Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Frage zu X-Source
24 views
Skip to first unread message
Christian Praus
May 1, 2013, 10:19:23 AM5/1/13
to
Hallo Experten!
In den Headerdaten einer Phishing-Mail habe ich die Zeile X-Source
entdeckt. Ist das ein Hinweis, da� sich in dieser Mail ein Link, der
auf die genannte IP zeigt, befindet?
...............................................
for <off...@fastrun.org>; Wed, 1 May 2013 11:58:53 +0200
Received: from smartmx-09.inode.at ([62.99.145.9])
by edge11.upcmail.net with edge
id WZyt1l0010CP9kW0BZyt4P; Wed, 01 May 2013 11:58:53 +0200
X-SourceIP: 62.99.145.9
Received: from toroondcbmts04-srv.bellnexxia.net
([207.236.237.38]:5492)
...........................................
...........................................
Danke
Christian
In den Headerdaten einer Phishing-Mail habe ich die Zeile X-Source
entdeckt. Ist das ein Hinweis, da� sich in dieser Mail ein Link, der
auf die genannte IP zeigt, befindet?
...............................................
for <off...@fastrun.org>; Wed, 1 May 2013 11:58:53 +0200
Received: from smartmx-09.inode.at ([62.99.145.9])
by edge11.upcmail.net with edge
id WZyt1l0010CP9kW0BZyt4P; Wed, 01 May 2013 11:58:53 +0200
X-SourceIP: 62.99.145.9
Received: from toroondcbmts04-srv.bellnexxia.net
([207.236.237.38]:5492)
...........................................
...........................................
Danke
Christian
Karl-Josef Ziegler
May 1, 2013, 11:07:08 AM5/1/13
to
Am 01.05.2013 16:19, schrieb Christian Praus:
> In den Headerdaten einer Phishing-Mail habe ich die Zeile X-Source
> entdeckt. Ist das ein Hinweis, da� sich in dieser Mail ein Link, der
> auf die genannte IP zeigt, befindet?
> In den Headerdaten einer Phishing-Mail habe ich die Zeile X-Source
> entdeckt. Ist das ein Hinweis, da� sich in dieser Mail ein Link, der
> auf die genannte IP zeigt, befindet?
> Received: from smartmx-09.inode.at ([62.99.145.9])
> by edge11.upcmail.net with edge
> id WZyt1l0010CP9kW0BZyt4P; Wed, 01 May 2013 11:58:53 +0200
> X-SourceIP: 62.99.145.9
Nein, bei allen Headern die ich bisher gesehen habe, war dies die IP der
> by edge11.upcmail.net with edge
> id WZyt1l0010CP9kW0BZyt4P; Wed, 01 May 2013 11:58:53 +0200
> X-SourceIP: 62.99.145.9
einliefernden Maschine, in diesem Fall also:
62.99.145.9 ---> mx09.lb01.inode.at
Der Spam wurde also �ber den Mailserver von Inode in �sterreich
verschickt. Wahrscheinlich wurde der Account office at fastrun.org
kompromittiert, f�r diesen ist n�mlich als MX Inode zust�ndig.
Viele Gr��e,
- Karl-Josef
Christian Praus
May 1, 2013, 12:15:17 PM5/1/13
to
On Wed, 01 May 2013 17:07:08 +0200, Karl-Josef Ziegler
<PLPRXO...@spammotel.com> wrote:
>Der Spam wurde also �ber den Mailserver von Inode in �sterreich
>verschickt. Wahrscheinlich wurde der Account office at fastrun.org
>kompromittiert, f�r diesen ist n�mlich als MX Inode zust�ndig.
>
Hei�t das nun, das office at fastrun.org (das ist n�nlich die Adresse.
<PLPRXO...@spammotel.com> wrote:
>Der Spam wurde also �ber den Mailserver von Inode in �sterreich
>verschickt. Wahrscheinlich wurde der Account office at fastrun.org
>kompromittiert, f�r diesen ist n�mlich als MX Inode zust�ndig.
