Moin!

um aus dem email-Header überhaupt noch eine verwertbare Information zu ziehen über den Absender-Daemon, welche Zeile bzw. Eintragung ist die wichtigste?

Wie wahsaga erwähnte: Die Received-Zeilen geben im Grundsatz Auskunft.

Allerdings sind sie auch Bestandteil der eingelieferten Mail, also ist ihnen gegenüber eine kritische Würdigung angesagt. Wirklich vertrauenswürdig sind nur die Zeilen deines eigenen Mailservers, nichts darüber hinaus. Außer du kennst das einliefernde System und dein Mailserver bestätigt, dass es tatsächlich eingeliefert hat - dann kannst du auch diesen Zeilen noch vertrauen.

Da die Received-Zeilen immer oben an die Mail angehängt werden, stehen die vertrauenswürdigen Zeilen also immer zuoberst, und je weiter nach unten man sich durcharbeitet, desto vertrauensunwürdiger wird es - wie gesagt, eigentlich schon schlagartig nach der letzten Zeile des eigenen Mailservers.

Return-Path: celestinezsjw@euskaltel.es
Delivered-To: bitworks.de-tom@bitworks.de
Received: (qmail 21203 invoked by uid 89); 4 Apr 2007 19:21:58 -0000
Delivered-To: annerschbarrich.de-tom@annerschbarrich.de
Received: (qmail 21201 invoked by uid 89); 4 Apr 2007 19:21:58 -0000
Received: from eu99-101-175.clientes.euskaltel.es (HELO euskaltel.es) (62.99.101.175)
  by v005.my-vserver.net with SMTP; 4 Apr 2007 19:21:58 -0000

Dieser Teil ist von deinem Mailserver. Der Rest ist durch den Spammer vorgegeben worden:

Date: Thu, 05 Apr 2007 05:10:32 +0900
Reply-To: "Eva Kopyra" celestinezsjw@euskaltel.es
From: "Eva Kopyra" celestinezsjw@euskaltel.es

Wobei noch festzustellen wäre, ob die hinter HELO genannte Domain sich tatsächlich an der genannten IP befindet, oder frei erfunden ist.

Das angegebene HELO ist "bogus". Ein vernünftiger Mailserver würde sich niemals mit "HELO example.com" melden, wenn er der Mailserver für @example.com ist, sondern seinen eigenen FQDN nutzen, also beispielsweise "HELO mail.example.com".

Allerdings ist das so eine Sache, auf dieses Kriterium zu filtern. Ein FQDN im HELO muß sein, Dinge wie "HELO localhost" oder "HELO friend" sollte man scheitern lassen. Auch IP-Adressen haben im HELO nichts verloren. Der FQDN sollte im DNS auffindbar sein. Und selbstverständlich hat die eigene Domain bei reinkommenden Mails von fremden Servern nicht verwendet zu werden. Insgesamt kann man mit guter HELO-Filterung schon mal sehr gute Ergebnisse erzielen. Auf selfhtml.org filtere ich damit allein schon über 60% (34.000 von 56.000 im vergangenen Monat) aller insgesamt abgelehnten Mails raus (der Check ist der allererste in der Kette).

Insgesamt hätte es deine Mail vermutlich über meinen HELO-Filter geschafft. Aber meine Filterkette ist ja noch etwas länger. :)

- Sven Rautenberg