Ein Blog-Leser hat mich zum 6. Oktober 2025 informiert, dass er in seinem Unternehmensumfeld mit Spam-Mails aus Google Newsgroups geflutet wird, obwohl die Empfängeradressen nicht in der Newsgroup registriert sind. Und ein zweiter Leser hat mich ebenfalls am gleichen Tag per Mail gemeldet und sich über Google Spam Mails beklagt. Ich fasse mal beide Meldungen in einem Sammelbeitrag zusammen. Vielleicht können Leser sich einen Reim drauf machen.
Leserklage über Google Spam Mail
Daniel hat sich zum 6. Oktober 2025 per Mail mit dem Betreff "Google Spam Mail" gemeldet und schrieb, dass es seit Monaten Spam-Mails über Google-Server – wohl über irgendwelche Listen – gebe. Kein bekannter DNSBL-Anbieter setze Google oder Microsoft auf Blacklist. Daher seien die Anbieter super, um Spam rein zu waschen. Der Leser hat alleine 120 Mails nur im Oktober (bis zum 6.10.) erhalten.
Obiger Screenshot zeigt die entsprechenden SPAM-Mails mit ihren Betreffzeilen – es ist schon heftig. Der Leser bot noch an, den Header bei Bedarf zu liefern – aber in nachfolgendem Abschnitt findet sich ein solcher Header.
Gibt es eine Neuauflage des Newsgroup-Spams?
Ein weiterer Blog-Leser hat sich ebenfalls zum 6. Oktober per Mail gemeldet, weil er seit Tagen wohl mit völlig themenfremden Mails bombardiert wird (betrifft wohl das Unternehmensumfeld des Lesers). Die Masse der SPAM-Mails reicht von delivery failures, über Abwesenheitsmeldungen und geht bis hin zu "Danke für ihre Anfrage" usw. Obiger Screenshot zeigt den Trend.
Der Leser vermutet eine Neuauflage des von mir im Beitrag Problem: SPAM-Welle über Mailing-Listen (Google Groups, Microsoft) angesprochenen Themas. Allerding sind die per SPAM gefluteten Empfänger gar nicht Abonnent der Newsgroups ist.
Header verweisen auf Googlegroups-Meldungen
Den Headern nach sind das, so der Blog-Leser, alles Reaktionen auf Googlegroups-Meldungen, die dann als Rückläufer auch an das Unternehmen des Lesers an zwei Adressen weiterverteilt werden.
Oft wird dabei in den SPAM-Meldungen die Antwort triggernde Spam-Mail zitiert, was wohl die Absicht ist und zu seiner Verbreitung führt. Manchmal sei, wie im Beispiel unten, nur noch aus dem Betreff ersichtlich: "Re: Magnetische Mini-Kamera – ganz ohne Bohren", dass es sich um SPAM handelt.
Allerdings hat das Unternehmen keine dieser Newsgroups abonniert und die Mail-Adressen sind auch nicht im Verteiler eingetragen.
unsubscribe-Mail funktioniert nicht
Mails an die unsubscribe-Adresse "List-Unsubscribe: <mailto:googlegroups-manage+1049103205925+unsubscribe@googlegroups.com>", bringt folglich wie erwartet Fehlermeldung "We have received your request to unsubscribe from li. However, you do not appear to be a member of li, so we have taken no further action."
Antwortmail an Spamcop hilft nicht
Schickt man das Antwortmail an Spamcop, wird folgendes als Quelle genannt:
Re: 217.92.159.49 (Administrator of network where email originates) To: abuse@telekom.de (Notes) Re: http://www.isd-internet.de/ (Administrator of network hosting website referenced in spam) To: support@dsi.net (Notes) To: postmaster@dsi.net (Notes)
Das ist aber "nur" der Sender der Automatik-Antwort, nicht der Spammer und sein Netzwerk. Der Leser schrieb mir: "Wie genau diese neue Google-Groups-Spam-Masche funktioniert, also wie die Adresse der Organisation, in der der Leser arbeitet, in den Groups-Verteiler und/oder als BCC in den Autoreply-Verteiler gelangt (Adressat ist ja support@ha.msw-bd.com; Domain ist leer und registriert in Bangladesh) verstehe ich nicht".
Der Leser meint, dass derzeit zudem massenhaft Spam über Google und geschützt über Cloudflare kommt sei ja bekannt. Beide Unternehmen würden nichts dagegen tun und auch die Hoster der Spammer hinter dem Cloudflare-Schutz nicht einmal informieren. Hier noch der Header einer Mail.
