PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : E-Mail Adresse / SMTP Zugang missbraucht, was tun



hanneswagner
18.05.2011, 19:26
Hallo zusammen,

heute Mittag erhielt ich innerhalb von kürzester Zeit eine immense Anzahl von Mail delivery emails. Nach kurzer Nachfrage beim Provider, wurde mir mitgeteilt das wohl gerade jemand über meine E-Mail Adresse Spam versendet und das in ziemlich großem Stil. Daraufhin wurde das Passwort geändert, es war ruhe. Die Frage ist nur wie jetzt verhalten? Passwörter von sämtlichen anderen Zugängen werden auch geändert, alle PCs auf denen ich war wurden nach Viren gescannt, jedoch ohne Funde. Ebenso bin ich mir sicher das ich kein Phishingopfer bin. Ich hatte in der Vergangenheit den Fehler begangen, dass ich für viele Accounts das gleiche Passwort verwendet habe, ich vermute da liegt das Sicherheitsproblem(Leck in irgend einem Forum oder ähnliches...). In Zukunft wird mir das nicht mehr passieren.
Können mir nun Konsequenzen irgend einer Art drohen? Kann es passieren das ich eine Anzeige wegen Spam / Betrugsversuch erhalte? Die Mailadresse selbst werde ich wohl auch aufgeben und mir eine andere nehmen, denn auf dieser E-Mail werde ich wohl keine Ruhe mehr haben.
Hier mal die E-Mail samt Header:
################################################
Received: from nschwingx08p.mx.bigpond.com ([85.13.137.170])
by nschwmtas04p.mx.bigpond.com with ESMTP
ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 18 May 2011 xx:xx:xx +0000
Received: from dd16736.kasserver.com ([85.13.137.170])
by nschwingx08p.mx.bigpond.com with ESMTP
ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 18 May 2011 xx:xx:xx +0000
Received: from User (unknown [221.1.215.90])
by dd16736.kasserver.com (Postfix) with ESMTPA ID: [ID filtered]
Wed, 18 May 2011 xx:xx:xx +0200 (CEST)
Reply-To: <attcyrilvargasco2009 [at] yahoo.co.jp>
From: "Attorney Cyril C Vargas"<xxx [at] xxx.de>
Subject: msg from Attorney Cyril Vargas
Date: Wed, 18 May 2011 xx:xx:xx -0700
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID: [ID filtered]
To: undisclosed-recipients:;

From: Attorney Cyril C Vargas
Cyril C Vargas & Associates and Solicitors
Unit 15 Cambridge Court, 210 Shepherds Bush Road,
London, W6 7NJ United Kingdom (Britain)


Good day,

My name is Cyril C Vargas,Esq and I am contacting you in regards to some funds deposited with the bank over in Scotland- United Kingdom by my late client William Barnes who is now deceased who was involved in a plane crash while on vacation trip and leaving no known relatives to claim the estate.

After a series of search for a reliable person who I can establish in claim of the estate, I contacted you and my contact with you is based on a legitimate arrangement.

below is the list of the Airline Passengers Manifest List:

http://www.cbsnews.com/stories/1999/11/01/iran/main49778.shtml

This is because it is now my sole responsibility to present any person of
my choice in claim. I am contacting you because you can be eligible to acclaim this sum of money as far as i can have your name edited and written in his will which will make it very possible for the estate valued at US$8.5M (Eight Milion Five Hundred Thousand Usdollars) to be transferred to you without any hitch. Due to the importace and urgency of this matter,I would appreciate your immediate contact to enable me detailyou further about this matter.I do understand that this will sound so skeptical but I assure you that it is legitimate. I will not release every information regarding this transaction until I hear back from you.Then if I am satisfied I willdetail you with every information regarding this transaction and also give you more information about myself to enable you have an idea of the person that you are dealing with.

MY CONTACT IS ISSUED BELOW :

DIRECT CONTACT IN UK : +(44) 704 575 0154

MY DIRECT E-MAIL IS: attcyrilvargasco2009 [at] yahoo.co.jp

We shall have the percentage split 55-45 as per my request.

I await your immediate contact.

Best regards,
Cyril C Vargas, Esq.

