Seit heute Nacht kriege ich tonnenweise (bisher ca. 300) Mails von z.B. postmaster@hotmail.com, MAILER-DAEMON@yahoo.com usw. mit 'Delivery failure', 'Unzustellbar' u.ä. zu Mails, die ich nie verschickt habe. Ein Grossteil davon ist ursprünglich angeblich über meine privaten Mailadressen (eigene Domain) versand worden, wird aber direkt an meine berufliche Mail-Adresse (völlig andere Domain meines Arbeitgebers) als unzustellbar gemeldet. Dabei (und zur Zeit) laufen zuhause nur zwei 'Rechner': Die FritzBox und meine Heizungssteuerung (Ubuntu-Konsolen-Kiste ohne Internet/Mail-Software, via LAN an Fritze angebunden).
Ich kann erst heute Abend vor Ort nach dem Rechten sehen. Wie gehe ich dabei am besten vor? Für den aktuellen Bot für Router sind FritzBoxen ja angeblich nicht anfällig. Und die Linux-Kiste hat keinerlei direkten Internetzugang. Aber wer/was ist es dann?
Angeblich tonnenweise unzustellbare Mails! Wo steckt der Bot?
-
-
Wie gehe ich dabei am besten vor?
Alle Passwörter bei den betroffenen Accounts austauschen und schauen was bei der eigenen Domain und den Mail-Servern, die dafür laufen los ist. -
Zitat von »habichthugo« Wie gehe ich dabei am besten vor?
Alle Passwörter bei den betroffenen Accounts austauschen und schauen was bei der eigenen Domain und den Mail-Servern, die dafür laufen los ist.
Ich habe keine eigenen Mail-Server, nur die Domain. Alles Weitere läuft über 1&1. -
Ein E-Mail ist so geduldig wie ein Briefumschlag. Ich kann da beliebige Absender- und Empfängeradressen drauf schreiben.
Wenn der Empfänger nicht existiert, dann schickt die Post den Brief zurück an den Absender. So ist es mit E-Mails. Dein Account usw. muss nicht zwingend kompromittiert sein (kann aber trotzdem, wer weiß). Einfach mal in den Header der Mails gucken, welche Mailserver da so drin stehen.Lars.
-
Deine private Email-Adresse ist in dem Zusammenhang doch völlig uninteressant. Jeder, der deine Email-Adresse kennt, kann Mails versenden und behaupten sie kämen von dir.
Spam-Versender nehmen gerne solche Email-Adressen, weil Mails mit Fake-Adressen gerne von den Mail-Servern der Empfänger rausgefiltert werden.Wichtiger ist die IP-Adresse des sendenden Mail-Servers. Ist die Absender-IP-Adresse in den Antworten noch zu erkennen?
Gerald
-
Ein E-Mail ist so geduldig wie ein Briefumschlag. Ich kann da beliebige Absender- und Empfängeradressen drauf schreiben.
Wenn der Empfänger nicht existiert, dann schickt die Post den Brief zurück an den Absender. So ist es mit E-Mails. Dein Account usw. muss nicht zwingend kompromittiert sein (kann aber trotzdem, wer weiß). Einfach mal in den Header der Mails gucken, welche Mailserver da so drin stehen.
Das ist mir im Prinzip schon klar. Mich beunruhigt aber der Zusammenhang zwischen privater Absender-Adresse und Meldung der Fehlsendung an die berufliche Adresse... -
Das ist mir im Prinzip schon klar. Mich beunruhigt aber der Zusammenhang zwischen privater Absender-Adresse und Meldung der Fehlsendung an die berufliche Adresse...
Vielleicht steht die berufliche Adresse als "reply to" in der Mail. Die Frage ist eher, wer kennt sowohl deine berufliche als auch deine private Adresse. Derjenige könnt gehackt worden sein.Gerald
-
So, habe jetzt Mail direkt von 1&1, dass mein E-Mail-Ausgang gesperrt wurde, weil ich zu viele Mails an tote Adressen versand habe. Da muss dann also jemand meine Zugriffsdaten gehackt haben (zwanzig automatisch generierte, cryptische Stellen)?
-
Wenn die unverschlüsselt übertragen werden (TLS usw. in allen Mailprogrammen aktiv?) hilft das cryptischste Passwort nichts.
Lars.
-
Wenn die unverschlüsselt übertragen werden (TLS usw. in allen Mailprogrammen aktiv?) hilft das cryptischste Passwort nichts.
Ist sicher so eingestellt, wie 1&1 das vorgegeben hat. Kann ich aber erst feststellen, wenn ich zuhause bin... -
Zitat von »habichthugo« Wie gehe ich dabei am besten vor?
Alle Passwörter bei den betroffenen Accounts austauschen und schauen was bei der eigenen Domain und den Mail-Servern, die dafür laufen los ist.
