Bei uns hat gestern Abend user@domain.de eine E-Mail von sich selbst bekommen, die er nicht selbst verschickt hat. Zunächst dachte ich, gut, Absender einfach gefälscht. Ein Blick in den Header brachte mich aber zum Nachdenken. Die letzte, also erste, Reveived-Zeile weist unseren smtp-auth-Server aus. Das lässt für mich nur drei Schlüsse zu:
1. Der smtp-Server ist nicht richtig konfiguriert und nimmt auch unautorisierte Aufträge entgegen.
2. Der Account des Mitarbeiters wurde geknackt und unter seiner Kennung verschickt.
3. Die letzte Received-Zeile fehlt und die Mail wurde doch über einen anderen Server verschickt.
Kann das letzte sein? Habe gelesen, dass man problemlos zusätzliche Received-Zeilen hinzufügen kann. Ist es auch möglich, etwas wegzulassen, so dass die unten stehende Mail vielleicht doch nicht über smtp-auth.server.de verschickt wurde?
Nachtrag: Die Message-ID weist ja auch darauf hin, dass unser smtp-Server verwendet wurde. Wie schafft der das aus Spanien?
From user@domain.de Mon Sep 3 20:23:15 2007
Return-Path: <user@domain.de>
Received: from smtp-auth.server.de (xnode10eth0.rz.server.de [Server IP-Adresse])
by a24n51.rz.server.de (8.13.1/8.13.1) with ESMTP id l84INFgU002343
for <user@domain.de>; Mon, 3 Sep 2007 20:23:15 +0200
Received: from 207.pool85-60-65.dynamic.orange.es (77.pool85-59-79.dynamic.orange.es [85.59.79.77])
by smtp-auth.server.de (8.13.1/8.13.1) with ESMTP id l83INE7O002921
for <user@domain.de>; Mon, 3 Sep 2007 20:23:15 +0200
Comments: xnode10-smtpext
Date: Mon, 3 Sep 2007 20:23:14 +0200
From: user@domain.de
Message-Id: <20070903dsfsdf.l83INE7O002921@smtp-auth.server.de>