########################################

So wie ich das sehe hat mein Provider also recht, das letzte Recieved from steht ja auf meinem Provider, die IPs wechselten, waren aber allesamt chinesischen Providern zuzuordnen, hier denke ich macht es wenig Sinn an die ABUSE Adressen zu schreiben oder?

Vielen Dank schon mal für eure Hilfe!

Hippo
18.05.2011, 19:38
Das ist ein bißchen dubios.
Die Mail ist ein typischer Mugu und grade DIE wollen ja die Antworten selber haben um den Antwortenden abzuzocken.
Denen bringt es doch genau garnix wenn Du die Antwortmails bekommst in denen einer Interesse daran zeigt das Fell über die Ohren gezogen zu bekommen.
Zum Header selbst werden Dir andere noch mehr schreiben, die können das besser

hoppala
18.05.2011, 19:45
Doch, das ist schon ganz Mugu-mäßig. Der "Reply-To:"-Header sorgt dafür, dass normale Antworten aus einem Mailprogramm heraus auf dieser Adresse landen, und das ist eine klassische Mugu-Dropbox (Yahoo ist einfach eine Schlafmütze, was das Sperren von Spammer-Accounts betrifft):

attcyrilvargasco2009 [at] yahoo.co.jp
attcyrilvargasco2009 [at] yahoo.co.jp
attcyrilvargasco2009 [at] yahoo.co.jp

(da landen jetzt hoffentlich noch ein paar mehr Mails).
Die Mailadresse würde ich nicht unbedingt aufgeben - normalerweise kehrt nach kurzer Zeit wieder Ruhe ein. Hast du auf dem Server die Möglichkeit, Mails bereits im SMTP-Dialog zu behandeln (also Postfix-Konfiguration zu ändern)? Dann könntest du eventuell eine höfliche Auto-Antwort auf alle Mails generieren, die attcyrilvargasco2009 enthalten.

Hoppala

hanneswagner
18.05.2011, 21:02
Was antworten angeht, ich hatte heute schon die Bankverbindung eines Polen im Postfach... Der reply to hilft ja auch nur bedingt.
Was mich überrascht ist das ich bisher im Netz wenig über solchen missbrauch finden konnte, eben auch was die Konsequenzen angeht - könnt ihr hierzu etwas sagen? Sollte ich mir gedanken machen?
Postfix kann ich leider nicht ändern, diese überlegung hatte ich auch schon.

Hannes

Liquid-Sky-Net
18.05.2011, 21:48
Was mich überrascht ist das ich bisher im Netz wenig über solchen missbrauch finden konnte,


Wir haben ein ganzes Unterforum hier (https://www.antispam-ev.de/forum/forumdisplay.php?11-1.3-419-(Nigerian-Fraud-Letters)), was sich mit Vorschussbetrug beschäftigt. ;)

hanneswagner
18.05.2011, 21:59
Sorry, ich hatte mich wohl nicht richtig ausgedrückt ;) Ich meinte den missbrauch meines smtp kontos. In diesem Falle wurden ja E-Mails über mein deutsches Konto gesendet, also nicht nur die adresse gefälscht sondern wirklich über mein E-Mail Konto gesendet.
Daher nochmals die Frage: Was mich überrascht ist das ich bisher im Netz wenig über solchen SMTP missbrauch finden konnte, eben auch was die Konsequenzen angeht - könnt ihr hierzu etwas sagen? Sollte ich mir gedanken machen?

Hippo
18.05.2011, 22:03
Wie hast Du festgestellt daß der Mist tatsächlich über Dich abgekippt wurde?

hanneswagner
18.05.2011, 22:10
Siehe Header oben: Received: from User (unknown [221.1.215.90])
by dd16736.kasserver.com (Postfix) with ESMTPA ID: [ID filtered]

wobei man sagen muss das dd16736.kasserver.com der server bei all-inkl ist auf dem mein postfach liegt. da dies der unterste received from ist, sollte es über mein postfach gelaufen sein oder seh ich das falsch? Die IP ist ja eine chinesische, das hilft mich schon mal im falle eines falles, die frage ist eben ob ich mir überhaupt gedanken machen muss, oder ob ich als "quasiopfer" fein raus bin? Oder deute ich den Mailheader falsch?

