*.protection.outlook.com

[Bernd Hohmann]

Hat schon jemand was brauchbares ausgetüftelt, um sich gegenüber Müll
von *.protection.outlook.com zu wehren?

Das macht mittlerweile 70% des übergebliebenen Spams aus.

Bernd

[Helmar]

Hab ich noch nie was von gehört... Ist das evtl Bestandteil eines Outlook
Nutzungsprofils? Hast Du mal ein Beispiel mit Header?

--
Steve Miller <mister...@hotmail.com> in
news:eI2boH5...@TK2MSFTNGP10.phx.gbl
"Außerdem bin ich nicht lernrestent. Ich weiß einfach schon alles."

[Bernd Hohmann]

On 21.02.2014 09:20, Helmar wrote:

> Bernd Hohmann schrieb am 21.02.2014 01:24:
>
>> Hat schon jemand was brauchbares ausgetüftelt, um sich gegenüber Müll
>> von *.protection.outlook.com zu wehren?
>>
>> Das macht mittlerweile 70% des übergebliebenen Spams aus.
>
> Hab ich noch nie was von gehört... Ist das evtl Bestandteil eines Outlook
> Nutzungsprofils? Hast Du mal ein Beispiel mit Header?

Das müsste dieses Office-Online von Microsoft sein.

Received: from emea01-db3-obe.outbound.protection.outlook.com
(emea01-db3-ndr.ptr.protection.outlook.com [157.56.120.106])
by donald.harddiskcafe.de (ZeroToaster::MTA 3.04)
with id SMTP [01/20]/1444c87f57a; Thu, 20 Feb 2014 00:43:02 +0100
X-Envelope-From: <pew...@peetwong.onmicrosoft.com>
X-UIDL: 20140220004303181000
X-Size: 2321
Received: from [172.16.1.68] (83.149.125.109) by
AMSPR04MB164.eurprd04.prod.outlook.com (10.242.83.154) with Microsoft SMTP
Server (TLS) id 15.0.883.10; Wed, 19 Feb 2014 19:50:28 +0000
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Description: Mail message body
Subject: INVESTMENT PORTFOLIO
To: Recipients <pew...@peetwong.onmicrosoft.com>
From: Peter Wong <pew...@peetwong.onmicrosoft.com>
Date: Wed, 19 Feb 2014 20:49:27 +0100
Reply-To: <ppwo...@aol.jp>
Message-ID:
<2ac5fe25-8d82-46bc...@AMSPR04MB164.eurprd04.prod.outlook.com>
Return-Path: pew...@peetwong.onmicrosoft.com
X-Originating-IP: [83.149.125.109]
X-ClientProxiedBy: AMSPR04CA011.eurprd04.prod.outlook.com (10.242.225.149)
To AMSPR04MB164.eurprd04.prod.outlook.com (10.242.83.154)
X-Forefront-PRVS: 012792EC17
X-Forefront-Antispam-Report:
SFV:SPM;SFS:(10019001)(6049001)(6009001)(199002)(189002)(83072002)(85852003)(87266001)(63696002)(47776003)(53256004)(79102001)(86902001)(95666001)(86442001)(94946001)(86632001)(64872006)(95416001)(89136004)(31696002)(33646001)(83322001)(19580405001)(19580395003)(80976001)(74316001)(77982001)(59766001)(74366001)(93516002)(87976001)(94316002)(86362001)(93136001)(56776001)(76176001)(77096001)(76576001)(76786001)(76796001)(54356001)(42186004)(23756003)(76482001)(54316002)(85306002)(325944007)(46102001)(56816005)(81816001)(81686001)(51856001)(90146001)(50466002)(81342001)(81542001)(66066001)(80022001)(65816001)(69226001)(221733001)(47976001)(50986001)(47736001)(4396001)(49866001)(74662001)(74876001)(92726001)(47446002)(74706001)(74502001)(43066001)(217433001)(62346011);DIR:OUT;SFP:1501;SCL:5;SRVR:AMSPR04MB164;H:[172.16.1.68];CLIP:83.149.125.109;FPR:78A64664.2173952B.C1E2EB8B.65FFC8EA.200FD;PTR:InfoNoRecords;A:0;MX:1;LANG:de;
X-OriginatorOrg: peetwong.onmicrosoft.com
X-Routed-IP: 157.56.120.106 *
X-Routed-IP: 83.149.125.109

[Karl-Josef Ziegler]

Am 21.02.2014 09:20, schrieb Helmar:

> Hab ich noch nie was von gehört... Ist das evtl Bestandteil eines Outlook
> Nutzungsprofils? Hast Du mal ein Beispiel mit Header?

