Mails van en naar mezelf met getal in subject en body

Ik heb ook zo'n mail gekregen:

Return-Path: <ff mail weggehaald>
Received: from mx7.groni1.gr.home.nl ([213.51.130.145])
by mta3.groni1.gr.home.nl
(InterMail vM.6.01.04.03 201-2131-118-103-20050206) with ESMTP
id <20060606114623.XFLN6275.mta3.groni1.gr.home.nl@mx7.groni1.gr.home.nl>
for <ff mail weggehaald>; Tue, 6 Jun 2006 13:46:23 +0200
Received: from 60-248-106-4.hinet-ip.hinet.net ([60.248.106.4]:2722 helo=EVON610C-XP.org)
by mx7.groni1.gr.home.nl with smtp (Exim 4.30)
id 1Fna0p-0008OU-PB
for maartenklein@home.nl; Tue, 06 Jun 2006 13:46:20 +0200
Date: Tue, 06 Jun 2006 19:46:16 +0800
To: "Maartenklein" <ff mail weggehaald>
From: "Maartenklein" <ff mail weggehaald>
Subject: 57657
Message-ID: <yspqsmfdoaqwfeysinl@home.nl>
MIME-Version: 1.0
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-AtHome-MailScanner-Information: Neem contact op met support@home.nl voor meer informatie
X-AtHome-MailScanner: Found to be clean

[ Voor 11% gewijzigd door Verwijderd op 06-06-2006 18:11 ]

Vast weer een voorbode van iets groters... Ik krijg ze ook hier op werk en ik weet zo 123 (no punt intended) hoe ik dit makkelijk kan voorkomen...

Kreeg er net ook een paar, me zus ook. Blijkbaar een wijd verspreide email

Van http://isc.sans.org/

Published: 2006-06-06,
Last Updated: 2006-06-06 15:49:07 UTC by Swa Frantzen (Version: 2(click to highlight changes))

A new twist in spammer tactics is being reported, although we're not sure what their goal is at the moment.

Some of our readers report receiving messages apearing to originate from themselves, with only numbers as subject and body.

The body does apears to be HTML encoded, but it's so basic as to not pose a threat so far.

It would be a good idea to investigate if you can drop email that apears to be from your own organization while originating outside of it. If your users do not send such email (e.g. because they use a VPN to connect back to the inside while on the road), dropping that email might cut down on a few spams.

Some fun while on this subject - it's a Tuesday after a 3 day weekend in some countries - :
All relations to the SPAM luncheon meat product are purely accidental, even if it was inspired on a 1975 sketch from Monty Python. Most of us think spam started back in 1994 when two lawyers advertized their green card scam in each and every usenet newsgroup. Some digging around revealed much earlier attempts in 1978 on the precursor to the modern Internet. It just goes to show you're never around for too long to learn something new.

UPDATE

Some guesses as to what the cause of the spam might be have been received by now and I'd like to point out a few:

Today's date is the number of the beast, it might attract some old style hackers.
There is a possible link to Bagle seeding as it was done in the past and we might need to expect a new variant of it soon.

ff bookmarken, wij hebben er hier op 't werk ook last van

* Snake meld zich ook

From: Retula [<hierstondmnemail>]
Sent: dinsdag 6 juni 2006 12:40
To: Retula
Subject: 1545453

969

Hier ook gehad, maar om het niet helemaal loos te maken de complete source:

Return-Path: <greeted@mijndomein.nl>
X-Spam-Status: No, hits=4.8 required=5.0
tests=HTML_80_90: 0.027,HTML_MESSAGE: 0.001,HTML_SHORT_LENGTH: 0.601,
MIME_HTML_ONLY: 1.204,MSGID_SPAM_LETTERS: 2.96
X-Spam-Level: ****
Return-Path: <greeted@mijndomein.nl>
Received: from store-20.mail.nl.demon.net by mailstore for greeted@mijndomein.nl
id 1FndgE-0007gB-1d-0007gD; Tue, 06 Jun 2006 15:41:18 +0000
Received: from [194.159.73.165] (port=64314 helo=incoming-25.mail.nl.demon.net)
by store-20.mail.nl.demon.net with esmtp (Exim 4.43)
id 1FndgE-0007gB-1d
for greeted@mijndomein.nl; Tue, 06 Jun 2006 15:41:18 +0000
Received: from dsl-201-133-115-251.prod-infinitum.com.mx ([201.133.115.251]:3574 helo=SECRETARIA.net)
by incoming-25.mail.nl.demon.net with smtp (Exim 4.51)
id 1FndgE-0007d1-7H
for greeted@mijndomein.nl; Tue, 06 Jun 2006 15:41:18 +0000
Date: Tue, 06 Jun 2006 10:41:10 -0600
To: "Greeted" <greeted@mijndomein.nl>
From: "Greeted" <greeted@mijndomein.nl>
Subject: 57657
Message-ID: <gzjbmgwqfroutawrjhx@mijndomein.nl>
MIME-Version: 1.0
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: 7bit

<html><body>
5556

<br>
</body></html>

1 tipje: Zet catch-all mailboxes uit. Dat voorkomt dit soort rommel sowieso meestal.