So, Passwörter (via https-Verbindung) geändert. Aber den Versand hat 1&1 ja jetzt eh erst mal gesperrt... -
zwanzig automatisch generierte, cryptische Stellen
Wer hat die generiert? Eine böse Methode Crypto zu knacken ist den "Zufalls"generator zu kennen...[Blockierte Grafik: http://imgs.xkcd.com/comics/random_number.png]
Bei Linux auf MIPS hat das ja auch geklappt: https://lists.openwrt.org/pipe…013-September/021318.html -
Zitat von »habichthugo« zwanzig automatisch generierte, cryptische Stellen
Wer hat die generiert? Eine böse Methode Crypto zu knacken ist den "Zufalls"generator zu kennen...
KeePass (Win 1.4)!? -
Wichtiger ist die IP-Adresse des sendenden Mail-Servers. Ist die Absender-IP-Adresse in den Antworten noch zu erkennen?
Naja, in den Rücksendungen steht z.B. 'Received: from <meine Domain>.de ([158.46.189.5])', aber die IP scheint jedes mal eine andere zu sein. -
-
Wie kriege ich denn nun raus, was das Zeugs tatsächlich versendet hat? Im 1&1-Webmailer-Postausgang liegt nix.
Ja, und das das Zeugs z.T. direkt an meine berufliche Adresse reflektiert wird kapier ich gar nicht. Ich habe zwar bei 1&1 eine Weiterleitung geschaltet, in solchen Mails steht aber dann normaler Weise meine private Adresse als Ziel, nicht meine berufliche. -
Das scheint eine russische IP-Adresse zu sein...
Siehe hier
Weitere Stichproben ergaben russisch oder weißrussisch. Warum sperrt mir 1&1 dann meinen Mailausgang, wenn das Zeugs gar nicht darüber versendet wurde? -
Das musst du die fragen...
Es muss ja auch nicht der einzige Mailserver im Header sein. Meistens stehen da mehrere. Kannst ja mal einen ganzen Header posten, vorher aber deine E-Mail-Adressen anonymisieren, wenn du möchtest.Lars.
-
Ok, so sieht sowas aus:
Code
Alles anzeigen-----Ursprüngliche Nachricht----- Von: Mail Delivery System [mailto:mailer-daemon@kundenserver.de] Gesendet: Mittwoch, 25. September 2013 15:07 An:<meine Privatadresse>.de Betreff: Mail delivery failed: returning message to sender This message was created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients. The following addresses failed: <justbalzzehot99gafines@gmail.com> SMTP error from remote server after RCPT command: host gmail-smtp-in.l.google.com[173.194.70.27]: 550-5.1.1 The email account that you tried to reach does not exist. Please try 550-5.1.1 double-checking the recipient's email address for typos or 550-5.1.1 unnecessary spaces. Learn more at 550 5.1.1 http://support.google.com/mail/bin/answer.py?answer=6596 t9si31312933eeo.335 - gsmtp <ironmac2020@gmail.com> SMTP error from remote server after RCPT command: host gmail-smtp-in.l.google.com[173.194.70.27]: 550 5.2.1 The email account that you tried to reach is disabled. t9si31312933eeo.335 - gsmtp --- The header of the original message is following. --- Received: from <meine Domain>.de ([178.123.71.164]) by mrelayeu.kundenserver.de (node=mrbap0) with ESMTP (Nemesis) id 0LmeMF-1VxbFf1yEt-00a0wO; Wed, 25 Sep 2013 15:06:32 +0200 Message-ID: <632B4DC6.9A39A279@<meine Domain>.de> Date: Mon, 13 Aug 2007 01:07:44 +0200 From: "<meine Privatadresse>.de" <<meine Privatadresse>.de> X-Accept-Language: en-us MIME-Version: 1.0 To: <jgarozzo@gmail.com> Cc: <johndors21@gmail.com>, <kennyreutzel@gmail.com>, <kathyc123@gmail.com>, <k3zzer@gmail.com>, <heartbroken.js@gmail.com>, <ihateschool@gmail.com>, <jamestwicd@gmail.com>, <heywhatsup119901@gmail.com>, <jamie177@gmail.com>, <jeremyjones921@gmail.com>, <jaiyo95@gmail.com>, <justbalzzehot99gafines@gmail.com>, <ironmac2020@gmail.com>, <pgnwitch@gmail.com>, <jayhunter169@gmail.com>, <kartik.rk11@gmail.com>, <hxcxdjx83@gmail.com>, <kelvingrey6@gmail.com>, <ohara2k2@gmail.com> Subject: From beautiful sweetheart Content-Type: text/html; charset="us-ascii" Content-Transfer-Encoding: 7bit ...
-
Ich habe keine eigenen Mail-Server, nur die Domain. Alles Weitere läuft über 1&1.
Was ist das für ein Hosting-Paket? Reine Webseite, virtueller Server oder echter Server?
Womit wird die Domain verwaltet? Wenn das mit einem der typischen Tools (z.B. Plesk) erfolgt, kannst du sicher sein dass die Seite durch eine Schwachstelle gehackt wurde. Seiten die auf Rootservern bei 1&1 gehostet werden sind ein beliebtes Angriffsziel.
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!