Neue oder alte Spam

Heute schlupften zwei Mails durch den Spam-Filter, die mir auf den ersten Blick irgendwie vertraut vor kamen[1]. Spam oder nicht Spam, dass ist hier die Frage, ohne eindeutige Antwort. Beginnen wir mit dem Textteil der beiden Mails, die ich hier um überflüssige Zeilen gekürzt und leicht verfremdet wieder gebe, auch wenn es dazu führt, dann man scrollen muss.

BTW: Durch den Spam-Filter gelangten die Mails, weil neben dem Bayes-Test (99% Spam = 3.8 Points) kein weiteres Filterkriterium ansprach und die Schranke bei 4.5 Points liegt.

Erste Mail

from: Julia Fuhrmann
subject: [Handlungsbedarf] Thomas Arend

Guten Tag Thomas Arend,

Ihr Krankenkassentarif ist nicht mehr aktuell und kann durch einen günstigeren Tarif ersetzt werden. Dieser Tarif würde sogar bessere Lesitungen bieten.

Derzeit können Sie sich ab 59,00 Euro im Monat privat verischern.

Leider erfolgt keine automatische Anpassung, darum sollten Sie jetzt kostenlos vergleichen:

Bitte hier klicken:
http://rv-mm.de/l.php?l=58&c=…%3D

Mit freundlichen Grüßen,

Julia Fuhrmann
Customer Care Center

Dieser Newsletter ist ein unentgeltlicher Service der Richvestor GmbH und wurde an Sie versandt, da Sie mit Ihrer E-Mail-Adresse thomas@t-arend.de an einer von uns oder unseren Partnern veranstalteten Aktion teilgenommen haben.

Da die Richvestor GmbH ausschließlich der Versender dieser E-Mail ist, bitten wir Sie sich bei Fragen zum Inhalt der Mail direkt an den Anbieter zu wenden. Regressansprüche gegen die Richvestor GmbH sind ausgeschlossen.

Da aus technischen Gründen eine Antwort auf diese Mail nicht zugestellt werden kann, bitten wir Sie für Anfragen den Kontakt-Link zu verwenden. Klicken Sie auf Abmeldung, falls Sie unseren Newsletter nicht weiter erhalten möchten:

http://rv-mm.de/so.php?v=31&a=thomas%40excample.com&c=…….%3D

Ein Service der: Richvestor GmbH, Leopoldstrasse 38, 38100 Braunschweig

Zweite Mail

from: DSL-Fox.de
subject: Wichtige Information für alle Analog DSL Kunden

Hallo Thomas Arend,

DSL Produkte zu Discountpreisen. Sparen Sie bis zu 46%. Unsere aktuellen Angebote für Sie:

Telefonflatrate + DSL Flatrate mit bis zu 16.000 kbit/s effektiver Preis: 18,75 € mtl.

Telefonflatrate + DSL Flatrate und TV mit bis zu 16.000 kbit/s effektiver Preis: 34,95 € mtl.

Telefonflatrate + VDSL Flatrate mit bis zu 32.000 kbit/s effektiver Preis: 21,98 € mtl.

Ihre Vorteile bei http://www.DSL-Fox.de:

Wir kümmern uns um den kompletten Tarifwechsel. Sie lehnen sich entspannt zurück, und wir arbeiten für Sie. Tarifwechsel lohnt sich!

Mehr Infos unter: http://www.DSL-Fox.de

Keine versteckten Kosten. Einfach und fair.

Mit den besten Grüßen

DSL-Fox.de

[..]

Dieser Newsletter ist ein unentgeltlicher Service der RS Mobile Marketing GmbH und wurde an Sie versandt, da Sie mit Ihrer E-Mail-Adresse thomas@t-arend.de an einer von uns oder unseren Partnern veranstalteten Aktion teilgenommen haben.

Da die RS Mobile Marketing GmbH ausschließlich der Versender dieser E-Mail ist, bitten wir Sie sich bei Fragen zum Inhalt der Mail direkt an den Anbieter zu wenden. Regressansprüche gegen die RS Mobile Marketing GmbH sind ausgeschlossen.

