<p>
On of the problems we encounter as an ISP is the occassional customer account getting hijacked and used to send spam from the webmail interface.
</p>
<p>
To assist in tracking down the perpetrators, we've created a patch that inserts a Received header that records information so we can track down the compromised account. (In particular, the timestamp, source IP address and login name.)
</p>
<p>
The header is formatted like this:
</p>
<p>
    Received:  from [<span style="font-style: italic">ip-address</span>] (<span style="font-style: italic">host.domain</span>; login=<span style="font-style: italic">username</span>)<br />
        by <span style="font-style: italic">hostname-of-server</span><br />
        with HTTP/<span style="font-style: italic">version</span> ;<br />
        <span style="font-style: italic">datestamp</span> 
</p>
<p>
You might wonder "why use the Received header"; well, the simple reason is so it can be processed the same way as any other spam report - and we get a <span style="font-style: italic">lot</span> of those.
</p>
<p>
Is this of interest to anyone else? 
</p>
<p>
-Martin 
</p>