| knowledge-database (beta) |
 |
Current group: ch.admin
Guter Header Fake, oder Spam via SMTP-Auth?
|
|
| | From: | Benoit Panizzon | | Subject: | Guter Header Fake, oder Spam via SMTP-Auth? | | Date: | Thu, 13 Jan 2005 10:24:26 +0000 (UTC) |
|
|
 | Hallo zusammen
Soeben via Spamcop diesen Header erhalten:
X-Originating-IP: [62.2.95.247]
Return-Path:
Received: from 62.2.95.247 (EHLO smtp.hispeed.ch) (62.2.95.247)
by mta185.mail.re2.yahoo.com with SMTP; Wed, 12 Jan 2005 09:37:02 -0800
Received: from 157.161.50.157 (cable-50-157.intergga.ch [157.161.50.157])
(authenticated bits=0)
by smtp.hispeed.ch (8.12.6/8.12.6/tornado-1.0) with ESMTP id
j0CHXSgD019456;
Wed, 12 Jan 2005 18:33:29 +0100
Ja, was nun?
Wurde das Email von einem intergga Kunden via STMP auth bei Cablecom an
diesen Yahoo Kunden weitergeleitet?
Oder wurde das Mail bei Cablecom generiert und die Received: Zeile davor ist
ein Fake? Wobei ich dann eine Received: Vermisse, ich denk nicht dass der
smtp.hispeed.ch selber verwurmt ist...
Der Content sieht ganz nach Trojaner oder Spamvirus aus. Wie kann sich ein
Virus/Trojaner bei Cablecom authen?
Gruss
-Benoit-
|
|
| | From: | Rene | | Subject: | Re: Guter Header Fake, oder Spam via SMTP-Auth? | | Date: | 13 Jan 2005 10:59:13 GMT |
|
|
| usenet-20041007@spam.woody.ch (Benoit Panizzon) wrote:
> Soeben via Spamcop diesen Header erhalten:
Spamcop? Ist das der Verein wo man jeden Listen kann ? :-)
> X-Originating-IP: [62.2.95.247]
> Return-Path:
> Received: from 62.2.95.247 (EHLO smtp.hispeed.ch) (62.2.95.247)
> by mta185.mail.re2.yahoo.com with SMTP; Wed, 12 Jan 2005 09:37:02 -0800
> Received: from 157.161.50.157 (cable-50-157.intergga.ch [157.161.50.157])
> (authenticated bits=0)
> by smtp.hispeed.ch (8.12.6/8.12.6/tornado-1.0) with ESMTP id
> j0CHXSgD019456;
> Wed, 12 Jan 2005 18:33:29 +0100
>
> Wurde das Email von einem intergga Kunden via STMP auth bei Cablecom an
> diesen Yahoo Kunden weitergeleitet?
>
> Oder wurde das Mail bei Cablecom generiert und die Received: Zeile davor
> ist ein Fake? Wobei ich dann eine Received: Vermisse, ich denk nicht dass
> der smtp.hispeed.ch selber verwurmt ist...
>
> Der Content sieht ganz nach Trojaner oder Spamvirus aus. Wie kann sich
> ein Virus/Trojaner bei Cablecom authen?
Sieht mir nach einem reinen TLS aus, da muss noch kein AUTH dabei sein.
Allerdings auch schon komisch mit den 0 bits, die Mailserver die zu mir
verbinden und das angebotene TLS benützen verwenden in der Regel 168 oder
256bits. Wohl eine noch nicht ganz sauber arbeitende SMTP send-engine eines
Wurmes.
CU
René
--
-------------------- http://NewsReader.Com/ --------------------
Usenet Newsgroup Service $9.95/Month 30GB
|
|
|
| | |
|
 |