Hallo Christian,
Also der Header, der Mail sieht so aus:
Betreff: Fwd: Canadian online RX store Von: legal1@westisweb.de Datum: Mon, 17 Apr 2006 12:15:55 +0000
An: lbarrett@chemie.uni-marburg.de
Return-Path:
Received: from mail.manufacture.com.tw ([59.93.205.237]) by vhrz39.hrz.uni-marburg.de (8.13.4/8.13.4/Debian-3sarge1) with SMTP id k3HCCduv008539 for ; Mon, 17 Apr 2006 14:12:52 +0200 Received: from 82.89.120.203 (SquirrelMail authenticated user legal1@westisweb.de); by mail.manufacture.com.tw with HTTP id Ab44qw9z063024396; Mon, 17 Apr 2006 12:15:55 +0000 Nachricht-ID: User-Agent: SquirrelMail/1.4.3a X-Mailer: SquirrelMail/1.4.3a MIME-Version: 1.0 Content-Type: text/html; charset=iso-8859-1 Content-Transfer-Encoding: 7bit X-Priority: 3 (Normal) Importance: Normal X-UniMR-MailScanner-Information: see http://web.uni-marburg.de/hrz/services/spamcheck/ X-UniMR-MailScanner: Found to be clean X-MailScanner-SpamCheck: spam, SpamAssassin (score=18.581, required 5, BAYES_99 3.00, BIZ_TLD 2.29, HTML_30_40 0.02, HTML_MESSAGE 0.00, MIME_HTML_ONLY 0.18, NO_REAL_NAME 0.01, RCVD_IN_XBL 3.08, TW_QR 0.08, URIBL_OB_SURBL 3.21, URIBL_SBL 1.00, URIBL_SC_SURBL 4.26, URIBL_WS_SURBL 1.46) X-UniMR-MailScanner-SpamScore: ssssssssssssssssss X-MailScanner-From: legal1@westisweb.de Auf welche Dinge sollte ich bsonders achten, auch im Falle eines teils gefälschten Headers? Welche IP ist hier die ausschlaggebende?
Christian
zunächst mal: wenn die Uni Marburg eine Mail von der IP-Adresse 59.93.205.237 annimmt, ist sie schon selber schuld. Normalerweise prüft man beim Empfang von Mails, ob sich der absendende Server ermitteln lässt. Zu dieser IP gibt's keinen PTR-Record. Damit wäre der erste Received Eintrag schon spamverdächtig - oder der postmaster ist eine Schlafmütze und weiss nichts über den DNS. Ausserdem ist die IP 59.93.205.237 bei diversen Black-Lists gelistet. Dann aber: Die IP 82.89.120.203 weist auf einen italienischen Server, nicht auf Deinen. Summa Summarum: An der Mail ist fast alles faul und falsch. Dein Mail-Server scheint unbeteiligt. By the way: Ich habe mal einen grep über unser Quarantäne-Verzeichnis laufen lassen: Die IP 59.93.205.237 ist auch dabei. Was mich interessieren würde ist der Eintrag in Deine /var/log/mail zu dieser obigen Mail. Wer hat Dich da connected und wie ging's weiter. -- So long Bernd