Jooble Spam
Nicht jede Werbemail wird von Spamfiltern als Spam erkannt. Solange eine Firma eine einzelne "initiale" Kontakt-Mail sendet, ignoriere und lösche ich die Mail. Es gibt aber auch negative Ausnahmen die nicht nur einmal nachfragen sondern immer wieder sich auf ihre erste Mail berufen. Ein Verhalten, was aus meiner Sicht höchst unseriös ist. Hier mal wieder ein Negativbeispiel für meinen Pranger.
Die erste Mail
Die erste Mail kam ab 27. April.
Anscheinend hat wieder mal ein Harvester sich die Mailadresse den MSXFAQ eingesammelt und stumpf angeschrieben. Das Geschäftsmodell ist wie bei vielen Startups der gleiche: Sie bieten mir etwas kostenfrei an um im Gegenzug einen Link von der MSXFAQ auf ihre Seite zu erhalten. Klassische SEO-Strategie, um die eigene Seite im Suchindex zu pushen. Ich habe die Mail in Spam einsortiert und auf sich bewenden lassen.
Die weiteren Mails
Mit der Hartnäckigkeit des Absenders hatte ich aber nicht gerechnet. Er hat gleich drei weitere Mails in kurzem Abstand:
- 29. April
Die erste Rückfrage kam zwei Tage später mit nur wenig unverändertem Text - 4. Mai
Nun hat sich der Absender ein paar Tage mehr mehr zeit gelassen - 6. Mai
Aber die vierte Mail kam dann wieder mit zwei Tagen Abstand
Geantwortet habe ich auf die Mail nicht aber werde mal weiter beobachten, wie hartnäckig diese Firma ist. Ich gehe mal davon aus, dass der Versand automatisch erfolgt, auch wenn die Lohnkosten beim Absender vermutlich niedriger sind.
SMTP-Header
Ein Blick in die Header verrät, dass die Mail von der IP-Adresse 62.149.10.5 eingeliefert wurde. Als X-Mailer kommt ein "Zimbra 8.8.10_GA_3801" zum Einsatz, der anscheinend über einen "ZimbraWebClient - GC81 (Win)" die Mail angenommen hat. Sollte da wirklich eine Person manuell eine Mail schreiben und sich auf Wiedervorlage legen
Return-Path: <taras.haponiuk@jooble.com> Received: from mail.jooble.com ([62.149.10.5]) by mx.emig.kundenserver.de (mxeue011 [212.227.15.40]) with ESMTPS (Nemesis) id 1MlOI9-1irlcb1yJh-00ldCM for <imqressum@msxfaq.de>; Wed, 06 May 2020 12:34:08 +0200 Received: from localhost (localhost [127.0.0.1]) by mail.jooble.com (Postfix) with ESMTP id DBFE51DA1670 for <imqressum@msxfaq.de>; Wed, 6 May 2020 13:34:07 +0300 (EEST) Received: from mail.jooble.com ([127.0.0.1]) by localhost (mail.jooble.com [127.0.0.1]) (amavisd-new, port 10032) with ESMTP id h3dBgV8uJWSK for <imqressum@msxfaq.de>; Wed, 6 May 2020 13:34:07 +0300 (EEST) Received: from localhost (localhost [127.0.0.1]) by mail.jooble.com (Postfix) with ESMTP id BD2501DA166F for <imqressum@msxfaq.de>; Wed, 6 May 2020 13:34:06 +0300 (EEST) DKIM-Filter: OpenDKIM Filter v2.10.3 mail.jooble.com BD2501DA166F DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=jooble.com; s=mail2; t=1588761246; bh=bejcJzKKNYzzXRx3WE/1HD02GA603AUz9dr1OeT24Aw=; h=Date:From:To:Message-ID:MIME-Version; b=xxxx== X-Virus-Scanned: amavisd-new at jooble.com Received: from mail.jooble.com ([127.0.0.1]) by localhost (mail.jooble.com [127.0.0.1]) (amavisd-new, port 10026) with ESMTP id RwZ9t1i1FAdG for <imqressum@msxfaq.de>; Wed, 6 May 2020 13:34:06 +0300 (EEST) Received: from mail.jooble.com (mail.jooble.com [62.149.10.5]) by mail.jooble.com (Postfix) with ESMTP id 96B9C1DA1670 for <imqressum@msxfaq.de>; Wed, 6 May 2020 13:34:06 +0300 (EEST) Date: Wed, 6 May 2020 13:34:06 +0300 (EEST) From: Taras Haponiuk <taras.haponiuk@jooble.com> To: impressum <imqressum@msxfaq.de> Message-ID: <1753232423.9044281.1588761246554.JavaMail.zimbra@jooble.com> In-Reply-To: <29982625.4543412.1588580216492.JavaMail.zimbra@jooble.com> References: <1424723646.117936428.1587993792127.JavaMail.zimbra@jooble.com> <1500555137.126353900.1588151229992.JavaMail.zimbra@jooble.com> <29982625.4543412.1588580216492.JavaMail.zimbra@jooble.com> Subject: Re: Jooble mit msxfaq.de MIME-Version: 1.0 X-Mailer: Zimbra 8.8.10_GA_3801 (ZimbraWebClient - GC81 (Win)/8.8.10_GA_3786)
Bei eine Zugriff auf https://62.149.10.5/ hat sich sogar ein Webserver mit einem Zertifikate für "mail.jooble.com" gemeldet, der eine Anmeldemaske auf einen Zimbra-Server bereit stellt. Man könnte ja ein paar Kennworte des Absenders erraten. Aber wenn der Betreiber z.B. https://wiki.zimbra.com/wiki/Zmauditswatch eingerichtet hat, sollte das eh ins Leere laufen und legal wäre es auch nicht
Analyse zur Domain
Ich habe ja nur die Domain "jooble.org" und zuerst frage ich mich natürlich, warum eine "ORG"-Domain an eine kommerzielle Firma vergeben wird. Zumindest anfänglich war das mal so:
Sie gehört zu den ursprünglichen Top-Level-Domains, die am 1.
