Hilfe für unerwünschte Mails

walch

Thunderbird-Version: 17.0.2
Betriebssystem + Version: Windows 7 Home
Kontenart (POP / IMAP): POP (?)
Postfachanbieter (z.B. GMX): Hotmail (?)

Hallo Freunde von Thunderbird

Vielleicht kennt jemand das Problem und kann mir helfen!!

Ich bekomme seit kurzem Mails unter meinem Namen geschickt.
Das Mail wird an mir bekannte Leute inkl. mir geschickt.
Dieses stammt garantiert nicht von mir und hat als Inhalt irgeneinen Link.

Als Absender wird meine Hotmail-Adresse eingesetzt, aber z.B.: im Outlook wird kein Versand angezeigt

Besten Dank für einen Hinweis

Erich Walch

Peter_Lehmann

Hallo Erich,

ja, so was passiert ... .
Es gibt zwei Möglichkeiten:

Jemand hat "nur" deine Identität geklaut (Einbruch auf irgend einem Server, wo dein Benutzername und die Mailadresse gespeichert war, bei deinem Provider, irgend einer Firma oder auf dem PC einer Person, bei welcher diese Daten vorliegen), oder
dein PC wurde von Verbrechern übernommen, welche ein so genanntes Botnetz betreiben, Tausende von privaten PC aus der Ferne steuern und Massenhaft SPAM versenden.

Schau dir mal diesen Beitrag und vor allem die dort gegebenen Hinweise an: seite heute ständig "Mail delivery failed: returning message

Bei weiteren Fragen helfe ich gern weiter.

NB: die bei einem neuen Thread gestellten Fragen hinsichtlich der Kontoart (POP3 oder IMAP) und seines eigenen Mailproviders sollte man schon beantworten können. Das steht alles in den Konteneinstellungen.

MfG Peter

walch

Danke an Peter für die schnelle Antwort

Zuerst zu Deiner Antwort: Ich habe im Kopf hingeschrieben: POP und Hotmail mit einem Fragezeichen weil dies in der Kontodefinition so steht, aber die Mails nicht aus meiner Hotmailumgebung stammen

Nun noch eine ergänzende Frage:

Helfen die im Kopf angezeigten Werte eventuell etwas?

X-Account-Key account7 Diese Angabe in "Informationen zur Fehlerbehebung" in Thunderbird weist auf ein Konto in live.com hin

Nachrichten-ID DUB117-W223AB...... @phx.gbl

Gruss

Erich Walch

Peter_Lehmann

Zitat von "walch"

Zuerst zu Deiner Antwort: Ich habe im Kopf hingeschrieben: POP und Hotmail mit einem Fragezeichen weil dies in der Kontodefinition so steht, aber die Mails nicht aus meiner Hotmailumgebung stammen

OK. Jetzt verstehe ich das.
Wir wollen nur wissen, was die eigenen Bedingungen sind.

Zitat

Nun noch eine ergänzende Frage:
Helfen die im Kopf angezeigten Werte eventuell etwas?

Die Headerzeilen bieten immer wertvolle Hinweise! Sie helfen also nicht nur etwas!

Du kannst gern hier die vollständigen Headerzeilen einer derartigen Mail posten. Bitte setze sie in "Code"-Tags (obere Leiste) und verfremde die Mailadressen etwas (=> "eigene_Mail@hotmail.com" und "Absender@sein_Provider..")
Zumindest kann ich daraus entnehmen, ob du der (unbewusste) Absender bist oder ein anderer.

MfG Peter

walch

So sieht der Kopf aus

Code

Von                                 deine_Adresse@hotmail.com
          Betreff
          An                                   diverse Adressen
          Nachrichten-ID                <DUB117-W223AB9E755A5C0E01BB8EE51E0@phx.gbl>
          X-Account-Key                account7
          X-UIDL                             FFE82708-6B11-11E2-86B8-001E0BCBFD0A

