Virenversäuchte Mail.

ddm3ve
Moderator
Moderator
Posts: 1114
Joined: 2011-07-04 10:56

Virenversäuchte Mail.

Post by ddm3ve »

Hallo,

ich habe seit einigen Tagen Problemen mit Spammails und Virbelasteter Emails.

Der Header irritiert mich etwas.
Mit scheint dieser Manipuliert zu sein.
Ich interpretiere das so, dass die Email direkt an uns gerichtet wurde, allerdings zusätzliche Header Einträge existieren, die zur Verwirrung beitragen.
Aber die Mail nicht über einen Mailserver abgewickelt wurde der für die Absenderdomain passen würde.

From customer.service@booking.com Fri Apr 27 09:47:51 2012
Received: from 203-144-177-206.static.asianet.co.th (203-144-177-206.static.asianet.co.th [203.144.177.206])^M
by mymailserver.tld (Postfix) with ESMTP id C1BF24082B06^M
for <customer>; Fri, 27 Apr 2012 09:47:42 +0200 (CEST)^M
Received: from [62.190.24.30] ([62.190.24.30:44524] helo=memta-03.booking.com)^M
by cm-mr27 (envelope-from <noreply@mailer.booking.com>)^M
(ecelerity 2.2.3.46 r(37554)) with ESMTP^M
id 9C/1C-30758-1CDDC2F4; Fri, 27 Apr 2012 14:47:41 +0700^M
Received: from pc02me-01.prod.lhr1.booking.com ([10.141.11.22]:39321 helo=localhost.localdomain)^M
by memta-03.prod.lhr1.booking.com with esmtp (Exim 4.76)^M
(envelope-from <noreply@mailer.booking.com>)^M
id 1Rta1Q-0006QP-KL; Fri, 27 Apr 2012 14:47:41 +0700^M
MIME-Version: 1.0^M
Date: Fri, 27 Apr 2012 14:47:41 +0700^M
Subject: Booking confirmation 9966632109^M
Sender: "booking.com" <customer.service@booking.com>^M
Reply-To: "booking.com" <customer.service@booking.com>^M
To: ^M
From: "booking.com" <customer.service@booking.com>^M
X-Mailer: MIME::Lite::HTML 1.24^M
X-Bme-Id: 0284167425^M
Message-Id: <25F3RS1-0001D6-H8@memta-46.prod.lhr1.booking.com>^M
Content-Type: multipart/mixed;^M
boundary="----=a__otinluz_24_19_59"^M


Ich habe mymailserver.tl sowie <customer> entsprechend verfälscht.
Geht ja nicht jeden etwas an.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Virenversäuchte Mail.

Post by Joe User »

Der sendende Rechner ist aktuell Teil des Botnet Cutwail:
http://cbl.abuseat.org/lookup.cgi?ip=203.144.177.206
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

ddm3ve
Moderator
Moderator
Posts: 1114
Joined: 2011-07-04 10:56

Re: Virenversäuchte Mail.

Post by ddm3ve »

Gut, dan habe ich das so richtig gesehen und interpretiert.
Hatte mich über:

Received: from [62.190.24.30] ([62.190.24.30:44524] helo=memta-03.booking.com)^M
by cm-mr27 (envelope-from <noreply@mailer.booking.com>)^M
(ecelerity 2.2.3.46 r(37554)) with ESMTP^M
id 9C/1C-30758-1CDDC2F4; Fri, 27 Apr 2012 14:47:41 +0700^M
Received: from pc02me-01.prod.lhr1.booking.com ([10.141.11.22]:39321 helo=localhost.localdomain)^M
by memta-03.prod.lhr1.booking.com with esmtp (Exim 4.76)^M
(envelope-from <noreply@mailer.booking.com>)^M


gewundert.
Also das. 2. Received.
Aus dem Mailserver log ging es auch nicht anders hervor, als dass die Mail von 203-144-177-206.static.asianet.co.th eingeliefert wurde.

Interesanterweise wird mein Mailserver mit überdurchschnitlichen vielen solcher Mails "überflutet" Ist zwar noch kein Lastproblem aber dennoch lästig.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Virenversäuchte Mail.

Post by Joe User »

Die booking.com-Header sind gut gefälscht, wobei ich mir nicht sicher bin, ob booking.com in UTC+700 überhaupt Mail-Server stehen hat. Müsste man mal bei Kris unverbindlich anfragen ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top