Spammails an sehr spezielle Adresse - Gründe?

Timster

Mitglied
Ich versuche Spam zu minimieren, in dem ich 1. fast ausschließlich E-Mail-Adressen über eigene Domains laufen lasse (bspw. Meine-Domain.de) und 2. für jede Online-Aktivität darauf aufbauend eine eigene E-Mail-Adresse verwende. Zum Beispiel: Wenn ich beim Onlineshop mit dem Namen OnlineShop einkaufe und eine E-Mail-Adresse angeben muss (zum Anlegen eines eigenen Kontos oder für Bestätigungsmails etc.), dann verwende ich die Adresse OnlineShop[at]Meine-Domain.de. Das hat auch jahrelang fast hundertprozentig funktioniert. Seit einiger Zeit bekomme ich allerdings an eine dieser spezifischen Adressen Spam geschickt, und das mit zunehmender Tendenz. Ich selber habe unter Verwendung dieser Adresse nie eine Mail verschickt, lediglich einige bekommen.

Meine - eventuell naive - Frage in die Runde: Wie könnte das passiert sein?
 

Hippo

Moderator
Teammitglied
Die einfachste Variante (je nachdem wie die Adresse lautet) durch "würfeln".
Da schmeißt ein Bot ihm bekannte Begriffe durcheinander und verknüpft die irgendwie

2. Variante - die Adresse war mal auf einem Rechner der sich einen Schnupfen eingefangen hat und ging von dort aus zum Spammie

3. Variante - Dein Rechner hat sich was eingefangen

Gibt bestimmt noch mehr Möglichkeiten, aber wenn es nicht die Variante 3 war hast Du praktisch keine Möglichkeit mit einem vertretbaren Aufwand was dagegen zu tun.
Wenn es ein deutscher Spammer ist kann man noch seinen Anwalt drauf hetzen und abmahnen lassen, aber da ist je nach Rechtsform des Spammers mit einem erhöhten finanziellen Risiko verbunden.
 

Timster

Mitglied
Danke.
… 3. Variante - Dein Rechner hat sich was eingefangen. …
Schliesse ich weitgehend aus (Restunsicherheit bleibt natürlich). Insb. da nur eine meiner vielen E-Mail-Adressen betroffen ist, scheint das Problem eher an einer anderer Stelle entstanden zu sein.
… Wenn es ein deutscher Spammer ist kann man noch seinen Anwalt drauf hetzen und abmahnen lassen, aber da ist je nach Rechtsform des Spammers mit einem erhöhten finanziellen Risiko verbunden.
Ja, das ist leider wahr - hatte eigentlich auch keine Hoffnung, etwas gegen den Spamer tun zu können. Eher zu verstehen, was passiert ist, um dieses Potential in Zukunft auch zu minimieren. Werde vermutlich die E-Mail-Adressen etwas kryptischer gestalten, um besser gegen Variante 1 gewappnet zu sein. Den Online-Shop habe ich angeschrieben, aber vermute kaum, dass ich aus der Ecke erhellende Einsichten bekomme.
 

