inps.de-DNS-IP-BLACKLIST

Ihre IP-Adresse 54.234.234.198 ist nicht gelistet.

Neuigkeiten

2014-06-20 - Aktuelle Stock-Spamwelle / Wieder gefälschte KabelBW- & Hotel.de-Rechnungen / Amazon-Phishing-Mails im Umlauf

Bereits seit einigen Stunden kommt es wieder zu massivem Versand von Stock-Spam. In den tausenden E-mails und daraus resultierenden DSNs wird eine "Strong Buy"-Empfehlung für Aktien der Rainbow International Corp. (RNBI) ausgesprochen.

Wir können nicht empfehlen, solchen "Insider-Tipps" zu folgen.

Update (23.06.2014): Die Spamwelle kam heute ein weiteres Mal so richtig in Fahrt (bis 20.25 Uhr MESZ etwa 11.000 Neueintragungen), nachdem es bereits auch am Wochenende unablässig "Insider-Tipps" unterschiedlich gestaltet per E-mail regnete. Eindrucksvoll lässt sich die Wirkung am 1-Wochen-Kurs-Chart der beworbenen "Rainbow International Corp." sehen:

Bereitgestellt von external link finanzen.net


Hier noch zum Vergleich der Chart für den Zeitraum 01.10.2013 bis 23.06.2014:

Mehr zur external link Rainbow International-Aktie


Update (24.06.2014): Heute scheint wirklich keine Variante auszubleiben und eigentlich wäre es inzwischen fast angebracht, eine neue Meldung zu veröffentlichen.

Die Welle mit Stock-Spam scheint vorerst zur Ruhe gekommen zu sein; nun stellt sich der Hausarzt mit einer eigenen Spam-Flut vor. E-mails mit dem Betreff "Let me introduce myself", "Here is my vCard with my details" und "I'm your new family physician" finden sich massenhaft. Nur komisch, dass der Hausarzt bei der "Pfizer Company" (oder u. a. bei der Firma "Cheap Viagra") arbeitet, welche ja bekanntlich die "kleinen, blauen Pillen" herstellt. Dies geht aus der angehängten Visitenkarten-Datei hervor.

Weiterhin werden "World political news" reichlich verschickt. Im Text heißt es unter anderem:

You can see all World Political News at our web site. Just click on link below

">http://www.bumerang.cc/


Der Link ist allerdings nicht korrekt gesetzt, sodass ein Klick nicht ausreichen dürfte. Welches Ziel die Spammer mit dem Bewerben des Portals "bumerang.cc" verfolgen, kann zum jetzigen Zeitpunkt nicht genau gesagt werden. Die Seite jedenfalls ist auf Russisch, Rumänisch und Englisch verfügbar und enthält tatsächlich politische Nachrichten. Also Stimmungsmache? Ja, wie sich am Abend herausstellte: Die E-mails enthalten nun den Betreff: "SENSATION NEWS!Ukraine Will Wage War With Russia" und im Body den Text: "Russia's War Against Ukraine! All at our web site. Just click on link below".

Achtung:

Auch gefälschte KabelBW- und Hotel.de-Rechnungen mit Schadcode im Anhang sind wieder im Umlauf.

Soeben (13.46 Uhr UTC) sind außerdem Phishing-E-mails mit dem Betreff "Frage Angebot Amazon !!!" aufgetaucht, die zu einer Webseite http://amvrs.de.vu/ verweisen. Auf dieser Seite werden Amazon-Login-Daten abgephisht. Vorsicht!
2014-06-19 - IP-Adresse 2 Jahre eingetragen? Schwachsinn!

