Virenmailheaderinterpretation -> Abuse
Jan 'Red Bully' Seiffert
redbully at cc.fh-luh.de
Wed Jun 16 19:26:42 CEST 2004
Florian Lohoff wrote:
> On Wed, Jun 16, 2004 at 06:45:24PM +0200, Jan 'Red Bully' Seiffert wrote:
>
>>HiHo!
>>
>>Ralf wrote:
>>
>>>Hi Jan,
>>>
>>>danke für deine Anmerkungen, also aus Norwegen kommen diese Viren?
>>
>>Nunja, der Mailserver, der sie bei GMX einschmeisst, steht da, und der
>>Rechner, der sie wiederum bei ihm eingeworfen hat, kommt aus einem
>>Norwegischen Dial-Up.
>
>
> Das problem ist das du nur begrenzt den "Received:" zeilen glaube
> kannst. Spam kommt oft auch mit gefaelschten Received zeilen an. D.h.
> grundsaetzlich trauen ich immer nur der Received zeile die MEINE MXe
> geschrieben haben. Alles davor kann, muss aber nicht richtig sein.
Ja, das ist mir ja klar. 100% zustimm!
Ich bin das ja deshalb (siehe z.B. erste Antwort) rueckwaerts durchgegangen:
GMX ist sein Mailprovider, also wird die zeile in der GMX sagt recived
noch glaubwuerdig sein.
GMX sagt, ich hab es von "mailfe06.swip.net (EHLO mailfe06.swip.net)
(212.247.154.161)", was nach test ueber DNS und whois glaubwuerdig
aussieht.
Dieser Swipnetserver sagt nun "angeblich", die Mail sei von
"[213.101.22.67] (HELO qliublrk) by mailfe06.swip.net", was so
dermassener Kaese ist, das es diese Kiste wohl ist, die ne WurmKur blaucht.
Aber egal was davon nun gefaket ist, der Headerzeile von GMX als seinem
Provider "muss" ich vertrauen, und dann liegen beide IP's, die eine
davon vielleicht auch gefaket, im einflussberecih von abuse <ät> swip.net,
bzw. deren anscheinendem Uplink (oder Partner oder was auch immer) Tele2
>
> Flo
vor grossem Meister verbeug und wieder unter Stein verschwindent
Gruss
Jan
--
en.gin.eer en-ji-nir n 1: a mechanism for converting caffeine into designs.
More information about the Linux
mailing list