Virus mail: Gespoofde afzenders, zelfde node # en IP adres?

Sinds begin april 2004 krijg ik een paar keer per week e-mails met als attachment een W32.Sober.F en sinds kort een W32.Sober.G virus .

"So what?" zou je zeggen die krijg ik ook, en nog wel meer ook dan die paar van jou .

Bij het bekijken van de source van de e-mail krijg ik alleen het idee dat het van één en dezelfde computer komt hoewel de e-mail adressen nooit hetzelfde zijn en -natuurlijk- gespoofed zijn.

Is het mogelijk om die persoon of instantie te waarschuwen als ik de volgende gegevens in de header vind, het dik gedrukte deel is in al de e-mails hetzelfde:

-------------------------------------------------
From - Mon May 17 23:33:22 2004
X-UIDL: 142-1057850974
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
Return-path: <ZENDER@planet.nl>
Received: from smtp18.wxs.nl ([195.XXX.X.XXX])
by po08.wxs.nl (iPlanet Messaging Server 5.2 HotFix 1.25 (built Mar 3 2004))
with ESMTP id <XXXXXXXXXXXXXXX@po08.wxs.nl>; Sun,
16 May 2004 01:10:17 +0200 (MEST)
Received: from ZENDER.nl (node-X-XXXX.a2000.nl [62.XXX.XXX.XXX])
by smtp18.wxs.nl
(iPlanet Messaging Server 5.2 HotFix 1.25 (built Mar 3 2004)) with SMTP id
<XXXXXXXXXXXXXXX@smtp18.wxs.nl>; Sun, 16 May 2004 01:10:17 +0200 (CEST)
Date: Sat, 15 May 2004 23:01:59 +0000 (GMT)
From: ZENDER@planet.nl
Subject: FwD: Smiling Like a Killer
To: ONTVANGER@planet.nl
Message-id: <XXXXXXXXXXXXXXX.XXXXXX.qmail@planet.nl>
MIME-version: 1.0
Content-type: multipart/mixed; boundary="======3b4a070dcf73e29d223d1"
Content-transfer-encoding: 7bit
Importance: Normal
X-Priority: 3 (Normal)
X-MSMail-priority: Normal
-------------------------------------------------

De WHOIS database geeft voor [62.XXX.XXX.XXX] A2000 en UPC weer.
Kan ik nu een e-mail sturen naar "abuse@a2000.nl" of heb ik dan toch het verkeerde adres (bestaat A2000 nog )? Ik bedoel is het waarschijnlijk dat die 62.XXX.XXX.XXX ook gespoofed is?

(De naam van de afzender heb ik vervangen door ZENDER en de ontvanger door ONTVANGER (duh). Ipv de X-en stond er natuurlijk ook wat anders )

Tachyon schreef op 22 mei 2004 @ 15:49:
....
Nou wil ik dat best doen, maar dan moet ik toch echt meer weten als alleen een IP-adres.
Verder niks meer van gehoord en daarom dat IP-adres maar geblokkeerd op de firewall

Hoe blokkeer je e-mail adressen in je firewall? Je maakt toch via POP3 verbinding met je ISP en dan worden alle e-mails op de server naar je toe gepompt? Het enige IP adres wat je firewall ziet is dan toch alleen dat van de mailserver van je ISP

Maar kun je nu met zeker zeggen dat het dik gedrukte IP adres in de header van de e-mail inderdaad het IP adres is van degene die mij die e-mails stuurt? Want dan moet m'n e-mail adres toch op de een of andere manier in z'n adres boek staan (of als cc in een mailtje van iemand anders aan hem).

Er is toch een redelijke kans dat het een bekende (of een bekende van een bekende) van me is, of niet?

***KICK***

Kan niemand mij dan vertellen of het genoemde dik gedrukte IP adres van de echte afzender is, of dat het van een (mail)server is?

Als je zoekt op het IP adres dan komt ie in logs op deze website voor:

http://www.wakkie.org/sitelogs/site_200312.html

Dan zou je dus zeggen dat op dit IP adres eind 2003 een server heeft gedraaid.

Dan gaan we maar eens een abuse mailtje sturen.

Iedereen bedankt voor z'n inbreng.