63065
27.11.2008, aktualisiert am 04.12.2008
7146
8
0
Client schickt (Spam-)Mails an sich selbst
Hallo zusammen,
ich habe zur Zeit einen etwas merkwürdigen Vorfall. Bei 2 Benutzern im LAN werden EMails vom eigenen Absender an sich selbst verschickt. Ich habe das auf dem Exchange überprüft, es haldelt sich tatsächlich um eine lokale Zustellung und nicht um eine gefälschte Absenderadresse.
Der Inhalt der Spammails ist immer gleich, der Betreff wechselt.
Ich vermute die 2 Clients haben sich einen Virus/ Trojaner eingefangen. Leider konnte ich mit dem Sachverhalt nichts brauchbares ergoogeln. Vielleicht kennt hier jemand das Problem?
Hier mal der Inhalt der Spammail:
Betreff: not sissy, but real man
Wichtigkeit: Hoch
Having trouble viewing this email? Click here to view as a webpage. <http://www.yafedan.cn/>
About this mailing:
You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the "Unsubscribe" link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers' content nor any of the goods or service advertised. Prices and item availability subject to change without notice.
2008 Microsoft | Unsubscribe <http://www.yafedan.cn/> | More Newsletters <http://www.yafedan.cn/> | Privacy <http://www.yafedan.cn/>
Microsoft Corporation, One Microsoft Way, Redmond, WA 98052
Bin für jeden Hinweis dankbar!
Grüße
AERO
ich habe zur Zeit einen etwas merkwürdigen Vorfall. Bei 2 Benutzern im LAN werden EMails vom eigenen Absender an sich selbst verschickt. Ich habe das auf dem Exchange überprüft, es haldelt sich tatsächlich um eine lokale Zustellung und nicht um eine gefälschte Absenderadresse.
Der Inhalt der Spammails ist immer gleich, der Betreff wechselt.
Ich vermute die 2 Clients haben sich einen Virus/ Trojaner eingefangen. Leider konnte ich mit dem Sachverhalt nichts brauchbares ergoogeln. Vielleicht kennt hier jemand das Problem?
Hier mal der Inhalt der Spammail:
Betreff: not sissy, but real man
Wichtigkeit: Hoch
Having trouble viewing this email? Click here to view as a webpage. <http://www.yafedan.cn/>
About this mailing:
You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the "Unsubscribe" link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers' content nor any of the goods or service advertised. Prices and item availability subject to change without notice.
2008 Microsoft | Unsubscribe <http://www.yafedan.cn/> | More Newsletters <http://www.yafedan.cn/> | Privacy <http://www.yafedan.cn/>
Microsoft Corporation, One Microsoft Way, Redmond, WA 98052
Bin für jeden Hinweis dankbar!
Grüße
AERO
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 102829
Url: https://administrator.de/contentid/102829
Ausgedruckt am: 26.11.2024 um 05:11 Uhr
8 Kommentare
Neuester Kommentar
Zitat von @63065:
Ich vermute die 2 Clients haben sich einen Virus/ Trojaner
eingefangen. Leider konnte ich mit dem Sachverhalt nichts brauchbares
ergoogeln. Vielleicht kennt hier jemand das Problem?
Ich vermute die 2 Clients haben sich einen Virus/ Trojaner
eingefangen. Leider konnte ich mit dem Sachverhalt nichts brauchbares
ergoogeln. Vielleicht kennt hier jemand das Problem?
Rechner sofort vom Netz nehmen und mit entsprechenden Tools scannen.
J.
Ja das hört sich anch Viren/Trojanern auf den Clients an:
-Rechner vom Netz
- Systemwiederherstellung ausschaten
- letzten Wiederherstellungspunkt löschen
- Mit Adaware/Spybot/avast scannen
... passt
-Rechner vom Netz
- Systemwiederherstellung ausschaten
- letzten Wiederherstellungspunkt löschen
- Mit Adaware/Spybot/avast scannen
... passt
Jo, Adaware und Spybot habe ich schon durch. Bisher wurde nichts gefunden außer ein paar Tracking-Cookies...
hmm, dann kann ich dir nur noch Bitdefender nahelegen.
Ist das ein Firmennetzwerk?
Habt ihr aktiven viren/trojaner Schutz alá TrendMicros etc.?
versuche nochmals einen Scan im abgesicherten Modus.
Wenn nicht, wirste ihn kaum mit nem scanner finden können, evtl findest du ja eine Info über google, auf irgendeinem Virenindex wird schon stehen wo er sich versteckt, dann knoppix booten und die Sau löschen ;)
viel glück, und bitte Ergebnis posten falls uns das auch mal passiert.
