info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Post ICT Systems - seriöser Provider?
5 views
Skip to first unread message
Chr. Maercker
Oct 28, 2020, 11:56:02 AM10/28/20
to
Hallo,
hier kam gerade Spam
Received: from smtpout1.pt.lu ([194.154.212.4]
reingeschneit. Lt. Whois gehört die IP Post ICT Systems in Luxemburg,
passt also und sieht nach gecracktem Account aus. Lohnt sich Spam-Report
an dero Abuse-Adresse oder sind die als beschwerderenitent bekannt?
--
CU Chr. Maercker.
hier kam gerade Spam
Received: from smtpout1.pt.lu ([194.154.212.4]
reingeschneit. Lt. Whois gehört die IP Post ICT Systems in Luxemburg,
passt also und sieht nach gecracktem Account aus. Lohnt sich Spam-Report
an dero Abuse-Adresse oder sind die als beschwerderenitent bekannt?
--
CU Chr. Maercker.
Chr. Maercker
Oct 29, 2020, 6:46:03 AM10/29/20
to
Karl-Josef Ziegler wrote:
> Von dort habe ich noch nie Spam erhalten, da habe ich auch noch
> nirgendwo gelesen, dass dies eine Spammerbutze wäre. Zudem ist die Post
> in Luxemburg noch ein Staatsunternehmen. Da könnte sich eine Beschwerde
> lohnen.
Ist raus. Wahrscheinlich hat jemand dort einen Account gecrackt.
Der Adresseintrag
X-Originating-IP: 178.24.253.171
dürfte gefälscht sein, die IP gehört Kabel Deutschland/Vodafone. Denen
würde ich natürlich gern einen Tip geben. In der Received-Kette steht
aber vorher zwei weitere Einträge:
Received: from smtp.mylife.lu (unknown [192.168.113.65]) by
halon01.post.lu (Halon) with ESMTP id
6d66d4b2-18f3-11eb-aa3f-005056b68e92; Wed, 28 Oct 2020 07:58:55 +0000 (UTC)
Received: from [192.168.114.61] (helo=mylife.lu) by smtp.mylife.lu with
smtp (Exim 4.63) ... id 1kXgMB-0000kp-Jw; Wed, 28 Oct 2020 08:58:55 +0100
Abgesehen davon, dass private IPs für eine Rückverfolgung untauglich
sind: Sind die Einträge 100% Fake oder haben die was mit dem Luxemburger
Provider zu tun? Die verwendeten Hostnahmen sehen nicht wie reine
Phantasienamen aus, sondern könnten provider-interne DNS-Namen sein. Hab
sie auf jeden Fall in die Beschwerde mit reingenommen, evtl. kann der
Provider was damit anfangen.
--
CU Chr. Maercker.
> Von dort habe ich noch nie Spam erhalten, da habe ich auch noch
> nirgendwo gelesen, dass dies eine Spammerbutze wäre. Zudem ist die Post
> in Luxemburg noch ein Staatsunternehmen. Da könnte sich eine Beschwerde
> lohnen.
Ist raus. Wahrscheinlich hat jemand dort einen Account gecrackt.
Der Adresseintrag
X-Originating-IP: 178.24.253.171
dürfte gefälscht sein, die IP gehört Kabel Deutschland/Vodafone. Denen
würde ich natürlich gern einen Tip geben. In der Received-Kette steht
aber vorher zwei weitere Einträge:
Received: from smtp.mylife.lu (unknown [192.168.113.65]) by
halon01.post.lu (Halon) with ESMTP id
6d66d4b2-18f3-11eb-aa3f-005056b68e92; Wed, 28 Oct 2020 07:58:55 +0000 (UTC)
Received: from [192.168.114.61] (helo=mylife.lu) by smtp.mylife.lu with
smtp (Exim 4.63) ... id 1kXgMB-0000kp-Jw; Wed, 28 Oct 2020 08:58:55 +0100
Abgesehen davon, dass private IPs für eine Rückverfolgung untauglich
sind: Sind die Einträge 100% Fake oder haben die was mit dem Luxemburger
Provider zu tun? Die verwendeten Hostnahmen sehen nicht wie reine
Phantasienamen aus, sondern könnten provider-interne DNS-Namen sein. Hab
sie auf jeden Fall in die Beschwerde mit reingenommen, evtl. kann der
Provider was damit anfangen.
--
CU Chr. Maercker.
Chr. Maercker
Oct 30, 2020, 7:09:37 AM10/30/20
to
Karl-Josef Ziegler wrote:
> Muss nicht unbedingt sein, der DNS-Eintrag liefert
> ipb218fdab.dynamic.kabel-deutschland.de
ACK, hatte ich schon abgefragt.
