Beantwoord

Meer dan 50 spam berichten in één mailbox op 08-09-2019

  • 8 september 2019
  • 112 reacties
  • 7499 keer bekeken


Toon eerste bericht
Dit topic is gesloten. Staat je antwoord hier niet bij, stel dan je vraag in een nieuw topic.

112 Reacties

Allen afkomstig vanuit Go Daddy (hostingpartij). In de afgelopen jaren is er veelvuldig misbruik gemaakt van kwetsbaarheden en zijn er hacks uitgevoerd (zie bijvoorbeeld 'Blackhole (Angler) exploit kit'). Met als resultaat dat er veel (virtuele) servers gebruikt worden voor spam/scam/phishing.

Is er iets aan te doen? Ja! Headers opsturen naar de helpdesk en dit soort mail naar 'spam' verplaatsen.

Wat je nooit moet doen is in dit soort mails op 'afmelden' of 'uitschrijven' klikken. Hiermee bevestig je namelijk dat je de mail hebt ontvangen en gelezen.

Eventuele mailtracking kun je blokkeren, maar dit is afhankelijk van de dienst of software. Voor Gmail kun je hiervoor bijvoorbeeld Gmelius gebruiken.
YEP al weer een stuk of 10 in een paar uur.

Voor de liefhebbers:

YEP al weer een stuk of 10 in een paar uur.

Voor de liefhebbers:



Vreemd. Had inmiddels wel verwacht dat deze meuk van 26 juli (2 maanden vastgehouden door ccsend) wel uitgefilterd zou zijn.
Reputatie 2
Klopt, ook hier is het weer raak...
Reputatie 1
Badge
Krijgen jullie dan ook de mailtjes van: noreply@iphone11s.com gericht aan michelwierzbicki@ziggo.nl ?
Ik kan dat soort spam dus nergens mee tegenhouden, het schiet weer overal doorheen, berichtregels of niet, heb alles al geprobeerd.
Nee, die hier niet @HildaS tegen houden werkt slecht, alleen in de spam map slepen/verplaatsen laat de alarmbellen afgaan boven een bepaald aantal.
Reputatie 1
Badge
@Be rt het blijft gedoe met die Ziggo mail. Dat betekent dat ik voorlopig weer via webmail mijn mail moet gebruiken, want eenmaal ontvangen in outlook, heb je de mail niet meer in webmail staan en kun je niet meer slepen naar die spambox. In outlook heeft dat geen zin. Het is gewoon niet te doen en gaat straks weer een dagtaak worden. Van andere providers hoor ik dit soort spambomberichten niet, die hebben er wel een goed spamfilter op staan.
@Be rt het blijft gedoe met die Ziggo mail. Dat betekent dat ik voorlopig weer via webmail mijn mail moet gebruiken, want eenmaal ontvangen in outlook, heb je de mail niet meer in webmail staan en kun je niet meer slepen naar die spambox. In outlook heeft dat geen zin. Het is gewoon niet te doen en gaat straks weer een dagtaak worden. Van andere providers hoor ik dit soort spambomberichten niet, die hebben er wel een goed spamfilter op staan.

je schrijft:

want eenmaal ontvangen in outlook, heb je de mail niet meer in webmail staan

Gebruik dan IMAP ipv POP.
Dan heb je geen last van dit verschijnsel

@Be rt het blijft gedoe met die Ziggo mail. Dat betekent dat ik voorlopig weer via webmail mijn mail moet gebruiken, want eenmaal ontvangen in outlook, heb je de mail niet meer in webmail staan en kun je niet meer slepen naar die spambox. In outlook heeft dat geen zin. Het is gewoon niet te doen en gaat straks weer een dagtaak worden. Van andere providers hoor ik dit soort spambomberichten niet, die hebben er wel een goed spamfilter op staan.je schrijft:

want eenmaal ontvangen in outlook, heb je de mail niet meer in webmail staan

Gebruik dan IMAP ipv POP.
Dan heb je geen last van dit verschijnsel


IMAP synchroniseert de spam-map niet.


