Spam-mails von korrekter Mailadresse

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 31.3.0
    * Betriebssystem + Version: Win 8.1
    * Kontenart (POP / IMAP): POP
    * Postfachanbieter (z.B. GMX): GMX
    Hallo, das Problem betrifft nicht TB selbst, aber ich nehme an, dass es hier doch einige Spezialisten gibt, die weiterhelfen oder mir ein entsprechendes Forum empfehlen können.


    Von einer Mail-Adresse einer Bekannten kommen in regelmäßigen Abständen mails mit Links zu irgendwelchen Angeboten. Diese gehen offensichtlich an Empfänger, die einmal Kontakt mit der Absenderin hatten.


    Ich habe angenommen, dass das GMX-Paßwort geknackt worden sei und wir haben daher das Passwort der Bekannten geändert (mit Groß-Klein-schreibung, Ziffern und Sonderzeichen, also nicht einfach zu knacken), aber es kommen weiterhin diese Spams.
    Wie kann dies passieren und wie kann man dies verhindern?
    Schönen Gruß

  • Hallo,
    es gibt in solchen Fällen mindestens 3 Möglichkeiten.
    Die Spammer haben das Passwort geklaut - das hast du versucht auszuschließen.
    Die zweite Variante ist Schadsoftware auf dem Rechner deiner Bekannten, das kann man, wenn auch nicht mit letzter Sicherheit, durch einen Virenscan ausschließen, wobei man nicht das installierte Betriebssystem booten darf, das möglicherweise schon infiziert ist. Es gibt zu diesem Zwecke bootfähige CDs wie desinfec't oder ähnliches von den einschlägigen Antiviren-Herstellern (Kaspersky, Avira...).
    Die dritte Möglichkeit: jeder mäßig begabte Hacker kann Mails mit jeder beliebigen Absenderadresse versenden. Ein existierende Absender wird natürlich lieber genommen als ein frei erfundener.
    Da die Mails offenbar an Bekannte deiner Bekannten gehen (also aus ihrem Thunderbird- oder GMX-Adressbuch), ist die 2. Möglichkeit nicht von der Hand zu weisen.
    Unter Umständen gibt der Quelltext der Mails noch weitere Auskünfte über die Art und Weise des Versands (STRG+U). Aber bitte nicht einfach hier reinkopieren, sonst sind die enthaltene Mailadressen bald Opfer weiterer Spammerei.
    HTH, muzel

  • 1. Möglichkeit: Wie Du schreibst wohl ausgeschlossen, da neues Passwort kaum zu knacken
    2. Möglichkeit ist wohl auch auszuschließen, da wir das System von der Boot-CD neu installiert haben. Der Virenscanner war auch immer aktuell.
    Es wird dann wohl Möglichkeit 3 sein. Der Quellcode sagt mir nicht viel. Als einzige Info kann ich entnehmen, dass der Absender wohl eine Adresse in Rumänien hat.
    Bringt es etwas, wenn ich den Quelltext hier poste, wobei ich die Absender und Empfänger Adressen entfernen würde?

  • dass der Absender wohl eine Adresse in Rumänien hat.


    Also das verstehe ich jetzt nicht - der Absender ist doch (ob nun echt oder gefälscht)...

    Zitat

    Von einer Mail-Adresse einer Bekannten kommen in regelmäßigen Abständen mails


    Du meinst vielleicht, daß die Mail bei einem SMTP-Server in Rumänien eingeliefert wurde? Der anaonymisierte Quelltext könnte schon etwas mehr Klarheit bringen, wobei die Domains noch erkennbar sein sollten, also xxxxxx@gmx.de.
    Der Fakt

    Zitat

    Empfänger, die einmal Kontakt mit der Absenderin hatten.

    wäre noch dahingehend zu überprüfen, ob das Thunderbird- oder das GMX-Adressbuch möglicherweise ausgelesen wurde, oder ob es noch andere Möglichkeiten gibt. Aufgrund der Sicherheitslücken bei SSL, die in letzter Zeit bekannt wurden (heartbleed, poodle), sind ja Datenlecks bei den Providern nicht unwahrscheinlich.


    Gruß, m.