Da aus technischen Gründen eine Antwort auf diese Mail nicht zugestellt werden kann, bitten wir Sie für Anfragen den Kontakt-Link zu verwenden. Klicken Sie auf Abmeldung, falls Sie unseren Newsletter nicht weiter erhalten möchten:

http://rsmm-mail.de/so.php?v=64&a=thomas%40example.com&c=……%3D

Text und Aufmachung ähneln sich verblüffend. Handelt es sich wirklich um zwei verschiedene Firmen, die die Mails versenden? Bemühen wir WHOIS.

dsl-fox.de >> Domaintools
David Braun, bravarg engineering GmbH
rsmm-mail.de >> Domaintools
Marcus Arloth,RS Mobile Marketing GmbH
rv-mm.de >> Domaintools
Timo Richert, Richvestor GmbH

Gehen wir die Firmen von oben nach unten durch.

Die Homepage der bravarg engineering GmbH ist schnell gefunden: bravarg.de[2]. Die Firma versucht sich mit dsl-fox.de als Zwischenhändler zu den großen Telekommunikationsanbietern. Der erste Eindruck ist solide. Vielleicht brauchen die nur Werbung um Kunden zu locken. Der Name dsl-fox.de[3] ist zwar kurz und pfiffig, aber wie ihn mit wenig Geld unter die Leute bringen. Neben dem DSL-Fuchs taucht[4] er auch nach Tarifen für DSL, Strom und Gas. Eine entsprechende Mail wird nicht lange auf sich warten lassen. Wen die Aktion Erfolg hat, folgen weitere.

Die RS Mobile Marketing GmbH hat eine eigene Homepage unter dem Namen marketing-gmbh.com. (rsmm-mail.de gibt nichts her.) Online-Marketing steht schon in der Menü-Zeile. Zitat aus der Web-Seite (Hervorhebung von mir):

Unsere Online Marketing Spezialisten planen und entwerfen starke Kampagnen.
Von der Landing Page bis hin zur Traffic-Planung erfolgt jeder einzelne Schritt im eigenen Haus. Dabei bedienen wir uns sämtlicher SEM-Strategien (Search Engine Marketing), SEO-Maßnahmen (Search Engine Optimization) sowie E-Mail-Marketing, wobei wir mit Agenturen kooperieren. Dadurch erreichen wir bis zu 3,4 Millionen Endkunden im B2C und 1,3 Millionen im B2B-Bereich.

Dies legt nun den Schluss nahe, dass der DSL-Fuchs einen Auftrag an die mobilen Vermarkter erteilt hat.

Eine Suche nach RichVestor und Timo Richert wirft das AntiSpam-Project[5] als obersten Treffer aus. Siehe da, der Herr ist bekannt. Eine Homepage der Firma RichVestor ist etwas verborgen. richvestor.com IP:81.169.179.94 zeigt eine eben erst freigeschaltete Homepage bei Strato. Der Server hört auch auf richvestor.de und zeigt dann leeres Verzeichnis. Für eine Marketing Firma kein überzeugender Auftritt.

Noch haben wir es mit drei oder vier[6] unterschiedlichen Firmen zu tun.

Erst über die IP-Adressen von rv-mm.de (176.9.95.15) >> Domaintools und rsmm-mail.de (176.9.67.102) >> Domaintoolsund dem WHOIS Eintrag der Server kommt eine Verbindung zustande. Die IP-Adressen Server sind bei der Hetzner Online AG sind auf Jan Ringleb, adresspark UG eingetragen. Und wohin führt die adresspark.de IP:91.200.108.18? >> Domaintools Zur Aquatix International LLC, die mit einem alten Bekannten, der Aquatix IT-Services e.K einen Teil des Namens gemein hat und auf die wiederum die IP-Adresse 91.200.108.18 weist. Leider wird die Homepage der Aquatix International LLC gerade überarbeitet. Dafür ist die Seite adresspark.de aufschlussreicher.

