Methoden der eMail Spammer - HTML Crypt!?

#1 Guten Abend,

also ich bitte mal um ein paar Informationen und Tips zu diesem SPAM. Mich interessieren diese netten Mails, vor allem weil sie mit so ausgefeilten Tricks arbeiten. Bei Heise Security ( http://www.heise.de/security/news/meldung/43440 ) war zu lesen, dass einige Mails beim Nachladen von Bildern die email-Adresse verifizieren können, und das auch schon beim Ansehen im Vorschaufenster. Also kriegst du noch mehr....
Jetzt habe ich mir mal eine dieser typischen SPAMs genauer angesehen, und da finde ich undefinierbaren Code, den ich mir nicht erklären kann. Im Quellcode siehst du erstmal nur Buchstabensalat wie PGh0bWw+DQo8 zum Beispiel. Ich nehme mal an, das ist 7-Bit-Code, der von den Mailclients in 8er verwandelt werden muss. Denn lässt du dir diese Mail als Text anzeigen, und schon erscheinen 2 Links und danach kommen eine ganze Reihe von Buchstabengruppen, die mir völlig unerklärlich sind: "crthm ezffq bggbn tkohi bgwqd" und so weiter.
Lässt du jetzt die Mail als HTML ausführen, so wird die erste Adresse nachgeladen, man sieht dann im Mailfenster nur die gerade geladene Seite; von diesem Code ist nix mehr zu sehen.
Mich interessiert aber: Welchen Sinn haben diese Buchstabengruppen? Die werden ja wohl nicht umsonst da stehen.
Außerdem: Wo steht der HTML-Code, der die Seite nachlädt? Da muss doch irgendwo ein GET oder IMG SRC= stehen.

Gruß Reinhart

#2 Meinst Du so etwas ? :

