Post ICT Systems - seriöser Provider?

5 views
Skip to first unread message

Chr. Maercker

unread,
Oct 28, 2020, 11:56:02 AM10/28/20
to
Hallo,

hier kam gerade Spam
Received: from smtpout1.pt.lu ([194.154.212.4]
reingeschneit. Lt. Whois gehört die IP Post ICT Systems in Luxemburg,
passt also und sieht nach gecracktem Account aus. Lohnt sich Spam-Report
an dero Abuse-Adresse oder sind die als beschwerderenitent bekannt?
--


CU Chr. Maercker.

Chr. Maercker

unread,
Oct 29, 2020, 6:46:03 AM10/29/20
to
Karl-Josef Ziegler wrote:
> Von dort habe ich noch nie Spam erhalten, da habe ich auch noch
> nirgendwo gelesen, dass dies eine Spammerbutze wäre. Zudem ist die Post
> in Luxemburg noch ein Staatsunternehmen. Da könnte sich eine Beschwerde
> lohnen.

Ist raus. Wahrscheinlich hat jemand dort einen Account gecrackt.
Der Adresseintrag
X-Originating-IP: 178.24.253.171
dürfte gefälscht sein, die IP gehört Kabel Deutschland/Vodafone. Denen
würde ich natürlich gern einen Tip geben. In der Received-Kette steht
aber vorher zwei weitere Einträge:
Received: from smtp.mylife.lu (unknown [192.168.113.65]) by
halon01.post.lu (Halon) with ESMTP id
6d66d4b2-18f3-11eb-aa3f-005056b68e92; Wed, 28 Oct 2020 07:58:55 +0000 (UTC)
Received: from [192.168.114.61] (helo=mylife.lu) by smtp.mylife.lu with
smtp (Exim 4.63) ... id 1kXgMB-0000kp-Jw; Wed, 28 Oct 2020 08:58:55 +0100

Abgesehen davon, dass private IPs für eine Rückverfolgung untauglich
sind: Sind die Einträge 100% Fake oder haben die was mit dem Luxemburger
Provider zu tun? Die verwendeten Hostnahmen sehen nicht wie reine
Phantasienamen aus, sondern könnten provider-interne DNS-Namen sein. Hab
sie auf jeden Fall in die Beschwerde mit reingenommen, evtl. kann der
Provider was damit anfangen.

--


CU Chr. Maercker.

Chr. Maercker

unread,
Oct 30, 2020, 7:09:37 AM10/30/20
to
Karl-Josef Ziegler wrote:
> Muss nicht unbedingt sein, der DNS-Eintrag liefert
> ipb218fdab.dynamic.kabel-deutschland.de

ACK, hatte ich schon abgefragt.

> Das könnte ein infizierter Heim-PC sein, der über Kabel-Internet
> über einen ebenfalls gecrackten Mail-Account in Luxemburg einliefert.
> Durchaus nicht ungewöhnlich, das habe ich schon öfters so gesehen.

Die X-Einträge sind WIMRE optional und dürfen beliebig verwendet werden.
Deshalb bin ich mir nicht sicher, ob die IP echt ist, Adress-Fälschungen
am Anfang der Kette sind ja nix Neues. Könnte aber ebenso echt sein.
Aber selbst wenn, Kabel/Vodafone sollte inzwischen auch ohne mich
bemerkt haben, wenn einer seiner Clients Spam verschickt.

--


CU Chr. Maercker.

Karl-Josef Ziegler

unread,
Oct 31, 2020, 10:26:59 AM10/31/20
to
Am 30.10.2020 um 12:09 schrieb Chr. Maercker:

> Die X-Einträge sind WIMRE optional und dürfen beliebig verwendet werden.
> Deshalb bin ich mir nicht sicher, ob die IP echt ist, Adress-Fälschungen
> am Anfang der Kette sind ja nix Neues. Könnte aber ebenso echt sein.

Fälschungen an der Stelle habe ich bisher nur sehr selten bzw. gar nicht
erlebt. So ausgefeilt ist die Ratware der Spammer nicht, die
X-Originating-IP wird - wenn überhaupt - meist nur von relativ großen
regulären Mailservern gesetzt.


Wolfgang Jäth

unread,
Oct 31, 2020, 1:50:50 PM10/31/20
to
Am 31.10.2020 um 15:26 schrieb Karl-Josef Ziegler:
> Am 30.10.2020 um 12:09 schrieb Chr. Maercker:
>
>> Die X-Einträge sind WIMRE optional und dürfen beliebig verwendet werden.
>> Deshalb bin ich mir nicht sicher, ob die IP echt ist, Adress-Fälschungen
>> am Anfang der Kette sind ja nix Neues. Könnte aber ebenso echt sein.
>
> Fälschungen an der Stelle habe ich bisher nur sehr selten bzw. gar nicht
> erlebt.