@Be rt het blijft gedoe met die Ziggo mail. Dat betekent dat ik voorlopig weer via webmail mijn mail moet gebruiken, want eenmaal ontvangen in outlook, heb je de mail niet meer in webmail staan en kun je niet meer slepen naar die spambox. In outlook heeft dat geen zin. Het is gewoon niet te doen en gaat straks weer een dagtaak worden. Van andere providers hoor ik dit soort spambomberichten niet, die hebben er wel een goed spamfilter op staan.je schrijft:

want eenmaal ontvangen in outlook, heb je de mail niet meer in webmail staan

Gebruik dan IMAP ipv POP.
Dan heb je geen last van dit verschijnsel
IMAP synchroniseert de spam-map niet.


Dat zeg ik ook niet en is ook niet correct wat je zegt.

Echter net getest en wat ik op mijn iphone in outlook naar Spam zet zie ik ook op de webmail in de spam box terug.

Ik reageer op:

want eenmaal ontvangen in outlook, heb je de mail niet meer in webmail staan

Met IMAP heb je de inkomende mail nog wel in de webmail staan.
Reputatie 1
Badge
Hoi @altenae en @Be rt dank voor jullie reacties. Ik ben niet zo technisch dat ik dat om kan zetten en zie het ook niet zitten om de boel om te zetten omdat Ziggo geen goed spamfilter hanteert en feitelijk haar abonnees met de shit laat zitten. Daarnaast is het enige wat ik ermee bereik, dat ik alsnog mail moet gaan slepen. Afgelopen uren is er alweer een flinke lading spammail binnengekomen waarbij de mail van iphone11s.com naar michelwierzbicki@ziggo.nl de boventoon voert. Deze mail is niet met slepen of een filterregel weg te krijgen en is de opvolger van de beruchte lococontigo@ntlworld.com mail. Nadat het een paar weken goed is gegaan na de vorige spambommen, houdt het me weer elke dag een tijd bezig om berichtregels aanmaken en spam te sorteren en verwijderen. Als mijn ziggo-mail inmiddels niet zo belangrijk was geworden hadden we heel Ziggo al lang opgezegd.



@Be rt het blijft gedoe met die Ziggo mail. Dat betekent dat ik voorlopig weer via webmail mijn mail moet gebruiken, want eenmaal ontvangen in outlook, heb je de mail niet meer in webmail staan en kun je niet meer slepen naar die spambox. In outlook heeft dat geen zin. Het is gewoon niet te doen en gaat straks weer een dagtaak worden. Van andere providers hoor ik dit soort spambomberichten niet, die hebben er wel een goed spamfilter op staan.je schrijft:

want eenmaal ontvangen in outlook, heb je de mail niet meer in webmail staan

Gebruik dan IMAP ipv POP.
Dan heb je geen last van dit verschijnsel
IMAP synchroniseert de spam-map niet.
Dat zeg ik ook niet en is ook niet correct wat je zegt.

Echter net getest en wat ik op mijn iphone in outlook naar Spam zet zie ik ook op de webmail in de spam box terug.

Ik reageer op:

want eenmaal ontvangen in outlook, heb je de mail niet meer in webmail staan

Met IMAP heb je de inkomende mail nog wel in de webmail staan.


Excuses mijn waarde. Ik heb jouw reactie compleet verkeerd gelezen...
YEP al weer een stuk of 10 in een paar uur.

Voor de liefhebbers:



Exact dezelfde merkwaardige route afgelegd als de vorige run. Ik kan me niet aan de indruk onttrekken dat hier gebruik gemaakt wordt van een of ander gaatje in de filtering. Zoals opgemerkt werd door @Anne H Ziggo werd dit door abuse geclassificeerd als een “geraffineerde spamrum”. Dat klinkt bij ook als: slim gebruik gemaakt van een maas in de filters. Waarschijnlijk zal men hier niet uit de doeken doen hoe het is gedaan, maar er is iets bijzonders aan deze spam.

YEP al weer een stuk of 10 in een paar uur.

