SPAM Mail wirkt sehr authentisch

[lyn2k9]

Liebes Forum,

ich habe heute eine SPAM Mail bekommen die sehr authentisch wirkt. Was mich am meisten daran stört, ist, dass mein RICHTIGER VOR und NACHNAME in der Mail stehen!

Ich habe Sie euch mal als Quelltext angehangen. Hat jemand vielleicht ähnliche Mails bekommen?

Die Mail kommt von "server1.rock-spot.de" (Server4you bzw. Hetzner laut WHOIS)

Ich habe sicherlich keinen Post Account. Woher haben die meinen Vor und Nachnamen?

Return-Path: <kunden@meinpaket.de>
Delivered-To: MEINE EMAIL (eigene DOMAIN)
Received: from localhost (localhost [127.0.0.1])
	by MEINE_DOMAIN (Postfix) with ESMTP id 979388083F
	for <MEINE EMAIL>; Wed, 18 Jul 2012 14:49:27 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at sonnensystem.MEINE_DOMAIN
X-Spam-Flag: NO
X-Spam-Score: 0.001
X-Spam-Level: 
X-Spam-Status: No, score=0.001 required=5 tests=[HTML_MESSAGE=0.001]
	autolearn=ham
Received: from MEINE_DOMAIN ([127.0.0.1])
	by localhost (sonnensystem.MEINE_DOMAIN [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id LhscKyzlkxck for <MEINE_EMAIL>;
	Wed, 18 Jul 2012 14:49:06 +0200 (CEST)
Received: from server1.rock-spot.de (static.139.77.46.78.clients.your-server.de [78.46.77.139])
	by MEINE_DOMAIN (Postfix) with ESMTPS id 8F33C80646
	for <MEINE_EMAIL>; Wed, 18 Jul 2012 14:49:06 +0200 (CEST)
Received: from puck296 (puck296.server4you.de [85.25.246.10])
	(Authenticated sender: web33_info)
	by server1.rock-spot.de (Postfix) with ESMTPA id E6B6A15D8641
	for <MEINE_EMAIL>; Wed, 18 Jul 2012 14:47:30 +0200 (CEST)
From: "PACKSTATION" <kunden@meinpaket.de>
Subject: Wichtige Erneuerung, MEIN NACHNAME MEIN VORNAME
To: MEINE_EMAIL
Content-Type: multipart/alternative; boundary="2T7jQHL8VwOq0kfJMZB8=_YHymn6GJ9qOD"
MIME-Version: 1.0
Reply-To: kunden@meinpaket.de
Date: Wed, 18 Jul 2012 14:46:36 +0200
Priority: urgent
X-Priority: 1
Message-Id: <20120718144635915FE07A41$847FA47F34@PUCK>

This is a multi-part message in MIME format

--2T7jQHL8VwOq0kfJMZB8=_YHymn6GJ9qOD
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


Sehr geehrte/r DHL Kunde MEIN VORNAME MEIN NACHNAME,

sicher haben Sie nach der Ank=FCndigung in unserem Newsletter zur Kenn=
tnis genommen, dass ein Paketempfang an einer von deutschlandweit =FCb=
er 3.000 PACKSTATIONEN nur noch mit Ihrer DHL-GOLDCARD erfolgen kann.
Wir haben uns im selben Zuge den W=FCnschen und Anregungen unserer Kun=
den angenommen und weitere Pr=E4ventionsma=DFnahmen zu Ihrer eigenen S=
icherheit umgesetzt.

Eines der Hauptanliegen war die Verifizierung mit einem privaten Siche=
rheitsschl=FCssel,
dieser wird bei Ihrem n=E4chsten Login automatisch erzeugt und in unse=
rem System gespeichert.
Dieser Sicherheitsschl=FCssel funktioniert =E4hnlich wie ein Fingerabd=
ruck, und sorgt nach einem Abgleich daf=FCr, dass f=FCr Unbekannte kei=
ne M=F6glichkeit besteht, sich in Ihren Account einzuloggen.

Bitte beachten Sie, dass wir alle PACKSTATION-Kunden, die bis zum 18.0=
7.2012 diese Verifizierung nicht durchgef=FChrt haben, vor=FCbergehend=
 sperren m=FCssen.

