Spam mit domainfactory?

Heute haben wir folgende E-Mail erhalten:

Von: domainfactory.de Team [newsletter@domainfactory.de]
An: newsletter@domainfactory.de (der eigentlich Empfänger versteckt sich im „BCC“)
Betreff: A new settings file for the newsletter@domainfactory.de has just be released

Dear use of the domainfactory.de mailing service!

We are informing you that because of the security upgrade of the mailing service your mailbox newsletter@domainfactory.de settings were changed. In order to apply the new set of settings open this file:

http://(…)/settings.exe

Best regards, domainfactory.de Technical Support.

Entweder versendet derzeit jemand gezielt Spam mit domainfactory.de als Absender und im Fließtext. Oder setzt immer die Mailserverdomain an passende Stellen in einer Vorlage ein („Best regards, domainname.tld Technical Support“). Wir recherchieren das vorsorglich, tippen aber auf letzteren Fall.

End of article

Sara Marburg

Über den Autor

Sara Marburg

Geschäftsführung (bis 11/13)

7 Kommentare

Bitte füllen Sie das Captcha aus : *

Reload Image

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • Gerald
    Gerald - 24. Februar 2010 um 09:06 Uhr

    Vor langer Zeit bekam ich auch eine Mail mit meinem eigenen Absender. Ich denke nicht daß das händisch gemacht wird. Jeder vernünftige Mensch schickt doch keine Mail an einen Hoster/Provider mit dessen Absender.
    Sicher ist das auch ein Uralt-Trojaner denn in der Regel haben sich die Profis auf das Social Engineering verlegt. Schadcode in emails ist nur noch was für Script-Kiddies. Und eine exe-Datei iost nun wirklich mehr als offensichtlich. Sowas verlegt man in PDF-Dateien 😉

  • Gerald
    Gerald - 24. Februar 2010 um 09:13 Uhr

    Huch..ich habe einen Schreibfehler gemacht…
    Kann natürlich auch jemand sein der den Ruf schädigen will. Aber das merkt ihr spätestens wenn die ersten Beschwerden kommen.
    Gut daß ihr hier schon darauf hinweist.

  • server0815
    server0815 - 24. Februar 2010 um 10:49 Uhr

    Aktuell haben die Spammails als Absender „.tld Team“ im Absender-Namen, sind aber von der Methode gleich:
    Absender = Empfänger.
    Im Header kann man gut erkennen, das die E-Mails von infizierten PC’s/Server versendet wurden:

    > Received: from [61.73.xx.xxx] (helo=TYFZRRKXE)

    > From: domainfactory.de Team
    > To:

    Je nach TopLevel-Domain ist es z.B. entweder „df.eu-“ oder „domainfactory.de -Team“.. je nach Domain der Empfängeradresse.

    Die Spamfilter stufen die Mails allerdings schon mit einem Score von 10 eindeutig als Spam ein.

  • Tom
    Tom - 24. Februar 2010 um 21:56 Uhr

    genau diese mails bekommen wir auch. und davon nicht gerade wenig. hoffentlich lernt der thunderbird-mailfilter bald dazu.

  • Gerald
    Gerald - 25. Februar 2010 um 07:04 Uhr

    Ich selbst bekomme schon lange keine solchen Mails mehr. Dank Dfs guten Mailfilter 😉 .

  • Tobia Sara
    Tobia Sara - 25. Februar 2010 um 07:57 Uhr

    Hallo Tim,

    kamen diese E-Mail auch mit unserer Domain im Text bei Ihnen an oder wurde anstatt domainfactory.de Ihr eigener domainname.tld genutzt?

  • Tobia Sara
    Tobia Sara - 25. Februar 2010 um 08:00 Uhr

    Hier die Auflösung zur Frage:

    http://www.siteadvisor.com/sites/nerim.net/postid?p=3821677
    http://todamax.kicks-ass.net/blog/2010/dear-use-of-mailing-service/
    uvm.

    -> Es scheint tatsächlich so zu sein, dass einfach mehrere Platzhalter mit der jeweiligen Empfängerdomain ausgefüllt werden. Das macht es zwar auch nicht besser, aber immerhin scheint niemand gezielt dF-Kunden mit den Trojaner-Mails im Visier gehabt zu haben.