PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Opfer von Joejob geworden. Was tun?



mogano3
07.07.2015, 09:14
Moin moin,

wir sind Opfer eines Joejobs geworden.
Vor ein paar Tagen schonn mal, und heute Nacht wieder bekommen wir jede Menge Rebounce-Mails, fast alle von Web.de, in denen die Ungültigkeit von Mailadressen uns mitgeteilt wird.
Angeblich ist der Absender bei uns eine noreply [at] unseredomain.de-Adresse, der immer wieder verschiedene reale Namen zugeteilt werden, wie "L. B." <noreply [at] xxxxxxxxxxxxxx.de>, "O. K."<noreply [at] xxxxxxxxxxxxxx.de>....u.s.w.

Hier mal ein Beispiel aus der Rebounce-Mail:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of
its recipients. This is a permanent error. The following address
failed:

"@t-online.de":
SMTP error from remote server in greeting:
host: mx02.t-online.de:
IP=82.165.159.3 - A problem occurred. (Ask your postmaster for help or to contact tosa [at] rx.t-online.de to clarify.) (BL)
"@hotmail.de":
SMTP error from remote server after MAIL command:
host: mx2.hotmail.com
OU-001 (SNT004-MC2F44) Unfortunately, messages from 82.165.159.3 weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors.

--- The header of the original message is following. ---

Received: from [212.227.15.17] ([212.227.15.17]) by mx-ha.web.de (mxweb002)
with ESMTP (Nemesis) ID: [ID filtered]
+0200
Received: from gettyimages.com ([193.109.35.237]) by mx-ha.web.de (mxweb002)
with ESMTP (Nemesis) ID: [ID filtered]
<curtis-newton2500 [at] web.de>; Mon, 06 Jul 2015 xx:xx:xx +0200
Received: by %231.151.182.250; Mon, 06 Jul 2015 xx:xx:xx -0400
From: "L. B." <noreply [at] xxxxxxxxxxxxxx.de>
Reply-To: "L. B." <noreply [at] xxxxxxxxxxxxxx.de>
To: poor [at] spamvictim.tld
Subject: Du hast eine Nachricht von Johann erhalten
Date: Mon, 06 Jul 2015 xx:xx:xx -0200
Content-Transfer-Encoding: 7Bit
Content-Type: text/html;

Ich hab somnst immer alle Spammer bei Spamcop verpetzt, aber das bringt ja jetzt wohl nichts, oder kann ich mit dem Header, der nach --- The header of the original message is following. --- die Mail erfogversprechend verpetzen? Sicher ist solcher SPam nicht aus einer einzigen quelle kommen, sondern von diversen infizierten Privatrechnern kommend, oder?
Gibts überhaupt irgendwas, das wir tun können?

Danke für eure Hilfe im Voraus, Mogano

thomas1611
07.07.2015, 09:38
Leider ist außer einer Info auf der eigenen Website nicht viel dagegen zu machen. Trotzdem ist es sinnvoll, den eigenen Webspace auf Schadcode zu prüfen

mogano3
07.07.2015, 10:44
Trotzdem ist es sinnvoll, den eigenen Webspace auf Schadcode zu prüfen

Gibts ne Anleitung, wie man das selbst machen kann? Unser Webmaster ist zwar fit mit unserem Webshop, aber ich glaube, bei solchen Sachen eher nicht der Richtige.

thomas1611
07.07.2015, 10:46
Logfiles, Logfiles und nochmal Logfiles. Insbesondere sollte der Provider kontaktiert werden, ob es auffällige Mails gab(denkbar ist ja ein Versand direkt aus der Seite durch Sicherheitslücken etc.)

kjz1
07.07.2015, 12:25
Das ist kein klassischer Joe Job. Das sieht mir nach Backscatter aus:

http://www.antispam-ev.de/wiki/Bounce

Da kann man eigentlich nur filtern, bis der Sturm nach einigen Tagen (hoffentlich) vorüber ist.
Und laut Betreff müffelt der Spam auch schon in eine bestimmte Richtung.

Goofy
07.07.2015, 18:39
Ja, das ist der typische Spam für Binäre Optionen vom kleinen Braunschweiger Leberwurst-Rotzer.

Der Rotzvestor hat Deine Mailadresse zum Fälschen der Absendeadresse auserkoren, deshalb kriegst Du jetzt eine Zeit lang die Backscatter Mails wegen des Spams, der aus irgendeinem Grund nicht zustellbar ist (Account existiert nicht u.s.w.).

Wann der Rotzvestor damit aufhört und eine andere Adresse hernimmt, kann man nicht voraussagen. Es nutzt auch nichts, die Spamwurst zu fragen, denn der wird das natürlich vehement abstreiten, dass er dahinter steckt - und das Gegenteil ist ihm nur sehr schwer bis gar nicht gerichtsfest (!) beweisbar.

Es könnte dann dem Rotzvestor aber auch einfallen, wenn Du Dich bei ihm bescherst, Dich dann tatsächlich mit einem echten Joe-Job zu "beglücken" - und das wäre dann viel unangenehmer als der Backscatter. Spammer sind unberechenbar und akzeptieren nur ihre eigenen "Regeln".

KaiHH
08.07.2015, 09:17
Aus diesem Grunde soll der kleine Sack ja auch ein schnelles Auto fahren und immer wieder in den Rückspiegel schauen.... Habe ich mal so gehört....

Gruß
Kai

mogano3
08.07.2015, 09:21
Ja, das ist der typische Spam für Binäre Optionen vom kleinen Braunschweiger Leberwurst-Rotzer.