Voor de liefhebbers:

Exact dezelfde merkwaardige route afgelegd als de vorige run. Ik kan me niet aan de indruk onttrekken dat hier gebruik gemaakt wordt van een of ander gaatje in de filtering. Zoals opgemerkt werd door @Anne H Ziggo werd dit door abuse geclassificeerd als een “geraffineerde spamrum”. Dat klinkt bij ook als: slim gebruik gemaakt van een maas in de filters. Waarschijnlijk zal men hier niet uit de doeken doen hoe het is gedaan, maar er is iets bijzonders aan deze spam.



Geen maas. Ze hebben niets gedaan met de meldingen. Deze spammails zijn twee maanden vastgehouden door ccsend. Simpel op te lossen...
Reputatie 1
Zullen we het abuse team een suggestie voor een nieuw spam filter criteria?
Stelling een normaal email wordt binnen een geringe tijd bezorgd.
Ik mag aannemen dat de Ziggo mail servers weten wanneer een email wordt ontvangen en wat het oorspronkelijke tijdstempel was.
Emails ouder dan deze geringe tijd plus ruime marge is dus automatisch SPAM.
Kan het zo zwart-wit worden gesteld? Ik hoop het!
Like als je een dergelijk filter een goed idee vindt!

Overigens mijn hotmail en gmail accounts worden niet geplaagd door dit verschijnsel!
En het begint weer.

code:
Return-Path: <1wggdsh5lx6svojrrjgn@ithound.com>
Delivered-To: XXXXXXX@ziggo.nl
Received: from md5.tb.mail.iss.local ([212.54.42.104])
by mc41.tb.mail.iss.local with LMTP id uCR1Es08l11JcwAAFNOn/Q
for ; Fri, 04 Oct 2019 14:36:29 +0200
Received: from smtpclienthelo ([212.54.42.104])
by md5.tb.mail.iss.local with LMTP id CDgyKcs8l11EBQAA7jSZHA
; Fri, 04 Oct 2019 14:36:28 +0200
Authentication-Results: mail.iss.as9143.net;
spf=pass (172.105.99.11;ithound.com);
dkim=none (nosigs);
dmarc=none header.from=mthai.com (dis=no_record);
X-Env-Mailfrom: 1wggdsh5lx6svojrrjgn@ithound.com
X-Env-Rcptto: XXXXXXX@ziggo.nl
X-SourceIP: 172.105.99.11
X-CNFS-Analysis: v=2.3 cv=C8KXNjH+ c=1 sm=1 tr=0 cx=a_idp_d
a=B2fuNIWejX7AJn3jwZvTXg==:117 a=B2fuNIWejX7AJn3jwZvTXg==:17
a=0o9FgrsRnhwA:10 a=_5GR_r8zAAAA:8 a=tclcd6dtLQvEqt9_mmAA:9 a=WcNe7nxZu5oA:10
a=G4piYTmyE0I-LDGW2fZV:22 a=p-dnK0njbqwfn1k4-x12:22 a=w-psBPLDDiCXbaeKGOsM:22
Received: from mthai.com ([172.105.99.11])
by mx5.tb.mail.iss.as9143.net with ESMTP
id GMoti8JWhxsIjGMouiqXjt; Fri, 04 Oct 2019 14:36:29 +0200
Return-Path:
Delivered-To: lococontigo@ntlworld.com
Received: from md6.tb.ukmail.iss.local ()
by mc14.tb.ukmail.iss.local with LMTP id yJSUMfcnO10EKwAAoq6imA
for ; Fri, 26 Jul 2019 18:19:03 +0200
Received: from smtpclienthelo ()
by md6.tb.ukmail.iss.local with LMTP id gOTpGvYnO11kBQAACKiK/Q
; Fri, 26 Jul 2019 18:19:03 +0200
Received: from smtp2.tb.ukmail.iss.as9143.net ()
by mx2.tb.ukmail.iss.as9143.net with ESMTP
id r2vqheNaCfyTjr2vqhVcGz; Fri, 26 Jul 2019 18:18:58 +0200
Received: from (127.0.0.1) by mail50.wdc01.mcdlv.net id h3i8ne2ddl42 for ; Wed, 3 Jul 2019 11:28:46 +0000 (envelope-from )
Subject: 500 euro aan shoptegoed bij Lidl, XXXXXXX
From: "Lidl"
To:
Date: Fri, 26 Jul 2019 14:19:00 +0000
Message-ID: <91494988965577.4935488012.022.20190703112800.f2ddc45edd.02f6f32e@mail50.wdc01.mcdlv.net>
Content-Type: text/html;
X-CMAE-Envelope: MS4wfM9HjqFfSpwBGWYu6I38TOTnt5JaHiyBhpS4EJC3nSFfZ4J/uD3Ja2rCt8Xrbm1eOhB812Ebr2ruLmJ3lQjai+kwE+An0widiJwBKUvnk7C+fzjh2Tgr
gnP71jrXlkI3VcVRgRVA0jmQe9GOLbp+T15tOAncD3/0pOVKpheoPzTOzqEnkgxgZ0Zv52XvlJ5jlQ==
Reputatie 1
@Be rt het lijkt erop dat het abuse team het nog niet in zijn vingers heeft om deze oude SPAM emails te onderdrukken.

