Christian Westendorf wrote:
Betreff: Fwd: Canadian online RX store Von: legal1@westisweb.de Datum: Mon, 17 Apr 2006 12:15:55 +0000
An: lbarrett@chemie.uni-marburg.de
Okay, so weit so gut.
Return-Path:
Received: from mail.manufacture.com.tw ([59.93.205.237]) by vhrz39.hrz.uni-marburg.de (8.13.4/8.13.4/Debian-3sarge1) with SMTP id k3HCCduv008539 for ; Mon, 17 Apr 2006
uni-marburg.de bekommt von mail.manufacture.com.tw eine Mail, die angeblich von dir ist.
14:12:52 +0200 Received: from 82.89.120.203 (SquirrelMail authenticated user legal1@westisweb.de); by mail.manufacture.com.tw with HTTP id Ab44qw9z063024396; Mon, 17 Apr 2006 12:15:55 +0000
Und du schickt eine Mail an uni-marburg.de über den taiwanisischen Server, ganz klar, ist der übliche Weg für so eine Mail... NICHT! Dies ist mit 99,8%er Sicherheit eine gefälschte Headerzeile, um vorzutäuschen, dass die Mail ursprünglich von der IP 82.89.120.203 gekommen sei.
X-MailScanner-SpamCheck: spam, SpamAssassin (score=18.581, required 5, BAYES_99 3.00, BIZ_TLD 2.29, HTML_30_40 0.02, HTML_MESSAGE 0.00, MIME_HTML_ONLY 0.18, NO_REAL_NAME 0.01, RCVD_IN_XBL 3.08, TW_QR 0.08, URIBL_OB_SURBL 3.21, URIBL_SBL 1.00, URIBL_SC_SURBL 4.26, URIBL_WS_SURBL 1.46)
Vermutlich gebounced wegen hohem SA Wert.
Auf welche Dinge sollte ich bsonders achten, auch im Falle eines teils gefälschten Headers? Welche IP ist hier die ausschlaggebende?
Die Received-Zeilen oben zeigen den Weg der Email. Vertrauen kannst du aber nur der Zeile, die dein eigener Server reingeschrieben hat. Der Rest kann gefälscht sein und wie in diesem Beispiel ist es auch oft für Spammails. Du kannst beruhigt sein, die Mail ist nicht von deinem Server gekommen. Wenn ich der Admin von `dig mx chemie.uni-marburg.de +short` wäre, würde ich nicht so gut schlafen. # dig mx chemie.uni-marburg.de +short 50 vhrz39.HRZ.uni-marburg.de. 10 pc15580.chemie.uni-marburg.de. Die typische alte Konfiguration, ein primary und ein fallback. Der primäre Server, pc15580.chemie.uni-marburg.de, hat wahrscheinlich eine Liste der gültigen Adressen, der secundäre vhrz39.HRZ.uni-marburg.de, der vermutlich ganz woanders steht, wahrscheinlich nicht. Spammer wissen das auch. Also nimmt dieser Trottelserver erst einmal alles entgegen und bounced dann die Spammails. Spammer müssen diesen Server lieben! Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com