Mail-Log-Files und Spam-Mails

  • Hallo,


    unser Provider (1&1) hat unsere Domain heute früh gesperrt, da angeblich eine hohe Anzahl Mails (Spam-Mails) von unseren Mail-Accounts versendet wurden. Wir haben ein hohes Mail-Aufkommen, drum wird es sich wahrscheinlich um einen Fehler von 1&1 handeln.
    Doch um sicher zu gehen, dass wirklich kein Mist mit unseren Mail-Accounts getrieben wurde möchte ich Einsicht in die Mail-Log-Files nehmen. Diese kann ich (Frau :-)) leider nicht finden. Kann mir jemand helfen und mitteilen, wie ich die Files finde?? Wie kann ich erkennen, ob von unseren Accounts automatisch Mails versendet werden??
    DANKE für eine Antwort!!!

  • Hi Susandra,


    und willkommen im Thunderbird-Forum.
    Ich möchte dir keine allzu große Hoffnung machen, dass sich da 1&1 irren sollte. (Meine Rechner versenden auch teilweise im Minutentakt Statusmeldungen über diverse Prozesse. Es gibt keinen Grund mir deswegen etwas zu sperren.)
    Ein großer Prozentsatz der privaten WinDOSen ist mittlerweile ungewollt und ohne Wissen der Betreiber "Mitglied" in einem der weltumspannenden Botnetze.


    Das bedeutet, diese Maschinen haben sich, meist wegen Sicherheitslücken wie sie in einem ungepatchten System oder uralten Anwendungen auftreten, aber auch durch Interaktion des Nutzers wie den bewussten dummen Klick auf einen unbekannten Anhang, mit Schadcode infiziert.


    Dieser Schadcode, auch "Bot" genannt, lässt sich von seinen Betreibern aus der Ferne steuern. Er besitzt eigene Routinen, welche eine ihm zugeschickte Mail völlig ohne Zutun irgend eines installierten Mailprogrammes an unzählige Adressaten verschicken. Diese Adressaten werden auch gleich noch mit einer entsprechenden Liste geliefert.


    Die Entdeckung derartiger Schadprogramme ist möglich (auch von Frau ...), aber keinesfalls trivial. Einen aktuellen Virenscanner und einen richtig konfigurierten "Firewall" setze ich voraus. Verbiete testweise jeglichen ausgehenden Verkehr, stelle den Lernmodus ein und schau nach, welches Programm raus will. Diese Programme hier posten oder selbst bei google nachsehen, was das ist.
    Dann besorge dir von einem Freund, der die c' t liest, die neueste Knoppicillin. Das ist ein Virenscanner, der von einer Linux-CD bootet und mit drei aktuellen Scannern deinen Rechner scannt. Poste das Ergebnis.
    Alle weiteren Möglichkeiten <sorry> traue ich einem "Normaluser" nicht zu.


    Viel Erfolg!


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    herzlichen Dank für Deine schnelle Antwort . Doch nun geht´s schon los :-)). Wie verbiete ich jeglichen ausgehenden Verkehr und stelle den Lernmodus ein??


    Viele Grüße


    Susandra

  • Ja,
    meine alte Glaskugel ist schon sehr trübe und meine alten Augen werden es auch langsam. Und ich bin auch nicht "Wolfgang", dass ich dir einfach so auf den Rechner schauen kann.
    Will sagen: Wenn du mir nicht den Namen deines "Firewall" nennst, kann ich dir nicht helfen.
    Aber bei jeder kannst du einstellen "Rückfrage bei der Anforderung einer ausgehenden Verbindung". Wie der Text genau heißt, weiß ich nicht, aber wenn du mit wachen Augen durch die Menues gehst, wirst du es finden. Und dann musst du die Regeln, mit denen du vorher ausgehenden Verkehr zugelassen hast, löschen. Dann wirst du bei jeder ausgehenden Verbindung gefragt, ob du das willst. Den Namen des Programmes exakt (!) aufschreiben, die Verbindung zulassen (sonst kannst du u. U. nicht ins Internet) und hier nachfragen.
    Selbstverständlich gibt es Schadprogramme, die sich mit dem Namen eines harmlosen Programms tarnen, aber es ist zumindest ein Anfang.


    Meine Empfehlung: Fange mir dem Virenscan an. Zuerst mit dem hoffentlich installierten Scanner (welcher?) und dann mit der Knoppicillin-CD.
    Und frage in deinem Bekanntenkreis, ob dir jemand helfen kann. Das Thema ist für eine Ferndiagnose einfach zu komplex.


