Ich bekomme hier, seitdem ich mich mal in ner Partner/Kontakt-Börse angemeldet hatte, so seltsame Mails.

Theoretisch könnten es Kontakt-Nachrichten sein, allerdings ist das auftreten und die Inhaltsform in den Mails fragwürdig. Teilweise sind jedoch welche so echt formuliert, daß man glatt mal eine echte Kontakt-Nachricht übersehen könnte.

Frage deshalb:
Wenn eine Mail im Mail-Header den eintrag
"X-Mailer-Version: 3.88" enthält, ist sie dann 100%tig spam oder könnte es theoretisch auch eine nicht-spam Mail sein?
Was verwenden denn anbieter wie freenet und GMX als X-Mailer eintrag, wenn man von der webseite aus die Mail verschickt?

und was ist, wenn z.B: "helo=bianca" drinsteht, das ist doch nicht normal oder? Was darf als "helo=..." denn in einer mail normalerweise drinstehen?

Weiß jemand dazu was?

Sowohl der "X-Mailer"-Eintag als auch "helo=" sind komplett manipulierbar.
Entscheidend ist die Absender-IP. Die kann als einziger Header-Bestandteil nicht gefälscht werden, da sie vom emfangenden Rechner und nicht vom Absender eingesetzt wird.


Wenn eine Mail im Mail-Header den eintrag " X-Mailer-Version: 3.88" enthält, ist sie dann 100%tig spam oder könnte es theoretisch auch eine nicht-spam Mail sein? Das sagt zunächst nichts über Spam aus, sondern beschreibt die Software, mit der die Mail verschickt wurde.


Was verwenden denn anbieter wie freenet und GMX als X-Mailer eintrag, wenn man von der webseite aus die Mail verschickt? GMX verwendet "WWW Mail 1.6", Web.de verwendet den Eintrag nicht, ...


und was ist, wenn z.B: "helo=bianca" drinsteht, das ist doch nicht normal oder?Doch - das ist der Name des Rechners des Mail-Versenders. Den kann jeder selber festlegen.

Bitte, kannst du den kompletten Header posten. Aber mache zuvor deine Mai-Adresse unkenntlich.

Return-Path: <xxxxxxxxxx [at] freenet.de>
X-Flags: 0000
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 15 May 2006 xx:xx:xx -0000
Received: from mout0.freenet.de (EHLO mout0.freenet.de) [194.97.50.131]
by mx0.gmx.net (mx005) with SMTP; 15 May 2006 xx:xx:xx +0200
Received: from [194.97.50.138] (helo=mx0.freenet.de)
by mout0.freenet.de with esmtpa (Exim 4.61)
(envelope-from <xxxxxxxxxx [at] freenet.de>)
ID: [ID filtered]
for poor [at] spamvictim.tld; Mon, 15 May 2006 xx:xx:xx +0200
Received: from dslc-082-082-073-168.pools.arcor-ip.net ([82.82.73.168] helo=bianca)
by mx0.freenet.de with esmtpa (ID: [ID filtered]
ID: [ID filtered]
for poor [at] spamvictim.tld; Mon, 15 May 2006 xx:xx:xx +0200
From: "nancy" <xxxxxxxxxx [at] freenet.de>
Subject: Hallo hier ist nancy noch mal wauw das du mir geantwortet hast ist
echt
To: poor [at] spamvictim.tld
Content-Type: text/plain; charset="iso-8859-1"
Reply-To: xxxxxxxxxx [at] freenet.de
Date: Mon, 15 May 2006 xx:xx:xx +0200
Message-ID: [ID filtered]
X-Mailer-Version: 3.88
X-Sender: A2CCC73C-4A50-49DB-AA68-A4644013364
Status: N
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]








---------
das ist der header.

alle "yyy" enthalten ein und den selben vorderbestandteil meiner email adresse.

alle "xxxxxxxxxx" enthalten ein und den selben vorderbestandteil der email adresse der fragwürdigen person.

eigentlich bräuchte ich sie gar nicht schwarz machen, denn wie ich festgestellt habe, werden mails auf die adresse zurückgewiesen, weil sie nicht existiert.


..aja und alle 3 bis jetzt eingegangenen spam-mails kamen entweder von freenet.de adressen oder schrieben, daß man auf eine freenet.de adresse zurückschreiben solle.

Verschickt wurde die Mail über einen Arcor-DSL-Anschluss in Hannover: [82.82.73.168]

GeoBytes meint, dass der Teilnehmer in Hannover sitzt und Traceroute endet derzeit bei "han-145-254-18-54.arcor-ip.net" was ebenfalls auf Hannover tippen läßt. (Die IP ist offfline.)

Meine persönliche Meinung:
Die Mail ist sicherlich kein Spam. Eher "Verarsche" von partnersuchenden und damit potenziell zahlungswilligen, gutgläubigen Netz-Deppen.

"Bianca" antwortet mit dem Rechner "Nancy" - wie süß. Wenn du auf abzockende Kerle stehst, dann ist dein Gegenpart genau dein Ding.
Ansonsten ist gesundes Misstrauen angebracht...

höa moment mal.. - der absender der mail hatte sich tatsächlich auch als "nancy" ausgegeben.

