42
Account für SPAM missbraucht, Tipps parat?
Guten Morgen,
ein Kollege von mir hat momentan ein paar Probleme mit seinem T-Online Mail Account. Über diesen wird massig SPAM verschickt, an alle bekannten Adressen aus dem Mailpostfach.
Er hatte sein Passwort schon geändert, allerdings macht er immer noch weiter.
Im Mailheader ist folgendes zu finden
Wenn ich die dsl-189-236-37-48-dyn.prod-infinitum.com.mx anpinge, bekomme ich eine IP-Adresse der Telekom (lt. RIPE).
Es handelt sich immer um die gleiche E-Mail die verschickt wird, die Leute der Telekom konnten ihm nicht helfen. Leider ist es auch nicht nur Missbrauch der Absender-Adresse, da die Mails grundsätzlich an dessen Verteiler oder bekannte Empfänger gingen.
Eventuell habt ihr noch Tipps o. Ä.
Vielen Dank
Gruß
Toni
ein Kollege von mir hat momentan ein paar Probleme mit seinem T-Online Mail Account. Über diesen wird massig SPAM verschickt, an alle bekannten Adressen aus dem Mailpostfach.
Er hatte sein Passwort schon geändert, allerdings macht er immer noch weiter.
Im Mailheader ist folgendes zu finden
Return-Path: <xxx@t-online.de>
Received: (qmail 22558 invoked from network); 16 Aug 2015 23:11:16 +0200
Received: from dsl-189-236-37-48-dyn.prod-infinitum.com.mx (HELO
WORLDST-UQ3K9Q0) (189.236.37.48)
by webserver.oddesigns.nl with ESMTPSA (DHE-RSA-AES256-GCM-SHA384
encrypted, authenticated); 16 Aug 2015 23:11:15 +0200
From: <xxxx@t-online.de>
To: xxxx
Subject: Fw: try it out
Date: Sun, 16 Aug 2015 23:02:02 +0200
Message-ID: <29a4e0793a19d0aa.b3318b2ed09295@t-online.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_7a88_1cc5_619a"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdDgSf8yKpLbvM0H8PgVlzk5SCszpg==
Content-Language: en-us
X-PPP-Message-ID: <20150816211116.22556.36198@webserver.oddesigns.nl>
X-PPP-Vhost: mgsalarisverwerking.nl
This is a multipart message in MIME format.
------=_NextPart_000_7a88_1cc5_619a
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bitWenn ich die dsl-189-236-37-48-dyn.prod-infinitum.com.mx anpinge, bekomme ich eine IP-Adresse der Telekom (lt. RIPE).
Es handelt sich immer um die gleiche E-Mail die verschickt wird, die Leute der Telekom konnten ihm nicht helfen. Leider ist es auch nicht nur Missbrauch der Absender-Adresse, da die Mails grundsätzlich an dessen Verteiler oder bekannte Empfänger gingen.
Eventuell habt ihr noch Tipps o. Ä.
Vielen Dank
Gruß
Toni
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 280474
Url: https://administrator.de/contentid/280474
Ausgedruckt am: 08.11.2024 um 07:11 Uhr
42 Kommentare
Neuester Kommentar
Guten Morgen @d4shoerncheN,
wie sieht es mit den Endgeräten aus?
Sind die alle sauber bzw. schon überprüft worden?
Üblichen verdächtigen:
Malwarebytes
Sypbot
etc.
Anschließend nochmals Kennwort ändern und finger überkreuzen.
Gruß
@kontext
wie sieht es mit den Endgeräten aus?
Sind die alle sauber bzw. schon überprüft worden?
Üblichen verdächtigen:
Malwarebytes
Sypbot
etc.
Anschließend nochmals Kennwort ändern und finger überkreuzen.
Gruß
@kontext
Moin kontext,
hat er alles geprüft. Er benutzt drei Geräte (Notebook, Smartphone, Tablet). Alle wurden gescannt.
Gestern Abend habe ich noch die Kaspersky Rescue Disk 10 über das Notebook gejagt, was dabei genau rum kam, erfahre ich heute Abend.
Gruß
Toni
hat er alles geprüft. Er benutzt drei Geräte (Notebook, Smartphone, Tablet). Alle wurden gescannt.
Gestern Abend habe ich noch die Kaspersky Rescue Disk 10 über das Notebook gejagt, was dabei genau rum kam, erfahre ich heute Abend.
Gruß
Toni
Hallo,
gestern hat ein Kollege sich über genau das selbe Problem bei mir erkundigt.
T-Online Postfach, Private Empfängerlisten, alles überprüft usw.
sogar
stimmt überein.
gestern hat ein Kollege sich über genau das selbe Problem bei mir erkundigt.
T-Online Postfach, Private Empfängerlisten, alles überprüft usw.
sogar
HELO WORLDST-****stimmt überein.
Hallo d4shoerncheN
wenn die einmal alle Kontakte haben ists natürlich schwierig die Geschichte einzudämmen. Selbst wenn sie nicht mehr auf den TOnline- Account können könnten sie theoretisch über einen offenen Mailserver ohne Authentif. senden...
wenn die einmal alle Kontakte haben ists natürlich schwierig die Geschichte einzudämmen. Selbst wenn sie nicht mehr auf den TOnline- Account können könnten sie theoretisch über einen offenen Mailserver ohne Authentif. senden...
Moin,
habe gerade einen weiteren Mailheader bekommen. Vllt. finden wir dort noch Anhaltspunkte
yyy ist der bekannte Empfänger und xxx mein Kollege.
Die IP "189.249.26.95" ist eine die ich gestern aus den Mailheader ersehen konnte, mittlerweile ist sie auf der Blacklist.
Gruß
Toni
habe gerade einen weiteren Mailheader bekommen. Vllt. finden wir dort noch Anhaltspunkte
Delivered-To: yyy@gmail.com
Received: by 10.114.174.47 with SMTP id bp15csp1035558ldc; Thu, 13 Aug 2015
13:50:26 -0700 (PDT)
X-Received: by 10.112.87.69 with SMTP id v5mr20794414lbz.12.1439499026264;
Thu, 13 Aug 2015 13:50:26 -0700 (PDT)
Return-Path: <xxx@t-online.de>
Received: from mail-in-03.arcor-online.net (mail-in-03.arcor-online.net.
[151.189.21.43]) by mx.google.com with ESMTPS id
vt7si6071644wjc.174.2015.08.13.13.50.25 (version=TLSv1
cipher=ECDHE-RSA-RC4-SHA bits=128/128); Thu, 13 Aug 2015 13:50:26 -0700 (PDT)
Received-SPF: neutral (google.com: 151.189.21.43 is neither permitted nor
denied by best guess record for domain of xxx@t-online.de)
client-ip=151.189.21.43;
Authentication-Results: mx.google.com; spf=neutral (google.com: 151.189.21.43
is neither permitted nor denied by best guess record for domain of
xxx@t-online.de) smtp.mailfrom=xxx@t-online.de
Received: from mail-in-15-z2.arcor-online.net (mail-in-15-z2.arcor-online.net
[151.189.8.32]) by mx.arcor.de (Postfix) with ESMTP id 3msg5Y15q8zFnVm; Thu,
13 Aug 2015 22:50:25 +0200 (CEST)
Received: from mail-in-01.arcor-online.net (mail-in-01.arcor-online.net
[151.189.21.41]) by mail-in-15-z2.arcor-online.net (Postfix) with ESMTP id
17C3E33EC8F; Thu, 13 Aug 2015 22:50:25 +0200 (CEST)
X-Greylist: Passed host: 189.249.26.95
X-DKIM: Sendmail DKIM Filter v2.8.2 mail-in-01.arcor-online.net
3msg4X6P5FzFQb9
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
X-Greylist: Passed host: 189.249.26.95
Received: from WORLDST-UQ3K9Q0 (unknown [189.249.26.95]) (Authenticated
sender: dobs01@arcor.de) by mail-in-01.arcor-online.net (Postfix) with
ESMTPSA id 3msg4X6P5FzFQb9; Thu, 13 Aug 2015 22:49:32 +0200 (CEST)
From: <xxx@t-online.de>
To: ----
Subject: Fw: try it out
Date: Thu, 13 Aug 2015 22:49:06 +0200
Message-ID: <a208d4f117316824.7d3832a1b4f79f49@t-online.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0e23_9e48_eb61"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdDc7GzBO8IjmGde8a37z7Ej2Y23aQ==
Content-Language: en-usDie IP "189.249.26.95" ist eine die ich gestern aus den Mailheader ersehen konnte, mittlerweile ist sie auf der Blacklist.
Gruß
Toni
Sorry das ist aber schon ein sehr merkwürdiger Satz
Du dir ist schon klar was Graylisting macht?
Die IP "189.249.26.95" ist eine die ich gestern aus den Mailheader ersehen konnte, mittlerweile ist sie auf der Greylist.
Du dir ist schon klar was Graylisting macht?
Zitat von @wiesi200:
Sorry das ist aber schon ein sehr merkwürdiger Satz
> Die IP "189.249.26.95" ist eine die ich gestern aus den Mailheader ersehen konnte, mittlerweile ist sie auf der
Greylist.
