alle paar Minuten erhielten wir in allen Mail-Postfächern vom scheinbar weltweit größten Spammer „Dr OZ“ mit seinem „grünen Kaffee“ Spam-Werbung – dies veranlaßte uns dazu, den Spam, wahrscheinlich sogar Scam, mal genauer zu betrachten und zurück zu verfolgen
Warum kein Spamschutz richtig funktionierte?
Offensichtlich verwendete der Spammer „Dr. OZ“ scheinbar ständig neue Absender-Mail-Server, ständig wechselnde Mail-Adressen und ständig neue Domains. Daher war nur eine Filterung auf inhaltliche Wörter möglich.
Warum konnte sich der Spammer „Dr. OZ“ ständig neue Domains leisten?
Der Spammer „Dr. OZ“ holte sich scheinbar ständig neue Domains, die normalerweise Geld kosten, aber hier nutzte dieser, einen genialen Trick, er registrierte sich nämlich über die polnische Domain-Registery Test-Domains, dir nur eine Gültigkeiten von 14 Tagen hatten.
Polnische Registery dns.pl begünstigte Spam/Scam-Domains:
Bei allen Domains, die temporär registriert wurden, war der Domain-Inhaber nicht und noch nicht einmal der Registrar via whois abrufbar. Diese Domains wurden hauptsächlich über die polnische Domain-Registery (dns.pl) ausgegeben! Eine Beschwerde über Mail wurde lapidar zurück gewiesen, man teilte uns mit, wir sollten den Postweg wählen. Die Webseite der polnischen Registery ist im übrigen selbst gestört und läßt sich über diverse Browser nicht abrufen, nur über einen Ninja Proxy gelang es uns, die Seite zu öffnen.
Es ist unverständlich, daß die polnische Domain-Registery (dns.pl), die ja eigentlich nach europäischen Gesetzen handeln sollte, so etwas zulässt und die mißbräuchliche Nutzung von Spam/Scam-Domains, ohne Rückverfolgbarkeit, zugelassen hat und scheinbar auch weiterhin zuläßt!
Auslesen der Information des whois-Server-Providers auf denen die Domain verlinkte:
Hier wurden unterschiedliche Server verwendet: aus China, der Tschechei usw.
Die eigentlichen Inhalte der Webseiten, kamen jedoch von Rackspace aus den USA:
Geladen wurde nur eine HTML-Seite vom Server, der direkt mit der Domain verlinkt war und dann wurden aber die Inhalte der angezeigten Webseiten, überwiegend von dem Betreiber Rackspace nach geladen, wie z.B.
http://6772a713aced91c06f55-d13b3d8f713ba2ba0dae2bc40dab01d3.r39.cf2.rackcdn.com/100_pure_green_coffee.jpg
Den Betreiber von Rackspace haben wir am 31.07. einen Dialog geführt – in einem Support-Chat wurden wir auf den Weg per eMail hingewiesen. Daraufhin haben wir Rackspace gestern eine Abuse-eMail zugesendet, aber keine Antwort erhalten!
Heute morgen am 1. August um 6:00 Uhr haben wir jedoch fest gestellt, daß sowohl die gemeldeten nachgeladenen Inhalte, nicht mehr von Rackspace zur Verfügung gestellt werden – wahrscheinlich gelöscht wurden und Links von ganz neuen Spam-Mails von „Dr. OZ“ offensichtlich ins leere verlaufen mit „Seite kann nicht angezeigt werden“. Wobei zwar auch die neuen Spam/Scam-Domains noch auflösen, aber der Inhalt nicht nachgeladen werden kann!
Es bleibt jetzt abzuwarten, ob nun endlich dem Spammer Dr. OZ die Karten gelegt wurden und dieser Spam endlich aufhört oder man durch neue Tricks versucht, weiter Spam zu betreiben.
Informieren Sie uns bitte, sofern Sie ab heute Spam/Scam von Dr. OZ mit seinem grünen Kaffee erhalten, insbesondere wenn der Domain-Link in der Mail auf eine polnische Domain verweist und hier Spam/Scam-Webseiten angezeigt werden! Nutzen Sie die Kommentar-Funktion in diesem Blog – wir bleiben am Ball!
