PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spam Mails von eigener Adresse und anderen bekannten Mailadressen



udi
18.08.2015, 07:51
Moin,
folgendes Problem: Gestern früh erreichte mich eine Nachricht eines Mitgliedes eines meiner Email Verteiler, er habe von meiner Adresse aus eine Nachricht erhalten, die Spam enthält. Er hat mir die Nachricht weitergeleitet, ich konnte den Header aber nicht öffnen. Heute früh erreichte nun mich eine Nachricht eines weiteren Mitgliedes aus dem selben Email Verteiler mit Spam. Hier konnte ich den Header soweit "analysieren", dass es sich bei dem Absender definitiv nicht um den angegeben handelt.
1. Was ist hier passiert?
2. Wie konnten die "Spamer" an die Adressen aus dem Email Verteiler gelangen?
3. Was kann man tun?
Danke.

Gruß

truelife
18.08.2015, 08:25
Hallo udi, willkommen im Forum des Antispam e.V.!

zu 1. + 2.: Irgendjemand hat sich einen Virus/Trojaner eingefangen, der das Adressbuch des PC-Nutzers durchsucht hat und sich an alle gespeicherten Empfänger verschickt hat. Hast du mal einen Header hier? Bitte dessen kompletten Inhalt in folgenden "Tag" packen, die Leerzeichen weglassen: [ HEADER ][ /HEADER ]

Im ersten Moment klingt es danach, als seiest du die Quelle des Spamruns gewesen. Der Kontakt, der dir nun ebenfalls eine Spammail sandte, hat sich wohl mit dem gleichen Schädling infiziert.

zu 3.: Die entsprechenden Rechner neu aufsetzten, bzw. reinigen lassen. Dies ist mitunter möglich, wenn es sich bei den Schädlingen nicht um Trojaner handelt, die eine sogenannte "Backdoor" einrichten, d.h., ein Schlupfloch für weitere Schadsoftware installieren, da man hierbei nicht mehr herausfinden kann, was möglicherweise noch alles auf dem betroffenen PC passierte.

Professionelle Hilfe gibt es bei den Kollegen unseres Partnerforums unter http://board.protecus.de/

udi
18.08.2015, 08:46
Moin truelife,
danke für die Antwort.
1. Ich hab den header als private nachricht an dich geschrieben. bin nicht firm in der materie. er ist von der nachricht, die ich heute früh erhalten habe.
2. Ich überprüfe meine Rechner wöchentlich mit mehreren programm u.a.: Windows defender, mc affee security scan plus, einmal läuft ein komplettscan des eset online scanners, malware bytes läuft auch durch und erkennt zwar dinge, von denen ich weiß, dass sie nich ursprung des überls sein können.
3. Soll man die Teilnehmer der Mailingliste informieren?
Danke.

truelife
18.08.2015, 09:08
zu 1.: Einmal hier der Header - die echten Empfängerdaten habe ich unkenntlich gemacht:

Return-Path: <[snip]@t-online.de>
Received: from mailin54.aul.t-online.de ([172.20.27.3])
by ehead901.aul.t-online.de (Dovecot) with LMTP ID: [ID filtered]
Tue, 18 Aug 2015 xx:xx:xx +0200
Received: from mail-in-11.arcor-online.net ([151.189.21.51]) by mailin54.aul.t-online.de
with (TLSv1:ECDHE-RSA-AES256-SHA encrypted)
esmtp ID: [ID filtered]
Received: from mail-in-10-z2.arcor-online.net (mail-in-10-z2.arcor-online.net [151.189.8.27])
by mx.arcor.de (Postfix) with ESMTP ID: [ID filtered]
Tue, 18 Aug 2015 xx:xx:xx +0200 (CEST)
Received: from mail-in-06.arcor-online.net (mail-in-06.arcor-online.net [151.189.21.46])
by mail-in-10-z2.arcor-online.net (Postfix) with ESMTP ID: [ID filtered]
Tue, 18 Aug 2015 xx:xx:xx +0200 (CEST)
X-Greylist: Passed host: 182.218.24.235
X-DKIM: Sendmail DKIM Filter v2.8.2 mail-in-06.arcor-online.net 3mwJQP3ywSz7mFb
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
X-Greylist: Passed host: 182.218.24.235
Received: from WORLDST-UQ3K9Q0 (unknown [182.218.24.235])
(Authenticated sender: [snip]@arcor.de)
by mail-in-06.arcor-online.net (Postfix) with ESMTPSA ID: [ID filtered]
Tue, 18 Aug 2015 xx:xx:xx +0200 (CEST)
From: <[snip]r [at] t-online.de>
To: [snip] <[snip]@stmail.uni-bayreuth.de>, [snip]
<[snip]@t-online.de>, [snip] <s[snip]@landdata.de>, [snip] <[snip]@tagungshotel.com>, [snip] <[snip]@telekom.de>, [snip]
<[snip]@news.topagrar.com>, [snip] <[snip]@t-online.de>,
[snip] <[snip]@t-online.de>, [snip] <[snip]@t-online.de>,
[snip] <[snip]@t-online.de>, [snip] <[snip]@t-online.de>, [snip]
<[snip]@fbg-frankensued.de>, [snip] <[snip]@t-online.de>, [snip]
<[snip]@t-online.de>, [snip] <[snip]@t-online.de>,
[snip] <[snip]@BayerischerBauernverband.de>,
[snip] <[snip]@t-online.de>, [snip] <[snip]@t-online.de>, [snip] <[snip]@gmx.net>, [snip]
<[snip]@gmx.de>,[snip] <[snip]@mnet-online.de>, [snip] <[snip]@web.de>, [snip]
<[snip]@gmx.de>, [snip] <[snip]@rb-wug.de>,
[snip] <[snip]@gv-bayern.de>, [snip] <[snip]@spkmfrs.de>,
[snip] <[snip]@t-online.de>,
Subject: Fw: important
Date: Tue, 18 Aug 2015 xx:xx:xx +0200
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_c3c2_9604_71f9"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: [filtered]
Content-Language: en-us
X-TOI-SPAM: n;1;2015-08-18Txx:xx:xxZ
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: [ID filtered]
X-TOI-SPAMCLASS: CLEAN, NORMAL
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <[snip]@t-online.de>

zu 2.: Kein Virenscanner ist unfehlbar, zudem sind solche per E-mail versandten Trojaner in aller Regel immer sehr neue Varianten, weil sie sonst von Virenscannern bei der Ankunft entdeckt werden könnten. Es ist löblich, den Rechner gut zu prüfen, ich persönlich halte von ESET allerdings nicht viel. Aber das ist Geschmackssache.

Generell ist es auch denkbar, dass die Schadsoftware dich als Absender eingetragen hat, die E-Mail aber tatsächlich aber von einem anderen PC stammt. Das lässt sich teilweise anhand des Header sagen, allerdings bin ich nicht wirklich firm, was die Auswertung des Headers abgeht.

Du sagst, du kennst den Absender. Kennst du den Absender so gut, dass du wissen kannst, dass die sonstigen Empfönger in seiner Kontaktliste stehen? Gesetzt den Fall, die E-Mail kam wirklich auch von seinem T-Online-Konto, sollte man ihn informieren. Auch derjenige, der vrgeblich von dir den Spam erhalten hat, sollte den Header sich anzeigen lassen und dir diesen als Textdokument zuschicken. Dann sieht man klarer, was hier abläuft.

Welchen Inhalt hat denn die Mail?

zu 3.: Geschmackssache. Ich persönlich würde das nicht.

Mittwoch
18.08.2015, 09:51
Generell ist es auch denkbar, dass die Schadsoftware dich als Absender eingetragen hat, die E-Mail aber tatsächlich aber von einem anderen PC stammt. Das lässt sich teilweise anhand des Header sagen, allerdings bin ich nicht wirklich firm, was die Auswertung des Headers abgeht.
Eine schöne Anleitung findet sich im Antispam-Wiki: EMailHeader, etwas weiter unten im Artikel.