Return-Path: <redaktion@xxxx-information.de> Authentication-Results: kundenserver.de; dkim=pass header.i=@ha.msw-bd.com Received: from mout-xforward.kundenserver.de ([82.165.159.10]) by mx.kundenserver.de (mxeue103 [217.72.192.67]) with ESMTPS (Nemesis) id 1MuWOK-1uEPHy43zG-012ZTR for <redaktion@xxxx UI-Loop: V01:k6EeymxrU7o=:8QPPySDSo9I2yXBt/xvULn8ohptNaliFGATov7hI/PU= Received: from mail-ed1-f70.google.com ([209.85.208.70]) by mx.kundenserver.de (mxeue003 [212.227.15.41]) with ESMTPS (Nemesis) id 1MT8O7-1uhe5b2ILX-00S8Fj for <redaktion@xxx-information.de>; Mon, 06 Oct 2025 10:31:40 +0200 Received: by mail-ed1-f70.google.com with SMTP id 4fb4d7f45d1cf-637edce76d5sf4271822a12.3 for <redaktion@xxx-information.de>; Mon, 06 Oct 2025 01:31:40 -0700 (PDT) ARC-Seal: i=2; a=rsa-sha256; t=1759739500; cv=pass; d=google.com; s=arc-20240605; b=ihCcboYPOHmuer9kpob39WjNNnS0WwZ0WW7p380L4l2/SQI07no+N+h/zorpJw06Si W7wIzDiZ0hf0VRS/2IsBid73rfhSEYrCTZeUDLf7NLkXUhln/z2uc3yKkHg5IbYi1bu3 oYQgLit2ymWTjwgmqkNaPWD5pJVSWs2pW7W2j9mKnge2W5krSu/ck2SJEfnzhof7vxBu iplX/gwfA8zX3sC1CszlGamB2KTaunxOKenEgVTW9q6qogHuICVo6Tm/Q/4glqg6/rB6 91oUsdLMPQF+E7TOFsXNwrCbjL5ddUBtvgJyGZQzuBXf1YHHOqdx0bjF1QBnEY0lOqSx x+4w== ARC-Message-Signature: i=2; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=list-unsubscribe:list-subscribe:list-archive:list-help:list-post :list-id:mailing-list:precedence:date:mime-version :content-transfer-encoding:message-id:subject:references:in-reply-to :to:from:sender:dkim-signature; bh=BMNzO0JmL9vT0y/ARru9G7ZdIv9hAKFpTk1ZTmWF2nU=; fh=t87i0qGUc/fngN72XLD/Qpbpkw9b4kLJlMgW0R8d94s=; b=Ku8b5GqltEnjM5Y8IboBTV5v2zHJPmTEm2z+a5+XPf/xgZJOYKB8+o94PN77M76ZL3 /jFbG9ROaXpBck3HLMKxoi/N51ZnuQuxfrD2EwNtv35ky7BCNjp9+5PrJlSd/NPGAVQX rvUFZiCH9LHdRyAjm69rb7Fk0GsSAGqSIbtpwuCbNtR8M0Ck0c/y+zmw3JUI/0mhgsCq uES/bKKkwpL7PleW/uBUff/HHmDq7zwtmqsBZ6zpoFEXEh1Y2FmbujEvhqHWFKqXYWEy DyRXWpswFBE375nmdMsNGWfy/UKwjz5MNQh5aYMc061A2x0UGUNtncG8Wfz9Hx57AMFa qeQQ==; darn=xxx-information.de ARC-Authentication-Results: i=2; mx.google.com; spf=pass (google.com: domain of allenberg@isd-internet.de designates 217.18.190.4 as permitted sender) smtp.mailfrom=allenberg@isd-internet.de; dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=isd-internet.de DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ha.msw-bd.com; s=google; t=1759739500; x=1760344300; darn=xxx-information.de; h=list-unsubscribe:list-subscribe:list-archive:list-help:list-post :list-id:mailing-list:precedence:x-original-authentication-results :x-original-sender:date:mime-version:content-transfer-encoding :message-id:subject:references:in-reply-to:to:from:sender:from:to:cc :subject:date:message-id:reply-to; bh=BMNzO0JmL9vT0y/ARru9G7ZdIv9hAKFpTk1ZTmWF2nU=; b=gt52rgMFoi1bT1/zfm83RMIyUJKXV7NTWWtzTwZeyGTsmcB9F6PdjszpARuwcNSGv/ AoD4c6IBhQjivfJzlX787tUaiD9LhbI1sFyzhOMa7InyPY+UDryoTAs6dd6KSOg1tntK CAtb7Lv4iyh9hJR0q9zGGkSlGauaUsTPtHo4I= X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20230601; t=1759739500; x=1760344300; h=list-unsubscribe:list-subscribe:list-archive:list-help:list-post :x-spam-checked-in-group:list-id:mailing-list:precedence :x-original-authentication-results:x-original-sender:date :mime-version:content-transfer-encoding:message-id:subject :references:in-reply-to:to:from:x-beenthere:x-beenthere :x-gm-message-state:sender:from:to:cc:subject:date:message-id :reply-to; bh=BMNzO0JmL9vT0y/ARru9G7ZdIv9hAKFpTk1ZTmWF2nU=; b=dQ+cLozVw5V62vKFyqIqM3A3fM9n4CA7qF/VaK0E6HSvneMD0tqaVhLDa4yzaE7BU/ c/muivcxX/Ry5weMp8d4yYZHRI7dS0D5r/Had3Kasa83odafHsEuv0oxq8gplinBLuo2 kktMSsE/7knOyM9+6Cx5NQz95AHOzhFWSNvIAYp8ODA/01sl3TrmH/T1UbotM3KBsBDb z5CjQM3+WKbidH7vUSBQ8zY15CmdOmJLC8r+whiDHelebJi8jW1ESoZrZJp9sqgETxkZ 2q3dPjEMCwtET5Icgb3j2lfEcGesAAeIAwpfz/15oXBby7NJrONs303Jc2484S/JVewj sbfQ== Sender: ta@ha.msw-bd.com X-Forwarded-Encrypted: i=2; AJvYcCXUsz4UNU2JALGeC6romQWNfJYz+1E8jxY9q/s0BN0MlYo1VAoODD6hTWBT4653FLU2A81afBwHa+I=@xxx-information.de X-Gm-Message-State: AOJu0Yye2ps6+kfawksE2kRSD/ohRtQvr3gjWeIact9yRa/kIcxXOAK5 HAp3ARdYiqLnkA0dnSxoUPEvXIMeV1KSrAbjWezBP0RnnxgKYJ4T4EJqQ97pY2xBuiA= X-Google-Smtp-Source: AGHT+IGNUSfSqb0sk0HyRNJ1lAurOWh+asnwYg2R9HypRVCJY/NdF2fH5oABpOUez+vl9DjR87sZ0w== X-Received: by 2002:a05:6402:1ec2:b0:638:afd9:e96d with SMTP id 4fb4d7f45d1cf-639346b88fbmr12522103a12.1.1759739499086; Mon, 06 Oct 2025 01:31:39 -0700 (PDT) X-BeenThere: ta@ha.msw-bd.com; h="ARHlJd4cUCxxzqUVoBekbXGP7M7XnzWTgTmvzaItqXwtuxyrwA==" Received: by 2002:a05:6402:894:b0:618:8cd:5cc1 with SMTP id 4fb4d7f45d1cf-6378704b8dels4407833a12.2.-pod-prod-04-eu; Mon, 06 Oct 2025 01:30:30 -0700 (PDT) X-Forwarded-Encrypted: i=2; AJvYcCVx8rS8Q/E3qoCmhH8iT1TjTJQUZvvxMiDBqvMdBKEsTUlm3jyDY1SE8lVaRikNYA/QpA==@ha.msw-bd.com X-Received: by 2002:a05:6402:42c7:b0:636:f3b9:a4ee with SMTP id 4fb4d7f45d1cf-639346b8743mr13233696a12.3.1759739430212; Mon, 06 Oct 2025 01:30:30 -0700 (PDT) X-BeenThere: susdhsdeesdsdsdort@ha.msw-bd.com; h="ARHlJd4hBq8/KzQPF4WyNkM16OLY9JAoONbNSA3ESiWDPmmI3g==" Received: by 2002:a05:6402:42c7:b0:636:fb53:ea3 with SMTP id 4fb4d7f45d1cf-63837a7acbcls4860308a12.1.-pod-prod-04-eu; Mon, 06 Oct 2025 01:30:27 -0700 (PDT) X-Received: by 2002:a17:906:6a1f:b0:b40:5752:16b7 with SMTP id a640c23a62f3a-b49c3f739bbmr1553128566b.51.1759739427132; Mon, 06 Oct 2025 01:30:27 -0700 (PDT) ARC-Seal: i=1; a=rsa-sha256; t=1759739427; cv=none; d=google.com; s=arc-20240605; b=h5RQiPIQLIk2heiIufafzkU/gRE4iomEevdh+JAWkvpA6ibL3AXSNK93IOpopxV65B HClYKozu0UnPJgG272IRJ+tgANY5M5vLdd+0hpEYacSoV+Y8hpsLHDeYDXUjN2lVCGjo V0L9BYfFc4L3sONuMPNGx+/NwAtBQ840v2RFDuwzomLfBBW7pGQy9IbJwOUSEDyNA7Cv 18d394LCG89/oiIVVVU83jvXeritsAg2Qr7uPz5T+Oe25fFQzUFj/8sWYcKtQcK7HA7C 963tKOCymh2ZbblSSN2vFKmnOkOysplhn+oWhBlaycXDpY4V5OQK4y+TFc+iJpxjmloX 8ZFg== ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20240605; h=date:mime-version:content-transfer-encoding:message-id:subject :references:in-reply-to:to:from; bh=BMNzO0JmL9vT0y/ARru9G7ZdIv9hAKFpTk1ZTmWF2nU=; fh=4EqQTt7xAL02kClknZQHsOroio6c0E6cWL5NIPwYQ2I=; b=hs420vcx5FAlv4mLuESuE1sc1ndQjIrj9b9X1G18rPUB9VW6PSyAxEP0+U/J7c/aGV IVM/hW0+M73cTvTQ24pVrygiXUyEGVPmDAo6hfnvPgSrdR45zH9CaZaiojHXhdGyRYIk +BnE6BZS1Ykfbk/cigK/OGX/+cJK2yuO20r10nRDdD1QotwHrKurtv88F47QO27xOi+M Pkr1qxNW3kjEQNBeOiHYLIHAl2ISC6eMb+ifCTKyAVQ4JygNxncOOFXUalV8wL9tuO6m iLyAO+zOIyP0rDgzy/reNvXy2PmXcPNvopXuhgZe7DRdpMvwMhCuuIcB+7oBLBjf9OX2 Gncw==; dara=google.com ARC-Authentication-Results: i=1; mx.google.com; spf=pass (google.com: domain of allenberg@isd-internet.de designates 217.18.190.4 as permitted sender) smtp.mailfrom=allenberg@isd-internet.de; dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=isd-internet.de Received: from mail.elb-florenz.de (mail.elb-florenz.de. [217.18.190.4]) by mx.google.com with ESMTPS id