Esse não é o cabeçalho do host, esse é o referenciador.
Isso significa que alguém clicou em um link em um e-mail (ou carregou um recurso incorporado em um e-mail) que os enviou para seu site a partir do site mail.live.com.
Hoje mesmo, comecei a ver em minhas linhas de registros do servidor da Web como este:
IP_WITHHELD - - [19/Oct/2011:20:47:04 +0000] "GET /providers/bookings HTTP/1.1" 500 21975 "http://co111w.col111.mail.live.com/mail/InboxLight.aspx?n=554012541" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
IP_WITHHELD - - [19/Oct/2011:20:47:43 +0000] "GET /providers/bookings HTTP/1.1" 500 21976 "http://co111w.col111.mail.live.com/mail/InboxLight.aspx?n=1672240566" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
Eu não corro o Live Mail, no entanto. Alguém está acessando meus servidores com o cabeçalho Host configurado para mail.live.com, como você pode ver. Para que serve isso?
Tags security web-server