Let op, ze halen alle truuken boven.

2009-05-08 09:10  i1736    [permalink]

Krijg ik op een goeie dag een mail:

Janine Sandford to anonymous@yoy.be
Hi,
We are trying to popularize our new website via advertising. So please tell me do you have advertising spots on your yoy.be and how much these spots cost.
Greetings

Ik denk, tiens, een wat vreemde vraag. Is eens iets anders dan geneesmiddelen of chirurgische ingrepen die woren aangeboden. Maar is een eenvoudige vraag, met een eenvoudig antwoord, die kan ik misschien wel antwoorden... Maar eerst eens deze mail langs vanachter bekijken...

Delivered-To: stijnsanders@gmail.com

Ik laat al mijn mail forwarden naar mijn Google Mail. Toen spam nog veel te erg was bleek dat de beste spam-filter te zijn.

Received-SPF: softfail (google.com: best guess record for domain of transitioning jkanders@alpha.delta.edu does not designate 213.199.73.80 as permitted sender) client-ip=213.199.73.80;

Ah, SPF die failt, is al verdacht. (Trouwens, RIPE op dat IP nummer zegt Zweden, verdacht).

X-Gmail-Fetch-Info: yoy-be@yoy.be 1 mail.yoy.be 110 yoy-be@yoy.be

Deze is via POP3 door Google binnengetrokken.

Return-Path: <jkanders@alpha.delta.edu>

Hmm, er blijkt inderdaad een Delta College te zijn in Michigan...

Delivered-To: yoy-be@yoy.be

Dank u

Received: from google.com (80.net73.skekraft.net [213.199.73.80])
    by e3-srv114.server.eu (Postfix) with ESMTP id 1C2CC4C8290
    for ; Fri, 8 May 2009 04:31:58 +0200 (CEST)

Hela, hela! Een beetje mail sturen van een server die je zelf "google.com" noemt? Dat werkt niet want we zien toch dat je bij een provider in Skelleftea in Zweden zit. (yoy.be draait ergens onder server.eu, dat klopt wel.)

Received: from [132.123.43.109] (HELO google.com)
    by wideclubhouse.cn; Fri, 8 May 2009 04:32:06 +0200

En deze snap ik al helemaal niet! Een IP nummer bij het leger en een Chinese mail-server?! Dit stinkt van ver.

Date: Fri, 8 May 2009 04:32:06 +0200

Hmm, +0200, da's niet de tijdzone van Michigan...

From: Janine Sandford <jkanders@alpha.delta.edu>

Tiens, misschien is Janine getrouwd met ene meneer Anders. En gebruikt ze de mail-account op de webserver van haar man om mij te vragen over reclame-mogelijkheden? (En weet ze de volgende Lotto-nummers?)

X-Mailer: The Bat! (v2.01)

Tiens, een hele oude versie, ook een beetje raar. En educationele (of militaire?) kringen gebruiken ze toch meestal zo iets unix-gezind, of centraal-beheer-gezind?

Reply-To: Janine Sandford <17491richard.learn@gmail.com>

Jaja, een totaal ander reply adres? Bij Google Mail? Nu stinkt dit zaakje zeker.

To: =?windows-1251?B?eW95LmJl?=
Subject: =?windows-1251?B?QWR2ZXJ0aXNlIG9uIHlvdXIgc2l0ZT8=?=
MIME-Version: 1.0
Content-Type: text/plain; charset=windows-1251
Content-Transfer-Encoding: base64


Tiens, Codepage 1251? Jaja, Russian or Bulgarian. Dat wil ook wel iets zeggen...


SGksDQoNCldlIGFyZSB0cnlpbmcgdG8gcG9wdWxhcml6ZSBvdXIgbmV3IHdlYnNpdGUgdmlhIGFkdmVydGlzaW5nLiBTbyBwbGVhc2UgdGVsbCBtZSBkbyB5b3UgaGF2ZSBhZHZlcnRpc2luZyBzcG90cyBvbiB5b3VyIHlveS5iZSBhbmQgaG93IG11Y2ggdGhlc2Ugc3BvdHMgY29zdC4NCg0KR3JlZXRpbmdz

Bon, ik hoop dat ze bij Google echt wel iets doen met die "Report phishing" meldingen...

→