Selbstständig Mehrfachmail geschickt

  • TB 6, WIN7, Server imap.web.de


    Hallo an alle TB Freunde.
    Ich habe festgestellt das von mir mehrmals automatisch eine Mail an mehrere Empfänger gleichzeitig geschickt wurde.
    Im " Gesendet " Ordner taucht diese aber nicht auf.
    Ich habe auch noch nie eine Mail an mehrere Empfänger verschickt.
    Hat jemand eine Erklärung dafür.
    MfG mamodent

  • Hallo und willkommen im Forum!

    Zitat

    Ich habe festgestellt das von mir mehrmals automatisch eine Mail an mehrere Empfänger gleichzeitig geschickt wurde.


    Das vermutest du aus welchem Grunde?
    Du bist sicher, dass TB die Mails verschickt hat?
    Malware bringt oft ihren eigenen Mailserver mit.


    Gruß

    Konversationen ohne vorherige Anforderung werden ignoriert..
    Windows 10, 64-bit, immer die aktuelle Thunderbird-Version und ältere Testversionen. Testprofile vorhanden.
    Testkonten bei den meisten größeren Mailanbietern wie GMX, Web.de usw

  • Hallo mamodent,


    in Ergänzung des Beitrages von mrb:


    Der Verdacht eines Befalls mit Schadsoftware (=> unfreiwilliges Mitglied eines Botnetzes!) ist nicht von der Hand zu weisen. Du solltest also in beiden Richtungen suchen, gründlicher Scan mit mehreren AV-Scannern und in deinem Thunderbird.
    Nutze zum Scannen ein Betriebssystem, welches direkt von einer DVD bootet, z. Bsp. "Desinfec´t" von der c´t. Nur so kannst du einigermaßen Sicherheit gewinnen.


    Mir ist noch kein Fall untergekommen, wo der TB (oder ein anderes Mailprogramm) "von sich aus" eine Mail gesendet hat.
    Tipp: Trage in den Konten-Einstellungen aller deiner Mailkonten unter "Kopien & Ordner" ein, dass es alle zu sendenden Mails immer als Blindkopie (BCC) auch an eine dort einzutragende eigene Adresse verschickt. So bekommst du wirklich jede Sendung mit.


    Ich gehe davon aus, dass sich Mailpartner über deine Mails beschwert haben?
    Sollte das sein, dann bitte diese, dir die Mail zur Analyse zurück zu schicken. Du kannst sie im Quelltext hier posten und wir sehen sie uns an. Wichtig: genau durchsehen und sämtliche Mailadressen und Namen anonymisieren und einen vorhandenen Text je nach dessen Inhalt ebenfalls. Provider usw. können/sollten stehen bleiben.


    ODER könnte es evtl. auch sein, dass du die aktivierte Zwischenspeicherung beim Schreiben aller paar Minuten, die sich wie ein Senden anfühlt aber kein Senden ist, mit einem Senden verwechselt hast?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • ODER könnte es evtl. auch sein, dass du die aktivierte Zwischenspeicherung beim Schreiben aller paar Minuten, die sich wie ein Senden anfühlt aber kein Senden ist, mit einem Senden verwechselt hast?



    Also diese Möglichkeit denke ich ist auszuschliessen.
    Den anderen werde ich auf den Grund gehen. Wird aber etwas dauern.


    MfG mamodent

  • Hallo, also diese Mail wird ab und an verschickt.



    Hier kommen eigentlich noch ca. 200 Zeilen



    Z4


    --------------Boundary-00=_UU4PQL80000000000000--

    Einmal editiert, zuletzt von rum () aus folgendem Grund: Code Tags gesetzt, da der Thread dann übersichtlicher bleibt

  • Hallo mamodent,


    Ich habe mir den Quelltext angesehen. Und mir ist auch etwas aufgefallen.
    Ich gehe mal davon aus, dass du das supertolle Klickibunti-Spaßmailprogramm "Incredimail" nicht auf deiner Kiste installiert hast. (Wenn ja, solltest du bei einem sicherlich vorhandenen Incredimail-Forum weiter fragen ... .)
    Ich gehe auch davon aus, dass du bei der Kopie des Quelltextes nicht evtl. wichtige Zeilen entfernt hast. Du kannst selbst nach den unten stehenden Zeilen suchen. Es kann auch sein, dass das Wort "Incredimail" durch die Zurücksendung der Mail von einem der Empfänger reingekommen ist. Trotzdem fehlt dann die beim TB immer erfolgende Authentifizierung durch den "User-Agent".