Insbesondere Mugu-Spam kommt da bei mir über diese Quelle rein, Bsp.:

Received: from na01-bn1-obe.outbound.protection.outlook.com
([157.56.111.251]) by mx-ha.gmx.net (mxgmx103) with ESMTPS (Nemesis) id
0MJnHk-1WBjao1Gia-0019y6 for xxxxx; Tue, 04 Feb 2014 11:58:30 +0100
Received: from BN1BFFO11FD006.protection.gbl (10.58.52.31) by
BN1AFFO11HUB049.protection.gbl (10.58.52.160) with Microsoft SMTP Server
(TLS) id 15.0.856.14; Tue, 4 Feb 2014 10:54:10 +0000
Received: from mailboxes.info (23.30.35.217) by
BN1BFFO11FD006.mail.protection.outlook.com (10.58.144.69) with
Microsoft SMTP Server id 15.0.856.14 via Frontend Transport; Tue, 4 Feb
2014 10:54:10
+0000
Received: from User ([208.66.193.84]) by mailboxes.info with Microsoft
SMTPSVC(6.0.3790.4675); Tue, 4 Feb 2014 02:54:08 -0800

[Helmar]

Bernd Hohmann schrieb am 21.02.2014 10:06:

> Das müsste dieses Office-Online von Microsoft sein.
>

> ...[Header snipped]...

Ich kann nicht nachvollziehen warum Du meinst dass dieser Müll von
protection.outlook.com kommt. Da steht lediglich, dass dieser Server die
Mail angenommen hat. Dann scheinen da noch ein paar Zeilen gefakt zu sein
den so richtig gibt es kein Grund warum zwischen den ertsen beiden
Received-Zeilen ein Zeitunterschied von 5Std vorkommt. Auch der ganze
onmicrosoft.com Kram scheint getürkt ... zumindest gibts die Domain nicht.

Ich würde daruf tippen, dass der Kram von "83.149.125.109" kommt. Und dann
kommen die ersten echten zeilen der Outlook-Internen Weiterverarbeitung. Und
wenn ich das richtig sehe ist das Leaseweb.com ... Und deren Abusedesk
könnte ein Versuch wert sein.

[Bernd Hohmann]

On 21.02.2014 21:44, Helmar wrote:

> Auch der ganze onmicrosoft.com Kram scheint getürkt ... zumindest
> gibts die Domain nicht.

bernd@bernd:~$ whois onmicrosoft.com

[...]
Domain Name: onmicrosoft.com
[...]
Registry Registrant ID:
Registrant Name: Domain Administrator
Registrant Organization: Microsoft Corporation
Registrant Street: One Microsoft Way,
Registrant City: Redmond
[...]
Admin Name: Domain Administrator
Admin Organization: Microsoft Corporation
[...]
Tech Name: MSN Hostmaster
Tech Organization: Microsoft Corporation
Tech Street: One Microsoft Way,
Tech City: Redmond
[...]
Name Server: ns4.bdm.microsoftonline.com
Name Server: ns2.bdm.microsoftonline.com
Name Server: ns1.bdm.microsoftonline.com
Name Server: ns3.bdm.microsoftonline.com


bernd@bernd:~$ whois 157.56.120.106

NetRange: 157.54.0.0 - 157.60.255.255
CIDR: 157.56.0.0/14, 157.54.0.0/15, 157.60.0.0/16
OriginAS: AS8075
NetName: MSFT-GFS
[...]
OrgName: Microsoft Corporation
OrgId: MSFT
Address: One Microsoft Way
City: Redmond
[...]

