Hallo erstmal,

ein Bekannter von mir ist Opfer eines Joejob`s, ständig werden Werbeemails über nichtexistierende E-Mailadressen (xyz [at] mario-Berl.de) an beliebige E-mail Adressen geschickt. Die Opfer beschweren sich natürlich massenweise bei seinem Hoster T-Online oder bei ihm Persönlich.

Soviel zur Vorgeschichte.

Das Abuse-Team von T-Online will ihm jetzt alles Sperren und auf seine Beteuerungen das er diese Mails nicht in umlauf bringt reagieren sie garnicht. Nur immer die gleiche Aussage bekommt er zu hören: "Ihre E-Mail Adresse steht im Absender und wir bekommen täglich neue Beschwerden über Sie und das er das alles sofort einzustellen hätte"

Die Polizei die er natürlich eingeschaltet hat meint nur sie können da nix machen.

Mein Bekannter hat keine Ahnung wie er jetzt das ganze beenden könnte und kennt sich allgemein nicht so gut mit dem Internet aus.

Das komische ist auch das nicht wie üblicherweise Viagra oder irgendwelche Schmuddelseiten Beworben werden sondern seine Eigene Arbeit.

Ich selbst kenn mich im lesen von Headern auch nicht so dolle aus hab aber (durch lesen in diesem Forum) herausgefunden das man alles Fälschen kann nur nicht die IP`s der Server über die die e-mails verschickt werden.

Hier mal der Header der Spammail:

Received: from pop.1und1.com ([212.227.15.161]) by fmserviceext03.web.de with pop3 (WEB.DE pop3abholer 6.3)
for ralf_scheible [at] web.de; Tue, 09 Jan 2007 xx:xx:xx +0100
Return-Path: <info [at] mario-berl.de>
Delivery-Date: Tue, 09 Jan 2007 xx:xx:xx +0100
Received-SPF: none (mxeu3: 194.25.134.20 is neither permitted nor denied by domain of mario-berl.de) client-ip=194.25.134.20; envelope-from=info [at] mario-berl.de; helo=mailout08.sul.t-online.com;
Received: from [194.25.134.20] (helo=mailout08.sul.t-online.com)
by mx.kundenserver.de (node=mxeu3) with ESMTP (Nemesis),
ID: [ID filtered]
Received: from fwd29.aul.t-online.de
by mailout08.sul.t-online.com with smtp
ID: [ID filtered]
Received: from acermario (GvljR6ZrZetSAbpN4lqfk16-Mx7lVtkEAlCe7R-oZH-pTtaiWUWggG [at] [217.227.141.28]) by fwd29.sul.t-online.de
with esmtp ID: [ID filtered]
From: "Berl Mario" <info [at] mario-berl.de>
To: <info [at] mario-berl.de>
Subject: =?iso-8859-1?Q?B=FCroservice_/_Externe_Terminierung_/__Schreibservice?=
Date: Tue, 9 Jan 2007 xx:xx:xx +0100
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_00EE_01C73405.184BF360"
X-Priority: 1 (Highest)
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3028
Importance: High
Sensitivity: Company-Confidential
X-ID: [ID filtered]
X-TOI-MSGID: [ID filtered]
Envelope-To: support [at] flash-internetcafe.de

Was kann man nun tun?

Was kann er an das Abuse Team von T-online schreiben die scheinen nicht wirklich interesse an der Lösung der Sache zu haben und eine Sperrung seiner E-Mail adresse und seiner Webpräsents helfen ihm sicherlich auch nicht weiter.


Vielen dank schon im Vorraus für Eure Mühen

MfG Ralf

@mods:
Bitte die eMails entschärfen

@knuuutschi:
wenn Du eMail-Adressen postest dann würde ich es im Format xxx . xxxx [ät] xxxdotde machen. Hier grasen nämlich die Harvester und man bekommt evtl. noch mehr unerwünschte Elektropost.

:jedi:

ah ok danke das mach ich dann gleich mal

Hallo knuutschii!

