dialer und spam mails

[Munky]

Return-Path: <520071131938-0001@t-online.de>
Received: from mailout09.sul.t-online.com (mailout09.sul.t-online.com [194.25.134.84])
Received: from fwd05.sul.t-online.de
by mailout09.sul.t-online.com with smtp
id 17qdyB-0002l7-03; Sun, 15 Sep 2002 20:18:07 +0200
Received: from Kcfcqjb (520071131938-0001@[217.89.9.104]) by fwd05.sul.t-online.com
with smtp id 17qdxj-1jRAjQC; Sun, 15 Sep 2002 20:17:39 +0200
Wrom: KEDOTWFAOBUZXUWLSZLKBRNVWWCUFPEGAUT
Subject: Eager to see you
Message-ID: <17qdxj-1jRAjQC@fwd05.sul.t-online.com>
X-Sender: 520071131938-0001@t-dialin.net

===================================

Return-Path: <520071131938-0001@t-online.de>
Received: from mailout09.sul.t-online.com (mailout09.sul.t-online.com [194.25.134.84])
Received: from fwd05.sul.t-online.de
by mailout09.sul.t-online.com with smtp
id 17qdz0-0002l7-00; Sun, 15 Sep 2002 20:18:58 +0200
Subject: SKYBANNER ENDE
Message-ID: <17qdyZ-1wG97gC@fwd05.sul.t-online.com>
X-Sender: 520071131938-0001@t-dialin.net

[Fips]

gut. als internet-skript-progger würd ich mal sagen, da is ein Mail-Script im Spiel. Das Script liegt höchstwahrscheinlich auf nem T-Online-Server (gibt doch dort irgendwo members?) deshalb würd ich sagen schreib ne email mit nachricht und genau diesen infos an t-online. die dürften eigentlich für dies problem zuständig sein. Ach ja, übrigens: nach diesem Header sollte noch was anderes kommen. kannst du das mal von einer Mail posten?

[Munky]

Return-Path: <520071131938-0001@t-online.de>
Delivered-To: web948p2@basicbox2.server-home.net
Received: from mailout09.sul.t-online.com (mailout09.sul.t-online.com [194.25.134.84])
by basicbox2.server-home.net (Postfix) with ESMTP id 18F6D1FB927
for <webdesign@closer-sun.de>; Sun, 15 Sep 2002 20:18:02 +0200 (CEST)
Received: from fwd05.sul.t-online.de
by mailout09.sul.t-online.com with smtp
id 17qdyB-0002l7-03; Sun, 15 Sep 2002 20:18:07 +0200
Received: from Kcfcqjb (520071131938-0001@[217.89.9.104]) by fwd05.sul.t-online.com
with smtp id 17qdxj-1jRAjQC; Sun, 15 Sep 2002 20:17:39 +0200
Wrom: GYOKSTTZRCLBDXRQBGJSNBOHMKHJYFMYXOE
To: webdesign@closer-sun.de
Subject: Eager to see you
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=B0r9221Xr0m0003oAw575081PLSf8I
Date: Sun, 15 Sep 2002 20:17:39 +0200
Message-ID: <17qdxj-1jRAjQC@fwd05.sul.t-online.com>
X-Sender: 520071131938-0001@t-dialin.net
X-UIDL: D>6!!-B]"!''A"!$CT!!

--B0r9221Xr0m0003oAw575081PLSf8I
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>
<iframe src=3Dcid:Z3BV04T577 height=3D0 width=3D0>
</iframe>
<FONT></FONT></BODY></HTML>

--B0r9221Xr0m0003oAw575081PLSf8I
Content-Type: plain/text;
name="Norton AntiVirus Deleted1.txt"
Content-Transfer-Encoding: base64
Content-ID: <Z3BV04T577>

Tm9ydG9uIEFudGlWaXJ1cyByZW1vdmVkIHRoZSBhdHRhY2htZW50OiBsb2dvLC5zY3IuDQpU
aGUgYXR0YWNobWVudCB3YXMgaW5mZWN0ZWQgd2l0aCB0aGUgVzMyLktsZXouSEBtbSB2aXJ1
cy4=

--B0r9221Xr0m0003oAw575081PLSf8I--

Das ist der komplette Qeulltext der Mail. Norton hat da automatisch sein Zeugs reingeschrieben...

[Fips]

irgendwie isses schade, jetzt wär grad der eigentliche virus gekommen. jetzt mal ne frage an alle: hat jemand einen PC, um den es nich besonders schade is, wenn n virus draufkommt?

[Munky]

Hehe!!

Um es mal mit den Worten von Norton zu sagen:

"Norton AntiVirus removed the attachment: logo,.scr.
The attachment was infected with the W32.Klez.H@mm virus."

[syco23]

Hi Fips!

Cool, dass du schon regergen angestellt hast. Thanx;)

Ich habe erst seit heute wieder Internet (dafür aber jetzt endlich DSL - also keine Dialergefahr mehr:) ) ich hab noch einiges zu tun (u.a über 100 Mail sichten - 90% Spam ) werd mir morgen mal gener ansehen, was du so rausgefunden hast.