> Das könnte ein infizierter Heim-PC sein, der über Kabel-Internet
> über einen ebenfalls gecrackten Mail-Account in Luxemburg einliefert.
> Durchaus nicht ungewöhnlich, das habe ich schon öfters so gesehen.
Die X-Einträge sind WIMRE optional und dürfen beliebig verwendet werden.
Deshalb bin ich mir nicht sicher, ob die IP echt ist, Adress-Fälschungen
am Anfang der Kette sind ja nix Neues. Könnte aber ebenso echt sein.
Aber selbst wenn, Kabel/Vodafone sollte inzwischen auch ohne mich
bemerkt haben, wenn einer seiner Clients Spam verschickt.
--
CU Chr. Maercker.
> Muss nicht unbedingt sein, der DNS-Eintrag liefert
> ipb218fdab.dynamic.kabel-deutschland.de
ACK, hatte ich schon abgefragt.
> Das könnte ein infizierter Heim-PC sein, der über Kabel-Internet
> über einen ebenfalls gecrackten Mail-Account in Luxemburg einliefert.
> Durchaus nicht ungewöhnlich, das habe ich schon öfters so gesehen.
Die X-Einträge sind WIMRE optional und dürfen beliebig verwendet werden.
Deshalb bin ich mir nicht sicher, ob die IP echt ist, Adress-Fälschungen
am Anfang der Kette sind ja nix Neues. Könnte aber ebenso echt sein.
Aber selbst wenn, Kabel/Vodafone sollte inzwischen auch ohne mich
bemerkt haben, wenn einer seiner Clients Spam verschickt.
--
CU Chr. Maercker.
Karl-Josef Ziegler
Oct 31, 2020, 10:26:59 AM10/31/20
to
Am 30.10.2020 um 12:09 schrieb Chr. Maercker:
> Die X-Einträge sind WIMRE optional und dürfen beliebig verwendet werden.
> Deshalb bin ich mir nicht sicher, ob die IP echt ist, Adress-Fälschungen
> am Anfang der Kette sind ja nix Neues. Könnte aber ebenso echt sein.
Fälschungen an der Stelle habe ich bisher nur sehr selten bzw. gar nicht
> Die X-Einträge sind WIMRE optional und dürfen beliebig verwendet werden.
> Deshalb bin ich mir nicht sicher, ob die IP echt ist, Adress-Fälschungen
> am Anfang der Kette sind ja nix Neues. Könnte aber ebenso echt sein.
erlebt. So ausgefeilt ist die Ratware der Spammer nicht, die
X-Originating-IP wird - wenn überhaupt - meist nur von relativ großen
regulären Mailservern gesetzt.
Wolfgang Jäth
Oct 31, 2020, 1:50:50 PM10/31/20
to
Am 31.10.2020 um 15:26 schrieb Karl-Josef Ziegler:
> Am 30.10.2020 um 12:09 schrieb Chr. Maercker:
>
>> Die X-Einträge sind WIMRE optional und dürfen beliebig verwendet werden.
>> Deshalb bin ich mir nicht sicher, ob die IP echt ist, Adress-Fälschungen
>> am Anfang der Kette sind ja nix Neues. Könnte aber ebenso echt sein.
>
> Fälschungen an der Stelle habe ich bisher nur sehr selten bzw. gar nicht
> erlebt.
Ähm, an welcher Stelle? ich sehe hier nur irgend welche völlig aus dem
> Am 30.10.2020 um 12:09 schrieb Chr. Maercker:
>
>> Die X-Einträge sind WIMRE optional und dürfen beliebig verwendet werden.
>> Deshalb bin ich mir nicht sicher, ob die IP echt ist, Adress-Fälschungen
>> am Anfang der Kette sind ja nix Neues. Könnte aber ebenso echt sein.
>
> Fälschungen an der Stelle habe ich bisher nur sehr selten bzw. gar nicht
> erlebt.
Zusammenhang gerissene einzelne Headereinträge, die können gut vom
Anfang, aus der Mitte oder dem Ende der Kette stammen.
> So ausgefeilt ist die Ratware der Spammer nicht, die
> X-Originating-IP wird - wenn überhaupt - meist nur von relativ großen
> regulären Mailservern gesetzt.
potentiell gefälscht werden kann. Das lässt sich aber nur im
vollständigen Zusammenhang beurteilen, So als Bruchstück aus dem
Zusammenhang gerissen ist die Angabe wert- und jegliche Aussage darüber
sinnlos.