Path:
X-Original-To: [Mail-Adress deleted]
Delivered-To: [Mail-Adress deleted]
Received: by vm1.marktplatz06.de (Postfix, from userid 110)
id 4EF101044082; Mon, 19 Aug 2013 19:28:34 +0200 (CEST)
X-Original-To: [Mail-Adress deleted]
Delivered-To: [Mail-Adress deleted]
X-No-Auth: unauthenticated sender
X-No-Relay: not in my network
Received: from rrcs-24-173-191-66.sw.biz.rr.com (rrcs-24-173-191-66.sw.biz.rr.com [24.173.191.66])
by vm1.marktplatz06.de (Postfix) with ESMTP id AF9A61044067
for ; Mon, 19 Aug 2013 19:28:33 +0200 (CEST)
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=“—-msg_border_159F35064b“
Date: Mon, 19 Aug 2013 12:28:27 -0500
To: [Mail-Adress deleted]
From: „OZ Daily News“
Reply-To: „Oz“
Subject: The Secret to the Body You Want
List-Unsubscribe: ,
X-CSA-Complaints: whitelist-complaints@acbanks.co.uk
Message-ID:
X-AntiVirus: checked (incoming) by Avira MailGuard (Version: 13.6.1.1550; AVE:8.2.12.106; VDF:7.11.97.64
This is a multi-part message in MIME format.
——msg_border_159F35064b
Date: Thu, 15 Aug 2013 10:51:11 -0700
Content-Type: multipart/alternative; boundary=“—-alt_border_990B8994c857″
——alt_border_990B8994c857
Content-Type: text/plain;
charset=“utf-8″
Content-Transfer-Encoding: 7bit
And I’ll support you every step of the way!“
No Excuses Allowed!
JOIN NOW
Scientists have finally invented and licensed a slimming product that is 100% safe and efficient. It is bound to start a revolution in the slimming world and you will be on the cutting edge of it! Isn't it great to lose 14-17lbs. monthly doing nothing?
You have always dreamed of the product like that and finally your dream is reality!
Try the only product that burns fat and gives you natural energy. You eat whatever you like and get thinner round the clock.
JOIN NOW & START LOSING WEIGHT »
Copyright © 2013OZ Health Media, LLC. All rights reserved.
You are receiving this message because you subscribed to or visited anOZ Health newsletter or product. If you no longer wish to have these exclusive offers e-mailed to [Mail-Adress deleted],please unsubscribe from Special Offers.
Use of OZ Health sites is subject to our terms of service andprivacy policy.
Mailing address:14 Marshall Street, North Adams, MA 01247
——alt_border_990B8994c857
Content-Type: text/html; charset=“utf-8″
Content-Transfer-Encoding: quoted-printable
Untitled=
Document
<DIV style=3D"LINE-HEIGHT: 22px; FONT-STYLE: italic; MARGIN: 10px 0px; =
FONT-FAMILY: Arial, Helvetica, sans-serif; COLOR: #ffffff; FONT-SIZE: =
16px; FONT-WEIGHT: bold
I know you have what it takes to LOSE BIG.And I’ll support you every =
step of the way!“
No Excuses =
Allowed!
=
JOIN NOW
Scientists have finally invented and licensed a slimming product that =
is
100% safe and efficient. It is bound to start a revolution in the =
slimming
world and you will be on the cutting edge of it! Isn't it great to =
lose
14-17lbs. monthly doing nothing?
You have always dreamed of the product like that and finally your dream =
is
reality!
Try the only product that burns fat and gives you natural energy. You =
eat
whatever you like and get thinner round the clock.
JOIN NOW & START LOSING WEIGHT =
»
Copyright © 2013
OZ Health Media, LLC. All rights reserved.
You are receiving this message because you subscribed to or visited an
OZ Health newsletter or product. If you no longer wish to have these =
exclusive offers e-mailed to [Mail-Adress deleted],
please unsubscribe from Special =
Offers.
Use of OZ Health sites is subject to our terms of service and
privacy policy. Mailing address:
14 Marshall Street, North Adams, MA 01247
——alt_border_990B8994c857–
——msg_border_159F35064b–
Hallo Herr Pfefferle,
ja, es war die letzten Tage etwas ruhiger mit der „Dr. OZ“-Spam-Werbung, aber der Spam kommt nun schon wieder über andere Systeme. Immer wieder wechselt dieser wohl weltweit größte Spammer, täglich oder vielleicht auch stündlich seine Domain-Adressen und auch seine Webspace-Server. Grundsätzlich wird der Inhalt jedoch auf der Zielseite von Rackspace nach geladen!
Wir haben mehrfach den Spam an den Betreiber der Nachladequelle, also Rackspace zugesendet, die haben offensichtlich auch kurze Zeit mal die Inhalte blockiert, aber dann wieder bereit gestellt.
In Deutschland und daß dürfte wohl auch für Europa zutreffen, ist der Nutznießer von Spam verantwortlich, auch wenn dieser aus einem Land versendet wird, in dem Spam versendet werden darf bzw. in dem es zulässig ist, Spam zu versenden, wenn es nicht Empfänger im eigenen Land stört!