a640c23a62f3a-b486a173368si766032566b.695.2025.10.06.01.30.26 for <support@ha.msw-bd.com> (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256); Mon, 06 Oct 2025 01:30:27 -0700 (PDT) Received-SPF: pass (google.com: domain of allenberg@isd-internet.de designates 217.18.190.4 as permitted sender) client-ip=217.18.190.4; Received: from tux.isd-internet.de (mx20.isd-internet.de [217.92.159.49]) by mail.elb-florenz.de (8.15.2/8.15.2) with ESMTPS id 5968UQAN014490 (version=TLSv1.3 cipher=TLS_AES_256_GCM_SHA384 bits=256 verify=NOT) for <support@ha.msw-bd.com>; Mon, 6 Oct 2025 10:30:26 +0200 Received: from localhost (localhost [127.0.0.1]) by tux.isd-internet.de (Postfix) with ESMTP id 6250C229609 for <support@ha.msw-bd.com>; Mon, 6 Oct 2025 10:30:26 +0200 (CEST) X-Virus-Scanned: by Amavis at tux.isd-internet.de Received: from tux.isd-internet.de ([127.0.0.1]) by localhost (tux.isd-internet.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 8QS7tU1NMjwg for <support@ha.msw-bd.com>; Mon, 6 Oct 2025 10:30:23 +0200 (CEST) Received: from SRVAPP2.isd.local (unknown [10.0.162.202]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by tux.isd-internet.de (Postfix) with ESMTPSA id D82AD22909D for <support@ha.msw-bd.com>; Mon, 6 Oct 2025 10:30:23 +0200 (CEST) From: "Andreas Allenberg" <allenberg@isd-internet.de> To: support@ha.msw-bd.com X-Priority: 1 (Highest) X-Mailer: powered by FLOWFACT 2023 R5 In-Reply-To: <00100199b8a402c9-0300-05a86d3a-170f-45f4-a3ae-b213dbadbcb7-98bd8ba0-a28e-11f0-84bc-8db557f4e9f0@reise-top10.p.tawk.email> References: <00100199b8a402c9-0300-05a86d3a-170f-45f4-a3ae-b213dbadbcb7-98bd8ba0-a28e-11f0-84bc-8db557f4e9f0@reise-top10.p.tawk.email> Content-Type: text/plain; charset="utf-8" Subject: Re: [#6004] Magnetische Mini-Kamera =?utf-8?B?4oCT?= ganz ohne Bohren Message-ID: <DDC19380BB6B44D7AE1FD9C4CCEB54C0@flowfact.com> Content-Transfer-Encoding: quoted-printable MIME-Version: 1.0 Date: Mon, 06 Oct 2025 10:30:23 +0200 X-Original-Sender: allenberg@isd-internet.de X-Original-Authentication-Results: mx.google.com; spf=pass (google.com: domain of allenberg@isd-internet.de designates 217.18.190.4 as permitted sender) smtp.mailfrom=allenberg@isd-internet.de; dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=isd-internet.de Precedence: list Mailing-list: list ta@ha.msw-bd.com; contact ta+owners@ha.msw-bd.com List-ID: X-Spam-Checked-In-Group: susdhsdeesdsdsdort@ha.msw-bd.com X-Google-Group-Id: 1049103205925 List-Post: <https://groups.google.com/a/ha.msw-bd.com/group/ta/post>, <mailto:ta@ha.msw-bd.com> List-Help: <https://support.google.com/a/ha.msw-bd.com/bin/topic.py?topic=25838>, <mailto:ta+help@ha.msw-bd.com> List-Archive: <https://groups.google.com/a/ha.msw-bd.com/group/ta/> List-Subscribe: <https://groups.google.com/a/ha.msw-bd.com/group/susdhsdeesdsdsdort/subscribe>, <mailto:susdhsdeesdsdsdort+subscribe@ha.msw-bd.com> List-Unsubscribe: <mailto:googlegroups-manage+1049103205925+unsubscribe@googlegroups.com>, <https://groups.google.com/a/ha.msw-bd.com/group/ta/subscribe> X-Spam-Flag: YES X-Spam-Flag: YES UI-OutboundReport: junk:10;M01:P0:hNKbVXF/jnY=;0EhWj7FKxYlo/qq5jyeDLNAHAIowf ****
Hat jemand aus der Leserschaft eine Ahnung, wie die Empfängerlisten in die Google-Gruppen kommen, oder wie die Spammer den Mechanismus zum Mail-Versand missbrauchen. In diesem Forenbeitrag wird das Thema ebenfalls diskutiert.