Zitat

<x-html>
<html>
<body>
<center>
<font face="verdana" size="+3">T<kdodqtlcgrcnz>he on<kjfjuqucbnoqqf>ly sol<kcnvzxedarg>utio<kqcbpfdcafzvdvc>n t<kolyenjbhmkg>o P<kncanvudnjuikb>en<kwqcjjbqormxkc>is E<kfpeahzdpee>nl<krxkcjebqumk>arge<kdbrvqxbewpfaqc>ment</font>
<br><font color="white">wxsqtxtvaucn zbwjkiyafj</font><br>
<font size="+2" face="arial"><b><font color="#F30101">O<kxrptnacbcctbr>N<kavfhbzbopbchb>LY THI<knmttgajywrdudo>S WE<kfsqxsxdbrvto>EK:</font></b> A<kjkbgfqbhftg>dd a<ksiaskxcphclg>t lea<klnhlyrbsudlohd>st 3 IN<kqbsyigrqhov>C<kaqcwvkbsnle>HES o<kjdynpodckdg>r g<kopnkvkbv>et yo<ksefifgcamxh>ur m<kkmruwoddndwdd>on<kdydexkbyqng>ey ba<kxmcegefjienr>c<kyizsafgjnc>k!
<br><font color="white">pruplzcdtjaerc rsvsjichmta</font><br>
<table width="600">
<tr>
<td>
<font face="arial">
W<kvjhadibhxrvg>e ar<kysfcmfdlzpfptc>e s<krhjsixykkrjkdq>o s<kqqmvzobmulngy>ur<kkxdrutftyikexn>e ou<kelwmtedyomqyb>r pr<kscrhyfbezftx>odu<kxqftxbodagcxc>ct wo<ktfzhjvinpr>rks w<kocxvycdgocwl>e ar<kvtocrwbadcexu>e wil<kvkcqgyczzjrjwd>li<knlavrrbhycxvi>ng to pr<kmfobaedpgr>ove i<krvtxjhbbzhiq>t by o<kgwushkbhwv>ffe<kwezlfvcqjghai>ri<kuhspbsdnpefyry>ng a <b>f<kqaaqlldzqns>ree tr<kasaqkoclorybr>ia<kddkdwiquguadqr>l bot<kqcdaysdycqe>tl<kltynlhbpmhjkcc>e</b> + a <kujklwndfrccr>1<kjcoufadnfnvg>00<ktwgqufdlpt>% <b>mo<kjsbypqcgsnoyo>ney ba<kjurwstdqjor>ck g<kqlgwlydaogai>uar<kfsyvzcplqzzh>ante<kwmxqexbvheg>e</b> up<kafgosvdatchn>on pu<knxazxvyecr>rc<kpesitwbntksefd>ha<kskarycbuaqorp>se i<kbxndkmbgyowmg>f yo<kzwfsqrdwvo>u a<klogbrgdnpces>re n<kuiolqycurimc>ot sat<kwwwvpecxckggib>isfi<kxkizbxcaibcozd>ed wit<kfyjsngdapg>h th<kcplczwcekgnu>e re<kyjgzmedoohhuqz>su<khwqjjybfstiet>lt<kskquqgbqqjcce>s.
</td>
</tr>
</table>
<p><font face="verdana" size="+2"><b>-<ktunxdviaeuhkd>-<kxrikbkcqfumf>-<kaeklplelnfoncl>><kqsrmqqdiwmdwd></b> <A
href="http://uixclidgzdw@kingherbal.biz/m9n8b7v6/vp/">C<kptpokocjxroymd>li<kouzcgzcnxerxtd>ck
H<khaulrfbzmtkb>e<khdaxvqmcauct>r<kycdgqecwgwzeh>e
T<kglgfmldfhvb>o Lea<kdorgaecfzzgw>rn M<kslbizhchsziplb>or<kyrfjtunkee>e</a> <b><-<kejljntchzdiui>--<kdxnclhbasfbw></b></font>
<br><font color="white">avoukidxszv ebleqedtoolq</font><br>
<table width="600">
<tr>
<td>
<font face="arial">
T<kinajtfbyipoi>he<kkmxisgbdzrm>re ar<kkbtlpecvngh>e al<kssyvmbypgukob>so pe<krssbhbdeutd>n<kjbvdpsbhuhzkk>is pa<ksulprnbhfqpdlc>tch<kkocqzwpwbpvudd>es a<kpvfaqqcuqlgyo>vai<kpcfyopdtpsuzp>lab<kgbvrpxcikzqc>le. Si<kuwmfzpbhkosuv>mp<kfjgdjwdvznbgk>ly sl<kbltzibcugza>ap th<klwcumkdvibesdd>em o<kxlplcxbzcal>n l<ksnkgrsdlqjcxzc>ik<kqosmtpdapr>e ni<kxmqpzedhscj>co<kobedfrdrboe>tin<kdwjojbbylov>e p<kpgngzcdaxre>at<kabehigbespfns>che<kuvwltmdfkvqwmd>s, <kxqpxsfbjpgarj>Ju<kxcluohcxdwzf>st l<kvbhccudbtj>ik<keiizunbjwdsfd>e th<kctuknocldjs>e p<kjbpkluohaknyb>en<kzohwcidumqyxvc>i<kpsabildbmaiq>s e<kvmbxrudceoyur>nl<knsypixdqnryru>ar<krxunshcnggbts>gem<khamarxdlhxo>ent p<ktcowvodsru>i<kwcruuudtijx>ll<khpjsuicdhgho>s th<kcewqpfoatdjfu>er<kokzafncxmj>e i<korhnffbrdbmpkb>s al<kzmreiocjpim>s<kmpnkjqbjip>o a <b>f<khcopzbcqcggzr>r<kztrcsncmld>ee tr<kunptnjbzsygqc>ial mon<korrsqebejdklz>th</b> + <kybisizcmvrcm>a 10<kvjekidcwbz>0<ksazshkdioygrs>% <b>mo<kcvyvulbdyi>ney b<kqltltubsjcm>ac<kbpjojjcldxlyqd>k g<kannlnnczrj>ua<kokjsuqcnsuwp>ran<kvpztntdwfftkvc>te<kwdvsqddxeisv>e</b> u<krzofqedotjaec>p<kernnpmccaalj>o<krgsqcucart>n p<kbahwdadjgiykd>urc<kgpiztwfcyxlxdm>has<kiqcmoudvmvzv>e i<knsozwlblplkerc>f y<kmuvifsdiqgf>o<kcsfkvccfercjx>u a<khmhzhrcgvvffn>re no<kmkkypsckumb>t sa<kwnoymbwkvirp>ti<kqksdnmmuhgkndr>sfi<kuanpybbofu>ed w<kpegftsddiberh>ith th<kvsluiqcyih>e re<ktpkqhpwdeja>s<kqdjpflyofjoe>ult<kjqdeclchzudio>s.
</td>
</tr>
</table>
<p><font face="verdana" size="+2"><b>-<klndxcwdfscmk>-<kyyycrddsifuzid>-<kjyrnhkvuua>></b> <A
href="http://ixrcjobtor@kingherbal.biz/m9n8b7v6/patch/">Le<kdzqbmqdqyrl>ar<kzbkoxsdafhjo>n abo<kyynvunbbqwl>ut
t<keflzqljrpmcna>his
ex<krlgqwpdcyu>citi<kptsgvisuqlvud>ng ne<kzzzvnkbpvdlrud>w p<kkbhjxfbookd>rod<kzopiibgpfwzi>u<kvhquekcais>ct<kxdcjqwdpssm>!</a> <b><<kbpqudlbcsy>-<kqhnayibkaixhrc>-<klyqpykbrsox>-</b></font>
<br><font color="white">ocsbexdbqkjxh ydknxobsnfwdj</font><br>
<br><font color="white">uiclgwmtuzqhd drzzrqbdby</font><br><p>
<br><font color="white">yaqqlsdopcdc mwdtllcgwzfgw</font><br>
<font size="-2"><a href="http://yhcugwdevgxdg@herbal999.us/optout.html">N<kicryyjchgo>o mo<knbwdupcnoa>re of<krwbamyugfiodf>fe<kgkzuoydqpgor>rs</a></font>
</html>


</x-html>

In meinen Augen sollen hier Spamfilter umgangen werden. Mehr Bedeutung kann ich dem nicht abgewinnen
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 He, Joshi,

danke für deine Vermutung, die stimmt wohl, denn ich bin jetzt auf den Trichter gekommen:
Wenn du die <Tags> in deinem Quoting oben weglässt und ziehst die Buchstaben dazwischen zusammen, dann liest sich das so:
"The only solution to penis enlargement" und so weiter, das kennen wir ja.
HTML gibt nämlich keine Fehlermeldungen aus, wenn du was falsch schreibst, sondern ignoriert alles, was es nicht erkennt. Dies machen sich diese Ar***lö*** zunutze. um die Filter auszutricksen.

Kennt jemand nen Link, wo diese Techniken genauer erläutert und diskutiert werden?

Gruß Reinhart

#4 Möglicherweise hier:
http://forum.antispam.de/
__________
Durchsuchen --> Aussuchen --> Untersuchen