Erfahrungen mit soniXCast (ehemals genuinecast) Beitrag drucken

Erfahrungen mit soniXCast (ehemals genuinecast)

Im Mai 2010 erhielt ich plötzlich bis zu 10 E-Mails am Tag  mit dem Betreff „Gemafreie Zone“ oder auch „Kollegialer Hinweis“. Alle diese E-Mails kamen von irgendwelchen Radiodomains, zumindest laut der Absenderadresse. Dies wunderte mich nun sehr und ich schaute mir die Mailheader mal etwas genauer an.  Auffällig war hierbei, dass  alle E-Mails über den gleichen Mailserver versendet wurden, nämlich maillist.genuinecast.net. Zudem enthielten alle Header eine X-Authentication-Warning,  welche mit der Absenderadresse übereinstimmte.

Technische Erklärung:
Der X-Authentication-Warning- Eintrag wird immer in den Mailheader eingefügt, wenn eine E-Mail, beispielsweise per PHP über Sendmail, versendet wird und die Absenderadresse nicht mit dem tatsächlichen Benutzer, der Sendmail aufgerufen hat, übereinstimmt.
Da ich die Absenderadresse frei wählen kann, könnte ich also auch eine Emailadresse des Weißen Hauses, des Vatikan, des CIA, FSB (ehemals KGB) oder, oder, oder, als Absender setzen.

Beispiel einer X-Authentication-Warning:
X-Authentication-Warning: server.domain : apache set sender to abd@def.net using -f

Nach einer Whois-Abfrage des tatsächlich versendenden Mailservers wusste ich nun, dass hier eine Firma mit einem Server in Kanada  Spammails mit gefälschten E-Mail- Absendern verschickt.
Da ich ein Riesenfan von Spammails bin, habe ich eine Abuse-Meldung an den Hoster geschickt, der auch umgehend tätig wurde. Leider jedoch leitet der Hoster meinen Abuse-Report vollständig weiter, also auch mit meiner Email-Adresse. Herr Brian Walton reagierte natürlich umgehend mit einer Stellungnahme seinerseits und mit einer Abuse-Meldung an meinen Hoster (welche ich in Kopie erhielt):

Kopie der Stellungnahme von Herrn Brian Walton als Abuse Report an meinen Hoster:

Return-path:<brian@genuinecast.net>
Envelope-to: abuse@*****.de
Delivery-date: Sat, 22 May 2010 22:51:35 +0200
Received: from [69.175.122.202] (helo=mail.genuinecast.net)
by lms.your-server.de with smtp (Exim 4.69)
(envelope-from<brian@genuinecast.net>)
id 1OFvfO-0001hC-Pd
for abuse@*****.de; Sat, 22 May 2010 22:51:35 +0200
Received: from BrianPC ([71.56.233.53])
by mail.genuinecast.net
; Sat, 22 May 2010 14:50:36 -0600
Reply-To:<support@genuinecast.net>
From: "Brian Walton"<brian@genuinecast.net>
To:<abusgestion@iweb.com>,
<abuse@*****.de>
Cc:<madxhawk@radio-*****.de>
References:<RT-Ticket-3426969@rt.privatedns.com <rt-3.8.7-22343-1274465963-215.3426969-5-0@rt.privatedns.com>
In-Reply-To:<rt-3.8.7-22343-1274465963-215.3426969-5-0@rt.privatedns.com>
Subject: RE: [RQ #3426969] [iWeb.com] - Abuse Reports - CL-T195-054CL
Date: Sat, 22 May 2010 14:50:22 -0600
Organization: BenuineCast.Net
Message-ID:<055501caf9f0$65a1a4c0$30e4ee40$@net>
MIME-Version: 1.0
Content-Type: text/plain;
charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
X-Mailer: Microsoft Office Outlook 12.0
Thread-Index: Acr5Ehy3yS12z5vaR/67RVDT6q/ouAA1LcAg
Content-Language: en-us
X-Virus-Scanned: Clear (ClamAV 0.96/11070/Sat May 22 00:19:25 2010)
X-Spam-Score: 1.7 (+)
Delivered-To: abuse@*****.de

Hello iWeb Abuse,

The IP-Address "174.142.138.43" in question points to our mail list =
server which we use to send out solicited marketing campaigns and =
periodical knowledgebase articles to our subscribers. The email address =
"madxhawk@radio-*****.de" is not on the subscribers list.

