Издавно настроен антивирусник на  отчёт мне по почте в случае нашествия вирусов. Сейчас пришло письмо мол по почте лез вирь, благополучно убитый. Обратил внимание с какого ящика шло письмо: [email protected] - у нас такого ящика нет. Письмо пришло на один из наших ящиков [email protected]
Раскрыл его:

From - Thu Aug 16 13:41:39 2012
X-Account-Key: account1
X-UIDL: 00000bdc4faa3748
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:                                                                                
Return-path: <[email protected]>
Envelope-to: [email protected]
Delivery-date: Thu, 16 Aug 2012 22:33:25 +0300
Received: from [178.90.191.30] (helo=microsof-24d78e)
   by s4.thehost.com.ua with esmtp (Exim 4.76)
   (envelope-from <[email protected]>)
   id 1T25op-0000i1-QX
   for [email protected]; Thu, 16 Aug 2012 22:33:25 +0300
Received: from mailout-us.gmx.com ([74.208.5.67]) by aln-mailrelay.att.net;
    Thu, 16 Aug 2012 02:33:22 +0300
Received: (qmail 9741 invoked by uid 0); Thu, 16 Aug 2012 02:33:22 +0300
Received: from 110.203.234.182 by rms-us063.v300.gmx.net with HTTP
Content-Type: multipart/mixed;
   boundary="========GMXBoundary816158626177210101200"
Date: Thu, 16 Aug 2012 02:33:22 +0300
From: <[email protected]>
Message-ID: <[email protected]>
MIME-Version: 1.0
Subject: [virus JS/Kryptik.UK ????????? ?????????] Your intuit.com order.
To: [email protected]
X-Authenticated: #233426516
X-Flags: 0001
X-Mailer: GMX.com Web Mailer
x-registered: 0
X-GMX-UID: YUT/TKKY269AG9AEF0E70U7+O041EJCQ
X-OriginalArrivalTime: Thu, 16 Aug 2012 02:33:22 +0300 FILETIME=[6B57DC03:72849237]
X-EsetResult: clean (cleaned), contained JS/Kryptik.UK trojan
X-EsetId: 13F033267F32703D09B86C3A2D2D763D51B2367772
X-EsetScannerBuild: 11886

Поправте меня если я не правильно понял: письмо на самом деле слал пользователь <[email protected]> из Казастаа (from [178.90.191.30]) только у них в настройках выставлено подставлять домен жертвы рассылки... домен att.net заменен на example.com.

Вопрос собственно говоря всплывает ещё со времён борьбы со спамом...
Вообщем, длинная история. Думаю как бороться.. но это уже другая история.

Received: when an SMTP server accepts a message it inserts this trace record at the top of the header (last to first).

(2) - это что такое волшебное ты написал?

не ИЗ, а В Казахстан. С легким паром (с)

да? о_о..
Received: from [178.90.191.30] (helo=microsof-24d78e)
я так понял, что с АйПи 178.90.191.30 и компьютер называется microsof-24d78e (кто-то не замарачивался с именим компьютера)
а строки
Received: when an SMTP server accepts a message it inserts this trace record at the top of the header (last to first).
я не наблюдаю...

а ты переведи ее

когда сервер SMTP принимает сообщение, он вставляет эту запись трассировки наверху заголовка..
И что бы это значило?

что Received: from [178.90.191.30] (helo=microsof-24d78e) это последняя запись, прямо перед тобой