Zur Frage bezügl. Mailadresse - hier die Eigenschaften der Nachricht:

Return-Path: <jasmina@yeah.net>
X-Flags: 0000
Delivered-To: GMX delivery to elias_ott@gmx.at
Received: (qmail 14975 invoked by uid 0); 3 Sep 2002 18:51:57 -0000
Received: from acb195e0.ipt.aol.com (HELO webmaster) (172.177.149.224)
by mx0.gmx.net (mx017-rz3) with SMTP; 3 Sep 2002 18:51:57 -0000
From: "Jasmina Richter" <jasmina@yeah.net>
To: <elias_ott@gmx.at>
Subject: Danke für Deine Hilfe !!!
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Date: Tue, 3 Sep 2002 20:51:48
Message-ID: <20020903185157.15006gmx1@mx017-rz3.gmx.net>

Gruß,
Syco

[Fips]

hm, schade, lässt sich nix sagen, ausser dass die mail wirklich von sabrina@yeah.net kommt. der würd ich mal schreiben - aber bitte von einer unwichtigen email-adresse.

[KSC]

Original geschrieben von Fips
hm, schade, lässt sich nix sagen, ausser dass die mail wirklich von sabrina@yeah.net kommt. der würd ich mal schreiben - aber bitte von einer unwichtigen email-adresse.

Wieso sicher? Jeder der auch nur den mail-Befehl von PHP kennt, kann in das From Feld reinschreiben, was immer er will.

Ich mach das öfter bei meinen Kumpels um sie zu erschrecken, z.B. kommt
From: h.schmitz@finanzamt-karlsruhe.de
Subject: Lohnsteuer Nachzahlung für 2000
immer ganz gut an

Wer´s nicht glaubt, dem schick ich gerne ne Mail mit einem Absender seiner Wahl.

Sicher ist es also keineswegs, dass der Absender stimmt, bei Spam-Mails sogar äußerst unwahrscheinlich. Wenn du zurückschreibst wirst du die Mail mit relativ hoher wahrscheinlichkeit als "Unzustellbar" zurückbekommen.

Ich würd das Teil ganz schnell in die Tonne treten und vergessen.

[Fips]

wenn du ein gutes mailprog hast, (ich ging bei syco mal davon aus), zeigt der dir das ganz genau an. nix von wegen PHP-Skript (es sei denn es ist gehacktes PHP, aber mit dem original lässt sich nix machen.)

[Fips]

@wers nicht glaubt: schick doch bitte mal ne mail "von" patrik_fimml@hotmail.com an patrik.fimml@web.de

[KSC]

Schick ich dir sofort, kein Problem.

[KSC]

Es müsste soben ne Mail "von" patrik_fimml@hotmail.com bei patrik.fimml@web.de angekommen sein.

Da es von einer Hosting Domain kommt, steht wahrscheinlich eine "Authentication Warning" im Header. Die richtige Absenderadresse kriegste aber trotzdem nicht raus, schongar nicht nicht aus dem "From" Feld, höchstens den Namen meines Hosters.

Wenn doch gibt´s ein Eis

Die Auth Warning lässt sich, wenn man entsprechenden Zugriff auf den Server hat (z.B. nen Dedicated Server am Start), locker unterbinden, wenn man einen bestimmten Parameter setzt.

[Fips]

Tja, trotz allem is "X-Mailer: PHP/4.3.2" recht aufschlussreich.

[Fips]

mit der e-mail adresse haste schon recht, trotzdem weiß ich dass du bei hosteurope bist.

[Fips]

hier bitte:

Received: from [217.115.142.91] (helo=lithium.webpack.hosteurope.de)
by mx09.web.de with esmtp (WEB.DE(Exim) 4.75 #2)
id 17trh7-000117-00
for patrik.fimml@web.de; Tue, 24 Sep 2002 17:33:49 +0200
Received: (from nobody@localhost)
by lithium.webpack.hosteurope.de (8.11.0/8.11.0) id g8OFVwf01700;
Tue, 24 Sep 2002 17:31:58 +0200
Date: Tue, 24 Sep 2002 17:31:58 +0200
Message-Id: <200209241531.g8OFVwf01700@lithium.webpack.hosteurope.de>
X-Envelope-To: patrik.fimml@web.de
X-Authentication-Warning: lithium.webpack.hosteurope.de: nobody set sender to patrik_fimml@hotmail.com using -f
To: Patrik Fimml <patrik.fimml@web.de>
Subject: STEUERPRÜFUNG
Wrom: YRWTQTIPWIGYOKSTTZRCLBDXRQBGJSNBOHMKHJY
Reply-To: Patrik Fimml <patrik_fimml@hotmail.com>
X-Mailer: PHP/4.2.3

[KSC]

Jepp, aber wenn ich nen eigenen Server hätte kann ich das auch konfigurieren wie ich lustig bin.

Und die PHP Angabe kann ich auch weglassen, die macht mein Mailscript halt standardmäßig rein. Ist im übrigen wenig aufschlussreich.


Edit: ah ja, die Auth Warning.

Klar, man muss halt nen trusted User auf dem Webserver haben, dann bleibt die weg. Alles eine Frage der Konfiguration. Und wie gesagt: ich bin so arm, ich hab halt nur ne Hostingdomain

Edit2: ups, oben die Angabe für das received muss ich auch noch wegkriegen und das untere From ist auch ein bissel "schräg". Naja ich bin halt nur Coder, kein Spammer so einer kann das besser. Und ich habs ja nur mal auf die Schnelle gemacht.

Naja is ja auch egal, jedenfalls kammer sich auf den die From Angabe bzw den Header überhaupt nicht sonderlich verlassen...