!Warnung vor möglicher Fakemail-Welle

  • Einer unser Firmenserver regestrierte vermehrte Zustellversuche von angeblichen PayPal Mails.
    Der Server hat den Fake natürlich erkannt, aber ich bezweifle, das dies auch die freien Anbieter bemerken...


    Möglicherweise geht wieder eine Welle los, deswegen Augen auf beim Klicken.


    einige Fälle
    --------------
    Oct 16 16:04:56 *** postfix/smtpd[8365]: connect from botsarea.com[46.32.229.203]
    Oct 16 16:04:56 *** postfix/smtpd[8365]: NOQUEUE: reject: RCPT from botsarea.com[46.32.229.203]: 554 5.7.1 Service unavailable; Client host [46.32.229.203] blocked using ix.dnsbl.manitu.net; Your e-mail service was detected by mail.ixlab.de (NiX Spam) as spamming at Thu, 16 Oct 2014 12:18:00 +0200. Your admin should visit http://www.dnsbl.manitu.net/lookup.php?value=46.32.229.203; from=<service@paylpal.com> to=<***@***.de> proto=ESMTP helo=<botsarea.com>
    Oct 16 16:05:03 *** postfix/smtpd[8365]: disconnect from botsarea.com[46.32.229.203]
    Oct 16 16:12:12 *** postfix/smtpd[8470]: connect from botsarea.com[46.32.229.203]
    Oct 16 16:12:12 *** postfix/smtpd[8470]: NOQUEUE: reject: RCPT from botsarea.com[46.32.229.203]: 554 5.7.1 Service unavailable; Client host [46.32.229.203] blocked using ix.dnsbl.manitu.net; Your e-mail service was detected by mail.ixlab.de (NiX Spam) as spamming at Thu, 16 Oct 2014 12:18:00 +0200. Your admin should visit http://www.dnsbl.manitu.net/lookup.php?value=46.32.229.203; from=<service@paylpal.com> to=<***@***.de> proto=ESMTP helo=<botsarea.com>


    und noch einmal, aber ein anderer MTA
    ----------------


    Oct 16 04:37:40 *** postfix/smtpd[32485]: connect from v211n03.inet.sy[91.144.8.148]
    Oct 16 04:37:40 *** postfix/smtpd[32485]: NOQUEUE: reject: RCPT from v211n03.inet.sy[91.144.8.148]: 554 5.7.1 Service unavailable; Client host [91.144.8.148] blocked using ix.dnsbl.manitu.net; Your e-mail service was detected by mail.ixlab.de (NiX Spam) as spamming at Thu, 16 Oct 2014 01:05:57 +0200. Your admin should visit http://www.dnsbl.manitu.net/lookup.php?value=91.144.8.148; from=<service@paylpal.com> to=<***@***.de> proto=ESMTP helo=<ns5.dnsplatinum.com>
    Oct 16 04:37:47 *** postfix/smtpd[32485]: disconnect from v211n03.inet.sy[91.144.8.148]
    Oct 16 04:43:07 *** postfix/anvil[32487]: statistics: max connection rate 1/60s for (smtp:91.144.8.148) at Oct 16 04:37:40
    Oct 16 04:43:07 *** postfix/anvil[32487]: statistics: max connection count 1 for (smtp:91.144.8.148) at Oct 16 04:37:40
    Oct 16 04:48:41 *** postfix/smtpd[32533]: connect from v211n03.inet.sy[91.144.8.148]
    Oct 16 04:48:41 *** postfix/smtpd[32533]: NOQUEUE: reject: RCPT from v211n03.inet.sy[91.144.8.148]: 554 5.7.1 Service unavailable; Client host [91.144.8.148] blocked using ix.dnsbl.manitu.net; Your e-mail service was detected by mail.ixlab.de (NiX Spam) as spamming at Thu, 16 Oct 2014 01:05:57 +0200. Your admin should visit http://www.dnsbl.manitu.net/lookup.php?value=91.144.8.148; from=<service@paylpal.com> to=<***@***.de> proto=ESMTP helo=<ns5.dnsplatinum.com>


    Problematisch wieder einmal, zugestellt von gehighjackten Servern...