Die adresspark UG vertreibt die Software und betreibt wohl auch die Hardware, die für einen modernen Lead- und Adresshandel benötigt wird. Richtig gut ist die Online-Demo für LeadPark. (Ausnahmsweise ein Link) Auch das Produkt eleven mailer ist beachtenswert. 200€ für eine Millionen E-Mails sind nicht viel, wenn es sich um gute Adressen handelt. Über Gewinnspiele werden die Daten gesammelt und mit dem Einverständnishaken ist alles im Einklang mit dem Deutschen Recht. Vermutlich sind Timo Richert und Marcus Arloth Kunden der Firma adresspark UG und nutzen deren Software. Es gibt dazu noch mehr aus dem Mails zu lesen.

Kommen wir zum Header. Dort fielen mir sofort zwei Zeilen auf.

Received: from m209.ckmwvs4.de (m209.ckmwvs4.de [188.74.52.212])
	by h_______.stratoserver.net (Postfix) with ESMTP id EE5B2206E182
	for <thomas@excample.com>; Wed,  8 Feb 2012 14:13:10 +0100 (CET)
[..]
list-unsubscribe: <http://rsmm-mail.de/so.php?v=64&a=thomas%40t-arend.de&c=...o%3D>
list-id: <d64.client1.mawuvs.de>
Received: from ms718.adrpms.de (ms718.adrpms.de [62.93.22.211])
	by h_______.stratoserver.net (Postfix) with ESMTP id 8F2CD206E1A3
	for <thomas@example.com> Fri, 10 Feb 2012 10:49:51 +0100 (CET)
[..]
list-unsubscribe: <http://rv-mm.de/so.php?v=31&a=thomas%40example.com&c=...%3D>
list-id: <d31.client2.mawuvs.de>

Auffallend die Tags list-unsubscribe und list-id und die die Ähnlichkeit der Mails verblüfft. WHOIS zeigt: Hinter den Domains adrpms.de, ckmwvs4.de und mawuvs.de steht Jan Ringleb, adresspark UG. Und dies ist der Link zwischen den Mails.

Nun fügen wir den Reigen zusammen: Julia Fuhrmann, oder wie immer sie wirklich heißt, hat RichVestor und bravarg hat RS Mobile Marketing beauftragt, für sie Werbung zu verschicken. Beide sind der wiederum Kunden bei adresspark UG. Alles reale Firmen, die man in Deutschland grundsätzlich greifen könnte – keine Postanschrift in einem Mini-Staat oder östlichem Europa / Russland. Versand über Server in realen Rechenzentren. Keine Bot-Netze.

Was hilft es nun? Wenig. Irgendwann habe ich bei einem Gewinnspiel auch mal eine E-Mail-Adresse angegeben und das Kreuz bei Kontaktaufnahme gesetzt. Dies habe ich wahrscheinlich nicht nur einmal gemacht. Mit dem Recht, dieses auch weiter zu geben, komme ich da nicht mehr raus. Da ist sicher nicht nur bei mir der Überblick verloren gegangen. Ich müsste jede Firma einzeln anschreiben und um Löschung bitten. Wäre aber nicht sicher, dass sie die Daten nicht retten und an die nächste Neugründung weiter geben.

Jetzt muss ich noch einen Link setzen: www.adresspark.de de adressmarketing besser kann ich es auch nicht erläutern.

Eine Einsortierung Unsolicited Bulk E-Mail (UBE) oder Unsolicited Commercial E-Mail (UCE) kann dies leider nicht gelten. Hier werden auch keine Phantasie Adressen generiert, sondern qualitativ hochwertige Adressen genutzt. Im Gegensatz zu Marklerwelten AG spielt sich hier noch alles im deutschen Raum bei renommierten Hostern ab. Auch wenn hier Aquatix wieder als Provider auftritt. Wie immer der Zusammenhang hier auch ist.

Ich werde einige Newsletter, die ich von Online-Shops erhalten, näher unter die Lupe nehmen müssen.