Du dir ist schon klar was Graylisting macht?
Sorry das ist aber schon ein sehr merkwürdiger Satz
> Die IP "189.249.26.95" ist eine die ich gestern aus den Mailheader ersehen konnte, mittlerweile ist sie auf der
Greylist.
Du dir ist schon klar was Graylisting macht?
Jetzt: https://de.wikipedia.org/wiki/Greylisting sollte er´s wissen
tomolpi
Wurden _alle_ Passwörter geändert? Mit alle meine ich das persönliche Kennwort, das Passwort für den Webmailer und das Kennwort für den POP3/IMAP-Abruf.
Gruß,
MOS6581
Gruß,
MOS6581
Zitat von @wiesi200:
Sorry das ist aber schon ein sehr merkwürdiger Satz
> Die IP "189.249.26.95" ist eine die ich gestern aus den Mailheader ersehen konnte, mittlerweile ist sie auf der
Greylist.
Du dir ist schon klar was Graylisting macht?
Sorry, ja ist mir klar. Ich meinte eigentlich auch Blacklist.Sorry das ist aber schon ein sehr merkwürdiger Satz
> Die IP "189.249.26.95" ist eine die ich gestern aus den Mailheader ersehen konnte, mittlerweile ist sie auf der
Greylist.
Du dir ist schon klar was Graylisting macht?
Zitat von @MOS6581:
Wurden _alle_ Passwörter geändert? Mit alle meine ich das persönliche Kennwort, das Passwort für den Webmailer
und das Kennwort für den POP3/IMAP-Abruf.
Gruß,
MOS6581
Ja. Wir werden das Ganze heute Abend noch einmal durchführen, diesmal von meinem Notebook aus.Wurden _alle_ Passwörter geändert? Mit alle meine ich das persönliche Kennwort, das Passwort für den Webmailer
und das Kennwort für den POP3/IMAP-Abruf.
Gruß,
MOS6581
Hallo,
bei meiner Tochter ist es das Gleiche, aber kein T-Com - Account.
Ich kämpfe seit 14.08 mit dem Problem und habe immer noch keine Ahnung
wie die Mailadressen abgegriffen wurden.
Bisher bekannt ist:
- die Mails werden nicht über das Konto sondern über offene Mailserver in
Malaysia, der Türkei, oder auf den Philippinen versendet.
- Die Mails werden immer Nachts um ca 01:00 versendet
- Alle Mails habe HELO WORLDST-UQ3K9Q0
- Virenscanner und die üblichen Tools Malwarebytes... finden nichts
Da ich momentan noch absolut im Trüben fische, wie der Angriff stattgefunden
hat, wäre mein Vorschlag, die Systemumgebungen abzugleichen.
Vielleicht finden sich hier ja Gemeinsamkeiten.
Systemumgebung zum Zeitpunkt des Angriffes bei meiner Tochter:
- Windows 10 Pro - alle aktuellen Updates installiert.
- Avast Virenscanner
- Firefox 39.0
- IOS 8.4 (iPhone 6)
Interessant fande ich die Tatsache, dass Apple ziemlich Zeitgleich ein Update auf 8.4.1 geliefert hat.
Gruß
Marl1329
bei meiner Tochter ist es das Gleiche, aber kein T-Com - Account.
Ich kämpfe seit 14.08 mit dem Problem und habe immer noch keine Ahnung
wie die Mailadressen abgegriffen wurden.
Bisher bekannt ist:
- die Mails werden nicht über das Konto sondern über offene Mailserver in
Malaysia, der Türkei, oder auf den Philippinen versendet.
- Die Mails werden immer Nachts um ca 01:00 versendet
- Alle Mails habe HELO WORLDST-UQ3K9Q0
- Virenscanner und die üblichen Tools Malwarebytes... finden nichts
Da ich momentan noch absolut im Trüben fische, wie der Angriff stattgefunden
hat, wäre mein Vorschlag, die Systemumgebungen abzugleichen.
Vielleicht finden sich hier ja Gemeinsamkeiten.
Systemumgebung zum Zeitpunkt des Angriffes bei meiner Tochter:
- Windows 10 Pro - alle aktuellen Updates installiert.
- Avast Virenscanner
- Firefox 39.0
- IOS 8.4 (iPhone 6)
Interessant fande ich die Tatsache, dass Apple ziemlich Zeitgleich ein Update auf 8.4.1 geliefert hat.
Gruß
Marl1329
Selbes Problem seit dem 16.08. T-Com Account
Windows 7
Antivir
Firefox 39.03
Sony Xperia
Vielleicht noch interessant: Ich war bis gestern im Urlaub. Habe nur das Smarphone und hier exchange benutzt
Interessant ist vielleicht noch, dass nicht nur Adressen aus dem Adressbuch benutzt werden, sondern offensichtlich alle Mailadressen aus eingegangenen Mails benutzt werden...
Windows 7
Antivir
Firefox 39.03
Sony Xperia
Vielleicht noch interessant: Ich war bis gestern im Urlaub. Habe nur das Smarphone und hier exchange benutzt
Interessant ist vielleicht noch, dass nicht nur Adressen aus dem Adressbuch benutzt werden, sondern offensichtlich alle Mailadressen aus eingegangenen Mails benutzt werden...
Moin,
- Windows 7 Pro.
- BitDefender Premium Suite
- Sony Z3
- Samsung Tab 4
Gruß
Toni
Zitat von @marl1329:
Da ich momentan noch absolut im Trüben fische, wie der Angriff stattgefunden
hat, wäre mein Vorschlag, die Systemumgebungen abzugleichen.
Vielleicht finden sich hier ja Gemeinsamkeiten.
Systemumgebung zum Zeitpunkt des Angriffes bei meiner Tochter:
- Windows 10 Pro - alle aktuellen Updates installiert.
- Avast Virenscanner
- Firefox 39.0
- IOS 8.4 (iPhone 6)
Interessant fande ich die Tatsache, dass Apple ziemlich Zeitgleich ein Update auf 8.4.1 geliefert hat.
Gruß
Marl1329
ich kenne sein System leider nicht komplett aus dem Kopf, aber ungefähr so:Da ich momentan noch absolut im Trüben fische, wie der Angriff stattgefunden
hat, wäre mein Vorschlag, die Systemumgebungen abzugleichen.
Vielleicht finden sich hier ja Gemeinsamkeiten.
Systemumgebung zum Zeitpunkt des Angriffes bei meiner Tochter:
- Windows 10 Pro - alle aktuellen Updates installiert.
- Avast Virenscanner
- Firefox 39.0
- IOS 8.4 (iPhone 6)
Interessant fande ich die Tatsache, dass Apple ziemlich Zeitgleich ein Update auf 8.4.1 geliefert hat.
Gruß
Marl1329
- Windows 7 Pro.
- BitDefender Premium Suite
- Sony Z3
- Samsung Tab 4
Zitat von @Micha56:
Selbes Problem seit dem 16.08. T-Com Account
Windows 7
Antivir
Firefox 39.03
Sony Xperia
Vielleicht noch interessant: Ich war bis gestern im Urlaub. Habe nur das Smarphone und hier exchange benutzt
Interessant ist vielleicht noch, dass nicht nur Adressen aus dem Adressbuch benutzt werden, sondern offensichtlich alle
Mailadressen aus eingegangenen Mails benutzt werden...
das kann ich bestätigen. Da viele Mails z. B. auch an die "bestellbestaetigung@amazon.de" gegangen sind.Selbes Problem seit dem 16.08. T-Com Account
Windows 7
Antivir
Firefox 39.03
Sony Xperia
Vielleicht noch interessant: Ich war bis gestern im Urlaub. Habe nur das Smarphone und hier exchange benutzt
Interessant ist vielleicht noch, dass nicht nur Adressen aus dem Adressbuch benutzt werden, sondern offensichtlich alle
Mailadressen aus eingegangenen Mails benutzt werden...
Gruß
Toni
Zitat von @d4shoerncheN:
das kann ich bestätigen. Da viele Mails z. B. auch an die "bestellbestaetigung@amazon.de" gegangen sind.
Gruß
Toni
dito.das kann ich bestätigen. Da viele Mails z. B. auch an die "bestellbestaetigung@amazon.de" gegangen sind.
Gruß
Toni
Mailadressen aus Kontakten von denen keine Mails vorhanden waren, waren bisher nicht betroffen.
Nur Adressen, die als Sender oder Empfänger in eMails vorgekommen sind.
Da manche Leute immer noch die kompletten Verteiler in die To kopieren, erhält man damit
eine schöne Sammlung an Mailadressen.
Gruß
Marl1329
Zitat von @Micha56:
Windows 7
Antivir
Firefox 39.03
Sony Xperia
Vielleicht noch interessant: Ich war bis gestern im Urlaub. Habe nur das Smarphone und hier exchange benutzt
Interessant ist vielleicht noch, dass nicht nur Adressen aus dem Adressbuch benutzt werden, sondern offensichtlich alle
Mailadressen aus eingegangenen Mails benutzt werden...
