hi,

ich habe mittlerweile ein problem mit haufenweise spam-mails (thema sex), welche immer häufiger -laut whois-abfrage- von servern großer konzerne ausgehen.

meine frage - wie hoch ist die warscheinlichkeit, dass die ip falsch, also gespooft ist oder dass sie richtig ist, und die mailserver sowas einfach relayen (dann sollte man den admin feuern)???

was meint ihr ?
lohnt es sich, dem admin jeweils eine mail zu schicken, oder ist das verlorene liebesmüh' ?


matze

Dazu müßtest Du mal einen kompletten Header posten.

Ist der Absender wirklich richtig herausgefunden und ein Provider oder ein seriöses Unternehmen, kann sich eine Beschwerde an abuse@ oder postmaster@ auszahlen. (meine Erfahrung)

Return-Path: <kundenservice4487r24@abit.de>
Received: from localhost (localhost [127.0.0.1])
by matzetronic.koethen.de (8.10.2/8.10.2/SuSE Linux 8.10.0-0.3) with ESMTP id g5U4FBq05362
for <mieze@localhost>; Sun, 30 Jun 2002 06:15:11 +0200
X-Flags: 0000
Delivered-To: GMX delivery to miezematze@gmx.de
Received: from pop.gmx.de
by localhost with POP3 (fetchmail-5.4.0)
for mieze@localhost (single-drop); Sun, 30 Jun 2002 06:15:11 +0200 (MEST)
Received: (qmail 18407 invoked by uid 0); 30 Jun 2002 04:10:45 -0000
Received: from unknown (HELO abit.de) (210.66.208.219)
by mx0.gmx.net (mx008-rz3) with SMTP; 30 Jun 2002 04:10:45 -0000
Reply-To: "Letzte Mahnung" <kundenservice4487r24@abit.de>
Message-ID: <022e44e52a3c$7323b3e2$6ba80ed0@bphkpr>
From: "Letzte Mahnung" <kundenservice4487r24@abit.de>
To: Mahnung@pop.gmx.de
Subject: Letzte Mahnung
Date: Sun, 30 Jun 0102 00:46:54 +0300
MiME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)
Importance: Normal
X-Modified-Forwards: 1A.inbox
X-UIDL: 1b33d4da4dbcdfe0698a08b5fbab3d32
Status: RO


5009Rnci7-042isum6193KWoU3-927RwUV1653VVDb1-398FvAo4508hl53

Und Deine Deutung der Header?

hmm, mir fehlt das etwas die erfahrung bzw. technischer hintergrund - sonst würde ich ja hier nicht fragen ;)


from unknown (HELO abit.de) unknown klingt nach "telnet host 25" :confused:


210.66.208.219 ip-adress-suche bringt nix, abit.de (vorausgesetzt, dass es stimmt) bringt bei ripe und denic eine abit ag.

:confused:



Starting nmap V. 2.53 by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on (210.66.208.219):
(The 1522 ports scanned but not shown below are in state: filtered)
Port State Service
80/tcp open http

Nmap run completed -- 1 IP address (1 host up) scanned in 493 seconds


ups, nu wollte ich noch mehr rausfinden, nu bin ich geblockt oder server is down :D

matze

unknown klingt nach "telnet host 25" :confused:
Reverse Lookup, also z.B. "host 210.66.208.219" ergab hier keinen Hostnamen.

abit.de (vorausgesetzt, dass es stimmt) bringt bei ripe und denic eine abit ag.
Obacht! Genau da bist Du in eine Falle getappt. Hier hat der Spammer nur seinen Rechner "abit.de" genannt bzw. bei Kontakt mit dem ersten Mailserver "abit.de" angegeben.

ip-adress-suche bringt nix,
Oh doch! Du mußt nur an den richtigen Stellen suchen:
http://www.apnic.net/apnic-bin/whois2.pl?key=210.66.208.219&results=a&type=all&source=&inv=

Spam aus Taiwan. "seednet" ist z.B. -> http://www.seed.net.tw/

http://www.digitalunited.com/subsidiary.shtml

hmm, und wie komm ich an die richtigen stellen ? es stinkt mich an, dass ich bei zig whois-datenbanken suchen muss, ehe ich erfolg habe.... geht das nicht zentral ?

wie bist du zu der whois-db gekommen ? apropos, mein whois-programm geht schon ne weile nicht mehr :mad:

danke erstmal für deine aufklärung ;)

matze

http://www.ripe.net/ripencc/faq/stop_spam.html#2

in de.alt.net-abuse.mail wirste Freunde haben, das ist eine Fach-Newsgroup zum Thema Spam. Dort gibts auch entliche Faqs