[Helmar]

Bernd Hohmann schrieb am 21.02.2014 22:09:

> bernd@bernd:~$ whois onmicrosoft.com

ein tracert geht bei mir ins Leere ...

> bernd@bernd:~$ whois 157.56.120.106
>
> NetRange: 157.54.0.0 - 157.60.255.255
> CIDR: 157.56.0.0/14, 157.54.0.0/15, 157.60.0.0/16
> OriginAS: AS8075
> NetName: MSFT-GFS

Richtig .. allerdings haben die nicht eingeliefert sondern reichen nur
weiter. Und er ganze Peetwong Kram ist getürkt. Bleibt nur

> Received: from [172.16.1.68] (83.149.125.109) by
> AMSPR04MB164.eurprd04.prod.outlook.com (10.242.83.154) with Microsoft SMTP
> Server (TLS) id 15.0.883.10; Wed, 19 Feb 2014 19:50:28 +0000

Der 172er ist ein privater Adressbereich für IPv4 (siehe
http://de.wikipedia.org/wiki/IPv4 ) und ist wohl ein interner Mailserver
bevor an 83.149.125.109 weitergegeben wurde. Der wiederum hat dann bei
Outlook.com eingeliefert. Der Verursacher ist 83.149.125.109

[Peter J. Holzer]

On 2014-02-21 20:44, Helmar <do.not...@gmx.net> wrote:
> Bernd Hohmann schrieb am 21.02.2014 10:06:
>> Das müsste dieses Office-Online von Microsoft sein.
>>
>> ...[Header snipped]...
>
> Ich kann nicht nachvollziehen warum Du meinst dass dieser Müll von
> protection.outlook.com kommt. Da steht lediglich, dass dieser Server die
> Mail angenommen hat.

Die oberste Received-Zeile ist die einzige, der man uneingeschränkt
trauen kann, da sie vom eigenen MTA erstellt wird. Die ist hier

| Received: from emea01-db3-obe.outbound.protection.outlook.com
| (emea01-db3-ndr.ptr.protection.outlook.com [157.56.120.106])
| by donald.harddiskcafe.de (ZeroToaster::MTA 3.04)
| with id SMTP [01/20]/1444c87f57a; Thu, 20 Feb 2014 00:43:02 +0100

Hier hat donald.harddiskcafe.de die Mail angenommen (das dürfte Bernds
Mailserver sein) und zwar von emea01-db3-ndr.ptr.protection.outlook.com
[157.56.120.106]. Die Mail kommt also eindeutig von Microsoft.

Alle weiteren Received-Zeilen könnten gefakt sein, allerdings ist das
zumindest von der nächsten nicht zu erwarten (warum sollte MS das tun?)

> Dann scheinen da noch ein paar Zeilen gefakt zu sein den so richtig
> gibt es kein Grund warum zwischen den ertsen beiden Received-Zeilen
> ein Zeitunterschied von 5Std vorkommt.

Der Grund heißt höchstwahrscheinlich "Greylisting". MS betreibt eine
Serverfarm (oder mehrere), und Mails von outlook.com kommen
typischerweise bei jedem Zustellversuch von einer anderen IP-Adresse
dieser Farm. Bis sich da eine Adresse zufällig wiederholt (oder eine
bereits gewhitelistete verwendet wird) kann es schon ein paar Stunden
dauern.

> Auch der ganze onmicrosoft.com Kram scheint getürkt ... zumindest
> gibts die Domain nicht.

In meinem Internet gibt es die ;-).

hp


--
_ | Peter J. Holzer | Fluch der elektronischen Textverarbeitung:
|_|_) | | Man feilt solange an seinen Text um, bis
| | | h...@hjp.at | die Satzbestandteile des Satzes nicht mehr
__/ | http://www.hjp.at/ | zusammenpaßt. -- Ralph Babel

[Bernd Hohmann]

On 21.02.2014 22:58, Peter J. Holzer wrote:

>> Dann scheinen da noch ein paar Zeilen gefakt zu sein den so richtig
>> gibt es kein Grund warum zwischen den ertsen beiden Received-Zeilen
>> ein Zeitunterschied von 5Std vorkommt.
>
> Der Grund heißt höchstwahrscheinlich "Greylisting". MS betreibt eine
> Serverfarm (oder mehrere), und Mails von outlook.com kommen
> typischerweise bei jedem Zustellversuch von einer anderen IP-Adresse
> dieser Farm.

