Meine Emailadresse wurde als Absender missbraucht

  • Thunderbird-Version: 24.5.0
    Betriebssystem + Version: WIN 8.1 * 64 & WIN 7 * 64
    Kontenart (POP / IMAP): POP
    Postfachanbieter (z.B. GMX): 1&1
    Antivirus-Software: NIS 2014


    Hallo zusammen,


    ich schlage mich aktuell mit dem Problem rum , dass eine meiner Mail-Adressen zum Versand von Mails missbraucht wird.
    Exemplarisch nachstehend der Header eines dieser Mails, die ich angeblich verschickt haben soll. Meine Mail-Adresse ist hierbei fett dargestellt:


    Da nun die genannten Empfänger "meines" Mails nicht existent sind bekomme ich daher fast täglich eine große Anzahl von "Delivery Status Notification (Failure)", die zwar alle schön in den Junk-Ordner wandern, aber das löst nicht das Ursprungsproblem, wie meine Mail-Adresse zu solchen Aktionen missbraucht werden kann.


    Was ich bereits unternommen habe ist folgendes:


    1. Beide Rechner mit MBAM, SAS, A2, Spybot, EU-Cleaner & NIS 2014 vollständig gescannt.
    2. 3 infizierte Mails aus dem Jahr 2010 gefunden und eliminiert.
    3. Meine Mail-Adresse hier https://www.sicherheitstest.bsi.de/ überprüft.


    Resultat aller Prüfungen hat ergeben, dass meine beiden Rechner und meine Mail-Adresse sauber sind!


    Daher, habt Ihr einen Rat, was ich dagegen tun kann oder wie hier beschrieben
    http://www.antispam-ev.de/wiki…_als_Absender_missbraucht
    einfach abwarten und Tee trinken?


    Besten Dank für Eure Hilfe


    Michael

    Viele Grüße


    Michael


    Win 8.1 * 64 & Win 7 * 64 / AV & FW Norton Security 22.12.0.104
    pop.1und1.de:995 SSL/TLS Passwort, normal
    smtp.1und1.de:587 STARTTLS Passwort, normal true

    FRITZ!Box 7490

    Einmal editiert, zuletzt von graba () aus folgendem Grund: Code-Tags gesetzt

  • Hallo Michael,


    es gibt mindestens drei mögliche Ursachen, entweder der Absender wurde schlicht gefälscht, wogegen du überhaupt nichts tun kannst, oder dein PC wurde gekapert (was du ja offenbar vermutest), oder der Spamversender hat auf andere Weise dein Passwort gestohlen, z.B. über den Heartbleed-Bug(was durch Ändern deines Passworts zumindest nachträglich zu stoppen wäre).
    Wie sieht denn der vollständige Mail-Header aus? Was du gepostet hats, ist ja nur die halbe Wahrheit (Strg+U drücken zeigt den Mail-Quelltext).

    Zitat

    Daher, habt Ihr einen Rat, was ich dagegen tun kann oder wie hier beschrieben
    http : //... issbraucht
    einfach abwarten und Tee trinken?


    Wenn Variante 1 zutrifft, ja.
    Was Variante 2 betrifft, kannst du nie sicher sein, weil es keinen 100%ig aussagekräftigen Virencheck gibt (sagt auch Symantec), und 3. dürfte klar sein.


    Gruß, muzel

  • Hallo Michael,


    es sieht so aus, als hättest Du Glück im Unglück. Dem Zeitstempel nach wurde die E-Mail nicht von Deinem Rechner versandt. Wahrscheinlich wurde also lediglich Deine E-Mailadresse als Absenderadresse verwendet. Überprüfe das aber nochmal anhand des Quelltextes.
    Solange diese Adresse weiterhin verwendet wird, kannst Du selbst nichts gegen die Bounce-Mails unternehmen. Da musst Du wohl durch.


    Zitat von "Dinole"

    3 infizierte Mails aus dem Jahr 2010 gefunden und eliminiert.


    Um was für eine Art Infektion handelte es sich denn?


    Die E-Mails allein stellen kein Problem dar, es sei denn, der Schädling wurde ausgeführt. Auch wenn die Scanner nun nichts mehr zeigen, kann das schon noch ein Problem sein. Allerdings würde ich davon ausgehen, dass ein Schädling aus dem Jahr 2010 inzwischen von allen AV-Scannern zuverlässig erkannt und an der Ausführung gehindert wird.


    Ich denke daher nicht, dass die auf Deinem Rechner aktiv sind, wenn sie es denn jemals waren. Aber 100% sicher sein kannst Du Dir nicht. Du könntest Dir die aktuelle Desinfec't besorgen und von dieser DVD scannen lassen. Das ist auch keine Garantie, aber wesentlich zuverlässiger als ein Scan mit dem Scanner eines möglicherweise infizierten Systems.


