Moin,

Nichts.
Es ist ueblich bei SPAM-Mails dass echte Absendeadressen genutzt werden, damit die Leute nicht mehr auf die Adressen filtern koennen...

Das hat so aber erst vorgestern bei mir angefangen. Ich habe von wenigstens einem anderen gehört bei dem das auch erst in dem selben Zeitraum losging.
Ich habe jetz so ca. 200 dieser Rückläufer gesammelt. Was ich so vom drüberschauen als charakteristisch erkennen kann:

• Die 'Absenderaddressen' sind natürlich gefälscht, haben aber meinen Domainnamen. Davor steht immer ein anderer Name, und der lokal part ist plausibel für diesen Namen.
• Der Empfänger ist natürlich immer ein anderer
• Der ursprüngliche Rechner benutzt für HELO bzw. EHLO immer etwas das wie ein Domainname aussieht. Der ist immer anders und hat auch keine Beziehung zu mir oder dem Empfänger.
• Was mich total verwirrt: Der ursprüngliche Rechner ist (fast!) immer ein anderer. Die Ursprungsrechner sind wild über das Internet verteilt und selten auch nur im selben Subnetz. Insbesondere dieser Punkt lässt Abuse-Reports schwer aussehen.
• Vom Subject würde ich sagen dass meisst für Sildenafil Citrate oder Viagra geworben wird. Einige der bouncenden Mailserver waren so freundlich auch noch den Body mitzuschicken. Der Body ist immer so ähnlich wie der hier bereits gepostete, aber die Domainnamen wechseln.

Weitere Gemeinsamkeiten bei allen Mails konnte ich nicht entdecken. Ein großer Teil der Mails hat Message-IDs die mit meiner Domain generiert wurden. Die X-Mailer-Zeilen scheinen auch aus einem Pool von möglichen Zeilen generiert werden, und die anderen Header passen dann jeweils dazu:

* X-Mailer: Windows Eudora Pro Version 2.2 (32)
* X-Mailer: Pegasus Mail for Win32 (v3.12a)
* User-Agent: Mozilla/5.001 (windows; U; NT4.0; en-us) Gecko/25250101
* X-MimeOLE: Produced By Microsoft Exchange V6.0.6290.0
* X-Mailer: Microsoft Outlook Express 6.00.2800.1158
  und passend dazu:
   + X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
   + X-Priority: 3
   + X-MSMail-Priority: Normal
usw. usf.
Dieses Kriterium ist also leider nicht zum Filtern geeignet.

Du koenntest versuchen, ueber den Received:-Header herauszubekommen, von welchen Provider die SPAM ausging.

Wie gesagt, die Rechner wechseln wild. Wenn das nicht bald aufhört werde ich mir wohl ein kleines Skript schreiben müssen was die beworbenen Domainnamen und die Ausgangsrechner zusammensucht. Die beworbenen Domains die ich stichprobenartig überprüft habe waren alle bei paycenter.com.cn registriert und hatten teilweise den gleichen billing contact. Ob es hilft sich dort zu beschweren? (Bzw. ob die überhaupt englisch verstehen?)