Spam Identifizierung anhand Header

Internet E-Mail
1

Hallo,

folgende Mail hat ein Freund von mir in tausendfacher Kopie zugemailt bekommen (seine Adresse ist [email protected]). Wer kann mit dem Header etwas anfangen (ich kopiere die geschickte Mail).
Um Mails mit anderen (gefälschten) Absender loszuschicken muss man doch nicht unbedingt das Passwort kennen. Vielleicht kann mal jemand seinen Kommentar dazu abgeben…

MfG
Albrecht

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. The following address(es) failed:

[email protected]
SMTP error from remote mailer after end of data:
host smirnoff.rz.uni-frankfurt.de [141.2.164.25]:
554 Syntactically invalid address for from field '[email protected]

------ This is a copy of the message, including all the headers. ------

Return-path:
Received: from moutvdom00.kundenserver.de ([195.20.224.149])
by asturias.rz.uni-frankfurt.de with esmtp (Exim 3.12 #1)
id 12kNHX-0005YS-00
for [email protected]; Wed, 26 Apr 2000 10:34:51 +0200
Received: from [195.20.224.204] (helo=mrvdom00.schlund.de)
by moutvdom00.kundenserver.de with esmtp (Exim 2.12 #2)
id 12kNHW-0001mo-00
for [email protected]; Wed, 26 Apr 2000 10:34:50 +0200
Received: from dialin218-nt.pg11.frankfurt.nikoma.de ([213.54.42.218] helo=netzwerk)
by mrvdom00.schlund.de with smtp (Exim 2.12 #2)
id 12kNHN-0001P7-00
for [email protected]; Wed, 26 Apr 2000 10:34:42 +0200
From: [email protected]
To: [email protected];
Subject: Ihre Spam-Mails
Mime-Version: 1.0
Content-Type: text/plain; charset=„us-ascii“
Content-Transfer-Encoding: quoted-printable
Message-Id:
Date: Wed, 26 Apr 2000 10:34:42 +0200

bekommen=20Sie=20jetzt=20zur=FCck=0D=0A
_______________________________________________________________________
1.000.000 DM gewinnen - kostenlos tippen - http://millionenklick.web.de
[email protected], 8MB Speicher, Verschluesselung - http://freemail.web.de

2

um jetzt kein Missverständnis aufkommen zu lassen: ALLES nach den beiden Abtrennzeichen (–) gehört zur Mail auch die Web.de -Werbung. Ich habe es so wie es vom OutlookExpress angezeigt wird kopiert.

MfG
Albrecht

3

hi albi!
auf diesem link findest du ein erklährung über e-mail header…
http://www.rhein-neckar.de/~ancalago/faq/headrfaq.html
gruss Franz

4

hi albi!
auf diesem link findest du ein erklährung
über e-mail header…
http://www.rhein-neckar.de/~ancalago/faq/headrfaq.html
gruss Franz

Hallo,

gehe ich richtig in der Annahme, dass jemand über
dialin216-nt.pg11.frankfurt.nikoma.de eine Mail an
[email protected] verschickte und weil diese Adresse nicht
existierte wurde von smirnoff.rz.uni-frankfurt.de die Mail als unzustellbar
an meinen Freund zurückgestellt?! Da inzwischen der Strom immer noch nicht
aufgehört hat (Postfachgröße ist überschritten und mein Freund musste neuen
Account nehmen) kann man jedenfalls von Attacke sprechen und nikoma ist
zuständig, oder? Was soll aber die web.de-Werbung am Ende der Mail - wurde
sie über das webmail-interface von web.de geschickt?

Vielleicht kann jemand helfen.
MfG
Albrecht

5

gehe ich richtig in der Annahme, dass
jemand über
dialin216-nt.pg11.frankfurt.nikoma.de
eine Mail an
[email protected] verschickte
und weil diese Adresse nicht
existierte wurde von
smirnoff.rz.uni-frankfurt.de die Mail als
unzustellbar
an meinen Freund zurückgestellt?!

So ungefähr.
Das Problem ist das SMTP-Protokoll. Das kennt keine Authentifizierung, d.h. wenn ich mich irgendwo auf den SMTP-Port connecte und sage, daß ich [email protected] bin, werde ich nicht nach einem Paßwort gefragt. Soviel ich weiß, ist es implementierungsabhängig; der Mailserver SOLLTE keine Mails annehmen von Domains, die nicht die eigene sind - aber manche tun’s wohl schon.

Deswegen gibt es Provider, bei denen man sich vor dem Versand von Mail unbedingt auf dem POP3-Server einloggen muß (der nicht notwendigerweise auch der SMTP-Server ist). Der kennt nämlich die Mimik mit Username/Passwort.

Andere akzeptieren nur Mail aus bestimmten IP-Adressen (z.B. die Uni Frankfurt). Wenn man sich also nicht dort eingeloggt hat und die IP-Adresse vom Login-Server bezogen hat, kann man keine Mail versenden.

Was soll aber die
web.de-Werbung am Ende der Mail - wurde
sie über das webmail-interface von web.de
geschickt?

Web.de hat strege Auflagen bezüglich Versenden von Spam. Vielleicht können die was damit anfangen.

Gruß

J.