Auf den ersten Blick sieht der Header nicht nach einer Fälschung aus, der Versand erfolgt über das Telekom-Netz: http://194.25.134.20
Folglich liegt die Vermutung nahe, daß sich tatsächlich auf dem Rechner ein Trojanisches Pferd befindet, mit dessen Hilfe der Rechner ferngesteuert wird, daher bitte gründlich suchen oder den Rechner gleich völlig neu aufsetzen.

Viel Erfolg
Nebelwolf

der Rechner wurde vor 2 Wochen komplett von einem EDV-Fachmann neu aufgesetzt. Das mit dem Trojaner oder Wurm wurde auch schon erwähnt er hat aber schon mehrmals seinen Virenscanner (kaspersky) drüberlaufen lassen und auch zum test mal nen anderen (mir gerade nicht bekannt) durchsuchen lassen der rechner is komplett sauber

Hallo Ralf!

Es sind zwei Wochen vergangen, in denen man viel Unheil anrichten kann. Nicht jedes Schadprogramm ist den Antivirenprogrammen bekannt. Was sagt z.B. der Befehl netstat (Konsole via "Datei ausführen" -> cmd), wenn ihr einen IT Freak im Bekanntenkreis habt, dann kann er auch mal den Netzwerkverkehr außerhalb des Rechners "sniffen".

Nebelwolf

[Update]
*Ümpf* T-Online -> kann es sein, daß es sich um ein WLAN handelt? T-Online erkennt die Kunden schon bei der Einwahl, nicht erst am Mailserver, daher kann auch ein anderer Rechner über die Verbindung auf das gleiche Mailkonto zugreifen.

Er hat eine Firma die alles für Ihn einrichtet und die nochmals nach dem rechten schaut (nächste Woche glaub ich).

Und das jemand anderes (z.B. Konkurenz oder ehemaliger Mitarbeiter) solche Mails verschickt liegt nicht im Bereich das möglichen? Dies hat nämlich die Polizei mal in den Raum geworfen.

Ja er hat WLAN aber dieses ist verschlüsselt

Hallo Ralf,

theoretisch besteht diese Möglichkeit natürlich, daß hier jemand Deinen Freund schädigen will, aber in dieser eMail gibt es keinen Hinweis darauf. Der Joe-Jobber hätte einfach einen Freemail-Account im Namen Deines Freundes anlegen können. Daher sehr unährscheinlich!

Aus dem Header lese ich z.B. folgendes:

Received: from acermario (GvljR6ZrZetSAbpN4lqfk16-Mx7lVtkEAlCe7R-oZH-pTtaiWUWggG [at] [217.227.141.28]) by fwd29.sul.t-online.de
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)
Dein Freund heißt Mario,
wohnt in Frankfurt,
hat einen Laptop Marke Acer und
verwendet Microsoft Outlook Version 9.0

Stimmts? Dann ist es sicher Euer Rechner ...

Nebelwolf

ps. WLAN läßt sich relativ schnell knacken
pps. http://www.antispam-ev.de/forum/showthread.php?t=10977
Zeigt Besonderheiten bei T-Online gegenüber gewöhnlichen DSL-Anbietern auf

Mit welcher Methode wird WLAN verschlüsselt - WES oder WPA(2)?

Normalerweise erkennt das TO-Abuse-Team JoeJobs. Da alles bei TO in einer Hand ist und TO den Zugang sperren will, liegt es erstmal nahe, dass die Mails tatsächlich von seiner IP stammen. Das muss aber nicht sein Rechner sein, ein Hacker könnte mittels WLAN ebenso über diese IP ins Internet kommen. Dann müsste er noch das MAil-Passwort knacken...

Da es schon über Wochen so gehen soll und eigene Inhalte beworben werden, wird wohl jeder misstrauisch und mag nicht so recht an einen JoeJob eines ominösen Hackers glauben.

Aus dem Header lese ich z.B. folgendes:

Dein Freund heißt Mario,
wohnt in Frankfurt,
hat einen Laptop Marke Acer und
verwendet Microsoft Outlook Version 9.0

Stimmts? Dann ist es sicher Euer Rechner ...

