Sehr merkwürdige e-mail... Hilfe!

[Scheinweltname]

Sehr merkwürdige E-Mail ... Hilfe! (Backscatter-Spam)

#
Updated, siehe ab Post #7
#

Ich hab heute eine sehr merkwürdige E-Mail im Postfach gehabt, die irgendwie nicht nach Spam aussieht ... (war kein Anhang dran, war nur einfach Text, im Browser geöffnet, d.h. nicht mit outlook oder so)

The original message was received at Tue, 27 May 2008 09:51:07 -0500
from selena2007.tenet.odessa.ua [195.138.93.241]

----- The following addresses had permanent fatal errors -----
<ingh@3com-com>
(reason: 553 5.3.0 <ingh@3com-com>... Invalid Rcpt - Sender is <meineAdresse@arcor-de>)

----- Transcript of session follows -----
... while talking to localhost:
>>> DATA
<<< 553 5.3.0 <ingh@3com-com>... Invalid Rcpt - Sender is <meineAdresse@arcor-de>
550 5.1.1 <ingh@3com-com>... User unknown
<<< 503 Need RCPT (recipient)


--------------------------------

Reporting-MTA: dns; plmler2.mail.eds-com
Received-From-MTA: DNS; selena2007.tenet.odessa-ua
Arrival-Date: Tue, 27 May 2008 09:51:07 -0500

Final-Recipient: RFC822; ingh@3com-com
Action: failed
Status: 5.3.0
Remote-MTA: DNS; localhost
Diagnostic-Code: SMTP; 553 5.3.0 <ingh@3com-com>... Invalid Rcpt - Sender is <meineAdresse@arcor-de>
Last-Attempt-Date: Tue, 27 May 2008 09:51:10 -0500


--------------------------------

Return-Path: <meineAdresse@arcor-de>
Received: from computer1 (selena2007.tenet.odessa.ua [195.138.93.241])
by plmler2.mail.eds.com (8.14.2/8.13.8) with SMTP id m4REp0cZ014666
for <ingh@3com-com>; Tue, 27 May 2008 09:51:07 -0500
Date: Tue, 27 May 2008 09:51:00 -0500
X-EDS-Source-Ip: 195.138.93.241
X-EDS-Source-Name: selena2007.tenet.odessa-ua
X-EDS-Reported-Name: computer1
Content-Return: allowed
X-Mailer: devMail.Net (3.0.1854.22234-2)
Message-Id: <20080527075108.10606.qmail[at]computer1>
To: <ingh@3com-com>
Subject: Hurry UP ingh@3com-com May 85% OFF
From: VIAGRA ® Official Shop <jason[at]casterconnection-com>
MIME-Version: 1.0
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: 7bit

wenn ICH eine mail via arcor geschickt hätte, dann würde doch auch der Arcor-Mailer-Deamon was melden ... oder nicht?
Aber muss ich mir da Sorgen machen, dass mein Account irgendwie als bot e-mails wegschickt?

die angegebene IP gehört laut ip2location zu diesem Netzwerk:
195.138.93.241 UA UKRAINE ODES'KA OBLAST' ODESSA TENET NETWORKING CENTRE

 

[X1800er]

Da steht was von
"From: VIAGRA ® Official Shop <jason@casterconnection-com>"

Und da steht was von:
http://3com.com/

Ich würde es als ungewöhnlichen Spam abstempeln.
Ändern doch einfach mal dein Passwort von deinem Email Account.
Dann sollte das, falls es Missbrauch deines Accounts ist, nicht mehr passieren.

Viel Glück!

 

[Scheinweltname]

mir macht das Sorgen, weil 3com.com nur der Empfänger sein sollte. Auf mich macht das den Eindruck, als wollten die meine email-adresse benutzen, damit das durch den Spam-Filter von 3com.com geht (denn letzteres scheint ein normales Unternehmen zu sein).