Timster

Mitglied
4.te Variante, der Händler hat deine Mailadresse "weiterverkauft"
Hatte ich auch schon kurz erwogen - fand es aber so mies, dass ich es wieder verworfen habe. :mad:
Wo kam der Spam her? Kannst Du da mal den/die Header posten?
Gerne, hier eine Auswahl:
16. Juni 2012 schrieb:
Return-Path: <newsletter[at]ladylucksupport.com>
Received: from compute3.internal (compute3.nyi.mail.srv.osa [10.202.2.43])
by sloti27d5p3 (Cyrus git2.5+0-git-fastmail-8211) with LMTPA;
Sat, 16 Jun 2012 20:29:15 -0400
X-Sieve: CMU Sieve 2.4
X-Spam-charsets: subject='UTF-8', plain='UTF-8', html='UTF-8'
X-Resolved-to: abz[at]xyz.net
X-Delivered-to: onlineshop[at]meine-domain.de
X-Mail-from: newsletter[at]ladylucksupport.com
Received: from mx4.nyi.mail.srv.osa ([10.202.2.203])
by compute3.internal (LMTPProxy); Sat, 16 Jun 2012 20:29:15 -0400
Received: from ladylucksupport.com (ladylucksupport.com [37.59.132.128])
by mx4.messagingengine.com (Postfix) with ESMTP id 63FDD180D84
for <onlineshop[at]meine-domain.de>; Sat, 16 Jun 2012 20:29:14 -0400 (EDT)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=mail; d=ladylucksupport.com;
h=To:Subject:Message-ID:date:From:Reply-To:MIME-Version:List-Unsubscribe:Content-Type:Content-Transfer-Encoding; i=newsletter[at]ladylucksupport.com;
bh=AfKGC7g3D0Wgz0xak9ioFuzcl10=;
b=J7xQHdyKrKw9omqXqtM/6356wDMlR962dnvKaGV7CIQjj1MNv/6JTrzSwBlroqwlJTtX2i8JCYN3
WCFEAeNhbxoIZcAoWIfVikiRsTnmgy3frnURhp9DxBTB1A8xtGL/AO9jjZM2GIUHabvuQEsL99c2
JzzJpLdWiOrZ66/tYK8=
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=mail; d=ladylucksupport.com;
b=BkeUHR/olxFzUWMkPCPFek8YiPMCH20k6hhIUYr5tcgmZpS+LMg5zLH0yp9tM05ZalY8eGe5A6oN
MYaON2ckS8435N7JXFbNDKmvrsnoCLl/T1OSgyJNypVXxnCQm/KledyAhmIetr4oNah/3fJKqQvW
QTaBrBFGWm0DhdbmHuM=;
Received: by ladylucksupport.com id hrkij80e97cr for <onlineshop[at]meine-domain.de>; Sun, 17 Jun 2012 02:30:42 +0200 (envelope-from <newsletter[at]ladylucksupport.com>)
To: onlineshop[at]meine-domain.de
Subject: =?UTF-8?B?RXJoYWx0ZSDigqwxNS4gS2VpbmUgRWluemFobHVuZyBub3R3ZW5kaWcu?=
Message-ID: <eea219743822b0e974bb8ce3ef3b001c[at]ladylucksupport.com>
Date: Sun, 17 Jun 2012 02:29:34 +0200
From: "Lobby Manager" <newsletter[at]ladylucksupport.com>
Reply-To: newsletter[at]ladylucksupport.com
MIME-Version: 1.0
X-Mailer-LID: 26
List-Unsubscribe: <ladylucksupport.com/unsubscribe.php?M=4607235&C=c584e162b9f9712d10b95daf384048c8&L=26&N=52>
X-Mailer-RecptId: 4607235
X-Mailer-SID: 52
X: 1
Content-Type: multipart/alternative; charset="UTF-8"; boundary="b1_d56b6d69e9bc513d5fe6a3cd3be4934e"
Content-Transfer-Encoding: 8bit
X-Truedomain-Domain: ladylucksupport.com
X-Truedomain-SPF: Pass
X-Truedomain-DKIM: Pass
X-Truedomain-ID: F0F601E94224BC5E0A3D16DFB12840FB
X-Truedomain: Neutral
4. Juni 2012 schrieb:
Return-Path: <Support[at]northern.recognitial.com>
Received: from compute3.internal (compute3.nyi.mail.srv.osa [10.202.2.43])
by sloti27d5p3 (Cyrus git2.5+0-git-fastmail-8159) with LMTPA;
Mon, 04 Jun 2012 09:06:58 -0400
X-Sieve: CMU Sieve 2.4
X-Spam-charsets: plain='UTF-8', html='UTF-8'
X-Resolved-to: abz[at]xyz.net
X-Delivered-to: onlineshop[at]meine-domain.de
X-Mail-from: Support[at]northern.recognitial.com
Received: from mx2.nyi.mail.srv.osa ([10.202.2.201])
by compute3.internal (LMTPProxy); Mon, 04 Jun 2012 09:06:58 -0400
Received: from northern.recognitial.com (northern.recognitial.com [66.227.87.134])
by mx2.messagingengine.com (Postfix) with SMTP id 3EDFA760208
for <onlineshop[at]meine-domain.de>; Mon, 4 Jun 2012 09:06:56 -0400 (EDT)
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=main; d=northern.recognitial.com;
b=dezBjhTBm72gFL0GCEAqvknqEvYowBHeiErINCnTDgyKIdOkZPvODFo1d320bp691yRCKFtwvtEPRloVIkcgPg==;
h=Received:Message-ID:date:From:To:Subject:List-Unsubscribe:MIME-Version:Content-Type;
Received: by 66.227.87.134 with SMTP id a84nal0ajmuvjco
for <onlineshop[at]meine-domain.de>; Mon, 04 Jun 2012 16:06:09 +0300
Message-ID: <dnefecc4xve28ty[at]northern.recognitial.com>
Date: Mon, 04 Jun 2012 16:06:10 +0300
From: "Support" <Support[at]northern.recognitial.com>
To: "Subscriber" <onlineshop[at]meine-domain.de>
Subject: Ex-Banker packt aus, was hier verheimlicht wurde
List-Unsubscribe: <mailto:unsubscribe-w-0o6nhaah0qh4y[at]northern.recognitial.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_00DA1_01202640.1000B40"
X-Truedomain-Domain: northern.recognitial.com
X-Truedomain-SPF: Pass
X-Truedomain-DKIM: Pass
X-Truedomain-ID: D38EF834EB56608F872FC9DED0458BA6
X-Truedomain: Neutral
2. April 2012 schrieb:
Return-Path: <noreply[at]aegisgrp2.com>
Received: from compute3.internal (compute3.nyi.mail.srv.osa [10.202.2.43])
by sloti27d5p3 (Cyrus git2.5+0-git-fastmail-7802) with LMTPA;
Mon, 02 Apr 2012 05:28:28 -0400
X-Sieve: CMU Sieve 2.4
X-Spam-charsets: subject='iso-8859-1', plain='iso-8859-1'
X-Resolved-to: abz[at]xyz.net
X-Delivered-to: onlineshop[at]meine-domain.de
X-Mail-from: noreply[at]aegisgrp2.com
Received: from mx3.nyi.mail.srv.osa ([10.202.2.202])
by compute3.internal (LMTPProxy); Mon, 02 Apr 2012 05:28:28 -0400
Received: from gw.mob.net.ba (gw.mob.net.ba [212.39.122.220])
by mx3.nyi.mail.srv.osa (Postfix) with ESMTP id 73E214C3713;
Mon, 2 Apr 2012 05:28:27 -0400 (EDT)
Received: from unknown (HELO FWERONET1) ([192.168.3.1])
by gw.mob.net.ba with SMTP; 02 Apr 2012 11:32:36 +0200
Message-ID: <743845530178.22362546813568[at]aegisgrp2.com>
Date: Mon, 02 Apr 2012 10:28:22 +0100
From: SP Gaming <donotreply[at]lovsta.com>
To: <onlineshop[at]meine-domain.de>
Subject: =?iso-8859-1?B?SGVyemxpY2hlbiBHbPxja3d1bnNjaCEgU2llIHd1cmRlbiBhdXNnZXfkaGx0LCB1bSBlaW4gZXhrbHVzaXZlcyBDYXNpbm9hbmdlYm90IHp1IGVyaGFsdGVu?=
MIME-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
X-Truedomain-Domain: lovsta.com
X-Truedomain-SPF: No Record
X-Truedomain-DKIM: No Signature
X-Truedomain-ID: 7C1016DE7E37E295E9C46D1444F7CB1C
X-Truedomain: Neutral
 