Sie, wie auch alle anderen können helfen, in dem man sich bei http://www.spamcop.net registriert und dann den Spam als registrierter User dort einkopiert. Absender und Seitenquelle, werden meist relativ schnell in Blacklisten aufgenommen. Die nachgeladene Quelle, die bleibt dabei blöderweise erhalten, so daß wir vielleicht alle gemeinsam folgenden Schritt gehen sollten:
1 Anzeige beim IC3.GOV (Subabteilung des FBI in den USA) und zwar gegen:
den Spammer selbst (prüfen Sie, ob Sie in Ihrer Mail den Absender im Klartext finden) / bei uns in den letzten Spam-Mails vorhanden, beide in den USA, mit:
OZ Health Media, LLC – Mailing address: 14 Marshall Street, North Adams, MA 01247
in einer anderen:
DoctorOZ Network, Inc., 56 Ninth Avenue New York, NY 10011, Attn: Marketing Preferences
und dann gegen – bitte selbst referenzieren, in dem Sie die Spammer-Zielseite öffnen und dann im Explorer sich den Quellcode anschauen, ca ab Zeile 200, wo der HTML-Text beginnt. Hier müssten Sie dann z.B. folgende Nachlade-Links finden, wie:
6772a713aced91c06f55-d13b3d8f713ba2ba0dae2bc40dab01d3.r39.cf2.rackcdn.com/logos4.jpg
Hier ist die Domain interessant: rackcdn.com. Diese Domain stammt von:
Registrant:
Rackspace US, Inc. (RACKSPAC806)
5000 Walzem Road
San Antonio, TX, 78218
US
Domain name: rackcdn.com
Hier ist natürlich die Anzeige gegen den Kunden, der Rackspace als Nachlade-Quelle verwendet, zu richten!
Wir danken jedem, der mit uns gemeinsam nun weiter gegen „Dr. OZ-Spammer“, vorgeht!
Hello,
auch ich bekomme ständig Mails von diesem Spammer, mit wechselnden Adressen – jedes Mal (oder fast jedes Mal) melde ich dies bei spamcop … und es geht weiter, heute 2 x …
Hallo Aziz Gouali,
auch wir melden leiten seit etlichen Tagen diese an Spamcop weiter und irgendwann wird auch die W3C (FBI) so viele Anzeigen vorliegen haben, daß diese den Spammer Dr. Oz bzw. die dahinter stehenden Firmen, verknacken! Es ist nur eine Zeitfrage!
ich bekomme auch noch ständig Spams von dem Dr. OZ.
wird Zeit dass dem mal das Handwerk gelegt wird.
scheißt Amerika zu und auf der Welt ist Ruh`
Grüße an alle friedliebenden
Hallo Herr Pfefferle,
Harte Worte, aber ja, wir sind alle verärgert und es muß politisch ein Riegel vorgeschoben werden, insbesondere gegen Nicht-EU-Firmen, die uns mit ihren Programmen ausspionieren! Wer dabei erwischt wird, dem müssen so exorbitant hohe Strafen auferlegt werden, am besten so hoch, daß diese daran kaputt gehen! Diese Firmen, die heute „jammern“, sie hätten sich beugen müssen, die hätten doch Ihre Betriebe längst in die EU verlegen können, wie Microsoft und Apple etc. aber nein, die machen hier in der EU irre Milliarden von Umsätze und versteuern nur 3 %, der Rest wird steuerlich so oft durch verschiedene Länder verschoben, daß mindestens 27 % verloren gehen – solche Firmen und Produkte, brauchen wir nicht! Wir sollten diese auch nicht mehr kaufen!
Wozu noch Windows oder Windows-Server? Unter Kubuntu laufen alle Privat und Geschäfts-PCs besser, schneller und stabiler! Die Internet-Server werden eh zu geschätzt 97 % nur unter Linux betrieben!
Hallo zusammen,
unser Firmen Account wird regelrecht mit den Mails von Dr. Ozz und nun Health Insider oder WeightLoss Store bombadiert. .
Junk Mail Filter helfen nicht, da die E-Mail Absender Adresse sich immer wieder ändert.
Durch das Anlegen einiger Nachrichtenregeln ist uns nun eine Kundenanfrage verloren gegangen.
Kriminelles Verhalten was da abgezogen wird 🙁
Hallo Dirk,
ja, daß tut mir leid, wir müssen leider auch die Spam-Mails erst sehen, bevor wir diese verschieben.
Ich kann nur empfehlen, alle solche Mails auch im SpamCop zu erfassen und ggf. ebenfalls Anzeige zu erstatten, ansonsten wird mit den ja nicht richtig Herr.
Mit freundlichen Grüßen
1awww.com – Internet-Service-Provider
Detlef Bracker