Mails Domain Spam smtp header

Spam - Header analysieren

Von: , Frage gestellt am Fr, 20. Jun 2003

Hallo w-w-w,

leider bin ich im Archiv nicht fündig geworden, darum versuche ich es mal hier. Und zwar geht es darum:
Ich (sowie zwei andere User eines Pop3 einer uns gehörenden Domain) bekomme immer wieder Spam auf die zur Domain gehörende e-Mail. Es steht immer ein anderer Absender im Absenderfeld, auffällig ist aber, dass ein und diesselbe e-Mail immer wieder im Header auftaucht. Hier mal der Header (anonymisiert):

Return-Path: <[E-Mail-Adresse entfernt]>
Received: from mailout02.sul.t-online.com (mailout02.sul.t-online.com [194.25.134.17])
by server24.greatnet.de (8.11.6/8.11.6/SuSE Linux 0.5) with ESMTP id h5JJQC730762
for <[E-Mail-Adresse entfernt]>; Thu, 19 Jun 2003 21:26:12 +0200
Received: from fwd00.aul.t-online.de
by mailout02.sul.t-online.com with smtp
id 19T52x-0001xy-00; Thu, 19 Jun 2003 21:26:11 +0200
Received: from Waje ([E-Mail-Adresse entfernt] by fwd00.sul.t-online.com
with smtp id 19T4yi-0cDnU00; Thu, 19 Jun 2003 21:21:48 +0200
From: [E-Mail-Adresse entfernt] (dreimueller)
To: [E-Mail-Adresse entfernt]
Subject: Sos!
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=R6ASKVl6XT93Bhz5T87sbdM
Date: Thu, 19 Jun 2003 21:21:48 +0200
Message-ID: <[E-Mail-Adresse entfernt]>
X-Seen: false
X-ID: rAXYfTZfYeLkH0YpY-NjX6eI9TX61Da65dkvlVLjOSSzsVvjwvc3ga
X-UIDL: *1<!!(^X"!?A)"!:I>!!


Zudem haben diese Mails nie einen Inhalt. Kann mir mal jemand erklären, was das soll? Wie gesagt, diese e-Mail "[E-Mail-Adresse entfernt] taucht in jeder dieser ca. 2 Mails pro Tag auf!

Danke, Claus

5 Antworten zu dieser Frage

1. Antwort von nach 6 Minuten 1 hilfreich

   Re: Spam - Header analysieren

   Hallo Claus,
   
   interessant ist der letzte (zeitlich erste) Received-Eintrag: Received: from Waje
   ([E-Mail-Adresse entfernt]
   by fwd00.sul.t-online.com
   with smtp id 19T4yi-0cDnU00; Thu, 19 Jun 2003 21:21:48 +0200
   die Domain wurde also von der Client-IP# 217.229.118.147 (gehört T-Online Dial-In) eingeliefert. Der Header scheint auch nicht gefaked zu sein. Beliebt ist es, den einliefernden Hostnamen falsch anzugeben, was leicht ist. Schwieriger ist es schon, die einliefernde IP# zu fälschen. Zudem haben diese Mails nie einen Inhalt. Kann mir mal jemand
   erklären, was das soll?
   Z.B. ein Virus beim Absender? Wie gesagt, diese e-Mail
   "[E-Mail-Adresse entfernt] taucht in jeder dieser ca. 2
   Mails pro Tag auf!
   I.d.R. ist auf den Absender-Namen kein Verlass, auch nicht auf Return-Path oder Sender. Eigentlich ist nur der einliefernde Host relevant und schwierig fälschbar.
   
   Alles Gute wünscht
   Michael
   

   • Antwort von nach einer Stunde 0 hilfreich

     Re^2: Spam - Header analysieren

     Wie gesagt, diese e-Mail
     "[E-Mail-Adresse entfernt] taucht in jeder dieser ca. 2
     Mails pro Tag auf!
     I.d.R. ist auf den Absender-Namen kein Verlass,
     ... in diesem speziellen Fall aber schon.
     
     
     Gruß,
     
     
     Sebastian
     

     • Antwort von nach 5 Stunden 0 hilfreich

       Danke erstmal allen dreien

       ... für eure Antworten!
       
       Hallo Sebastian,
       
       könntest du diese Aussage ... in diesem speziellen Fall aber schon.
       evtl. noch mal deutlicher machen? Wäre sehr nett.
       
       Gruß und Dank, Claus
       

       • Antwort von nach 6 Stunden 0 hilfreich

         Re: Danke erstmal allen dreien

         könntest du diese Aussage ... in diesem speziellen Fall aber schon.
         evtl. noch mal deutlicher machen?
         Schorsch hat das ja auch schon erwähnt: Die T-Online-Mailserver überschreiben das "From" in jedem Fall mit dem "echten" Absender[1]. Direktzustellungen unter Umgehung des T-Online-Mailservers sind zwar prinzipiell weiter möglich (das hat hier laut Header aber nicht stattgefunden) allerdings aber wieder nicht an Adressen bei T-Online: Deren Mail-Server nehmen keine Mails direkt von T-Online-Einwahlzugängen an.[2]
         
         
         
         Sebastian
         
         
         
         
         [1] Ausnahme: der Absender nutzt den bei T-Online kostenpflihtigen Dienst des "smtprelay.t-online.de". Dieser Server läßt ein beliebiges "From" zu.
         
         [2] Ich finde das reichlich idiotisch, aber nun gut...
         

2. Antwort von nach 41 Minuten 1 hilfreich

   Re: Spam - Header analysieren

   Zudem haben diese Mails nie einen Inhalt. Kann mir mal jemand
   erklären, was das soll? Wie gesagt, diese e-Mail
   "[E-Mail-Adresse entfernt] taucht in jeder dieser ca. 2
   Mails pro Tag auf!
   Weisst du, dass die Mails keinen Inhalt bzw. Anhang haben? Oder versteckt dein Mailclient nur diesen Anhang? Hast du irgendwelche Protokolldaten, aus denen du die tatsächlich übermittelte Datenmenge erkennen kannst? Ich stimme mit der Ansicht von Michael überein, dass es sich wahrscheinlich um einen Virus handelt. Der Klez/H hat zum Beispiel die Eigenart, die von ihm versendeten Mails fehlerhaft aufzubauen, so dass vor allem auf der Netscape/Mozilla-Engine aufgebaute Mailreader den Anhang nicht erkennen und die Mail fälschlich als leer darstellen.
   
   Zwar fälscht Klez/H die Absenderadressen, die SMTP-Server bei t-online gehen aber hin, und ersetzen die gefälschten Daten wieder durch die tatsächlichen Absenderdaten. Es kann daher nicht schaden (vorausgesetzt, meine Vermutung ist richtig), "[E-Mail-Adresse entfernt]" mal anzumailen und darauf hinzuweisen, dass sein PC virenverseucht ist.
   
   Gruss,
   Schorsch
   

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!