Zou het niet kunnen dat er een paar hun databases aan het opschonen zijn? Zoiets van: als zo'n simpele mail niet bounced zal het e-mailadres wel werken
In dat geval mogen de slachtoffers zich waarschijnlijk aan nog veel meer moois verwachten

De F-Secure weblog behandelt dit ook. Hier staat ook wat interessant materiaal in.

Heb de mail ook net gekregen. Wat me ook nog opvalt is dat het getal in de subject mijn complete telefoonnummer bevat (Zonder netnummer), toeval of zit daar ook iets achter?

Edit: Zag in die weblog ook al precies hetzelfde getal als die bij mij staan.

[ Voor 19% gewijzigd door Hurricane op 06-06-2006 19:52 ]

Hurricane schreef op dinsdag 06 juni 2006 @ 19:48:
Heb de mail ook net gekregen. Wat me ook nog opvalt is dat het getal in de subject mijn complete telefoonnummer bevat (Zonder netnummer), toeval of zit daar ook iets achter?

Edit: Zag in die weblog ook al precies hetzelfde getal als die bij mij staan.

Als dat zou is vermoed ik nog iets ergers dan een simpele spam - dan zou het wel eens zo kunnen zijn dat men de AD / LDAP / Novell directory service uit probeert te lezen. Want waar zouden anders die telefoonnummers vandaanmoeten komen
Zijn d'r bij jou meerdere die ineens hun telefoonnummer zagen staan? En waar worden die gegevens ergens opgeslagen?

snake903 schreef op dinsdag 06 juni 2006 @ 18:00:
* MarElo meld zich ook

From: Retula [<hierstondmnemail>]
Sent: dinsdag 6 juni 2006 12:40
To: Retula
Subject: 1545453

969

969 die had ik ook vandaag, en wel in de spambox dus dat gaat nog redelijk goed.

Iedereen krijgt bijna dezelfde subject zie ik. Dus dat was dus een toevalstreffer. Het is bij me thuis en niet op het werk. Nog niet in elk geval.

He, ik heb deze ook gehad. Ik kon al niks ontdekken in de log en op m'n mail server. Errug vreemd.
Subject : 1545453
Body : 969

Received: from mail.microkid.nl ([217.115.197.2])
by microkid.nl (mail.microkid.nl)
for ; Tue, 06 Jun 2006 17:15:35 +0200
Return-Path:
Delivered-To: mijnmailadres
Received: (qmail 25622 invoked from network); 6 Jun 2006 15:14:32 -0000
Received: by simscan 1.1.0 ppid: 25564, pid: 25610, t: 0.2856s
scanners: clamav: 0.88/m:35/d:1290
X-RBL: (dynablock.njabl.org) matches with 127.0.0.3 and tells us Not Just Another Bogus List, see http://www.njabl.org/dynablock.html
Received: from hfa62-0-133-5.bb.netvision.net.il (HELO xp.net) ([62.0.133.5])
(envelope-sender )
by mail1.cluster.nxs.nl (qmail-ldap-1.03) with SMTP
for ; 6 Jun 2006 15:14:32 -0000
Date: Tue, 06 Jun 2006 16:14:22 +0000
To: "Walter"
From: "Walter"
Subject: 1545453
Message-ID:
MIME-Version: 1.0
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-MDMultiPOP: mijnmaladres@mijnisp
X-MDRcpt-To: mijnmailadres
X-Rcpt-To: mijnmailadres
X-MDRemoteIP: 217.115.197.2
X-Return-Path: mijnmailadres
X-MDaemon-Deliver-To: mijnmailadres
X-MDAV-Processed: mijnisp, Tue, 06 Jun 2006 17:15:36 +0200

Het lijkt alsof de getallen in de inhoud maar een stuk of 6 a 7 zijn... die blok ik dus momenteel op de mailserver maar. Kijken hoeveel ik er morgenochtend in het netje heb...

Ik heb een email naar @home gestuurd.
Hier was hun antwoord:
Geachte heer/mevrouw Klein,

Hartelijk dank voor uw e-mail.

