eXma » Diskutieren » Computer und Technik
Startseite - Veranstaltungen - Mitglieder - Suche
Vollständige Version anzeigen: Spam ohne Werbung?
aktsizr
03 Jun 2007, 17:55
Ich habe Spam (mehrfach!) erhalten... aber ohne Werbung. Nirgends. Nichtmal ein Anhang!
Beispiel:
Zitat
From ****  Sat Jun  2 22:04:35 2007
Return-Path: gadulate@bloodbane.dk
Received: from mail.zih.tu-dresden.de [141.30.67.33]
        by hecht with POP3 (fetchmail-6.3.4)
        for <****@localhost> (single-drop); Sat, 02 Jun 2007 22:04:35 +0200 (CEST)
Received: from murder (server-8 [192.168.20.108])
        by cyrus-b (Cyrus v2.3.7) with LMTPSA
        (version=TLSv1/SSLv3 cipher=AES256-SHA bits=256/256 verify=YES);
        Sat, 02 Jun 2007 21:58:34 +0200
X-Sieve: CMU Sieve 2.3
Received: from server-n (localhost [127.0.0.1])
        by cyrus-a (Cyrus v2.3.7) with LMTPA;
        Sat, 02 Jun 2007 21:58:34 +0200
X-Sieve: CMU Sieve 2.3
Received: from mailgate.urz.tu-dresden.de (RKS33.urz.tu-dresden.de [141.30.66.163])
        by server-n (Postfix) with ESMTP id **************
        for <**********@mail.zih.tu-dresden.de>; Sat,  2 Jun 2007 21:58:34 +0200 (CEST)
Received: from [127.0.0.1] (helo=localhost)
          by mailgate-33 with esmtp (exim-4.51)
          for <**********@mailbox.tu-dresden.de>
          id ************; Sat, 02 Jun 2007 21:58:34 +0200
Received: from mailgate.urz.tu-dresden.de ([127.0.0.1])
by localhost (amavis-33 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP
id ********** for <************@mailbox.tu-dresden.de>;
Sat,  2 Jun 2007 21:58:34 +0200 (MEST)
Received: from [71.118.112.122] (helo=bloodbane.dk)
          by mailgate-33 with smtp (exim-4.51)
          for <**************@mailbox.tu-dresden.de>
          id ************; Sat, 02 Jun 2007 21:58:34 +0200
Message-ID: <*****************>
From: Kasey Easley <gadulate@bloodbane.dk>
To: "**************" <***********@mailbox.tu-dresden.de>
Subject: diatomaceous carmen  crosslink
Date: Sat, 2 Jun 2007 11:55:01 -0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
        boundary="----=_NextPart_000_0011_01C7A50D.6837BE30"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2462.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
X-TUD-Spam-Checker-Version: SpamAssassin 3.1.0 (2005-09-13) on amavis-33
X-TUD-Virus-Scanned: amavisd-new 2.3.1 (20050509) at tu-dresden.de
X-TUD-Spam-Status: Yes, hits=8.132 required=5 tests=[HTML_MESSAGE=0.001,
LONGWORDS=2.957, MPART_ALT_DIFF=0.137, RCVD_IN_NJABL_DUL=1.713,
RCVD_IN_SORBS_DUL=1.988, UNIQUE_WORDS=1.336]
X-TUD-Spam-Level: ********
X-TUD-Spam-Flag: YES
Status: RO
Content-Length: 1396
Lines: 37

Content-Type: text/plain;
        charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


debater bad, bootleg artisan  archer, convertible adhere. amateur  cuisine coralberry  diabetic
ajar campaign  aberrate. abstractor  circumspect basin bad bedroom  document decontrol  carriage
cubbyhole apices  bangladesh carcinogen.  arabesque billfold bluish bodied  alaska amatory  axolotl
~
~
~
Chrizzly
03 Jun 2007, 19:51
DoS? TU-Software hat's entfernt?

Sag jetzt bloß nicht, dass Du die Werbung vermisst hast smile.gif
abadd0n
04 Jun 2007, 03:16
Zitat(Chrizzly @ 03 Jun 2007, 19:51)
TU-Software hat's entfernt?

