<div dir="ltr">If the compromised spam host was using a dodgy DNS server, couldn't this happen? Dodgy DNS servers are pretty common in the malware world AFAIK. <br><br><div class="gmail_quote"><div dir="ltr">On Wed, Oct 7, 2015 at 9:36 AM Ross Wheeler <<a href="mailto:ausnog@rossw.net">ausnog@rossw.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
I know spoofed headers have been around (almost) forever, but I had a call<br>
from a friend this morning who had received some malware.<br>
<br>
On looking through the headers, I noticed something that I find a little<br>
disturbing if I'm interpreting it right:<br>
<br>
<br>
Received: from <a href="http://ali-syd-1.albury.net.au" rel="noreferrer" target="_blank">ali-syd-1.albury.net.au</a> (208.117.108.170) by<br>
<a href="http://BN1BFFO11FD024.mail.protection.outlook.com" rel="noreferrer" target="_blank">BN1BFFO11FD024.mail.protection.outlook.com</a> (10.58.144.87) with Microsoft<br>
SMTP Server (TLS) id 15.1.286.14 via Frontend Transport; Tue, 6 Oct 2015<br>
10:43:53 +0000<br>
<br>
I suspect this may be a forged header, because I couldn't connect to<br>
10.58.144.87 (even if <a href="http://BN1BFFO11FD024.mail.protection.outlook.com" rel="noreferrer" target="_blank">BN1BFFO11FD024.mail.protection.outlook.com</a> resolved<br>
to a 10.x address) - but I suppose it would be possible the mail server<br>
could be behind NAT, and report its own internal IP...<br>
<br>
The thing is, <a href="http://ali-syd-1.albury.net.au" rel="noreferrer" target="_blank">ali-syd-1.albury.net.au</a> is NOT 208.117.108.170<br>
<br>
208.117.108.170 is (currently) showing as another host:<br>
170.108.117.208.in-addr.arpa domain name pointer <a href="http://mail.stridersports.com" rel="noreferrer" target="_blank">mail.stridersports.com</a>.<br>
<br>
Are spammers now getting sufficiently "crafty" to be changing PTR records<br>
to assist with the delivery of their spam and malware, or am I just being<br>
paranoid?<br>
<br>
(Has anyone else noticed this, or is it something you'd only notice if you<br>
were specifically looking for it?)<br>
<br>
R.<br>
_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" rel="noreferrer" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
</blockquote></div></div>