und im Body steht

HTML

From - Thu Jan 31 08:37:22 2013
X-Account-Key: account7
X-UIDL: FFE82708-6B11-11E2-86B8-001E0BCBFD0A
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
x-store-info:Ru8Mzrcu9Bi87krfImffoGU6zyI7zQxEp1h8U8adSIiNhLNnZ4sg1psJ8P9VEu+ESpsHI8PhdgazpgeQCanZdFg7EsJmxLR55b2jjShGk+8WVYZ7OhpD5PKoNiGhT6VD8VtE19Xe9pk=
Authentication-Results: hotmail.com; spf=pass (sender IP is 157.55.2.82; identity alignment result is pass and alignment mode is relaxed) smtp.mailfrom=deine_Adresse@hotmail.com; dkim=none (identity alignment result is pass and alignment mode is relaxed) header.d=hotmail.com; x-hmca=pass
X-SID-PRA: deine_Adresse@hotmail.com
X-AUTH-Result: PASS
X-SID-Result: PASS
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0wO0Q9MDtHRD0wO1NDTD0w
X-Message-Info: F1h93+U2OPF+BpfsKqFi28o7b5Y8B7g3s7SiPG+4cicJRKSBjEhowaVVpBjBe/VR6NohuRB1QKw0BffiWRQwjc1DeF4DRC+SfsM8NFCyLAt9MKxSvPZCjhItJleUPizXBvaF6kzhiY8AlsW8jkPHf0VlVtwtQWG6
Received: from dub0-omc4-s7.dub0.hotmail.com ([157.55.2.82]) by BAY0-HMMC1-F16.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
	 Wed, 30 Jan 2013 11:19:48 -0800
Received: from DUB117-W2 ([157.55.2.71]) by dub0-omc4-s7.dub0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
	 Wed, 30 Jan 2013 11:18:57 -0800
X-EIP: [Xlb+edg9ccsdDd877iT7abtSYMorVR/J]
X-Originating-Email: [deine_Adresse@hotmail.com]
Message-ID: <DUB117-W223AB9E755A5C0E01BB8EE51E0@phx.gbl>
Return-Path: deine_Adresse@hotmail.com
Content-Type: multipart/alternative;
	boundary="_bd2c90e4-dccf-4889-80e6-a46c35898ed5_"
From: Dein Name <deine_Adresse@hotmail.com>
To: <Empfänger1@datacomm.ch>, <Empfänger2@hotmail.com>,
	<deine_Adresse@hotmail.com>, <Empfänger3@sunrise.ch>
Subject:
Date: Wed, 30 Jan 2013 20:18:57 +0100
Importance: Normal
MIME-Version: 1.0
X-OriginalArrivalTime: 30 Jan 2013 19:18:57.0786 (UTC) FILETIME=[A6E6D5A0:01CDFF1E]




--_bd2c90e4-dccf-4889-80e6-a46c35898ed5_
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable







http://www.wilsonquinteiro.com.br/anxietyeggjasonevans/ 		 	   		  =




--_bd2c90e4-dccf-4889-80e6-a46c35898ed5_
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable




<html>
<head>
<style><!--
.hmmessage P
{
margin:0px=3B
padding:0px
}
body.hmmessage
{
font-size: 10pt=3B
font-family:Tahoma
}
--></style></head>
<body class=3D'hmmessage'><div dir=3D'ltr'>
<font style=3D"font-size: 10pt=3B" size=3D"2" face=3D"Tahoma "><a name=3D"m=
yxlmlarff" title=3D"biekr" href=3D"http://www.wilsonquinteiro.com.br/anxiet=
yeggjasonevans/">http://www.wilsonquinteiro.com.br/anxietyeggjasonevans/</a=
></font> 		 	   		  </div></body>
</html>=




--_bd2c90e4-dccf-4889-80e6-a46c35898ed5_--

Alles anzeigen

Nun noch eine Frage: Früher, wo ich den Provider Sunrise hatte, konnte man Mail's zum Checken schicken.
Dies scheint es nicht mehr zu geben Ode?

Danke nochmals und Gruss Erich

EDIT: ich habe deine Mailadresse entfernt um Spam-Robots die Freude daran zu nehmen. Sollte ich gegen Dein Interesse gehandelt haben, wofür ich mich dann schon jetzt im voraus entschuldige, kannst Du mit "Ändern" den alten Zustand wieder herstellen! Mod. Pe_Le

Feuerdrache

Hallo Erich,

in Deinem zweiten Code-Tag ist mehrmals Deine vollständige E-Mail-Adresse lesbar! Bitte anonymisiere diese entsprechend dem Vorschlag von Peter_Lehmann.

Du möchtest doch nicht, dass Deine Adresse (sofern nicht bereits schon gekapert worden ist) jetzt als Spam-Adresse genutzt werden kann.

Gruß
Feuerdrache

Peter_Lehmann

@Feuerdrachen:
Danke.
Ich sitze nur gerade im Auto, und kann (will) es auf meinem kleinen Spielzeug nicht ändern.
Vielleicht ein anderer Mod?

@Erich:
Nach kurzem Drüberschauen mit dem Handy äußere ich die Vermutung, dass du (dein Rechner) der Absender dieser Mail bist/ist. Also, dass auch bei dir die böse Variante 2 zutrifft.

Ich schaue mir das alles zu Hause nochmal an, du solltest aber schon mal die in meinem Link geposteten Maßnahmen andenken.