Windows 7
Antivir
Firefox 39.03
Sony Xperia
Vielleicht noch interessant: Ich war bis gestern im Urlaub. Habe nur das Smarphone und hier exchange benutzt
Interessant ist vielleicht noch, dass nicht nur Adressen aus dem Adressbuch benutzt werden, sondern offensichtlich alle
Mailadressen aus eingegangenen Mails benutzt werden...
Nutzt Du ein Mail-Programm / eine Mail-App ?
Wurden Adressen aus dem 'lokalen' Adressbuch (Sony-Gerät) oder wurden auch Mailadressen aus dem online gespeicherten Adressbuch (unter email.t-onnline.de) verwendet?
Dass der Missbrauch diese Woche losging sagt ja noch nicht, wann die Adressen abgefisch wurden.
Vor einiger Zeit gab es mal eine ähnlich Attacke bei GMX. Dort wurden Mails an Empfänger aus der Kontaktlist, die online gespeichert ist, gesendet. Hat man daran gemerkt, dass Mails an ungültige (weil uralte) Adressen zurückkamen. Es wurden aber keine Mails an Kontakte gesendet, die im lokalen Adressbuch (z.B. iPad) gespeichert waren. Diese versendeten Mails wurden auch nicht in 'Gesendet' gespeichert.
Um herauszufinden, wann die Adressen abgefischt wurden, müsste man wissen an wen alles Mails gegangen sind und ob in letzter Zeit neue Kontakte hinzugekommen sind, an die keine Mails gingen.
Gruß
Holger
Zitat von @Dilbert-MD:
Vor einiger Zeit gab es mal eine ähnlich Attacke bei GMX. Dort wurden Mails an Empfänger aus der Kontaktlist, die online
gespeichert ist, gesendet. Hat man daran gemerkt, dass Mails an ungültige (weil uralte) Adressen zurückkamen. Es wurden
aber keine Mails an Kontakte gesendet, die im lokalen Adressbuch (z.B. iPad) gespeichert waren. Diese versendeten Mails wurden
Vor einiger Zeit gab es mal eine ähnlich Attacke bei GMX. Dort wurden Mails an Empfänger aus der Kontaktlist, die online
gespeichert ist, gesendet. Hat man daran gemerkt, dass Mails an ungültige (weil uralte) Adressen zurückkamen. Es wurden
aber keine Mails an Kontakte gesendet, die im lokalen Adressbuch (z.B. iPad) gespeichert waren. Diese versendeten Mails wurden
Anscheinend gab es da wieder was:
Bei den E-Mail-Anbietern 1&1, Gmx und Web.de klaffte bis vor wenigen Tagen eine Sicherheitslücke, über die Angreifer unter bestimmten Umständen Zugriff auf fremde Konten bekommen konnten.
(Quelle: Heise Online )
Wobei die hier genannte Lücke bei mir nicht die Ursache sein kann.
Die sollten vielleicht mal mehr Geld in ihre eigene Sicherheit als in blöde TV-Spots investieren.
Gruß
Marl1329
Ich nutze T-Online auf dem T-Online-Server (incl. Adressbuch) und habe die Mails über Exchange auf dem Smartphone prinzipiell genauso verfügbar wie auf dem Server. Allerdings habe ich sie dort nicht ganz so lange im Zugriff..
Hallo zusammen,
hat schon jm. eine Lösung irgendwo gefunden?
Denn ich habe das Problem, dass unsere Vereinsadressen sich gegenseitig ständig solche Mails zusenden und diese Mails auch versuchen über Mailverteiler (bis zu 300 Adressen) zu verschicken. Bis jetzt konnte ich die noch verhindern - wie lange ist die Frage...
Gruß und danke schon einmal
hat schon jm. eine Lösung irgendwo gefunden?
Denn ich habe das Problem, dass unsere Vereinsadressen sich gegenseitig ständig solche Mails zusenden und diese Mails auch versuchen über Mailverteiler (bis zu 300 Adressen) zu verschicken. Bis jetzt konnte ich die noch verhindern - wie lange ist die Frage...
Gruß und danke schon einmal
Hallo,
ich melde mich hier mal in meiner Freizeit dienstlich, da mir dieses Problem keine Ruhe bereitet.
Es hat leider einen Vertriebspartner von uns am Sonntag (das erste Mal) erwischt bzw. seine Mailadresse (von T-Online) wird verwendet um Kunden, Geschäftspartner, Bekannte etc. anzuschreiben. Das ist auch am Montag und heute aufgetreten, wobei der Betreff der Mails heute auf "Fw: important" anstatt "Fw: try it out" gewechselt hat.
Im Header und mit ein wenig Recherche im Netz ist mir folgendes aufgefallen: "WORLDST-UQ3K9Q0" ist immer das erste HELO, im Eingangspost dieses Threads ja auch, und verwendet mehrere offizielle, vertrauenswürdige SMTP-Server um sich dort mit korrekten Anmeldedaten anzumelden und die Spam-Mail von dort auf dem Weg zu schicken. Dabei wird dann jedoch der Absender (nicht nur der Anzeigename, sondern die eigentliche Absenderadresse), gefälscht, also es wird zum Beispiel ein Arcor-Account (Freenet, etcpp.) verwendet um sich am Arcor-SMTP-Server anzumelden, dann jedoch Mails mit der besagten T-Online-Adresse von dort aus versendet. Die T-Online-Adresse und die entsprechenden Empfänger der Mails stehen jedoch alle in einer Beziehung miteinander, es sind alles Adressen aus E-Mailobjekten, die diese T-Online-Adresse einmal legitim erreicht haben. Auch bereits seit Jahren veraltete Adressen aber offenbar gab es wohl noch so alte Mails auf dem Account (IMAP sei dank...)
Im obigen Beispiel ist ja auch im Header zu erkennen, dass der zuerst einliefernde User ordentlich authentifiziert war:
Received: from dsl-189-236-37-48-dyn.prod-infinitum.com.mx (HELO WORLDST-UQ3K9Q0) (189.236.37.48) by webserver.oddesigns.nl with ESMTPSA (DHE-RSA-AES256-GCM-SHA384 encrypted, authenticated); 16 Aug 2015 23:11:15 +0200
Davon habe ich in meiner Sammlung auch ein paar aber mit etwas deutlicheren Angaben im Header :
Received: from WORLDST-UQ3K9Q0 (cpe-77.38.53.102.cable.t-1.si [77.38.53.102]) (Authenticated sender: fxxxx.crxxxx@arcor.de) by mail-in-13.arcor-online.net (Postfix) with ESMTPSA id 3mvnHx1ZGTz32FZ; Mon, 17 Aug 2015 09:36:45 +0200 (CEST)
Received: from [83.162.214.112] (port=50363 helo=WORLDST-UQ3K9Q0) by mx11.freenet.de with esmtpsa (ID frank.oxxxx@freenet.de) (TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256) (port 465) (Exim 4.85 #1) id 1ZQneE-00042W-Ly; Sun, 16 Aug 2015 04:26:10 +0200
Jedoch jede dieser Mails hatte als Absender diese eine T-Online-Adresse unseres Vertriebspartners und einen "Verteiler", der ihm zuzuordnen ist. Als Absendername stand dann immer eine wahllos aus der Verteilerliste ausgewählte Person oder Organisation. Und zwar ohne Umlaute / Sonderzeichen und genau so, wie sie in einer alten Mail dargestellt wurden, also nicht so, wie sie zum Beispiel im Exchange Adressbuch unserer Organisation gepflegt sind. Sieht man immer ganz gut an den Damen und Herren, die zwischenzeitlich mal ihren Namen zwecks Heirat zum Beispiel geändert haben und das Vorname Name genutzt wird, nicht Name, Vorname etc.
Es sind aus meiner Sicht also drei Fragen zu klären:
Woher stammen diese überaus exakten Verteiler (und wie kann man das verhindern, dass das weiter um sich greift), aus welchem "Hack" (und wie durchgeführt / wem muss man ansprechen, damit endlich diese zum Spammen legitimen Accounts ihr Passwort geändert bekommen, zur Not seitens der Provider...) stammen die zum Spam genutzten Mailaccounts und in welcher Verbindung steht das überhaupt alles zueinander?
Unser Partner verwendet ein iOS 8.4.1 iPhone und einen Windows 7 Rechner mit Outlook im Büro um auf den T-Online-Account zuzugreifen. Der Rechner ist mit einen aktuellen Antivirenschutz ausgestattet. Trojaner oder ähnliches vermute ich eher nicht, (auch wenn ich kein Scanergebnis kenne, da der Rechner nicht in meinen Dunstkreis fällt). Für mich sieht das momentan eher so aus, als hätten einige große Provider massive Probleme mit einen Hack, eventuell bringen die nächsten Tage etwas Klarheit in diese überaus ärgerliche Angelegenheit. Diese "spammenden" E-Mail-Adressen kann man jedoch "danach" so gut wie vergessen, da sie wohl in vielen manuellen Blacklists / Löschfiltern landen wird, da dieser Spam sehr effizient (da authentifiziert usw.) die Spamfilter umgeht. Einzig gemeinsames Merkmal ist aktuell der HELO "WORLDST-UQ3K9Q0" - danach lässt sich momentan auch gut "googlen".