    Gruß


    Susanne


    (wie ich sehe, etwas zu spät. Aber damit ich es nicht umsonst geschrieben habe, schicke ich es trotzdem ab)

  • Hallo Michael,


    und willkommen im Club ... .
    Es gibt hier als Ursache im Prinzip zwei Möglichkeiten:
    1.) Die Spammer haben "nur" deine Adresse gekauft oder sich anderweitig "besorgt" und missbrauchen diese nun massenhaft als echten Absender. Echt ist diese Adresse ja ... . Und noch nie hat ein Spammer seine eigene Adresse benutzt.
    2.) Dein Rechner ist trotz des negativen Ergebnisses deiner angewandten Scanner (von denen ich maximal den "Norton" als solchen anerkennen würde) infiziert und zum Spambot infiziert worden. Es ist keinesfalls einfach eine derartige Infektion zu erkennen und es gibt allein in Deutschland Millionen ferngesteuerte Rechner, von deren Infektion und Tätigkeit derjenige, der den Rechner mal gekauft hat, keine Ahnung hat. Nicht umsonst wurde unsere "Hightech-Nation" schon mal als "Weltmeister" bezeichnet. Weltmeister in der prozentualen Anzahl infizierter Rechner.
    Korrektur/Ergänzung:
    Ja, heutzutage muss man auch die Möglichkeit in Betracht ziehen, dass die Verbrecher an dein E-Mail-PW gekommen sind, sich dein Konto ebenfalls eingerichtet haben und dann aus diesen ihren Müll versenden. Begründung hat muzel genannt. Ein verantwortungsvoll arbeitender Computernutzer wechselt ja auch regelmäßig und spätestens nach den bekannt gewordenen Sicherheitslücken alle seine Passwörter aus.



    Was tun:
    zu 1.)
    Hier kannst du überhaupt nichts mehr tun! Diese Adresse ist verbrannt und du solltest dich von ihr trennen. Unser Provider bietet dir doch mindestens 50 oder wie bei mir 100 echte E-Mailadressen an. Schmeiß diese Adresse raus (*), und schon hast du Ruhe. Den Betroffenen, also den Empfängern des Müllst kannst du allerdings in keiner Weise mehr helfen.


    zu 2.)
    Einfacher aber ziemlich aussagekräftiger Test, ob dein eigener Rechner nicht selber als Spamschleuder funktioniert: Schalte ihn aus und mehrere Tage oder besser eine Woche nicht mehr an. Kontrolliere per Webmail <gruselig> ob in dieser Zeit trotzdem unvermindert "Delivery Status Notification (Failure)" eintreffen. Sollte das so sein, dann hast du höchstwahrscheinlich Glück gehabt! Dann senden "andere" unter deinem Namen. Kommen auf einmal keine Meldungen mehr an, dann ist der Absender dieser Mails gerade nicht in Betrieb ... .
    Als einzigen aussagefähigen Test auf Befall mit Schadcode akzeptiere ich den Scan mit mehreren (!) aktuellen AV-Scannern, welche nicht von der laufenden WinDOSe, sondern von einem von DVD gestarteten LINUX gestartet und ausgeführt werden. Damit wird wirksam verhindert, dass sich ein moderner Schadcode vor dem laufenden Betriebssystem verstecken kann und ein sauberes OS vorgegaukelt wird. Moderne "Viren" können dieses nämlich perfekt!
    Diese DVD kannst du am 19.05. an jedem Zeitungskiosk mit der an diesem Tag erscheinenden c´t kaufen und die DVD nennt sich "Desinfec´t". Damit wird dein Rechner von insgesamt vier (!) tagesaktuellen Scannern überprüft. Wenn die vier nichts finden, dann kannst du mit recht gutem Gewissen sagen, dass dieser clean ist. Und sollten sie doch etwas finden, dann gibt es für mich nur eine einzige Lösung: Festplatte formatieren und System neu aufsetzen.


    (*)
    An dieser Stelle (wieder mal) meine persönliche SPAM-Vermeidungs-Strategie:
    Mein Provider bietet mir 100 echte E-Mailkonten und in jedem eine unbegrenzte Anzahl von Weiterleitungen an. Also nutze ich diese Möglichkeit auch!
    Ich habe zwei (produktive und ein paar "andere") Mailkonten in meinem Thunderbird eingerichtet. Diese echten Mailkonten werden niemals als Absender genutzt!!! Und dann habe ich eine große Anzahl an Weiterleitungen eingerichtet: für Familie und sehr gute Freunde, für "Bekannte", für Kollegen, ... , für jedes einzelne Forum und auch für jede einzelne Firma eine eigene Adresse. Dazu auch noch ein paar Dummies ("dff86.sbv99d-dfg@online.de" <= Mailadresse aus dem Passwortgenerator!).
    Und sollte eine dieser Adressen verspammt werden, dann wird diese Adresse einfach beim Provider gelöscht und fertig ist. Und ich habe dann maximal einer Handvoll Personen meine neue Adresse mitzuteilen. Denn genau diese Information der Mailpartner ist das, was nach dem Wechsel einer Adresse den Stress verursacht! Und diesen spare ich mir damit!
    Ergebnis: Ab und an mal eine für Foren und Firmen vergebene Adresse gelöscht und ich habe seit Monaten keinen SPAM mehr! Eben SPAM-Vermeidungs-Strategie.


