Bumsbude Spam

Im November erhielt ich erstmals eine "Porno-Rechnung" über angeblich bezogene Dienstleistung. Schon die Rechnung an sich verrät aber, dass ich sie nicht ernstnehmen sollte.

Die Rechnung 1/2

Die erste Mail kam am 9.11.2021 kurz nach Mitternacht im Postfach an und Outlook hat natürlich die ganzen Bilder erst mal ausgeblendet. Ich habe die Mail "zusammengeschoben", denn die Bilder waren mi viel zu großen width/heigth-Eigenschaften versehen und damit "großflächig". Vermutlich will man damit die Empfänger dazu verleiten, die Bilder herunter zu laden:

Die Bilder sind extern von einem anderen Hoster eingebunden, der davon wohl nichts weiß. Es gibt nur einen Link, der einen Rückschluss auf den Empfänger ermöglicht.

http://bbb-images.lima.zone/img/BBB_EMAIL_LINK/spacer4.gif?v=3D2&am=p;a=3Dmailadresse@unkenntlich
http://bbb-images.lima.zone/img/shared/spacer_999999.gif
http://bbb-images.lima.zone/img/shared/spacer.gif
http://bbb-images.lima.zone/img/shared/box_bevel_180_topl.png
http://bbb-images.lima.zone/img/shared/box_bevel_180_top_recommend.gif
http://bbb-images.lima.zone/img/shared/box_bevel_180_botfull.gif"

Ich habe dem Hoster einen freundlichen Hinweis gegeben ,denn vielleicht hat der Spammer sogar nur das "kostenfreie Webhosting" dort missbraucht. Update: der Provider hat das Konto innerhalb eines Tages blockiert. Das wird den Spammer aber sicher nicht abhalten. "Free-"Hoster gibt es genug.

Ca. 24 Stunden später (10. Nov 00:07) kam noch mal eine Rechnung über den gleichen Betrag aber mit einer anderen Rechnungsnummer und 14 Stunden später eine weitere Mail, dass die "heißbegehrte Rosi" leider erkrankt sei und ich aktiv das Angebot einer 55 jährigen Katja für 30% Rabatt ablehnen müsste. Am 11.11 kam um 00:08 erneut eine Mail, mit "Katja" als Ware. Ich hätte also grade mal 10 Stunden für eine Ablehnung Zeit gehabt.

Der Absender hat es wohl erst einmal darauf abgesehen, dass ich "in Kontakt" mit ihm trete um mich z.B.: über die Rechnung zu beschweren oder dem Angebot zu wiedersprechen. Ich lasse mich darauf natürlich nicht ein, sondern blogge mal darüber, denn eine Suche nach "Bernies Bumsbude" oder dem Inhaber "Bernhard Wilken" führt zu keinem passenden Suchergebnis. Das Angebot ist aber von "Bernhard Wilke" (ohne "n") versendet.

Auch sonst hat die Mail noch weitere handwerkliche Fehler, die auffallen:

  • Die Adresse der "Angebots-Mail" passt nicht zur Telefonnummer
    Gründau-Lieblos liegt in Hessen und die Rufnummer in München und mit 5-Stellen ist für München sehr unwahrscheinlich.

    Ich bin sicher, dass die Post-Adresse genauso falsch ist, auch wenn es eine gültige Adresse ist.
  • Mehrwertsteuer?
    Eine Rechnung in Deutschland hat eigentlich immer eine Mehrwertsteuer/Umsatzsteuer. Keine Ahnung, was den Absender zu dieser Fußnote geführt hat.
  • Doppelte Mail
    Auch die interne Buchhaltung hat der Absender wohl nicht im Griff, denn er sendet zwei Rechnungen über die gleiche Dienstleistung im gleichen Zeitraum an den gleichen Empfänger mit unterschiedlichen Nummern. Ich kann etwas ja nur "einmal" kaufen.
  • Unvollständige Rechnungsadresse
    Als Rechnungsempfänger ist "nur" eine Mailadresse vorhanden. Kein Ort, kein Name o.ä. Vielleicht ist es ja üblich, auf solchen Seiten keine realen Namen anzugeben.
  • Paypal
    Natürlich gibt es es auch keine Abbuchung von Paypal. Paypal unterliegt der Bankenaufsicht und damit würde Bernie ja identifizierbar werden.
  • Oliver Kalkofe - Sketch über "ARD-Vertragsbordell Bernies Bumsbude in Gründau-Lieblos" in Kalkofes Mattscheibe

    https://twitter.com/twitkalk/status/1278356322677907459
    Video des Sketch auf https://www.facebook.com/kalkofe/videos/2590886784522150/?t=3
    Da hat der Spammer wohl seine Inspiration her.

Wir sollten also davon ausgehen, dass nichts davon stimmt und diese Rechnung keinen legitimen Hintergrund hat.