However the IP-Address "213.***.***.***" associated with the email =
"madxhawk@radio-*****.de" is known to us and was one of many in the =
pool recently banned from our servers for attempted hijack attacks =
(Please refer to email from 5/10/2010 concerning Treason attacks).=20

We understand Martin ***** to be a disgruntled ex-employee of one of our =
customers and have been successful in backtracking some of the =
IP-Addresses associated with the most recent attacks to the complainant. =
(Please refer to the most recent email from 5/20/2010 concerning the =
virus PHP.Remoteadmin-1)

Once we have completed our research, we intend to lodge a formal =
complaint with the appropriate authorities. As always we will include =
iWeb abuse on any and all further correspondence concerning this matter.

Respectfully,

Brian Walton
Owner - GenuineCast

Ich bin mal so frei und übersetze die Mail:

Hallo iWeb Abuse,

Die betreffende IP Adresse 174.142.138.43 verweist auf unsere Mailing Liste, welche wir für das Versenden von  angeforderten Marketing Kampagnen und gelegentliche zum Versenden von Artikeln  unserer Wissensdatenbank, an unsere eingetragenen Mitglieder verwenden. Die E-Mailadresse madxhawk@radio-*****.de befindet sich jedoch nicht in unserer Datenbank.

Wie auch immer, die IP-Adresse „213.***.***.*** , welche mit der E-Maliadresse madxhawk@radio-*****.de verbunden ist, ist eine der vielen, welche wegen Hijack Angriffe auf unser System, derzeit gebannt sind. (Siehe auch unsere Email vom 5/10/2010 bezüglich Treason Attacks
Anm.:  Treason bedeutet so viel wie Hochverrat / Landesverrat / Verrat

Wir sehen in Martin ***** einen verärgerten Ex-Angestellten einer unserer Kunden und konnten erfolgreich IP-Adressen der letzten Angriffe zum Beschwerenden zurückverfolgen. (Siehe auch unsere Mail von 5/20/2010 betreffend des Virus PHP.Remoteadmin-1)
Sobald wir unsere Nachforschungen abgeschlossen haben, werden wir eine formale Beschwerde bei den entsprechenden Behörden einreichen. Wie immer werden wir natürlich iWeb Abuse über jegliche Korrespondenz, bezüglich dieses Vorfalles, informieren.

Hochachtungsvoll,

Somit lag bei meinem Hoster eine formale Beschwerde von genuinecast gegen mich vor, welche von vorne bis hinten erstunken und erlogen war, da von unserem Server NIE auch nur ein einziger Angriff auf irgend ein System durchgeführt wurde. Trotzdem wurde ich von meinem Hoster um eine Stellungnahme gebeten. Dieser erhielt dann auch umgehend meinen Schriftverkehr mit dem Hoster von genuinecast.net, sowie die Kopie einiger Header der Spammails mit den gefälschten Absenderadressen.

Allerdings beging genuinecast einen schwerwiegenden Fehler. Nur einen Tag nach der Abuse-Meldung an meinen Hoster verschickte genuinecast die nächste Spamwelle und ihr dürft 3 Mal raten, wessen Emailadresse hier als Absender gefälscht wurde.
Richtig, es wurde meine Emailadresse, über die ich die Beschwerde einreichte, verwendet.
Hier der Header einer der Spam Mails:

Betreff: Kollegialler Hinweis
Von: Martin ***** <madxhawk@radio-*****.de>
Datum: Sun, 23 May 2010 00:56:10 +0400
An: vincetti@Radio-*****.net
Return-Path: <madxhawk@radio-*****.de>
Received: from maillist.genuinecast.net (localhost.localdomain [127.0.0.1]) by spam.genuinecast.net (8.13.8/8.13.8) with ESMTP id o4MKuAu2011834 for <vincetti@Radio-*****.net>; Sun, 23 May 2010 00:56:10 +0400
Received: (from apache@localhost) by maillist.genuinecast.net (8.13.8/8.13.8/Submit) id o4MKuAqp011833; Sun, 23 May 2010 00:56:10 +0400
X-Authentication-Warning: maillist.genuinecast.net: apache set sender to madxhawk@radio-*****.de using -f
Nachricht-ID: <0dc06cf5bd46f7b9a30bef4da5d3c8fd@mpr1.net>
X-Priority: 3
X-Mailer: PHPMailer [version 1.72]
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset="UTF-8"

Man beachte die folgenden Zeilen:

Von: Martin ***** <madxhawk@radio-*****.de>
Received: from maillist.genuinecast.net (localhost.localdomain [127.0.0.1]) by spam.genuinecast.net (8.13.8/8.13.8) with ESMTP id o4MKuAu2011834 for <vincetti@Radio-*****.net>; Sun, 23 May 2010 00:56:10 +0400

und

X-Authentication-Warning: maillist.genuinecast.net: apache set sender to madxhawk@radio-*****.de using –f

Wobei Zeile (Received:) den tatsächlich versendenden Mailserver angibt (maillist.genuinecast.net).

