Unerklärlicher Spamversand von eigenem E-Mail Konto bei Strato

[Dovahkiin311]

Hallo,
ich habe seit etwa 3 Jahren eine Homepage bei Strato gehostet, über die auch einige E-Mail-Konten laufen. Vor etwa 2 Wochen habe ich festgestellt, dass von meinem privaten Konto also alex@firmenname.de Spam-Mails an sämtliche Kontakte raus gingen, mit denen ich jemals in Kontakt stand. Natürlich habe ich dann sofort das Passwort geändert, aber einige Tage später gingen schon wieder Mails raus. Nun habe ich das Passwort erneut geändert, inklusive dem Masterpasswort und meinem Zugangspasswort zu Strato. Jedes Passwort ist individuell, besitzt mehr als 10 Zeichen inklusive großer/kleiner Buchstaben, Zahlen und Sonderzeichen. Außerdem habe ich das Passwort auf keinem Gerät eingegeben und meine E-Mail Adresse vollständig deaktiviert und in den Strato-Einstellungen SSL erzwungen. Trotz alledem werden weiterhin Spam-Mails von meinem Account an alle jemals kontaktierten E-Mail-Adressen verschickt. Bei allen anderen Adressen (info@firmenname.de etc.) gibt es keine Probleme. Meiner Meinung nach kann es unter diesen Umständen überhaupt nicht mehr an mir liegen, Strato stellt sich allerdings taub und sagt, es wäre definitiv mein Fehler, ich hätte einen Virus oder ein zu unsicheres Passwort. Was kann ich noch tun, außer den oben genannten Maßnahmen und wie soll ich vorgehen, falls es - wie ich denke - ein Sicherheitsproblem von Strato ist?
Vielen Dank im Voraus für eure Hilfe!

 

[mr999]

Jo, sowas nennt sich Keylogger. Deshalb das Passwort nur von einem nicht infizierten System ändern.

 

[Dovahkiin311]

Die Problematik ist mir durchaus bekannt und bei der letzten Änderung habe ich das Passwort von einem anderen Rechner aus geändert, welcher sich in einem anderen Netzwerk befindet und definitiv nicht infiziert ist. Außerdem haben weder die Kaspersky Rescue-CD, noch Malwarebytes, noch eine andere Software irgendetwas auf einem meiner Rechner gefunden.

 

[uhrzeit]

Woher weißt du dass Mails über den Account verschickt werden? Bekommst du die Info von Bekannten oder sind unter gesendete Nachrichten Spammails zu sehen?

Wenn du von Bekannten die Info bekommen hast. Wie sehen die Mails aus? Sind die Empfänger alle sichtbar? Evtl. Zusammenhang mit Mailverteilern in denen du mal drin warst? Sind Empfänger dabei die du nicht kennst?

Ich habe aktuell ein ähnliches Problem mit einem Mailkonto bei Yahoo. Hier weiß ich aber, dass das Konto clean ist. Die Mails werden (rückverfolgbar) von Servern aus Russland und China verschickt. Die IPs lassen sich nicht zu Yahoo zurückverfolgen und im Absender wird lediglich die Mailadresse des Betroffenen gefälscht. Tatsächlich stammt die Mail von einer anderen Adresse.

Falls du Zugang zu einer der Spammails hast. Schick mir doch mal den Mailheader per PN zu

Ansonsten kannst du bei Strato mal nachfragen ob sie dir die Logfiles zu deinem Account bzw. zu dem Mailkonto zukommen lassen können. Also wer sich wann von wo aus mit welchem Konto angemeldet hat. von welcher IP-Adresse (evtl. rückverfolgbar über Websession/versendender SMTP-Client) wurden die Mails verschickt?

Gibt es ansonsten evtl. einen PC von dem aus du dein Mailkonto abrufst der nicht unter deiner Kontrolle ist? Arbeit/Uni/Freunde/Internetcafe etc.

 

[McDonalas]

Landen diese E-Mails denn unter Gesendet?
Man kann die Absenderadresse ja so aussehen lassen, als ob es deine wäre, sodass die Empfänger dich für den Absender halten.

 

[HominiLupus]

Was steht im Header dieser Spammails? Alle Zeilen die mit "Received" anfangen.

 

[Dovahkiin311]

Ich habe die Infos von Bekannten, welche die Spam-Mails von mir bekommen. Unter gesendete Nachrichten ist absolut nichts zu finden, nur die zuletzt von mir selbst versendeten Nachrichten. Allerdings habe ich Fehlermeldungen per E-Mail in den Posteingang bekommen, dass einige Empfänger nicht erreichbar waren und die E-Mails daher nicht zugestellt werden konnten.

