Account für Spam-Versendung genutzt?

raiSCH

Thunderbird-Version: 24.5.0
Betriebssystem + Version: Mac OS 10.9.3
Kontenart (POP / IMAP): POP
Postfachanbieter (z.B. GMX): Kabel Deutschland

Hallo,
Ich erhielt heute um 3:07 Uhr eine Spam-Mail, die zum Einzahlen in ein virtuelles Casino mit hohen Gewinnaussichten aufforderte. Das ist aber nicht das Problem, das ist zu lächerlich.
Die Mail kam scheinbar vom Account einer Freundin und wurde auch an weitere 10 mir teilweise bekannte Adressen verschickt, auch an die angebliche Absenderadresse. Bei der Rückfrage stellte sich aber heraus, dass die vermeintliche Absenderin und auch Empf#ngerin nichts wusste und auch nichts erhalten hatte - ihre Adresse war also unterdrückt worden. Eine andere Freundin, deren Adresse ebenfalls genannt war, hatte auch diese Spam-Mail erhalten, aber zusammen mit anderen 9 Adressen, die mir ebenfalls teilweise bekannt sind.
Ich befürchte, dass alle diese Accounts (und sicher noch viele weitere) gehackt sind - bei mir ist es nicht der normale Account, sondern die nur wenigen Leuten bekannte Alias-Adresse - und zum weiteren Versenden von Spam benutzt werden, ohne dass man das selbst merkt.
Wie sollen wir da vorgehen?

Beste Grüße
raiSCH

raiSCH

Hallo,
meine Befürchtung scheint sich zu bestätigen: Seit ca. 16 Uhr kann ich keine Mails mehr versenden (anfangs kamen sie noch zurück, jetzt verschwinden sie einfach), und seit ca. 17 Uhr kann ich auch keine mehr empfangen (sie werden zurückgesendet).
Mein Antiviren-Programm hat nichts gefunden, aber das soll noch nichts besagen.

Gruß raiSCH

rum

Hallo,

welche Fehlermeldungen enthalten denn die Mails

Zitat von "raiSCH"

Seit ca. 16 Uhr kann ich keine Mails mehr versenden (anfangs kamen sie noch zurück...,

und

Zitat von "raiSCH"

seit ca. 17 Uhr kann ich auch keine mehr empfangen (sie werden zurückgesendet).

poste mal aus dem Quelltext den Header, dabei natürlich alle pers. Daten/Mailadressen verfremden!
Dazu in TB auf die Mail klicken und dann Strg u und den Header markieren und hier im Schreibfeld einfügen zwischen Code-Tags

Code

[code]der Text

[/code]

raiSCH

Hallo rum,

ich kann das nicht einfügen, daher hierher kopiert:

Code

Von: Mail Delivery Subsystem <MAILER-DAEMON@smtp-out04.xworks.net>
Betreff: Returned mail: see transcript for details
Datum: 2. Juni 2014 18:21:05 MESZ
An: 
The original message was received at Mon, 2 Jun 2014 18:21:05 +0200
from cluster06.xworks.net [10.100.1.80]




  ----- The following addresses had permanent fatal errors -----
<>
   (reason: 554 IP=31.25.48.113 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL))




  ----- Transcript of session follows -----
... while talking to mx02.t-online.de.:
<<< 554 IP=31.25.48.113 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
... while talking to mx01.t-online.de.:
<<< 554 IP=31.25.48.113 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
... while talking to mx00.t-online.de.:
<<< 554 IP=31.25.48.113 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
... while talking to mx03.t-online.de.:
<<< 554 IP=31.25.48.113 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
554 5.0.0 Service unavailable
Reporting-MTA: dns; smtp-out04.xworks.net
Received-From-MTA: DNS; cluster06.xworks.net
Arrival-Date: Mon, 2 Jun 2014 18:21:05 +0200




Final-Recipient: RFC822; e
Action: failed
Status: 5.5.0
Diagnostic-Code: SMTP; 554 IP=31.25.48.113 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
Last-Attempt-Date: Mon, 2 Jun 2014 18:21:05 +0200

Alles anzeigen

Gruß raiSCH

raiSCH

Hallo,

ich habe den Quelltext vergessen. Hier aber:

Code

From - Mon Jun  2 18:25:36 2014
X-Account-Key: account1
X-UIDL: 1446460620
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <>
Received: from front01.mx.xworks.net (cluster05.xworks.net [10.100.1.50])
	by check02.mx.xworks.net  with ESMTP id s52GL6iH013396
	for <>; Mon, 2 Jun 2014 18:21:06 +0200
Received: from smtp-out04.xworks.net (cluster02.xworks.net [10.100.1.20])
	by front01.mx.xworks.net  with ESMTP id s52GL5d6030007
	(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)
	for <>; Mon, 2 Jun 2014 18:21:06 +0200
X-mediaBEAM-Originating-IP: [10.100.1.20]
Received: from localhost (localhost)
	by smtp-out04.xworks.net  id s52GL5N1027304;
	Mon, 2 Jun 2014 18:21:05 +0200
Date: Mon, 2 Jun 2014 18:21:05 +0200
From: Mail Delivery Subsystem <MAILER-DAEMON@smtp-out04.xworks.net>
Message-Id: <201406021621.s52GL5N1027304@smtp-out04.xworks.net>
To: <>
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
	boundary="s52GL5N1027304.1401726065/smtp-out04.xworks.net"
Subject: Returned mail: see transcript for details
Auto-Submitted: auto-generated (failure)
X-purgate-type: clean.bounce
X-purgate-Ad: Categorized by eleven eXpurgate (R) http://www.eleven.de
X-purgate: clean
X-purgate: This mail is considered clean (visit http://www.eleven.de for further information)
X-purgate-size: 3758
X-purgate-ID: 149169::1401726066-0000169A-1C6ADC4F/18/0
X-mediaBEAM-SpamCheck: ham
X-mediaBEAM-SpamScore: -1.0/5.0, scanned in 1.130sec




This is a MIME-encapsulated message




--s52GL5N1027304.1401726065/smtp-out04.xworks.net




The original message was received at Mon, 2 Jun 2014 18:21:05 +0200
from cluster06.xworks.net [10.100.1.80]




   ----- The following addresses had permanent fatal errors -----
<>
    (reason: 554 IP=31.25.48.113 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL))




   ----- Transcript of session follows -----
... while talking to mx02.t-online.de.:
<<< 554 IP=31.25.48.113 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
... while talking to mx01.t-online.de.:
<<< 554 IP=31.25.48.113 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
... while talking to mx00.t-online.de.:
<<< 554 IP=31.25.48.113 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
... while talking to mx03.t-online.de.:
<<< 554 IP=31.25.48.113 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
554 5.0.0 Service unavailable




--s52GL5N1027304.1401726065/smtp-out04.xworks.net
Content-Type: message/delivery-status




Reporting-MTA: dns; smtp-out04.xworks.net
Received-From-MTA: DNS; cluster06.xworks.net
Arrival-Date: Mon, 2 Jun 2014 18:21:05 +0200




Final-Recipient: 
Action: failed
Status: 5.5.0
Diagnostic-Code: SMTP; 554 IP=31.25.48.113 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) (BL)
Last-Attempt-Date: Mon, 2 Jun 2014 18:21:05 +0200




--s52GL5N1027304.1401726065/smtp-out04.xworks.net
Content-Type: message/rfc822




Return-Path: <>
Received: from IMAP3 (cluster06.xworks.net [10.100.1.80])
	by smtp-out04.xworks.net  with ESMTP id s52GL5N1027300
	for <>; Mon, 2 Jun 2014 18:21:05 +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=kabelmail.de;
	s=mail; t=1401726065;
	bh=zCNzE91hdPP9rYXT0IxLt3JvdNy6Ie5hetc4QkkuceY=;
	h=Date:From:To:Subject;
	b=oIDtT9aQsZeRblgbs/QNtl4WR4UKwMuociosAqcrKpQ7JeImiE1TWSqrRgyJwYmqR
	 x5pG76+q2tGlm6YX1E+VAGh2Mt9Zbm8cp5J00WMSF0Rfe5oVBePpjJM0Jg/Gb7vhbA
	 aXQEh0OPLLMOqXdRXmRC66XAM80F1xmfxjIKfMj8=
Received: from -imac.local (95-90-192-201-dynip.superkabel.de [95.90.192.201] (may be forged))
	(authenticated bits=0)
	by smtpa.mediabeam.com  with ESMTP id s52GL2lv004388
	(version=TLSv1/SSLv3 cipher=DHE-RSA-AES128-SHA bits=128 verify=NO)
	for <>; Mon, 2 Jun 2014 18:21:03 +0200
X-mediaBEAM-Originating-IP: 
X-mediaBEAM-AUTHID: 
Message-ID: <538CA46D.6090107@kabelmail.de>
Date: Mon, 02 Jun 2014 18:21:01 +0200
From: >
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:24.0) Gecko/20100101 Thunderbird/24.5.0
MIME-Version: 1.0
To: >
Subject: 
Content-Type: text/plain; charset=UTF-8; format=flowed
X-mediaBEAM-AuthCheck: route113
X-mediaBEAM-AuthScore: 5.3/5.0, scanned in 1.670sec
Content-Transfer-Encoding: quoted-printable
X-MIME-Autoconverted: from 8bit to quoted-printable by smtpa.mediabeam.com id s52GL2lv004388

Alles anzeigen

Ich habe die persönlichen Daten einfach herausgelöscht.

Beste Grüße
raiSCH

rum

Hallo,

das ist jetzt für eine von dir gesendete Mail der Rücklauf, oder?
Hast du eine der Spam-Mails noch?