MVP: 2013 – 2016
Bin auch betroffen.
für mich sah es so aus, als ob die spammer auf gehackten Drittanbieter-Servern eigene Mailinglisten hosten, bei denen ich dann Mitglied bin.
dann senden sie ihren spam von irgendwo an diese mailinglist.
Ich bin ebenfalls betroffen und ich weiß nicht, was die damit bezwecken wollen. Jeden Tag rollen mehrere Wellen dieser Spams. Ich konnte es nur eindämmen indem ich den fehlenden DKIM und SPF Einträgen einen höheren Malus Wert zugewiesen habe. Seit dem ist Ruhe, aber am Tag summiert sich das auf mehrere hundert Mails. Normalerweise geht sowas immer an meine Info Adresse. Aber das geht an meine persönliche Adresse.
Die Absenderadressen sind auch interessant. Selbst Handelshof war schon als Absender dabei, aber immer über den Google SMTP.
Auch ein Lidl, Dyson und co war schon mit dabei, aber sind eben nur irgendwelche Eingangsbestätigungen usw., und einige Leute die mit Anwalt drohen und fragen wieso man die zuspammt.
Nur zu, dann aber gegen Google wenden, den Spamer dahinter wird man eh nicht ran kommen.
Leider wurde die SpamAssassin nicht im Artikel genannt, nun gut, diese hier anbei für euch die radikal sämtlichen weitergeleiteten google Müll als Spam ausmisten wollen und am Server selbst etwas machen können.
header LOCAL_GOOGLE_HELO Received-SPF =~ /helo=.*\.google\.com/i
header LOCAL_GOOGLE_FORWARD X-Forwarded-Encrypted =~ /\S/
header LOCAL_GOOGLE_ORIGINAL_SENDER X-Google-Original-Sender =~ /\S/
meta LOCAL_GOOGLE_SPAM (LOCAL_GOOGLE_HELO && (LOCAL_GOOGLE_FORWARD || LOCAL_GOOGLE_ORIGINAL_SENDER))
score LOCAL_GOOGLE_SPAM 10.0
describe LOCAL_GOOGLE_SPAM Spam vom Google mit Weiterleitung über Zwischenproxy
Wer es nicht kann, sollte prüfen ob Produkt das richtige ist.
Wenn man sich header anguckt, würde ich dem Spamer auch nicht noch aktiv mitteilen vonwegen, hey meine email existiert nimmt die bitte raus. Beispiel:
Mailing-list: list pkzn@ zn.nachhaltigelise_de; contact pkzn+owners@ zn.nachhaltigelise_de
List-ID:
X-Spam-Checked-In-Group: service@ zn.nachhaltigelise_de
X-Google-Group-Id: 320817839263
mailto pkzn@ zn.nachhaltigelise_de
Leider wurde die SpamAssassin nicht im Artikel genannt, nun gut, diese hier anbei für euch die radikal sämtlichen weitergeleiteten google Müll als Spam ausmisten wollen und am Server selbst etwas machen können.
header LOCAL_GOOGLE_HELO Received-SPF =~ /helo=.*\.google\.com/i
header LOCAL_GOOGLE_FORWARD X-Forwarded-Encrypted =~ /\S/
header LOCAL_GOOGLE_ORIGINAL_SENDER X-Google-Original-Sender =~ /\S/
meta LOCAL_GOOGLE_SPAM (LOCAL_GOOGLE_HELO && (LOCAL_GOOGLE_FORWARD || LOCAL_GOOGLE_ORIGINAL_SENDER))
score LOCAL_GOOGLE_SPAM 10.0
describe LOCAL_GOOGLE_SPAM Spam vom Google mit Weiterleitung über Zwischenproxy
Wer es nicht kann, sollte prüfen ob Produkt das richtige ist.