Mein realer Name Martin ***** wurde übrigens von meinem Mailclient eingesetzt und steht normal NICHT im Header.
Dies führte nun zu einem kleinen Problem.
Wenn ein Mailserver eine Mail nicht zustellen kann, schickt er eine Benachrichtigung an die angegebene Absenderadresse, um den Absender über die Unzustellbarkeit zu informieren.
Da die Absenderadresse meine war, erhielt ich über 300 dieser Benachrichtigungen von diversen Mailer-Daemons. (Es war eine wahre Freude, die wichtigen Mails dazwischen rauszusuchen!)
Zudem scheinen auch noch viele Benutzer zu glauben, dass die angegebe Absenderadresse auch immer dem tatsächlichen Absender entspricht (siehe: Technische Erklärung). So erhielt ich einige freundliche Emails von Empfängern der Spammails. Angefangen von einem freundlichen Danke für den Hinweis, über  Beschimpfungen, bis hin zu Androhung rechtlicher Schritte gegen mich.

Zuerst war ich ziemlich angefressen über die vielen Mails, welche meine Mailbox zumüllten. Dann fand ich jedoch einige Mails von Empfängern der Spammails, die ebenfalls genervt waren und in denen mir mitgeteilt wurde, dass eine Abuse-Meldung an meinen Hoster geschickt wurde.

Dies war der Zeitpunkt, an dem ich nun vor Lachen am Boden lag, denn somit lagen meinem Hoster der Schriftverkehr mit dem Hoster von genuinecast, inklusive der Stellungnahme von Herrn Brian Walton und natürlich der Hostname und die IP des betreffenden Servers vor.

Hinzu kamen nun weitere Beschwerden, über angeblichen Spam von mir, der genau über den Server versendet wurde, in dem es in der Stellungnahme und der Abuse-Meldung des Herrn Walton ging.

Somit legte genuinecast gleich selber den Beweis bei meinem Hoster vor, dass sie gefälschte Mailadressen für ihren Spamversand nutzten.

Wie glaub- und vertrauenswürdig sich genuinecast damit machte, kann sich wohl jeder selber ausrechnen. Ich habe jedoch nie wieder etwas von meinem Hoster wegen dem Abuse-Report von Herrn Walton gegen mich, bzw. unseren Server, gehört.
Dies ist genau das, was man in Internetkreisen den klassischen Fall eines „epic selfowned“ nennt.

Mir fällt dazu nur ein:

Wer E-Mail Adressen nachmacht oder verfälscht, oder nachgemachte oder verfälschte sich verschafft und in Verkehr bringt, sollte mit Internetverbot nicht unter lebenslänglich bestraft werden

Eine weitere interessante Verhaltensweise zeigt soniXCast auf seiner Facebook-Seite in einem Eintrag vom 21. September 2012 auf.
Link: Betrüger unterwegs

Ich finde dieses Verhalten doch recht erschreckend und alles andere als seriös. Zumal es sich augenscheinlich um einen ehemaligen Kunden von soniXCast zu handeln scheint.
Besonders interessant sind auch die Kommentare einiger soniXCast Fans/ Kunden. Sie zeugen zum Teil von wahrhaft hoher Intelligenz 😀

Ebenfalls erschreckend ist die Tatsache, dass Herr Brian Walton, der Inhaber von soniXCast, öffentlich auf der Facebook-Seite Daten von Kunden (Vor- und Nachname) inkl. der Domain und dem offenen Rechnungsbetrag bekanntgibt, siehe Screenshot:
soniXCast

soniXCast Facebook SeiteAnm.: Kundennamen und Domains zum Schutz der betreffenden Personen unkenntlich gemacht

Im Supportforum von soniXCast schrieb Inge Walton (Co-Chairman and Chief Operations Officer):

[…]
Hier im Forum wird nach kontospezifischem Support (wie z.B. wie lange ist meine Kuendigungsfrist?) gefragt – den wir natuerlich aus Datenschutzgruenden hier gar nicht leisten duerften.
[…]

Ah ja, ich verstehe. Die Daten (Vorname, Nachname, Domain) und den offenen Rechnungsbetrag auf Facebook zu posten ist natürlich vollkommen Datenschutzkonform!?! (Achtung: Ironie)

Ich frage mich, was würden die Kunden von Herrn und Frau Walton machen, wenn ihre Stromanbieter, oder ihre Versicherungen, ihre offenen Rechnungen mit ihrem vollem Namen im Internet veröffentlichen würden?

Soviel zum Thema seriöse Firma… 😉

Was meint Ihr?

Social Media

Wenn Dir der Artikel gefallen hat, würden wir uns über eine Bewertung oder ein "Like" freuen.

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Loading...

Bisher keine Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

You may use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>