Passwort des E-Mail Konto wird regelmäßig geknackt

[Potestas]

Hallo,

ich bin aktuell etwas Ratlos und wollte mal fragen ob hier noch jemand Ideen hat.

Ich haben momentan ein E-Mail Konto welches regelmäßig (2x im Monat) zum versenden von SpamMails ausgenutzt wird.
Macht sich durch viele "Mail delivery failed" Nachrichten bemerkbar die ich dann plötzlich bekomme.

Ich rufe die Mails von zwei PCs und einem Smartphone ab.

Meinen HauptPC habe ich mittlerweile neu installiert und nach jedem Vorfall das Passwort geändert.
Ich habe aber recht sichere Passwörter verwendet (Groß-Klein-Schreibung, mind. 8 Zeichen, Sonderzeichen, und Wort-Anfangsbuchstaben von Sätzen, also keine Wörter die in Wortlisten auftauchen).

Die Nachrichten gehen an Adressen die teilweise aus meinem Kontaktbuch kommen, teils aber auch völlig unbekannt sind, oder an die ich mal vor Jahren!! geschrieben habe..

Ich rufe mit allen PCs aber auch andere Adressen ab, bei denen solche Probleme bisher nie auftraten.

Auch werden die Nachrichten nicht unter den gesendetet Nachrichten geführt.

Viele Grüße

 

[rg88]

na dann schau erst mal ob ein Trojaner/Bot drauf ist, dann machts die Sache einfacher.
Vielleicht liegts auch einfach an einem unsicheren Mailserver. Was setzt du denn ein?
Oder deine Email-Adresse wird einfach als Absender benutzt, dann kannst gar nichts machen

 

[Jesterfox]

Sicher das wirklich dein Mail-Account gehackt wurde? Die "Mail delivery failed" Nachrichten bekommt man auch wenn einfach irgendwer über seinen Server Mails mit deiner Absender-Adresse verschickt... solche Mails hab ich schon bekommen bevor ich für meine Domain überhaupt einen Postausgangsserver hatte den man hätte hacken können ;-)

 

[Garack]

Android Smartphone? Die Dinger sind virenversucht ohne ende.

Kann aber auch sein dass jemand einfach nur deine Mailadresse als Absendeadresse verwendet.

 

[Mojo1987]

Android Smartphone? Die Dinger sind virenversucht ohne ende.

Sehr kompetente Antwort.... ohne Worte.

@TE
Sicher das nicht wirklich jemand deine Adresse benutzt? Man könnte sich mal den Header der Delivery Mail anschauen ggf. ist darüber etwas herauszufinden. Ist das eine eigene Domain mit eigenem Server oder welchen Anbieter nutzt du?

 

[blackshuck]

Android Smartphone? Die Dinger sind virenversucht ohne ende.

schade das es keinen facepalm-smiley gibt...

 

[Simpson474]

Die E-Mail Adresse zum Passwort zurücksetzen ist aber schon noch auf dich registriert, oder?

 

[Moselbär]

Und wenn ja - was Simpson474 - meint - Passwort ändern - und keine 8 Zeichen - mach mal etwas mehr - nimm mal 16.

 

[Potestas]

Vielen Dank für die schnellen Rückmeldungen.

Zunächst mal der Return Header:

Return-path: <VERÄNDERT@GMX.COM>
Received: from [213.135.164.106] (port=58992 helo=puofhh.org)
	by box1326.bluehost.com with esmtpsa (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(Exim 4.86_2)
	(envelope-from <VERÄNDERT@GMX.COM>)
	id 1akD42-0006GX-MZ
	for VERÄNDERT@VERÄNDERT.de; Sun, 27 Mar 2016 09:57:19 -0600
From:  <VERÄNDERT@GMX.COM>
To: "VERÄNDERT" <VERÄNDERT@VERÄNDERT.de>
Subject: Fw: new important message
Date: Sun, 27 Mar 2016 18:57:14 +0300
Message-ID: <0000c585980f$795ac745$944d1203$@gmx.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0001_15D3AF7A.63719764"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdF3R3U3t28/lZ6ucHuxqa4E6vZC6w==
Content-Language: en-us
X-Identified-User: {623:box1326.bluehost.com:upstart1:chapman.eu.com} {sentby:smtp auth 213.135.164.106 authed with neville@chapman.eu.com}

This is a multipart message in MIME format.

