PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spam Mails mit meinem GMX-Absender



jack.x
26.12.2008, 11:48
Hi, es fing vor 2 Tagen an und nun bekomme ich Spam Mails mit meiner eigenen email Adresse als Absender. Als Subject kommen verschiedene zum Einsatz: "hi", "Why dID: [ID filtered]
Die erste Mail mit Subject: "Hi" enthielt nur die Nummer "844507". Das war vermutlich der Test. Die nachfolgenden verweisen auf verschiedene Webshops mit Artikeln zur Verbesserung der Manneskraft, alle mit .cn also Canada.
Bei meiner Frau fing das vor ca. 2-3 Wochen an und nun hat es mich erwischt. Wir sind beide beim Mail Provider GMX. Die AntiSpam Mechanismen unseres Mail Providers helfen natürlich nicht, da der Absender ja als gültiger Account auf der Whitelist steht.
Betroffen sind interessanter Weise nur GMX-Accounts. Meine Frau und ich haben noch weitere Mail Accounts z.B. bei Arcor oder Web.de, die sind nicht betroffen. Damit schliesse ich eigentlich aus das unsere Adressbücher angezapft wurden.
Vor einigen Jahren hatte ich das schon mal. Da waren ausschliesslich nur Arcor Accounts betroffen.

Ich wollte schon mal bei GMX nachfragen ob die eine Idee haben, aber da gibt es ja nur eine Abzocker Hotline zu 1,50 pro Minute.

Gruß Jack.X

alariel
26.12.2008, 12:24
Ohne Header der Mail wird man dazu nichts sagen können.

Aber allgemein: Solche Absenderheader sind prinzipiell fälschbar. Und das recht leicht...

erftwalk
26.12.2008, 12:31
Habe seit Anfang der Woche auch ein paar davon bekommen. Eine habe ich eben an GMX weitergeleitet. Bin gespannt, ob die das was machen können (oder wollen).

drboe
26.12.2008, 12:47
Die AntiSpam Mechanismen unseres Mail Providers helfen natürlich nicht, da der Absender ja als gültiger Account auf der Whitelist steht.
Das findest Du natürlich? Ich sende mir nie selbst Mails. Warum auch? Deren Inhalt wäre für mich ja wohl kaum neu und daher recht uninteressant. Meine Mail-Adresse steht daher nicht auf meiner Whitelist; im Gegenteil.

M. Boettcher

hoppala
26.12.2008, 12:51
Hi, es fing vor 2 Tagen an und nun bekomme ich Spam Mails mit meiner eigenen email Adresse als Absender.
Das ist durchaus gängige Praxis, den Empfänger des Spams auch als Absender einzusetzen, genau wegen dem Whitelisting.


Die erste Mail mit Subject: "Hi" enthielt nur die Nummer "844507". Das war vermutlich der Test. Die nachfolgenden verweisen auf verschiedene Webshops mit Artikeln zur Verbesserung der Manneskraft, alle mit .cn also Canada.
.cn ist China, aber das tut nicht viel zur Sache. In jedem Fall kann man sich die Arbeit schenken, das nachzuverfolgen.

Bei meiner Frau fing das vor ca. 2-3 Wochen an und nun hat es mich erwischt. Wir sind beide beim Mail Provider GMX. Die AntiSpam Mechanismen unseres Mail Providers helfen natürlich nicht, da der Absender ja als gültiger Account auf der Whitelist steht.
Moment mal - wenn ich das bei GMX richtig sehe, ist die Absender-Whitelist deine persönliche Sache. Wenn du dir nicht ab und zu selber Mail schickst, ist es viel sinnvoller, deine eigene Adresse auf die Blacklist zu setzen als auf die Whitelist.
Da würde ich also lieber noch mal die persönlichen Einstellungen überprüfen.

