Moin,

Wenn man die IP nachguckt, ist das tatsächlich eine Firma GCI, und zwar ein amerikanischer Provider wenn ich das richtig sehe. Gut, die werden das nicht selbst versendet haben, aber über sie wurde gesendet.

Ich denke schon, dass die da mit drin stecken (vielleicht auch bloß über einen fehlkonfigurierten oder kompromittierten Server), denn die Zeile die von derem Mailserver erzeugt wurde ergibt keinen Sinn:

Received: from 224.138.141.137 (224.138.141.137[224.138.141.137])
       by 226-129-58-66.gci.net (IMP) with HTTP

Die Mail wurde also angeblich über das Webmailinterface IMP geschrieben, aber der Absender soll eine Multicast-Addresse sein, die laut RFC 3171 noch nicht mal vergeben ist?