SPAM in meinem Namen mit meiner Adresse

[vgwort line=“6″ server=“vg05″ openid=“fbdbfdb8e6324bd999a121b245c71108″]

Alle, die sich über 150 Euro oder einen andern Betrag und den Gewinn der LADY INCOGNITO – Lustmuschi oder einem 15 x 3,3 cm Loveclone Super Real Dong (ist der nicht etwas klein?) gefreut haben, muss ich bitter enttäuschen: Von mir bekommen ihr nichts, denn die Mitteilung stammt nicht von mir. Hier sind wir – wahrscheinlich besonders ich – Opfer eines böswilligen Scherzes. Auslöser dürfte dieses Blog sein.

Gewinnmitteilung
Gewinnmitteilung
Es gibt jetzt auch eine verbesserte Version mit Telefonnummer.

Aufmerksam wurde ich durch einen aufgebrachten Anrufer. Sorry, dass ich die Geduld verloren habe, aber wenn mir nicht geglaubt und mit einer Anzeige gedroht wird, werde ich ungehalten. Einige nette Anrufe und Mails zeigen, es geht auch anders. Es ist nicht der erste Fall, dass mir jemand am Telefon mit einer Anzeige droht und ich erklären muss, warum eine Mail, die angeblich von mir ist, nicht von mir stammt. Um diesen Punkt nicht zu Weit auszudehnen: Jeder kann im Namen von jedem Mails verschicken. Siehe meinen Artikel Hilfe! Mir wird vorgeworfen, dass mein Rechner einen Trojaner hat und ich Spam verschicke.

Also: Ich war’s nicht

Die Mails

Da ich nach dem Anruf einen Verdacht hegte – es ist nicht das erste Mal, dass SPAM mit meinen Domain Namen als Absender verschickt wird – hab ich in mein Postfach geschaut und siehe da, es gab Beschwerden per E-Mail und seltsame Antworten irgendwelcher Autoresponder. Die Mails, die ich vorfand, waren nicht die, die ich erwartet hatte.

Schauen wir uns ein Muster der E-Mails erst einmal an.

Gesendet: Donnerstag, 20. Juni 2013 um 19:21 Uhr
Von: „Thomas Arend“ <Info@byggvir.de>
An: irgendwer@example.com
Betreff: Bingo!

Sehr geehrter Gewinner!!

Von 212.412 Teilnehmern wurden Sie bestimmt.
Sie bekommen einen 150€ Gutschein und können dazu noch zwischen einer LADY INCOGNITO – Lustmuschi und einem 15 x 3,3 cm Loveclone Super Real Dong wählen.

Nein lieber Teilnehmer das war noch nicht alles, als Bonus wurden Sie noch bei 12 weiteren Gewinnspielen angemeldet diese sind die ersten 16 Tage für Sie vollkommen Kostenlos.

Viel Vergnügen mit Ihrem Preis.

Thomas Arend

Verantwortliche Ansprechperson: Thomas Arend
Anschrift: Zingsheimstraße 31, 53359 Rheinbach

Sofort war mir klar, dass diese Mails verschickt wurden, um mich zu ärgern. Jemand nutzte meine E-Mails-Adressen als Absender und hat meine Postadresse eingefügt, um mir ein schönes Wochenende mit Beschwerdeanrufen und -mails zu bescheren. Ich hatte schon erwartet, dass diejenigen, denen ich mit dieser Seite in die Suppe spucke, sich irgendwann revanchieren würden.

Soweit ich es anhand der Rückmeldungen und Gewinneinforderungen beurteilen kann, gibt es verschiedene Absender und Betreffs. Teilweise werden die angeblichen Gewinner auch mit Namen angesprochen; die Spammer verfügen somit über eine etwas bessere Adressdatenbank, die nicht nur durch Scannen des Web gebildet wurde. Die Zahl der Gewinner wechselt und auch die Gewinnspiele und die Zahl der kostenlosen Tage für die Gewinnspiele. Da kann jemand Zufallszahlen erzeugen.

Diese Mail stammt natürlich nicht von mir. Warum sollte ich Geld und Sexspielzeug verlosen?

Die Beschwerden und Nachfragen kommen gerade rein und die älteste Mitteilung eines Autoresponder ist von ca. 15:00 Uhr. Kann sein, dass es jetzt richtig los geht; dann könnten es ein paar spannende Tag werden.

Woran erkennt man, dass eine Mail von mir stammt?

Meine Mails sind – mit wenigen Ausnahmen – digital signiert. Nicht von mir ist eine Mail, wenn der Server Antworten abweist; akzeptiert er eine Antwort, ist dies kein Zeichen, dafür das die Mail von mir stammt.

Inzwischen habe ich ein Original mit Header bekommen und nicht nur eine einfache Weiterleitung. Herzlichen Dank für die Mühe. Leider nur das übliche. Die Mails werden über ein Bot-Netz verschickt. (Ich erklären jetzt nicht, woran dies zu erkennen ist.)

Zwei der Mails kommen von den IP-Adressen 93.171.216.157 und 93.171.216.167. Die Rechner melden sich im reverse DNS als petrlev.vplanet.net und gerroman.vplanet.net, werden aber nicht zu diesen IP-Adressen aufgelöst.

Ein paar Worte zu automatischen Abwesenheitsnachrichten und spamblk.de

Automatische Antworten über Eingänge oder Abwesenheiten sind keine gute Idee. Wenn die E-Mails gefälschte Adressen verwenden, dann werden viele Leute mit falschen Benachrichtigungen belästigt. Einen automatische Antwort sollte höchstens nach einem sehr zuverlässigem und aktuellen Spam Filter erfolgen. Auch die Annahme einer Mail und die Meldungen über die Nichtzustellbarkeit wg. vollem Postfach sind keine gute Idee.

