6
Eingrenzung Spam Mail
Moin!
Ich habe heute Spam von einem Rechner bekommen der eigentlich sauber sein sollte.
Der Rechner hat auch ein gewisses Alter erreicht und wird eh demnächst ausgetauscht.
Mich würde interessieren ob es nicht doch von extern kommt.
Vielleicht hat jemand anhand des Mailheaders eine Idee.
Dann ein paar Empfänger die ich jetzt der Übersichtlichkeit und des Datenschutzes gelöscht habe.
Und
Vom externen Rechner wird eine Homepage mit einem Joomla System beschickt (das macht irgendein HTML Schreiber).
Nicht das mir da einer Unsinn wegen eine uralten Jommla Version macht.
Gruß
Bosnigel
Ich habe heute Spam von einem Rechner bekommen der eigentlich sauber sein sollte.
Der Rechner hat auch ein gewisses Alter erreicht und wird eh demnächst ausgetauscht.
Mich würde interessieren ob es nicht doch von extern kommt.
Vielleicht hat jemand anhand des Mailheaders eine Idee.
Return-Path: <mail@*************>
X-Original-To: info@**********
Delivered-To: *********@****************
Received: from server5.acidados.net (eaenergia.com [77.91.206.105])
by *************** (Postfix) with ESMTPS id F01205160304
for <info@************>; Mon, 12 Oct 2015 03:22:20 +0200 (CEST)
Received: from [210.195.84.**] (port=63696 helo=WIN-NPPN1JPV75J)
by server5.acidados.net with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256)
(Exim 4.85)
(envelope-from <mail@**************>)
id 1ZlRok-0001t1-Um; Mon, 12 Oct 2015 02:22:24 +0100Dann ein paar Empfänger die ich jetzt der Übersichtlichkeit und des Datenschutzes gelöscht habe.
Und
X-Get-Message-Sender-Via: server5.acidados.net: authenticated_id: infusion@luteciahotel.comVom externen Rechner wird eine Homepage mit einem Joomla System beschickt (das macht irgendein HTML Schreiber).
Nicht das mir da einer Unsinn wegen eine uralten Jommla Version macht.
Gruß
Bosnigel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 285369
Url: https://administrator.de/contentid/285369
Ausgedruckt am: 24.11.2024 um 04:11 Uhr
6 Kommentare
Neuester Kommentar
Die Mail kommt von 210.195.84.**
Wenn Dein logging korrekt ist, solle Du die entsprechende Kiste prüfen.
lks
Wenn Dein logging korrekt ist, solle Du die entsprechende Kiste prüfen.
lks
Hmm... die Kiste steht in Deutschland.
Soweit ich mich erinnern kann ist der Anschluß von der Telekom.
Ein 210er Bereich?
Ein schneller Blick ins Netz brachte Portugal und Malysia hervor.
(wegen server5.acidados.net)
Gruß
Bosnigel
Soweit ich mich erinnern kann ist der Anschluß von der Telekom.
Ein 210er Bereich?
Ein schneller Blick ins Netz brachte Portugal und Malysia hervor.
(wegen server5.acidados.net)
Gruß
Bosnigel
Das komplette 210.195.0.0/17 wird irgendwo nach Malaysia geroutet.
Wenn der oberste Received-Header von eurem Mailserver generiert wurde (du ihm also Richtigkeit unterstellst) hat der die Mail von 77.91.206.105 - gehört zu einem Serverhoster in Portugal - erhalten.
Daraus lässt sich herleiten, dass da ein verseuchtes System in Malaysia gestohlene Zugangsdaten auf dem Server in Portugal missbraucht hat um die Spam zuzustellen. Willkommen im Internet
Falls dein avisierter Rechner sich weder in Malaysia oder Portugal aufhält würde ich einfach mal behaupten, dass er unschuldig ist
Wenn der oberste Received-Header von eurem Mailserver generiert wurde (du ihm also Richtigkeit unterstellst) hat der die Mail von 77.91.206.105 - gehört zu einem Serverhoster in Portugal - erhalten.
Daraus lässt sich herleiten, dass da ein verseuchtes System in Malaysia gestohlene Zugangsdaten auf dem Server in Portugal missbraucht hat um die Spam zuzustellen. Willkommen im Internet
Falls dein avisierter Rechner sich weder in Malaysia oder Portugal aufhält würde ich einfach mal behaupten, dass er unschuldig ist
Merci, das bestätigt meine Vermutung.
Das komische ist, das passiert nicht zum ersten mal.
Beim ersten mal wurden vom User des anderen Systems die Zugangsdaten geändert.
Dann war drei - vier Monate Ruhe. Nach dem gestrigen Vorfall wurden die Zugangsdaten natürlich erneut geändert.
Ich denke das der User streckenweise Schadsoftware auf der Kiste hatte die seine Outlook Daten gestohlen hat.
Also dann beides. Spamserver irgendwo plus zusätzlich verseuchte Kiste.
Gruß
Bosnigel
Das komische ist, das passiert nicht zum ersten mal.
Beim ersten mal wurden vom User des anderen Systems die Zugangsdaten geändert.
Dann war drei - vier Monate Ruhe. Nach dem gestrigen Vorfall wurden die Zugangsdaten natürlich erneut geändert.
Ich denke das der User streckenweise Schadsoftware auf der Kiste hatte die seine Outlook Daten gestohlen hat.
Also dann beides. Spamserver irgendwo plus zusätzlich verseuchte Kiste.
Gruß
Bosnigel
Ja nein aber...
Also der Empfänger kann ja als Empfänger erstmal wenig dafür, dass er Spam bekommt.
WEM da jetzt konkret Zugangsdaten weggetragen wurden kann man so nicht sagen. Nur dass mit möglicherweise von irgendwem gestohlenen Zugangsdaten zu einem Server in Portugal Spam an dich resp. den Empfänger geschickt wurde.
Mehr kann man da nicht rauslesen!
Also der Empfänger kann ja als Empfänger erstmal wenig dafür, dass er Spam bekommt.
WEM da jetzt konkret Zugangsdaten weggetragen wurden kann man so nicht sagen. Nur dass mit möglicherweise von irgendwem gestohlenen Zugangsdaten zu einem Server in Portugal Spam an dich resp. den Empfänger geschickt wurde.
Mehr kann man da nicht rauslesen!
Ahoi
die Suche ergibt auch noch weitere Informationen
Google Suche zu WIN-NPPN1JPV75J
Interessantes Ergebnis: Ergebnis
helo=WIN-NPPN1JPV75J)die Suche ergibt auch noch weitere Informationen
Google Suche zu WIN-NPPN1JPV75J
Interessantes Ergebnis: Ergebnis