cmds
18.05.2011, 22:22
Ich versuche erst einmal etwas Entwirrung zu betreiben:

SMTP wird überwiegend nur zum Versenden von Mails verwendet!
SMTP (http://de.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol) (WIKI) (bitte auch die weiterführenden Links lesen)

- wird der SMTP überhaupt benötigt? Haben Sie keinen SMTP zugang z.B. beim DSL Provider?
- benutzen Sie und / oder User Ihre Domain für Newsletter Versand oder Bieten Sie E-Mail Versand für User an?
- Ist SMTP korrekt konfiguriert?
- ist in dem Falle das Passwort extrem sicher?

- das Wordpress Ihrer Seite kann Mails auch ohne SMTP über PHP oder Perl versenden.

hanneswagner
18.05.2011, 22:30
War das nun an mich oder an die anderen gerichtet? Was / Wofür SMTP da ist war mir bereits klar, mich verwirren eher gerade die stichpunkt ;)

Ich benötige das SMTP Protokoll um E-Mails per Outlook zu versenden, dafür ist das protokoll ja da ;)

Kurz und bündig: Mein Passwort + Benutzername für mein E-Mail Konto wurde wohl leider bekannt (siehe erster Post). Dadurch wurde per SMTP über mein Benutzerkonto SPAM verschickt, wie er aussah, siehe oben. Was kann mir persönlich passieren?
Oder deute ich den Header doch falsch und es wurde gar nicht über meine Adresse gesendet, mein Verdacht gründet darauf, das der unterste recieved from eintrag, dem Mailserver meines Providers zugewiesen werden kann.

cmds
18.05.2011, 22:37
Wenn Mails über Outlook versendet werden sollen (Server als Mailserver) dann wird SMTP benötigt.
So wie es aussieht wurde die Mail über Ihren SMTP versendet.

Folgen für Sie sind reine Spekulationen:

- Ihre IP und URL landet irgendwann in den SPAM Blacklisten (falls sie es nicht schon sind)
- die Spam ist bei einem gelandet, der Sie zur Unterlassung auffordern wird
- evtl. Sanktionen durch den Hoster (im schlimmsten Fall) Abschaltung der(s) Domain/Webserver bis das Problem gelöst ist

Aussitzen würde ich das Problem nicht, wenn Sie alle Passwörter geändert haben sollten irgendwann auch die Delivery failure Mails aufhören.

hanneswagner
18.05.2011, 22:50
Hallo,

wie bereits erwähnt, was und wofür ich smtp benötige ist mir vollkommen klar.
Was ich etwas bedauernswert finde ist das ich mich entweder wirklich ungünstig ausgedrückt habe oder meine Eröffnungspost nicht richtig gelesen wurde.

Nach kurzer Nachfrage beim Provider, wurde mir mitgeteilt das wohl gerade jemand über meine E-Mail Adresse Spam versendet und das in ziemlich großem Stil. Daraufhin wurde das Passwort geändert, es war ruhe.
Die Deliverymails sind weg, ebenso sind die passwörter geändert. Auch wollte ich das Problem nicht aussitzen, was ich unter anderem durch den wechsel meiner Mailadresse deutlich machen wollte.



- Ihre IP und URL landet irgendwann in den SPAM Blacklisten (falls sie es nicht schon sind)
- die Spam ist bei einem gelandet, der Sie zur Unterlassung auffordern wird
- evtl. Sanktionen durch den Hoster (im schlimmsten Fall) Abschaltung der(s) Domain/Webserver bis das Problem gelöst ist

