Hallo w-w-w,
leider bin ich im Archiv nicht fündig geworden, darum versuche ich es mal hier. Und zwar geht es darum:
Ich (sowie zwei andere User eines Pop3 einer uns gehörenden Domain) bekomme immer wieder Spam auf die zur Domain gehörende e-Mail. Es steht immer ein anderer Absender im Absenderfeld, auffällig ist aber, dass ein und diesselbe e-Mail immer wieder im Header auftaucht. Hier mal der Header (anonymisiert):
Return-Path:
Received: from mailout02.sul.t-online.com (mailout02.sul.t-online.com [194.25.134.17])
by server24.greatnet.de (8.11.6/8.11.6/SuSE Linux 0.5) with ESMTP id h5JJQC730762
for ; Thu, 19 Jun 2003 21:26:12 +0200
Received: from fwd00.aul.t-online.de
by mailout02.sul.t-online.com with smtp
id 19T52x-0001xy-00; Thu, 19 Jun 2003 21:26:11 +0200
Received: from Waje (rAXYfTZfYeLkH0YpY-NjX6eI9TX61Da65dkvlVLjOSSzsVvjwvc3ga@[217.229.118.147]) by fwd00.sul.t-online.com
with smtp id 19T4yi-0cDnU00; Thu, 19 Jun 2003 21:21:48 +0200
From: [email protected] (dreimueller)
To: [email protected]
Subject: Sos!
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=R6ASKVl6XT93Bhz5T87sbdM
Date: Thu, 19 Jun 2003 21:21:48 +0200
Message-ID:
X-Seen: false
X-ID: rAXYfTZfYeLkH0YpY-NjX6eI9TX61Da65dkvlVLjOSSzsVvjwvc3ga
X-UIDL: *1!!
Zudem haben diese Mails nie einen Inhalt. Kann mir mal jemand erklären, was das soll? Wie gesagt, diese e-Mail "[email protected] taucht in jeder dieser ca. 2 Mails pro Tag auf!
Danke, Claus
Hallo Claus,
interessant ist der letzte (zeitlich erste) Received-Eintrag:
Received: from Waje
(rAXYfTZfYeLkH0YpY-NjX6eI9TX61Da65dkvlVLjOSSzsVvjwvc3ga@[217.229.118.147])
by fwd00.sul.t-online.com
with smtp id 19T4yi-0cDnU00; Thu, 19 Jun 2003 21:21:48 +0200
die Domain wurde also von der Client-IP# 217.229.118.147 (gehört T-Online Dial-In) eingeliefert. Der Header scheint auch nicht gefaked zu sein. Beliebt ist es, den einliefernden Hostnamen falsch anzugeben, was leicht ist. Schwieriger ist es schon, die einliefernde IP# zu fälschen.
Zudem haben diese Mails nie einen Inhalt. Kann mir mal jemand
erklären, was das soll?
Z.B. ein Virus beim Absender?
Wie gesagt, diese e-Mail
"[email protected] taucht in jeder dieser ca. 2
Mails pro Tag auf!
I.d.R. ist auf den Absender-Namen kein Verlass, auch nicht auf Return-Path oder Sender. Eigentlich ist nur der einliefernde Host relevant und schwierig fälschbar.
Alles Gute wünscht
Michael
Zudem haben diese Mails nie einen Inhalt. Kann mir mal jemand
erklären, was das soll? Wie gesagt, diese e-Mail
"[email protected] taucht in jeder dieser ca. 2
Mails pro Tag auf!
Weisst du , dass die Mails keinen Inhalt bzw. Anhang haben? Oder versteckt dein Mailclient nur diesen Anhang? Hast du irgendwelche Protokolldaten, aus denen du die tatsächlich übermittelte Datenmenge erkennen kannst? Ich stimme mit der Ansicht von Michael überein, dass es sich wahrscheinlich um einen Virus handelt. Der Klez/H hat zum Beispiel die Eigenart, die von ihm versendeten Mails fehlerhaft aufzubauen, so dass vor allem auf der Netscape/Mozilla-Engine aufgebaute Mailreader den Anhang nicht erkennen und die Mail fälschlich als leer darstellen.
Zwar fälscht Klez/H die Absenderadressen, die SMTP-Server bei t-online gehen aber hin, und ersetzen die gefälschten Daten wieder durch die tatsächlichen Absenderdaten. Es kann daher nicht schaden (vorausgesetzt, meine Vermutung ist richtig), „[email protected]“ mal anzumailen und darauf hinzuweisen, dass sein PC virenverseucht ist.
Gruss,
Schorsch
Wie gesagt, diese e-Mail
"[email protected] taucht in jeder dieser ca. 2
Mails pro Tag auf!
I.d.R. ist auf den Absender-Namen kein Verlass,
… in diesem speziellen Fall aber schon.
Gruß,
Sebastian
Danke erstmal allen dreien
… für eure Antworten!
Hallo Sebastian,
könntest du diese Aussage
… in diesem speziellen Fall aber schon.
evtl. noch mal deutlicher machen? Wäre sehr nett.
Gruß und Dank, Claus
könntest du diese Aussage
… in diesem speziellen Fall aber schon.
evtl. noch mal deutlicher machen?
Schorsch hat das ja auch schon erwähnt: Die T-Online-Mailserver überschreiben das „From“ in jedem Fall mit dem „echten“ Absender[1]. Direktzustellungen unter Umgehung des T-Online-Mailservers sind zwar prinzipiell weiter möglich (das hat hier laut Header aber nicht stattgefunden) allerdings aber wieder nicht an Adressen bei T-Online: Deren Mail-Server nehmen keine Mails direkt von T-Online-Einwahlzugängen an.[2]
Sebastian
[1] Ausnahme: der Absender nutzt den bei T-Online kostenpflihtigen Dienst des „smtprelay.t-online.de“. Dieser Server läßt ein beliebiges „From“ zu.
[2] Ich finde das reichlich idiotisch, aber nun gut…