Seit geraumer Zeit besteht auf der Abfrageseite schon die Möglichkeit, zu einer IP-Adresse einen Kommentar ohne Angabe des Namens oder sonstwelcher Angaben zu machen. Nun wird von dieser Möglichkeit auch reger Gebrauch gemacht und heute fiel ein Kommentar besonders auf:

sorry, schwachsinn ne ip 2 jahre zu listen lassen, das zeigt die qualität dieser blacklist

In der Tat sind zwei Jahre Eintragungszeit eine ganze Menge. Doch das hat auch seinen Grund und ist ein Teil des Konzeptes der inps.de-DNSBL; ungewöhnlich ist es aber keineswegs. Allerdings wird auf unseren Seiten transparent angezeigt, seit wann eine IP-Adresse eingetragen ist. Generell gilt: Es muss eine Entfernung beantragt werden, erst dann wird eine IP-Adresse aus der inps.de-DNSBL ausgetragen.

Wir haben Folgendes geantwortet:

Vielen Dank für Ihren kritischen Beitrag. Nein, dahinter steckt ein ganz anderer Sinn: Die inps.de-DNSBL wird inzwischen so gut genutzt (auch von zahlreichen Prüfportalen), dass es nur in bestimmten Fällen zu derart langen Eintragungszeiten kommt. Derzeit befindet sich diese IP auch noch in b.barracudacentral.org (übrigens auch eine qualitativ sehr hochwertige Liste) und bl.tiopan.com. Die Frage ist eher, warum es Einträge gibt, die derart lange Bestand haben und warum die Eintragung nicht längst vorher aufgefallen ist. Das ist aber noch kein Grund, beleidigend zu reagieren. Es gibt ferner nur eine Möglichkeit, die Qualität der inps.de-DNSBL zu beurteilen: Sie nutzen. --Christian Jung, Administrator inps.de-DNSBL

Es hat nicht lange gedauert, da stellten wir fest, dass eine IP-Adresse, die 2 Jahre hier nicht in Erscheinung getreten ist, 18.48 Uhr Spam einlieferte: 117.199.32.120, eingetragen am 2012-05-24 12:32:11 UTC. Auch sie wurde seither nicht aus der inps.de-DNSBL ausgetragen, ist aber inzwischen in zahlreichen Blacklists wieder aufgeführt.

Aus Sicht der Betroffenen lässt es sich nicht immer nachvollziehen, warum die Entfernung erst angestoßen werden muss, was über die Webseite ja einfach und schnell erledigt ist. Wir gehen davon aus, dass eine IP-Adresse, die administrativ betreut wird, auch zeitnah ausgetragen wird. Dieser Fall zeigt eindrucksvoll, warum wir bisher an diesem Konzept festgehalten haben (und es wurde schon mehrfach evaluiert).

So ist es der Qualität der inps.de-DNSBL dann doch eher zuträglich, denn keine Blacklist hat das vollständige Spam-Aufkommen zur Verfügung (leider).

2014-06-05 - Traumquote im Blacklistvergleich

Angesichts des schönen Wetters ist es Zeit für eine positive Nachricht.

Die Firma Intra2Net bietet schon lange Zeit einen unabhängigen und sehr informativen external link Vergleich diverser Blacklists an, bei welchem auch die inps.de-DNSBL aufgeführt ist. Im aktuellen Vergleich dürfen wir uns über eine Trefferquote von 48,6% freuen. Vielen Dank an dieser Stelle an die Nutzer und Unterstützer der inps.de-DNSBL, die diesen schönen Erfolg erst möglich gemacht haben.

Update (10.06.2014): Im Zeitraum vom 02.06.2014 bis 08.06.2014 erzielte die inps.de-DNSBL eine Spam-Trefferquote von fantastischen 52,6%!

2014-05-27 - Warnung vor gefälschten ISP-E-mails

Heute wurde eine Spam-Welle beobachtet, in der vermeintliche Bestätigungs-E-mails von o2 versendet werden (Betreff: "Informationen von o2"). Hierbei soll der Empfänger angeblich Informationsmaterial angefordert haben und nun die gewünschten Unterlagen erhalten. Der Text lautet:

Im Anhang erhalten Sie die von Ihnen gewünschten Unterlagen.