Schöne Grüße
ich melde mich hier mal in meiner Freizeit dienstlich, da mir dieses Problem keine Ruhe bereitet.
Es hat leider einen Vertriebspartner von uns am Sonntag (das erste Mal) erwischt bzw. seine Mailadresse (von T-Online) wird verwendet um Kunden, Geschäftspartner, Bekannte etc. anzuschreiben. Das ist auch am Montag und heute aufgetreten, wobei der Betreff der Mails heute auf "Fw: important" anstatt "Fw: try it out" gewechselt hat.
Im Header und mit ein wenig Recherche im Netz ist mir folgendes aufgefallen: "WORLDST-UQ3K9Q0" ist immer das erste HELO, im Eingangspost dieses Threads ja auch, und verwendet mehrere offizielle, vertrauenswürdige SMTP-Server um sich dort mit korrekten Anmeldedaten anzumelden und die Spam-Mail von dort auf dem Weg zu schicken. Dabei wird dann jedoch der Absender (nicht nur der Anzeigename, sondern die eigentliche Absenderadresse), gefälscht, also es wird zum Beispiel ein Arcor-Account (Freenet, etcpp.) verwendet um sich am Arcor-SMTP-Server anzumelden, dann jedoch Mails mit der besagten T-Online-Adresse von dort aus versendet. Die T-Online-Adresse und die entsprechenden Empfänger der Mails stehen jedoch alle in einer Beziehung miteinander, es sind alles Adressen aus E-Mailobjekten, die diese T-Online-Adresse einmal legitim erreicht haben. Auch bereits seit Jahren veraltete Adressen aber offenbar gab es wohl noch so alte Mails auf dem Account (IMAP sei dank...)
Im obigen Beispiel ist ja auch im Header zu erkennen, dass der zuerst einliefernde User ordentlich authentifiziert war:
Received: from dsl-189-236-37-48-dyn.prod-infinitum.com.mx (HELO WORLDST-UQ3K9Q0) (189.236.37.48) by webserver.oddesigns.nl with ESMTPSA (DHE-RSA-AES256-GCM-SHA384 encrypted, authenticated); 16 Aug 2015 23:11:15 +0200
Davon habe ich in meiner Sammlung auch ein paar aber mit etwas deutlicheren Angaben im Header :
Received: from WORLDST-UQ3K9Q0 (cpe-77.38.53.102.cable.t-1.si [77.38.53.102]) (Authenticated sender: fxxxx.crxxxx@arcor.de) by mail-in-13.arcor-online.net (Postfix) with ESMTPSA id 3mvnHx1ZGTz32FZ; Mon, 17 Aug 2015 09:36:45 +0200 (CEST)
Received: from [83.162.214.112] (port=50363 helo=WORLDST-UQ3K9Q0) by mx11.freenet.de with esmtpsa (ID frank.oxxxx@freenet.de) (TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256) (port 465) (Exim 4.85 #1) id 1ZQneE-00042W-Ly; Sun, 16 Aug 2015 04:26:10 +0200
Jedoch jede dieser Mails hatte als Absender diese eine T-Online-Adresse unseres Vertriebspartners und einen "Verteiler", der ihm zuzuordnen ist. Als Absendername stand dann immer eine wahllos aus der Verteilerliste ausgewählte Person oder Organisation. Und zwar ohne Umlaute / Sonderzeichen und genau so, wie sie in einer alten Mail dargestellt wurden, also nicht so, wie sie zum Beispiel im Exchange Adressbuch unserer Organisation gepflegt sind. Sieht man immer ganz gut an den Damen und Herren, die zwischenzeitlich mal ihren Namen zwecks Heirat zum Beispiel geändert haben und das Vorname Name genutzt wird, nicht Name, Vorname etc.
Es sind aus meiner Sicht also drei Fragen zu klären:
Woher stammen diese überaus exakten Verteiler (und wie kann man das verhindern, dass das weiter um sich greift), aus welchem "Hack" (und wie durchgeführt / wem muss man ansprechen, damit endlich diese zum Spammen legitimen Accounts ihr Passwort geändert bekommen, zur Not seitens der Provider...) stammen die zum Spam genutzten Mailaccounts und in welcher Verbindung steht das überhaupt alles zueinander?
Unser Partner verwendet ein iOS 8.4.1 iPhone und einen Windows 7 Rechner mit Outlook im Büro um auf den T-Online-Account zuzugreifen. Der Rechner ist mit einen aktuellen Antivirenschutz ausgestattet. Trojaner oder ähnliches vermute ich eher nicht, (auch wenn ich kein Scanergebnis kenne, da der Rechner nicht in meinen Dunstkreis fällt). Für mich sieht das momentan eher so aus, als hätten einige große Provider massive Probleme mit einen Hack, eventuell bringen die nächsten Tage etwas Klarheit in diese überaus ärgerliche Angelegenheit. Diese "spammenden" E-Mail-Adressen kann man jedoch "danach" so gut wie vergessen, da sie wohl in vielen manuellen Blacklists / Löschfiltern landen wird, da dieser Spam sehr effizient (da authentifiziert usw.) die Spamfilter umgeht. Einzig gemeinsames Merkmal ist aktuell der HELO "WORLDST-UQ3K9Q0" - danach lässt sich momentan auch gut "googlen".
Schöne Grüße
Guten Morgen,
vielen Dank für die ausführliche Nachricht.
Den geänderten Betreff kann ich bestätigen, mein Bekannter bekam gestern wieder E-Mail mit gleichen Betreff "Fw: important". Mittlerweile hat sich auch die Telekom dazugeschaltet, welche anfangs jegliche "Schuld" von sich wies. Mittlerweile sehen Sie ein, dass dort komische Dinge passieren - aber es ist nach wie vor unklar wie die Angreifer an die Adressdaten kamen / kommen.
Ob der Bericht von Heise etc. was damit zu tun hat, weiß ich nicht. Da ist die Sprache von Web, GMX und 1&1 - aber vielleicht ist es der Telekom noch nicht aufgefallen. Fakt ist, der Datenabgriff ist innerhalb der letzten 4 Wochen passiert. Mein Bekannter hatte zum ersten Mal bei einem bestimmten Shop bestellt und auch dieser war in dem Verteiler, daher können wir das Ganze ein wenig eingrenzen.
Gruß
Toni
vielen Dank für die ausführliche Nachricht.
Den geänderten Betreff kann ich bestätigen, mein Bekannter bekam gestern wieder E-Mail mit gleichen Betreff "Fw: important". Mittlerweile hat sich auch die Telekom dazugeschaltet, welche anfangs jegliche "Schuld" von sich wies. Mittlerweile sehen Sie ein, dass dort komische Dinge passieren - aber es ist nach wie vor unklar wie die Angreifer an die Adressdaten kamen / kommen.
Ob der Bericht von Heise etc. was damit zu tun hat, weiß ich nicht. Da ist die Sprache von Web, GMX und 1&1 - aber vielleicht ist es der Telekom noch nicht aufgefallen. Fakt ist, der Datenabgriff ist innerhalb der letzten 4 Wochen passiert. Mein Bekannter hatte zum ersten Mal bei einem bestimmten Shop bestellt und auch dieser war in dem Verteiler, daher können wir das Ganze ein wenig eingrenzen.
Gruß
Toni
Guten Morgen,
ich habe das gleiche Problem. Seit dem 15.08. ca. 2:00 bekomme ich regelmäßig Bounce-mails (Rückmeldungen das Emails nicht zugestellt werden können, weil Spam, weil Postfach nicht mehr verfügbar) Am 18.08. kammen dann die ersten Beschwerden von meinen Freunden und Bekannten. Einer hat mir die Mail, die ich angeblich verschickt habe, weitergeleitet. Betreff war erst "Fw: try it out" jetzt ist er auf "Fw: important" geändert. Die Email enthalten immer wieder unterschiedliche Links.
Aktuell lösche ich ca. 1000 Bonce Mails pro Tag und habe auch Sorge das ich versehentlich was wichtiges weghaue.
Erst habe ich meine Passwörter geändert und meinen Rechner nach Viren oder Trojanern durchsucht -> ohne Ergebniss.
Dann habe ich meinen Anbieter kontaktiert. Er sagte das Problem ist in der Branche bekannt es laufen aktuell mehrerer MILLIONEN JoeJobs.
Wie meine Kontakte durchgesikert sind ist dem Anbieter allerdings ein Rätsel.
Meine Umgebung:
Anbieter: one.com
Rechner: macbook pro 2013
Betreibsystem: OS X Yosemite
Mail Client: Apple Mail
Hoffentlich wird dieses Spammer Arschl bald erwischt.
