mitchellkrogza
To Sherlock Holmes
What are the subjects of the phishing (domains, URLs or IPs)?
null
What are the impersonated domains?
null
Where or how did you discover this phishing?
Return-Path: [email protected] Delivered-To: Received: from danwin1210.de by danwin1210.de with LMTP id oVdMGwtSomimuQoAytPQwA (envelope-from [email protected]) for <@danwin1210.de>; Sun, 17 Aug 2025 22:04:59 +0000 Received: from vm-mg-111.pmviana.local (correio.viana.es.gov.br [189.84.215.139]) (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange x25519 server-signature ECDSA (secp384r1) server-digest SHA384) (No client certificate requested) by danwin1210.de (Postfix) with ESMTPS id AC64E3EA0A for <@danwin1210.de>; Sun, 17 Aug 2025 22:04:53 +0000 (UTC) ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=danwin1210.de; s=20211204-rsa; t=1755468299; h=from:from:reply-to:reply-to:subject:subject:date:date: message-id:message-id:to:cc:mime-version:mime-version: content-type:content-type: content-transfer-encoding:content-transfer-encoding:dkim-signature; bh=FL7MLuaAY6BOcfc5rgqAeLOhkQD+PRRL+RSXmroG0Lw=; b=E7usTDuhgG6rbLqFJ7GxdyE/4oCTOdlzihvgWUy6JqWI6QY2rdKsRBMMSHpEocx1tBmTDJ IIpqQVqra/akJdUgVKeW0hjDM4B/ln1tZlunHjyuXUmkPTuTkLmR9N2BfTjoe1w0ga1t41 ls2CD5YB4nHSiZo9WCUOfA7vp5UnwTLc4iVIYk9Cs5X0KiyECas2C2++uf9jw/TJGvaBua x1EmflSQtV1g39Y3U33Xw6lsgxLukx04AwUA/IpLBh0hocYKzyiGFvyDor7D9W5t2zmVEC NA5SsXo3bEeTQP3cWG6PnTxpEya1IhByqas20pBjg9+A8uqvdbu2I6Y46n0ZLg== ARC-Authentication-Results: i=1; danwin1210.de; dkim=pass header.d=viana.es.gov.br header.s=pmg-dkim-202507080303 header.b="Za/pa/fE"; dkim=none ("invalid DKIM record") header.d=viana.es.gov.br header.s=8C27F78C-A715-11EB-9692-CC6192E7AB68 header.b="lp8u1/KF"; dmarc=pass (policy=reject) header.from=viana.es.gov.br; spf=pass (danwin1210.de: domain of [email protected] designates 189.84.215.139 as permitted sender) [email protected] ARC-Seal: i=1; s=20211204-rsa; d=danwin1210.de; t=1755468299; a=rsa-sha256; cv=none; b=FuOR1PZjGiwUnG3DC/dOL4Lr5/0ZOXo7e22ejEUqiXgMLhkPX0TMMtK/8f6WQxopBh95dx enlnsUNIUMAsuSOi/SeOyJrYWZUgxxgVKN9+U5Q+ilASC8Sy0LT9wtgZzmaYBqMHf2mrv3 Cr2Fv0ahTrRE7d3BouvUaYv2Xd8u7mOWQ65DJn5z7ZX/X2gt5jC53npsge2kWZbIlBmvDH j9R6N5iFYnETKboXdFahoQR6ls2Zd/feNhaZDM3CrIXfI32ZfSQ5cxb3yQ8GQAbeyFJ8nc geDHqEkBhdgH/4q61qwlFNCYYG3wQ2BB3Ty1cJL1Tn5cuhUgntymWWbEn5Yj7Q== Received: from vm-mg-111.pmviana.local (localhost.localdomain [127.0.0.1]) by vm-mg-111.pmviana.local (Proxmox) with ESMTP id B86C486D8C; Sat, 16 Aug 2025 17:54:27 -0300 (-03) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=viana.es.gov.br; h=cc:content-transfer-encoding:content-type:content-type:date :from:from:message-id:mime-version:reply-to:reply-to:subject :subject:to; s=pmg-dkim-202507080303; bh=FL7MLuaAY6BOcfc5rgqAeLO hkQD+PRRL+RSXmroG0Lw=; b=Za/pa/fEdvpjFUp7s9BTHlYOw3FWSvTZ+ZrDz7P pxgWdn1cb+PDtHsOmqJ4Kw0HHHaMFMO9SqIa2rafl1RNx0xvAtv6gFtwYeoWM72D LR3CVDDIdOKsazoItIGbpmb4K2bOBYvbcxy2Xv2gtZqZZnmUgujBzR6ebEuu/OD9 v+UV9Y03FWxLZrzljMPk1JnUjOauRaX+MZ8RHzImoN2vl6jBRrfLvmEY+twaFhxU NtWw32kKEchZblC6BDc7bdVygfyQg1hjs1hK1RQnrpF+HqN1oC/wAl3bGyqQFXjg