Hallo,
mir ist aufgefallen, dass Spammer, falls sie den Header in grösserem Umfang zu fälschen versuchen, immer wieder dieselben gefakten Headerzeilen zu verwenden scheinen, Abweichungen davon gibt es kaum.
Liegt das an der verwendeten Bulkmailsoftware?
Ich habe mir mal die Mühe gemacht, diese zu erfassen, vielleicht hilft es ja dem einen oder anderen, erst gar nicht darauf reinzufallen oder sich daraus entsprechende Block- oder Filterregeln zu erstellen.
Anmerkungen und Ergänzungen sind wie immer willkommen.
HTH
Eniac

1.) SMTP-Server
a.) total fakes, domain non-existent
a231242.upc-a.zhello.nl --> fake von chello.nl
anther.webhostingtotalk.com --> fake von another.webhostingtalk.com
asy100.as122.sol-superunderline.com
da001d2020.loxi.pianstvu.net
f64.law4.hottestmale.com --> fake von law.hotmail.com
mail.gimmixx.net
mailout2-eri1.midmouth.com
mx.loxsystems.net
n7.groups.huyahoo.com --> fake von yahoo.com
n9.groups.huyahoo.com --> fake von yahoo.com
pet.vosni.net
rly-xr02.nikavo.net
rly-xw01.otpalo.com
rly-xw05.oxyeli.com
rly-xl04.mx.aolmd.com --> fake von aol.com
rly-yk04.aolmd.com --> fake von aol.com
rly-yk05.pesdets.com
rly-xl05.dohuya.com
smtp4.cyberecschange.com --> fake von cyberexchange.com
sparc.zubilam.net --> fake von fire.ball.reliam.net
sydint1.microthink.com.au

b.) faked, domain existent
hd.ressort.net --> [Link nur für registrierte Mitglieder sichtbar. ]
m10.grp.snv.yahui.com --> [Link nur für registrierte Mitglieder sichtbar. ]
mta21.bigpong.com --> [Link nur für registrierte Mitglieder sichtbar. ] (No spam originates here - your header is fake.)
mta85.snfc21.pibi.net --> [Link nur für registrierte Mitglieder sichtbar. ]
q4.quickslow.com --> [Link nur für registrierte Mitglieder sichtbar. ]
rly-xr01.nihuyatut.net --> [Link nur für registrierte Mitglieder sichtbar. ]
smtp013.mail.yahou.com --> [Link nur für registrierte Mitglieder sichtbar. ]
smtp-server1.cflrr.com --> [Link nur für registrierte Mitglieder sichtbar. ]
smtp-server.tampabayr.com --> [Link nur für registrierte Mitglieder sichtbar. ] (SPAMMER IS FORGING THIS DOMAIN)
web.mail.halfeye.com --> [Link nur für registrierte Mitglieder sichtbar. ]

2.) IP-Adressen:
a.) IANA reserved
41.0.0.0 - 41.255.255.255
41.170.183.33

59.0.0.0 - 59.255.255.255
59.32.99.194
59.161.14.143

60.0.0.0 - 60.255.255.255
60.74.241.245
60.176.158.197

70.0.0.0 - 79.255.255.255
79.193.192.150

82.0.0.0 - 95.255.255.255
84.68.112.215
88.14.247.149
90.240.76.194
91.161.175.198
94.67.200.138

96.0.0.0 - 126.255.255.255
100.137.203.110
107.51.22.201
113.32.223.177
117.153.16.212

127.0.0.0 - 127.255.255.255
127.249.78.105

b.) No match found for +n
97.77.222.55
175.37.59.225
190.85.19.21
190.156.43.232
--
Ceterum censeo netmails.com esse delendam.