Ist das ein Firmennetzwerk?
Habt ihr aktiven viren/trojaner Schutz alá TrendMicros etc.?
versuche nochmals einen Scan im abgesicherten Modus.
Wenn nicht, wirste ihn kaum mit nem scanner finden können, evtl findest du ja eine Info über google, auf irgendeinem Virenindex wird schon stehen wo er sich versteckt, dann knoppix booten und die Sau löschen ;)
viel glück, und bitte Ergebnis posten falls uns das auch mal passiert.
Servus,
es gibt einen kleinen aber gemeinen Tipp meinerseits - mit Parboiled Garantie wenns denn sein muß.
Es soll Viren/Würmer und Konsorten geben, die sind in der Lage sich vor Virenscannern/Adware Software verstecken zu können.
Daher ein Be --- s troffenes System immer unter "falscher" Flagge / Boot CD scannen - alles andere ist Zeitverschwendung.
Gruß
es gibt einen kleinen aber gemeinen Tipp meinerseits - mit Parboiled Garantie wenns denn sein muß.
Es soll Viren/Würmer und Konsorten geben, die sind in der Lage sich vor Virenscannern/Adware Software verstecken zu können.
Daher ein Be --- s troffenes System immer unter "falscher" Flagge / Boot CD scannen - alles andere ist Zeitverschwendung.
Gruß
Zitat von @63065:
Ich habe das auf dem Exchange überprüft, es
haldelt sich tatsächlich um eine lokale Zustellung und nicht um
eine gefälschte Absenderadresse.
Ich habe das auf dem Exchange überprüft, es
haldelt sich tatsächlich um eine lokale Zustellung und nicht um
eine gefälschte Absenderadresse.
Dazu noch eine Frage - wenn Du mit den Scannern offenbar nix findest...
Was verstehst Du unter lokaler Zustellung?
Was genau hast Du auf dem Exchange überprüft?
Hast Du auch in die Headerdaten der Mail geschaut? Da guckt man normal als erstes nach, über welche Server, bzw. von welchen Adressen die Mail ausging.
Wenn Du nach wie vor überzeugt bist, daß es von Deinen internen Rechnern ausging - und Scannertools nix finden, dann überpüfe den Mailclient und die Netzlaufwerke der User, bzw. die Server sowie den Exchange selbst.
Überprüfe am Exchange auch die Möglichkeit, daß er als Spam-Relay benutzt wird/wurde. Auch das kann interne Absendungen suggerieren.
J.
So, wollte mich doch nochmal melden zu dem Thema.
Die Mails kamen doch von extern und es war schlicht der Absender gefälscht - wie so oft eigentlich bei Spammails. Ich war eigentlich aus 2 Gründen auf der falschen Fährte und dachte die Mails kommen von intern. Zum Einen wurde mir vom Mitarbeiter eine Spammail weiter geleitet und diese hatte keinen Internent Header mehr. Offensichtlich hat der Exchange das beim internen Versand abgeschnitten (warum eigentlich?). Zum Anderen war im Exchange Manager immer von "lokaler Übermittlung" die Rede. Wie ich nun festgestellt habe meldet Exchange das aber auch bei externen Mails und meint damit lediglich die lokale Übermittlung vom Server ans Postfach.
Ich Danke euch für eure Hilfe und sorry für meine flasche Vermutung...
Grüße
Aero
Die Mails kamen doch von extern und es war schlicht der Absender gefälscht - wie so oft eigentlich bei Spammails. Ich war eigentlich aus 2 Gründen auf der falschen Fährte und dachte die Mails kommen von intern. Zum Einen wurde mir vom Mitarbeiter eine Spammail weiter geleitet und diese hatte keinen Internent Header mehr. Offensichtlich hat der Exchange das beim internen Versand abgeschnitten (warum eigentlich?). Zum Anderen war im Exchange Manager immer von "lokaler Übermittlung" die Rede. Wie ich nun festgestellt habe meldet Exchange das aber auch bei externen Mails und meint damit lediglich die lokale Übermittlung vom Server ans Postfach.
Ich Danke euch für eure Hilfe und sorry für meine flasche Vermutung...
Grüße
Aero
Zitat von @63065:
Offensichtlich hat der Exchange das beim internen Versand
abgeschnitten (warum eigentlich?).
Offensichtlich hat der Exchange das beim internen Versand
abgeschnitten (warum eigentlich?).
Das liegt am Outlook. Eine weitergeleitete Mail ist immer eine neue Mail.
Wenn Du Headerdaten weiterleiten willst, musst Du sie per Hand aus der ursprünglichen Mail rauskopieren - oder einen vernünftigen Mailclient einsetzen