Edit: Weil mehrere von euch helfen wollen, hier mal der Header für alle:

Edit 2: Die Nachrichten erscheinen nicht unter den gesendeten Mails, allerdings gehen sie gezielt an alle meine Kontakte, die wer auch immer ja irgendwoher haben muss.

Edit 3: Das private E-Mail-Konto habe ich nur von 4 Geräten (privater PC, Laptop, Smartphone und Tablet) aus genutzt, die aber meines Wissens nach nie einen Virus hatten. Das neue Passwort hatte ich aber auf keinem der Geräte eingegeben. Das mit den Logfiles werde ich versuchen, frage ich morgen früh direkt an.

Spoiler: Header

X-Envelope-From: <>
X-Envelope-To: <alex@(firmenname).de>
X-Delivery-Time: 1441920864
X-UID: 8838
Authentication-Results: strato.com 1;
spf=none
smtp.helo="omx22.esk.m4.zaq.ne.jp";
dkim=none;
domainkeys=none;
dkim-adsp=none
header.from="Postmaster@home.ne.jp"
X-Strato-MessageType: email
X-RZG-CLASS-ID: mi
Received-SPF: none
client-ip=2001:ff0:208d:2:1:1:f000:b2;
helo="omx22.esk.m4.zaq.ne.jp";
envelope-from="";
receiver=smtp.rzone.de;
identity=helo;
Received: from omx22.esk.m4.zaq.ne.jp ([IPv6:2001:ff0:208d:2:1:1:f000:b2])
by smtp.rzone.de (RZmta 37.12 OK)
with ESMTP id y04d09r8ALYNzz0
for <alex@(firmenname).de>;
Thu, 10 Sep 2015 23:34:23 +0200 (CEST)
To: alex@(firmenname).de
From: Mail Administrator <Postmaster@home.ne.jp>
Reply-To: <Postmaster@esk.m4.zaq.ne.jp>
Subject: Mail System Error - Returned Mail
Date: Fri, 11 Sep 2015 06:34:22 +0900
Message-ID: <20150910213422596.SYVV.8366.omx22.esk.m4.zaq.ne.jp@omx22.esk.m4.zaq.ne.jp>
MIME-Version: 1.0
Content-Type: multipart/report;
report-type=delivery-status;
Boundary="===========================_ _= 6915684(8366)1441920862"

 

[Picus]

To: alex@(firmenname).de
From: Mail Administrator <Postmaster@home.ne.jp>

Laut dem Header gehen die Mails an dich oder hab ich da was falsch verstanden?

Wie ist der Mail Service denn gehostet? Eigenbau oder Fertigpaket?

 

[helionaut]

Ich denke das ist der Header von einem Bounce, man bräuchte aber den Header vom Spammail.

 

[HominiLupus]

Alle Indizien deuten auf einen Joejob. Das ist ein bekannter Begriff, den kannst du googeln.

 

[Dovahkiin311]

Die Mail ging an mich, weil es eine Return-Mail war. Von denen bekomme ich einige, weil ein paar der Kontakte nicht erreichbar sind oder die Mails ablehnen. Habe meine Bekannten gesagt, sie sollen mir bitte den Header einer der E-Mails schicken, allerdings haben sie die Mails wohl direkt gelöscht. Im angehängten Header steht aber irgendetwas von Postmaster@esk.m4.zaq.ne.jp, was mir durchaus etwas seltsam vorkommt. Strato oder einer meiner Kontakte wird wohl kaum Server in Japan haben. Sobald ich einen originalen Header bekomme, hänge ich ihn an.

Edit: Das E-Mail-Konto ist in einem Standardpaket bei Strato und unabhängig von der Website. Gibt es für mich irgendeine Möglichkeit etwas dagegen zu tun? Ich habe ja selbst keinen Zugriff auf Einstellungen zur Absenderauthentifizierung oder ähnlichem.

 

[NameHere]

warum laüft das über eine japanische domain/server? (ne.jp)
wenn du nich gerade in japan bist, dann sollte auch nichts über ne.jp kommen

 

[IzeMan_FRT]

Offensichtlich hat oder hatte ein Hacker zugriff auf dein Adressbuch. Der Rest läuft dann über Spoofing, d.h. mit gefälschtem Absender. Die Emails werden also nicht über deine Domain verschickt sondern tarnen sich nur als diese. Soweit ich den Header richtig deute wird ein Mailserver in Japan dafür missbraucht. Da kannst du, gerade bei Strato, wenig machen. Wir haben auf der Arbeit dezeit das gleiche Problem und Strato schert das überhaupt nicht.
Dennoch solltest du erstmal in den DNS Einstellungen SPF aktivieren. Dadurch können die Empfänger bzw. die Mailserver die Spoofing-Mails theoretisch frühzeitig als Spam erkennen, da der Mailserver des Absenders - einfach gesagt - nicht zur Domain passt. DKIM oder DMARC, wären noch hilfreich sucht man bei Stato aber vergebens... wir werden daher den Hoster baldmöglichst wechseln. Ironischerweise hat mir sogar der technische Support bei Strato einen Wechsel mit den Worten "ich würde das Paket privat auch nicht nutzen" empfohlen

 

[helionaut]

Der Header der unzustellbaren Mail müsste im body von einigen Bounces enthalten sein.