    Im Quelltext finde ich:

    Code
    1. X-Mailer: IncrediMail (6295036)


    Hier findest du die Bedeutung dieser Zeile:

    Code
    1. Alle mit "X-" beginnenden Headerzeilen sind nicht standardisiert und können von verschiedenen Programmen (oder auch Benutzern) beliebig eingefügt werden. Üblich ist ein Header wie dieser, der die verwendete Software angibt. Ein anderes Mailprogramm produziert stattdessen vielleicht direkt mehrere X-Header, zum Beispiel
    2. X-Mailer: Mozilla 4.05 [de] (Win95; I)
    3. > X-Priority: 3
    4. > X-MSMail-Priority: Normal
    5. > X-Mailer: Microsoft Outlook Express 4.72.3110.1
    6. > X-MimeOLE: Produced By Microsoft MimeOLE V4.72.3110.3


    Quelle zum Selberlesen: http://th-h.de/faq/headerfaq.php3#headerzeilen


    Oder auch hier:

    Code
    1. The X-Mailer mail header field is used to describe the software used in sending the email. If you send an email using Outlook, you'll find an X-Mailer header in your outgoing email that indicates that Outlook sent it, and the version.


    Eine Mail, welche mit dem Thunderbird versendet wurde zeigt an dieser Stelle immer:

    Code
    1. User-Agent: Thunderbird 2.0.0.16 (Windows/20080708)


    oder bei mir unter Linux:

    Code
    1. User-Agent: Mozilla/5.0 (X11; Linux i686; rv:6.0) Gecko/20110812 Thunderbird/6.0



    Ich vermisse also die beim TB immer erfolgende Kennzeichnung des absendenden Programmes, also des TB. An dieser Stelle finde ich den Eintrag für das o.g. Spaßmailprogramm (wenn es nicht wie o.g. eingefügt wurde!)


    Deshalb schließe ich ein unbeabsichtigtes Senden durch den Thunderbird aus!


    Meine - durch einen intensiven Scan mit mehreren, unabhängig vom Betriebssystem funktionierenden AV-Scannern zu bestätigende - Vermutung bzw. deren Ausschluss geht dahin, dass du bzw. dein Rechner sich Schadcode eingefangen hat. Dieses Schadprogramm verwendet für den massenhaften Versand von Spam eine eigene SMTP-Engine, ist also vom installierten Mailprogramm völlig unabhängig. (Evtl. Tarnung als "Incredimail".) Die Vermutung geht weiter, dass du mit gewisser Wahrscheinlichkeit ungewolltes Mitglied eines von kriminellen Organisationen betriebenes Botnetzes bist, welches deinen Rechner fernsteuert und über diesen und Tausende weitere zumindest Spam verbreitet oder auch andere kriminelle Aktionen (Denial of Service – Wikipedia) durchführt.


    Du solltest also durch den intensiven Scan diesen Verdacht entweder ausräumen (und dazu reicht keinesfalls ein Scan durch den auf der WinDOSe laufenden AV-Scanner!!!) oder dich mit der Neuinstallation deines Betriebssystems vertraut machen. Auch dazu kann ich dir mit einigen Tipps helfen.


    Auf jeden Fall solltest du bis zur Abklärung des Verdachts keinesfalls mehr mit diesem Rechner ins Internet gehen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo, also ich habe Deinen Rat befolgt und unter Kopien und Ordner eingetragen, das ich mit BCC eine Nachricht bekomme wenn etwas über meine Konten gesendet wurde.
    Habe ich kontrolliert, funzt auch.
    Habe mein E-Mail Passwort geändert. Bis jetzt wurden keine neuen Mehrfach-Mails mehr gesendet.
    Was mich nur irritiert, das ich den Ordner unter Lokale Ordner, in den ich die Prüfmails die mit BCC zurückkommen,
    nicht öffnen kann. Also auch keine Mails löschen kann.
    Das ist diese Adresse: mailbox:///C|/Users/**************/Lokaler Ordner
    Wo versteckt sich dieser Ordner nur.
    Kann denn wenn diese Mail eine selbsständig handelndes Programm ist, diese aus einem Ordner heraus aktiv werden.
    Und ist dieses Programm verschwunden wenn ich die Mail lösche.
    Virenscanner haben nichts bei mir gefunden.

  • Hi,


    ich bitte dich zu verstehen, dass ich dir an dieser Stelle keine andere Antwort schicken werde, als das, was ich schon geschrieben habe:

    Zitat


    Du solltest also durch den intensiven Scan diesen Verdacht entweder ausräumen (und dazu reicht keinesfalls ein Scan durch den auf der WinDOSe laufenden AV-Scanner!!!) ....
    ...
    Auf jeden Fall solltest du bis zur Abklärung des Verdachts keinesfalls mehr mit diesem Rechner ins Internet gehen.


    Alles andere wäre verantwortungslos - und wird durch mich nicht unterstützt.


    Ich habe bewusst mehrfach von "Verdacht" und "Vermutung" geschrieben. ICH habe natürlich keine Beweise. Ich wünsche dir ehrlichen Herzens, dass ich im Unrecht mit meinen Behauptungen bin. Denke bitte daran, es ist DEIN Rechner, aber es kann auch sein, dass du anderen schadest.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter, ja das habe ich auch so verstandenAber könntest Du mir doch noch sagen wie sich das mit dem Ordner unter
    Lokale Ordner verhält, das wäre super. Danke