Neue Spam masche United-Internet

[casola]

Hallo zusammen,

ich hab jetzt keine Ahnung ob das hier das Passende Forum oder Plattform ist. Evtl. ist ja doch einer Fit beim Thema Messaging und Recht.

Wir betreiben einen Mailserver, der sich um unsere Kleinstkunden (max. 10 Mitarbeiter, ca.50 Kunden) kümmert.

Primär für die Mailarchivierung, Check Schadsoftware und Spam.

Der Server holt die Mails von Hinz und Kunz (ca. 20 verschiedene Mailprovider) ab, Archiviert, prüft und stellt zu.

Heute (Sonnags!) ruft einer der Kunden an und meckert wg. spam. Ich gugg ins Log und sehe dutzende SpamMails sauber sortiert in den Postfächern. *devil*

United/1und sendet seit neuem  offensichtlich über Phantasiedomains Spam an seine Kunden., frecherweise getarnt als "Newsletter".

Noch frecher: Im Header steht auch noch ein "sauberer" X-CSA-Complaints.

Der Spamfilter ist zwar angepasst aber dürfen die das? 1und1 als Spamschleuder?

Header:

Received: from kmumailer.boe.private (10.7.6.113) by kmumailer.boe.private (10.7.6.113) with
 Microsoft SMTP Server (TLS) id 15.0.847.32 via Mailbox Transport; Fri, 23 Mar
 2018 14:41:28 +0100
Received: from kmumailer.boe.private (10.7.6.113) by kmumailer.boe.private (10.7.6.113) with
 Microsoft SMTP Server (TLS) id 15.0.847.32; Fri, 23 Mar 2018 14:41:27 +0100
Received: from boe-connect.boe.private (10.7.6.113) by kmumailer.boe.private
 (10.7.6.113) with Microsoft SMTP Server id 15.0.847.32 via Frontend
 Transport; Fri, 23 Mar 2018 14:41:25 +0100
Return-Path: <burda04@secretdeals-sparmail.de>
Received: from mx01.secretdeals.empfehlungsmail.de ([185.171.225.46]) by
 mx-ha.gmx.net (mxgmx117 [212.227.17.5]) with ESMTP (Nemesis) id
 1N4xi8-1eY7C93KqK-0113rH for <kunde@domain.com>; Fri, 23 Mar 2018 14:40:09 +0100
Received: from kajomimail (mailer4.emailmarketing-gate.de [88.198.79.15])	by
 mx01.secretdeals.empfehlungsmail.de (Postfix) with ESMTP id A337A1FDFE	for
 <kunde@domain.com>; Fri, 23 Mar 2018 14:40:09 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
	d=secretdeals-sparmail.de; s=mail; t=1521812409; r=y;
	bh=Xj3qCNK3RA3r2dISl6v7yqW4w9QzxZ5gCrN+PW2WpxY=;
	h=Date:From:To:Subject:List-Unsubscribe:List-Id;
	b=c0OHlYyjGlbEwOcuWqjTPcjUl5TQOtQ6lWDOg1iUsYYC4mQAS8P2diFPZYotJgOYS
	 WZnYREy9EZbtOU9zQ2n7cocalWIM7XH/IhaVN0OomdYsv6qu04/guhRixLEiPF7R1a
	 rWNYGPJIQuqQmsP+vZ4OARtl3UghHqpXZ952p1Co=
Date: Fri, 23 Mar 2018 13:40:09 +0000
From: Weber Grill <news@secretdeals-sparmail.de>
To: Vorname Nachname <kunde@domain.com>
Subject: Herr Kunde, Einladung zur Weber Grillshow
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="=_e97f27a20eec53c4d7a67e31eeb7a30f"
List-Unsubscribe: <http://secretdeals-sparmail.de/abm.php?u=vgP2Efo&msgid=166&dodel=1>
X-CSA-Complaints: whitelist-complaints@eco.de
X-KM-Flags: 1.8110391.170
List-Id: 1.8110391.170
Message-ID: <UMP2Efo.8294306.170@mx01.secretdeals.empfehlungsmail.de>
Envelope-To: <kunde@domain.com>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-UI-Filterresults: notjunk:1;V01:K0:ugXEuLfsTSA=:[...]
X-MAXPOP-TARGETADDRESS: kunde@domain.com
X-AVK-Virus-Check: AVA 25.16457;A9DC
X-AVK-Spam-Check: 1;str=0001.0A0C0207.5AB50407.0200,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0;6DC0C243
X-MS-Exchange-Organization-Network-Message-Id: 72974525-e494-495e-db3e-08d590c3c73d
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
X-MS-Exchange-Organization-AuthSource: kmumailer.boe.private
X-MS-Exchange-Organization-AuthAs: x

 

 

[Thanks-and-Goodbye]

vor 5 Minuten schrieb casola:

United/1und sendet seit neuem  offensichtlich über Phantasiedomains Spam an seine Kunden.

An welcher Stelle im Header ist zu sehen, dass die Mail aus dem 1und1 Netzwerk kommt? Oder handelt es sich hier um einen wildgewordenen Affiliate-Subunternehmer?

[RipperFox]

@casola Logs lesen lernen?

vor 12 Stunden schrieb casola:

Received: from mx01.secretdeals.empfehlungsmail.de ([185.171.225.46]) by mx-ha.gmx.net (mxgmx117 [212.227.17.5]) with ESMTP (Nemesis) id 1N4xi8-1eY7C93KqK-0113rH for <kunde@domain.com>; Fri, 23 Mar 2018 14:40:09 +0100

Die IP 185.171.225.46 (bei Hetzner gehostet) gehört zu einer kajomi GmbH ("E-Mail Marketing & E-Mail Versandsystem") und die lieferte die Mail an das GMX Postfach eures Kunden. Die versenden (gewollte) Massenmails auch im Auftrag großer Kaufhäuser, Fluglinien,  etc. & hätten auch ne Abuse Adresse..

 

Bearbeitet 26. März 2018 von RipperFox

[casola]

Nabend & Danke.

vor 11 Stunden schrieb RipperFox:

@casola Logs lesen lernen?

[...] & hätten auch ne Abuse Adresse..

 

Sonntag + paar Bierchen + Anruf vom Kunden.... Das war der erste Anruf seit 2009 & damals war die Klima komplett down > ich hatte gestern 200 Puls, die logs nur quer gelesen und hier erstmal nur Luft abgelassen. ;o)

 

Heute mit normal Puls.

In Summe sind 412 Mails an 41 Kunden mit Werbung für Weber Grills raus. Immerhin gab es keine weiteren Anrufe/Beschwerden.

1.) Der 1&1 spam kam ausschließlich über Freemailer Accounts @1&1. -> So wie ich den Verein kenne, haben die heimlich die AGB angepasst. Passt also. Wer Freemailer nutzt muss mit sowas rechnen.

2.) 1&1/gmx & co. hat offensichtlich Adressen an Dritte überlassen (kajomi GmbH), ich bin mir sicher das die (secretdeals-sparmail.de, kjm6.de) in irgendeiner Form mit 1&1 verbandelt sind und wenn es nur der whois (verweist auf 1&1) Eintrag ist.

3.) Die gestrigen Blacklisteinträge sind eher Suboptimal. Funktionieren ja.  Leider mit false positives.

4.) Da die Mails als Newsletter deklariert sind, hat der gestrige Anrufer "den Vorgang seinem Anwalt übergeben" -> der ist richtig sauer. (eher scharf auf nen Finanziellen Bonus)

5.) Es gibt schlimmeres in der IT. :O)

Bearbeitet 26. März 2018 von casola