Also an machen Tagen muß man wahrlich am Verstand der Spammer zweifeln. Nun war mir das schon lange klar, aber was heute reingekommen ist, ist an Dämlichkeit fast schon nicht mehr zu überbieten 🙂

Der Mailheader

Return-path: <bestellung@otto.de>
Envelope-to: XXX
Delivery-date: Tue, 09 Sep 2014 12:52:25 +0200
Received: from ns3436350.ip-188-165-196.eu ([188.165.196.19])
	by XXXXX with smtp (Exim 4.80.1)
	(envelope-from <bestellung@otto.de>)
	id 1XRJyD-0004oD-Cv
	for XXX; Tue, 09 Sep 2014 12:50:25 +0200
Received: from pfjkqmlf (7.148.90.216)
	by ns3436350.ip-188-165-196.eu; Tue, 9 Sep 2014 12:51:01 +0200
Date: Tue, 9 Sep 2014 12:51:01 +0200
From:  <bestellung@otto.de>
X-Mailer: The Bat! (v2.01)
Reply-To:  <datenschutz@otto.de>
Message-ID: <023872403.20140518152630@otto.de>
To:

Das es sich hierbei um einen Versand eines als ZIP gepackten Trojaners für Windows handelt, sei nur am Rande erwähnt, da es nicht wichtig ist für die Geschichte.

Wie man im Header sieht, gibt es zwei Received-Zeilen. Jetzt muß man die von OBEN nach UNTEN lesen, die oberste ist die LETZTE Stelle, also die, welche die Email angenommen hat auf unserem Server.

Folglich hat unser Server die Mail von „188.165.196.19“ bekommen, einem Server bei OVH in Frankreich. Selbiger dürfte gehackt sein und als Spamschleuder mißbraucht worden sein.

Nun sagt aber der zweite Received-Header, daß OVH die Email von 7.148.90.216 bekommen haben will, und hier wirds spannend. Das ist nicht irgendein Server im Netz!

NetRange:       7.0.0.0 – 7.255.255.255
CIDR:           7.0.0.0/8
OriginAS:
NetName:        DISANET7
NetHandle:      NET-7-0-0-0-1
Parent:
NetType:        Direct Allocation
RegDate:        1997-11-24
Updated:        2006-04-28
Ref:            http://whois.arin.net/rest/net/NET-7-0-0-0-1

OrgName:        DoD Network Information Center
OrgId:          DNIC
Address:        3990 E. Broad Street
City:           Columbus
StateProv:      OH
PostalCode:     43218
Country:        US

DoD Network Information Center steht für Department of Defense und damit für das US Verteidigungsministerium, sprich das Pentagon. Vermutlich ist es eine Außenstelle.

Was läßt jetzt Zweifel an der Story aufkommen ?

Received: from ns3436350.ip-188-165-196.eu ([188.165.196.19])
	by XXXXX with smtp (Exim 4.80.1)
	(envelope-from <bestellung@otto.de>)
	id 1XRJyD-0004oD-Cv
	for XXX; Tue, 09 Sep 2014 12:50:25 +0200
Received: from pfjkqmlf (7.148.90.216)
	by ns3436350.ip-188-165-196.eu; Tue, 9 Sep 2014 12:51:01 +0200
Date: Tue, 9 Sep 2014 12:51:01 +0200

Wenn man jetzt weiß, daß der oberste der Letzte in der Kette ist, wie kann er kann VOR dem Ersten in der Kette, die Email bekommen haben ?  Antwort: Hat er nicht. Der Spammer hat das einfach erfunden um von sich abzulenken.

Jetzt wäre jede andere IP auf der Erde sinnvoller gewesen als die vom DoD, weil dadurch wird jetzt jemand mit guten Kontakten bei OVH anfragen und die eigentlichen Täter ermitteln wollen. Deswegen kann man nur raten: Keine Ips vom Pentagon benutzen, die nehmen das sehr persönlich 😉