  • Hallo Birdtb,


    ein kleiner Test, welcher absolut kein Fachwissen und lediglich ein klein wenig Disziplin verlangt:
    Deine Bekannte möge einfach mal eine Woche ihren Rechner nicht einschalten! (JA, nicht einschalten, nicht nur das Mailprogramm nicht starten!)
    Kommen in dieser Zeit keine Mails mit ihrem Absender an, dann gehe ich jede Wette ein, dass deren Rechner unfreiwilliges Mitglied eines Botnetzes ist und fernbedient wird.
    Kommen die Mails trotzdem, dann kannst du diese Variante ausschließen. Dann hat vielleicht nur "jemand" ihr Adressbuch geholt, wenn sie Glück hat, "nur" von einem Server von gmx.


    Unabhängig davon: der gründliche Scan des betroffenen Rechners mit desinfec´t ist durch nichts zu ersetzen. Nur das bringt die für den privaten Nutzer maximal mögliche Sicherheit.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!


  • Kommen in dieser Zeit keine Mails mit ihrem Absender an, dann gehe ich jede Wette ein, dass deren Rechner unfreiwilliges Mitglied eines Botnetzes ist und fernbedient wird.
    Kommen die Mails trotzdem, dann kannst du diese Variante ausschließen. Dann hat vielleicht nur "jemand" ihr Adressbuch geholt, wenn sie Glück hat, "nur" von einem Server von gmx.


    Sie hatte den Rechner wochenlang nicht an und trotzdem kamen diese Spam-mails.
    Also der Fall 2, und damit müssen ich und die übrigen Kontaktpersonen meiner Bekannten wohl mit weiteren Belästigungen rechnen.
    Das einzige, was mir einfällt:
    Neue mail-Adresse und den Kontaktpersonen dies mitteilen und diese stellen ihr Mailprogramm so ein, dass mails von der alten Adresse ignoriert werden. Ist dies so korrekt?

  • [quote='Birdtb','http://www.thunderbird-mail.de/index.php/Thread/68383-[lexicon]Spam[/lexicon]-mails-von-korrekter-Mailadresse/?postID=375229#post375229'Der anaonymisierte Quelltext könnte schon etwas mehr Klarheit bringen, wobei die Domains noch erkennbar sein sollten, also xxxxxx@gmx.de.


    Hier der Mailinhalt:

    Code
    1. From- Mon Dec 08 10:02:47 2014X-Account-Key:account51X-UIDL:1417993252.26071.mail8,S=2994X-Mozilla-Status:0011X-Mozilla-Status2:00000000X-Mozilla-Keys: Return-Path:<[email=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@yahoo.com]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@yahoo.com[/email]>Delivered-To:[email=xxxxxxxxxxxx@gmx.de]xxxxxxxxxxxx@gmx.de[/email]Received:(qmail 25856 invoked by uid 89); 7 Dec 2014 23:00:43 -0000Received:from mlout.tgn.sfedu.ru (HELO mail.tgn.sfedu.ru) (80.250.181.31)bymail8.netbeat.de with SMTP; 7 Dec 2014 23:00:43 -0000Received:from localhost (localhost [127.0.0.1])bymail.tgn.sfedu.ru (Postfix) with ESMTP id 1CC4240381;Mon, 8 Dec 2014 02:02:12 +0300 (MSK)Received:from mail.tgn.sfedu.ru ([127.0.0.1])bylocalhost (mail.tgn.sfedu.ru [127.0.0.1]) (amavisd-new, port 10032)withESMTP id 5aZai5FjdE9D; Mon, 8 Dec 2014 02:02:11 +0300 (MSK)Received:from localhost (localhost [127.0.0.1])bymail.tgn.sfedu.ru (Postfix) with ESMTP id 0B50040429;Mon, 8 Dec 2014 02:02:11 +0300 (MSK)X-Virus-Scanned:amavisd-new at mail.tgn.sfedu.ruReceived:from mail.tgn.sfedu.ru ([127.0.0.1])bylocalhost (mail.tgn.sfedu.ru [127.0.0.1]) (amavisd-new, port 10026)withESMTP id pz5Rr-2xaZcj; Mon, 8 Dec 2014 02:02:10 +0300 (MSK)Received:from smtp.tsure.ru (200-96-126-25.paebv701.dsl.brasiltelecom.net.br[200.96.126.25])bymail.tgn.sfedu.ru (Postfix) with ESMTPA id 280BD40381;Mon, 8 Dec 2014 02:01:57 +0300 (MSK)Message-ID:<[email=0A8B3B2EA45D2E0B14E79B6089964DAE@smtp.tsure.ru]0A8B3B2EA45D2E0B14E79B6089964DAE@smtp.tsure.ru[/email]>From:[email=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@yahoo.com]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@yahoo.com[/email]>To: xxxxx .... viele Adressen ....xxxxxxxxxxxxxxxxxxxx<[email=bounce-md_30009663.52b0c1c6.v1-f247c5d03c25418a80f94d58a9c20f1c@mandrillapp.com]bounce-md_30009663.52b0c1c6.v1-f247c5d03c25418a80f94d58a9c20f1c@mandrillapp.com[/email]>Subject:=?ISO-8859-1?Q?Re=3A12=2F8=2F2014_12=3A00=3A24_AM_?==?ISO-8859-1?Q?y?=Date:Sun, 8 Dec 2014 12:00:24 +0000MIME-Version:1.0Content-Type:multipart/alternative;boundary="----=_NextPart_000_8C18_2B6F5290.65A95F8E"X-Priority:3X-MSMail-Priority:NormalImportance:NormalX-Mailer:Microsoft Windows Live Mail 16.4.3522.110X-MIMEOLE:Produced By Microsoft MimeOLE V16.4.3522.110X-Antivirus:avast! (VPS 141207-2, 07.12.2014), Inbound messageX-Antivirus-Status:CleanThisis a multi-part message in MIME format.------=_NextPart_000_8C18_2B6F5290.65A95F8EContent-Type:text/plain; charset=ISO-8859-1Content-Transfer-Encoding:quoted-printable[url]http://expressbookng.com/oikmco/emszuohzbpzoqjqp.xhljasqwilniyquwnqxscttqpwuse=[/url]azf[email=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@yahoo.com]xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@yahoo.com[/email]------=_NextPart_000_8C18_2B6F5290.65A95F8EContent-Type:text/html; charset=UTF-8Content-Transfer-Encoding:quoted-printable=EF=BB=BF<HTML><HEAD><METAhttp-equiv=3D"content-type" content: text/html;=charset=3DUTF-8></HEAD><BODY><ahref==3D"http://expressbookng.com/oikmco/emszuohzbpzoqjqp.xhljasqwilniyquwnqxscttqp=wuseazf">[url]http://expressbookng.com/oikmco/emszuohzbpzoqjqp.xhljasqwilniyquwnqxs=[/url]cttqpwuseazf</a><br><br><br><br><br><br>[email=xxxxxxxxxxxxxx@yahoo.com]xxxxxxxxxxxxxx@yahoo.com[/email] <br>=</BODY></HTML>------=_NextPart_000_8C18_2B6F5290.65A95F8E--

    Einmal editiert, zuletzt von graba () aus folgendem Grund: Code-Tags gesetzt

  • Birdtb :
    Völlig richtig erkannt. Für die betreffende Person gut (davon gehe ich mal aus) und für alle anderen schlecht. (Trotzdem: desinfec´t!)
    Ich habe mir vor vielen Jahren schon angewöhnt, einen ganzen Zoo an eigenen Mailadressen zu halten. Es sind nur einige wenige echte Mailkonten, die ich auch nicht als Mailkonto benutze, und viiieeele Weiterleitungen darauf. Zum Glück bietet mir mein Provider eine faktisch grenzenlose Anzahl davon an. So kann ich für jede Gruppe von Menschen (Familie, Freunde, Bekannte, Kollegen ...) und auch für jede Firma und jedes Forum usw. eigen eigene Mailadresse verwenden. Und für Gewinnspiele usw. nutze ich Adressen, welche sich nach einer festgelegten Anzahl von eingegangenen Mails selber zerlegen. => www.spamgourmet.com


    Und sollte wirklich mal eine Adresse verbrannt sein, dann muss ich maximal 10 Personen informieren. Nichts geht einfacher. Und die Firma, welche die für sie verwendete Adresse verkauft hat (oder sich hat klauen lassen), wird zukünftig mit Missachtung gestraft. Verbrannte Adressen werden gelöscht und fertig ist.
    Ich nenn das mein persönliches SPAM-Vermeidungs-Konzept!


    Auf den geposteten Quellcode gehe ich nicht näher ein. Sieht auf jeden Fall lustig aus ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!