Davon ist auszugehen... jede Mail wird mehrfach gelesen, bevor sie den Empfänger erreicht, amavisd new ist da sicher nicht das einzige Tool cool.gif

#abd
aktsizr
04 Jun 2007, 04:15
Aber eine Spam Software editiert doch keinen Spam. Wenn die Software merkt, dass es Spam ist kommr nix an... auch nicht redundantes gebrabbel. Chris: DoS glaub ich nicht, das kann man einfacher und eleganter haben.

Meine Theorie: Spamfilter verwirren, eventuell irgendwelche Begriffe auf die Spamlisten bringen die dazu führen, dass gewollte Post nicht mehr das Ziel erreicht um somit eine komplette Deaktivierung des Spamschutzes zu erzielen. Aber keine Ahnung. Eigentlich sieht diese Ansummlung von nutzlosen Begriffen nicht danach aus... kein Plan. Oder einfach ein Test. Kein Plan. strnage().
abadd0n
04 Jun 2007, 05:04
Zitat
Aber eine Spam Software editiert doch keinen Spam.

Richtig. Antivirensoftware tut das hingegen schon. Worauf der MTA hier noch zurückgreift sehen wir nicht.
Zitat
Wenn die Software merkt, dass es Spam ist kommr nix an

Falsch:
Zitat
X-TUD-Spam-Status: Yes, hits=8.132 required=5


abT
kessel
04 Jun 2007, 09:53
Damit Spam in deinem Uni-Account rausgefiltert wird, musst du erst eine Regel dafür machen.
Die Virensoftware ist es aber auch nicht, weil dann bekommst du so eine schöne E-Mail, in der steht was gefunden wurde. von wem sie kam und das sie unter Quarantäne steht.

Da wird die Uni wohl einfach den Body (damit mein ich den Nachrichtentext) abschneiden. Würd sagen, dass läßt sich über einen Script relativ leicht implementieren (kann ich ja vor der Übergabe an sendmail machen oder so)

sG
Kessel
sQeedy
04 Jun 2007, 14:23
hab sowas auch bekommen. allerdings nicht im uni-postfach. war auch keine werbung dabei. die theorie die spamfilter zu verwirren klingt plausibel...
aktsizr
04 Jun 2007, 14:32
Ist ja wohl Humbug Spam zu tail'ern. Wer auf die Idee käme einen e-Mail Text zu editieren, weil er weiss, dass es sich 100% um Spam handelt, wird sich plötzlich eines besseren besinnen und den Mist _komplett_ wegschmeissen. Wenn du allerdings eine Klassifizierung mittels Spam-Ĺevel hast, dann wird nur _vermutet_, ob es Spam ist. Die Entsorgung obliegt dann dir. Und das werde ich jetzt auch machen. Nach mir die Sintflut.

Zitat
:0:
* ^X-TUD-Spam-Flag: YES
/dev/null

Silence...
silkwing
04 Jun 2007, 14:40
Ich habe heute in der Firma sowas ähnliches gehabt - da hat der Mail daemon angeschlagen und das war ne menge muell - was von uns nicht gesendet wurde aber mit unserem absender gesendet wurde
aktsizr
04 Jun 2007, 14:43
Musst mal alle Header anzeigen, da siehste mitunter wer den Kram wirklich versandt hat.
#npnk
13 Jun 2007, 17:12
Zitat
Hi. This is the qmail-send program at mail.xu9.de.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<napoleon_sholdenww@olivium.de>:
Sorry, no mailbox here by that name. vpopmail (#5.1.1)

--- Below this line is a copy of the message.

Return-Path: <nappunk@omni-base.de>
Received: (qmail 11695 invoked by uid 1007); 13 Jun 2007 17:00:49 +0200
Received: from unknown (HELO 89.232.18.78.in-addr.arpa) (89.232.18.78)
  by mail.xu9.de with SMTP; 13 Jun 2007 17:00:49 +0200
Received: from ([192.74.67.168]) (HELO udfoyym)
by 89.232.18.78.in-addr.arpa (8.13.4/8.13.4) with SMTP id t817385130410u6Xh115903
for <napoleon_sholdenww@olivium.de>; Wed, 13 Jun 2007 19:05:05 -0800 (CDT)
(envelope-from nappunk@omni-base.de)
Message-ID: <002301c7ae28$6d22f1c0$4e12e859@udfoyym>
From: "nappunk" <nappunk@omni-base.de>
To: "napoleon_sholdenww" <napoleon_sholdenww@olivium.de>
Subject: Wir wollen Ihnen heute eine besondere Job anbieten!
Date: Thu, 14 Jun 2007 09:59:15 +0700
MIME-Version: 1.0
Content-Type: text/plain;
format=flowed;
charset="us-ascii";
reply-type=original
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2869
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2962