Der Account zum Zurücksetzen ist auf mich Registriert und rufe ich auch regelmäßig ab. Sollten dieser Account nicht auch für Spam verwendet werden, wenn er tatsächlich ebenfalls gehackt sein sollte?
Werde aber das PW dort ebenfalls mal ändern.

 

[Jesterfox]

Ist das der Header vom Bounce (als dem delivery failed) oder das was im Bounce über die original Mail stand? Letzteres ist das interessante (wobei es dem Subject nach letzteres auch ist).

Received: from [213.135.164.106] (port=58992 helo=puofhh.org)

Das ist ein mazedonischer Kabelnetzbetreiber... die Mail dürfte wohl von nem malwareverseuchtem Rechner gekommen sein, nicht von deinem Account (GMX, oder? Dann würde da auch eine IP von GMX auftauchen)

 

[Potestas]

na dann schau erst mal ob ein Trojaner/Bot drauf ist, dann machts die Sache einfacher.

Eine Desinfektion habe ich bei allen betroffenen Systemen bereits mehrfach durchgeführt. Ohne wirklich "beängstigende" Ergebnisse.

Dass jemand "nur" meine Absenderadresse verwendet kann ich mir irgendwie noch nicht ganz vorstellen. Teilweise wurde an meine Frau und an meinen Arbeitgeber versendet. Woher sollen diese kommen, wenn es keinen Zugriff auf mein Konto gab?

Ergänzung (27. März 2016)

Ist das der Header vom Bounce (als dem delivery failed) oder das was im Bounce über die original Mail stand?

Ist der Inhalt aus den Bounce der Original-Nachricht.

Hier der einer Anderen:

X-Originating-IP: [14.168.216.131]
X-Spam: 0
X-Authority: v=2.1 cv=Etov1noA c=1 sm=1 tr=0 a=zAywaYMuh4sxX3rNupdR3A==:117
 a=zAywaYMuh4sxX3rNupdR3A==:17 a=L9H7d07YOLsA:10 a=9cW_t1CCXrUA:10
 a=s5jvgZ67dGcA:10 a=DAwyPP_o2Byb1YXLmDAA:9 a=0A_3ZG3HAAAA:8 a=7YfXLusrAAAA:8
 a=Zv0WZrE1nixT6l6cIr0A:9 a=CjuIK1q_8ugA:10 a=dj51sdhdgRkA:10
 a=1orcI96uqUEA:10 a=yMhMjlubAAAA:8 a=SSmOFEACAAAA:8 a=YsKcTKX9h_JdGzV8oqgA:9
 a=ZOyVZAh41-ttllsM:21 a=gKO2Hq4RSVkA:10 a=UiCQ7L4-1S4A:10 a=hTZeC7Yk6K0A:10
 a=frz4AuCg-hUA:10
From:  <VERÄNDERT@GMX.COM>
To: "VERÄNDERT" <VERÄNDERT@members.ebay.de>, "VERÄNDERT" 
 <VERÄNDERT@members.ebay.de>
Subject: Fw: new important message
Date: Sun, 27 Mar 2016 19:01:25 +0300
Message-ID: <00009f9a5301$7306000b$bcdbcb0b$@gmx.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0001_5EAD8D14.6ACED76B"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdGFb3kgKi/5m2K/kaq4r3jlZCd+Fw==
Content-Language: en-us

 

[Jesterfox]

Bei der Zweiten fehlt zwar der Received Header, aber die Originating-IP gehört zu "VietNam Post and Telecom Corporation"...


Evtl. ist mal jemand an dein Adressbuch oder das eines deiner Kontakte gekommen und nutzt das jetzt mit als Basis für die Adresslisten. Wobei eben Absender und Empfänger per random daraus ausgewählt werden. Einen bekannten und existierenden Empfänger zu verwenden erhöht die Chancen durch die Filter zu kommen (außer es würde sich endlich mal SPF durchsetzen... GMX hat die entsprechenden Einträge im DNS die es erlauben diese Mails direkt abzulehnen und nicht zu bouncen)


Hast du zufälligerweise eine der Mails die an einen bekannten ging? Die müsste dann ja zugestellt worden sein. Wäre interessant was die für Header hatte.

