, um die Mails drüber abzudrücken. Die Ratware und die IPs dieser Server kaufen sie von den Russkis. Alleine wären die viel zu blöd für sowas.

[han]

hier die anderen IPs, die mich bespamt haben

• 171.67.219.82 Vereinigte Staaten
• 200.55.156.178 Kuba
• 193.63.239.164 Grossbritannien
• 196.216.67.62 Kenia
• 163.203.222.222 Südafrika
• 200.21.104.81 Kolumbien
• 148.78.247.132 Vereinigte Staaten
• 91.123.16.19 Russland
• 130.237.32.175 Schweden
• 220.191.176.35 China
• 64.98.42.194 Kanada
• 91.121.100.192 Frankreich
• 212.55.203.195 Schweiz
• 209.226.175.72 Kanada
• 209.29.33.22 Kanada
• 209.59.131.117 Vereinigte Staaten
• 209.226.175.10 Kanada
• 61.9.168.146 Australien

bunte mischung - fast alle IPs nur einmal benutzt

kann es sein, dass das die nachwirkung der teilnahme am planet49-gewinnspiel ist, obwohl schon 2 jahre seit der abmeldung? (leider per link in der mail) - und die kommen alle erst jetzt?

in diesen 2 jahren kam vll alle 3 monate mal was - jetzt 2/3 mal die woche


gruss
hans

[Goofy]

Möglich ist grundsätzlich alles. Planet49 verkauft aber wohl eher keine Daten wissentlich und direkt an Mugus. Die primären Datenquellen der Mugus liegen eher woanders:

• Gästebücher im Internet werden nach Mailadressen abgegrast, und zwar manuell, nicht etwa mit Spidern
• Adress-CDs von zwielichtigen Adressbrokern werden angekauft, z.B. bei e-bay, oder nach Kontaktierung in Spammerforen. Der Adressbroker könnte diese Daten durchaus auch von einem Gewinnspielbetreiber haben.
• Dieselben Russkis, die den Mugus die gecrackten Server und die Ratware vermieten, könnten auch im Adresshandel tätig sein und den Mugus Adress-CDs verkaufen

[kjz1]

Mit anderen Worten: wohl wieder mal ein gecrackter Squirrel-Mailserver, und die Hoster in Havanna kriegen es nicht gebacken, das Teil vom Netz zu nehmen.

Kleine Korrektur:

Es handelt sich hier wohl laut den Headern um gecracktes Horde Framework:

[Link nur für registrierte Mitglieder sichtbar. ]

Das Problem hat aber ein und dieselbe Wurzel: sowohl SquirrelMail als auch der Horde Webmail Client basieren beide auf einer Sammlung von PHP-Skripten. Und ich halte es für brandgefährlich, wenn 'Turnschuh-Admins' PHP auf öffentlich zugänglichen Servern einsetzen. Wer PHP öffentlich zugänglich einsetzt, sollte über ein profundes Wissen darüber verfügen, wie man PHP absichert. Und da fehlt es bei vielen, Resultat: reihenweise gecrackte Server.

- kjz

[han]

mir ist noch die IP 203.210.142.206 in zeile 18 aufgefallen
ist dies normal die ID des einliefernden mailservers?
aber die gehört doch nach vietnam (laut geobytes.com) !?
und dahinter dann der kubanische mailserver ^whois:webmail.rimed.cu ?


vll kapier ich's noch irgendwann...

gruss hans

OT: war hier der WHOIS-code notwendig?

[Goofy]

Das Problem beim SMTP-Mailheader ist, dass er in weiten Teilen gefälscht werden kann.

Das einzige, was nicht zu fälschen ist, ist die einliefernde IP-Adresse. Dieser Eintrag wird nämlich vom empfangenden Mailserver in den Header gesetzt. Das ist die einliefernde Adresse am annehmenden Mailserver Deines Mailproviders, der natürlich immer als vertrauenswürdig einzustufen ist, und der wohl keine Fälschungen vornimmt. Wenn der im Header den Eintrag vornimmt, dass er die Mail von 200.55.156.178 gekriegt hat, dann stimmt das schon mal so.