Der Rotzvestor hat Deine Mailadresse zum Fälschen der Absendeadresse auserkoren, deshalb kriegst Du jetzt eine Zeit lang die Backscatter Mails wegen des Spams, der aus irgendeinem Grund nicht zustellbar ist (Account existiert nicht u.s.w.).

Wann der Rotzvestor damit aufhört und eine andere Adresse hernimmt, kann man nicht voraussagen. Es nutzt auch nichts, die Spamwurst zu fragen, denn der wird das natürlich vehement abstreiten, dass er dahinter steckt - und das Gegenteil ist ihm nur sehr schwer bis gar nicht gerichtsfest (!) beweisbar.

Es könnte dann dem Rotzvestor aber auch einfallen, wenn Du Dich bei ihm bescherst, Dich dann tatsächlich mit einem echten Joe-Job zu "beglücken" - und das wäre dann viel unangenehmer als der Backscatter. Spammer sind unberechenbar und akzeptieren nur ihre eigenen "Regeln".

Moin Goofy,

du sprichst für einen nicht-Insider in Rätseln.....

Kannst du mir das erläutern, notfalls auch per persönlicher Nachricht oder per Mail an eine Wegwerfmailadresse???

AAD
08.07.2015, 11:06
Gibts überhaupt irgendwas, das wir tun können?

Für diese JoeJob ist es vermutlich zu spät, man kann den Provider mitteilen welche Mails sie annehmen sollen.
Das funktioniert mit Sender_Policy_Framework (SPF) (https://de.wikipedia.org/wiki/Sender_Policy_Framework), DomainKeys (DKIM) (https://de.wikipedia.org/wiki/DomainKeys) und DMARC (https://de.wikipedia.org/wiki/DMARC)

SPF
Bei SPF wird beim DNS-Record alle IPs angegeben die eine Mails versenden dürfen (Mailserver/Webserver).
z.b.:
v=spf1 mx -all
Leider wird mit -all auch mails weggeschmissen wenn ein user eine weiterleitung zu einem anderen Provider eingerichtet hat. z.b.: xxxxxx[at]gmx.net zu xxxxxx[at]outlook.com dann wirft der outlook.com server alle mails weg.

DKIM
Alle ausgehenden mails werden vom Mailserver signiert, somit kann kontrolliert werden ob diese verändert wurde.
Die signatur wird nur kontrollieren wenn eine angegeben wurde.

DMARC
DMARC verwendet SPF und DKIM, dadurch wurde auch das fehlverhalten von SPF übernommen.
Aber dafür wird jetzt immer auch die DKIM kontrolliert.
Wenn man dann im DNS-Record "v=DMARC1; p=reject" werden keine mails mehr angenommen die bei der SPF oder DKIM prüffung fehlschlagen.

Alle grossen Provider unterstüztzen DMARC, somit macht es keinen sinn mehr für Spammer deinen domain für JoeJobs zu verwenden.

Mittwoch
08.07.2015, 16:30
Moin Goofy,
Kannst du mir das erläutern
Ich bin zwar nicht Goofy, weiß aber, wovon er spricht.

Du/Ihr bist/seID: [ID filtered]

Für Dich dürften Details zu dieser Person eher verwirrend sein. Vermutlich hat besagter Braunschweiger einen seiner zahlreichen Spamruns gestartet, bei dem er Deine/Eure Mailadresse als gefälschte Absenderangabe verwendete. Wenn diese Spammails dann nicht zustellbar sind, kann es vorkommen, dass die "Empfänger unbekannt"-Mitteilung an die Absenderadresse geschickt wird, Ihr sie also zu lesen bekommt. Man nennt solche Vorkommnisse Backscatter.

So schwer das klingt: Was anderes außer ignorieren und den hilfreichen Tipps von AAD bleibt Euch nicht übrig. Es gibt zwar Indizien dafür, dass die Braunschweiger Leberwurst hinter dem Spamrun steckt und damit streng genommen auch für Eure Belästigung zur Verantwortung zu ziehen wäre, diese Indizien reichen aber nicht weit genug, als dass eine Rechtsverfolgung lohnen würde.

Schönen Gruß
Mittwoch

kjz1
08.07.2015, 20:23
Ansonsten empfehle ich zur ergänzenden Hintergrund-Information:

http://tinyurl.com/o66ybb6 (Über Tinyurl umgeleitet, führt zu Spamhaus.org)

RATM1
08.07.2015, 21:00
Dem Frau Holle seine Schwester hat da auch noch reichliches zu bieten... (http://tinyurl.com/pnbmfje)

mogano3
10.07.2015, 09:21
Danke, jetzt weiß ich soweit Bescheid.

Ich frage mich zwar immer noch, wie der Wichser am unsere Mailadresse kommen konnte, die ist nirgendwo zu finden über Suchmaschinen, und wurde auch nur wenige (ca. 15 mal) verwendet als Absender, aber was solls: wir könnten das Postfach problemlos löschen, da es keine verwendung findet, aber es sind 2 Nächte nur Backscatter reingekommen, wenns nicht wieder kommt, lassen wir es dabei bewenden.

Danke euch für die Infos, und dem Braunschweiger möge Rotzer Aids, Fußpilz und Dauerdiarrhoe ereilen.

Wuschel_MUC
10.07.2015, 13:20
...wie der @§%#$µ am unsere Mailadresse kommen konnte...
Womöglich wurde die Adresse aus dem Adressbuch eines anderen Computers geklaut?

Vielleicht sollten eure Freunde und Geschäftspartner ihre Computer auf Malware überprüfen?

Wuschel