{"id":309406,"date":"2025-03-14T13:23:42","date_gmt":"2025-03-14T12:23:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=309406"},"modified":"2025-03-15T06:57:51","modified_gmt":"2025-03-15T05:57:51","slug":"kurzinfo-spam-angeblich-von-borncity-com","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/03\/14\/kurzinfo-spam-angeblich-von-borncity-com\/","title":{"rendered":"Kurzinfo: Spam, angeblich von borncity.com – Missbrauch von IP 95.211.93.115"},"content":{"rendered":"

\"StopKurzer Hinweis an IT-Mitarbeiter und Administratoren unter der Leserschaft. Gerade bin ich von einer Stelle dar\u00fcber informiert worden, dass von borncity.com<\/em> \"SPAM versendet wird\" – und es wurde ein Problem vermutet. Ich bin noch am Recherchieren, gehe aber davon aus, dass die Absender-Adressen der SPAM-Mails fake sind. Hier einige Informationen, was ich bisher wei\u00df. Erg\u00e4nzung:<\/strong> Es ist inzwischen klar, dass eine SPAM-Welle mit unterschiedlichen Absenderadressen von der IP 95.211.93.115 in den Niederlanden ausgeht.<\/p>\n

<\/p>\n

Mitteilung \u00fcber SPAM-Mails<\/h2>\n

\"\"Es war eine kurze Mitteilung mit dem Betreff \"Spam von borncity.com\" der IT im Umfeld der Kreishandwerkerschaft Steinfurt Warendorf. Der IT ist bei der Kontrolle der von der Firewall ausgefilterten Mails aufgefallen, dass SPAM-Nachrichten von der Domain\u00a0 borncity.com<\/em> drunter waren.<\/p>\n

\"SPAM-Mail-Adressen\"<\/p>\n

Hierbei handelt es sich um Absenderadressen der Art kauflandxy[@]borncity.com<\/em>, wobei x und y in obigem Muster durch beliebige Buchstaben ersetzt werden. Ich stelle die Info hier mal im Blog ein, falls wer die SPAM-Nachrichten ebenfalls bekommt.<\/p>\n

Ist borncity.com der Ursprung?<\/h2>\n

Ich bin da aktuell noch dran, aber ich betreibe unter borncity.com keinen Mail-Server, sondern nur die WordPress-Blogs. Die Blogs werden zyklisch durchgescannt, der letzte Check auf Probleme verlief ergebnislos.<\/p>\n

Ich gehe aktuell davon aus, dass die Absenderadressen schlicht Fake sind, habe mir aber mal die E-Mail-Header der SPAM-Mails von der IT-Abteilung der Einrichtung zur weiteren Analyse angefordert. Erg\u00e4nzung:<\/strong> Der Header entspricht dem, was nachfolgend von anderen Lesern bzgl. blaustudio.de an Informationen hier in den Kommentaren eingestellt wurde.<\/p>\n

Weitere Informationen<\/h2>\n

Wie ich den nachfolgenden Kommentaren entnehmen konnte, scheint die SPAM-Welle wohl von der IP 95.211.93.115 auszugehen, die nach dieser Seite<\/a> wohl von LeaseWeb Netherlands B.V. ASN. in Amsterdam in den Niederlanden gehostet wird.<\/p>\n

Ein Leser hat dann die Auswertung des Headers von einer anderen SPAM-Mail mit gleichem Inhalt in den nachfolgenden Kommentaren eingestellt. Im header-from findet sich folgendes:<\/p>\n

From:\u00a0kauflandlw@blaustudio.de\r\nHeader-From:\u00a0verkauf@qidinin.com\r\nMessage-ID:\u00a0e65499511696a43594ada9e0f7dfdcc4@beatdom.com\r\nServer IP: 95.211.93.115\r\nHELO: rye.free-eyepro.com<\/pre>\n
Es ist schon zu erkennen, dass die Angaben nicht passen, sondern im From-Feld eine beliebige Domain mit einem Alias zu einer Mail-Adresse kombiniert wird. Ein weiterer Leser hat noch den folgenden Auszug Auszug vom Gateway bereitgestellt.<\/p>\n
FORGED_SENDER (0.3) [verkauf@qidinin.com,kauflandpg@borncity.com]\r\nFROM_NEQ_ENVFROM (0) [verkauf@qidinin.com,kauflandpg@borncity.com]\r\nDMARC_POLICY_ALLOW (0) [qidinin.com,none]\r\nR_DKIM_ALLOW (0) [qidinin.com:s=mta]\r\nDKIM_TRACE (0) [qidinin.com:+]<\/pre>\n
Auch hier wird die SPF-\/DMARC-Policy nicht von borncity.com getriggert. Ich hatte diese Eintr\u00e4ge auf den all-inkl.com Standardvorgaben belassen, da ich keinen Mail-Server dort betreibe. Daher hab ich jetzt die DNS-Records f\u00fcr SPF und DMARC gem\u00e4\u00df diversen Leser-Empfehlungen modifiziert. Auf dieser Webseite<\/a> gibt es bereits zahlreiche Abuse-Reports zur betreffenden IP-Adresse.<\/p>\n","protected":false},"excerpt":{"rendered":"
Kurzer Hinweis an IT-Mitarbeiter und Administratoren unter der Leserschaft. Gerade bin ich von einer Stelle dar\u00fcber informiert worden, dass von borncity.com \"SPAM versendet wird\" – und es wurde ein Problem vermutet. Ich bin noch am Recherchieren, gehe aber davon aus, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[4353,4328,425],"class_list":["post-309406","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-mail","tag-sicherheit","tag-spam"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/309406","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=309406"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/309406\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=309406"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=309406"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=309406"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}