    Viel Erfolg!


    So, ich habe gelesen, dass muzel und Susanne schneller waren als ich. (Ich muss ja "nebenbei" auch noch etwas anderes tun. Ich schicke meinen Beitrag trotzdem ab und lese dann das, was die beiden o.g. geschrieben haben ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "Peter_Lehmann"

    Einfacher aber ziemlich aussagekräftiger Test, ob dein eigener Rechner nicht selber als Spamschleuder funktioniert: Schalte ihn aus und mehrere Tage oder besser eine Woche nicht mehr an. Kontrolliere per Webmail <gruselig> ob in dieser Zeit trotzdem unvermindert "Delivery Status Notification (Failure)" eintreffen.


    Hallo zusammen,


    zuerst einmal vielen Dank für Eure gutgemeinten Ratschläge !!!


    Ich werde zu Beginn einmal Peter's Ratschlag, wie oben zitiert, umsetzen, aber....wie bitte soll ich über Webmail "Delivery Status Notification (Failure)" nachprüfen, wenn der Rechner ausgeschaltet ist?
    Dazu bräuchte ich nochmals einen Tipp :gruebel:


    Vielen Dank


    Michael


    PS.: Habe nochmal nach geprüft, wie der ganze Müll angefangen hat:


    1. Erhalt folgendes Mail am 17.04.2014



    mit dem Hinweis, dass folgendes "Von mir stammende Mail" nicht weitergeleitet werden konnte:



    Nochmals Dank an Euch.


    Michael

    Viele Grüße


    Michael


    Win 8.1 * 64 & Win 7 * 64 / AV & FW Norton Security 22.12.0.104
    pop.1und1.de:995 SSL/TLS Passwort, normal
    smtp.1und1.de:587 STARTTLS Passwort, normal true

    FRITZ!Box 7490

    Einmal editiert, zuletzt von graba () aus folgendem Grund: Code-Tags gesetzt

  • Zitat

    aber....wie bitte soll ich über Webmail "Delivery Status Notification (Failure)" nachprüfen, wenn der Rechner ausgeschaltet ist?


    Von irgend einem anderen Rechner (Freund, auf Arbeit, in einem Internet-Cafe, ..., mit dem Schlau-Fernsprechapparat, usw.).


    Und noch einmal, ich rate dir wirklich die paar €nen zu investieren und dir die kommende c´t zu holen. Diese dort beigeheftete DVD ist nicht mit Gold aufzuwiegen!



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Michael,


    den IP-Adressen im Quelltext nach, wurde die E-Mail von 219.137.152.145 verschickt. Das ist ein Rechner in China, wie Du über Whois sehen kannst. Dazu passt auch die Zeitzone +8.
    (Wie die Adresse 145.152.137.219.broad.gz.gd.dynamic.163data.com.cn zustandekommt, weiß ich nicht. 145.152.137.219 gehört zu Surfnet in den Niederlanden.)


    Von da aus geht es über ein Relay von 1&1 in Deutschland zu Orange in Frankreich. Benutzt wurde Deine 1&1-E-Mailadresse (@online.de), wenn auch mit "Polos France" als Namen. Soweit - so schlecht.


    Ich weiß nicht, wie "offen" das Relay von 1&1 ist. Da dieser Server aber in Deutschland steht, gehe ich mal davon aus, dass er sicher konfiguriert ist und keine E-Mails annimmt, für die er nicht zuständig ist.
    Das hieße dann aber, dass der Absender sich mit Deiner E-Mail-Adresse hat anmelden können. Was wiederum hieße, Du ahnst es schon, dass der freundliche Spammer, der den Rechner in China benutzte, Dein Passwort kannte.


    Auch wenn es natürlich sein kann, dass der 1&1-Relay-Server offen ist/war, Deine Passwörter solltest Du also dringend ändern und zwar alle!


    Gruß


    Susanne


    Edit: Angabe der Zeitzone korrigiert.

    Einmal editiert, zuletzt von SusiTux ()

  • Zitat von "SusiTux"

    Auch wenn es natürlich sein kann, dass der 1&1-Relay-Server offen ist/war, Deine Passwörter solltest Du also dringend ändern und zwar alle!

    Danke :zustimm: Euch allen für Euren Support!
    Passwörter sind geändert, ich halte Euch auf dem Laufenden.


    Gruß Michael

    Viele Grüße


    Michael


    Win 8.1 * 64 & Win 7 * 64 / AV & FW Norton Security 22.12.0.104
    pop.1und1.de:995 SSL/TLS Passwort, normal
    smtp.1und1.de:587 STARTTLS Passwort, normal true

    FRITZ!Box 7490