Jedenfalls werde ich erstmal mein Passwort ändern.!

 

[matti30]

löschen und gut

 

[roi]

die haben vermutlich einfach deine email adresse als absender eingetrage. das geht ziehmlich leicht, jeder der ein bisschen PHP kann, kann mit jeder beliebigen addresse als absender email verschiclen

 

[Scheinweltname]

aber warum kriege ich dann die nicht-zustellbar-Nachricht? ... von einem Mailer-deamon, der gar nicht von arcor ist ... d.h. ... wahrscheinlich deshalb, weil das nie über meinen Account verschickt wurde, sondern nur mit mir als Absender ... mmh... macht Sinn, stimmt

aber schön zu wissen, dass es womöglich Unternehmen gibt, die meine e-mails filtern, weilse schonmal Spam "von mir" bekommen haben ...

edit: nach ein bisschen Umgucken denke ich, dass mich meine erste back-scatter-mail erreicht hat ... eine ziemlich doofe Premiere.

 

[Scheinweltname]

*Auskram*
Zum Glück wurde ich bislang von weiterem Backscatter-Spam verschont, aber ich will an diesen Faden noch etwas anhängen, damit User nicht Backscatter-Mails und "echten" Spamversand durch den eigenen Account verwechseln.

Wichtig sind dabei diese Zeilen im Quellcode der E-Mail [*]:

1	Return-Path: <meineAdresse@arcor-de>
2	Received: from computer1 (selena2007.tenet.odessa-ua [195.138.93.241])
3	by plmler2.mail.eds-com (8.14.2/8.13.8) with SMTP id m4REp0cZ014666

In Zeile 1 steht die Adresse, die 'missbraucht' wurde. Man hat die Nicht-Zustellbar-Nachricht bekommen, weil diese Adresse als Absender in der ursprünglichen Spam-Mail stand.

In Zeile 2 sieht man den Rechner, der die Mail an den Ausgangsserver geschickt hat; in diesem Fall steht sogar ein Computername (selena2007...). Die dazugehörige IP-Adresse (195.138.93.241) gehört zu einem Unternehmen, das Tenet heißt. Da mein Rechner von diesem Unternehmen niemals eine IP-Adresse bekommen hat (weil mein Provider jemand ganz anderes ist und ich keine Proxys und ähnliches benutze), kann also mein Rechner nicht der Absender sein. Wenn an dieser Stelle aber der eigene Computername und/ oder die eigene IP-Adresse steht, dann wurde die Mail mit höchster Wahrscheinlichkeit vom eigenen Rechner/ einem Gerät aus dem eigenen Netzwerk verschickt.

In Zeile 3 sieht man die Adresse des Postausgangsservers, hier "plmler2.mail.eds-com". Dieser Server gehört zu einem Unternehmen namens EDS; bei diesem habe ich aber gar keinen Account. Meine Adresse ist aber eine bei arcor.de; d.h. es müsste dort ein Server von Arcor angegeben sein, wenn diese Mail über meinen Account versendet worden wäre. Würde dort aber tatsächlich ein Arcor-Mailserver angegeben, dann würde das heißen, dass die Mail doch über meinen Account verschickt wurde. Das heißt, dass jemand mit einem fremden Computer (selena2007...) über einen fremden Provider (Tenet) auf meinen Account zugegriffen hätte.

vgl. ein Beispiel hier: https://www.computerbase.de/forum/t...emand-meine-mail-adresse.801697/#post-8652101

Mögliche Kombination der Zeilen (im Falle von Spam und infizierten Mails) und deren Folge:

Spoiler: Backscatter-Spam

Zeile 2: Fremder Rechner
Zeile 3: Fremder Postausgangsserver
-> Backscatter-Spam. Kann man nichts gegen machen. Man sollte von Anfang an darauf achten, wo man die eigene Mail-Adresse postet (im Beispiel oben handelt es demnach um Backscatter-Spam)

Spoiler: Malware versendet Mails vom eigenen Rechner

Zeile 2: Eigener Rechner
Zeile 3: Fremder Postausgangsserver
-> Mit hoher Wahrscheinlichkeit läuft auf dem eigenen Rechner Malware, die Mails versendet. Anti-Virenscan machen und ggf. formatieren. Auf Aktivität über TCP-Netzwerkport 25 (smtp) achten.

