Finde alte Freunde wieder – Stayfriends – INTERPUBLICATIONS LTD. Spam

… und täglich grüßt das Murmeltier, oder besser gesagt die INTERPUBLICATIONS LTD. Denn diese verschickt mal wieder eine ihrer zahlreichen Spammails und bewirbt dieses mal die Seite von stayfriends[.]de Dort heißt es “Kostenlos alte Schulfreunde finden, Klassenfotos ansehen und vieles mehr …” Hier kann man wohl alte Freunde aus dem Sandkasten oder der Schule von früher finden.

Komisch ist an der Url nur, wenn man sich da jeden Schritt und Weiterleitung einmal anschaut, dass das ganze über ein Affiliate Programm geht und durch den Spamversand der Seite/Firma von stayfriends[.]de dadurch ein wirtschaftlicher Schaden verursacht weil man hier widerrechtlich sich Provision verdient, die man ohne die Spammail wohl nicht erhalten hätte.

mail-server.space/lists/lt.php?tid=id-entfernt    (Link in der Mail)

online.adservicemedia.dk/cgi-bin/click.pl?bid=823029&media_id=60105

stayfriends.de/sfvc/inboundlinks/xxxxx?ABBZ=xxxx&AFBZ=xxxxx&ref=head

stayfriends.de?utm_campaign=15433&utm_medium=Mail&utm_source=adservice2

Wieder einmal geht der ganze Verkehr der Spammail über den Affiliatelink des Spamauftraggebers bei der Plattform von adservicemedia.dk wo anscheinend stayfriends[.]de ein Partnerprogramm betreibt.

Fazit:

Der Gedanke hinter stayfriends[.]de wo man alte Freunde und Schulkollegen von früher finden kann ist eine tolle Sache, aber über den Link des Spammers sollte man sich dort nicht anmelden damit dieser keine Einnahmen machen kann.

Die Mail kommt von Dein altes Klassenfoto – news@mail-server.space und beworben wird die Url mail-server.space/lists/lt.php?tid=id-entfernt -> stayfriends.de/id-entfernt
Die IP-Adresse lautet 81.169.239.209 und der ISP ist in Berlin zu finden. ( Strato AG )

Text und Bilder in der Spammail:

Mailheader der Spammail:

Return-path: <webmaster@mail-server.space>
Delivery-date: Mon, 02 Apr 2018 23:30:55 +0200
Received: from [195.4.92.24] (helo=mx14.freenet.de)
by mbox19.freenet.de with esmtpa (ID exim) (Exim 4.90_1 #2)
id 1ffg372V-0fgh07NV-BH
for nerv@mich.net; Mon, 02 Apr 2018 23:30:55 +0200
Received: from mailing.life ([81.169.239.209]:40969 helo=h2746904.stratoserver.net)
by mx14.freenet.de with esmtps (TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128) (port 25) (Exim 4.90_1 #2)
id 1f3fgV-00fgjZ-6J
for nerv@mich.net; Mon, 02 Apr 2018 23:30:55 +0200
Received: by h2746904.stratoserver.net (Postfix, from userid 10000)
id EBC899ABF4; Mon, 2 Apr 2018 23:30:54 +0200 (CEST)
To: nerv@mich.net
Subject: &#9989; Finde alte Freunde wieder!
X-PHP-Originating-Script: 10000:class.phpmailer.php
Received: from h2746904.stratoserver.net [81.169.239.209] by mail-server.space with HTTP; Mon, 02 Apr 2018 23:30:01 +0200
Date: Mon, 2 Apr 2018 23:30:54 +0200
From: Dein altes Klassenfoto <news@mail-server.space></news@mail-server.space>
Message-ID: <b3eafgc552013fha419c98964d22b4a1b90@mail-server.space>
X-Mailer: PHPMailer 5.2.22 (https://github.com/PHPMailer/PHPMailer)
X-phpList-version: 3.3.1
X-MessageID: 5
X-ListMember: nerv@mich.net
Precedence: bulk
Bounces-To: webmaster@mail-server.space
List-Help: <http://mail-server.space/lists/?p=preferences&uid=9a4dh584dej666013956e6751f78e78f5>
List-Unsubscribe: <http://mail-server.space/lists/?p=unsubscribe&uid=9a4hj84deb6660139hjj6751f78e78f5&jo=1>
List-Subscribe: <http://mail-server.space/lists/?p=subscribe>
List-Owner: <mailto:webmaster@mail-server.space>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”b1_b3ehjc5520136ahj9c98964d22b4a1b90″
X-Spam-Score: 0.0 (/)
X-Spam-Report: Action: soft reject
Symbol: HAS_LIST_UNSUB(-0.01)
Symbol: HTML_SHORT_LINK_IMG_1(2.00)
Symbol: URI_COUNT_ODD(1.00)
Symbol: FUZZY_PROB(5.00)
Symbol: FROM_HAS_DN(0.00)
Symbol: RCVD_COUNT_THREE(0.00)
Symbol: RCVD_TLS_LAST(0.00)
Symbol: NEURAL_SPAM(0.00)
Symbol: GREYLIST(0.00)
Symbol: R_DKIM_NA(0.00)
Symbol: RCPT_COUNT_ONE(0.00)
Symbol: SUBJECT_ENDS_EXCLAIM(0.00)
Symbol: MID_RHS_MATCH_FROM(0.00)
Symbol: MIME_GOOD(-0.10)
Symbol: HAS_PHPMAILER_SIG(0.00)
Symbol: HAS_X_POS(0.00)
Symbol: FROM_NEQ_ENVFROM(0.00)
Symbol: TO_MATCH_ENVRCPT_ALL(0.00)
Symbol: R_SPF_ALLOW(-0.20)
Symbol: IP_SCORE(2.77)
Symbol: DMARC_NA(0.00)
Symbol: ASN(0.00)
Symbol: PRECEDENCE_BULK(0.00)
Symbol: TO_DN_NONE(0.00)
Symbol: FORGED_SENDER(0.30)
Symbol: BAYES_SPAM(0.02)
Message: (SPF): spf allow
Message: Try again later
Message-ID: b3eachj0136a419c98964d22hj1b90@mail-server.space
Delivered-To: nerv@mich.net
Envelope-to: nerv@mich.net
X-Originated-At: 81.169.239.209!40969