od7tUKKGi9Dxm3C2ZwPyjIZQ7mAWuPDuC2XvsGMPRyq/WyA== Received: from correio.viana.es.gov.br (correio.viana.es.gov.br [10.222.222.110]) (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256) (No client certificate requested) by vm-mg-111.pmviana.local (Proxmox) with ESMTPS id 8A4D387127; Sat, 16 Aug 2025 16:53:08 -0300 (-03) Received: from localhost (localhost [127.0.0.1]) by correio.viana.es.gov.br (Postfix) with ESMTP id 09C363BC8707; Sat, 16 Aug 2025 16:53:08 -0300 (-03) Received: from correio.viana.es.gov.br ([127.0.0.1]) by localhost (correio.viana.es.gov.br [127.0.0.1]) (amavis, port 10032) with ESMTP id 8u6t6YLHy3qx; Sat, 16 Aug 2025 16:53:07 -0300 (-03) Received: from localhost (localhost [127.0.0.1]) by correio.viana.es.gov.br (Postfix) with ESMTP id EC4153BC825D; Sat, 16 Aug 2025 16:53:06 -0300 (-03) DKIM-Filter: OpenDKIM Filter v2.10.3 correio.viana.es.gov.br EC4153BC825D DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=viana.es.gov.br; s=8C27F78C-A715-11EB-9692-CC6192E7AB68; t=1755373987; bh=FL7MLuaAY6BOcfc5rgqAeLOhkQD+PRRL+RSXmroG0Lw=; h=Date:From:Message-ID:MIME-Version; b=lp8u1/KFlN0EAX3KldPTqo9NNYggQ3ZCCqj9rgGSmd2c8zmtWyIPtyt4jwi6A/b0D mwYJEnRWNTjuES2f8BElYl1txWJSCTGQHYZGdxts3JLzHXxTvfE0C5R4yXzCu+kURu mhGmvjUCCGQw3vAaxHvZ6yCdURnbiPaIE4cFvrSlWwibrWOFP/s1TbasIWkdEBSiVl K/9A/xhpV1lDIOrvNFWfoB20baVjAc5VtRaw9YsOA4mTep7xqenUyf6TO8PYHwC0uP kxeub0XL+8liYopOX4sixRN1HmXC3ot6uWGU7gx3D8wBpndlDaq4FpOLZ3fEOJ9N7N k3fVqAcSYYC7Q== X-Virus-Scanned: amavis at viana.es.gov.br Received: from correio.viana.es.gov.br ([127.0.0.1]) by localhost (correio.viana.es.gov.br [127.0.0.1]) (amavis, port 10026) with ESMTP id 60KEkJzdZWCX; Sat, 16 Aug 2025 16:53:06 -0300 (-03) Received: from correio.viana.es.gov.br (correio.viana.es.gov.br [10.222.222.110]) by correio.viana.es.gov.br (Postfix) with ESMTP id BD0953BC8738; Sat, 16 Aug 2025 16:53:01 -0300 (-03) Date: Sat, 16 Aug 2025 16:53:01 -0300 (BRT) From: =?utf-8?Q?Mrs=2EAyleen_=C3=9Dbrahim?= [email protected] Reply-To: [email protected] Message-ID: [email protected] Subject: =?utf-8?Q?Neuer_Beg=C3=BCnstigter?= MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: quoted-printable X-Originating-IP: [10.222.222.110] X-Mailer: Zimbra 8.8.15_GA_4717 (zclient/8.8.15_GA_4717) X-Authenticated-User: [email protected] Thread-Index: Bsp7HWp/U38EtIBrrvBvYL53kR7Y0Q== Thread-Topic: Neuer =?utf-8?Q?Beg=C3=BCnstigter?= X-Spam: Yes X-Evolution-Source: 023cc9d8c56d937cc004d8b303696bc4e379b722
Hallo, mein lieber Beg=C3=BCnstigter,
Ich m=C3=B6chte, dass Sie diesen Brief sehr sorgf=C3=A4ltig lesen, und ich = muss mich daf=C3=BCr entschuldigen, dass ich Ihnen diese Nachricht aufgrund= der Dringlichkeit dieser Angelegenheit ohne formelle Einleitung per E-Mail= zugesandt habe. Ich freue mich, Sie zu kennen, aber Allah der Allm=C3=A4ch= tige kennt Sie besser und wei=C3=9F, warum er mich gerade jetzt an Sie verw= iesen hat. Ich habe Ihre E-Mail-Adresse und Ihre Kontaktdaten bei meiner On= line-Suche nach einem geeigneten Angeh=C3=B6rigen gesehen, da ich meinen le= tzten Wunsch unbedingt erf=C3=BCllen wollte, bevor ich bald sterbe.
