3
SPAM von uns oder nicht?
Hallo zusammen,
ich werde noch wahnsinnig. Mittlerweile bin ich schon so verunsichert, dass ich nichts mehr verstehe. Ich hoffe Ihr könnt mir weiterhelfen.
Kleines Büro mit mehreren PCs, Outlook und Anbindung via IMAP an 1&1 erhalten seit Wochen mehrere hunderte SPAM E-Mails pro Tag. Absender ist immer einer der 5 vorhandenen E-Mail Adressen. Die E-Mail gehen aber teilweise an Kollegen innerhalb und außerhalb der Domain - auch an private Kontakte aber nie an Adressen die unbekannt sind.
Ich schildere mal kurz was geprüft wurde:
1. Alle Rechner mit unterschiedlichen Anti-Viren und AntiSpy-Ware geprüft und ggf. bereinigt.
2. Passwörter der E-Mail Accounts geändert.
BEISPIEL HEADER einer E-Mail (anonymisiert)
1. Wenn ich mir jetzt den Header anschaue und interpretiere, dann komme ich zu dem Schluss, dass die E-Mail nicht über unseren 1&1 Account versendet werden, oder kann das gefälscht sein?
2. Gehe ich mal davon aus, dass keiner der PCs infiziert ist und die E-Mail auch nicht von dem PC verschickt wird. Demnach müsste irgendwann mal ein Schädling auf einer der PCs gewesen sein, der die ganzen Daten (E-Mail Adressen und Namen) abgerufen und gespeichert hat um diese für SPAM-Mails zu verwenden. Logisch oder phantasiere ich?
3. Warum nimmt 1&1 überhaupt die E-Mail an? Wenn Übermittelung über SMTP müsste doch der 1&1 Server erkennen, dass PRT oder rDNS nicht übereinstimmt und daher die E-Mail erst gar nicht annehmen, oder nicht?
ich werde noch wahnsinnig. Mittlerweile bin ich schon so verunsichert, dass ich nichts mehr verstehe. Ich hoffe Ihr könnt mir weiterhelfen.
Kleines Büro mit mehreren PCs, Outlook und Anbindung via IMAP an 1&1 erhalten seit Wochen mehrere hunderte SPAM E-Mails pro Tag. Absender ist immer einer der 5 vorhandenen E-Mail Adressen. Die E-Mail gehen aber teilweise an Kollegen innerhalb und außerhalb der Domain - auch an private Kontakte aber nie an Adressen die unbekannt sind.
Ich schildere mal kurz was geprüft wurde:
1. Alle Rechner mit unterschiedlichen Anti-Viren und AntiSpy-Ware geprüft und ggf. bereinigt.
2. Passwörter der E-Mail Accounts geändert.
BEISPIEL HEADER einer E-Mail (anonymisiert)
Return-Path: <USER1@MEINEDOMAIN.de>
Received: from [212.227.15.41] ([212.227.15.41]) by mx.kundenserver.de
(mxeue005) with ESMTPS (Nemesis) id 0MFmd7-1aDg270fdV-00EZrf for
<USER3@MEINEDOMAIN.de>; Fri, 05 Feb 2016 12:26:14 +0100
Received: from iwaki-pa.or.jp ([122.1.226.75]) by mx.kundenserver.de
(mxeue005) with ESMTPS (Nemesis) id 0MWtoN-1aZClJ0RCd-00Xtxt for
<USER4@MEINEDOMAIN.de>; Fri, 05 Feb 2016 12:26:14 +0100
Received: from hcitql.com (unknown [89.184.12.28])
(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(Client did not present a certificate)
by iwaki-pa.or.jp (Postfix) with ESMTPSA id 77207A803206;
Fri, 5 Feb 2016 20:26:08 +0900 (JST)
From: USER4 <USER4@MEINEDOMAIN.de>
To: "USER3" <USER3@ANDEREDOMAIN.de>, "USER3"
<USER3@ANDEREDOMAIN.de>, "USER2" <USER2@ANDEREDOMAIN.de>, "USER1"
<USER1@MEINEDOMAIN.de>, "USER5" <USER5@MEINEDOMAIN.de> 2. Gehe ich mal davon aus, dass keiner der PCs infiziert ist und die E-Mail auch nicht von dem PC verschickt wird. Demnach müsste irgendwann mal ein Schädling auf einer der PCs gewesen sein, der die ganzen Daten (E-Mail Adressen und Namen) abgerufen und gespeichert hat um diese für SPAM-Mails zu verwenden. Logisch oder phantasiere ich?