Wenn jetzt der gecrackte Server mit der IP 200.55.156.178 im Header behauptet, er habe die Mail seinerseits durchgeleitet bekommen, und zwar von der 203.210.142.206, dann kann das stimmen, muss aber nicht. Es kann sich grundsätzlich immer um einen gefälschten Eintrag handeln. In der Tat machen Spammer mit ihrer Ratware das häufig, um den Verfolger zu verwirren. Dieser Eintrag wäre dann vertrauenswürdig, wenn man dem Server in Kuba vertrauen könnte. Weil der aber seinerseits schon gecrackt wurde, ist es sehr wahrscheinlich, dass alles das, was dieser Server in den Header geschrieben hat, komplett vom Spammer gefälscht wurde. Also auch die vietnamesische IP: wahrscheinlich Fake.

[han]

Das einzige, was nicht zu fälschen ist, ist die einliefernde IP-Adresse. Dieser Eintrag wird nämlich vom empfangenden Mailserver in den Header gesetzt.

also mein mailserver schreibt die komplette erste received-zeile - hier 12 und 13 - und nur die ist sicher echt - richtig?

danke für die antwort

gruss hans

[han]

.. und zum beispel dem mailserver der [Link nur für registrierte Mitglieder sichtbar. ], von dem ich eine spam bekam (ich hab nen nagelneuen BMW gewonnen plus 750.000 britische pfund) ,

header:

01: Received:   	 	 from 130.237.32.175 (EHLO smtp-1.sys.kth.se) (130.237.32.175) by
02: 	mta262.mail.re2.yahoo.com with SMTP; Sat, 17 Oct 2009 xx:xx:xx -0700
03: Received: 		from localhost (localhost [127.0.0.1]) by smtp-1.sys.kth.se
04: 	(Postfix) with ESMTP  ID: xxxxx
05: X-Virus-Scanned: 		by amavisd-new at kth.se
06: Received: 		from smtp-1.sys.kth.se ([127.0.0.1]) by localhost
07: 	(smtp-1.sys.kth.se [127.0.0.1]) (amavisd-new, port 10024) with LMTP  ID: xxxxx
08: Received: 		from exhub01.ug.kth.se (exhub01.ug.kth.se
09: 	[IPv6:2001:6b0:1:1200:b8e3:b9b9:e19a:3274]) by smtp-1.sys.kth.se (Postfix) with ESMTP
10: 	 ID: xxxxx
11: Received: 		from mail02.ug.kth.se ([fe80::c997:62d2:6386:3e8a]) by
12: 	exhub01.ug.kth.se ([fe80::b8e3:b9b9:e19a:3274%11]) with mapi; Sat, 17 Oct 2009
13: 	xx:xx:xx +0200
14: From: 		
15: Weimin Ma <weimin [at] kth.se>  
16: Absender in den Kontakten speichern
17: Date: 		Sat, 17 Oct 2009 xx:xx:xx +0200
18: Subject: 		BMW E-Mail Selection Contact<bmwawarenessuk [at] inMail24.com>

soll ich dem ne abuse-mail schicken?
nutzt das was?
spamanalyser sagt mir: keine blacklist-einträge


gruss hans

[hoppala]

.. und zum beispel dem mailserver der [Link nur für registrierte Mitglieder sichtbar. ], von dem ich eine spam bekam
...
soll ich dem ne abuse-mail schicken?

Ja, auf jeden Fall. Wenn die Mail nicht von einer dynamisch vergebenen IP-Adresse kommt, sondern von z.B. einem echten Mailserver wie hier, sollte man auf jeden Fall eine Abuse-Mail schicken - die Betreiber dieser Server haben normalerweise kein interesse daran, dass ihre Adresse in irgendwelchen Blacklists landet und schmeißen Spammer schnell raus.
Bei einem Spammer-Hoster kann man sich das natürlich sparen, der lebt ja davon, dass seine Kunden woanders nicht gern gesehen sind und deswegen bei ihm sind.

hoppala