Jooble Spam

Nicht jede Werbemail wird von Spamfiltern als Spam erkannt. Solange eine Firma eine einzelne "initiale" Kontakt-Mail sendet, ignoriere und lösche ich die Mail. Es gibt aber auch negative Ausnahmen die nicht nur einmal nachfragen sondern immer wieder sich auf ihre erste Mail berufen. Ein Verhalten, was aus meiner Sicht höchst unseriös ist. Hier mal wieder ein Negativbeispiel für meinen Pranger.

Die erste Mail

Die erste Mail kam ab 27. April.

Anscheinend hat wieder mal ein Harvester sich die Mailadresse den MSXFAQ eingesammelt und stumpf angeschrieben. Das Geschäftsmodell ist wie bei vielen Startups der gleiche: Sie bieten mir etwas kostenfrei an um im Gegenzug einen Link von der MSXFAQ auf ihre Seite zu erhalten. Klassische SEO-Strategie, um die eigene Seite im Suchindex zu pushen. Ich habe die Mail in Spam einsortiert und auf sich bewenden lassen.

Die weiteren Mails

Mit der Hartnäckigkeit des Absenders hatte ich aber nicht gerechnet. Er hat gleich drei weitere Mails in kurzem Abstand:

  • 29. April
    Die erste Rückfrage kam zwei Tage später mit nur wenig unverändertem Text
  • 4. Mai
    Nun hat sich der Absender ein paar Tage mehr mehr zeit gelassen
  • 6. Mai
    Aber die vierte Mail kam dann wieder mit zwei Tagen Abstand

Geantwortet habe ich auf die Mail nicht aber werde mal weiter beobachten, wie hartnäckig diese Firma ist. Ich gehe mal davon aus, dass der Versand automatisch erfolgt, auch wenn die Lohnkosten beim Absender vermutlich niedriger sind.

SMTP-Header

Ein Blick in die Header verrät, dass die Mail von der IP-Adresse 62.149.10.5 eingeliefert wurde. Als X-Mailer kommt ein "Zimbra 8.8.10_GA_3801" zum Einsatz, der anscheinend über einen "ZimbraWebClient - GC81 (Win)" die Mail angenommen hat. Sollte da wirklich eine Person manuell eine Mail schreiben und sich auf Wiedervorlage legen

Return-Path: <taras.haponiuk@jooble.com>
Received: from mail.jooble.com ([62.149.10.5]) by mx.emig.kundenserver.de
 (mxeue011 [212.227.15.40]) with ESMTPS (Nemesis) id 1MlOI9-1irlcb1yJh-00ldCM
 for <imqressum@msxfaq.de>; Wed, 06 May 2020 12:34:08 +0200
Received: from localhost (localhost [127.0.0.1])
	by mail.jooble.com (Postfix) with ESMTP id DBFE51DA1670
	for <imqressum@msxfaq.de>; Wed,  6 May 2020 13:34:07 +0300 (EEST)
Received: from mail.jooble.com ([127.0.0.1])
	by localhost (mail.jooble.com [127.0.0.1]) (amavisd-new, port 10032)
	with ESMTP id h3dBgV8uJWSK for <imqressum@msxfaq.de>;
	Wed,  6 May 2020 13:34:07 +0300 (EEST)
Received: from localhost (localhost [127.0.0.1])
	by mail.jooble.com (Postfix) with ESMTP id BD2501DA166F
	for <imqressum@msxfaq.de>; Wed,  6 May 2020 13:34:06 +0300 (EEST)
DKIM-Filter: OpenDKIM Filter v2.10.3 mail.jooble.com BD2501DA166F
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=jooble.com; s=mail2;
	t=1588761246; bh=bejcJzKKNYzzXRx3WE/1HD02GA603AUz9dr1OeT24Aw=;
	h=Date:From:To:Message-ID:MIME-Version;
	b=xxxx==
X-Virus-Scanned: amavisd-new at jooble.com
Received: from mail.jooble.com ([127.0.0.1])
	by localhost (mail.jooble.com [127.0.0.1]) (amavisd-new, port 10026)
	with ESMTP id RwZ9t1i1FAdG for <imqressum@msxfaq.de>;
	Wed,  6 May 2020 13:34:06 +0300 (EEST)
Received: from mail.jooble.com (mail.jooble.com [62.149.10.5])
	by mail.jooble.com (Postfix) with ESMTP id 96B9C1DA1670
	for <imqressum@msxfaq.de>; Wed,  6 May 2020 13:34:06 +0300 (EEST)
Date: Wed, 6 May 2020 13:34:06 +0300 (EEST)
From: Taras Haponiuk <taras.haponiuk@jooble.com>
To: impressum <imqressum@msxfaq.de>
Message-ID: <1753232423.9044281.1588761246554.JavaMail.zimbra@jooble.com>
In-Reply-To: <29982625.4543412.1588580216492.JavaMail.zimbra@jooble.com>
References: <1424723646.117936428.1587993792127.JavaMail.zimbra@jooble.com> <1500555137.126353900.1588151229992.JavaMail.zimbra@jooble.com> <29982625.4543412.1588580216492.JavaMail.zimbra@jooble.com>
Subject: Re: Jooble mit msxfaq.de
MIME-Version: 1.0
X-Mailer: Zimbra 8.8.10_GA_3801 (ZimbraWebClient - GC81 (Win)/8.8.10_GA_3786)