Gruß
Jörg
ich habe das gleiche Problem. Seit dem 15.08. ca. 2:00 bekomme ich regelmäßig Bounce-mails (Rückmeldungen das Emails nicht zugestellt werden können, weil Spam, weil Postfach nicht mehr verfügbar) Am 18.08. kammen dann die ersten Beschwerden von meinen Freunden und Bekannten. Einer hat mir die Mail, die ich angeblich verschickt habe, weitergeleitet. Betreff war erst "Fw: try it out" jetzt ist er auf "Fw: important" geändert. Die Email enthalten immer wieder unterschiedliche Links.
Aktuell lösche ich ca. 1000 Bonce Mails pro Tag und habe auch Sorge das ich versehentlich was wichtiges weghaue.
Erst habe ich meine Passwörter geändert und meinen Rechner nach Viren oder Trojanern durchsucht -> ohne Ergebniss.
Dann habe ich meinen Anbieter kontaktiert. Er sagte das Problem ist in der Branche bekannt es laufen aktuell mehrerer MILLIONEN JoeJobs.
Wie meine Kontakte durchgesikert sind ist dem Anbieter allerdings ein Rätsel.
Meine Umgebung:
Anbieter: one.com
Rechner: macbook pro 2013
Betreibsystem: OS X Yosemite
Mail Client: Apple Mail
Hoffentlich wird dieses Spammer Arschl bald erwischt.
Gruß
Jörg
Hallo,
über die Telekom habe ich ein paar Infos erhalten.
Die Infos stammen wohl aus gehackten mailservern aus dem Ausland, das eigentliche T-online Konto ist nicht betroffen, deshalb bringt PW Änderung nichts. Es wird nur im Namen des Betreffenden geschrieben, aber nicht vom Konto. (ihr wisst wie ich mein?)
Lösungmöglichkeit aktuell ist scheinbar nur Emailadresse ändern und allen Kontakten sagen, sie sollen die alte sperren..... Sie suchen aber mit Hochdruck nach einer anderen Lösung....
über die Telekom habe ich ein paar Infos erhalten.
Die Infos stammen wohl aus gehackten mailservern aus dem Ausland, das eigentliche T-online Konto ist nicht betroffen, deshalb bringt PW Änderung nichts. Es wird nur im Namen des Betreffenden geschrieben, aber nicht vom Konto. (ihr wisst wie ich mein?)
Lösungmöglichkeit aktuell ist scheinbar nur Emailadresse ändern und allen Kontakten sagen, sie sollen die alte sperren..... Sie suchen aber mit Hochdruck nach einer anderen Lösung....
Gleiche Antwort habe ich auch von meinem Provider bekommen, wie schon geschrieben handelt es sich um einen JoeJob.
Die Spammer verschicken über einen ausländischen Server Mails mit falschen Absender. Da gegen kann man nichts machen außer hoffen das er es irgenwann sein lässt.
Wichtiger wäre mir die Klärung der Frage wie die Spammer an meine Kontakte gekommen sind. Mein Mailpasswort ist recht lang und sicher, daher kann ich mir nicht erklären wie der Datendiebstahl hier lief. Zudem verwende ich ein Apple MacBook, welches für Viren wessentlich unanfälliger ist als Windows.
Die Spammer verschicken über einen ausländischen Server Mails mit falschen Absender. Da gegen kann man nichts machen außer hoffen das er es irgenwann sein lässt.
Wichtiger wäre mir die Klärung der Frage wie die Spammer an meine Kontakte gekommen sind. Mein Mailpasswort ist recht lang und sicher, daher kann ich mir nicht erklären wie der Datendiebstahl hier lief. Zudem verwende ich ein Apple MacBook, welches für Viren wessentlich unanfälliger ist als Windows.
habe seit dem wochenende das selbe problem.
email versand von einer meiner t-online adressen an leute die mir zwischen dem 08.07.15 und 14.07.15 eine mail geschrieben haben. komischerweise ist nur ein konto betroffen, wenn der rechner infiziert wäre, wären doch sicherlich alle kontos betroffen!?
letzte woche hatte ich den t-online server leer gemacht (abgerufen und alle gelöscht), der "angriff" muss also vor dem 08.08.15 stattgefunden haben, sonst hätten die täter nicht die adressen vom o.g. zeitraum gehabt.
als passwort habe ich ein sehr sicheres, inkl sonderzeichen etc.
bei adressaten mit umlauten im namen, wurde dieser einfach weg gelassen, also aus dem ausland...
komischerweise bekam ich heute morgen von einem aussendienstmitarbeiter von uns auf meine berufliche mailadresse, ebenfalls den spam der auch von meiner adresse verschickt wird, also ist auch er betroffen.
in diversen foren häufen sich ja die berichte über genau das problem. habe gerade bei der hotline angerufen (nach 42 min wartezeit) wurde mir gesagt das es sicherlich an meinem pc hänge, der mit sicherheit nicht richtig geschützt sei. naja, mit meinen gegenargumenten zu der aussage haben wir uns dann immer im kreis gedreht bis ich es dann aufgegeben habe.
auch wenns jetzt komisch klingt, ich hoffe ja doch das nun immer mehr nutzer die selben probleme haben, damit t-online vielleicht mal wach wird und sich drum kümmert.
deshalb sollte jeder der das selbe problem hat ebenfalls der telekom mitteilen damit sich was bewegt. gibt ja berichte wo täglich über 1000 mails zurückkommen. bei mir sind es zum glück nur maximal 10.
email versand von einer meiner t-online adressen an leute die mir zwischen dem 08.07.15 und 14.07.15 eine mail geschrieben haben. komischerweise ist nur ein konto betroffen, wenn der rechner infiziert wäre, wären doch sicherlich alle kontos betroffen!?
letzte woche hatte ich den t-online server leer gemacht (abgerufen und alle gelöscht), der "angriff" muss also vor dem 08.08.15 stattgefunden haben, sonst hätten die täter nicht die adressen vom o.g. zeitraum gehabt.
als passwort habe ich ein sehr sicheres, inkl sonderzeichen etc.
bei adressaten mit umlauten im namen, wurde dieser einfach weg gelassen, also aus dem ausland...
komischerweise bekam ich heute morgen von einem aussendienstmitarbeiter von uns auf meine berufliche mailadresse, ebenfalls den spam der auch von meiner adresse verschickt wird, also ist auch er betroffen.
in diversen foren häufen sich ja die berichte über genau das problem. habe gerade bei der hotline angerufen (nach 42 min wartezeit) wurde mir gesagt das es sicherlich an meinem pc hänge, der mit sicherheit nicht richtig geschützt sei. naja, mit meinen gegenargumenten zu der aussage haben wir uns dann immer im kreis gedreht bis ich es dann aufgegeben habe.
auch wenns jetzt komisch klingt, ich hoffe ja doch das nun immer mehr nutzer die selben probleme haben, damit t-online vielleicht mal wach wird und sich drum kümmert.
deshalb sollte jeder der das selbe problem hat ebenfalls der telekom mitteilen damit sich was bewegt. gibt ja berichte wo täglich über 1000 mails zurückkommen. bei mir sind es zum glück nur maximal 10.
@madbyte
an die Adressen sind die Täter ganz leicht gekommen, die haben einfach die mails vom Server abgerufen und damit hatten sie sie
an die Adressen sind die Täter ganz leicht gekommen, die haben einfach die mails vom Server abgerufen und damit hatten sie sie
habe heute morgen meine Mail-Adresse gelöscht und ne andere eingerichtet. Wird das reichen oder muss jeder meine alte Adresse als SPAM aussotieren??
Mittlerweile gibt es auf Golem einen Newsbeitrag darüber:
Massenhaft Spam über T-Online-Konten versendet
Aber auch der verrät nicht wo die Spammails herkommen oder wie die Täter an die Daten gekommen sind.
"Wie die Spammer an die Adressbücher gelangt sind, ist bisher unbekannt. Erste Hinweise deuten aber daruf hin, dass die Spammer sich auch Zugang den Adressbückern verschafft haben. Dazu müssten sie jedoch die Login-Daten der Betroffenen haben."
"Bei einem Anruf im Kundencenter der Telekom wurde uns daher geraten, sämtliche Passwörter zu ändern, sollten Spam-E-Mails in unserem Namen versendet worden sein."
Mehr als Passwörter ändern kann man also aktuell nicht machen (ausser zu hoffen, dass niemand auf die Links in den Spammails klickt :D )
Und es sind anscheinend nicht nur t-online Konten betroffen.
"Wie uns die Telekom jedoch bereits mitteilte, sind auch andere Anbieter betroffen"
Gruss
Crazy
Massenhaft Spam über T-Online-Konten versendet
Aber auch der verrät nicht wo die Spammails herkommen oder wie die Täter an die Daten gekommen sind.
"Wie die Spammer an die Adressbücher gelangt sind, ist bisher unbekannt. Erste Hinweise deuten aber daruf hin, dass die Spammer sich auch Zugang den Adressbückern verschafft haben. Dazu müssten sie jedoch die Login-Daten der Betroffenen haben."
"Bei einem Anruf im Kundencenter der Telekom wurde uns daher geraten, sämtliche Passwörter zu ändern, sollten Spam-E-Mails in unserem Namen versendet worden sein."