Die neuesten Informationen, Tipps und Services rund um o2 erhalten Sie im Internet unter www.o2online.de. Wenn Sie sich dort als Kunde registrieren, können Sie Ihre Vertragsdaten ändern und Ihre Rechnung einsehen.

Freundliche Grüße
Ihr Team von o2 
Ein entsprechendes Beispiel findet sich etwa hier: http://dnsbl.inps.de/query.cgi?action=last_mail&ip=195.103.21.210&lang=de

Im Anhang befindet sich eine Zip-Datei, z. B. "_legjung_gesamt.PDF.zip". In dieser Datei befindet sich Schadsoftware. Also: Finger weg und ab in den Papierkorb damit.

Auch im Namen der Telekom liefen heute wieder einige E-mails auf, die angeblich die "RechnungOnline Monat Mai 2014" enthalten. Im Anhang, einer Zip-Datei, findet sich ebenfalls Schadsoftware. Auffällig: Die für Spam stattliche Größe von mehr als 200 kB (277 kB).

Beispiel: http://dnsbl.inps.de/query.cgi?action=last_mail&ip=85.105.154.83&lang=de

Spam kann aber auch ganz amüsant sein: Von irgendeinem Sprücheportal in den Weiten des Internets wurden die folgenden, exemplarisch ausgewählten Texte entnommen, welche ebenfalls u. a. in einer weiteren (großen) Spamwelle versendet wurden: Derlei flapsige Sprüche senken natürlich das Misstrauen gegenüber dem verdächtigen Anhang, denn auch hier wird eine Zip-Datei mitgeschickt. Wird diese geöffnet, ist der Spaß mit (Un-) Sicherheit ganz schnell vorbei. Auch sie enthält ein schädliches Programm.

Beispiele (Base64-codiert, daher Body nicht ohne Weiteres im Klartext lesbar): Diese E-mails führten nun auch zu einer großen Zahl an hier eingehenden Non-Delivery-Notifications.

2014-05-16 - gestohlene E-mail-Adressen stehen offenbar zum Verkauf

Nun ist es also soweit und es ging sogar verhältnismäßig schnell: Offenbar stehen die external link vor einiger Zeit gestohlenen E-mail-Adressen nun zum Verkauf. In einer Spam-Welle, die hier lediglich am 10.05.2014 zuschlug, werden E-mail-Adressen von "Thomas Weber" angeboten, die "zu 100% gültig" sein und "keine Bounces" erzeugen sollen.

Im Moment scheint die E-mail-Adresse noch erreichbar zu sein. Man kann nur hoffen, dass dort eingehende E-mails umgehend an die entsprechenden Behörden weitergeleitet werden. Sollten Sie eine E-mail mit einem derartigen Angebot erhalten, so antworten Sie bitte nicht darauf. Löschen Sie sie einfach.

Unter folgendem Link ist eine entsprechende Meldung des BSI mit weiteren Hinweisen zu finden:

external link https://www.bsi-fuer-buerger.de/BSIFB/DE/Wissenswertes_Hilfreiches/Service/Aktuell/Meldungen/SpamWelle_12052014.html

Im Datenbestand der inps.de-DNSBL liegen ebenfalls einige dieser E-mails vor, z. B.: oder:
Received: from localhost18 (unknown [37.45.156.224])
	by tvsrv1.inps-servers.net (Postfix) with SMTP id 20A7C3B2C890;
	Sat, 10 May 2014 20:10:33 +0000 (UTC)
Received: by localhost; Sun, 11 May 2014 02:01:05 +0500
From: "Thomas Weber" 
Reply-To: "Thomas Weber" 
To: *****
Subject: Email Adressen zu verkaufen
Date: Sat, 10 May 2014 17:06:05 -0400
Content-Transfer-Encoding: 7Bit
Content-Type: text/plain;
Message-ID: 

Guten Tag,

Falls Sie auf der Suche nach neuen Email-Adressen aus Deutschland sind dann sind Sie bei mir genau richtig.