Hoppala

spamvictim
26.12.2008, 13:02
Es geht mir genauso bei GMX
Unter: http://workaround.org/cgi-bin/spamalyser
habe ich folgendes gefunden:
Step 3 - Spammer identification
The email in question was sent to you from a system with the IP address 209.13.97.34. Let me gather some more information to help you report the spammer to the ISP...
Some information
Corresponding hostname(s) to the IP address:
portal.ellitoral.com (source: DNS reverse zone)
Range(s) of IP addresses this IP belongs to:
209.13/16 (source: WHOIS)
Countries: AR , AR
Responsible contacts at the ISP:
(You may click on the email link below to write an abuse report. Please include the whole email in the report. Do not forget the headers.)
postmaster [at] ellitoral.com (source: abuse.net)
postmaster [at] portal.ellitoral.com (source: abuse.net)
Extra information:
Reassignment information for this block of addresses can be found at mred.advance.com.ar:4321:rwhois

FSnyder
26.12.2008, 13:31
Hi,

Habe heute auch auf meinem T-Online-Account eine Mail "von mir selber" bekommen.
Betreff: Hi; Im Text nur eine 6stellige Zahl, mehr nicht.
Die Kopfzeilen sind auch, im Vergleich zu sonstigen Mails, sehr wenige.
Als Absender steht der Helo von T-Online drin. Sehr, sehr merkwürdig...... :confused:

Vor Schreck habe ich gleich mal meinen Rechner ausführlich auf Trojaner, Rootkits etc gescannt. >>>nix!
Mal beobachten, ob da noch mehr kommt.

Grüße
Snyder

alariel
26.12.2008, 14:15
Da ich via eigenem Server versende weiss ich grad' nicht, wie Providerseitig damit umgegangen wird. Ich muss mich gegenüber meinem Server zum Versand authentifizieren - mitunter kann es aber auch ausreichen, eine für diesen Server gültige Absenderadresse anzugeben.
Wobei mich das heutzutage echt noch wundern würde... POP-before-SMTP sollte Minimum sein...

jack.x
27.12.2008, 20:52
Hi,
vielen Dank erst einmal für die vielen guten Beiträge.

Am besten fand ich bisher den Spamanalyser - und die Aufschlüsselung der Absender IP-Adresse.
Dabei mußte ich allerdings feststellen das ich meine Mails von einem anderen Provider bekomme als meine Frau. Die ursprünglich Test-Mail mit dem Zahlen Code kam nochmal von einem anderen Provider aus Rumänien.
Ich habe mal alle Beteiligten angeschrieben mit der Bitte um Untersuchung und das sie den Quatsch abstellen sollen. Mal sehen ob es was nützt.

Bei meiner Recherche bin ich dann auch noch auf diesen interessanten Link gestossen:
http://openrbl.org/ - da kann man wie beim Spamanalyser über die IP-Adresse den Provider und Kontakt ausfindig machen und kann sich anzeigen lassen ob die IP schon auf irgendwelchen Blacklists steht.

Gruß Jack.X

FSnyder
27.12.2008, 21:25
Hi,

Danke jack.x!
Habe eben noch eine IP-Adresse (190.22.238.45) im Header gefunden. "Meine" Mail kommt ursprünglich aus der Region Santiago.

Das erklärt mir Dummy zwar immer noch nicht, was das soll, eine Mail mit nur einer Ziffernfolge zu versenden, aber ich bin erstmal beruhigt, dass mein PC "sauber" ist (denke ich zumindest, da die Viren-, Trojaner- und Rootkit-Jäger nix gefunden haben). *schweißabwisch* :goodjob:

Grüße
Snyder

jack.x
27.12.2008, 21:55
@FSnyder,
ich hatte oben ja schon erwähnt das ich bei mir Troyaner oder Viren ausschliessen kann. Ich benutze einge verschiedene Email-Accounts bei verschiedenen Providern. Die verwalte ich alle mit einem Thunderbird Mail-Client und habe auch nur ein einziges Adressbuch für alle Accounts. Wenn ein Virus oder Troyaner zugeschlagen hätte, würde er alle Mailadressen von mir benutzen und nicht nur den GMX-Account.
Wie gesagt bei meiner Frau trat es ca. 1 Woche früher auf. Bei ihr stehen alle meine Mail Adressen im Adressbuch und trotzdem fing es bei mir 'erst' 1 Woche später an und wie bei ihr auch nur auf GMX. Ich schätze mal das es einige 'Agenten' gibt die im Auftrag einen Provider nach dem anderen nach gültigen Adressen abfragen. Dazu wird scheinbar eine Mailadresse generiert und zu dieser dann eine 'Test-Mail' mit dem Prüfcode gesendet. Kommt keine Fehlermeldung landet diese Adresse in der positiv Liste und dann beginnt die eigentliche Spamattacke von einem ganz anderen System.

Gruß Jack.X

FSnyder
28.12.2008, 01:05
Hi,

Bei mir ist es bisher nur bei T-Online aufgetreten, bei meinen web punkt de Adressen (noch) nicht.
Das mit dem Mail-Adressen verifizieren durch den Code macht Sinn , aber das mit dem "Generieren" kann ich mir nicht so richtig vorstellen, dazu ist meine Mail-Adresse viel zu komplex, also viel zu aufwändig, um sie durch ein Programm erzeugen zu lassen.
Schaun ma mal, was noch kommt......... ;)

Grüße
Snyder

jack.x
28.12.2008, 13:13
Hi,
klar kann man die Mailaddressen automatisch generieren und durchprobieren. So ein Programm hat ja Zeit ... und wenn man einige Regeln definiert dürfte die Ausbeute ganz gut sein. Man braucht ja nur mal "gängige Vornamen Punkt gänigige Nachnamen @ provider" ausprobieren. Da dürfte man schon jede Menge gültiger Adressen erhalten. 2-3 weitere Regeln würden mir da spontan noch einfallen und schon könnte man vieleicht 50% aller Mail Adressen eines Providers generieren. Das Programm macht das innerhalb von Sekunden - zum ausprobieren werden die sich etwas Zeit lassen um nicht zuviel (auffälligen) Trafic zu erzeugen.
Gruß Jack.X

ToHo
01.05.2016, 15:45
Hallo,

seit ein paar Tagen bekomme ich die schon gewohnten Spams (du wurdest angestupst, Erektionspillen,datingportal aus lettland) mit mir selbst als Absender. Das ganze auf GMX über meine GMX-freeuser adresse. Virusfrei bin ich auch, das ist schon gecheckt (AVAST, malwarebytes).

Der Header sieht so aus (meine echte email habe ich durch "meineadresse [at] gmx.net" ersetzt):
___________________________________________________________________________
Return-Path: <meineadresse [at] gmx.net>
Received: from system.aufmachen36.top ([46.4.162.14]) by mx-ha.gmx.net (mxgmx101) with ESMTP (Nemesis) ID: [ID filtered]
Received: by system.aufmachen36.top ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: "meineadresse [at] gmx.net" <meineadresse [at] gmx.net>
To: poor [at] spamvictim.tld
Subject: Mia hat Dich auf einem Foto verlinkt!
Message-ID: [ID filtered]
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101 Thunderbird/38.4.0
Date: Sun, 1 May 2016 xx:xx:xx +0200
Envelope-To: <poor [at] spamvictim.tld>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)

_____________________________________________

Wie geht das denn? :confused:

Wenn ich das kriege, kriegt sicher noch wer anders diesen Schrott mit meiner Adresse als Absender. Das wiederum finde ich nun gar nicht lustig :(:(.

kennt jemand dieses Phänomen, kann man da was gegen tun?

Schöne Grüße

Toho

schara56
01.05.2016, 16:55
...] kennt jemand dieses Phänomen, kann man da was gegen tun? [...
Das ist ein sogenannter "JoeJob" (https://www.antispam-ev.de/wiki/JoeJob) - einfach durchlesen.
Das sogenannte Reply-To-Feld kann vom Versender der Nachricht nach belieben gefüllt werden.