    Ergänzung zu meinem ersten Beitrag:
    Ich wollte es mal wissen, ob 1&1 irgendwelche Grenzen setzt in der Menge an Mails, die man hintereinander absenden darf. Ich spreche jetzt nicht von Mails mit einer übergroßen Anzahl an Adressaten (Massenmails)!
    Dazu habe ich mir schnell ein Script geschrieben und im Sekundenabstand unmittelbar hintereinander 200 Mails mit einer meiner echten Absenderadressen an eine meiner Empfängeradressen geschickt. Selbstverständlich habe ich dazu kein Mailprogramm wie den Thunderbird, sondern den internen Mailserver meines Linuxrechners genutzt.
    Ergebnis: Die "nette Dame" mit der AOL-Stimme kam gar nicht hinterher zu sagen "Sie haben Post" und alle 200 Mails sind gut angekommen ... . (Ich entschuldige mich bei 1&1 für den "Stress", wobei ich kaum glaube, dass dieser aufgefallen ist.)


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • "Peter_Lehmann" schrieb:

    ... Meine Empfehlung: Fange mir dem Virenscan an. Zuerst mit dem hoffentlich installierten Scanner (welcher?) und dann mit der Knoppicillin-CD.
    Und frage in deinem Bekanntenkreis, ob dir jemand helfen kann. Das Thema ist für eine Ferndiagnose einfach zu komplex.


    Hallo Susandra,


    ich darf das Posting von "Peter_Lehmann" ergänzen und ihm voll & ganz zustimmen :!:
    Ein Viren-Scan ist Dein erster Schritt. Das Problem ist auch für einen einigermaßen geübten Anwender nicht leicht bzw. überfordert selbigen bereits meilenweit!


    Ich befasse mich ein wenig mit Bots und erlaube mir daher Dich bei dieser Gelegenheit "sanft" auf ein Neuaufsetzen Deines Rechners vorzubereiten.
    Solltest Du *tatsächlich* ein Zombie sein {also fremdgesteuert}, dann besteht kaum Hoffnung mittels eines einfachen Tricks alles wieder zu beheben.


    Mit Bot-Netzen wird derart viel Geld verdient und diese Angriffe sind derartig GUT durchdacht und gemacht, daß simples reparieren nicht möglich ist [solltest Du denn wirklich betroffen sein!].
    ...
    - Am *Upload* siehst Du ja wieviel Dein frisch gestartetes System sendet.
    - Bei (gut programmierten) Bots siehst Du nicht im 'gesendet Ordner' was & wieviel Du gesendet hast.


    Das ALLERWICHTIGSTE für Dich ist zunächst Klarheit über einen möglichen Befall zu finden.
    [Maleware-Scann ~ eben besonders ratsam "von außen" via bspw. Knoppicillin oder Avira-Rescue-CD].
    Bist Du betroffen, so stellst Du nicht nur eine eklatante Gefahr für alle Deine mail-Partner dar, sondern Du bist Teil eines *kriminellen* Prozesses und tust gut daran die ganze Sache nicht auf die leichte Schulter zu nehmen :!:


    ... so der 'Anmerkung' ist genug! ;)


    Suche Dir ggfs. auch professionelle Hilfe. Abschließen weise ich ~ mal wieder ~ darauf hin wie wertvoll ein sauberes Image des Systems ist! ;)


    MfG ... Vic

  • Hallo Peter,
    Hallo Vic,


    zunächst ganz, ganz herzlichen Dank für Eure Unterstützung.


    Das Problem ist leider etwas komplexer. Mein Rechner ist sauber, den habe ich mit Viren-Scanner überprüft, der hat gottlob nichts gefunden!! Den hat also auch keiner geknackt.


