Hello,

man sieht aus den augenscheinlich gefakten Headern auf jeden Fall, dass die eMail nicht über einen ordnungsgemäß ins Netz gehängten und mittels MX-Record (bzw. Rückwärtsauflösung ermittelbar) identifizierten SMTPd abgesetzt worden sein muss. Auf meinem Mailserver würden derartige Kontaktversuche abgelehnt werden.
Warum die bei 1&1 durchzukommen scheinen, weiß ich nicht.

Oder es ist noch schlimmer, und genauso wie Du schon in Erwägung gezogen hast, dass Jemand Zugang zum Speichersystem der Mailserver hat, und die Mail-Dateien manuell eingestellt hat ins Verzeichnis.

Ich tendiere hier aber eher zur ersten Variante. Irgendeine Hackersoftware wird komplett mit Installation eines wilden SMTPd und der Tabellen mit eMail@ und vermeintlichem Passwort dazu verbreitet und startet dann wilde Attacken. Die prüfen noch nicht einmal den Versanderfolg.

Professionelle Angriffe sehen anders aus, oder man sieht sie ohne spezielle Systeme (monitored Honeypot) gar nicht.

Zur Zeit werden die RU-Angriffe auf alle Ports immer intensiver, aber auch KR und ZZ sind nicht faul.

Die Amis beschrünken sich hingegen immer noch auf regelmäßige ssh-Tests. Die anderen Zugriffe sieht man vermutlich nicht mehr ;-O

Glück Auf
Tom vom Berg