Header-Zeile:

Received: from remote.atlantik-seereisen.de ([217.238.158.28]) by
 mrelayeu.kundenserver.de

Überprüft mit dig:

;; ANSWER SECTION:
remote.atlantik-seereisen.de. 3600 IN	A	79.248.99.127

Reaktion: „Hä? Was?“

whois -H  217.238.158.28

inetnum:        217.238.0.0 - 217.239.36.255
netname:        DTAG-DIAL17

Da ist jedenfalls mit „remote.atlantik-seereisen.de“ ein Server auf dem Weg - und zwar der, der die Mails bei Kundenserver.de (zwecks Weiterreichen an „mail.de“) einwirft, der eine Einwahl-IP hat (also DynDNS bräuchte), dessen DNS aber eine Gültigkeit der Einträge von einer Stunde (3600 Sekunden) behauptet. Entsprechend lange passt die Zuordnung von IP und Hostname zeitweise schon mal nicht.

Das ist, was ich auf den ersten Blick sehe. Es kann dran liegen (es kann an „allem“ liegen) aber wäre ich ein Programm, welches „Mist“ finden soll um den Spam- oder Virenverdacht auszulösen - Naja: Ich würde es wohl tun.