Zu Punkt 1: Ich habe keine IP bzw meine IP wechselt alle 24 h => Die Wäre auf Blacklists eher unsinnig. Die IP des Webservers bei All-Inkl hingegen ist fix, all-inkl hat jedoch schon agiert und den server wieder von den Listen nehmen lassen. ich habe nirgends erwähnt das ich einen rootserver besitze und der einzige auf diesem server bin. Smtp ist im übrigen keine besonderheit sondern soweit mir bewusst ein ganz normales protokoll wie es eben auf jedem mailserver läuft. Hier im Übrigen sehr interessant: Laut All-Inkl werden nicht die Domains geblacklistet sondern die Server über die der Spam versendet wird, ein kleiner aber feiner unterschied der mir doch neu war.
Zu Punkt 2: Was könnte mir im Falle einer Unterlassungsklage drohen? Das ich die E-Mail nicht versendet haben kann, lässt sich ja über die IP legitimieren. Da ist eher die Frage: Wenn Anzeige erstattet wird, sollte dies doch dann in richtung der IP aus dem Header laufen oder sehe ich das falsch?
Zu Punkt 3: Der Hoster sieht es in meinen Augen schon fast zu gelassen ;) Er hat mir das Kennwort geändert, mich auf einen Virenscann hingewiesen und gut war.

Bitte keine technischen belehrungen mehr, ich bin zumindest was das technische angeht auch aufgrund meiner ausbildung fit. Was mir jedoch fehlt ist erfahrung mit spam / spame-mails. Daher dachte ich, das ich in diesem Forum hier richtig bin.
Gerne können Sie mich im übrigen Duzen :)
Danke für Ihre Antwort, ich hoffe wir können den Dialog nun konstruktiv fortführen ;)

Hippo
18.05.2011, 23:18
...Bitte keine technischen belehrungen mehr, ich bin zumindest was das technische angeht auch aufgrund meiner ausbildung fit ...

Es gibt aber noch andere die aus jedem neuen Fall technisches dazulernen ...
... solche wie mich z.B.

stephan
19.05.2011, 00:11
Moin,
laß mich mal versuchen zu verstehen, was da passiert ist.


Hallo,

wie bereits erwähnt, was und wofür ich smtp benötige ist mir vollkommen klar.
Was ich etwas bedauernswert finde ist das ich mich entweder wirklich ungünstig ausgedrückt habe oder meine Eröffnungspost nicht richtig gelesen wurde.


Du schriebst, Du erhieltst "delivery mails". Das sind ... was? Bestätigungsmails, daß Dein Server Mail versendet hat?


Zu Punkt 2: Was könnte mir im Falle einer Unterlassungsklage drohen? Das ich die E-Mail nicht versendet haben kann, lässt sich ja über die IP legitimieren. Da ist eher die Frage: Wenn Anzeige erstattet wird, sollte dies doch dann in richtung der IP aus dem Header laufen oder sehe ich das falsch?


Dazu fällt mir nur die (Mit-)Störerhaftung ein. Allerdings muß man Dich in dem Fall wohl erstmal informieren und dir Zeit geben, das abzustellen ... und da Du das Problem wohl schon behoben hast, kann man die Sache wohl als erledigt abtun.


Zu Punkt 3: Der Hoster sieht es in meinen Augen schon fast zu gelassen ;) Er hat mir das Kennwort geändert, mich auf einen Virenscann hingewiesen und gut war.


Was soll der auch sonst machen?


... Was mir jedoch fehlt ist erfahrung mit spam / spame-mails. Daher dachte ich, das ich in diesem Forum hier richtig bin.
Gerne können Sie mich im übrigen Duzen :)
Danke für Ihre Antwort, ich hoffe wir können den Dialog nun konstruktiv fortführen ;)

Soweit, so klar.



Received: from nschwingx08p.mx.bigpond.com ([85.13.137.170])
by nschwmtas04p.mx.bigpond.com with ESMTP
ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 18 May 2011 xx:xx:xx +0000
Received: from dd16736.kasserver.com ([85.13.137.170])
by nschwingx08p.mx.bigpond.com with ESMTP
ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 18 May 2011 xx:xx:xx +0000
Received: from User (unknown [221.1.215.90])
by dd16736.kasserver.com (Postfix) with ESMTPA ID: [ID filtered]
Wed, 18 May 2011 xx:xx:xx +0200 (CEST)


Das ist jetzt der Punkt, der mich verwirrt. Offenbar wurde diese Mail von China [221.1.215.90] aus in Deinen Mailer abgekippt, um dann an Deinen MTA auf 85.13.137.170 weitergeleitet zu werden. Da stellt sich mir die Frage, ob das die Mail ist, die über Deinen MTA verbreitet wurde. Dann hättest nämlich nur Du diese Mails erhalten und sonst niemand. Das hier aus den Headern spräche dafür:
"To: undisclosed-recipients:;"
Die "anderen" Empfänger ständen dann im Envelope unter BCC:, und da diese fehlen, ging diese Mail offenbar direkt an Dich.
Das wäre Punkt1.