Wolfgang
--
Donald Trump ist ein großer Visionär, der seiner Zeit weit voraus ist:
Er verbreitet schon jetzt den Slogan "make America great again", obwohl
dieser erst in der Ära /nach/ ihm seine volle Bedeutung entfalten wird.
Chr. Maercker
Nov 2, 2020, 3:18:03 AM11/2/20
to
Wolfgang Jäth wrote:
> Ähm, an welcher Stelle? ich sehe hier nur irgend welche völlig aus dem
> Zusammenhang gerissene einzelne Headereinträge, die können gut vom
> Anfang, aus der Mitte oder dem Ende der Kette stammen.
Die eingans zitierte Zeile
> Ähm, an welcher Stelle? ich sehe hier nur irgend welche völlig aus dem
> Zusammenhang gerissene einzelne Headereinträge, die können gut vom
> Anfang, aus der Mitte oder dem Ende der Kette stammen.
Received: from smtpout1.pt.lu ([194.154.212.4]
hat der Mailserver meines Providers eingetragen. Diese Einträge sind
kaum fälschbar. Die nachfolgenden Weiterleitungen via weitere Mailserver
sind für das Thema uninteressant, ergo habe ich sie weggelassen. Die
Einträge, die ich am 30.10. zitiert habe, stehen *vor* dem o.g. Eintrag
durch meinen Provider. Das sind die, von denen ich annehme, sie sind
weiteres fälschbar. In Threads vor zig Jahren in dieser Gruppe wurde
WIMRE behauptet, sie *würden* gefälscht.
> AOL; wobei der natürlich, genau wie jeder andere Header auch, trotzdem
> potentiell gefälscht werden kann. Das lässt sich aber nur im
> vollständigen Zusammenhang beurteilen, So als Bruchstück aus dem
> Zusammenhang gerissen ist die Angabe wert- und jegliche Aussage darüber
> sinnlos.
früher und desto näher beim Absender erfolgte der Eintrag. Sämtliche
IPs, die vor dem Empfang durch meinen Provider stehen, können stimmen,
aber ebenso gefälscht sein.
--
CU Chr. Maercker.
Karl-Josef Ziegler
Nov 2, 2020, 2:05:38 PM11/2/20
to
Am 31.10.2020 um 16:40 schrieb Wolfgang Jäth:
> AOL; wobei der natürlich, genau wie jeder andere Header auch, trotzdem
> potentiell gefälscht werden kann. Das lässt sich aber nur im
> vollständigen Zusammenhang beurteilen, So als Bruchstück aus dem
> Zusammenhang gerissen ist die Angabe wert- und jegliche Aussage darüber
> sinnlos.
Ja, könnte. Aber nachdem ich im Laufe vieler Jahre wohl tausende Spam
> AOL; wobei der natürlich, genau wie jeder andere Header auch, trotzdem
> potentiell gefälscht werden kann. Das lässt sich aber nur im
> vollständigen Zusammenhang beurteilen, So als Bruchstück aus dem
> Zusammenhang gerissen ist die Angabe wert- und jegliche Aussage darüber
> sinnlos.
Header gesehen und analysiert habe, bekommt man da so etwas wie
Erfahrung. Und gefälschte X-Originating-IPs kamen mir dabei äusserst
selten unter, bei Mugu-Spams gab es da z. Bsp. immer einen Bezug zu den
einschlägig bekannten Ländern.
Chr. Maercker
Nov 3, 2020, 3:31:25 AM11/3/20
to
Karl-Josef Ziegler wrote:
> Ja, könnte. Aber nachdem ich im Laufe vieler Jahre wohl tausende Spam
> Header gesehen und analysiert habe, bekommt man da so etwas wie
> Erfahrung. Und gefälschte X-Originating-IPs kamen mir dabei äusserst
> selten unter, bei Mugu-Spams gab es da z. Bsp. immer einen Bezug zu den
> einschlägig bekannten Ländern.
Mugus sind die lausigen Amateure unter den Spammern. Denen passiert so
> Ja, könnte. Aber nachdem ich im Laufe vieler Jahre wohl tausende Spam
> Header gesehen und analysiert habe, bekommt man da so etwas wie
> Erfahrung. Und gefälschte X-Originating-IPs kamen mir dabei äusserst
> selten unter, bei Mugu-Spams gab es da z. Bsp. immer einen Bezug zu den
> einschlägig bekannten Ländern.
was schon mal. Aber Profis? Und wurde hierzugroups nicht einst
behauptet, nur die vom eigenen Mailserver vermerkte IP sei (so gut wie!)
nicht fälschbar? --
CU Chr. Maercker.
0 new messages