Zu den Code Tags: klicke über dem Schreibfeld auf Code und dann füge den Text ein

raiSCH

Hallo,

wie ich telefonisch von ihnen erfahren habe, können drei der betroffenen Adressen ihr Mail-Programm (jeweils andere Provider) nicht mehr nutzen, Mails kommen zurück. Betroffen wären dann auch mehrere Steuerkanzleien...

Gruß
raiSCH

raiSCH

Hallo rum,

die Mails hatten als Betreff eine der Adressen und dann unten einen Link, der aber immer anders aussah. Ich kopiere zwei hierher:

http://xxxxxordalen.com/tjox**EDIT**nwhlijqp
oder
http://xxxxxesgruposescolares.com/cy/**EDIT**zuzaucirnmoras

raiSCH

EDIT: ich habe die verändert, wir wollen denen ja nicht auch noch helfen, indem wir die Links publizieren, oder? rum, Moderator

raiSCH

Hallo,

die Angelegenheit wird immer mysteriöser: Ich kann inzwischen wieder Mails empfangen und senden, aber nicht an alle Adressaten und nicht von allen Absendern - Manches kommt wieder an mich bzw. an die Absender zurück. Was mit unseren Accounts gemacht wird, wage ich mir inzwischen gar nicht mehr vorzustellen...

Gute Nacht
raiSCH

SusiTux

Hallo,

ich habe jetzt nicht alles im Detail gelesen. Die Fehlermeldung 554 besagt, dass entweder Absender- oder Empfängeradresse nicht korrekt ist oder dass der empfangende Server die E-Mail bewusst ablehnt. In Deinem Fall scheint letzteres zuzutreffen. (Ich schreibe bewusst scheint, weil ich den Quelltext nur überflogen habe. Das komplette Löschen der Adressen macht die Sache etwas unübersichtlicher. Beim nächsten mal besser so anonymisieren, dass man Sender und Empfänger auf den ersten Blick auseinanderhalten kann)

Vorausgesetzt, dass die Adressen stimmen und ihr nichts an euren Konfigurationen geändert habt, sollten sich die Betroffenen an ihre jeweiligen Provider wenden. Wenn über eure Accounts Spam verschickt wurde, dann ist es gut möglich, dass die Provider diese Konten für den Versand (temporär) gesperrt haben. Ein Anruf beim Provider sollte da rasch Klarheit schaffen. Wichtig ist, dass alle Betroffenen ihre Passwörter umgehend ändern.

Ich weiß nicht, was sich hinter Links in den E-Mails verbirgt. Wer blind draufgeklickt hat, sollte seine Rechner sicherheitshalber mit der desinfec't scannen.

Gruß

Susanne

raiSCH

Hallo Susanne,

das mit der temporären Sperre scheint zuzutreffen - heute konnte ich auch an die Adresse wieder versenden, die gestern vier Mal abgelehnt hatte, und auch nach über einer Stunde ist nichts zurückgekommen. Auch eine Test-Mail an eine andre Empängerin, die gestern nicht ankam, tauchte heute früh in deren Posteingang auf. Ein erneutes Scannen mit einer Antiviren-Software brachte kein Ergebnis.
Ich weiß aber noch nicht, wie ich mich weiter verhalten soll, und ob der Alarm jetzt schon vorüber ist.

Grüße
raiSCH

SusiTux

Hallo RaiSCH,

Zitat von "raiSCH"

Ich weiß aber noch nicht, wie ich mich weiter verhalten soll, und ob der Alarm jetzt schon vorüber ist.

Schrieb ich das nicht? Alle, über deren Accounts diese E-Mails versendet wurden, sollten auf jeden Fall die Passwörter ändern! Am besten macht ihr das regelmäßig - mit sämtlichen Passwörter. Wie Du der Presse entnehmen kannst, werden immer wieder mal Passwörter gestohlen.
Dann sollte der Spuk vorbei sein, es sein denn, der Versender erfährt auch das neue Passwort, z.B. weil der Rechner infiziert ist. Auch deshalb:

Zitat von "SusiTux"

... sollte seine Rechner sicherheitshalber mit der desinfec't scannen.

Gruß

Susanne

rum

Hallo,

Zitat von "raiSCH"

das mit der temporären Sperre scheint zuzutreffen - heute konnte ich auch an die Adresse wieder versenden, die gestern vier Mal abgelehnt hatte,

es kann ja an zwei Stellen gesperrt werden:
- dein Provider sperrt den Versand deiner Mails
- der Provider des Empfängers sperrt den Empfang deiner Mails (bzw. Mails die über den Server deines Providers ankommen)

Account für Spam-Versendung genutzt?

Community-Bot 3. September 2024 um 20:10

Thunderbird 138.0.1 veröffentlicht

Thunderbird 128.10.0 ESR veröffentlicht