E-mailadressen kunnen helaas vrij eenvoudig worden verkregen via
nieuwsgroepen, maar ook door doorgestuurde mails. Ook als u zich ergens
voor aanmeldt op internet wordt u gevraagd uw e-mailadres op te geven
waardoor dit ook wordt verspreid over het internet.

Wij adviseren u om bij het ontvangen van reclame, oftewel "spam", geen
gebruik te maken van de "subscribe/unsubscribe" optie. Door deze optie
te gebruiken bevestigt u dat dergelijke e-mails die naar uw adres worden
gestuurd, worden gelezen. Dat kan leiden tot nog meer spam.
Uw e-mailadres wordt waarschijnlijk misbruikt door een "spammer". Ook
veel virussen gebruiken een "vals", maar bestaand e-mailadres als
afzenderadres. Het is daarom goed mogelijk dat in dit geval uw
e-mailadres als afzenderadres werd aangemaakt door zo'n virus.

Wij adviseren u om de header van de teruggekomen e-mail te bekijken.
Daar vindt u informatie over de afzender: u vindt de pc die gebruikt
is om het bericht te versturen of door te sturen.

In Outlook Express vindt u de header van een e-mail door in de lijst van
e-mails met de rechter muisknop op de betreffende e-mail te
klikken en vervolgens naar "eigenschappen" te gaan. Daar klikt u op het
tabblad "details". De tekst die u daar vindt is de header. Als u
Netscape Messenger gebruikt, vraagt u de headers op door te klikken op:
"view headers" en vervolgens op "all".

Bij de onderste regel die begint met "Received:" staat het ip-adres
(reeks van 4 getallen gescheiden door een punt) dat hoort bij de
computer waar de e-mail vandaan komt. Op de site http://www.ripe.net/db/whois/whois.html
gaat u vervolgens na bij welke provider het ip-adres hoort. Als het
adres daar niet te vinden is, probeer het dan bij de andere regionale
internetorganisaties zoals ARIN (http://ws.arin.net/cgi-bin/whois.pl),
APNIC (http://www.apnic.net/apnic-bin/whois.pl) en LACNIC
(http://lacnic.net/cgi-bin/lacnic/whois).

Als blijkt dat de verzender inderdaad abonnee van @Home is, dan vragen
wij u om de tekst en headers van de e-mail te sturen naar abuse@home.nl.
Wij onderzoeken dat uw melding en nemen, als dat nodig is, passende
maatregelen.

Is de afzender abonnee van een andere provider, stuur dan uw melding
naar de betreffende provider. Het contactadres wordt vaak door de
hiervoor genoemde websites gegeven en ziet er meestal uit als
abuse@<Unknown Merge Field: <providernaam>>.
Heeft u nog vragen, dan kunt u ook terecht op onze online help via http://help.home.nl/.

Wij vertrouwen erop u hiermee voldoende te hebben geinformeerd.

Met vriendelijke groet,

@Home
Afdeling Klantenservice


En mijn email naar @home:

Hallo
Ik kreeg net deze mail.
Er staan alleen een paar getallen in maar ik heb hem niet gestuurd.
Weten jullie wat de bedoeling ervan is of hoe ik er aan kom?
Mvg
Maarten Klein
Ps dit zijn de headers:
Return-Path: <Mijn email); >
Received: from mx7.groni1.gr.home.nl ([213.51.130.145])
by mta3.groni1.gr.home.nl
(InterMail vM.6.01.04.03 201-2131-118-103-20050206) with ESMTP
id
<20060606114623.XFLN6275.mta3.groni1.gr.home.nl@mx7.groni1.gr.home.nl>
for <Mijn email); >; Tue, 6 Jun 2006 13:46:23 +0200
Received: from 60-248-106-4.hinet-ip.hinet.net ([60.248.106.4]:2722
helo=EVON610C-XP.org)
by mx7.groni1.gr.home.nl with smtp (Exim 4.30)
id 1Fna0p-0008OU-PB
for (Mijn email); Tue, 06 Jun 2006 13:46:20 +0200
Date: Tue, 06 Jun 2006 19:46:16 +0800
To: "Maartenklein" <Mijn email); >
From: "Maartenklein" <Mijn email); >
Subject: 57657
Message-ID: <yspqsmfdoaqwfeysinl@home.nl>
MIME-Version: 1.0
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-AtHome-MailScanner-Information: Neem contact op met support@home.nl
voor meer informatie
X-AtHome-MailScanner: Found to be clean
----- Original Message -----
From: Maartenklein
To: Maartenklein
Sent: Tuesday, June 06, 2006 1:46 PM
Subject: 57657
5556
--

[ Voor 5% gewijzigd door Verwijderd op 06-06-2006 22:42 ]

P13w13, het vervalsen van de afzender van een e-mail is net zo makkelijk als bij de echte post (gewoon op de achterkant een andere naam/adres schrijven). In elk e-mail programma kan/moet je instellen welke naam en welk e-mail adres en dat kan je achteraf ook zo wijzigen. Het automatiseren en de wereld er mee bedelven is dus ook niet zo moeilijk .