Januar 1985 erstellt
wurden, und war damals für nichtkommerzielle Organisationen bestimmt, die nicht
in eine der anderen generischen Top-Level-Domains fielen
...
Da keine besonderen Beschränkungen für die Vergabe existieren, kann jede
natürliche oder juristische Person eine .org-Domain registrieren
Quelle. Wikipedia .org
https://de.wikipedia.org/wiki/.org
Insofern ist ".org" nicht besser als jede andere TopLevel-Domain.
Es ist gar nicht so einfach, auf der Webseite von jooble.org eine Kontaktadresse zu finden. Es gibt auch wieder nur ein Web-Formular aber kein klassisches Impressum. Aber auf der Seite "TERMS OF SERVICE" auf https://jooble.org/info/terms finden sich zumindest zwei Firmennamen:
Ich habe nicht weiter analysiert, wie die beiden Firmen miteinander verbunden sind. Zypern dürfte als Finanzstandort gewählt worden sein während in der Ukraine vermutlich die Programmierung der Dienste erfolgt. Über eine WhoIs-Abfrage sehen Sie aber auch, dass die Domäne über GoDaddy durch eine weitere Firma in einem weiteren Inselstaat registriert wurde.
Diese Firma sitzt auf den "Britischen Jungferninseln". So abgelegen wird man sicher keinen Server aufstellen sondern hat auch steuerliche oder strafrechtliche Gründe dafür.
vg ist die länderspezifische Top-Level-Domain (ccTLD) der
Britischen Jungferninseln.
Quelle
https://de.wikipedia.org/wiki/.vg
Alles in allem festigt das meine Ansicht, dass man mit der Firma besser gar keine Beziehung aufnimmt.
DNS und IP-Adressen
Ich habe natürlich noch weiter geschaut, wo die DNS-Server stehen und welche IP-Adressen genutzt werden. Ich bin einfach neugierig, wer für so eine Firma die Server bereitstellt.
C:\>nslookup -q=ns jooble.org jooble.org nameserver = ns1.jooble.org 79.143.178.119 jooble.org nameserver = ns2.jooble.org 162.251.108.103 jooble.org nameserver = ns3.jooble.org 5.187.4.222 jooble.org nameserver = ns4.jooble.org 88.208.61.133
Die Webseiten liefen aber woanders: (Stand 6. Mai 2020)
Name | IP-Adressen | BGP | Provider |
---|---|---|---|
de.jooble.org |
88.208.45.105 |
AS39572 : 88.208.0.0/18 |
DataWeb Global Group B.V., Niederlande |
www.jooble.org |
162.254.190.58 |
AS32338 : 162.254.188.0/22 |
Hostiserver Ltd, USA |
Office 365
Da der Absender einen eigenen Zimbra-Server betreibt und die Webseiten auch auf klassische Hoster verteilt sind, hat es mich auch nicht irritiert, dass die Domain jooble.org nicht mit Office 365 registriert ist. Es gibt nicht mal einen Office 365 Tenant mit dem Namen "jooble.onmicrosoft.com".
Und noch ein weiterer Versuch
Ich war grade mit der Seite fast fertig, als am 6. Mai eine Mail von der gleichen Domain im nächsten Firmenbostfach und gleich an mehrere Empfänger eingetrudelt ist. Es hat den Anschein, dass die liebe Firma Jooble per Webseiten-Scanning nach Mailadressen sucht und in dem Fall die Mailadressen einer Domain in eine Mail zusammengefasst hat.
Wie sich diese Verhalten wohl auf Domains wir GMX, Web.de, Outlook.com, Hotmail u.a. auswirkt?. Wie nicht anders zu erwarten, am am 8. Mai die nächste Mail.
Ich bin sicher, dass es nicht die letzte Mail gewesen sein wird.
Tipp:
Wenn Sie eine Webseite betreiben, dann könnten Sie ja ein
paar "ungültige" Adressen addieren, die ihr Spamfilter als
Honeypot verwendet.