Aber daß sich die Inhalte über die IP noch so lange zurückverfolgen lassen, jemand geht doch irgendwann offline und die IP müßte doch jemand anders kriegen. Hm.. ob der ne statische IP adresse hat?

Was der wohl sonst noch so an seinem im netz stehenden PC dranhat? Hm.. Vielleicht kann ein Port-scanner ja noch erstaunliches zu tage bringen..

der absender der mail hatte sich tatsächlich auch als "nancy" ausgegeben.OK - dann ist es so herum richtig: "Nancy" antwortet mit dem Rechner "Bianca".

Aber daß sich die Inhalte über die IP noch so lange zurückverfolgen lassen, jemand geht doch irgendwann offline... Genau. "Nancy" war zu diesem Zeitpunkt bereits offline. Deshalb bricht Traceroute auch vor der eigentlichen IP ab (s.o.)
Hier ist die komplette, aber nicht vollständige IP-Verfolgung:

Tracing route to dslc-082-082-073-168.pools.arcor-ip.net [82.82.73.168]...
hop rtt rtt rtt ip address fully qualified domain name
1 0 0 0 216.46.228.229 port-216-3073253-es128.devices.datareturn.com
2 0 0 0 64.29.192.145 port-64-1949841-zzt0prespect.devices.datareturn.com
3 0 0 0 64.29.192.226 daa.g921.ispb.datareturn.com
4 0 0 0 168.215.241.133 hagg-01-ae0-1001.dlfw.twtelecom.net
5 0 0 0 66.192.246.213 core-01-ge-3-1-3-505.dlfw.twtelecom.net
6 0 0 0 66.192.246.33 tran-01-ge-0-2-0-1.dlfw.twtelecom.net
7 16 24 0 67.72.4.17
8 0 0 0 4.68.122.33 ae-2-52.bbr2.dallas1.level3.net
9 125 125 125 212.187.128.21 ae-1-0.bbr2.dusseldorf1.level3.net
10 124 125 132 4.68.114.30 so-11-0.hsa2.dusseldorf1.level3.net
11 125 125 125 212.162.47.102 arcor.hsa2.level3.net
12 125 125 125 145.254.18.157 dus-145-254-18-157.arcor-ip.net
13 125 125 125 145.254.19.197 esn-145-254-19-197.arcor-ip.net
14 129 129 129 145.254.18.54 han-145-254-18-54.arcor-ip.net
15 130 187 131 145.254.11.238
16 * * *
17 * * *
18 * * *
19 * * *
Trace abortedWie man sieht endet die Verfolgung an einem Backbone, also vor der gesuchten IP (weil diese IP derzeit offline ist).

Aus dem DNS-Namen "han-..." kann man auf einen Knoten in Hannover schließen.
Hier gibt es eine Website, die zu (fast) jeder IP den goegrafischen Ort ermitteln kann: www. http://www.geobytes.com/IpLocator.htm?GetLocation
Und dieser Anbieter sagt: [82.82.73.168] = Hannover

Das funktioniert auch dann, wenn die IP offline ist, weil sie in den allermeisten Fällen immer im selben Ort neu vergeben wird. Mit dieser IP surfen also nur Hannoveraner.

Mein Rat: Schreibe doch Nancy weiter per Mail, das kostet dich doch nichts.
Wenn Nancy allerdings darauf besteht, dass du dich in Zukunft nur noch über gebührenpflichtige "Premiumdienste" unterhalten darfst, dann weißt du, woher der Wind weht...

[Nachtrag]
Das Webmail-Interface "X-Mailer-Version: 3.88" wird von verschiedenen Anbietern verwendet, z.B. von Freenet und Wanadoo. Es ist also kein Indiz für Spam.

Und dieser Anbieter sagt: [82.82.73.168] = Hannover

Das funktioniert auch dann, wenn die IP offline ist, weil sie in den allermeisten Fällen immer im selben Ort neu vergeben wird. Mit dieser IP surfen also nur Hannoveraner.

Wobei das ganze auch ein bissel mit Vorsicht zu genießen ist.
Ich habe gerade mal meine aktuelle IP eingetragen und hätte eigentlich erwartet,
daß ich nicht gerade mein Kaff im Rhein-Pfalz-Kreis angezeigt bekomme,
sondern eher sowas wie Mannheim, wo ich den nächsten Netzknoten vermutet hätte...

Aber was zeigt mir GeoBytes? -> Ich sitze in Heilbronn...
Immerhin ein anderes Bundesland und gut 80 Kilometer weg von mir...

Das allerbeste ist aber, daß er mir von meinem vermeintlich entdeckten
"Wohnort" Heilbronn als "nearby cities" unter anderem in 13 km Entfernung den Ort "Koenigs Wusterhausen" anzeigt!
Naja, von mir aus sind das knapp 650 Kilometer bis dorthin...

Insofern denke ich mal, daß das da oben mit Hannover stimmen kann, muß aber nicht unbedingt so sein...