Wenn man sich header anguckt, würde ich dem Spamer auch nicht noch aktiv mitteilen vonwegen, hey meine email existiert nimmt die bitte raus. Beispiel:
Mailing-list: list pkzn@ zn.nachhaltigelise_de; contact pkzn+owners@ zn.nachhaltigelise_de
List-ID:
X-Spam-Checked-In-Group: service@ zn.nachhaltigelise_de
X-Google-Group-Id: 320817839263
mailto pkzn@ zn.nachhaltigelise_de
Bei mir auf den Servern sehe ich das schon seit Wochen wieder vermehrt.
Immer ist am Ursprung irgend eine google List involviert und idr irgend eine Subdomain einer unschuldigen Domain.
X-Spam-Checked-In-Group: info@jur.markisetorn.de
X-Google-Group-Id: 935902109903
List-Post: ,
Mail technisch sind die großen CDN eine richtige Pest….
Hallo,
als Privatnutzer der bei keinen Google Groups ist und derzeit auch keine möchte kann man alle Mails blockieren die im Header
X-Google-Group-Id:
haben.
Möchte man eine bestimmte Gruppe filtern, dann steht hinter dem : eine Zahl. Diese bezeichnet die Googlegrupoe. Dann einfach das sperren.
Bei Mailbox.org geht das über die Headerfilter
Grüße
Alexander
bekomme das über meinen Mailserver auch seit Anfang Oktober. die Maillisten im Header existieren auch direkt nach Empfang nicht (mehr). warum man dann antworten von irgendwelchen support-adressen bekommt bzw. was der zweck ist ist mir ebenfalls ein Rätsel.
Bei mir sind auch solche Mails eingegangen. Gültige ARC und DMARC-Signaturen zwischen den beteiligten Servern.
Absendedomäne war: hj.technologieuationen.de. Alles über Cloudflare-Server. Alles aus einer Google-Gruppe. Ist in den letzten 3 Tagen auch von Kunden gemeldet worden.
Teil vom Header:
Precedence: list
Mailing-list: list lf@hj.technologieuationen.de; contact lf+owners@hj.technologieuationen.de
List-ID:
X-Spam-Checked-In-Group: lf@hj.technologieuationen.de
X-Google-Group-Id: 337418121877
List-Post: ,
List-Help: ,
List-Archive:
List-Unsubscribe: ,
X-GEM-Spam-Flag: NO
Bei uns das selbe: Mails von "irgendeine@mailadresse.xy via lf@hj.technologieuationen.de" auf das info-Postfach.
Viele Rejection-Mails von Spamfiltern, aber teils auch SupportTicket-Bestätigungen usw…
Der Sinn dahinter ist mir nicht klar.
dto.
Insbesondere der ich weiß nicht warum.
Wenns wenigstens gescheites Fishing oder Werbung für Tabletten wäre :-)
So weiß ich, dass ein Bautischler in Bayern auch in der Mailliste ist und da ist gerade Urlaub.
Vielleicht ist das der Grund. Auf Einbruchstour (physikalisch in die Hütte) weil da gerade ein Autoreply aus dem Urlaub kommt.
Hallo zusammen,
habe einen Kunden der täglich mehrere von diesen Mails bekommt, schon seit Wochen. Immer über Google News Groups aber auch verschiedene Mailadressen, z.B.:
supposddsdrt@ek.shirleyaraujo.com.br
lf@hj.technologieuationen.de
Den wirklichen Sinn habe ich aber immer noch nicht verstanden, denn es ist einfach wirklich nur Müll der reinkommt über irgendwelche Autoresponder.
Viele Grüße,
Timo
Bei uns seit zirka 2-3 Wochen das selbe Bild wie von Timo und Roland beschrieben. Die Adressen sind zwar schon lange auf der Blacklist, aber wir bekommen jedesmal auch noch Abwesenheitsnachrichten, Ticketerstellungen oder Empfangbestätigungen von den original Firmen. Die kann man ja kaum sperren, da es sich hier nur um automatische bounce Mails handelt. Das Gateway schiebt hier zwar von sich aus einen Riegel vor, ist aber eigentlich nicht zielführend. Die bounce Mails sind auch in erster Linie nicht gefährlich(noch). Mir ist auch schleierhaft, was da bewirkt werden will. Imageschaden?
Im Moment hilft da auch einfach nur Mitbarbeiter sensibilisieren und stehts ein kritisches Auge auf solche E-Mails werfen.
Es sind nicht nur Abwesenheitsnachrichten, Ticketerstellungen oder Empfangbestätigungen, sondern auch der eigentliche Spam, wenige Wort und dann ein Link zu einer Seite.
Mit der bereits genannten SpamAssassin Regel geht ganze kram bisher recht zuverlässig in den Spam Ordner.
