[Postfixbuch-users] Ursprung eines Spammers im Header gefälscht?
Matthias Haegele
mhaegele at linuxrocks.dyndns.org
Di Okt 2 11:32:12 CEST 2007
Lars Behrens schrieb:
> hallo, Liste,
>
>
> wir haben hier eine Email, deren header ich nicht verstehe; erhalten
> hat sie empfaenger2 at lokal.org, verschickt hat sie angeblich einer
> unserer server mit der IP 1.2.23.6 (alle daten sind anonymisiert):
>
>
> Return-Path: <empfaenger2 at lokal.org>
> Original-Recipient: rfc822;original-empfaenger at lokal.org
> Received: from pne-smtpin2-sn2.low.foo.bar (81.228.9.9) by
> pne-ms3.vip.foo.bar (7.2.6.5)
> id 46BAE67D01D8BC82 for original-empfaenger at lokal.org; Mon,
> 1 Oct 2007
> 10:57:48 +0200
> Received: from www23.spamm.org (62.119.28.123) by
> pne-smtpin2-sn2.low.foo.bar (7.2.075)
> id 46BFDB6301DF65BC for original-empfaenger at lokal.org; Mon,
> 1 Oct 2007
> 10:57:48 +0200
> Received: from smtp-gw.mailserver.dd (smtp-gw.mailserver.dd
> [196.35.82.1])
> by www23.spamm.org (8.13.8/8.13.8) with ESMTP id l918vmAJ026364
> for <spamopfer at lokal.org>; Mon, 1 Oct 2007 10:57:48 +0200
> Received: from www23.spamm.org (www23.spamm.org [72.119.28.123])
> by smtp-gw.mailserver.dd (8.13.8/8.13.8) with ESMTP id l918vkUx022301
> for <spamopfer at lokal.org>; Mon, 1 Oct 2007 10:57:46 +0200
> Received: from [11.22.66.15]
> (ALille-258-1-31-248.w90-47.abo.proxyverdacht.bar
> [11.22.22.248])
> by www23.spamm.org (8.13.8/8.13.8) with ESMTP id l918vj7U026270
> for <spamopfer at lokal.org>; Mon, 1 Oct 2007 10:57:46 +0200
> Received: from laurel-mta ([1.2.23.67] helo=laurel-mta)
> by ALille-256-1-62-206.w90-18.abo.proxyverdacht.bar ( sendmail
> 8.13.3/8.13.1) with
> esmtpa id 1tkyDo-000CMA-gG
> for spamopfer at lokal.org; Mon, 1 Oct 2007 11:03:25 +0200
> Message-ID: <000c01c80409$d8725f10$cef5125a at lionel2spdsl6k>
> From: "Heio pei" <empfaenger2 at lokal.org>
> To: <spamopfer at lokal.org>
> Subject: tneduob
> (...)
>
>
> wenn ich es rchtig sehe, ist die mail durch mehrere (mailserver-)
> hände gereicht worden:
>
> 1) ALille hat sie von laurel-mta erhalten,
>
> 2) www23.spamm.org dann von ALille,
>
> 3) smtp-gw.mailserver.dd von www23.spamm.org,
>
> 4) dann ist sie den weg durch den spamfilter gegangen usw.
>
>
> mich macht nun der angeblich einliefernde server, laurel-mta, stutzig:
>
> Received: from laurel-mta ([1.2.23.67] helo=laurel-mta)
> by ALille-256-1-62-206.w90-18.abo.proxyverdacht.bar ( sendmail
> 8.13.3/8.13.1) with
> esmtpa id 1tkyDo-000CMA-gG
>
> zwei verständnisfragen habe ich dazu:
>
> 1) lässt ein solch verschlungener weg auf irgendwelche spam-proxys
> schliessen?
>
> 2) die ipadresse des angeblich einliefernden servers, 1.2.23.67,
> lässt sich weder pingen noch lässt sich eine telnetverbindung dahin
> aufbauen; ausserdem ist es überhaupt kein FQDN (TLD fehlt). hat die
> IP-adresse, die im header angegeben ist, irgendeine aussagekraft oder
> lässt die sich ebenso beliebig angeben wie ein hostname a la "laurel-
> mta"?
> einen rechner mit besagter IP haben wir nicht in unserem pool. wobei
> ich es nicht ausschliessen möchte, aber für eher unwahrscheinlich
> halte, dass einer unserer rechner mit gespoofter ip-adresse als
> spamschleuder missbraucht wurde und die adresse hinterher wieder
> freigegeben hat.
Was sagen die Logs der beteiligten Mailserver (selbstverständlich die
auf die Zugriff besteht).
Hast da mal einen Ausschnitt zu dieser Mail?
Header können afaik "erfunden" sein auch Received: Zeilen, was sollte
jemand davon abhalten einfach diese Zeilen zu generieren/einzufügen
(helos sind oft gefaked die IP-Adresse kann man afaik auch faken)?
Vertrauen tue ich nur auf das was im maillog meiner Server (bzw.
Vertrauenswürdiger Server) steht die "Header" der Mails können nur als
Anhaltspunkte dienen aber keinesfalls als "absolute Wahrheit".
http://www.th-h.de/faq/headerfaq.php
Suchwort war: "mail header lesen"
> Danke im Voraus und Gruß
>
>
>
> lars
--
Grüsse/Greetings
MH
Dont send mail to: ubecatcher at linuxrocks.dyndns.org
--
Mehr Informationen über die Mailingliste Postfixbuch-users