[ Voor 15% gewijzigd door Rafe op 07-06-2006 00:13 ]

Ik heb dit ook. Op 2 adressen. Zelfs op een adres wat alleen maar voor 1 ding gebruikt wordt. Iets waar de kans dat het op een spamlijst komt erg klein is..

Ik vind het wel creepy. Bij 1 mailtje was ikzelf de afzender maar het was een Pools ip.

Op dat forum gaat het vooral over gmail adressen. Maar ook andere domeinen hebben dit.

[ Voor 16% gewijzigd door Verwijderd op 07-06-2006 00:23 ]

Mijn overbuurvrouw had exact hetzelfde.
Alleen dan wel met het planet domein.

Ze schrok zich rot omdat ze net op dat moment met bankzaken bezig was.

Het is niet interessant om hier te melden dat je deze mail ook hebt gehad, het is een wijde spamrun geweest. Nogal logisch dat er dan veel mensen mee geraakt worden. Daarnaast hebben we er zonder headers niets aan.

[ Voor 13% gewijzigd door pasta op 07-06-2006 12:45 ]

Mijn vader stuurde gisteren al verontwaardigd wat het voor mailtje was. Hij had hem ook gehad. Hij heeft het bericht in een bijlage geforward. De headers:

Return-Path: <zijn email>
Received: from mx7.groni1.gr.home.nl ([213.51.130.145])
by mta3.groni1.gr.home.nl
(InterMail vM.6.01.04.03 201-2131-118-103-20050206) with ESMTP
id <20060606080352.ROBR6275.mta3.groni1.gr.home.nl@mx7.groni1.gr.home.nl>
for <<zijn email>>; Tue, 6 Jun 2006 10:03:52 +0200
Received: from c-67-177-221-100.hsd1.co.comcast.net ([67.177.221.100]:2832 helo=Kbell.net)
by mx7.groni1.gr.home.nl with smtp (Exim 4.30)
id 1FnWXV-0003Lv-SZ
for <zijn email>; Tue, 06 Jun 2006 10:03:50 +0200
Date: Tue, 06 Jun 2006 02:03:44 -0700
To: "<naam>" <<zijn email>>
From: "<naam>" <<zijn email>>
Subject: 455
Message-ID: <nkjxzghdsqpcoinokhe@home.nl>
MIME-Version: 1.0
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-AtHome-MailScanner-Information: Neem contact op met support@home.nl voor meer informatie
X-AtHome-MailScanner: Found to be clean

Ik zal proberen uit te leggen waar dit mailtje voor dient:

Bayesian filtering heeft over het algemeen een "goede" en "slechte" container voor mailtjes. Doordat deze mail niet goed matcht met de bestaande mails in de "slechte" container, wordt deze niet als spam aangeduidt. De meeste filters stoppen het mailtje dan in de "goede" container en de gebruiker moet 'm dan zelf gaan verplaatsen naar de "slechte" container. Dit is wel altijd een manuele actie en de spammers hopen dus dat er behoorlijk wat mensen zijn die dit vergeten. Na een paar mailtjes van dit caliber zullen dus een flink aantal cijferreeksen een positieve rating geven in een mailtje. De spammers hopen met het sturen van echte spam uiteindelijk de bayesian filtering bij veel mensen te kunnen bedriegen door naast de spam message ook een aantal van deze cijferreeksen toe te voegen. De bayesian filter geeft een positieve score aan de cijferreeksen en een negatieve score aan de spam boodschap. Als de gezamelijke score onder de treshold ligt dan wordt het mailtje dus als niet-spam gezien en gewoon afgeleverd in de mailbox van de gebruiker.

bij grote bedrijven is het nog moeilijker om je tegen dit soort praktijken te beschermen. Meestal bevindt de bayesian filtering zich op de server en is de "goede" en "slechte" mailcontainer alleen voor de systeembeheerder beschikbaar. En deze gaat echt niet duizenden mailtjes doorscannen en naar de goede container verplaatsen.

Wat mij opviel aan de mail is dat bij de meeste spam in de header wel te zien is dat het niet van mijn provider Xs4all is gekomen, maar nu staat in de header echt alles alsof het daadwerkelijk van mezelf is. Hoe doen ze dat?