Spoiler: E-Mail-Account wurde gehackt

Zeile 2: Fremder Rechner
Zeile 3: Eigener Postausgangsserver
-> Jemand kann sich mit einem fremden Rechner in den eigenen Mail-Account (oder zumindest einen Account beim gleichen Provider) einloggen und Mails (mit der eigenen E-Mail-Adresse) verschicken. Unbedingt Passwörter und Kontaktdaten von einem anderen Rechner/ mit der virtuellen Tastatur von Windows prüfen/ ändern. Ggf. befindet sich ein Keylogger auf dem System. Anti-Viren-Scan und ggf. formatieren.

Spoiler: Worst-Case

Zeile 2: Eigener Rechner
Zeile 3: Eigener Postausgangsserver
-> Malware oder ein anderer User verschicken vom eigenen Rechner über den eigenen Account Spam. Passwörter und Kontaktdaten des Accounts und Systems ändern; formatieren.

[*] Ich habe bei einer Test-Mail gerade festgestellt, dass manche E-Mail-Provider ihre Mails sehr verschachtelt verarbeiten, d.h. sie quasi intern erst noch ein paar Mal hin- und herschicken und sie dabei wahrscheinlich auf Spam oder Viren prüfen. Irgendwo im Quelltext der Mails finden sich die angebenen Zeilen 2 und 3 aber immer.

 

[stuf_03]

Hallo, ich habe auch das Mailer Daemon Spam Problem.

Ich habe versucht die Spams nach deiner Klassifizierung einzuordnen, aber ich bin mir nicht sicher, da bei der Spam "Received:... by mail.gmx.com" steht, die IP bei "from unknown" ist schon mal nicht meine, ich denke die ist aus Kasachstan. Jetzt habe ich eine absichtliche Mailer Daemon Benachrichtigung generiert. Da steht als Provider "3capp-gmx-....." Also müsste es sich um Back Scatter Spam handeln, oder?

SPAM
Received: from mailout-us.gmx.com ([172.19.198.46]) by mrigmx.server.lan
(mrigmxus002) with ESMTP (Nemesis) id 0M7KFe-1V0FyI1Yko-00x3fK for
<m.loreen@comcast.net>; Tue, 12 Mar 2013 17:44:32 +0100
Received: (qmail invoked by alias); 12 Mar 2013 16:44:31 -0000
Received: from unknown (EHLO localhost) [176.108.86.64]
by mail.gmx.com (mp-us006) with SMTP; 12 Mar 2013 12:44:31 -0400

ECHTE MAILER DAEMON
Received: from 3capp-gmx-bs27.server.lan ([172.19.170.79]) by
mrigmx.server.lan (mrigmx002) with ESMTP (Nemesis) id
0Mgr1C-1U3MeG15Lk-00M6s8 for <support@gmx.de>; Fri, 15 Mar 2013 15:39:12
+0100
Received: from [188.23.1.92] by 3capp-gmx-bs27.server.lan with HTTP; Fri Mar
15 15:39:12 CET 2013

Ich habe mein Passwort, von einem definitiv sauberen Rechner, geändert, das hat aber leider nichts gebracht. Die Spams haben nicht aufgehört. Ich habe auch keine gescheiterten LogIn-Versuche.
Witzigerweise habe ich ein zweites GMX-Konto, bei dem ich sogar das gleiche Passwort hatte, der aber nicht betroffen ist. Malwarebytes und ZoneAlarm haben auch nichts gefunden.