Hier gelangen Sie zur schnellen Online-Verifizierung:

www.packstation.de/dhl/kunden/sicherheit/?id=3Dzsd7g392l3985nhB http:/=
/ps24.name/eu/de/

Mit freundlichen Gr=FC=DFen=20

Deutsche Post Customer Service Center GmbH=20
Morellstr. 33
86159 Augsburg
Deutschland=20

+++++++++++++++++++++++++++++++++++++++++++++++

Deutsche Post Customer Service Center GmbH; Sitz Monheim am Rhein; Amt=
sgericht D=FCsseldorf; HRB 50207

Gesch=E4ftsf=FChrung: Jens Reichenbach, Falk-Henning Arndt, Herbert Ot=
to

Dies ist eine Nachricht der Deutsche Post Customer Service Center GmbH=
 und kann vertrauliche, firmeninterne Informationen enthalten. Sie ist=
 ausschlie=DFlich f=FCr die oben adressierten Empf=E4nger (MEINE_EMAIL) bestimmt. Sind Sie nicht der beabsichtigte Empf=E4nger, bitten =
wir Sie, den Sender zu informieren und die Nachricht sowie deren Anh=E4=
nge zu l=F6schen. Unzul=E4ssige Ver=F6ffentlichungen, Verwendungen, Ve=
rbreitung, Weiterleitung sowie das Drucken oder Kopieren dieser Mail u=
nd ihrer verkn=FCpften Anh=E4nge sind strikt untersagt.

--2T7jQHL8VwOq0kfJMZB8=_YHymn6GJ9qOD
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <html><=
head>
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Diso-=
8859-1">
  <META name=3DGenerator content=3D6.10> <title>Wichtige Erneuerung, F=
risch Florian</title>
 </head>
 <body bgColor=3D#ffffff> <P>Sehr geehrte/r DHL Kunde MEIN VORNAME MEIN NACHNAME,<=
/p><p>sicher haben Sie nach der Ank=FCndigung in unserem Newsletter zu=
r Kenntnis genommen, dass ein Paketempfang an einer von deutschlandwei=
t =FCber&nbsp;3.000 PACKSTATIONEN nur noch mit Ihrer DHL-GOLDCARD erfo=
lgen kann.<BR>Wir haben uns im selben Zuge den W=FCnschen und Anregung=
en&nbsp;unserer Kunden angenommen und weitere Pr=E4ventionsma=DFnahmen=
 zu Ihrer eigenen Sicherheit umgesetzt.</p><p>Eines der Hauptanliegen =
war die Verifizierung mit einem privaten Sicherheitsschl=FCssel,<BR>di=
eser wird bei Ihrem n=E4chsten Login automatisch erzeugt und in unsere=
m System gespeichert.<BR>Dieser Sicherheitsschl=FCssel funktioniert =E4=
hnlich wie ein Fingerabdruck, und sorgt nach einem Abgleich daf=FCr, d=
ass f=FCr Unbekannte keine M=F6glichkeit besteht, sich in Ihren Accoun=
t einzuloggen.</p><p><STRONG>Bitte beachten Sie, dass wir alle PACKSTA=
TION-Kunden, die bis zum 18.07.2012 diese Verifizierung nicht durchgef=
=FChrt haben, vor=FCbergehend sperren m=FCssen.</STRONG></p><p>Hier ge=
langen Sie zur schnellen&nbsp;Online-Verifizierung:<BR><A href=3D"http=
://ps24.name/eu/de/">www.packstation.de/dhl/kunden/sicherheit/?id=3Dzs=
d7g392l3985nhB</A></p><p>&nbsp;</p><p>Mit freundlichen Gr=FC=DFen </p>=
<p>Deutsche Post Customer Service Center GmbH <BR>Morellstr. 33<BR>861=
59 Augsburg<BR>Deutschland </p><p>&nbsp;</p><p><BR><FONT size=3D2>++++=
+++++++++++++++++++++++++++++++++++++++++++</FONT></p><p><BR><FONT siz=
e=3D2>Deutsche Post Customer Service Center GmbH; Sitz Monheim am Rhei=
n; Amtsgericht D=FCsseldorf; HRB 50207</FONT></p><p><FONT size=3D2>Ges=
ch=E4ftsf=FChrung: Jens Reichenbach, Falk-Henning Arndt, Herbert Otto<=
/FONT></p><p><FONT size=3D2>Dies ist eine Nachricht der Deutsche Post =
Customer Service Center GmbH und kann vertrauliche, firmeninterne Info=
rmationen enthalten. Sie ist ausschlie=DFlich f=FCr die oben adressier=
ten Empf=E4nger (MEINE EMAIL)&nbsp;bestimmt. Sind Sie nicht der b=
eabsichtigte Empf=E4nger, bitten wir Sie, den Sender zu informieren un=
d die Nachricht sowie deren Anh=E4nge zu l=F6schen. Unzul=E4ssige Ver=F6=
ffentlichungen, Verwendungen, Verbreitung, Weiterleitung sowie das Dru=
cken oder Kopieren dieser Mail und ihrer verkn=FCpften Anh=E4nge sind =
strikt untersagt.</FONT></P></body>
 </html>