Punkt 2: Wenn das so wäre, wie Du vermutest (bzw. wie ich vermute, daß Du es denkst), und Dein MTA hat Mails an "Unbeteiligte" verschickt, dann hattest Du einem MTA, der entweder als Relay benutzt wurde ... oder jemand hatte sich Zugang zu diesem Mailserver verschafft und direkt von ihm Mails versendet. Das Erste wäre ein Konfigurationsproblem, im zweiten Fall hättest Du einen möglicherweise gehackten Server.
Oder Du hast ein Webfrontend (?) auf Deinem Server, welches mit Passwort gesichert wäre, und Du kannst aus diesem Frontend heraus Mails verschicken. Das wäre zumindestens ... äh ... leichtsinnig? Unsinnig? Irgendwie fehlt mir das passende Wort dafür ... Auf jeden Fall ist es für mich erstmal nicht klar, wozu Dein Provider das Passwort gewechselt hat, außer für dieses Szenario.
Oder jemand hat einfach nur massenhaft Mails an Dich über Deinem MTA eingekippt. Das wäre 'n bissl dämlich vom Spammer, aber sowas soll's ja geben. Das wäre dann aber kein "mein Mailserver spammt"-Problem für Dich, denn damit wärest Du nur der einzige Betroffene und niemand sonst. Bisher wurde mir nicht klar, was genn nun genau passiert ist (siehe oben).
Evendudel wärest Du mal so nett, da etwas Licht ins Dunkel zu bringen. Was soll Dein Mailserver machen, Mails empfangen, Mails versenden, an wen, vom wem. Wie versendest Du Deine Mail, mit einem lokalen Client wie Outlook? Weil ... davon hängt halt ab, was Du machen könntest / solltest, um das Problem in den Griff zu bekommen. Denn wenn Dein Provider wirklich nur das Passwort von "irgendwas" geändert hat, dann wäre is immernoch möglich, dieses Passwort mit brute force zu "knacken", und Du hättest das gleiche Problem wieder am Hals.

'S kann aber auch sein, daß ich total daneben liege.
Stephan

TillP
19.05.2011, 06:50
Gehen wir doch mal logisch an die Sache ran.

1) Der Provider wurde informiert, hat reagiert durch Passwortänderung, der Spam hat aufgehört.

2) Demnach wurde der Spam per SMTP auf dem Mailserver eingeworfen.

3) Die Mails an den Nutzer sind die delivery failures bzw. bounces, diese gehen an die From-Adresse und nicht an das Reply-To.

4) Die Mails wurden von wechselnden chinesischen IPs aus eingekippt. Da kann man sich die Arbeit sparen, das weiter zu verfolgen.

5) Wie ist so etwas möglich: Der Spammer kennt Nutzernamen und Passwort des Nutzers für den SMTP.


Wie ist der Spammer an diese Daten gekommen:
- Wurde die Kombination wo anders genutzt?
- Phishing?
- Datenleck bei All-Inkl?
- Triviale Kombination?
- ?

Vermutlich wird das nicht nachvollziehbar sein.

Schorchgrinder
19.05.2011, 06:58
http://www.heise.de/security/meldung/Kritische-Luecke-im-Mail-Server-Exim-geschlossen-1239525.html

Ich glaube mich zu erinnern, das einige Serveranbieter veraltete Software auf dem Server anbieten. Der Kunde sollte dann updaten, ich glaub das stand mal in einer ct.