Spamblk.de war mir bis vor zwei, drei Stunden unbekannt. Die Idee ist zur ersten eingehende Mail eine Antwort mit einem Link zu schicken um die Authentizität über eine Web-Seite vom angeblichen Absender bestätigen zu lassen. Die Mail Adresse wird dann in eine Whitelist aufgenommen. Auf den ersten Blick keine schlechte Idee, aber wenn die Spammer Absender fälschen, was sie in der Regel tun, geht Sache in die Hose. Die angeblichen Absender werden möglicherweise zugemüllt. Verwendet der Spammer einen eigenen Mail-Server und eigene Mail Adressen, kann er die Antworten auswerten und die Links per Script aufrufen; schwupps ist er in der Whitelist. Hier müssten noch weitere Hürden eingebaut werden.

Ich hatte auf eine der Beschwerdemails geantwortet und im nächsten Moment eine Mail von Spambld.de im Postfach. Dummerweise hatte ich die Mail über den Link autorisiert, weil nicht klar zu erkennen ist, dass die Mail, die ich bestätigen sollte nicht die war, die ich soeben verschickt hatte. Sorry, passiert mir nicht wieder.

Genug für heute.

8 Kommentare

  1. Wie schade! Ich hatte mich schon wahnsinnig auf den Einkaufsgutschein und insbesondere auf die kleine Zugabe gefreut – wir haben da so ein hässliches Loch im Gartenzaun…

    Was Spam angeht: Eigentlich gibt es ein schönes Werkzeug, nämlich SPF. Voraussetzung wäre allerdings, dass sich möglichst viele/alle „ehrlichen“ Domaininhaber dazu entschließen, ihrer Domain im DNS einen SPF-Eintrag zu spendieren und Mailserver so zu konfigurieren, dass Mails mit gescheiterter SPF-Prüfung entweder direkt abgelehnt oder aber mit einem deutlichen Spam-Score versehen werden. Kostet im Grunde NICHTS, ist aber leider noch immer nicht sehr verbreitet.

    Von erbosten Anrufern, die mit Polizei, Staatsanwaltschaft oder gar einem Killer drohen, hatte ich auch schon mehrfach zu tun. Ich persönlich bin dafür, einen „Internet-Führerschein“ obligatorisch zu machen. In der heutigen Zeit kommen die Leute einfach zu schnell „ins Netz“.

    Trotzdem ein schönes Wochenende!

    PS: Wenn ich schon den 150-Euro-Gutschein nicht bekomme, könnte ich nicht wenigstens den Loveclone Super Real Dong für den Gartenzaun bekommen?

  2. Ich habe mich auch etwas gewundert, als gestern die erste Mail ankam. Das sah mir doch sehr nach böswilligem Spam aus. Ich besuchte gestern bereits http://arend-rhb.de/, weil die angezeigte Absenderadresse diese Domain beinhaltete und irgendwie paßte der Inhalt der Seite nicht mit dem Inhalt der Mail überein. Heute habe ich nochmal so eine Mail bekommen, diesmal beinhaltet die „Absender“-Adresse byggvir.de, aber was noch böswilliger ist, ist der folgende Satz in der zweiten Mail.

    „Um von den Gewinnspielen zurückzutretten rufen Sie bitte bei unserer 24/7 Hotline an: 02226-903737“

    Wenn Interesse an den kompletten Mails mit Header besteht, wäre ich bereit diese Mails in einem *.zip/*.rar als Anhang zu verschicken.

    Wie sich jetzt zeigt waren meine Zweifel gerechtfertigt.

    Noch viel Erfolg mit der Spam-Abwehr.

    1. Guten Abend,

      vielen Dank. Ich hätte Interesse an den Mails. Ich werde mir wohl morgen die Mühe machen Anzeige zu erstatten, auch wenn dies im Internet Neuland wenig Erfolg verspricht. zip oder rar ist mir gleich.

      Schönes Wochenende

  3. Ein bisschen Netzwerkforensik suggeriert, dass zumindest meine Spam-E-Mail mit dem o.g. Inhalt über http : // www. securefeee. net/ fee.php verschickt wurde.

    Hier noch die interessanten Header (personenbezogene Daten mit REMOVED markiert:

    Return-Path: apache@igorvasnecov.vplanet.net
    Received: from igorvasnecov.vplanet.net ([93.171.216.164]) by mx-ha.gmx.net
    (mxgmx112) with ESMTP (Nemesis) id 0MQNRw-1UiRtw019w-00TnZ7 for
    ; Fri, 21 Jun 2013 21:19:16 +0200
    Received: from igorvasnecov.vplanet.net (localhost.localdomain [127.0.0.1])
    by igorvasnecov.vplanet.net (8.14.4/8.14.4) with ESMTP id r5LJJHpl014696
    for ; Fri, 21 Jun 2013 15:19:17 -0400
    Received: (from apache@localhost)
    by igorvasnecov.vplanet.net (8.14.4/8.14.4/Submit) id r5LJJHRN014695;
    Fri, 21 Jun 2013 15:19:17 -0400
    Date: Fri, 21 Jun 2013 15:19:17 -0400
    Message-Id:
    X-PHP-Originating-Script: 0:fee.php
    From: =?UTF-8?B?VGhvbWFzIEFyZW5k?=
    X-Mailer: 37f702de3c5bef802f6599ac8bf1f570.php

    1. Danke, ich habe bis jetzt nur Mails aus dem vplanet Netz gesehen. Allerdings ist dies der dritte Header.

  4. Hallo Thomas,
    ich hatte mich schon gewundert, die Email ist eigentlich tot, ich lebe seit ein paar Jahren in den USA und nehme bestimmt nicht an Preisausschreiben in Deutschland teil.

Kommentare sind geschlossen.