Nebelwolf




Nein das stimmt nicht er benutzt das e-mail Programm DavID: [ID filtered]

Received: from [194.25.134.85] (helo=mailout11.sul.t-online.com)
by mx18.web.de with esmtp (WEB.DE 4.107 #114)
ID: [ID filtered]
for xxx; Tue, 09 Jan 2007 xx:xx:xx +0100
Received: from fwd27.aul.t-online.de
by mailout11.sul.t-online.com with smtp
ID: [ID filtered]
Received: from 192.168.2.150 (XHuqd-ZVZetq7PPWjkZJWX9Sp0iFiPpDYafBIVNhnCROMTHa6HDtcx [at] [217.227.141.28]) by fwd27.sul.t-online.de
with esmtp ID: [ID filtered]
From: xxx
Subject: =?iso-8859-1?Q?Re-4=3A_B=FCroservice_/_Externe_Terminierung_/_?=
=?iso-8859-1?Q?_Schreibservice?=
To: xxx
Date: Tue, 9 Jan 2007 xx:xx:xx +0000
Priority: normal
X-Priority: 3 (Normal)
Importance: normal
X-Mailer: DvISE by Tobit Software, Germany (0238.444A484645464A4C4E4E), Mime Converter 101.20
X-David-Sym: 0
X-David-Flags: 33554432
Disposition-Notification-To: xxx
Return-Receipt-To: xxx
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----_=_NextPart_000_000058B6.45A3E7FB"
X-ID: [ID filtered]
X-TOI-MSGID: [ID filtered]
Sender: xxx

wenn man zum Beispiel auf die Zeile "From" schaut is alles identisch bis aus das, das sein Name verdreht drann steht.

Mit welcher Methode wird WLAN verschlüsselt - WES oder WPA(2)?

Normalerweise erkennt das TO-Abuse-Team JoeJobs. Da alles bei TO in einer Hand ist und TO den Zugang sperren will, liegt es erstmal nahe, dass die Mails tatsächlich von seiner IP stammen. Das muss aber nicht sein Rechner sein, ein Hacker könnte mittels WLAN ebenso über diese IP ins Internet kommen. Dann müsste er noch das MAil-Passwort knacken...

Da es schon über Wochen so gehen soll und eigene Inhalte beworben werden, wird wohl jeder misstrauisch und mag nicht so recht an einen JoeJob eines ominösen Hackers glauben.

Klar geb dir recht das das ganze schon komisch rüber kommt aber die leute die Angeschrieben werden gehören ja garnicht zu seinem Kundenstamm er ist Versicherungskaufmann und kann mit dem "Otto Normarverbraucher" garnichts anfangen und welcher Selbstständige der einer Anständigen Beschäftigung nachgeht sucht auf diese weise Kunden?

Welche Verschlüsselungsart bei Ihm verwendet wird kann ich euch leider noch nicht sagen aber sobald ich was weis poste ich es

AFAIK wird beim Versenden über TO immer die korrekte Absender-Adresse im Header eingesetzt.
Wenn man also versucht eine andere Absender-Adresse einzusetzen, dann wird diese vom TO-Server durch die eigene ersetzt. :lil:

Ein Test bestätigt das bei mir. Eine Mail von: "Name <irgendwas***@irgendwo***" kommt beim Empfänger an als: "Name <meineadresse [at] t-online.de>"

Um diesen "Service" zu umgehen, muss man bei TO das kostenpflichtige SMTP-Relay dazu buchen.

Daher vermute ich mal stark, dass die Mails tatsächlich über die IP des Eigentümers abgeschickt wurden.

Kann es sein, dass ein ganz anderer Absender eingesetzt werden sollte und TO nachträglich die richtige Adresse in den Header eingetragen hat?

Eine Firma "BM-Telemarketing" mit nur einem Rechner?

AFAIK wird beim Versenden über TO immer die korrekte Absender-Adresse im Header eingesetzt.
Wenn man also versucht eine andere Absender-Adresse einzusetzen, dann wird diese vom TO-Server durch die eigene ersetzt. :lil:

Ein Test bestätigt das bei mir. Eine Mail von: "Name <irgendwas***@irgendwo***" kommt beim Empfänger an als: "Name <meineadresse [at] t-online.de>"

Um diesen "Service" zu umgehen, muss man bei TO das kostenpflichtige SMTP-Relay dazu buchen.