Wat me ook opvalt, waardoor ik zag dat het een spamrun was, is dat de From niet mijn echt naam, maar de tekst voor het @-teken bevatte.

@DexterDee: Dat lijkt mij een erg goede mogelijkheid.

[ Voor 3% gewijzigd door Tukk op 07-06-2006 13:03 ]

Daar heb ik er gister hier op de zaak >50 van gehad...

Received: 2006-06-06 14:35:11
Received from IP: 82.201.173.137
From: <user>@<domein>.com
To: <user>@<domein>.com
Subject: 1545453
Delivery Status: Blocked (SPAM)
Quarantined To:
Spam Info: (Score: 10.145 ) <-- *
250 2.7.1 Ok, discarded, UBE, id=26893-04

M'n anti spam appliance houd ze allemaal netjes tegen
*= het wordt echt als spam gezien van een score >6

Heb vandaag ook gehad op mijn gmail account

X-Gmail-Received: d5357d927b72f91050e3423ba76845a7ed1c23ec
Delivered-To: dersan@gmail.com
Received: by 10.36.196.12 with SMTP id t12cs6762nzf;
Tue, 6 Jun 2006 23:30:28 -0700 (PDT)
Received: by 10.37.12.10 with SMTP id p10mr273896nzi;
Tue, 06 Jun 2006 23:30:28 -0700 (PDT)
Return-Path: <dersan@gmail.com>
Received: from ??????.com ([59.7.28.67])
by mx.gmail.com with SMTP id 5si633493nzk.2006.06.06.23.30.28;
Tue, 06 Jun 2006 23:30:28 -0700 (PDT)
Received-SPF: fail
Date: Wed, 07 Jun 2006 15:30:22 +0900
To: "Dersan" <dersan@gmail.com>
From: "Dersan" <dersan@gmail.com>
Subject: 1545453
Message-ID: <kptpxfvrrmnqpowuuyi@gmail.com>
MIME-Version: 1.0
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: 7bit

Vooral dit vind ik vreemd:

Received: from ??????.com ([59.7.28.67])
by mx.gmail.com with SMTP id 5si633493nzk.2006.06.06.23.30.28;

[ Voor 13% gewijzigd door Dersan op 07-06-2006 16:17 ]

Dersan schreef op woensdag 07 juni 2006 @ 16:15:
[...]

Vooral dit vind ik vreemd:

Received: from ??????.com ([59.7.28.67])
by mx.gmail.com with SMTP id 5si633493nzk.2006.06.06.23.30.28;

De inkomende DNS naam is ook makkelijk te spoofen. Het IP adres gelukkig niet. Ik zie op mijn mailserver regelmatig allerlei truukjes voorbij komen, bijvoorbeeld 127.0.0.1 [123.45.67.89]. Mijn mailserver trapt daar gelukkig niet in

DexterDee schreef op woensdag 07 juni 2006 @ 16:31:
[...]

De inkomende DNS naam is ook makkelijk te spoofen. Het IP adres gelukkig niet. Ik zie op mijn mailserver regelmatig allerlei truukjes voorbij komen, bijvoorbeeld 127.0.0.1 [123.45.67.89]. Mijn mailserver trapt daar gelukkig niet in

Owja nu je het zegt .

Toen ik jaar of 13 was ging ik altijd liefdesbrieven schrijven naar meisjes onder de email van iemand anders altijd hele klas in rep en roer .

DexterDee schreef op woensdag 07 juni 2006 @ 12:59:

Bayesian filtering heeft over het algemeen een "goede" en "slechte" container voor mailtjes.
[snip]

De combinatie van cijfers zijn zo uniek, nutteloos voor dit doeleinde. De positive rating is veel te laag om enige vorm van betekenis te vormen.

Daarnaast zijn spamfilters zijn slimmer dan dat.

Zeer waarschijnlijk zijn deze emails een vorm van tests van de spammers kant.

Ik vermoed dat we de komende dagen zullen weten wat en wie het is.

Raadsel ook weer opgelost: http://isc.sans.org/diary.php?storyid=1391

38673e variant van Bagle dus...

Naast dat de oplossing 1 post boven die van jou staat genoemd, is dit niet echt iets wat we in Beveiliging & Virussen bespreken. Zoiets hoort eerder in Wetenschap & Levensbeschouwing thuis, hoewel ik betwijfel of je daar serieus wordt genomen.

[ Voor 81% gewijzigd door pasta op 09-06-2006 19:41 ]

ik heb nu required_score op 5.0 staan...toch nog 6 a 7 mailtjes per dag. Is lager zetten een goede optie? Ook mail filter met spam ingesteld die naar een :blackhole: gaat...