    Mit Hilfe vom 1 & 1 - Team, nachdem sie mir dann mal endlich auf meine zahlreichen Mails und Telefonate geantwortet hatten, konnte ich das Problem lokalisiern. Die Hacker sind direkt an unsere Daten auf den 1 & 1 Server gelangt, haben dort eine Index-Datei geknackt und ein Script hinterlegt, welches munter Mails versendet.
    An wen die Mails gehen weiss ich leider nicht. Meine Mail-Partner jedenfalls sind nicht betroffen. Auf dem Server haben wir ja auch keine Mail-Adressen abgelegt.
    Am Samstag sind insgesamt über 10.000 Mails rausgegangen. Es stimmt also - Peter - dass es sich um mehr als 200 Mails handeln musste :-).
    Wir haben sofort Dateien - die diese Sauköppe dort abgelegt haben - gelöscht, sämtliche Passwörter geändert, Virenscanner über die Dateien laufen lassen etc. etc.
    Trotzdem haben diese, ich weiss nicht, wie ich sie "freundlich" bezeichnen soll, wieder Erfolg gehabt. In der vergangenen Nacht ist es ihnen wieder gelungen über 10.000 Mails zu versenden.
    Eigentlich ist uns das unerklärlich, da mein Neffe - er hilft Frau :-)) - auch eine Sperre eingebaut hatte, welche die Ausführung eines Scripts verhindern sollte.
    Nun haben wir die offensichtlich betroffene Datei erst einmal gesperrt = Nachteil unsere Homepage kann man derzeit nicht aufrufen.
    Die Startseite muss wohl komplett neu programmiert und dann alles in einer Datenbank gesichert werden, damit die Ablage eines Scripts nicht mehr möglich ist - sagt der Fachmann....
    Im Augenblick läuft ein Programm, welches die Zugriffe protokolliert. Wir hoffen, dass wir darüber noch konkretere Infos bekommen, wie die Typen vorgehen und besser noch, um wen es sich handelt....


    Ich vermute fast, dass wir nicht die einzigen 1 & 1 Kunden sind, die es getroffen hat. Mir ist überhaupt unerklärlich, wie man an unseren Zugang kommt....... Es muss für jedes Foto welches ich hochlade eine IP und ein Passwort eingegeben werden. Wie schaffen die es also so einfach alles zu umgehen???


    Im Augenblick befasse ich mich fast nur noch mit diesem Mist, nehme es also nicht auf die leichte Schulter - Vic.


    Nochmals herzlichen Dank für Eure Hilfe!!


    Susandra

  • Hi Susandra,


    nun, es freut mich, dass ihr eine Ursache gefunden habt. Aber dazu später.
    Diese Aussage: "Mein Rechner ist sauber, den habe ich mit Viren-Scanner überprüft, der hat gottlob nichts gefunden!! Den hat also auch keiner geknackt." mag zwar jetzt mit gewisser Sicherheit stimmen, aber wie schon Vic~ sagte, sicher kannst du da nie sein.
    Also relativieren wir es: "Mein Rechner scheint es nicht zu sein ... ."


    Wenn ich das richtig verstanden habe, habt ihr euch einen Server bei einem Provider angemietet. Nun, das kann gegen entsprechende Löhnung jeder machen. Das ist wie LKW-Fahren. Selbst wenn du keine Ahnung hast, kannst du mit deinem PKW-Schein LKW bis zu einer bestimmten Größe fahren. Ob das gut ist, sei dahin gestellt. Mit einem angemieteten Server verhält es sich genau so. Wer keine Ahnung hat, sollte sich keinen "eigenen" Server ans Bein binden! Denn du begibst dich damit auf sehr dünnes Eis. Wenn von diesem Server aus Straftaten begangen werden (Hosting von Kinderpornos, ohne dass du es mit bekommst), dann hält sich die Staatsanwaltschaft zuerst an den Mieter. Ist ja logisch. Und der hat dann das Problem zu beweisen, dass er es nicht war.
    Hier zum Nachlesen: http://www.root-und-kein-plan.ath.cx/


    Und noch eins:
    Wenn ein Server einmal von fremder Hand übernommen war, dann gehört er "plattgemacht und neu aufgesetzt"! So schmerzhaft, wie das auch ist. Alles andere ist verantwortungslos!


    Ich hoffe, dass ich dir nicht den Abend verdorben habe. Aber wir sprechen hier nicht von "... Update gemacht und alle meine Mails sind weg ... "


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    vielen Dank für Deine Rückmeldung.


    Ich kann Dich jedoch beruhigen, denn Du musst denken "was sind das für Trottel".
    Wir haben eine eigene Homepage, die wir schon seit über 9 Jahren erfolgreich "verteidigen".
    Mein Mann ist der Fachmann, doch wie es denn so ist, ist er z.Zt. beruflich ausnahmsweise in England unterwegs und kann auf das Geschehen hier nicht eingreifen. Er ist nur schwer bis gar nicht erreichbar.
    Also hat Frau, die auch keinen LKW fahren kann :-), versucht zu tun was die "Kräfte hergeben". Er kommt übermorgen zurück und wird die Sicherheitslücke problemlos schliessen können. Wie ich ihn kenne wird er auch Deinen Rat befolgen und alles neu "aufsetzen".


    Viele Grüße und nochmals DANKE


    Susandra