Spam und Phishing von eBay himself!

Gestern bekam ich eine Mail von eBay - eine Rechnung für den vergangenen Monat, immerhin habe ich ja etwas verkauft und eBay möchte daran auch etwas verdienen. Soweit ja noch alles okay, denn würd ich denen nix zahlen wollen, würd ich da auch nix verkaufen. Erstaunt hatte mich die Mail schon, denn ich durfte sie aus meinem (nicht all zu leerem) Spam-Ordner rausfischen (ich guck da alle paar Tage mal drüber, ob evtl false-positives gibt).

Die große Frage ist natürlich, wie die Mail dahinkommt, also schau ich sie mir mal genauer an:
From: billing@ebay.de
To: sargentd@sargentd.net
Cc:
Subject: ***SPAM*** eBay-Rechnung für Sonntag, 15. April 2007
Date: DO 19, APR 2007 09:29:04

Ein leeres Cc:? Wozu dass den? Die schicken doch keine Bccs an info@bundestrojaner.de und haben vergessen den Cc: Header zu entfernen?
UTF-8 kodierte Daten im Subject? Sowas gehört sich auch nicht (ohne das entsprechende verpacken in lange hässliche 7-Bit Strings).
Ein deutsches Datum, ohne Zeitzone, ohne nix? Wie soll den mein Mailer sowas parsen (gut, er könnte raten, aber wenn ich dran denke, dass ich hier auch schon mal Mails aus Japan und Brasilien habe...)

Aber das reicht nie und nimmer für ein Spam-Score > 4.5 um das als Spam zu markieren...

Mal sehen, was der SpamAssassin so alles geloggt hat:

X-Spam-Flag: YES
X-Spam-Score: 5.232
5.2? Nicht schlecht... Das schaffen nicht mal alle richtigen Spammer...

X-Spam-Level: *****
X-Spam-Status: Yes, score=5.232 tagged_above=-1000 required=4.5
tests=[AWL=-2.127, BAYES_00=-2.599, DATE_IN_PAST_12_24=1.247,
DATE_IN_PAST? Naja, nicht ganz, aber wer einen nicht parse-baren String da hinklatscht verdient es nicht anders...

DNS_FROM_RFC_ABUSE=0.2, FUZZY_CREDIT=1.079, INVALID_DATE=2.193,
RFC_ABUSE? Geil, wenn die da wirklich gelistet sind - Idioten
FUZZY_CREDIT? "Attempt to obfuscate words in spam"? Seh ich in der Mail auf den ersten Blick zwar nicht, aber SA wirds schon wissen...
INVALID_DATE? ACK!

NO_REAL_NAME=0.961, SPF_PASS=-0.001, SUBJ_ILLEGAL_CHARS=4.279]
NO_REAL_NAME? Stimmt, ist eine Maschine, aber "eBay Rechnungs-Abteilung <rechnung@ebay.de>" wäre schon schön.
SUBJ_ILLEGAL_CHARS? Ahjo, wer da es nicht schafft das richtig zu kodieren, selbst schuld.

Und was lernen wir daraus? Hätten de Jungs mal dran gedacht und einen fähigen Frickler anstatt eines MSCEs als Programmierer einzustellen, wäre da nu nicht passiert - und das alles wegen läppischen 2 Euro irgendwas

Comments

No comments.
Send your comments to evgeni+blogcomments@golov.de and I will publish them here (if you want).