Das verhindert aber nicht, dass ich die Mail etwas analysieren.

Absenderdomain

Mich hat daher der Mail-Header interessiert, welcher Provider so einen Schrott verteilt und einliefert. Schon die Domain "schmusemail.de" gehört aber keiner Firma oder Person sondern ist eine der Domains von GMX. Wer einfach auf https://schmusemail.de geht, bekommt eine Zertifikatswarnung und das Zertifikat ist auf GMX.NET ausgestellt.

Da war dann auch klar, dass MX und SPF passend sind.

C:\>nslookup -q=MX schmusemail.de

Nicht autorisierende Antwort:
schmusemail.de  MX preference = 10, mail exchanger = mx01.emig.gmx.net
schmusemail.de  MX preference = 10, mail exchanger = mx00.emig.gmx.net

C:\Users\fcarius>nslookup -q=TXT schmusemail.de

Nicht autorisierende Antwort:
schmusemail.de  text =

        "v=spf1 redirect=gmx.net"

GMX.NET hat eine strenge SPF-Policy:

gmx.net text = "v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 ip4:212.227.126.128/25 
                       ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:74.208.4.192/26 
                       ip4:82.165.159.0/24 ip4:217.72.207.0/27 ip4:82.165.229.31 ip4:82.165.230.21 
                       -all"

Das "-all" am Ende sollte jeden halbwegs korrekt konfigurierten Mailserver anweisen, die Mail von fremden Systemen abzulehnen. GMX.NET hat bis hier noch nichts falsch gemacht, wenn man mal vom Webserver-Zertifikat absieht. Es gibt aber kein "autodiscover.schmusemail.de", so dass Autodiscover-Clients keine Probleme damit bekommen. Damit war es auch zu erwarten, dass die Mail von GMX gekommen ist. Der Header war auch recht kurz. Ein Hop von GMX zu IONOS und sogar DKIM-signiert.

Return-Path: <bernies-bumsbude@schmusemail.de>
Authentication-Results:  mqeue013.server.lan; dkim=pass header.i=@gmx.net
Received: from mout-xforward.gmx.net ([82.165.159.13]) by mx.kundenserver.de
 (mxeue012 [212.227.15.41]) with ESMTPS (Nemesis) id 1N7RM5-1mf5U70KuT-017ok5
 for <unkenntlich@carius.de>; Wed, 10 Nov 2021 00:06:50 +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=gmx.net;
        s=badeba3b8450; t=1636499209;
        bh=kmioa0FPbMY9x3UR65SYcGtvdFcxP7+gp/yXsci1xlI=;
        h=X-UI-Sender-Class:From:Subject:To:Date;
        b=fWxshHQYp0MG79Di1Ozta2zePBWUafSgoMgf13zBhpuKJMtGx9vMQ8j1dGBSLChSH
         sK6Qte0g+jYOd+IsM1Z8DfRanVMrQHualxViWlrNBuMxyNfUtt6nAxqhgb+BXkwcr1
         U7LTuvOCMaRFxQr2yYsaaLmKYJVyCdbWwtdfnxE8=
X-UI-Sender-Class: 01bb95c1-4bf8-414a-932a-4f6e2808ef9c
Received: from [127.0.0.1] ([45.87.212.30]) by mail.gmx.net (mrgmx004
 [212.227.17.190]) with ESMTPSA (Nemesis) id 1N9dwd-1mhIPU30w1-015VeJ; Wed, 10
 Nov 2021 00:06:49 +0100
From: Bernie's Bumsbude <bernies-bumsbude@schmusemail.de>
Subject: Ihre Rechnung von Bernie's Bumsbude
To: unkenntlich@carius.de
Message-ID: <7029c588-d9d3-ce54-b53a-c69a7629ebd1@schmusemail.de>
Date: Wed, 10 Nov 2021 00:06:49 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="------------63F3B4761175192146DB4E60"
Content-Language: de-DE
X-Provags-ID: V03:K1:DrsyvXlYSoNGZnawsrLmp8WpUwzpC2Nd5m8HUWo0WAI17PrSTbt
 iNEBVA4on5K7WdoXI4eAPvdGcCAX0By4vpEW+by9CdO+0yR9TfMCNjMy5JuX90k0+D86nMm
 wJeGNLyY0wMYodNXJAIOE3HrsC1LcF/blj1cSCqeD0m6YXPEoK+8WdPq1f2TgmAzdxat/q0
 dUvRDu49b0UrozgVxLHvw==
X-Spam-Flag: YES
Envelope-To: <unkenntlich@carius.de>
X-Spam-Flag: NO

Die Spamfilter-Details von IONOS habe ich entfernt. Aus den "Received:"-Teilen ist zu erkennen, dass weitere Adressen vorkommen.

Der Header enthält auch keinen UserAgent o.ä. Den Provider m247.com habe ich schon informiert.