  • 1) Oct 16 16:04:56 *** postfix/smtpd[8365]: connect from botsarea.com[46.32.229.203]


    > ein entfernter MTA (Mail Transport Agend) verbindet sich mit den lokalen MTA mit der bitte eine Mail zuzustellen.


    2) Oct 16 16:04:56 *** postfix/smtpd[8365]: NOQUEUE: reject: RCPT from botsarea.com[46.32.229.203]: 554 5.7.1 Service unavailable; Client host [46.32.229.203] blocked using ix.dnsbl.manitu.net; Your e-mail service was detected by mail.ixlab.de (NiX Spam) as spamming at Thu, 16 Oct 2014 12:18:00 +0200. Your admin should visit http://www.dnsbl.manitu.net/lookup.php?value=46.32.229.203; from=<service@paylpal.com> to=<***@***.de> proto=ESMTP helo=<botsarea.com>


    > der lokale MTA prüft durch externe "Spammerlisten", ob der entfernte MTA bereits für Spam oder andere böse Sachen bekannt ist. Antwort ist positiv und der lokale MTA lehnt die Zustellung der Mail ab.


    3) Oct 16 16:05:03 *** postfix/smtpd[8365]: disconnect from botsarea.com[46.32.229.203]
    > Die Verbindung wird vom lokalen MTA getrennt.


    Das sind Auszüge aus einem Serverlog[smtp]


    Da unser Server die Mails abgelehnt hat, kann ich auch nicht sagen, was der genaue Inhalt ist. Aber ich vermute nichts gutes...

  • Ich denke es handelt sich um folgenden Inhalt, zumindest habe ich dies letzten Samstag gekriegt:



    Cheers

  • Diesen Dreck bekomme ich so oft, dass ich echt schon davon genervt bin.
    Ich werde wohl demnächst mal die Mail - Adresse bei Paypal ändern.


    Aber wenn es eine echte Mail von PP ist, dann steht immer als ersten der komplette Name am Anfang der Mail.

  • Ja ich bekomme diese fake payPal Mails auch ständigt.


    Ein Blick auf den Absender genügt um zu erkennen das die nicht echt ist und es steht nicht mein Name in der email drin.


    Zwei wichtige Punkte.


    Paypal kommt immer von PayPal.com nie von was anderen als Absender wie Service-Paypal.org oder Sicherheit-Paypal.com oder so.


    Euer Name steht als Anrede in der email.


    Am besten die Hardware Brain 2.0 nutzen und lesen können und nicht gleich alles anklicken.


    Das Hilft.

  • Heute rennen mal wieder haufenweise mails mit dem Absender "Uberprufung@paypal.eu" und "Kundendienst@paypal.eu" gegen die Wand... Obwohl die Domain tatsächlich Paypal gehört, kommen die Mails von anderen IPs ohne PTR oder nicht passendem/ungültigem <[E]HELO>; A Record <-> PTR Record und damit gut als Fake zu erkennen... Abgewiesen durch nettes reject 451...


    Gut eingerichtete Post-Server müssen sich keine Sorgen machen. Die kommen nicht durch. Freemailer sollten den Header der Mail prüfen...

  • Sind auch gerne mal viele Rechtschreibfehler drin :D

  • Ich hab auch mal wieder welche bekommen, allerdings nicht auf meine hinterlegte E-Mail Adresse bei Paypal, sondern die die auf sonstigen Werbeseiten irgendwo angegeben wurde.... Wenn man anfängt eine Adresse nicht mehr blindlinks überall zu verteilen, werden die Spams auch weniger....


    Meine Adresse aus Jugendzeiten, verwend ich gar nicht mehr... 150 - 300 SPAM Mails pro Tag..

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!