Mehr als Passwörter ändern kann man also aktuell nicht machen (ausser zu hoffen, dass niemand auf die Links in den Spammails klickt :D )
Und es sind anscheinend nicht nur t-online Konten betroffen.
"Wie uns die Telekom jedoch bereits mitteilte, sind auch andere Anbieter betroffen"
Gruss
Crazy
Das Telekom setzt eher auf Ausschweigen.
Das Problem besteht scheinbar schon länger aber eine Reaktion der Telekom erfolgt erst wenn die Presse gross darüber schreibt.
http://www.t-online.de/computer/sicherheit/id_75115714/deutsche-telekom ...
Das Problem ist wohl bei der Telekom schon länger bekannt. Die Tipps sind für den A*
Das Problem besteht scheinbar schon länger aber eine Reaktion der Telekom erfolgt erst wenn die Presse gross darüber schreibt.
http://www.t-online.de/computer/sicherheit/id_75115714/deutsche-telekom ...
Das Problem ist wohl bei der Telekom schon länger bekannt. Die Tipps sind für den A*
Ich kann jedenfalls bestätigen das nicht nur Telekom betroffen ist, ich bin bei one.com und habe das gleiche Problem.
Habe allerdings seit heute morgen keine Bonce Mails mehr bekommen, vielleicht ist der JoeJob zu Ende.... Hoffentlich...
Habe allerdings seit heute morgen keine Bonce Mails mehr bekommen, vielleicht ist der JoeJob zu Ende.... Hoffentlich...
Würde es sich "nur" um einen JoeJob handeln, würde ich mir keine großen Gedanken machen.
Dann hat man nervige Bounce-Mails und landet möglicherweise in SPAM-Filtern, aber das war's dann auch.
Diese Spam-Mails gehen jedoch an Empfängen aus dem eigenem Mail-Account, das heißt, es gab definitiv direkten Zugriff auf das eigene Benutzerkonto.
Und genau da stellt sich die Frage, wie die Daten ausgespäht wurden, da die meisten User, die dieses Problem im Internet diskutieren sowohl Ahnung von IT, als auch ein gut funktionierendes Antiviren-Programm haben (oder man das zumindest hoffen kann). Also liegt die Sache vermutlich bei Seiten des Betreibers oder beim Zugriff auf sein Mail-Konto.
Um nochmal auf den Telekom-Support zurück zu kommen:
Beim ersten Anruf gestern kamen die Standard-Antworten: Aktuelles Virenprogramm, Rechner nochmal absuchen, Passwort ändern...
Heute wurden dann zumindest bereits gesagt, dass das Problem bereits bekannt ist und sich das Abuse-Team darum kümmert und analysiert.
Dann hat man nervige Bounce-Mails und landet möglicherweise in SPAM-Filtern, aber das war's dann auch.
Diese Spam-Mails gehen jedoch an Empfängen aus dem eigenem Mail-Account, das heißt, es gab definitiv direkten Zugriff auf das eigene Benutzerkonto.
Und genau da stellt sich die Frage, wie die Daten ausgespäht wurden, da die meisten User, die dieses Problem im Internet diskutieren sowohl Ahnung von IT, als auch ein gut funktionierendes Antiviren-Programm haben (oder man das zumindest hoffen kann). Also liegt die Sache vermutlich bei Seiten des Betreibers oder beim Zugriff auf sein Mail-Konto.
Um nochmal auf den Telekom-Support zurück zu kommen:
Beim ersten Anruf gestern kamen die Standard-Antworten: Aktuelles Virenprogramm, Rechner nochmal absuchen, Passwort ändern...
Heute wurden dann zumindest bereits gesagt, dass das Problem bereits bekannt ist und sich das Abuse-Team darum kümmert und analysiert.
Zitat von @madbyte:
Ich kann jedenfalls bestätigen das nicht nur Telekom betroffen ist, ich bin bei one.com und habe das gleiche Problem.
Habe allerdings seit heute morgen keine Bonce Mails mehr bekommen, vielleicht ist der JoeJob zu Ende.... Hoffentlich...
Ich kann jedenfalls bestätigen das nicht nur Telekom betroffen ist, ich bin bei one.com und habe das gleiche Problem.
Habe allerdings seit heute morgen keine Bonce Mails mehr bekommen, vielleicht ist der JoeJob zu Ende.... Hoffentlich...
Auf unseren Sophos UTM Smarthosts waren heute morgen um 6-7 Uhr herum wieder hunderte Mails von der besagten T-Online-Adresse an die Adressen unserer Orga der letzten Tage abgewiesen wurden. Leider sehe ich da keine Headerdaten / Betreffs mehr, da die Sophos durch die manuelle Blacklist auf die T-Online Adresse zwar für Ruhe bei uns in der Firma sorgt aber auch die Verbindung mit 554 bei Einlieferung zuklappt...
Bisslang war es aber auch immer nur eine Welle pro Tag zwischen 4 und 9 Uhr morgens.
Also freu dich schon mal auf morgen Früh :P
Grüße
Tja.... Leider hast du Recht. Bis jetzt schon fast 300 Bonce Mails. Noch mehr als gestern.
Ich entwickel langsam Hass gegen diese Kriminellen. Was bezwecken die damit? Der Dreck wirkt sich sogar schon auf die Akkulaufzeit unserers Smartphones aus.
Ich entwickel langsam Hass gegen diese Kriminellen. Was bezwecken die damit? Der Dreck wirkt sich sogar schon auf die Akkulaufzeit unserers Smartphones aus.
Hallo,
das Problem ist klar, die bösen Buben haben die zu einer (T-Online) Adresse passenden E-Mail Adressen der Bekannten und Freunde. Dies kann durch Zugriff bei der Telekom oder ganz einfach durch einen gezielt dazu eingesetzten Trojaner geschehen sein. In der Regel ist der Zugriff auch schon eine Weile her, da solche Aktionen möglichst über einen längeren Zeitraum geheim gehalten werden bis man genug Adressen beisammen hat.
Gibt es hier irgend jemand der seine T-Online Kontakte *mit Sicherheit* nur bei der Telekom liegen hat und hatte (auch keine Syncronisation auf den lokalen PC oder Handy) und davon betroffen ist?
Ansonsten ist es wahrscheinlicher das irgend ein Trojaner/Browsererweiterung die Daten lokal abgegriffen hat und an den Herrn und Meister geschickt hat. Das funktioniert sogar ohne echten Exploit, da diese Daten mit den entsprechenden Benutzerrechten im Zugriff sind und so oft ein wenig Javascript oder eine tolle Toolbar reicht.
Das selbe Problem hatten wir übrigens vor kurzem mit Yahoo Benutzern, auch dort wurde nie ein Konto EInbruch festgestellt, aber auch kein "echter" dauerhafter Trojaner auf den Maschinen gefunden.
Gruß
Andi
das Problem ist klar, die bösen Buben haben die zu einer (T-Online) Adresse passenden E-Mail Adressen der Bekannten und Freunde. Dies kann durch Zugriff bei der Telekom oder ganz einfach durch einen gezielt dazu eingesetzten Trojaner geschehen sein. In der Regel ist der Zugriff auch schon eine Weile her, da solche Aktionen möglichst über einen längeren Zeitraum geheim gehalten werden bis man genug Adressen beisammen hat.
Gibt es hier irgend jemand der seine T-Online Kontakte *mit Sicherheit* nur bei der Telekom liegen hat und hatte (auch keine Syncronisation auf den lokalen PC oder Handy) und davon betroffen ist?
Ansonsten ist es wahrscheinlicher das irgend ein Trojaner/Browsererweiterung die Daten lokal abgegriffen hat und an den Herrn und Meister geschickt hat. Das funktioniert sogar ohne echten Exploit, da diese Daten mit den entsprechenden Benutzerrechten im Zugriff sind und so oft ein wenig Javascript oder eine tolle Toolbar reicht.
Das selbe Problem hatten wir übrigens vor kurzem mit Yahoo Benutzern, auch dort wurde nie ein Konto EInbruch festgestellt, aber auch kein "echter" dauerhafter Trojaner auf den Maschinen gefunden.
Gruß
Andi
Hallo,
wir nutzen ausschließlich das T-Online - "Online Adressbuch". Keine Mobilgeräte mit Mailclient, keine PC's mit Mailclient. kein POP/IMAP-Abruf der Mails. Nur das Web-Interface.
Bisher sind wir aber auch noch nicht betroffen.
Wenn das wirklich der Grund sein sollte, könnte es ja auch sein, dass irgendwo die Mailheader aus dem laufenden Mailverkehr mitgeschnitten wurden und daraus <FROM>, <TO>, <cc>, <BCC> extrahiert und gesammelt wurden.
Gruß
Holger
wir nutzen ausschließlich das T-Online - "Online Adressbuch". Keine Mobilgeräte mit Mailclient, keine PC's mit Mailclient. kein POP/IMAP-Abruf der Mails. Nur das Web-Interface.
Bisher sind wir aber auch noch nicht betroffen.