Timster

Mitglied
... Den Online-Shop habe ich angeschrieben, aber vermute kaum, dass ich aus der Ecke erhellende Einsichten bekomme.
Antwort kam schnell und ist umfassender, wie ich erwartet hatte:
Leicht modifizierte Rückmeldung auf meine Anfrage schrieb:
Sehr geehrter Herr X,

vielen Dank für Ihre Anfrage.

In den letzten Tagen haben wir vermehrt Reklamationen zum Thema SPAM-Nachrichten erhalten. So wurde vermutet, dass wir Kundendaten veräußern würde, oder unsere Systeme manipuliert wurden, weil E-Mail-Adressen betroffen sind, die ausschließlich für uns genutzt werden.

Wir versichern Ihnen, dass wir Ihre Rückmeldung sehr ernst nimmt. Daher haben wir sofort begonnen, in Zusammenarbeit mit einem etablierten, externen Auditor unsere Systeme und Sicherheitsmaßnahmen intensiv zu prüfen. Bitte haben Sie Verständnis, dass diese Überprüfung aufgrund ihrer Komplexität einige Zeit in Anspruch nehmen kann.

Was alle Reklamationen gemein haben, ist, dass grundsätzlich und ausschließlich E-Mail-Adressen betroffen sind, die Begriffe wie ABC, oder XYZ o.ä. im Namen tragen.

Somit liegt der Verdacht nahe, dass die Nennung dieser "Schlüsselbegriffe" in der E-Mail-Adresse zumindest Mitauslöser für die unerwünschten E-Mails sind.

Leider können wir Ihnen daher zunächst nur raten, möglichst neutrale E-Mail-Adressen zu verwenden.

Selbstverständlich ist Datensicherheit für uns oberstes Gebot. In keinem Fall haben wir mit Kundendaten gehandelt, oder sind in irgendeiner Form fahrlässig damit umgegangen. Das Vertrauen, dass Sie als Kunde in uns investieren, wissen wir zu schätzen und versichern Ihnen, dass wir alles unternehmen, um dieses Vertrauen zu rechtfertigen.

Für weitere Fragen stehen wir Ihnen jederzeit gern telefonisch und per E-Mail zur Verfügung.

Mit freundlichem Gruß
 
Oben