Nu heb ik vandaag net "Bitdefender Antispam" geïnstalleerd en dit was nog geen remedie om deze emails in de Spam folder te laten belanden.

Via "Bitdefender Antispam" deze emails aangemerkt als SPAM. Helaas gaan deze emails nu niet meer naar de SPAM folder maar verdwijnen ze dus richting Bitdefender en zal het Abuse team geen actie meer kunnen ondernemen, maar m.i. hebben ze daar voldoende tijd voor gehad en hopelijk zijn ze bij Bitdefender sneller van begrip.
Reputatie 1
De eerste email van 26 juli staat DIRECT in mijn SPAM folder. Deze heeft het onderwerp "Win een sprookjesachtig weekend weg!".

Ik weet alleen niet of de credits hiervoor gaan naar het Abuse team of Bitdefender.

Geen maas. Ze hebben niets gedaan met de meldingen. Deze spammails zijn twee maanden vastgehouden door ccsend. Simpel op te lossen...


@Marco1861 ccsend? Ik snap even niet wat je daar mee bedoelt. Kun je dat uit leggen?
Reputatie 2
@Be rt het lijkt erop dat het abuse team het nog niet in zijn vingers heeft om deze oude SPAM emails te onderdrukken.

Nu heb ik vandaag net "Bitdefender Antispam" geïnstalleerd en dit was nog geen remedie om deze emails in de Spam folder te laten belanden.

Via "Bitdefender Antispam" deze emails aangemerkt als SPAM. Helaas gaan deze emails nu niet meer naar de SPAM folder maar verdwijnen ze dus richting Bitdefender en zal het Abuse team geen actie meer kunnen ondernemen, maar m.i. hebben ze daar voldoende tijd voor gehad en hopelijk zijn ze bij Bitdefender sneller van begrip.


Hahaha als je de illusie had dat het Abuse team ook maar iets doet kan ik je snel uit de droom helpen... 😆

Dit speelt al weken, Anne H komt hier weer het standaard riedeltje afspelen maar oplossingen ho maar... Een competente groep beheerders had dit al lang opgelost!
Gister zaterdag 14.36 uur was de laatste.
Dat is al veel sneller getackeld dan de vorige aanval en die was al sneller getackeld dan der eerste, er lijkt wel degelijk iets te gebeuren.

Als er niets zou gebeuren dan had je veel meer spam in je mail box dan goede mail. @hellRaver666
Meer dan 85% van alle mail die op het internet komt is spam.
Reputatie 2
@Be rt Dit zijn geen ‘aanvallen’ maar gewoon spam runs met EXACT dezelfde karakteristieken als eerdere runs. Een beetje competente organisatie had er voor gezorgd dat je na de eerste run niets meer had ontvangen.
@efok zeker! De techniek spoofing i.c.m. backdate (header manipulatie) waarbij ccsend (marketing) is gebruikt. Hierdoor lijkt het alsof de spammail een tijdje is vastgehouden (delay, zie bijvoorbeeld 26 juli -> 4 oktober). Slimme techniek maar dit is makkelijk te filteren aangezien DKIM niet werkt (zie 'none' bij de DKIM-check).