Ich schreibe Ihnen diese E-Mail mit schweren Tr=C3=A4nen in den Augen und g= ro=C3=9Fer Trauer im Herzen. Mein Name ist Frau Ayleen =C3=9Dbrahim und ich= kontaktiere Sie aus meiner Heimat T=C3=BCrkei. Ich schreibe Ihnen diese E-= Mail, weil ich keine andere Wahl habe, als mich Ihnen zu =C3=B6ffnen und me= inen Schmerz mit Ihnen zu teilen. Ich bin mit Herrn Yusuf =C3=9Dbrahim verh= eiratet, der vor seinem Tod im Jahr 2023 f=C3=BCr mehrere =C3=96l- und Gasu= nternehmen in Kuwait gearbeitet hat.
Wir waren 22 Jahre lang kinderlos verheiratet. Er starb nach kurzer Krankhe= it. Nach seinem Tod habe ich beschlossen, nicht wieder zu heiraten. Zu Lebz= eiten meines verstorbenen Mannes hatte er 10.850.000,00 =E2=82=AC (zehn Mil= lionen achthundertf=C3=BCnfzigtausend Euro) bei der Deutschen Bank der T=C3= =BCrkei angelegt. Dieses Geld liegt noch immer auf der Bank hier in der T= =C3=BCrkei.
K=C3=BCrzlich teilte mir mein Arzt mit, dass ich aufgrund von Krebserkranku= ngen nicht mehr drei Monate =C3=BCberleben w=C3=BCrde. Am meisten beunruhig= t mich mein Schlaganfall. Nachdem ich von meinem Zustand erfahren hatte, be= schloss ich, Ihnen dieses Geld zu =C3=BCbergeben, um sich um bed=C3=BCrftig= e Menschen zu k=C3=BCmmern. Sie werden es gem=C3=A4=C3=9F den hier beschrie= benen Anweisungen verwenden.
Ich m=C3=B6chte, dass Sie 60 Prozent des Gesamtbetrags f=C3=BCr Ihren pers= =C3=B6nlichen Gebrauch und als neuer Beg=C3=BCnstigter f=C3=BCr Ihren Einsa= tz und Ihr Engagement f=C3=BCr das Wohlt=C3=A4tigkeitsprojekt erhalten. Sie= treten das Erbe nach mir an. 40 % des Geldes gehen an Wohlt=C3=A4tigkeitsp= rojekte, bed=C3=BCrftige Menschen von der Stra=C3=9Fe und helfen auch dem W= aisenhaus. Ich bin als Waise aufgewachsen und habe niemanden in meiner Fami= lie. Stellen Sie au=C3=9Ferdem sicher, dass das Gotteshaus und die Moschee = von den Mitteln unterhalten werden. Ich tue dies, damit Allah der Allm=C3= =A4chtige mir meine S=C3=BCnden vergibt und meine Seele annimmt, denn diese= Krebserkrankungen haben mir in meinem Leben viel Schmerz und Trauer bereit= et. Sobald ich Ihre Antwort erhalte, werde ich Ihnen die Einzahlungsdokumen= te zusenden und die Bank erm=C3=A4chtigen, Ihnen das Geld als aktuellem Beg= =C3=BCnstigten an meiner Stelle auszuzahlen. Dies gilt, sofern Sie es ernst= genug meinen, das Projekt zu leiten und sich daf=C3=BCr einzusetzen, denn = ich glaube, dass ich Ihnen die Mittel ehrlich anvertrauen kann.
Mit freundlichen Gr=C3=BC=C3=9Fen. Frau Ayleen =C3=9Dbrahim
Do you have a screenshot?
N/A
Related external source
No response
Additional Information or Context
Hope one of you who can still see things in a clear, that you find any useful in th message + its header
PS:
Allah the Almighty knows you better and understands why He has directed me to you at this moment.
😀
Interesting.
Playing around with Return-Path for bounces; Using From for the display in mail clients and Reply-To for actual responses.
This demonstrates an interesting way of abusing mail.danwin1210.de, among other techniques. -> @DanWin, please take care of this if you can. I'm sure @spirillen can provide you with more information if needed.
Oh, and there is also Zoho services ... So someone pays to use Zoho's mail services to handle the responses ... What an interesting world!
Please do not close this. I'll investigate how we can better handle such email reports.
Thanks for tagging me @funilrys . However, I don't see how I could stop this from happening, without breaking functionality for valid reasons. Setting a Reply-To address other than the From is a common practice, e.g. when a newsletter sends with [email protected] and then to respond it is [email protected]. While I have a spam filter running on my setup, it can't filter all of them. No spam filter is perfect and when it is configured too strict, it blocks legit mails too. From what I can tell, this was an incoming spam mail on my server, but it didn't send anything out. So it's not abusing my server, rather my spam filter didn't catch this one and delivered it.