hanneswagner
19.05.2011, 08:48
ha es tut sich was :)
Punkt 1 -4 Jau, das ist absolut korrekt und ich denke auch nicht das da für mich noch etwas kommen wird. Konsequenzen für mich halte ich mittlerweile für ausgeschlossen oder seht ihr das anders? Ist meine Begründung das aufgrund der IP der Beweis erbracht ist, das nicht ich für das versenden des Spams zuständig gewesen war, schlüssig?
Zum Punkt 5:
Triviale Kombination => Ja ich habe daraus gelernt... Jedoch gibt es laut hoster die Aussage, das nach 10 fehlversuchen der Anmeldung die IP des potentiellen Angreifers gesperrt wird => Eher unwahrscheinlich oder?
Phising => Zumindest definitv keine klassische Webseite, das einzige wo ich mein E-Mail Passwort in letzter Zeit eingegeben habe, ist das vom hoster bereitgestellte Webmail
Datenlenk bei All-Inkl => Möglich aber unwahrscheinlich, hätte man hier nicht schon etwas gelesen?
Kombination wo anders benutzt => Leider ja, siehe triviale Kombination, ich hab drauß gelernt.

Was mir jetzt aufgefallen ist, ist das die benutzernamen / smtp konfiguration bei all-inkl (war vorher bei strato aber genauso) user und damit auch spammerfreundlich ist da:
smtp: smtp.domainname
username: e-mail adresse

ich habe jetzt nochmals eine E-Mail an meinen Provider geschickt mit 1-2 Fragen bezüglich des ganzen.

kjz1
19.05.2011, 10:53
Normalerweise läuft es bei den Mugus so ab:

Mugu-IP (z. Bsp. Multilinks in Nigeria) ---> gecrackter Server-Account ---> Empfänger

bzw. bei den etwas clevereren Mugus:

Zombie-PC (Botnetz) ---> gecrackter Server-Account ---> Empfänger

Wenn auf dem gecrackten Account die Passwörter geändert wurden, sollte eigentlich Ruhe sein. Ein Problem könnte noch sein, welche Form der Authentifizierung der Server-Provider denn benutzt. Und, ob man völlig ausschliessen kann, dass das Passwort (z. Bsp. durch einen Virus) vom eigenen PC 'abgegriffen' wurde.

- kjz

hanneswagner
19.05.2011, 11:21
Hallo,

soll das bedeuten das es bei den Mugus komplett normal ist das diese über augenscheinlich legitime Server senden?

Pcs sind gescannt (wie erwähnt ohne befunde), Kennwörter alle geändert, würdet ihr noch irgend etwas tun oder das ganze damit gut sein lassen?

truelife
19.05.2011, 11:48
Darf gefragt werden, wie gescannt wurde und welche Tools zur Untersuchung genutzt wurden? Gegebenenfalls könnten Logs von HiJackThis und E-Scan aufschlussreich sein.

kjz1
19.05.2011, 12:34
soll das bedeuten das es bei den Mugus komplett normal ist das diese über augenscheinlich legitime Server senden?

Ja, für Mugus ist dies die Regel. (also Versand über gecrackte Accounts von regulären Mailservern, nicht über Botnetze. Botnetze werden höchstens zum Abkübeln des Spams auf reguläre Mailserver verwendet.) Dazu müssen die Mugus gar nicht selbst cracken (können die das überhaupt...), solche gecrackten Accounts gibts AFAIK halt auf dem Schwarzmarkt zu kaufen.

- kjz

hoppala
19.05.2011, 12:35
soll das bedeuten das es bei den Mugus komplett normal ist das diese über augenscheinlich legitime Server senden?

Ja, das ist inzwischen der Normalfall. In dem System, das ich betreue, kommen die Mugumails zu über 90% über Yahoo (dort fahren wir aber auch mit einer sehr restriktiven Blockliste, da kommt so gut wie nichts mehr von Zombies und offenen Relays/Proxies rein).
Neben Yahoo werden relativ oft solche gecrackten Accounts bei Unis und so verwendet.

Hoppala

hanneswagner
19.05.2011, 13:12
gescannt wurde per avira anti-vir, kaspersky online scan, nach malware benutzte ich spybot search and destroy.
Soll ich Hijack this auch noch laufen lassen / e-scan (sagt mir bis her gar nichts?)
Da die Rede vom Schwarzmarkt ist, kann es sein das mein Kennwort schon länger bekannt war und gar nicht akut gestern zum Zeitpunkt des Spamversandes herauskam?