Wenn Verbindung zu Julia Fuhrmann nur über RichVestor läuft, bin ich gespannt, was passiert, wenn ich den Link ohne Daten aufrufe. — Erstmal wenig. Sie können nicht mit den Daten anfangen, aber es erscheint auch kein Anmeldeformular.

Nach Antispam-Project gibt es eine Verbindung zwischen Maklerwelten AG und Timo Richert. Aber …

genug für heute.

  1. [1]Siehe unter anderem 150 € in nur 20 Minuten verdienen?
  2. [2]Ich möchte die Firmen hier nicht mit Links beglücken. Wer die Seite ansehen will, bitte kopieren und ins Adressfeld eintragen.
  3. [3]DSL Fuchs gefiele mir besser. Aber heute muss ja alles Englisch sein.
  4. [4]Auf der Seite tariftaucher.de
  5. [5]Siehe Die Firmen RichVestor, …
  6. [6]Julia Fuhrmann wäre noch zu betrachten, aber die Verbindung läuft über rv-mm.de und nicht über eine eigene Web-Adresse, wie beim Fuchs.

11 Gedanken zu „Neue oder alte Spam“

  1. Hallo Thomas Arend,
    Betrifft Ihre Blog: Traumfiguren oder Potenzmittel aus der Online-Apotheke…
    Posted on 6. Februar 2012 by Thomas
    ————————————————————————
    Ich bekomme seit einiger Zeit immer wieder etliche Spam-Mails von „natur-med.net“ etc. mit den unterschiedlichsten Namensdaten, die mich ziemlich verärgern, zumal meine wiederholten Beschwerden z.B. über „service@customer-support24.com“ und „Engel@biotropa.de“ trotz Androhung einer Strafanzeige wegen Nötigung nicht beachtet wurden/werden. Was bleibt da zu tun für mich als Normal-User ?
    Beste Grüße USKO

    1. Guten Tag

      im Falle der Online-Apotheken dürften Beschwerden aussichtslos – ja kontraproduktiv – sein. Sie bestätigen damit, dass Sie Ihre Mails lesen.

      Einigen Berichten zur Folge wurde noch nie / wird selten Ware geliefert. Ich habe einen Beitrag in einem Forum gefundenen, der behauptet nach Intervention einer österreichischen Verbraucherschutzseite wäre die Ware doch geliefert worden. Der Beitrag war nicht vom Käufer, sondern vom Forum und erschien mir dubios. Auch wenn der Eintrag die schwierige Erreichbarkeit bestätigt, mein Eindruck war: Dies ist ein Fake. Es brauchte einen Grund für den Eintrag (schlechte / keine Lieferung) und einen Erfolg der Verbraucherschützer mit dem Ziel zu vermitteln, es kann zu Fehlern kommen, aber am Ende bekommt der Kunde die Ware. Wenn diese Apotheken nicht liefern, droht Ihnen wenig Gefahr. Eine Anzeige? Da dieser Versand aus dem Ausland in Deutschland gegen das Arzneimittelrecht verstößt, wird der Käufer beim Staatsanwalt nicht viel Verständnis erwarten dürfen. Verfolgung der Täter? Die sitzen gut getarnt im Ausland, an Stellen, die erfolgreiche Ermittlungen wenig wahrscheinlich sein lassen.

      Die Versender haben eine sehr schlechte Adressbasis. Meine Domain akzeptieren grundsätzlich alles, was vor dem @ als Name angegeben wird. Ich erhalte daher Mails an Adressen, die ich nie verwende. Da Adressen auch in der vorm „Irgend ein Name <irgendwer@excapme.com>“ angegeben werden können, und ich alle möglichen Angaben für Irgendwas und Irgenwer beobachte, gehe ich davon aus, dass die Betreiber Mail Server nach erreichbaren Postfächern absuchen.

