Angeblich tonnenweise unzustellbare Mails! Wo steckt der Bot?

Seit heute Nacht kriege ich tonnenweise (bisher ca. 300) Mails von z.B. postmaster@hotmail.com, MAILER-DAEMON@yahoo.com usw. mit 'Delivery failure', 'Unzustellbar' u.ä. zu Mails, die ich nie verschickt habe. Ein Grossteil davon ist ursprünglich angeblich über meine privaten Mailadressen (eigene Domain) versand worden, wird aber direkt an meine berufliche Mail-Adresse (völlig andere Domain meines Arbeitgebers) als unzustellbar gemeldet. Dabei (und zur Zeit) laufen zuhause nur zwei 'Rechner': Die FritzBox und meine Heizungssteuerung (Ubuntu-Konsolen-Kiste ohne Internet/Mail-Software, via LAN an Fritze angebunden).
Ich kann erst heute Abend vor Ort nach dem Rechten sehen. Wie gehe ich dabei am besten vor? Für den aktuellen Bot für Router sind FritzBoxen ja angeblich nicht anfällig. Und die Linux-Kiste hat keinerlei direkten Internetzugang. Aber wer/was ist es dann?

Zitat von seahawk1986

Zitat von »habichthugo« Wie gehe ich dabei am besten vor?
Alle Passwörter bei den betroffenen Accounts austauschen und schauen was bei der eigenen Domain und den Mail-Servern, die dafür laufen los ist.

Ich habe keine eigenen Mail-Server, nur die Domain. Alles Weitere läuft über 1&1.

Zitat von mini73

Ein E-Mail ist so geduldig wie ein Briefumschlag. Ich kann da beliebige Absender- und Empfängeradressen drauf schreiben.
Wenn der Empfänger nicht existiert, dann schickt die Post den Brief zurück an den Absender. So ist es mit E-Mails. Dein Account usw. muss nicht zwingend kompromittiert sein (kann aber trotzdem, wer weiß). Einfach mal in den Header der Mails gucken, welche Mailserver da so drin stehen.

Das ist mir im Prinzip schon klar. Mich beunruhigt aber der Zusammenhang zwischen privater Absender-Adresse und Meldung der Fehlsendung an die berufliche Adresse...

So, habe jetzt Mail direkt von 1&1, dass mein E-Mail-Ausgang gesperrt wurde, weil ich zu viele Mails an tote Adressen versand habe. Da muss dann also jemand meine Zugriffsdaten gehackt haben (zwanzig automatisch generierte, cryptische Stellen)?

Zitat von mini73

Wenn die unverschlüsselt übertragen werden (TLS usw. in allen Mailprogrammen aktiv?) hilft das cryptischste Passwort nichts.

Ist sicher so eingestellt, wie 1&1 das vorgegeben hat. Kann ich aber erst feststellen, wenn ich zuhause bin...

Zitat von seahawk1986

Zitat von »habichthugo« Wie gehe ich dabei am besten vor?
Alle Passwörter bei den betroffenen Accounts austauschen und schauen was bei der eigenen Domain und den Mail-Servern, die dafür laufen los ist.

So, Passwörter (via https-Verbindung) geändert. Aber den Versand hat 1&1 ja jetzt eh erst mal gesperrt...

Zitat von seahawk1986

Zitat von »habichthugo« zwanzig automatisch generierte, cryptische Stellen
Wer hat die generiert? Eine böse Methode Crypto zu knacken ist den "Zufalls"generator zu kennen...

KeePass (Win 1.4)!?

Zitat von gda

Wichtiger ist die IP-Adresse des sendenden Mail-Servers. Ist die Absender-IP-Adresse in den Antworten noch zu erkennen?

Naja, in den Rücksendungen steht z.B. 'Received: from <meine Domain>.de ([158.46.189.5])', aber die IP scheint jedes mal eine andere zu sein.

Wie kriege ich denn nun raus, was das Zeugs tatsächlich versendet hat? Im 1&1-Webmailer-Postausgang liegt nix.
Ja, und das das Zeugs z.T. direkt an meine berufliche Adresse reflektiert wird kapier ich gar nicht. Ich habe zwar bei 1&1 eine Weiterleitung geschaltet, in solchen Mails steht aber dann normaler Weise meine private Adresse als Ziel, nicht meine berufliche.

Zitat von mini73

Das scheint eine russische IP-Adresse zu sein...
Siehe hier

Weitere Stichproben ergaben russisch oder weißrussisch. Warum sperrt mir 1&1 dann meinen Mailausgang, wenn das Zeugs gar nicht darüber versendet wurde?

Ok, so sieht sowas aus:

-----Ursprüngliche Nachricht-----
Von: Mail Delivery System [mailto:mailer-daemon@kundenserver.de] 
Gesendet: Mittwoch, 25. September 2013 15:07
An:<meine Privatadresse>.de
Betreff: Mail delivery failed: returning message to sender


This message was created automatically by mail delivery software.


A message that you sent could not be delivered to one or more of its recipients. The following addresses failed:


  <justbalzzehot99gafines@gmail.com>


SMTP error from remote server after RCPT command:
host gmail-smtp-in.l.google.com[173.194.70.27]:
550-5.1.1 The email account that you tried to reach does not exist. Please try
550-5.1.1 double-checking the recipient's email address for typos or
550-5.1.1 unnecessary spaces. Learn more at
550 5.1.1 http://support.google.com/mail/bin/answer.py?answer=6596 t9si31312933eeo.335 - gsmtp


  <ironmac2020@gmail.com>


SMTP error from remote server after RCPT command:
host gmail-smtp-in.l.google.com[173.194.70.27]:
550 5.2.1 The email account that you tried to reach is disabled. t9si31312933eeo.335 - gsmtp




--- The header of the original message is following. ---


Received: from <meine Domain>.de ([178.123.71.164])
	by mrelayeu.kundenserver.de (node=mrbap0) with ESMTP (Nemesis)
	id 0LmeMF-1VxbFf1yEt-00a0wO; Wed, 25 Sep 2013 15:06:32 +0200
Message-ID: <632B4DC6.9A39A279@<meine Domain>.de>
Date: Mon, 13 Aug 2007 01:07:44 +0200
From: "<meine Privatadresse>.de" <<meine Privatadresse>.de>
X-Accept-Language: en-us
MIME-Version: 1.0
To: <jgarozzo@gmail.com>
Cc: <johndors21@gmail.com>,
	<kennyreutzel@gmail.com>,
	<kathyc123@gmail.com>,
	<k3zzer@gmail.com>,
	<heartbroken.js@gmail.com>,
	<ihateschool@gmail.com>,
	<jamestwicd@gmail.com>,
	<heywhatsup119901@gmail.com>,
	<jamie177@gmail.com>,
	<jeremyjones921@gmail.com>,
	<jaiyo95@gmail.com>,
	<justbalzzehot99gafines@gmail.com>,
	<ironmac2020@gmail.com>,
	<pgnwitch@gmail.com>,
	<jayhunter169@gmail.com>,
	<kartik.rk11@gmail.com>,
	<hxcxdjx83@gmail.com>,
	<kelvingrey6@gmail.com>,
	<ohara2k2@gmail.com>
Subject: From beautiful sweetheart
Content-Type: text/html;
	charset="us-ascii"
Content-Transfer-Encoding: 7bit
...