Ich hab eben mal das Logfile durchforstet: stimmt.

Erst wurde von einer IP im Abstand von 30 Sekunden losgeballert (dagegen
ist mein Greylisting allergisch), dann kam eine Weile nichts, dann
wieder Schrotschuss von einer anderen IP aus der Range bis irgendwann
mal eine IP getroffen wurde die zufälligerweise im üblichen Zeitfenster
von einer anderen Message schonmal angetriggert wurde.

Auf diese Art und Weise sind dann gleich 4 von diesen Messages bei mir
durchgeschlüpft.

Keine Ahnung was die Herren Admins bei Microsoft denken, aber einen
Mailserver sollte man denen nicht in die Verantwortung geben.

Löst aber alles nicht wirklich mein Problem: was mach ich damit?

Bernd

[Andreas Kohlbach]

Bernd Hohmann wrote on 21. February 2014:
>
> On 21.02.2014 09:20, Helmar wrote:
>
>> Bernd Hohmann schrieb am 21.02.2014 01:24:
>>
>>> Hat schon jemand was brauchbares ausgetüftelt, um sich gegenüber Müll
>>> von *.protection.outlook.com zu wehren?
>>>
>>> Das macht mittlerweile 70% des übergebliebenen Spams aus.
>>
>> Hab ich noch nie was von gehört... Ist das evtl Bestandteil eines Outlook
>> Nutzungsprofils? Hast Du mal ein Beispiel mit Header?
>
> Das müsste dieses Office-Online von Microsoft sein.

[...]

> Subject: INVESTMENT PORTFOLIO

Das dürfte Nigeria Spam sein. Und ich bin eben sehr Erfolgreich,
"report_spam at microsoft dot com" nachweislich zum Erden zu bewegen.

> To: Recipients <pew...@peetwong.onmicrosoft.com>
> From: Peter Wong <pew...@peetwong.onmicrosoft.com>
> Date: Wed, 19 Feb 2014 20:49:27 +0100
> Reply-To: <ppwo...@aol.jp>

Das ist wohl der Payload. Oder ist da noch eine Email-Adresse im Body?
Gar von Microsoft (hotmail, live etc.)? Die erden schnell.
--
Andreas

Linux - The choice of a GNU generation

[Wolfgang Jäth]

Am 21.02.2014 22:36, schrieb Helmar:
>
>> Received: from [172.16.1.68] (83.149.125.109) by
>> AMSPR04MB164.eurprd04.prod.outlook.com (10.242.83.154) with Microsoft SMTP
>> Server (TLS) id 15.0.883.10; Wed, 19 Feb 2014 19:50:28 +0000
>
> Der 172er ist ein privater Adressbereich für IPv4 (siehe
> http://de.wikipedia.org/wiki/IPv4 ) und ist wohl ein interner Mailserver
> bevor an 83.149.125.109 weitergegeben wurde. Der wiederum hat dann bei
> Outlook.com eingeliefert. Der Verursacher ist 83.149.125.109

Was mich mehr stutzig macht: Der Empfänger gibt als seine eigene IP eine
Nummer aus dem 10.x.x.x-Block an, der genauso ausschließlich für die
private Nutzung reserviert ist. Er *kann* sie also gar nicht auf dieser
IP angenommen haben - außer innerhalb eines lokalen Netzes.

IMHO ist entweder bereits dieser Received:-Header komplett gefaked, oder
Absender und Empfänger (und damit auch der Absender des darüber
stehenden Received:-Header) sind lokal miteinander verbandelt. In beiden
Fällen bleibt es am Absender des chronologisch nachfolgenden
Received:-Headers hängen, und das ist 157.56.120.106.