Weitere GMX Domains

Also ich weiß ja nicht, welche sonstige Domains die liebe Firma GMX noch so hostet. Am 15.11 kam wieder eine Mail, die von M247.com an GMX zugestellt und von dort zu mir weiter gesendet wurde. Zuerst dachte ich an ein offenes Relay aber auch diese Domain verweist auf GMX

Domain www-Record MX-Record
schmusemail.de redir-domains.gmx.net mx00.emig.gmx.net
mx01.emig.gmx.net
alphafrau.de redir-domains.gmx.net mx00.emig.gmx.net
mx01.emig.gmx.net

Ich vermute, es handelt sich hierbei um "gekaufte Domains", die GMX mittlerweile auch anbietet

Da sollten sich die GMX-Jungs mal ganz schnell um ihre Inhaberverifizierung kümmern, damit so ein Pendel mal nicht unsanft zurückschwingt.

Meldung an GMX

Damit sehe ich nur eine Herausforderung: GMX hat ein Problem mit seiner Absender-Verifizierung. Irgendjemand hat sich das Postfach "bernies-bumsbude@schmusemail.de" bei GMX angelegt und sendet darüber seine Fake-Rechnungen, um aufgeschreckte Empfänger irgendwie zu verleiten, mit dem Absender in Kontakt zu kommen.

Ich denke, dass auch GMX gegen diese Art "Nutzung" etwas hat und die AGBs so etwas verbieten. Es ist allerdings gar nicht einfach, einen Provider über solche Spams zu informieren. Eine einfache ABUSE-Adresse wird auf der Webseite nicht angeboten sondern nur eine Webseite zum Upload der kompletten Mail zwecks Analyse.

  • E-Mail von GMX prüfen, Phishing melden
    https://postmaster.gmx.net/de/phishing
    Etwas seltsam ist, dass ich hier die komplette Mail als MSG/EML-Datei hochladen soll, wo doch eigentlich der Header als Form-POST reichen sollte und vom Anwender auch viel schneller übertragen werden kann.

Ich habe am 11. Nov 2021 gegen 16:32 dennoch die Mails per Upload bereit gestellt. Allerdings konnte GMX erst mal keine Datei verifizieren, dass Sie von GMX gekommen ist. Das verwundert mich dann doch etwas. So komplett war der Header ja nun doch nicht, um den mal zu parsen. Es gab auch keine weitere Rückmeldung oder z.B. eine Status-URL, über die ich die weitere Verarbeitung/Bewertung nachverfolgen konnte. Ich muss mich auf das Versprechen verlassen, dass GMX schon die richtigen Dinge tut.

Für GMX-Anwender gibt es weitere Informationen, die hier aber nichts beitragen.

Reaktion der Provider

Diesmal habe ich die beteiligten Provider über ABUSE-Kontakte über den Missbrauch informiert, da sie alle ein Deutschland/Europa.

  • LimaCity
    Deren Webhosting wurde für die Bilder verwendet
  • GMX
    Ich bin nicht sicher, ob der "Upload" der Dateien etwas bewirkt. Ich habe noch kein Feedback. Tipp an GMX: Vielleicht solltet ihr bei nicht verifizierten "Free"-Kunden an jede Maileinen Disclaimer mit Link hängen, der ein schnelles "Als Spam melden" erlaubt. Das würde eure Plattform für Spamversender vermutlich uninteressanter machen.
  • M247com
    Sehr schnell kam eine Bestätigung und die Meldung, dass der "Inhaber" informiert wurde. Ich bin mal gespannt, wie weit diese Information ging. Wenn es ein gekapertes Wordpress o.ä. wäre, dann sollte der Inhaber etwas tun. Wenn der Spammer das Hosting, vielleicht mit falschen Angaben, gekauft hat, dann wird er nichts tun. Als Provider würde ich in dem Fall besser schnell prüfen, ob der Inhaber korrekt ist.

Zwischenstand

Ich frage ich mich, wie das Geschäftsmodell dieser Werbung funktioniert. Es wird keine Überweisung an ein Konto angefordert noch ein Link zu einer Malware/Phishing-Seite eingebunden. Der einzige "Rückkanal" ist die Mailadresse bei GMX. Ein unvorsichtiger Empfänger könnte  also nur voreilig eine mehr oder minder freundliche Mail an den Absender senden. Aber was macht der dann damit? Die Mailadresse der Person hat er schon vorher. Würde er mich dann in eine Konversation verwickeln oder aus einer Antwort eine Forderung ableiten? Oder ist das alles erst mal nur ein Test?

Vielleicht sollte ich dem Bespiel von James Veitch folgen und Interesse vorspielen? Dazu habe ich aber weder Zeit noch Lust.

This is what happens when you reply to spam email | James Veitch
https://www.youtube.com/watch?v=LiLS7U7YIdc

Weitere Links