--2T7jQHL8VwOq0kfJMZB8=_YHymn6GJ9qOD--

EDIT: Anhang von der SPAM aus meinem Mailprogramm

 

[Marentis]

Die Daten können von sonst irgendwo her kommen. Viele Websites wurden in den vergangenen Jahren gehackt und irgendwo war man dann halt mal mit Vor- und Nachnamen angemeldet. Dazu ist dort dann natürlich auch die Emailadresse hinterlegt und voilà: es passt alles zusammen.

 

[Lord Gurke]

Bei einem Gewinnspiel mitgemacht?

Nachtrag: Die URL aus der Reintext-Version sieht fast so aus, als würden die eine XSS-Lücke auf der DHL-Seite ausnutzen - das ist schon etwas professioneller...!

 

[Joe User]

Bei den Unmengen an per Hacks erbeuteten Daten der letzten fünf Jahre, wird eventuell irgendwo Dein Name plus eMailadresse dabei gewesen sein. Oder irgendwo im Netz stehen Dein Name und Deine eMailadresse öffentlich einsehbar (Facebook?), oder Deine Daten wurden irgendwo verkauft, oder es ist schlicht Zufall.

 

[lyn2k9]

unter FB habe ich eine andere Email Adresse angegeben bzw auch nicht meinen richtigen Namen (*nicht petzen*)

Eben kam schon wieder eine Mail. Diesmal aber als Paypal verkleidet

Der Weg der Mail:

Received: from MEINE_DOMAIN ([127.0.0.1])
	by localhost (sonnensystem.MEINE_DOMAIN [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id uPccZ8+2P-+g for <MEINE_EMAIL>;
	Wed, 18 Jul 2012 18:00:29 +0200 (CEST)
Received: from wp201.webpack.hosteurope.de (wp201.webpack.hosteurope.de [80.237.132.208])
	by MEINE_DOMAIN (Postfix) with ESMTP id 8782B80646
	for <MEINE_EMAIL>; Wed, 18 Jul 2012 18:00:29 +0200 (CEST)
Received: from ip-80-226-24-1.vodafone-net.de ([80.226.24.1] helo=MRV-VAIO); authenticated
	by wp201.webpack.hosteurope.de running ExIM with esmtpa
	id 1SrWFA-0001sm-2W; Wed, 18 Jul 2012 17:32:52 +0200

Ich habe eigentlich immer für jeden Anbieter wie Amazon, Ebay oder co eine Mail mit $Anbieter@meine_domain und die führt auf meine Hauptemail. Momentan geht der ganze Spam direkt an meine Hauptemail!

Die Kombination aus der Email-Adresse an die der Spam geht und meinem Namen gibt es meiner Meinung nach nur im Impressum von meiner Homepage. Diese ist aber in keine Suchmaschine eingetragen und auch nicht als Klartext-Mail abgebildet.

Bei Gewinnspielen habe ich sicherlich nicht teilgenommen!

 

[Joe User]

Also im Impressum der Website in Deiner Signatur steht zum Beispiel der Name und die eMail im Klartext ([at] und [dot] werden von Harvestern schon seit über zehn Jahren automatisch erkannt).

 

[lyn2k9]

Okay, dann werde ich die Mail mal als Bild einfügen.

Finde es aber trotzdem schon sehr komisch, dass deren Crawler die Seite finden!