PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Was ist denn das für ein vermantschter Header?



Wurgl
22.02.2006, 22:14
From - Wed Feb 22 xx:xx:xx 2006
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <Sabrina.Zoscha0 [at] alx.info>
X-Original-To: <dasbinich>@arcor.de
Received: from localhost (mail-in-03.arcor-online.net [151.189.21.43])
by mail-in-03-z2.arcor-online.net (Postfix) with ESMTP ID: [ID filtered]
Wed, 22 Feb 2006 xx:xx:xx +0100 (CET)
Received: from mail-in-03.arcor-online.net ([127.0.0.1])
by localhost (mail-in-03 [127.0.0.1]) (amavisd-new, port 10024) with LMTP
ID: [ID filtered]
Received: from 61308B08 (plesk17.toptip.net [62.75.220.232])
by mail-in-03.arcor-online.net (Postfix) with SMTP ID: [ID filtered]
Wed, 22 Feb 2006 xx:xx:xx +0100 (CET)
Received: from 62.75.220.232 (unknown [62.75.220.232])
by 151.189.21.118 with ESMTP ID: [ID filtered]
Wed, 22 Feb 2006 xx:xx:xx -0800
Message-ID: [ID filtered]
Date: Wed, 22 Feb 2006 xx:xx:xx +0100 (CET)
From: Sabrina.Zoscha0 [at] alx.info
X-Virus-Scanned: amavisd-new at arcor.de
X-Amavis-Alert: BAD HEADER MIME error: error: unexpected end of header
To: undisclosed-recipients:;

Das war die ganze Mail. Alles leer?

Was mich wundert sind diese Zeilen 13-14 bzw. 16-18. 16-18 ergibt als Absender den Rechner mx.arcor.de. Aber warum sollte ein Arcor-Rechner via toptip.net eine Mail zu Arcor schicken?

Leider kann ich die Mail nicht bouncen, schade. Arcor überprüft den Absender und Postmaster wollen die nicht :-(

[[Kann ein Admin ein 'n' in den Titel einfügen? Das gibt ja sonst Augenkrebs. Sorry :-(]]

Goofy
22.02.2006, 22:34
Kann es nicht sein, dass der toptip.net-Rechner der Versender ist, und die weitere Zeile mit dem arcor-mx gefälscht ist? Anders würde es tatsächlich keinen Sinn ergeben.
Offenbar hat der Spammer beim Fälschen auch "from" und "by" vertauscht.
Denn so müsste es heissen:



16: Received: from 151.189.21.118
17: by 62.75.220.232 (unknown [62.75.220.232]) with ESMTP ID: [ID filtered]


Das Headerfälschen sollten wir noch mal üben. :D


Zuständig wäre dann Intergenia --> abuse[at]plusserver.de

Vielleicht hat der Spammer aus Schusseligkeit den Mailtext vergessen.
Allerdings tauchen auch in letzter Zeit wiedeholt leere Verifizierungsmails auf, mit denen die Spammer ihre Software testen bzw. Mailaccounts verifizieren wollen.
Aber nach so etwas sieht es hier eher nicht aus.

Wurgl
22.02.2006, 23:00
Vielleicht hat der Spammer aus Schusseligkeit den Mailtext vergessen.


Schusseligkeit hat viele Seiten. Das schlug gestern auf:


From - Tue Feb 21 xx:xx:xx 2006
Return-Path: <%CUSTOM_FINANCIAL_TERMS [at] gmail.com>
X-Original-To: <auch-das-bin-ich>@arcor.de
Received: from localhost (mail-in-09.arcor-online.net [151.189.21.49])
by mail-in-07-z2.arcor-online.net (Postfix) with ESMTP ID: [ID filtered]
Tue, 21 Feb 2006 xx:xx:xx +0100 (CET)
Received: from mail-in-09.arcor-online.net ([127.0.0.1])
by localhost (mail-in-09 [127.0.0.1]) (amavisd-new, port 10024) with LMTP
ID: [ID filtered]
Received: from DM (unknown [208.65.60.178])
by mail-in-09.arcor-online.net (Postfix) with SMTP ID: [ID filtered]
Tue, 21 Feb 2006 xx:xx:xx +0100 (CET)
Received: from %RND_HOST (8.8.8/8.8.8) ID: [ID filtered]
Message-ID: [ID filtered]
From: "Maximilian Cotton" <%CUSTOM_FINANCIAL_TERMS [at] gmail.com>
To: 5 Adressen
Subject: Concerning Your February Account Details
X-Mailer: Opera/6.05 (Windows 2000; U) [fi]
Date: Tue, 21 Feb 2006 xx:xx:xx -0600

%CUSTOM_TO_ALIAS,

%CUSTOM_ACCOUNT - %CUSTOM_LINK

Maximilian Cotton, Account Rep. %CUSTOM_REP_NUMBER

Alles CUSTOM, oder was? :)

Goofy
22.02.2006, 23:13
Received: from DM (unknown [208.65.60.178])

Die ist über Kanada gekommen.

Bei dieser Mail glaube ich eher an eine Verifizierungsmail.
Inzwischen beschaffen sich viele Spammer Accounts bei Zielprovidern. Dann spammen sie die Accounts aus einer Liste voll und testen ihre gefälschten Header daraufhin, ob der Mailprovider blockt.
Kommt die Mail auf dem eigenen Account des Spammers an, der in die Spamliste druntergemischt wurde, kann er davon ausgehen, dass der Provider nicht blockt.

Hier könnte sogar die Absende-Add %CUSTOM_FINANCIAL_TERMS [at] gmail.com echt sein und tatsächlich existieren.
Damit könnte der Spammer seine Listen von nichtexistierenden Arcor-Accounts sauberwaschen, wenn er die Bouncemeldungen ("delivery failed") auswertet.

exe
23.02.2006, 09:18
Ne das waren offensichtlich Platzhalter.
http://www.antispam-ev.de/forum/showthread.php?t=10221