Wenn das wirklich der Grund sein sollte, könnte es ja auch sein, dass irgendwo die Mailheader aus dem laufenden Mailverkehr mitgeschnitten wurden und daraus <FROM>, <TO>, <cc>, <BCC> extrahiert und gesammelt wurden.
Gruß
Holger
Hallo Leute,
nachdem ich gestern einen unserer Rootserver geprüft habe und mir die Mailqueue angesehen habe stellte sich heraus das etwas nicht stimmt. Es waren ca. 100 Emails in der Mailqeue die nicht zugestellt wurden und zusätzlich noch von gefälschten Abensendern stammten und an größere Mengen an Emailadressen adressiert waren. Da es sich um einen gut abgesicherten Server handelt und unsere IPs weder in den einschlägigen Spamblacklists gelistet wurde noch ein Openrelay vorliegt war ich mir sicher das das Problem nicht am Server selbst liegen kann. Nach einem Blick in die Logfiles war mir sofort klar was hier los war. Zwei Emailaccounts unserer Kunden war kompromittiert worden. Die SMTP Authentifizierung für diese 2 Emailaccounts wurde von verschiedenen IPs (vermutlich Botnet IPs) durchgeführt, allerdings nicht im sonst üblichen Vollgasverfahren sondern in einigem Abstand, wohl um die Aktion nicht zu auffällig. Die Gemeinsamkeit der IPs war ebenfalls die Kennung WORLDST-UQ3K9Q0, allerdings nicht bei allen IPs. Ich habe unverzüglich die Passwörter der 2 Emailaccounts geändert was sofort dazu geführt hat das nun keine Emails mehr durch dieses dubiose Botnet verschickt werden. In den Logfiles ist zu sehen wie weiterhin versucht wird Emails zu verschicken, jedoch die Passwortauthentifizierung scheitert. Zum jetzigen Stand dieses Beitrags kann ich noch nicht sagen ob die PCs des Kunden kompromittiert worden sind und dadurch das Passwort ausgelesen wurde, das Passwort per Bruteforce/Wordlist erraten wurde oder ob es durch eine Phishing-Aktion abhanden kam. Ich werde die nächsten Tage mit Adleraugen die Logfiles überwachen und dadurch feststellen ob nochmal eine Authentifizierung durch eine dieser Botnet IPs erfolgreich sein wird.
Allen betroffenen empfehle ich deshalb DRINGEND das Passwort des Emailkontos zu ändern und bei der Vergabe auf Länge und Komplexität zu achten.
Viele Grüße
flamingmoe
nachdem ich gestern einen unserer Rootserver geprüft habe und mir die Mailqueue angesehen habe stellte sich heraus das etwas nicht stimmt. Es waren ca. 100 Emails in der Mailqeue die nicht zugestellt wurden und zusätzlich noch von gefälschten Abensendern stammten und an größere Mengen an Emailadressen adressiert waren. Da es sich um einen gut abgesicherten Server handelt und unsere IPs weder in den einschlägigen Spamblacklists gelistet wurde noch ein Openrelay vorliegt war ich mir sicher das das Problem nicht am Server selbst liegen kann. Nach einem Blick in die Logfiles war mir sofort klar was hier los war. Zwei Emailaccounts unserer Kunden war kompromittiert worden. Die SMTP Authentifizierung für diese 2 Emailaccounts wurde von verschiedenen IPs (vermutlich Botnet IPs) durchgeführt, allerdings nicht im sonst üblichen Vollgasverfahren sondern in einigem Abstand, wohl um die Aktion nicht zu auffällig. Die Gemeinsamkeit der IPs war ebenfalls die Kennung WORLDST-UQ3K9Q0, allerdings nicht bei allen IPs. Ich habe unverzüglich die Passwörter der 2 Emailaccounts geändert was sofort dazu geführt hat das nun keine Emails mehr durch dieses dubiose Botnet verschickt werden. In den Logfiles ist zu sehen wie weiterhin versucht wird Emails zu verschicken, jedoch die Passwortauthentifizierung scheitert. Zum jetzigen Stand dieses Beitrags kann ich noch nicht sagen ob die PCs des Kunden kompromittiert worden sind und dadurch das Passwort ausgelesen wurde, das Passwort per Bruteforce/Wordlist erraten wurde oder ob es durch eine Phishing-Aktion abhanden kam. Ich werde die nächsten Tage mit Adleraugen die Logfiles überwachen und dadurch feststellen ob nochmal eine Authentifizierung durch eine dieser Botnet IPs erfolgreich sein wird.
Allen betroffenen empfehle ich deshalb DRINGEND das Passwort des Emailkontos zu ändern und bei der Vergabe auf Länge und Komplexität zu achten.
Viele Grüße
flamingmoe
Tja, was soll ich sagen ich stehe jetzt bei 1800 Bounce-Mails und das allein heute....
Das PW zu ändern wird nichts bringen, die Mails werden über fremde Server verschickt.
Da ich meine Mail Domain selbst per MX verwalte, kann ich auch sehen das es keine Zugriffe auf mein Mailsystem gab.
Trojaner und andere Schadsoftware kann ich doppelt ausschließen, da wir mit Apple Rechnern arbeiten, die über einen Linuxserver im Netz hängen wären sie, bzw. ihre Kommunikation aufgefallen, zudem haben Virenscanner nichts gefunden.
Ich gehe stark von einem Exploit im SMTP Header aus, den der/die Täter ausnutzen um den Mailverkehr abzuhören.
Auffällig ist das nur Emailadressen, mit dennen ich in den letzten 5 Monaten kontakte hatte, SPAM Mails bekommen.
Alles was älter als 5 Monate ist, ist nicht betroffen (obwohl die Daten in den Kontakten und Posteingang liegen).
Wenn das so weiter geht, schreibe ich wieder Briefe :D
Das PW zu ändern wird nichts bringen, die Mails werden über fremde Server verschickt.
Da ich meine Mail Domain selbst per MX verwalte, kann ich auch sehen das es keine Zugriffe auf mein Mailsystem gab.
Trojaner und andere Schadsoftware kann ich doppelt ausschließen, da wir mit Apple Rechnern arbeiten, die über einen Linuxserver im Netz hängen wären sie, bzw. ihre Kommunikation aufgefallen, zudem haben Virenscanner nichts gefunden.
Ich gehe stark von einem Exploit im SMTP Header aus, den der/die Täter ausnutzen um den Mailverkehr abzuhören.
Auffällig ist das nur Emailadressen, mit dennen ich in den letzten 5 Monaten kontakte hatte, SPAM Mails bekommen.
Alles was älter als 5 Monate ist, ist nicht betroffen (obwohl die Daten in den Kontakten und Posteingang liegen).
Wenn das so weiter geht, schreibe ich wieder Briefe :D
In unserem Fall war es tatsächlich so das über die 2 Emailkonten SMTP Authentifizierungen durchgeführt wurden um tatsächlich Emails zu verschicken. Bounces kamen natürlich noch obendrauf. Um die Bouncerate etwas einzudämmen kannst Du darüber nachdenken DKIM und SPF Records in Deinem DNS zu setzen. Das sollte zumindest die Masse der Bounces eindämmen., hängt jedoch stark davon ab von wo die Emails tatsächlich abgesendet werden.
Viele Grüße
flamingmoe
Viele Grüße
flamingmoe
Habe gestern meine Mail -Adresse gewechselt und die alte Mailadresse gelöscht.. Heute ist bei meinen Mail-kontakten keine Spam mehr eingegangen, was ich eigentlich nicht ganz verstehe, wenn der Versand nicht über den T-Online-server erfolgt, sondern von anderswo...
Zitat von @madbyte:
Ich gehe stark von einem Exploit im SMTP Header aus, den der/die Täter ausnutzen um den Mailverkehr abzuhören.
Ich gehe stark von einem Exploit im SMTP Header aus, den der/die Täter ausnutzen um den Mailverkehr abzuhören.
+1 für so etwas in der Art.
- Passwort ändern brachte nichts.
- Passwort ändern und nur mobil an die Mails, ditto.
Im Schnitt alle 24h 6x Verbindungen, die jeweils nur 1x Mail an eine von 5 Adressen der gleichen Domain schicken.
Nahezu zeitgleich dann JoeJobs von extern mit der Adresse des Accounts als Absender an (soweit ich das sehe) sein komplettes Adressbuch.
Wenn ich unauthorisierten Versand ausschliessen will bleibt zZt nur noch der Router (Fritzbox) oder die Mobilverbindung der Telekom.
Dieser Post war wohl Übermüdung und aufkeimender Paranoia geschuldet. Sorry wegen des Lärms.
Was ich als relay betrachtet habe waren einfache lokale Zustellungen.
Im Unterschied zu einer regulären Verbindung sehe ich hier: "P=esmtps" in der Exim mainlog.
Bei regulären Verbindungen sollte hier "P=esmtpsa" stehen.