Mittwoch
01.05.2016, 17:38
Das sogenannte Reply-To-Feld kann vom Versender der Nachricht nach belieben gefüllt werden.
Nicht nur das "Reply To"-Feld, das jedermann in einem gewöhnlichen Mailprogramm mit beliebigen Adressen füllen kann, sondern auch – wie im vorliegenden Fall – das "From"-Feld. Spammer nutzen das, weil sie vermutlich glauben, so besser am Spamfilter vorbei zu kommen. Ist ein lange bekanntes Phänomen, hat hier aber wohl nichts mit einem JoeJob zu tun, sondern ist normales Spammerverhalten. Dagegen tun kann man nichts, siehe Meine Emailadresse wurde als Absender missbraucht.

Schönen Gruß
Mittwoch

Shelby Tuckerman
02.05.2016, 06:22
Hi, seit einigen Tagen erhalte ich auch Spammails von meiner Gmx Adresse. Werden auch andere Leute damit belästigt oder immer nur man selbst? Was kann ich dagegen tun? Vielen Dank für Rückmeldungen. Shelby.

schara56
02.05.2016, 06:39
...] Was kann ich dagegen tun? [...Siehe dazu das Posting von Mittwoch:

...] Dagegen tun kann man nichts, siehe Meine Emailadresse wurde als Absender missbraucht. [...

@Mittwoch
Danke für den Hinweis - ich hatte vergessen, dass der JoeJob vor allem eine URL in Misskredit bringen soll.

Ich habe die beiden Themen zusammen geführt.

Mittwoch
02.05.2016, 15:55
Werden auch andere Leute damit belästigt oder immer nur man selbst?
In mindestens 75% solcher Fälle kann man davon ausgehen, dass die Spammer ihre Zombies (siehe Botnetz) nach dem Schema "Absenderadresse = Empfängeradresse" programmieren, d.h. jeder kriegt immer nur Mails von seiner eigenen Adresse. Solange eine Antwort an die Absenderadresse für den Spammer nicht interessant ist, wie z.B. bei 419ern, wäre alles andere viele zu aufwändig zu implementieren. Und da für jede Mail die Datenbank dann auch immer nur einmal abgefragt werden muss, geht die Performance auch nicht baden.

Schönen Gruß
Mittwoch

Wuschel_MUC
02.05.2016, 16:02
Die Abhilfe bei solchen Spam-Mails ist doch ganz einfach: die eigene Adresse in den Spamfilter schreiben.

Schickt man sich selber eine Test-E-Mail, schaut man halt im Spam-Ordner nach ihr.

Wuschel

carkiller08
02.05.2016, 17:20
Das mit der eigenen E-Mail-Adresse im Spafilter geht allerdings nicht bei allen Anbietern.
Wenn ich das beispielsweise bei Hotmail/Outlook versuche ("Blockierte Absender") , kommt folgende Meldung :

Sie können Ihre eigene E-Mail-Adresse nicht blockieren.

Mittwoch
02.05.2016, 22:45
Ergänzend sei erwähnt, dass ich momentan beobachte, dass die üblichen 3 bis 30 täglichen Mails mit Braunschweiger Stallgeruch dem Muster "Absenderadresse = Empfängeradresse" folgen, ansonsten aber den Stil beibehalten, bis hin zur Anrede, die in meinem Fall ein fehlerhafter Versuch war, aus dem Localpart der Mailadresse einen Namen zu kondensieren. Betroffen ist bei mir eine web.de-Adresse.

Schönen Gruß
Mittwoch

homer
03.05.2016, 08:11
Die Abhilfe bei solchen Spam-Mails ist doch ganz einfach: die eigene Adresse in den Spamfilter schreiben.
Du glaubst nicht, wie viele Leute sich selbst Mails schicken. Das geht nach hinten los.

Meine Lösung: Konsequente Anwendung des Sender Policy Framework (http://www.openspf.org/) (vulgo "SPF-Records").
Hilft natürlich nicht bei Freemailern, die selbst eine Laus im Pelz sitzen oder ihren eigenen SPF-Record mit mit soft-fail konfiguriert haben.