In diesem Fall sicher nicht, denn die entscheidende Zeilen sind die hier (Nummern 45 bis 48 in truelifes Beitrag):
Received: from WORLDST-UQ3K9Q0 (unknown [182.218.24.235])
(Authenticated sender: [snip]@arcor.de)
by mail-in-06.arcor-online.net (Postfix) with ESMTPSA ID: [ID filtered]
Tue, 18 Aug 2015 xx:xx:xx +0200 (CEST)

Die Mail wurde über die IP 182.218.24.235 bei Arcor.de eingeliefert, wobei eine gültige Authentifizierung genutzt wurde, d.h. der Absender kannte Benutzernamen und Passwort des Benutzers, dessen Mailadresse truelife in der zitierten Headerzeile anonymisiert hat. Das spricht dafür, dass auf dem Rechner des Einliefernden ein Schädling aktiv ist, der die Logindaten abgegriffen hat.

Arcor wiederum (und das gilt nicht pauschal, sondern ist vom Anbieter abhängig) akzeptiert nicht, dass Mails eingeliefert werden, bei denen die Absendermailadresse nicht zum Konto passt, dessen Authentifizierung angewendet wird. Demnach ist der Absender hier wirklich der "Übeltäter".

182.218.24.235 ist ein Dial-In-Account eines südkoreanischen Anbieters. Wenn der Absender also nicht gerade dort in Urlaub ist, kann man mit hoher Wahrscheinlichkeit annehmen, dass ein Botnetz am Werk war.

Schönen Gruß
Mittwoch

hoppala
18.08.2015, 12:42
Diese Art Spam mit Ausnutzung von Adressbuchdaten ist meines Wissens vor einiger Zeit massiv mit vermutlich gehackten Yahoo-Accounts gelaufen. Gesendet wurde in allen Fällen nicht über das Mailkonto bei Yahoo, sondern über gehackte Mailkonten Dritter. Ich hatte damals den verdacht, dass es wohl einen mittleren Einbruch bei Yahoo gegeben haben müsste, denn dass bei so vielen Yahoo-Benutzern gleichzeitig die Adressbücher aus dem lokalen PC ausgelesen werden, wäre doch ein sehr unwahrscheinlicher Zufall.
Vor ein paar Tagen habe ich so einen Spam selbst bekommen, mit Adressen einer Bekannten, die GMX nutzt und einen Mac, bei dem eine Vireninfektion relativ unwahrscheinlich ist. Es sieht so aus, als ob da dann die Adressen aus GMX abgegriffen wurden (ich weiß aber noch nicht, ob sie tatsächlich die Adressen in dem GMX-Konto abgelegt hatte). Wie es hier in diesem Fall aussieht, weiß ich nicht, könnte es sein, dass der Bekannte seine Adressen auch bei T-Online gespeichert hat?

Ich fände es total spannend, mal rauszubekommen, wie die Adressen konkret abgegriffen werden.

hoppala

udi
19.08.2015, 08:35
Inhalt der Mail;
Important message, visit http://ikn-hameln.de/passing.pxp

(truelife) Link editiert und whoisst, da dahinter Malware lauert

Fidul
19.08.2015, 14:49
http://www.golem.de/news/security-massenhaft-spam-ueber-t-online-konten-versendet-1508-115844.html
http://heise.de/-2786008

Uh-oh. Das sieht ganz böse aus.

Mittwoch
19.08.2015, 20:17
Uh-oh. Das sieht ganz böse aus.
Stimmt! Da wird aus einer sehr kleinen Mini-Mücke schon fast eine ganze Elefantenherde gemacht. Absenderangaben in Mails sind beliebig fälschbar. Wenn ich will, kann ich Mails mit der Absenderangabe des US-Präsidenten verschicken. Und Social Engineeering in Kombination mit Viren und Würmern, die Adressbücher ausspähen, ist auch nichts Neues. Jetzt hat Spammy sich halt mal vermehrt auf Telekomiker gestürzt. Nichts weltbewegendes. Das Problem sitzt bei diesem Spamrun eh vorm Rechner, das gilt aber für jeden beliebigen Spam, insofern nimmt sich dieser Run nicht aus.

0,02 Euro
Mittwoch