 

[Potestas]

Hört sich schlüssig an.

Interessant ist auch eine Dritte bei dem ich folgende Zeile gefunden habe:
Received-SPF: fail (google.com: domain of VERÄNDERT@gmx.com does not designate 66.252.95.146 as permitted sender) client-ip=66.252.95.146;

Mir war zwar bewusst, dass man den Alias setzen kann, aber nicht dass man die komplette Absenderadresse ohne Passwort "faken" kann.

Eine angekommene Nachricht habe ich leider nicht (mehr).
Ich konnte in der letzten "Welle" auch keine Zieladresse mehr erkennen, die aus meinem engeren Umfeld kam.
Es wird mittlerweile auch schon weniger.

 

[Jesterfox]

Ok, bei der dritten ist wohl SPF aktiv aber falsch konfiguriert. Der sollte bei sowas eigentlich keinen Bounce produzieren, da klar ist dass der Absender gefälscht wurde...

Das Emails Protokoll ist extrem offen und unsicher, da es aus einer Zeit stammt bei der nur eine Hand voll Rechner vernetzt waren und sich alle eh persönlich kannten ;-) das ist wie ne Postkarte, da kontrolliert ja auch keiner was man als Absender draufschreibt (SPF kontrolliert quasi den Poststempel, und man gibt an welche Postämter zertifiziert sind das man selbst dort die Post einliefert, wenn die dann plötzlich aus Vietnam kommen weiß man das was nicht stimmt ;-)

Bei mir ist es seit ich den SPF auf meiner Domain gesetzt hab so gut wie weg. GMX hat das ja eigentlich auch gemacht, aber scheinbar wird deine Adresse im Zusammenhang mit Empfängern genutzt die Server nutzen die noch kein SPF auswerten (oder eben falsch). Selber als User kann man da aber auch nichts dran ändern, das müssen die Domain- und Server-Admins machen.

 

[Potestas]

Hab mich auch grad zum Thema Spoofing bisschen eingelesen. Da ich bisher verschont wurde kannte ich mich leider noch nicht damit aus.

Danke für die schnelle und ausführliche Hilfe!

Dann kann ich zumindest aufhören mir alle 2 Wochen ein neues Passwort auszudenken :-)

 

[lukasd94]

Hallo Freunde,
bin auf diesen Thread gestoßen, weil ich momentan das selbe Problem habe.
Ich benutze bei meiner eigenen Domain eine eigene Mail-Adresse und bekomme ständig Bounces von E-mails, die ich nie verschickt hab.
Wundern tut es mich nicht, da ich diese Mail-Adresse schon seit Jahren wirklich überall angebe.
Jetzt stell ich mir die Frage, ob es effektiv wäre, würde ich die Mail-Adresse einfach löschen?
Die ständigen Mail Bounces sind mir eigentlich egal, ich möchte nur gerne verhindern, dass alle möglichen Leute aus meiner Kontaktliste ständig von mir zugespammt werden.

 

[Jesterfox]

Ob du die Domain behältst oder abgibst (und sie sich dann ein Domaingrabber holt) wird nichts am Spamaufkommen ändern. Lies dich eher mal in SPF usw. ein und konfigurier den DNS Eintrag entsprechend. Das hilft dabei den Spam besser zu filtern und zu löschen.

 

[lukasd94]

Nee, die Domain würde ich schon behalten. Nur die Mail-Adresse würde ich löschen.
Die Frage ist, ob meine Kontakte dann immer noch Spam von der (dann nicht mehr existenten) Mail Adresse bekommen?
SPF habe ich schon anhand dieser Aleitung eingerichtet:
https://hilfe-center.1und1.de/hosti.../spf-record-fuer-domain-setzen-a10795604.html

 

[chrigu]

mach doch mit jede deiner email-bekannten eine bestimmte betreff buchstabenkombination ab... damit sind die empfänger sicher, dass es von dir kommt und nicht von vietnam oder mazedonien... z.b. in der betreffzeile "Lukasd94:" familientreffen um 9 oder ähnlich

 

[Jesterfox]

Hm, wenn jemand Postkarten mit deinem Namen als Absender verschickt. Hilft es dann das Namensschild vom Briefkasten zu nehmen? ;-)