>
an der die mail ankam, kompromittiert wurde, diese Mai aber von Kanada
aus geschickt wurde)
Kompletter Header:
Return-Path: <westernuni...@westernunion.com>
Received: from edge11.upcmail.net ([192.168.13.81])
by viefep18-int.chello.at
(InterMail vM.8.01.05.05 201-2260-151-110-20120111) with
ESMTP
id
<20130501095853.SMMD2186...@edge11.upcmail.net>
for <off...@fastrun.org>; Wed, 1 May 2013 11:58:53 +0200
Received: from smartmx-09.inode.at ([62.99.145.9])
by edge11.upcmail.net with edge
id WZyt1l0010CP9kW0BZyt4P; Wed, 01 May 2013 11:58:53 +0200
X-SourceIP: 62.99.145.9
by smartmx-09.inode.at with esmtp (Exim 4.69)
by edge11.upcmail.net with edge
id WZyt1l0010CP9kW0BZyt4P; Wed, 01 May 2013 11:58:53 +0200
X-SourceIP: 62.99.145.9
(envelope-from <westernuni...@westernunion.com>)
id 1UXToK-0003bF-P8
for off...@fastrun.org; Wed, 01 May 2013 11:58:53 +0200
Received: from toip41-bus.srvr.bell.ca ([67.69.240.42])
by toroondcbmts04-srv.bellnexxia.net
(InterMail vM.8.00.01.00 201-2244-105-20090324) with ESMTP
id
<20130501095851.IDRK2338.toro...@toip41-bus.srvr.bell.ca>
for <off...@fastrun.org>; Wed, 1 May 2013 05:58:51 -0400
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result:
AgZBAEjegFFGGUPc/2dsb2JhbAA5GgECCAKCTGQ5il6ecYMkAQGJNQGGX4FQAwEUgQF0ggUBEh8BYyMBHBMhYSKFJwcBgjsMMZVIiAwBAgGBH4RtAY4cjD+OQjkhGoJZYQOIXY5IgSeKYYUmgTMugS07
X-IronPort-AV: E=Sophos;i="4.87,587,1363147200";
d="scan'208,217";a="427157666"
Received: from toroon12-1176060892.sdsl.bell.ca (HELO
westernunion.com) ([70.25.67.220])
by toip41-bus.srvr.bell.ca with ESMTP; 01 May 2013 05:58:45 -0400
From: <westernuni...@westernunion.com>
To: off...@fastrun.org
Subject: Western Union Transaktion von PayPal
Date: 01 May 2013 10:58:45 +0100
Message-ID: <20130501105845....@westernunion.com>
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
X-Antivirus: avast! (VPS 130430-1, 01.05.2013), Inbound message
X-Antivirus-Status: Clean
mfg
Christian
Karl-Josef Ziegler
May 2, 2013, 2:51:04 AM5/2/13
to
Am 01.05.2013 18:15, schrieb Christian Praus:
> Hei�t das nun, das office at fastrun.org (das ist n�nlich die Adresse.
> an der die mail ankam, kompromittiert wurde, diese Mai aber von Kanada
> aus geschickt wurde)
Das ist eine weit verbreitete 'Mugu-Versandmethode':
> Hei�t das nun, das office at fastrun.org (das ist n�nlich die Adresse.
> an der die mail ankam, kompromittiert wurde, diese Mai aber von Kanada
> aus geschickt wurde)
Zombie-Maschine (Kanada, wahrscheinlich mit Virenbefall) ----> regul�rer
Mailserver (�sterreich) mit gecracktem Account ---> empfangender Mailserver
Durch den Zombie wird die wahre Herkunft verschleiert, aber �ber den
Zombie direkt wird man kaum was los, da dieser auf weit verbreiteten
Blocklisten stehen d�rfte. Also muss man noch einen regul�ren Mailserver
(mit gecracktem Account) 'dazwischenschalten', um �berhaupt eine Chance
zu haben, diesen Schrott noch an andere Mailserver loswerden zu k�nnen.
0 new messages