Ähm, an welcher Stelle? ich sehe hier nur irgend welche völlig aus dem
Zusammenhang gerissene einzelne Headereinträge, die können gut vom
Anfang, aus der Mitte oder dem Ende der Kette stammen.

> So ausgefeilt ist die Ratware der Spammer nicht, die
> X-Originating-IP wird - wenn überhaupt - meist nur von relativ großen
> regulären Mailservern gesetzt.

AOL; wobei der natürlich, genau wie jeder andere Header auch, trotzdem
potentiell gefälscht werden kann. Das lässt sich aber nur im
vollständigen Zusammenhang beurteilen, So als Bruchstück aus dem
Zusammenhang gerissen ist die Angabe wert- und jegliche Aussage darüber
sinnlos.

Wolfgang
--
Donald Trump ist ein großer Visionär, der seiner Zeit weit voraus ist:
Er verbreitet schon jetzt den Slogan "make America great again", obwohl
dieser erst in der Ära /nach/ ihm seine volle Bedeutung entfalten wird.

Chr. Maercker

unread,
Nov 2, 2020, 3:18:03 AM11/2/20
to
Wolfgang Jäth wrote:
> Ähm, an welcher Stelle? ich sehe hier nur irgend welche völlig aus dem
> Zusammenhang gerissene einzelne Headereinträge, die können gut vom
> Anfang, aus der Mitte oder dem Ende der Kette stammen.

Die eingans zitierte Zeile
Received: from smtpout1.pt.lu ([194.154.212.4]
hat der Mailserver meines Providers eingetragen. Diese Einträge sind
kaum fälschbar. Die nachfolgenden Weiterleitungen via weitere Mailserver
sind für das Thema uninteressant, ergo habe ich sie weggelassen. Die
Einträge, die ich am 30.10. zitiert habe, stehen *vor* dem o.g. Eintrag
durch meinen Provider. Das sind die, von denen ich annehme, sie sind
weiteres fälschbar. In Threads vor zig Jahren in dieser Gruppe wurde
WIMRE behauptet, sie *würden* gefälscht.

> AOL; wobei der natürlich, genau wie jeder andere Header auch, trotzdem
> potentiell gefälscht werden kann. Das lässt sich aber nur im
> vollständigen Zusammenhang beurteilen, So als Bruchstück aus dem
> Zusammenhang gerissen ist die Angabe wert- und jegliche Aussage darüber
> sinnlos.

Es ist ein reines Reihenfolgeproblem: je weiter unten im Header, desto
früher und desto näher beim Absender erfolgte der Eintrag. Sämtliche
IPs, die vor dem Empfang durch meinen Provider stehen, können stimmen,
aber ebenso gefälscht sein.
--


CU Chr. Maercker.

Karl-Josef Ziegler

unread,
Nov 2, 2020, 2:05:38 PM11/2/20
to
Am 31.10.2020 um 16:40 schrieb Wolfgang Jäth:

> AOL; wobei der natürlich, genau wie jeder andere Header auch, trotzdem
> potentiell gefälscht werden kann. Das lässt sich aber nur im
> vollständigen Zusammenhang beurteilen, So als Bruchstück aus dem
> Zusammenhang gerissen ist die Angabe wert- und jegliche Aussage darüber
> sinnlos.

Ja, könnte. Aber nachdem ich im Laufe vieler Jahre wohl tausende Spam
Header gesehen und analysiert habe, bekommt man da so etwas wie
Erfahrung. Und gefälschte X-Originating-IPs kamen mir dabei äusserst
selten unter, bei Mugu-Spams gab es da z. Bsp. immer einen Bezug zu den
einschlägig bekannten Ländern.


Chr. Maercker

unread,
Nov 3, 2020, 3:31:25 AM11/3/20
to
Karl-Josef Ziegler wrote:
> Ja, könnte. Aber nachdem ich im Laufe vieler Jahre wohl tausende Spam
> Header gesehen und analysiert habe, bekommt man da so etwas wie
> Erfahrung. Und gefälschte X-Originating-IPs kamen mir dabei äusserst
> selten unter, bei Mugu-Spams gab es da z. Bsp. immer einen Bezug zu den
> einschlägig bekannten Ländern.

Mugus sind die lausigen Amateure unter den Spammern. Denen passiert so
was schon mal. Aber Profis? Und wurde hierzugroups nicht einst
behauptet, nur die vom eigenen Mailserver vermerkte IP sei (so gut wie!)
nicht fälschbar? --


CU Chr. Maercker.

Reply all
Reply to author
Forward
0 new messages