Wolfgang
--

[Helmar]

Wolfgang Jäth schrieb am 22.02.2014 07:33:
> Am 21.02.2014 22:36, schrieb Helmar:
>>
>>> Received: from [172.16.1.68] (83.149.125.109) by
>>> AMSPR04MB164.eurprd04.prod.outlook.com (10.242.83.154) with Microsoft SMTP
>>> Server (TLS) id 15.0.883.10; Wed, 19 Feb 2014 19:50:28 +0000
>>
>> Der 172er ist ein privater Adressbereich für IPv4 (siehe
>> http://de.wikipedia.org/wiki/IPv4 ) und ist wohl ein interner Mailserver
>> bevor an 83.149.125.109 weitergegeben wurde. Der wiederum hat dann bei
>> Outlook.com eingeliefert. Der Verursacher ist 83.149.125.109
>
> Was mich mehr stutzig macht: Der Empfänger gibt als seine eigene IP eine
> Nummer aus dem 10.x.x.x-Block an, der genauso ausschließlich für die
> private Nutzung reserviert ist. Er *kann* sie also gar nicht auf dieser
> IP angenommen haben - außer innerhalb eines lokalen Netzes.

Ich halte dies für eine interne Weiterverarbeitung bei bei Outlook.com. Wenn
ich zB einen internen Mailserver über ein Dialup betreiben würde und erhalte
eine Mail von draussen, steht doch im Header jeweils die einliefernde IP
(das wäre hier 83.149.125.109) und dann die interne IP (zB 10.242.83.154).
Eigentlich würde man erwarten, dass der Outlookserver eine korrekte nicht
private IP benutzt. Aber wer wiess wie Outlook bzw MS intern Mails
verarbeitet. Man bräuchte mal einen anderen Nicht-SPAM Mailheader zum Vergleich.

> IMHO ist entweder bereits dieser Received:-Header komplett gefaked, oder
> Absender und Empfänger (und damit auch der Absender des darüber
> stehenden Received:-Header) sind lokal miteinander verbandelt. In beiden
> Fällen bleibt es am Absender des chronologisch nachfolgenden
> Received:-Headers hängen, und das ist 157.56.120.106.

Das könnte man meinen. Allerdings scheint dieser PeetWong Investmüll aka
Nigeria 419er mit einem ReplyTo irgendwas aol.jp schon seit längerem sein
Unwesen zu treiben. Zumindest meint das Google. Kann mir nicht vorstellen,
dass Outlook.com über diese lange Zeit einen unsicheren Mailserver betreibt.

[Helmar]

Andreas Kohlbach schrieb am 22.02.2014 00:06:

> Das dürfte Nigeria Spam sein. Und ich bin eben sehr Erfolgreich,
> "report_spam at microsoft dot com" nachweislich zum Erden zu bewegen.
>
>> To: Recipients <pew...@peetwong.onmicrosoft.com>
>> From: Peter Wong <pew...@peetwong.onmicrosoft.com>
>> Date: Wed, 19 Feb 2014 20:49:27 +0100
>> Reply-To: <ppwo...@aol.jp>
>
> Das ist wohl der Payload. Oder ist da noch eine Email-Adresse im Body?
> Gar von Microsoft (hotmail, live etc.)? Die erden schnell.

Ein typischer 419er :-( Was mich wundert, dass das aol.jp Postfach schon
länger im ReplyTo benutzt wird und nicht geerdet ist. Gibts das überhaupt
und wenn nicht, wie will dann der Typ erreicht werden?

[Peter J. Holzer]

On 2014-02-21 23:02, Bernd Hohmann <bernd.hohma...@freihaendler.com> wrote:
> On 21.02.2014 22:58, Peter J. Holzer wrote:
>>> Dann scheinen da noch ein paar Zeilen gefakt zu sein den so richtig
>>> gibt es kein Grund warum zwischen den ertsen beiden Received-Zeilen
>>> ein Zeitunterschied von 5Std vorkommt.
>>
>> Der Grund heißt höchstwahrscheinlich "Greylisting". MS betreibt eine
>> Serverfarm (oder mehrere), und Mails von outlook.com kommen
>> typischerweise bei jedem Zustellversuch von einer anderen IP-Adresse
>> dieser Farm.
>
> Ich hab eben mal das Logfile durchforstet: stimmt.
>
> Erst wurde von einer IP im Abstand von 30 Sekunden losgeballert (dagegen
> ist mein Greylisting allergisch), dann kam eine Weile nichts, dann
> wieder Schrotschuss von einer anderen IP aus der Range

Interessant. Bei mir sieht das anders aus. Nach dem ersten
Zustellversuch zwei weitere im Abstand von ca. 15 Minuten, danach jede
Stunde. Das sieht eigentlich ziemlich brav aus.