Bedeutet dies nicht, dass die Verbindung es schafft, ohne Authentifizierung ihre Mail zu senden?
siehe: http://www.gossamer-threads.com/lists/exim/users/98628#98628
Es läuft Exim auf Squeeze. Mit allen LTS patches, forciertem SSL/TLS, ziemlich strikten iptables und fail2ban gegen dict-attacks. SPF und DKIM sind gesetzt.
Zur Zeit alles für nüschte.
Die Empfänger mögen aus dem Fundus der Telekom kommen, mich interessiert aber vielmehr Pattern und Art der Verbindungen.
Hallo emkay2
könntest Du einen größeren Teil Deines Exim Mainlogs bereitstellen damit man den gesamten Ablauf besser sehen kann? Also von der Authentifizierung bis zur Abgabe und dem Versand der Email? Gerne anonymisiert und per PN, würde mich echt brennend interessieren was da los ist.
Viele Grüße
flamingmoe
P.S: Update / Bei uns ist es seit der Änderung der Passwörter der 2 Accounts ruhig geblieben. Es wurde mehrfach versucht über dynamische IPs eine Authentifizierung durchzuführen als auch Spam an die wohl nun bekannten Emailadressen zuzustellen. Wir blocken momentan relativ erfolgreich mit Greylisting und Spamhaus, Spamcop und Sorbs RBLs.
könntest Du einen größeren Teil Deines Exim Mainlogs bereitstellen damit man den gesamten Ablauf besser sehen kann? Also von der Authentifizierung bis zur Abgabe und dem Versand der Email? Gerne anonymisiert und per PN, würde mich echt brennend interessieren was da los ist.
Viele Grüße
flamingmoe
P.S: Update / Bei uns ist es seit der Änderung der Passwörter der 2 Accounts ruhig geblieben. Es wurde mehrfach versucht über dynamische IPs eine Authentifizierung durchzuführen als auch Spam an die wohl nun bekannten Emailadressen zuzustellen. Wir blocken momentan relativ erfolgreich mit Greylisting und Spamhaus, Spamcop und Sorbs RBLs.
Zeitgleich dann mails über externe IPs mit 'user@example.com' als Absender and willkürlichen Namen aus seinem Adressbuch als Absender-Name.
Hallo,
habe heute folgende Mail bekommen:
"wir" = unsere E-mail-Adresse
Diagnostic information for administrators:
Generating server: rockwool.com
d* * * * .* * * * * * * er@rockwool.com
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##rfc822;d* * * *.* * * * * * *er@rockwool.com
Original message headers:
habe heute folgende Mail bekommen:
"wir" = unsere E-mail-Adresse
Diagnostic information for administrators:
Generating server: rockwool.com
d* * * * .* * * * * * * er@rockwool.com
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##rfc822;d* * * *.* * * * * * *er@rockwool.com
Original message headers:
Received: from GDCSREX90.rwgroup.org (10.45.225.227) by bdcsrex01.rwgroup.org
(10.45.202.29) with Microsoft SMTP Server (TLS) id 14.3.181.6; Fri, 21 Aug
2015 11:29:06 +0200
Received: from mailout02.t-online.de (194.25.134.17) by rockmx03.rockwool.com
(10.45.225.227) with Microsoft SMTP Server (TLS) id 14.3.235.1; Fri, 21 Aug
2015 11:28:45 +0200
Received: from fwd10.aul.t-online.de (fwd10.aul.t-online.de [172.20.26.152])
by mailout02.t-online.de (Postfix) with SMTP id DE4EA1D0F2D for
<d * * * *.* * * * * * *er@rockwool.com>; Fri, 21 Aug 2015 11:29:04 +0200 (CEST)
Received: from cmpweb19
(T5uO5iZUwhu69CIo9hhjneKE0sWcbJnJyLe-nQTc-hEJv2huwx4-o9+uU+4PrB2Q+i@[172.20.102.121])
by fwd10.aul.t-online.de with esmtp id 1ZSid7-1FoI1w0; Fri, 21 Aug 2015
11:28:57 +0200
MIME-Version: 1.0
Received: from 88.150.##.##:42789 by cmpweb19.aul.t-online.de with HTTP/1.1
(Lisa V3-8-3-0.12524 on API V3-27-0-0)
Date: Fri, 21 Aug 2015 11:28:57 +0200
Reply-To: "wir@t-online.de" <wir@t-online.de>
To: <d * * * *.* * * * * * *er@rockwool.com>
X-Priority: 3
X-UMS: email
X-Mailer: DTAG E-Mail Center 3.8.3.0.12524 (api 3.27.0.0, alps 4.23.0.0)
Message-ID: <49313702255d6ef59036d57.54305160@email.t-online.de>
Subject: Mitarbeiterinformation
From: "wir@t-online.de" <wir@t-online.de>
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
X-ID: T5uO5iZUwhu69CIo9hhjneKE0sWcbJnJyLe-nQTc-hEJv2huwx4-o9+uU+4PrB2Q+i@t-dialin.net
X-TOI-MSGID: c866ff17-d69d-4dd6-9747-fdd7c9462169
Return-Path: Dr.Borg-MD@t-online.de
Received-SPF: None (GDCSREX90.rwgroup.org: wir@t-online.de does not
designate permitted sender hosts)
Moin. Langsam finden sich erste Infos zu dieser Problematik. Die besagten Mails mit dem Betreff "FW: Important" (es gibt auch zeitweise parallel einen zweiten Ableger mit einem weiteren Wort im Betreff zusätzlich zu important) sind seit August in Umlauf. Die gesamte Aktion scheint aber auch schon deutlich länger zu laufen - zumindest was das Schema betrifft (kurzer Text mit einem Link).
Bei uns in der Firma liefen mindestens schon seit 23.07.2015 solche Mails durch die Firewall und haben unseren Mailserver bombardiert. Ich sage "mindestens", weil ich leider auf die Wochen davor keine Logfiles mehr habe - bin aber der Überzeugung, dass das durchaus schon länger läuft.
Vor den aktuellen Important-Mails war der Betreff sehr oft und lange nach dem Schema (beispielsweise) "FW:RE: 8/9/2015 9:05 AM" und derer unterschiedliche Kombinationen. Also mal nur "RE:" oder nur "FW:" und mal das Datum oder Uhrzeit mit führenden Nullen usw.
Woher die Daten der vermeintlichen Absender kommen, ist noch immer unklar. Die ersten Wochen betraf es überwiegend polnische Absender. Später dann auch einige andere internationale Provider (z.B. Yahoo) und aktuell eben Absender von T-Online.
Die Stichprobenatig von mir bisher inspizierten Mails waren durch die Bank Mails mit gefälschtem Absender.
Einzige halbwegs wirksame Methode, um solche Mails einzudämmen, wäre der Einsatz von DKIM und SPF. Das ganze dann noch gewürzt mit DMARC (vereint DKIM und SPF sehr wirksam). Das ist dann allerdings Aufgabe der jeweiligen ISPs. Würde z.B. T-Online mindestens SPF einsetzen, würden die besagten Mails mit den gefälschten T-Online-Absendern zumindest nicht mehr raus gehen.
Nichts desto trotz: bleibt noch immer die bisher scheinbar ungeklärte Frage offen: woher haben die BadBoys die Adressen - und vor allem in einer dermaßen detailierten Zuordnung zu andern Mailadressen, die mit den Eigentümern dieser Adressen in Zusammenhang stehen.
Es bleibt spannend...leider.
Bei uns in der Firma liefen mindestens schon seit 23.07.2015 solche Mails durch die Firewall und haben unseren Mailserver bombardiert. Ich sage "mindestens", weil ich leider auf die Wochen davor keine Logfiles mehr habe - bin aber der Überzeugung, dass das durchaus schon länger läuft.
Vor den aktuellen Important-Mails war der Betreff sehr oft und lange nach dem Schema (beispielsweise) "FW:RE: 8/9/2015 9:05 AM" und derer unterschiedliche Kombinationen. Also mal nur "RE:" oder nur "FW:" und mal das Datum oder Uhrzeit mit führenden Nullen usw.
Woher die Daten der vermeintlichen Absender kommen, ist noch immer unklar. Die ersten Wochen betraf es überwiegend polnische Absender. Später dann auch einige andere internationale Provider (z.B. Yahoo) und aktuell eben Absender von T-Online.
Die Stichprobenatig von mir bisher inspizierten Mails waren durch die Bank Mails mit gefälschtem Absender.
Einzige halbwegs wirksame Methode, um solche Mails einzudämmen, wäre der Einsatz von DKIM und SPF. Das ganze dann noch gewürzt mit DMARC (vereint DKIM und SPF sehr wirksam). Das ist dann allerdings Aufgabe der jeweiligen ISPs. Würde z.B. T-Online mindestens SPF einsetzen, würden die besagten Mails mit den gefälschten T-Online-Absendern zumindest nicht mehr raus gehen.
Nichts desto trotz: bleibt noch immer die bisher scheinbar ungeklärte Frage offen: woher haben die BadBoys die Adressen - und vor allem in einer dermaßen detailierten Zuordnung zu andern Mailadressen, die mit den Eigentümern dieser Adressen in Zusammenhang stehen.
Es bleibt spannend...leider.
