[Postfixbuch-users] Ursprung eines Spammers im Header gefälscht?

Lars Behrens lars at brainlift.de
Di Okt 2 11:06:30 CEST 2007 

hallo, Liste,


wir haben hier eine Email, deren header ich nicht verstehe; erhalten  
hat sie empfaenger2 at lokal.org, verschickt hat sie angeblich einer  
unserer server mit der IP 1.2.23.6 (alle daten sind anonymisiert):


Return-Path: <empfaenger2 at lokal.org>
Original-Recipient: rfc822;original-empfaenger at lokal.org
Received: from pne-smtpin2-sn2.low.foo.bar (81.228.9.9) by
pne-ms3.vip.foo.bar (7.2.6.5)
         id 46BAE67D01D8BC82 for original-empfaenger at lokal.org; Mon,  
1 Oct 2007
10:57:48 +0200
Received: from www23.spamm.org (62.119.28.123) by
pne-smtpin2-sn2.low.foo.bar (7.2.075)
         id 46BFDB6301DF65BC for original-empfaenger at lokal.org; Mon,  
1 Oct 2007
10:57:48 +0200
Received: from smtp-gw.mailserver.dd (smtp-gw.mailserver.dd  
[196.35.82.1])
  by www23.spamm.org (8.13.8/8.13.8) with ESMTP id l918vmAJ026364
  for <spamopfer at lokal.org>; Mon, 1 Oct 2007 10:57:48 +0200
Received: from www23.spamm.org (www23.spamm.org [72.119.28.123])
  by smtp-gw.mailserver.dd (8.13.8/8.13.8) with ESMTP id l918vkUx022301
  for <spamopfer at lokal.org>; Mon, 1 Oct 2007 10:57:46 +0200
Received: from [11.22.66.15]  
(ALille-258-1-31-248.w90-47.abo.proxyverdacht.bar
[11.22.22.248])
  by www23.spamm.org (8.13.8/8.13.8) with ESMTP id l918vj7U026270
  for <spamopfer at lokal.org>; Mon, 1 Oct 2007 10:57:46 +0200
Received: from laurel-mta ([1.2.23.67] helo=laurel-mta)
  by ALille-256-1-62-206.w90-18.abo.proxyverdacht.bar ( sendmail  
8.13.3/8.13.1) with
esmtpa id 1tkyDo-000CMA-gG
  for spamopfer at lokal.org; Mon, 1 Oct 2007 11:03:25 +0200
Message-ID: <000c01c80409$d8725f10$cef5125a at lionel2spdsl6k>
From: "Heio pei" <empfaenger2 at lokal.org>
To: <spamopfer at lokal.org>
Subject: tneduob
(...)


wenn ich es rchtig sehe, ist die mail durch mehrere (mailserver-) 
hände gereicht worden:

1)  ALille hat sie von laurel-mta erhalten,

2) www23.spamm.org dann von ALille,

3)  smtp-gw.mailserver.dd von www23.spamm.org,

4)  dann ist sie den weg durch den spamfilter gegangen usw.


mich macht nun der angeblich einliefernde server, laurel-mta, stutzig:

Received: from laurel-mta ([1.2.23.67] helo=laurel-mta)
  by ALille-256-1-62-206.w90-18.abo.proxyverdacht.bar ( sendmail  
8.13.3/8.13.1) with
esmtpa id 1tkyDo-000CMA-gG

zwei verständnisfragen habe ich dazu:

1) lässt ein solch verschlungener weg auf irgendwelche spam-proxys  
schliessen?

2) die ipadresse des angeblich einliefernden servers, 1.2.23.67,  
lässt sich weder pingen noch lässt sich eine telnetverbindung dahin  
aufbauen; ausserdem ist es überhaupt kein FQDN (TLD fehlt). hat die  
IP-adresse, die im header angegeben ist, irgendeine aussagekraft oder  
lässt die sich ebenso beliebig angeben wie ein hostname a la "laurel- 
mta"?
einen rechner mit besagter IP haben wir nicht in unserem pool. wobei  
ich es nicht ausschliessen möchte, aber für eher unwahrscheinlich  
halte, dass einer unserer rechner mit gespoofter ip-adresse als  
spamschleuder missbraucht wurde und die adresse hinterher wieder  
freigegeben hat.



Danke im Voraus und Gruß



lars

Mehr Informationen über die Mailingliste Postfixbuch-users