Ich hatte überlegt, ob es teilweise auch Backscatter sein könnte. Jemand wird von Spammern angeschrieben und die eigene Mail-Adresse wird als Absender missbraucht. Die Abwesenheitsinfo landet dann bei einem selber, obwohl man die Person nie selber angeschrieben hat. Kann passieren, wenn der Empfänger SPF und DMARC nicht korrekt auswertet oder diese Records nicht korrekt gesetzt sind. Wir hatten allerdings bisher nur wenige Fälle, welche ich bisher noch als "normales Grundrauschen" abgetan habe.
Es werden ja Spam Adressen verwendet, daher scheint immer SPF, DMARC und co zu passen bzw. nicht zu greifen.
Der eigentliche Spam, den man auch erhält, geht unter weil er meist doch im Spamfilter landet.
Für meinen Postfix-Server habe ich das mit einem globalen Sieve-Script gelöst:
require "fileinto";
[…]
if header :contains "List-Subscribe" "groups.google.com" {
fileinto "Spam";
}
So geht es auch ja, letztlich haste ja nur SA Regeln oder ggf. über rspamd eine Regel anlegen oder eben über sieve.
Ich mache es halt über X-Forwarded-Encrypted in der Regel.
Wir bekommen das Zeug auch massiv an unsere Firmenadressen. Ein ganzer Teil wird geblockt, aber natürlich nicht alles. Eigentlich müsste man Google und Cloudflare komplett blockieren…
Es ist ja toll, wenn man das alles über Postfix / SA-Regeln / Mailbox.org usw. rauswerfen kann. Das sind alles Einzellösungen, die den Spammern nicht das Handwerk legen.
Und Otto-Normal-Nutzer, die zB eine 1&1-Mailbox oder gar GMX + Co nutzen, ist damit überhaupt nicht geholfen.
Die eigentliche Frage jedoch, die bisher niemand auch nur versucht hat zu beantworten, ist weiterhin: "wie die Empfängerlisten in die Google-Gruppen kommen, oder wie die Spammer den Mechanismus zum Mail-Versand missbrauchen."
Wie schon weiter oben erwähnt, hat der Kunde keine Option, ist gewählte Produkt ggf. nicht das richtige.
Manches sind realen Adressen, manche zufällig generierte welche nie existiert haben. Sieht man aber nur wenn man über Server Kontrolle hat. ;-)
Woher der Müll kommt, fraglich, kann man wohl nur eingrenzen wenn man pro Dienst eine eigene Emailadresse verwendet was kaum jemand macht. Gibt auch genug Datenlecks usw.. An den Spamer wirst wohl nicht herankommen, bleibt also nur Google zu verklagen.
Nur dazu ist wohl kaum wer bereit, da man ja ggf. Geld vorstrecken muss und im Zweifelsfall drauf sitzen bleibt.
Jeder seriöse Newsletterversender oder Mailinglistenbetreiber wird sich eine Bestätigung einholen, aber unseriöse nicht. Und faktisch muss man damit Google und Microsoft wohl zu den unseriösen zählen, da kann man problemlos zehn- oder hunderttausende Mails versenden wenn man lust hat, egal wie viele Bounce es gibt.
Aber viele holen sich dann auch noch von den beiden die ganze Cloud ins Haus unnötiger weise, und damit hat dann sogar US Behörden Zugriff drauf, da ist egal was DSGVO besagt, US Anbieter werden sich eher an US Cloud Act halten.
Wer hydriden Exchange Mist verwendet und so, dem ist eh nicht zu helfen.
Bei mir haben eintsprechende Unsubscribe-Emails geklappt, ich habe bisher absichtlich auch noch keine Rules im rspamd eingetragen, weil ich das ganze erstmal beobachten und analysieren wollte.
Ich bin seit Wochen massiv davon betroffen – Unsubscribe klappt weder per Link noch über die Mail. Auf meine Beschwerde im Google Groups Forum wurde mir nur geraten die Mails bei meinem eigenen Provider als Spam zu melden, die würden das weiterleiten (klar, nur das den Spam-Report dann ich selber bekomme…). Auf mein Nachfragen wo ich denn die betroffenen Gruppen melden kann hies es, ich solle mich mit der betroffenen Mailadresse bei Google einloggen (haha – für die gibt es keinen Account) und dort dann die Gruppe reporten. Es existiert ein Google Account für genau eine der betroffenen Mailadressen – laut Google Groups ist diese Adresse aber keiner Gruppe zugeordnet (und nur so geht laut Doku der Abuse-Report). Dieser Account hat passenderweise schon seit langem die Einstellung, dass er nicht zu Gruppen hinzugefügt werden darf ohne Opt-In – auch das hilft also nicht.
Mails an abuse@google.com waren bislang auch ohne Erfolg, die Gruppen bestehen teilweise wochenlang. Besonders toll sind die Firmen, die für jede eingehende Mail ein Ticket erstellen und deren "Ihr Ticket wurde wegen Spam geschlossen" dann gleich wieder eine Kaskade von Auto-Respondern in mein Postfach leiten.