> bis irgendwann mal eine IP getroffen wurde die zufälligerweise im
> üblichen Zeitfenster von einer anderen Message schonmal angetriggert
> wurde.
>
> Auf diese Art und Weise sind dann gleich 4 von diesen Messages bei mir
> durchgeschlüpft.

Bist Du sicher, dass Dein "Schrotschuss" nicht einfach aus diesen 4
Messages bestand, die der Spammer halt im Abstand von ca. 30 Sekunden
eingeworfen hatte (und die MS daher auch im Abstand von ca. 30 Sekunden
loswerden wollte)? Ich hatte bei meiner Analyse einen legitimen
Mailwechsel zur Verfügung, da kann man verschiedene Mails leicht anhand
des SIZE-Parameters im MAIL FROM unterscheiden - bei Spam ist das u.U.
nicht möglich.

> Löst aber alles nicht wirklich mein Problem: was mach ich damit?

Das gleiche wie bei den anderen 800-Pfund-Gorillas auch.

[Peter J. Holzer]

On 2014-02-22 06:33, Wolfgang Jäth <jawo.use...@freenet.de> wrote:
> Am 21.02.2014 22:36, schrieb Helmar:
>>> Received: from [172.16.1.68] (83.149.125.109) by
>>> AMSPR04MB164.eurprd04.prod.outlook.com (10.242.83.154) with Microsoft SMTP
>>> Server (TLS) id 15.0.883.10; Wed, 19 Feb 2014 19:50:28 +0000
>>
>> Der 172er ist ein privater Adressbereich für IPv4 (siehe
>> http://de.wikipedia.org/wiki/IPv4 ) und ist wohl ein interner Mailserver
>> bevor an 83.149.125.109 weitergegeben wurde. Der wiederum hat dann bei
>> Outlook.com eingeliefert. Der Verursacher ist 83.149.125.109
>
> Was mich mehr stutzig macht: Der Empfänger gibt als seine eigene IP eine
> Nummer aus dem 10.x.x.x-Block an, der genauso ausschließlich für die
> private Nutzung reserviert ist. Er *kann* sie also gar nicht auf dieser
> IP angenommen haben - außer innerhalb eines lokalen Netzes.

Zwei Möglichkeiten, wie das geht:

1) NAT
2) Load Balancer

[Karl-Josef Ziegler]

Am 21.02.2014 10:06, schrieb Bernd Hohmann:

> X-OriginatorOrg: peetwong.onmicrosoft.com
> X-Routed-IP: 157.56.120.106 *
> X-Routed-IP: 83.149.125.109

Eigentlich das ganz typische Mugu-Schema, was ich es schon tausende Male
gesehen habe. Abgekübelt wird über einen regulären Mailserver, um einen
direkten Reject zu vermeiden. Dort hat man sich entweder einen
gecrackten Account besorgt (gibt es samt Ratware bei der Russenmafia,
man findet dann oft charset="Windows-1251" (kyrillisch); warum sollte
der Mugu ausgerechnet sonst einen kyrillischen Zeichensatz verwenden?)
oder halt einen Freemailer Account einrichten konnte. In diesem Fall ist
wohl ein Freemail Account bei Microsoft.

Abgekübelt wird der Rotz dann über Zombie PCs oder einen anderen
gecrackten Server. Ich würde da auf die Leaseweb IP tippen, denn die
Krankenakte von denen füllt bei mir mittlerweile so etliche Regalmeter.
Entweder Schwarzhut oder die haben ihr Abuse-Management nicht im Griff.