Kortom: DKIM ontbreekt, de header is duidelijk gemanipuleerd dus de mail moet standaard worden afgewezen. Mijns inziens had de mailserver van Ziggo dit nooit mogen afleveren, zeker niet na alle meldingen.

Vrijwel alle spammails in dit topic zijn gegenereerd bij Go Daddy-websites. Go Daddy heeft hier de nodige problemen mee (gehad), duizenden omgevingen zijn eerder dit jaar geblokkeerd vanwege misbruik van ernstige kwetsbaarheden.
code:
Return-Path: 
Delivered-To: XXXXXXX@ziggo.nl
Received: from md2.tb.mail.iss.local ([212.54.42.102])
by mc41.tb.mail.iss.local with LMTP id IJqkKBPln102SQAAFNOn/Q
for ; Fri, 11 Oct 2019 04:12:35 +0200
Received: from smtpclienthelo ([212.54.42.102])
by md2.tb.mail.iss.local with LMTP id wFp0DBPln104BQAAH7GgQA
; Fri, 11 Oct 2019 04:12:35 +0200
Authentication-Results: mail.iss.as9143.net;
spf=pass (51.15.76.46;cmcti.vn);
dkim=none (nosigs);
dmarc=none header.from=coffeenews.it (dis=no_record);
X-Env-Mailfrom: t8lzv@cmcti.vn
X-Env-Rcptto: XXXXXXX@ziggo.nl
X-SourceIP: 51.15.76.46
X-CNFS-Analysis: v=2.3 cv=VaCJw2h9 c=1 sm=1 tr=0 cx=a_idp_d
a=33OnmCV9t1GVRnUer/E5Yw==:117 a=33OnmCV9t1GVRnUer/E5Yw==:17
a=0o9FgrsRnhwA:10 a=5nAkbZ9QAAAA:8 a=tclcd6dtLQvEqt9_mmAA:9
a=sCTfkP4hHoRMbD5dh_w4:22 a=p-dnK0njbqwfn1k4-x12:22 a=w-psBPLDDiCXbaeKGOsM:22
Received: from cartimex.com ([51.15.76.46])
by mx3.tb.mail.iss.as9143.net with ESMTP
id IkPxirOf5ZkbTIkPziZ7j3; Fri, 11 Oct 2019 04:12:35 +0200
Return-Path:
Delivered-To: lococontigo@ntlworld.com
Received: from md6.tb.ukmail.iss.local ()
by mc14.tb.ukmail.iss.local with LMTP id yJSUMfcnO10EKwAAoq6imA
for ; Fri, 26 Jul 2019 18:19:03 +0200
Received: from smtpclienthelo ()
by md6.tb.ukmail.iss.local with LMTP id gOTpGvYnO11kBQAACKiK/Q
; Fri, 26 Jul 2019 18:19:03 +0200
Received: from smtp2.tb.ukmail.iss.as9143.net ()
by mx2.tb.ukmail.iss.as9143.net with ESMTP
id r2vqheNaCfyTjr2vqhVcGz; Fri, 26 Jul 2019 18:18:58 +0200
Received: from (127.0.0.1) by mail50.wdc01.mcdlv.net id h3i8ne2ddl42 for ; Wed, 3 Jul 2019 11:28:46 +0000 (envelope-from )
Subject: Maak kans op een Albert Heijn waardebon van €1000,-.
From: "AlbertHeijn"
To:
Date: Fri, 11 Oct 2019 02:12:40 +0200
Message-ID: <1569409556-data_sendout_5d8b47a88143a_50567845345AB@tipland.nl>
Content-Type: text/html;
X-CMAE-Envelope: MS4wfDlhVxMfyCvi0AfzxkYDLsM+KP9T78OtWq+yLmIjUejL24JL1Whb2GHyb+S9v5vOhCPl5+QpR3KzzlO1HF/FNEn9rfXza6B0NBdUwEGM9butSbDPXzVe
y10JqLPgMn+SpDARBA9Mk/b1BIGY/YdIIPc=

Huilen met de pet op.