MfG Peter
Getippselt im Auto per Tapatalk 2 auf meinem SGS3.

Peter_Lehmann

So, wieder an einer ordentlichen Tastatur ... .
Auch wenn es IMHO jetzt keinen Sinn mehr macht, habe ich die Adressen etwas anonymisiert.

Auswertung der mir vorliegenden Headerezeilen:
Gesendet von der IP: 157.55.2.82 = hotmail
Postausgang: smtp.mailfrom=deine_Adresse@hotmail.com;
Absenderadresse: From: Dein Name <deine_Adresse@hotmail.com>
Empfänger: To: <Empfänger1@datacomm.ch>, <Empfänger2@hotmail.com>, <deine_Adresse@hotmail.com>,<Empfänger3@sunrise.ch> => entweder aus deinem Adressbuch oder mit Zufallsgenerator
http://www.wilsonquinteiro.com.br => könnte eine Adresse sein, für welche gespammt wird

Und was ich völlig vermisse, ist eine Angabe des "User-Agent", welcher in diesem Beispiel auf ein Senden mit dem Thunderbird unter Linux hinweist:
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:17.0) Gecko/20130107 Thunderbird/17.0.2

Alle diese Angaben sagen mir, dass mit sehr großer Wahrscheinlichkeit die betreffende Mail von deinem PC gesendet wurde. Dabei wurde nicht dein Thunderbird genutzt, sondern eine "Sendeengine", welche sich nicht zu erkennen gibt. Typisch für einen Rechner, welche von außen gesteuert wird und Mitgleid eines Botnetzes ist.

Was durch einen sicherheitsbewussten User jetzt zu tun ist, steht in meiner ersten Antwort. Bitte untersuche deinen Rechner oder lasse das von jemandem machen, der wirklich etwas davon versteht!

Alternative: jeder Provider bekommt mit, dass er einen gekaperten Rechner mit "Internet" versorgt und wird, wenn es überhand nimmt, diesen Rechner vom Netz nehmen. Zumindest ist das in Deutschland bei einigen Providern zum Schutz der anderen Nutzer so üblich - und das ist auch gut so!

Bitte beachte meine Hinweise.

MfG Peter

SusiTux

Hallo,

Zitat von "Peter_Lehmann"

Und was ich völlig vermisse, ist eine Angabe des "User-Agent" ...

Ich vermisse außerdem die IP des Senders bzw. dessen Internetproviders. Ein Beispiel aus einer alten E-Mail an eine meiner gmx-Adressen:

Code

Received: (qmail invoked by alias); 31 Aug 2012 15:16:58 -0000
Received: from mo-p00-ob.rzone.de (EHLO mo-p00-ob.rzone.de) [81.169.146.162]
  by mx0.gmx.net (mx078) with SMTP; 31 Aug 2012 17:16:58 +0200
X-RZG-AUTH: :P2kGdFO8cv4hv8h6HDqnUZ7/C+WioeqAUFrcKlCnPAzLHz5m/ZmH0Tpw4z3nkA==
X-RZG-CLASS-ID: mo00
Received: from [192.168.178.30]
	(mnch-5d872e84.pool.mediaWays.net [93.135.46.132])
	by smtp.strato.de (jored mo32) (RZmta 30.12 DYNA|AUTH)
	with ESMTPA id V01ca0o7VE5Qps ; Fri, 31 Aug 2012 17:16:36 +0200 (CEST)
Message-ID: <5040D556.4090804@xxxyyy.de>
Date: Fri, 31 Aug 2012 17:16:38 +0200

Alles anzeigen

Darin erkennt man den gesamten Weg, von der lokalen IP, über den Internet-Provider und den Provider des sendenden E-Mail-Accounts/SMTP:

192.168.178.30: lokale IP des Absenders
93.135.46.132: Telefonica Deutschland, Internetprovider des Absenders
81.169.146.162: Strato, Host des E-Mail-Accounts des Absenders

Im Header, den walch gepostet hat, sehe ich nur die Hotmail-Adressen - keine Adresse eines Internetproviders oder gar eine lokale IP.
Ich kann nicht mit Sicherheit sagen, was das zu bedeuten hat, aber ich bin mir nicht sicher, dass die E-Mail von walchs PC gesendet wurde. Es scheint, als wäre außer Hotmail niemand an dem Versand beteiligt. Möglicherweise hat der Fehler bzw. Einbruch direkt dort stattgefunden. Ziemlich rätselhaft.

Gruß

Susanne

Hilfe für unerwünschte Mails

Community-Bot 3. September 2024 um 20:10

Thunderbird 138.0.2 veröffentlicht

Thunderbird 128.10.2 ESR veröffentlicht