Preis pro eine Million Email-Adressen 800 Euro

Ich kann Ihnen folgendes anbieten:

5,5 Millionen @gmx.de Emails.
5,8 Millionen @t-online.de Emails.
3,4 Millionen @web.de Emails.
1,2 Millionen @freenet.de Emails.
3,8 Millionen @yahoo.de Emails.
3,2 Millionen @hotmail.com Emails.
3,6 Millionen @googlemail.de / gmail.com Emails.

6,8 Millionen @.de Emails (verschiedene)

Die Emails sind alle geprüft und zu 100% gültig (Keine Bounces)

Preis für alle Email-Adressen 8000 Euro


Falls Sie Interesse haben können Sie mich kontaktieren.

ICQ: 68602*****
Jabber: dbthomas@j*****.ua

E-Mail: dbwthomas9@g*****.com

2012-06-19 - Sicherheitshinweis

Im Moment kommt es wieder sehr häufig zu vermeintlichen E-mails von Paketdiensten (FedEx, DHL, UPS), u. a. mit folgenden Betreffzeilen: Die Methode ist nicht neu. Diese E-mails enthalten meist eine ZIP-Datei als Anhang, in welcher sich eine EXE-Datei befindet. Diese ist ein Trojaner, weshalb dringend davon abgeraten wird, die Anhänge derartiger E-mails zu öffnen.

Ebenfalls aktuell ist nach wie vor die Phishing-Problematik. So wurde erst am 17.06.2012 eine E-mail empfangen, die Vorgab, von der Postbank verschickt worden zu sein. Sie war in sauberem Deutsch verfasst und wies darauf hin, dass angeblich im Moment eine Softwareaktualisierung erfolgt, um die Qualität des Online-Banking-Service zu verbessern. Man solle doch bitte seine Kundendaten bestätigen.

Unsere Bitte: Lassen Sie's! In dieser E-mail befand sich gleich noch ein Link zu http://122.76.209.28/postbank/index.php (Linktext: https://banking.postbank.de/rai/login). Auf der sich öffnenden Seite, die selbstverständlich nicht auf einem Postbank-Server liegt, wird man aufgefordert seinen Benutzernamen und seine PIN für das Online-Banking einzugeben.

Vermeiden Sie den Zugriff auf das Online-Banking-Portal Ihrer Bank aus E-mails heraus und schauen Sie vor dem Klick auf einen Link in die Statuszeile Ihres E-mail-Programmes; hier wird im Normalfall die Adresse angezeigt, die Sie wirklich beim Klick auf den Link aufrufen. Nahezu alle Banken haben inzwischen die Bedeutung des Themas Sicherheit beim Online-Banking erkannt und geben Ihren Kunden ausführliche Hinweise dazu.

2012-06-11

Es kam vom 09.06.2012, 10.00 Uhr, bis 11.06.2012, 9.20 Uhr zu einer Nichterreichbarkeit der Webseite und zu einer erheblichen Einschränkung des Internetangebotes der inps.de-DNSBL.

Hintergrund:

Durch eine unvorhersehbare Verzögerung bei der Überweisung des Monatsbeitrages für den Hauptserver wurde dieser durch den Hoster gesperrt. Leider ließ sich am 08.06. keine Kulanzlösung vereinbaren, so dass kurzfristig auf ein Reservesystem umgeschaltet werden musste.

Über eine umgehend eingerichtete Hinweisseite wurden Besucher auf den Umstand aufmerksam gemacht und darauf hingewiesen, dass dringende Austragungsanfragen via Telefax einzureichen sind, wovon auch zwei Mal Gebrauch gemacht wurde. Die Blacklist wurde in der Zeit des Zwischenfalls nicht mit neuen Einträgen versehen.

Wir bitten für die entstandenen Unannehmlichkeiten höflichst um Entschuldigung.