3. Warum nimmt 1&1 überhaupt die E-Mail an? Wenn Übermittelung über SMTP müsste doch der 1&1 Server erkennen, dass PRT oder rDNS nicht übereinstimmt und daher die E-Mail erst gar nicht annehmen, oder nicht?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 295750
Url: https://administrator.de/contentid/295750
Printed on: April 26, 2024 at 07:04 o'clock
3 Comments
Latest comment
Hallo dafdag,
Ich hatte solch ein Phänomen bei einem Account von t-online bei einem Kunden.
Die Mails sehen wie original aus nur sind die Header gefälscht gewesen und wohl nicht alle Prüfungen aktiviert.
Ich bin nach langem suchen anschließend davon ausgegangen, dass diese t-online Konto geknackt wurde und "scheinbar" nur die Adressen abgegriffen worden sind.
Ich gehe auch bei dir davon aus, dass die Adressen so auf einer Liste im Internet gelandet sind. Wenn Ihr auf die Adressen angewiesen seit dann würde ich hier mit 1&1 reden und meine Probleme beschreiben. Evtl. schickt du denen auch den Header.
Grüße
Multi 10
Ich hatte solch ein Phänomen bei einem Account von t-online bei einem Kunden.
Die Mails sehen wie original aus nur sind die Header gefälscht gewesen und wohl nicht alle Prüfungen aktiviert.
Ich bin nach langem suchen anschließend davon ausgegangen, dass diese t-online Konto geknackt wurde und "scheinbar" nur die Adressen abgegriffen worden sind.
Ich gehe auch bei dir davon aus, dass die Adressen so auf einer Liste im Internet gelandet sind. Wenn Ihr auf die Adressen angewiesen seit dann würde ich hier mit 1&1 reden und meine Probleme beschreiben. Evtl. schickt du denen auch den Header.
Grüße
Multi 10
Hi,
och, im Grund kann jeder als Absender schreiben was er will.
Wenn die ersten IPs nicht von euch sind, dann hat euch wohl einer den Namen geklaut oder gekauft.
Der 1&1 Server bekommt die E-Mail von einem anderem SMTP Server, nicht von ihm selber. Damit greift die Anmeldung auf dem 1&1 Server nicht.
Aber warum der Server es annimmt wenn das From-Feld auch von der gleichen Domäne ist, weiß ich gerade nicht.
Oder konnte man das leer lassen und das Envelope-Feld nehmen?
VG,
Deepsys
och, im Grund kann jeder als Absender schreiben was er will.
Wenn die ersten IPs nicht von euch sind, dann hat euch wohl einer den Namen geklaut oder gekauft.
Der 1&1 Server bekommt die E-Mail von einem anderem SMTP Server, nicht von ihm selber. Damit greift die Anmeldung auf dem 1&1 Server nicht.
Aber warum der Server es annimmt wenn das From-Feld auch von der gleichen Domäne ist, weiß ich gerade nicht.
Oder konnte man das leer lassen und das Envelope-Feld nehmen?
VG,
Deepsys
Bei uns in der Arbeit ist es auch möglich einzelne Mails an sich selbst zu schreiben also gehe ich davon aus, das evtl. keine Prüfung auf die Domäne gemacht wird.