Hallo,

danke für die Recherche. Ich kann noch etwas Info nachliefern.

Received: from remote.atlantik-seereisen.de ([217.238.158.28]) by
 mrelayeu.kundenserver.de

Auch in den vorausgegangenen Mails seit 17.08.2021 wird remote.atlantik-seereisen.de regelmäßig mit der IP-Adresse 217.238.158.28 angegeben. Sieht nach einer festen Adresse aus.

Überprüft mit dig:

;; ANSWER SECTION:
remote.atlantik-seereisen.de. 3600 IN	A	79.248.99.127

Das gleiche Resultat bekomme ich gerade auch mit nslookup. Aber sei's drum, auch 79.248.99.127 ist eine Dialin-Adresse der Telekom. Sieht also nach einer total verkorksten Infrastruktur aus.

Reaktion: „Hä? Was?“

Hä??

Da ist jedenfalls mit „remote.atlantik-seereisen.de“ ein Server auf dem Weg - und zwar der, der die Mails bei Kundenserver.de (zwecks Weiterreichen an „mail.de“) einwirft, der eine Einwahl-IP hat (also DynDNS bräuchte), dessen DNS aber eine Gültigkeit der Einträge von einer Stunde (3600 Sekunden) behauptet. Entsprechend lange passt die Zuordnung von IP und Hostname zeitweise schon mal nicht.

Anscheinend sind die IPs zumindest über mehrere Tage hinweg stabil. Aber was heißt das schon ...

Das ist, was ich auf den ersten Blick sehe. Es kann dran liegen (es kann an „allem“ liegen) aber wäre ich ein Programm, welches „Mist“ finden soll um den Spam- oder Virenverdacht auszulösen - Naja: Ich würde es wohl tun.

Okay. Das heißt also:

a) Der Reiseveranstalter hat eine auf drei Krücken aufgestellte IT-Infrastruktur
b) Ein entsprechend kritischer Spamfilter könnte daran Anstoß nehmen

Noch ein Argument, den Third-Party-Virenscanner aus der Gleichung rauszunehmen.

Live long and pros healthy,
 Martin