noch kürzer und noch knapper.. du bringst was durcheinander. und ich weiß wovon ich rede. Ich manage meinen Kram selber und kann dir daher relativ genau sagen, dass am wahrscheinlichsten ist, dass die Adresse aus der DB von RCZ bzw. deren Maildienstleister kommt.
In nicht ganz so kurz und ganz so knapp:
Auf meinem Mailserver kontrolliere ich meine Filterung selbst und habe logischerweise auch Einblick in die Logs. Die hierbei verwendete Domain ist tatsächlich als catch-all eingerichtet, so, dass es bei einer eindeutig zu-ortbaren Mailadresse doch arg unwahrscheinlich ist, dass sonst nichts auf der Domain landet.
Sprich: wenn der Spammer (Bot) einfach nach Zufall und/oder vordefinierten Wörterbüchern von unbestätigten Mailadressen Domains willkürlich anschreiben würde, würde ich bei einer catch-all Adresse mehr als diesen gezielten Zustellversuch sehen. Zumal ich auf dem Server auch noch weitere Domains manage, bei denen ebenfalls nichts mit Relevanz auftrat. Es gab aber keine anderen Zustellversuche, die hierbei eine Relevanz hätten, bis auf eine einmalige Wiederholung der exakt selben Mail.
Ist im übrigen im September schon mal passiert.
Mir ist klar, dass, nüchtern betrachtet, die Verwendung einer Mailadresse als Empfänger für eine Phishing-Mail zunächst keinerlei Bedeutung für die Beschaffung der Mailadresse hat. Die Rahmenbedingungen sind hier jedoch starke Indizien.
Und um es nochmal deutlich zu sagen: Du bringst entweder etwas durcheinander oder liest nicht richtig, da du noch immer Absender und Empfänger durcheinander bringst. Ich habe auf diese Adresse als Empfänger die Mail bekommen. Niemand spricht/sprach davon, dies als vorgetäuschte Absenderadresse verwendet wurde.
Und falls du (und da gehe ich nicht von aus) meinst, dass mein System das Problem ist: Auf meinem System sind aktuell über 750 individuelle Mailadressen (inkl. Honeypots) von einem Dutzend Domains zu finden. Sollte das System hier Kompromittiert worden sein, wäre es wohl ebenso unwahrscheinlich, dass ausgerechnet nur auf diese eine Mailadresse etwas geschickt wurde und alle anderen über 750 Mailadressen unberührt bleiben.
Zusammengefasst lässt sich also sagen, wenn auf diese Adresse Spam/Phishing-Mails ankommen und gleichzeitig im ganzes System sonst keine Relevanz zu dieser Mail und dem Absendenden Server zu finden sind, dass die Wahrscheinlichkeit am höchsten ist, dass die Mailadresse eine verifizierte und keine (mehr oder weniger) zufällige Adresse ist.
Wahrscheinlicher ist es auch, dass diese Verifizierung extern stattfand, da es unwahrscheinlich ist, dass alle 750 anderen Adressen hierbei keine Relevanz haben.