      Was können Sie tun? Einen Spam-Filter einsetzen! Nie auf die Mail reagieren. Löschen! Nicht abmelden, nicht zurücksenden. Alles Zeitverschwendung. Einfach nur Löschen! Und: Nicht ärgern! Hilft alles nicht – dafür würde ich fast eine Garantie aussprechen! Trotz Spam-Filter bekommen Sie zwar immer noch diese Mails, aber die landen schnell im Spam-Ordner. Ab und an ein kurzer Scan ob nicht eine echte Mail als Spam deklariert und da alles ab in den Papierkorb.

      Auch ein Spam-Filter funktioniert nicht ohne etwas Arbeit den Nutzers. Wenn Sie Arzt sind, müssen nicht alle Mails mit Bezeichnungen für Sexualorgane kein Spam sein. Es kommt wie immer auf die Umstände an. Die kann keine Software erahnen. Ich selbst nutze unter Linux spamassassin. Dazu schreibe ich aml etwas in einem neuen Artikel.

      Windows ist da nicht meine Welt. Ich weiß nicht, was Thunderbird da macht, den nutze ich zu wenig.

      Schönes Wochenende und vielen Dank fürs Lesen.

      Thomas Arend

  2. Sehr geehrter Herr Arend,
    ich möchte mich einfach kurz für Ihre richvestor-Auslassungen bedanken!! Da ich nach einem bisher einmaligen PC-tödlichen Virusproblem sehr sehr vorsichtig bin, habe ich diese richvestorMails bisher nie geöffnet, hatte aber auch bei einem ersten googleCheck nichts Aussagefähiges gefunden. Beim heutigen wiederholten Durchsuchen nach ‚was Handfestem‘ fand ich Ihren Text. Umfassend äußerst interessant! … danke!

    Ihnen noch ein erholsames Wochenende!
    Mit freundlichen Grüßen

    hedwigStreifeneder

  3. Hi Thomas,
    mal etwas zu RichVestor.Habe heute 13.07.12 eine Mail von Denen bekommen.Verkaufen jetzt Doktortitel und Titel Professor.Schau Dir mal den Geschäftsführer an.Ein alter Bekannter von Dir.Mail mir bitte mal, was Du davon hälts.
    Gruß aus BS

    Jan
    Richvestor GmbH
    Leopoldstrasse 38
    38100 Braunschweig
    info@doktortitel24.de
    Tel.: 0531 – 48283803
    Fax: 0531 – 48283802
    Eingetragen im Handelsrgister zu Braunschweig unter HRB 202945, vertreten durch den Geschäftsführer Marcus Arloth.
    Zuständiges Finanzamt Braunschweig / Wilhelmstrasse
    Ust. ID: DE273158263

  4. Hi Thomas,
    ich nochmal.Habe die Mail von denen vergessen zu schreiben.Ganz groß im Web.

    Guten Tag Jan Duwe,

    sichern Sie sich jetzt Ihren echten Doktortitel. In wenigen Tagen werden Sie zum Doktor ernannt, und können Ihren neuen Titel zusätzlich zu Ihrem Namen tragen.

    Informationen finden Sie hier:
    http://cli-kn.com/lGuPPyuEIsP

    Mit freudlichen Grüssen,

    Ihr Team von Doktortitel24.de

    Gruß aus BS
    Jan

    1. Die gleiche Mail habe ich heute bekommen.

      Die Domain doktortitel24.de ist bei Strato gehostet, versendet wird aber beispielsweise über die IP 37.143.55.55, gehostet bei sfip84 Hosting und mehr UG haftungsbeschraenkt in Mehr. Die Domain cl-kn.com gehört Sveta Patrijk, aus Split.

      Der gleiche Spammer ist auch für den ganzen PKV Müll verantwortlich, der vorher über den Aquatix IT Service Spamversand aus Frankfurt verschickt wurde. Dieser scheint nun tot zu sein, und cl-kn.com hat alles 1 zu 1 übernommen.

      Was mich aufregt: Alles ist nachvollziehbar und belegbar. Warum werden die verantwortlichen Spammer, Hoster usw. nicht dingfest gemacht? Das Justizministerium ist einfach zu blöd für die einfachsten Sachen -> siehe z.B. die „Buttonlösung“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.