 

[uhrzeit]

Also. Die mails Stammen von einem Server mit folgender Domain: omx22.esk.m4.zaq.ne.jp

Helo und die Received Domain stimmen überein. Die letzte Received Zeile ist eben auch nicht fälschbar und bleibt auch nach einem BOUNCE erhalten.

Received: from omx22.esk.m4.zaq.ne.jp ([IPv6:2001:ff0:208d:2:1:1:f000:b2])

Ich hab die Domain gerade mal gegooglet und natürlich auch einige Spammail Header entdeckt. Die Mail wurde demnach nicht von deinem Server verschickt sondern stammt aus Japan.

Strato verwendet außerdem keine IPv6 Adressen bei seinen Mailservern. Auch das ist ein Indiz bzw. eher Beweis dafür dass die Mail nicht von dir stammt. Dein Konto dürfte demnach sauber sein.

Um die Frage zu klären wie die Hacker an die Mailadressen gekommen sind: Bei dem Betroffenen Yahoo Konto von dem ich oben sprach ist folgendes passiert: Bei einem Hackerangriff auf die Yahoo Datenbanken wurden Emails aus dem Konto abgegriffen. Dort waren natürlich auch Mails mit mehreren Empfängern dabei (sowohl selbst verschickte als auch erhaltene Mails von anderen Kontakten). Seither erhalten Empfänger dieser Mails vermeindliche Mails mit irgendwelchen Links von diesem Yahoo Konto aber eben auch von anderen Konten die dort nur Empfänger waren. Die Mails und die Header sind natürlich gefälscht. So wurden die Adressen abgegriffen.

Ich gehe in deinem Fall aber nicht davon aus dass Strato gehackt wurde. Vielmehr denke ich, dass entweder du oder einer deiner Bekannten einen Virus auf dem PC hat(te) der die Kontakte/Empfängerlisten abgegriffen hat. Du warst dort entweder als Absender oder als Empfänger eingetragen. Diese Maillisten werden nun für Spam missbraucht...

Bleibt die Frage was du dagegen tun kannst: Leider muss ich dir an dieser Stelle sagen, dass deine Möglichkeiten hier sehr begrenzt sind, da die Mails nicht über deinen Account verschickt werden. Im Grunde ist das einzige was du tun kannst allen Empfängern der Mails mitzuteilen, dass die Mails nicht von dir stammen. In vielen Fällen wird auch nur der Absendername aber nicht die Mailadresse gefälscht. Also sollten deine Empfänger auch die Absender details vergleichen und auf komische Mailadressen überprüfen.

Am Versand der Spammails kannst du leider nicht viel ändern.

 

[Dovahkiin311]

Okay, dann wird das einfachste wohl sein, mir eine neue Mailadresse einzurichten und allen zu sagen, sie sollen die alte blocken. SPF habe ich trotzdem mal aktiviert, danke für den Tipp.

PS: In der ersten Mail, die ich bekommen habe, stand übrigens der Name eines Bekannten und dort stammten auch die anderen Adressen nicht aus meiner Kontaktliste. Ich vermute, dass das Übel daher kommt, allerdings frage ich mich trotzdem, wie sie dann an mein Adressbuch gekommen sind.

PSS: Vielen Dank allen für die schnelle Hilfe und Beratung.. sollte Strato sich dringend mal ein Beispiel dran nehmen

 

[uhrzeit]

Löschen würde ich die Adresse erstmal nicht. Der SPF kann schon Wunder bewirken.

Da man nicht weiß, woher genau die dein Adressbuch bzw. die Mailadressen haben ist das schwer zu sagen. Ich gehe eher davon aus, dass eine Mailingliste generiert wird aus allen Mails in denen auch deine Adresse enthalten war.

Ich habe neulich auch eine solche Mail von jemandem Bekommen den ich nicht mal kenne. Auf dem Geburtstag eines Kumpels sind wir durch Zufall darauf zu sprechen gekommen und ich habe ihm die Mail gezeigt. Und siehe da. Die Empfänger waren dieselben wie die, die letztes Jahr die Geburtstagseinladung der Freundin meines Kumpels bekommen haben

 

[engine]

sorry, alex..., wenn das srimmt, ist keine besonders "sichere" E-Mail-Adresse.
Die hat einer erraten und legt halt los...

Ergänzung (25. September 2015)

Du musst die alex-Adresse löschen, keine Chance.