<div dir="ltr">The next header in the chain will reveal all.  Is there a reason you didn't include it?<div><br></div><div>  Scott</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Oct 6, 2015 at 3:35 PM, Ross Wheeler <span dir="ltr"><<a href="mailto:ausnog@rossw.net" target="_blank">ausnog@rossw.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
I know spoofed headers have been around (almost) forever, but I had a call from a friend this morning who had received some malware.<br>
<br>
On looking through the headers, I noticed something that I find a little disturbing if I'm interpreting it right:<br>
<br>
<br>
Received: from <a href="http://ali-syd-1.albury.net.au" rel="noreferrer" target="_blank">ali-syd-1.albury.net.au</a> (208.117.108.170) by<br>
<a href="http://BN1BFFO11FD024.mail.protection.outlook.com" rel="noreferrer" target="_blank">BN1BFFO11FD024.mail.protection.outlook.com</a> (10.58.144.87) with Microsoft SMTP Server (TLS) id 15.1.286.14 via Frontend Transport; Tue, 6 Oct 2015 10:43:53 +0000<br>
<br>
I suspect this may be a forged header, because I couldn't connect to 10.58.144.87 (even if <a href="http://BN1BFFO11FD024.mail.protection.outlook.com" rel="noreferrer" target="_blank">BN1BFFO11FD024.mail.protection.outlook.com</a> resolved to a 10.x address) - but I suppose it would be possible the mail server could be behind NAT, and report its own internal IP...<br>
<br>
The thing is, <a href="http://ali-syd-1.albury.net.au" rel="noreferrer" target="_blank">ali-syd-1.albury.net.au</a> is NOT 208.117.108.170<br>
<br>
208.117.108.170 is (currently) showing as another host:<br>
170.108.117.208.in-addr.arpa domain name pointer <a href="http://mail.stridersports.com" rel="noreferrer" target="_blank">mail.stridersports.com</a>.<br>
<br>
Are spammers now getting sufficiently "crafty" to be changing PTR records to assist with the delivery of their spam and malware, or am I just being paranoid?<br>
<br>
(Has anyone else noticed this, or is it something you'd only notice if you were specifically looking for it?)<br>
<br>
R.<br>
_______________________________________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" rel="noreferrer" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>
</blockquote></div><br></div>