Filterregeln wie von Eiko haben schon erste Wirkung gezeigt. Zusätzlich habe ich das selbe auch noch für den Header "Auto-Submitted" eingerichtet. Autoresponder können gerne in der Quarantäne landen(zumindest die, welche den Header enthalten). Wenn da was wichtiges drin steht, geb ich das lieber händisch frei. Damit lässt sich schon einiges bewirken(vorerst).
Es gibt da noch das Formular, aber ist auch nicht geeignet um Massenspam zu melden.
https://support.google.com/mail/contact/abuse?hl=de
Meldungen an abuse@ oder postmaster@ kann man sich besonders bei so riesen Konzernen oft sparen. Da kannst auch an Presse Mail von X/Twitter schreiben, bekommst wenigsten nen Kackhaufen Emoji als Antwort.
Und Reports über Spamcop und co. werden wohl eh verworfen.
Es interessiert ein Google, Microsoft und co. nicht, da sind Reports nur Störung des Geschäftsbetriebes. Solange da nichts über Legal Abteilung läuft oder EU Gesetze etc. ist es für die eben nur Ressourcenverschwendung.
Da müsste man ggf. schon über nen Verband entsprechend klagen, als Endnutzer wäre es wohl Verbraucherzentrale und ggf. als Hoster könnte man z.B. an den eco Verband denken.
Da war bei meinem Versuch die Antwort, dass die betroffene Absenderadresse ja eben kein gmail-Account ist und es ein Meldeformular für Spam über Gmail ist. Das das Problem eine Google Group ist, war denen scheiß egal…
Bei mir ist das heute auch komplett eskaliert.
In den letzten Wochen waren es nur so ein Dutzend Mails pro Tag, und wie viele hier habe ich dann alles was "groups.google.com" und "googlegroups.com" irgendwo im Header hatte direkt in den Spam-Ordner weitergeleitet.
Heute stieg die Zahl am Spam-Ordner aber auf einmal innerhalb weniger Stunden auf über 6500. Grund dafür waren (soweit ich das überblicken konnte) mehrere automatische Antworten, die an die komplette Liste im CC zurück gingen. Darauf haben dann wieder andere automatische Antworten aus dieser Liste reagiert, und das hat sich dann so hochgeschaukelt.
Da viele schreiben dass sie bei Gmail, GMX, Web.de und Co nicht die Möglichkeit haben Header serverseitig zu filtern, sollten sie in den Mail-Clients auf ihren Endgeräten danach suchen. Apple Mail kann es auf jeden Fall (habe die Option selbst getestet, funktioniert), und ich denke dass es auch bei dein meisten anderen Clients eine Option dafür geben sollte.
Google selbst wird höchstwahrscheinlich nichts dagegen unternehmen, die sind ja bekannt dafür soetwas einfach wegzuignorieren.
Seit heute habe ich den Filter dann auch angewiesen, die Mails mit den entsprechenden Headern einfach direkt abzulehnen. Ansonsten würden sich da in ein paar Wochen sicherlich eine fünf- bis sechsstellige Anzahl im Spam-Ordner anhäufen.
Ich habe Google Groups nie genutzt, und werde es auch höchstwahrscheinlich in Zukunft nicht tun. Das einizge Google-Produkt in Nutzung hier ist YouTube, und selbst davon lasse ich alle Mails in den Spam wandern.
Ich bekomme das auch massenhaft. Allerdings scheint meine Adresse in manchen dieser Google Groups tatsächlich drin zu sein — ich habe drei der unsubscribe-Adressen ausprobiert, die ich gefunden habe, und bei zweien davon kam eine Bestätigung, dass ich aus der Gruppe entfernt wurde.
Kann man bei einer Google Group hinzugefügt werden ohne das jemals zu bestätigen oder eine Benachrichtigung darüber zu bekommen…?
Das mit der Gruppe erklärt dann wenigstens warum sich da teilweise offenbar die Bots gegenseitig Nachrichten schicken. Da bekomme ich dann eine Email in der drinsteht dass ein Ticket aufgemacht wurde und der Inhalt des Tickets ist eine Abwesenheitsbenachrichtigung irgendeiner anderen Firma. Die ganzen replies gehen immer wieder an alle. Zwischendurch verflucht jemand die Spammer.^^
Freut euch, wenn demnächst dann auch noch KI-Agenten will loslaufen und solche Aktionen vornehmen …
Hallo, ich bekomme auch massenhaft Emails. Diese sehen aus, als ob jemand wahllos KOntaktformulare von Unternehmen mit meiner Emailadresse absendet. Heute habe ich gesehen, dass Apple mit ein "unsubscribe" mit folgender Adresse anbietet: googlegroups-manage+935902109903+unsubscribe@googlegroups.com Was kann ich tun?
Warten bis du auf der nächsten Liste bist. 🤔
Es wurden bereits Regeln genannt die man Serverseitig machen kann, wenn keine setzen kannst, ist dein Maillösung nix wert.