Virenmailheaderinterpretation -> Abuse

Jan 'Red Bully' Seiffert redbully at cc.fh-luh.de
Tue Jun 15 21:08:39 CEST 2004 

Daaaaach!

Ralf wrote:
> Hi LUG-Eulen :)
>
> An welche Domänen würdet ihr eine Abuse-Meldung senden, wenn eine
> Virusbehaftete Mail (EXE), diesen Header enthält?
Die, die die Wurmverseuchte Kiste hat...

> (Dabei ist "Microsoft" schon in meinem Spamfilter eingetragen :)
<Ironie>
Und das hat nicht geholfen?
</Ironie>

> Habe den Header erst einmal an abuse at puremail.com und gmx.net weiter
> geleitet...
Das ist zwar nett von dir, die muessen das aber auch noch bearbeiten und
koennen es auch nur weiterleiten -> Zeitverzug.


> Return-Path: <anita.af at c2i.net>
>  X-Flags: 0000
>  Delivered-To: GMX delivery to ... at gmx.de
Also auf gmx ist das Kind angekommen.

>  Received: (qmail 1017 invoked by uid 65534); 15 Jun 2004 14:46:35 -0000
>  Received: from mailfe07.swip.net (EHLO mailfe07.swip.net)
> (212.247.154.193)
EHLO ist anscheinend kein Kaesekuchen, RDNS-Lookup scheint zu funzen,
212.247.154.193 gehoert nach whois "swipnet", wohl ein ISP in Norwegen
der mit Tele2.no koorperiert (dazugehoert?)

>   by mx0.gmx.net (mx002) with SMTP; 15 Jun 2004 16:46:35 +0200
Angaben dieses recieved-Eintrag koenen als vertrauenswuerdig angesehen
werden.

>  Received: from [193.217.233.236] (HELO kvkzhi)
Aber hier dann: HELO ist Bannane, RDNS scheint nicht zu funzen und whois
sagt zu 193.217.233.236:

...
inetnum:      193.217.232.0 - 193.217.233.255
netname:      TELE2-MODEMPOOLS
descr:        Tele2 Norge AS
....

Aha, ein Modem-Pool (Dail-In)....

Und weiter heist es da:

....
descr:        DAXnet/Tele2 Norge
              ###################################################
              In case of improper use originating from our network,
              please mail customer or <abuse at tele2.no>
              ###################################################
...
trouble:      Spam and abuse mailto: abuse at tele2.no
...

Welcher Virus isses denn? Swen?
Naja, was mich nur wundert ist, welcher wurm ueber nen Server
einliefert? Smarthost? Na ein glueck das ich davon keine Ahnung hab...
Any Mail-Admin-Guru?

Man koennte jetzt mal in den Blacklists nachschauen ob die (Tele2,
swipnet sein Server/Smarthost/wasauchimmer) schon einschlaegig bekannt sind.

>
> Gruß
> Ralf
>
Gruss
	Jan

-- 
en.gin.eer en-ji-nir n 1: a mechanism for converting caffeine into designs.

More information about the Linux mailing list