Firma Mailas AGO International
Personalleiter Denis Kulakovsky
109143 Moskau
Tverskaya 214.13
Tel +7 916-5724-2973
Ohne Ihr Haus zu verlassen, können Sie Mitarbeiter in unserer gut organisierten Firma werden. Dazu brauchen Sie uns nur ein wenig Zeit zu schenken.
Wir brauchen einen Project-Koordinator
Zur Zeit wächst unsere Firma und wir haben eine beschränkte Zahl von vakanten Stellen. Wir möchten betonen, dass keinerlei Investitionen Ihrerseits erforderlich sind, um mit uns zusammen zu arbeiten.
Was müssen Sie machen:
1. Ein effektiv funktionierendes Büro schaffen, das kann z.B. Ihre Wohnung sein.
Einzige Mindestvoraussetzung :
Sie brauchen einen PC mit Internetzugang und ein Handy
auf dem wir Sie jederzeit erreichen können
2. Dem Hauptmanagers, bei Durchführung der finanziellen Operationen der Kunden, Aktiven beistand zu leisten
3. Sie bekommen  Aufgaben von unserer Firma an Ihre E-Mail Adresse, die sie wiederum bearbeiten und beantworten müssen.
VORTEILE:
Ihr Arbeitsplatz befindet sich direkt zu Hause, denn laut dem Arbeitsvertrag sind Sie unabhängig und arbeiten daheim.
Ihr Gehalt beträgt, je nach Arbeitsaufwand, zwischen 300 und 600 Euro pro Woche.
Sind Sie so ein Flexibler, Motivierter, Zuverlässiger und Engagierter Mensch
und treffen  Ihre Interessen unserer Anforderung zu, dann setzt sich unser Personalleiter mit Ihnen telefonisch oder auf dem elektronischem Wege in Verbindung.
Senden Sie uns ihre Antwort an:      viktormelnik@mail.ru
und Sie erhalten weitere Informationen
Sollten sie noch eventuelle Fragen haben,
wird Ihnen selbstverständlich einer unserer
deutschen Mitarbeiter Zur Verfügung stehen
Hochachtungsvoll; Denis Kulakovsky



-- No virus found in this incoming message. Checked by AVG Free Edition. Version: 7.5.472 / Virus Database: 269.8.15/847 - Release Date: 12.06.2007 21:42


heißt das ICH versende spam im hintergrund ohne davon zu wissen?
milch
13 Jun 2007, 17:21
nur wenn das deine ip ist: 89.232.18.78
rakete
13 Jun 2007, 17:22
ehrlich gesagt scheint es so...

silkwing scheint auch ein befallenes System zu haben...

Informationen über Betriebssystem, verwendeter emailClient und die Version, sowie installierte bzw. nicht installierte Patches und vielleicht noch ein hijackthis.log wären für eine genaue analyse allerdings hilfreich...

edit: und wann das letzte mal muli bzw. bittorrent geupdatet?

noch ein edit: möglich wäre auch, dass deine emailaddi irgendwo ausgelesen, geklaut oder verkauft und zufällig von einem "SpamZombie" als Absender verwendet wurde.
kessel
14 Jun 2007, 15:04
Zitat(milch @ 13 Jun 2007, 17:21)
nur wenn das deine ip ist: 89.232.18.78
*

Wohl eher nicht. Außer er hat seinen DSL Anschluss bei Rustavi 2 Online in Georgien bestellt.

Zitat(rakete @ 13 Jun 2007, 17:22)
... das deine emailaddi ... von einem "SpamZombie" als Absender verwendet wurde.
*
Das ist die richtige Lösung.

MFG
Kessel