Daher vermute ich mal stark, dass die Mails tatsächlich über die IP des Eigentümers abgeschickt wurden.

Kann es sein, dass ein ganz anderer Absender eingesetzt werden sollte und TO nachträglich die richtige Adresse in den Header eingetragen hat?



Ähm jo sorry aber versteh zum Teil grad nur Bahnhof. Wenn die e-mails dann nur über seine IP verschickt sein können wie kann man das dann stoppen?

Eine Firma "BM-Telemarketing" mit nur einem Rechner?

Er hat sicherlich nicht nur einen Rechner!!!

Hallo zusammen,

wir haben insgesamt 10 Rechner im W-Lan Netz,

dies ist mit WEP 128 verschlüsselt

Nein das stimmt nicht er benutzt das e-mail Programm DavID: [ID filtered]

Received: from [194.25.134.85] (helo=mailout11.sul.t-online.com)
by mx18.web.de with esmtp (WEB.DE 4.107 #114)
ID: [ID filtered]
for xxx; Tue, 09 Jan 2007 xx:xx:xx +0100
Received: from fwd27.aul.t-online.de
by mailout11.sul.t-online.com with smtp
ID: [ID filtered]
Received: from 192.168.2.150 (XHuqd-ZVZetq7PPWjkZJWX9Sp0iFiPpDYafBIVNhnCROMTHa6HDtcx [at] [217.227.141.28]) by fwd27.sul.t-online.de
with esmtp ID: [ID filtered]
From: xxx
Subject: =?iso-8859-1?Q?Re-4=3A_B=FCroservice_/_Externe_Terminierung_/_?=
=?iso-8859-1?Q?_Schreibservice?=
To: xxx
Date: Tue, 9 Jan 2007 xx:xx:xx +0000
Priority: normal
X-Priority: 3 (Normal)
Importance: normal
X-Mailer: DvISE by Tobit Software, Germany (0238.444A484645464A4C4E4E), Mime Converter 101.20
X-David-Sym: 0
X-David-Flags: 33554432
Disposition-Notification-To: xxx
Return-Receipt-To: xxx
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----_=_NextPart_000_000058B6.45A3E7FB"
X-ID: [ID filtered]
X-TOI-MSGID: [ID filtered]
Sender: xxx

wenn man zum Beispiel auf die Zeile "From" schaut is alles identisch bis aus das, das sein Name verdreht drann steht.
Ja Mario stimmt,

Frankfurt sind von mir aus 200 KM,

Acer Lap Top haben wir, benutzen wir aber nicht zum Mailen.

Wir haben Tobit und benutzen Outlook nicht mehr, dies ist deaktiviert.

Hallo zusammen,

wir haben insgesamt 10 Rechner im W-Lan Netz,

dies ist mit WEP 128 verschlüsseltAu Backe - ändere das mal sofort auf WPA2, sofern Windows XP läuft. Bei Windows 2000 geht das leider nicht, da helfen nur Netzwerkkabelverbindungen.

Die Erklärung steht hier: http://de.wikipedia.org/wiki/WPA2#Hintergrund

Au Backe - ändere das mal sofort auf WPA2, sofern Windows XP läuft. Bei Windows 2000 geht das leider nicht, da helfen nur Netzwerkkabelverbindungen.

Die Erklärung steht hier: http://de.wikipedia.org/wiki/WPA2#Hintergrund

und danach ist es vorbei? oder sollte sonst noch was unternommen werden?

Hallo Ralf!


Acer Lap Top haben wir, benutzen wir aber nicht zum Mailen.

Das ist kein Hinderungsgrund für einen Wurm! Ich würde einfach mal den Laptop "acermario" genauer unter die Lupe nehmen, da wird wohl ein Schadprogramm laufen.

Nebelwolf

Acer? Da war doch was...

http://www.heise.de/newsticker/meldung/83381

Vielleicht war das WEP-Knacken gar nicht notwendig.