Die Payload (also die Email-Adresse) liegt selbstverständlich bei einem
anderen Freemail-Provider, hier als AOL. Ob AOL abklemmt? Hmm, ich bin
da etwas skeptisch.

[Bernd Hohmann]

On 22.02.2014 09:47, Peter J. Holzer wrote:

>> Was mich mehr stutzig macht: Der Empfänger gibt als seine eigene IP eine
>> Nummer aus dem 10.x.x.x-Block an, der genauso ausschließlich für die
>> private Nutzung reserviert ist. Er *kann* sie also gar nicht auf dieser
>> IP angenommen haben - außer innerhalb eines lokalen Netzes.
>
> Zwei Möglichkeiten, wie das geht:
>
> 1) NAT
> 2) Load Balancer

3) Onlineanwendung die in der Cloud gehostet wird.

Bernd

[Juergen]

Am 22.02.2014 07:33, schrieb Wolfgang Jäth:
> Was mich mehr stutzig macht: Der Empfänger gibt als seine eigene IP eine
> Nummer aus dem 10.x.x.x-Block an, der genauso ausschließlich für die

> private Nutzung reserviert ist. Er*kann* sie also gar nicht auf dieser

> IP angenommen haben - außer innerhalb eines lokalen Netzes.
>
> IMHO ist entweder bereits dieser Received:-Header komplett gefaked, oder
> Absender und Empfänger (und damit auch der Absender des darüber
> stehenden Received:-Header) sind lokal miteinander verbandelt.

| Received: from [172.16.1.68] (83.149.125.109) by

^^^^^^^^^^^^^ hosted by leaseweb =spam
| AMSPR04MB164.eurprd04.prod.outlook.com (10.242.83.154)

Warum gibt der Einlieferer eine falsche IP [172.16.1.68] bzw. keinen
Hostnamen mit, wenn outlook.com die Einlieferung von (83.149.125.109)
"dokumentiert"? Wird häufig gemacht, könnte daher für die "Richtigkeit"
der outlook-com-Zeile sprechen.
Ich habe hin und wieder "interne" Weiterleitungen bei mir echt
erscheinenden Headern gesehen.

Hier Header einer angeblichen US-Lotteriemail

[forwarding-Zeile snipped]
Received: from na01-bn1-obe.outbound.protection.outlook.com
([157.56.110.123])
by mx-ha.gmx.net (mxgmx001) with ESMTPS (Nemesis) id
0MFu7y-1WSesm04Xe-00Ey9B
for <xxxxx>; Wed, 19 Feb 2014 10:26:42 +0100
Received: from [172.68.26.68] (192.64.83.45) by
^^^^^^^^^^^ Interserver US =spam
DM2PR08MB352.namprd08.prod.outlook.com (10.141.55.23) with Microsoft SMTP
Server (TLS) id 15.0.878.16; Wed, 19 Feb 2014 09:26:38 +0000

Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0

Content-Description: Mail message body
Subject: GLÃœCKWÃœNSCHE [Sie gewonnen haben die Summe von $4
,500,000.00 USD (REF.:99999999)
^^^^^^^^ war ne Zahl
To: Recipients <mr.kevi...@mrkevinyoung9999.onmicrosoft.com>
From: LOTTO GEWINNER <mr.kevi...@mrkevinyoung9999.onmicrosoft.com>
^^^^ war ne Zahl
Date: Wed, 19 Feb 2014 14:55:50 +0530
Reply-To: <postxx...@gmail.com>
^^^^^ war ne Zahl
Message-ID:
<5736cbd2-c43a-4eda...@DM2PR08MB352.namprd08.prod.outlook.com>
X-Originating-IP: [192.64.83.45]
X-ClientProxiedBy: BLUPR07CA042.namprd07.prod.outlook.com (10.141.200.47) To
DM2PR08MB352.namprd08.prod.outlook.com (10.141.55.23)

Jürgen

[Jörg Tewes]

Bernd Hohmann schrub

> On 21.02.2014 09:20, Helmar wrote:

>> Bernd Hohmann schrieb am 21.02.2014 01:24:
>>
>>> Hat schon jemand was brauchbares ausgetüftelt, um sich gegenüber
>>> Müll von *.protection.outlook.com zu wehren?
>>>
>>> Das macht mittlerweile 70% des übergebliebenen Spams aus.
>>
>> Hab ich noch nie was von gehört... Ist das evtl Bestandteil eines
>> Outlook Nutzungsprofils? Hast Du mal ein Beispiel mit Header?

