@KKunze1959 Welche Angaben sind bei Spam-Headern meistens gefälscht?
Headerzeilen, die bei Spam-Mails fast immer gefälscht werden, sind die Zeilen "From" und "Return-Path", also die Absenderangaben. Denn der Spammer will ja i.d.R. seine Herkunft tarnen, damit er nicht juristisch verfolgt werden kann. Ausnahmen gibt es nur bei 419er- oder bei Muli-Mails, denn bei diesen Betrugsarten will der Spammer eine Antwort des Opfers auf seine Mailadresse haben.
Es gibt auch immer mal unbedarfte Spammer, die in Unkenntnis der Rechtslage unverlangte Newsletter versenden und dann auch z.B. eine "Info@"-Adresse der eigenen Firma in den Absender setzen.
Bei fast allen anderen Spams wird jedoch der Absender gefälscht, weil der Spammer z.B. die wütenden Protestantworten und auch die Fehlermeldungen bei nichtzustellbaren Mails (sogenannte "bounces") nicht auf sein eigenes Mailkonto zurückhaben will. Außerdem will er i.d.R. vermeiden, juristischen Ärger zu bekommen.
Daher setzt der Spammer oft irgendetwas x-beliebiges als Absendeangabe ein. Das kann man sogar selbst mit einem normalen Mailprogramm wie "Thunderbird" ausprobieren, wenn man in die Absenderzeile einfach irgendetwas anderes einsetzt und sich selbst einmal testweise diese Mail zustellen lässt.
Oft existieren die Mailadressen, die der Spammer als gefälschten Absender einsetzt, tatsächlich. Sie gehören dann oft völlig Unbeteiligten, die sich dann mit den wütenden Protestantworten herumärgern dürfen. Das nennt man dann auch "JoeJob". Daher sollte man bei Spam nicht an die angegebene Absendeadresse eine Rückantwort schicken. Denn entweder belästigt man damit einen Unbeteiligten, oder der Spammer erfährt, dass die Mail angekommen ist, und belästigt einen nur noch mehr bzw. verkauft die Adresse an andere Spammer weiter.
Teilweise werden vom Spammer auch andere Angaben im Header gefälscht, wie z.B. Datum und Uhrzeit. Das soll entweder Verwirrung stiften oder helfen, durch den Spamfilter zu kommen o.a.
http://www.antispam-ev.de/wiki/EMailHeader