Bei eine Zugriff auf https://62.149.10.5/ hat sich sogar ein Webserver mit einem Zertifikate für "mail.jooble.com" gemeldet, der eine Anmeldemaske auf einen Zimbra-Server bereit stellt. Man könnte ja ein paar Kennworte des Absenders erraten. Aber wenn der Betreiber z.B. https://wiki.zimbra.com/wiki/Zmauditswatch eingerichtet hat, sollte das eh ins Leere laufen und legal wäre es auch nicht

Analyse zur Domain

Ich habe ja nur die Domain "jooble.org" und zuerst frage ich mich natürlich, warum eine "ORG"-Domain an eine kommerzielle Firma vergeben wird. Zumindest anfänglich war das mal so:

Sie gehört zu den ursprünglichen Top-Level-Domains, die am 1. Januar 1985 erstellt wurden, und war damals für nichtkommerzielle Organisationen bestimmt, die nicht in eine der anderen generischen Top-Level-Domains fielen
...
Da keine besonderen Beschränkungen für die Vergabe existieren, kann jede natürliche oder juristische Person eine .org-Domain registrieren
Quelle. Wikipedia .org https://de.wikipedia.org/wiki/.org

Insofern ist ".org" nicht besser als jede andere TopLevel-Domain.

Es ist gar nicht so einfach, auf der Webseite von jooble.org eine Kontaktadresse zu finden. Es gibt auch wieder nur ein Web-Formular aber kein klassisches Impressum. Aber auf der Seite "TERMS OF SERVICE" auf https://jooble.org/info/terms finden sich zumindest zwei Firmennamen:

Ich habe nicht weiter analysiert, wie die beiden Firmen miteinander verbunden sind. Zypern dürfte als Finanzstandort gewählt worden sein während in der Ukraine vermutlich die Programmierung der Dienste erfolgt. Über eine WhoIs-Abfrage sehen Sie aber auch, dass die Domäne über GoDaddy durch eine weitere Firma in einem weiteren Inselstaat registriert wurde.

Diese Firma sitzt auf den "Britischen Jungferninseln". So abgelegen wird man sicher keinen Server aufstellen sondern hat auch steuerliche oder strafrechtliche Gründe dafür.

vg ist die länderspezifische Top-Level-Domain (ccTLD) der Britischen Jungferninseln.
Quelle https://de.wikipedia.org/wiki/.vg

Alles in allem festigt das meine Ansicht, dass man mit der Firma besser gar keine Beziehung aufnimmt.

DNS und IP-Adressen

Ich habe natürlich noch weiter geschaut, wo die DNS-Server stehen und welche IP-Adressen genutzt werden. Ich bin einfach neugierig, wer für so eine Firma die Server bereitstellt.

C:\>nslookup -q=ns jooble.org
jooble.org      nameserver = ns1.jooble.org  79.143.178.119
jooble.org      nameserver = ns2.jooble.org  162.251.108.103
jooble.org      nameserver = ns3.jooble.org  5.187.4.222
jooble.org      nameserver = ns4.jooble.org  88.208.61.133

Die Webseiten liefen aber woanders: (Stand 6. Mai 2020)

Name IP-Adressen BGP Provider

de.jooble.org

88.208.45.105
88.208.45.104

AS39572 : 88.208.0.0/18

DataWeb Global Group B.V., Niederlande
https://datawebglobal.com/en/
Content Delivery Service (CDN)

www.jooble.org

162.254.190.58
162.254.190.59

AS32338 : 162.254.188.0/22

Hostiserver Ltd, USA
https://www.hostiserver.com/
https://www.ip-tracker.org/locator/ip-lookup.php?ip=Jooble.org
Ein klassischer WebHoster

Office 365

Da der Absender einen eigenen Zimbra-Server betreibt und die Webseiten auch auf klassische Hoster verteilt sind, hat es mich auch nicht irritiert, dass die Domain jooble.org nicht mit Office 365 registriert ist. Es gibt nicht mal einen Office 365 Tenant mit dem Namen "jooble.onmicrosoft.com".

Und noch ein weiterer Versuch

Ich war grade mit der Seite fast fertig, als am 6. Mai eine Mail von der gleichen Domain im nächsten Firmenbostfach und gleich an mehrere Empfänger eingetrudelt ist. Es hat den Anschein, dass die liebe Firma Jooble per Webseiten-Scanning nach Mailadressen sucht und in dem Fall die Mailadressen einer Domain in eine Mail zusammengefasst hat.

Wie sich diese Verhalten wohl auf Domains wir GMX, Web.de, Outlook.com, Hotmail u.a. auswirkt?. Wie nicht anders zu erwarten, am am 8. Mai die nächste Mail.

Ich bin sicher, dass es nicht die letzte Mail gewesen sein wird.

Tipp:
Wenn Sie eine Webseite betreiben, dann könnten Sie ja ein paar "ungültige" Adressen addieren, die ihr Spamfilter als Honeypot verwendet.

Weitere Links