Komische email. Problem/sorgen machen?

[Paradise]

Guten Morgen alle zusammen.

Ich habe ein komische email an eine meiner adressen bekommen.

Der Inhalt ist nur:

me5094@paradise-supplements.com

was aber komisch ist, ist der Absender. Dieser ist:

me5094@paradise-supplements.com

bzw Name:

taken171@paradise-supplements.comrnContent-Transfer-Encoding: 7bitrnContent-Type: text/htmlrnSubject: have now. hernbcc:kiszonas_va@yellowijds.comrnrnwave he luck thatched in hearly in a spean end is notheyrnrnrnrnrnrnrnrnrnrnrnrnrn3337bb1168904e323337e6ee9de04895rn.rn

Es gibt aber keine "me5094@" oder "taken171@".

Kann mir das jemand erklären. Oder muss ich mir da über etwas sorgen machen?

 

[DerFalk]

naja, das ist leider nicht der komplette Header... wenne dir den genau dann anschaust, wirst du feststellen, das der Absender dann nicht deine Domain ist. Also "normaler" SPAM

 

[Paradise]

echt

also hier mal ganz

X-Account-Key: account10
X-UIDL: UID27-1173883923
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <me5094@paradise-supplements.com>
Delivered-To: [email]4-xxx@paradise-supplements.com[/email]
Received: (qmail 31605 invoked by uid 30); 23 Apr 2007 06:31:41 +0200
To: [email]xxx@paradise-supplements.com[/email]
Subject: Paradise-Supplements
Date: Mon, 23 Apr 2007 06:31:41 +0200
From: "taken171@paradise-supplements.comrnContent-Transfer-Encoding: 7bitrnContent-Type: text/htmlrnSubject: have now. hernbcc:kiszonas_va@yellowijds.comrnrnwave he luck thatched in hearly in a spean end is nothe yrnrnrnrnrnrnrnrnrnrnrnrnrn3337bb1168904e323337e6ee9de04895rn.rn" <me5094@paradise-supplements.com>
Reply-to: "taken171@paradise-supplements.comrnContent-Transfer-Encoding: 7bitrnContent-Type: text/htmlrnSubject: have now. hernbcc: [email]kiszonas_va@yellowijds.comr[/email]nrnwave he luck thatched in hearly in a spean end is nothe yrnrnrnrnrnrnrnrnrnrnrnrnrn3337bb1168904e323337e6ee9de04895rn.rn" <me5094@paradise-supplements.com>
Message-ID: <71b9195d1febcd81e7cfd1d65bf145b9@www.paradise-supplements.com>
X-Priority: 3
X-Mailer: PHPMailer [version 1.73]
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="b1_71b9195d1febcd81e7cfd1d65bf145b9"

meine email hab ich durch xxx ersetzt.
Aber woran seh ich das das normaler spam ist

 

[Thorsten]

Hallo!

(qmail 31605 invoked by uid 30)

User ID 30 dürfte dein Apache Benutzer sein. Ich würde auf ein unsicheres Script auf deinem Webserver tippen.

mfG
Thorsten

 

[DerFalk]

Das würde ich auch so sehen nach der Sichtung des kompletten Headers

 

[Paradise]

Danke.

Bin da noch nicht so bewandert drin. Wäre lieb wenn ihr mir Ratschläge geben könntet wie ich diesen Script/Lücke oder was auch immer da ist ausfindig machen kann.

 

[Huschi]

Reply-to: "taken171@paradise-supplements.comrnContent-Transfer-Encoding: 7bitrnContent-Type: text/htmlrnSubject: have now. hernbcc: kiszonas_va@yellowijds.comrnrnwave he luck thatched in hearly in a spean end is nothe yrnrnrnrnrnrnrnrnrnrnrnrnrn3337bb1168904e323337e6ee9de04895rn.rn" <me5094@paradise-supplements.com>

Was hier versucht wird, sieht man doch exakt in dieser Zeile:
Es wird versucht, weitere Header einzuschleusen. Siehe die vielen "rn". Jeder "rn" war wahrscheinlich ein "\r\n". Also ein Zeilenumbruch. Wenn man das mal auflöst, so sieht man:

Reply-to: "taken171@paradise-supplements.com
Content-Transfer-Encoding: 7bit
Content-Type: text/html
Subject: have now. he
bcc: kiszonas_va@yellowijds.com

wave he luck thatched in hearly in a spean end is nothe y












3337bb1168904e323337e6ee9de04895
.
" <me5094@paradise-supplements.com>

Die Zeile mit dem einzelnen Punkt ist das "Ende der Mail" für die meisten Commandline-Mailer (u.a. sendmail).
Im BCC findest Du dann auch die reale Email des Spammers.
Dies ist hier lediglich ein Versuch ob/wie man Dein Script mißbrauchen kann.

Tip: Prüfe die Eingaben besser. Speziell das "From"-Feld.

PS: Du hast Glück, daß PHPMailer die Backslashes eliminiert hat.

huschi.