> Das müsste dieses Office-Online von Microsoft sein.

Das ist ein Mailprovider wie "jeder" andere auch. Man kann sich da
anmelden und MAils versenden und empfangen. Nix mit Office.


Bye Jörg

--
"Life is life, whether it's wrapped in skin, scales, or feathers.
Now if you respected these beings instead of constantly trying to
murder them, you'd appreciate that!"
(Dr. Franklin (to his father), "GROPOS")

[Christoph Maercker]

Karl-Josef Ziegler wrote:
> Am 21.02.2014 09:20, schrieb Helmar:
>
>> Hab ich noch nie was von gehört... Ist das evtl Bestandteil eines Outlook
>> Nutzungsprofils? Hast Du mal ein Beispiel mit Header?

> Insbesondere Mugu-Spam kommt da bei mir über diese Quelle rein, Bsp.:

Heute erstmalig und Reply-to = <schnulli>@outlook.com:

Return-Path: evani...@ufam.edu.br
Received: from zimbramta01.ufam.edu.br ([200.129.163.90]) by mx-ha.gmx.net
(mxgmx111) with ESMTP (Nemesis) id 0MhMXm-1WehhY13Q2-00Md4f for
<Zwei...@gmx-topmail.de>; Tue, 25 Feb 2014 09:04:26 +0100
Received: from localhost (localhost [127.0.0.1])
by zimbramta01.ufam.edu.br (Postfix) with ESMTP id 273FF617E1;
Tue, 25 Feb 2014 03:40:08 -0400 (AMT)
Received: from zimbramta01.ufam.edu.br ([127.0.0.1])
by localhost (zimbramta01.ufam.edu.br [127.0.0.1]) (amavisd-new, port
10032) with ESMTP id 7Mc85Eygff-w; Tue, 25 Feb 2014 03:40:07 -0400 (AMT)
Received: from localhost (localhost [127.0.0.1])
by zimbramta01.ufam.edu.br (Postfix) with ESMTP id AA13B60E4E;
Tue, 25 Feb 2014 03:40:05 -0400 (AMT)
Received: from zimbramta01.ufam.edu.br ([127.0.0.1])
by localhost (zimbramta01.ufam.edu.br [127.0.0.1]) (amavisd-new, port
10026) with ESMTP id es0p-SgUwwMT; Tue, 25 Feb 2014 03:40:05 -0400 (AMT)
Received: from zimbrastore01.ufam.edu.br (zimbrastore01.ufam.edu.br
[200.129.163.92]) by zimbramta01.ufam.edu.br (Postfix) with ESMTP id
4908860F91; Tue, 25 Feb 2014 03:39:56 -0400 (AMT)
Date: Tue, 25 Feb 2014 03:39:56 -0400 (AMT)
From: Evanizio Marinho de Menezes Junior <evani...@ufam.edu.br>
Reply-To: western_u...@outlook.com
Message-ID: <170238600.216996.139331...@ufam.edu.br>
Subject:
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_216995_1683293854.1393313996065"
X-Originating-IP: [107.6.116.88]
X-Mailer: Zimbra 8.0.6_GA_5922 (zclient/8.0.6_GA_5922)
Thread-Topic:
Thread-Index: g4n/Qzhx4MPANxvLtS35O/Ibz017uw==
Envelope-To: <Zwei...@gmx-topmail.de>

#Der Rest sollte HTML werden, der Herr muss freilich noch lernen, was
Header & Body sind:

"Best&auml;tigen Sie Ihre 500,000,00 Euro. Kontaktieren Sie uns f&uuml;r
Anspr&uuml;che &uuml;ber;;claimso...@yeah.net! Gl&uuml;ckwunsch"

--


CU Chr. Maercker.