email gehackt?

[ZzLeCzZ]

hi hab ihr das neuerdings auch das ihr spam bekommt indem angeblich mails nicht angekommen sind? In der mail steht dann ich sie abgesendet habe.
könnte meine password geknackt worden sein oder ist das nur ein trick?

[emge]

So pauschal und ohne eine genaue Analyse der betreffenden Mails kann man da wenig konkretes sagen. Aber aus dem Bauch würde ich erstmal auf einen neuen üblen Trick der Spammer-Bande tippen.

Grüße, Marco

[blackstream]

Na ja, bei Spam ist ja meistens der From-Header gefälscht, wogegen SMTP auch keine wirksamen Mechanismen liefert.

Vermutlich hat jemand Spam mit einer gefäschten Absendeadresse (nämlich Deiner) irgendwohin (wahllos) versendet, wo der Mailserver die Empfängeradresse nicht kennt und daraufhin dem vermeintlichen Absender (Dir) einen Fehlerbericht schickt. So eine Mail ist bei mir neulich auch aufgeschlagen.

Aber, wie mein Vorredner schon sagte - ohne die Mail zu sehen, kann man das nicht mit Sicherheit sagen. Könnte z.B. auch direkt eine Vireninfizierte Mail sein. Aber auch, dass sich jemand Deines Mailaccounts bemächtigt hat, ist ohne weiteres nicht ganz auszuschließen.

Gruß,
Rainer

[The Torso]

Ja, das passiert mir auch andauern auf meiner Yahoo - Adresse. Dort landen so alle zwei tage bis zu 10 Mails im Buld-Ordner, die werden dann radikal gelöscht!

[ZzLeCzZ]

so hab mal meine password geändert und heute wieder eine bekommen ich schreib die mal: (meine adresse hab ich durch **** ersetzt)

Code: Alles auswählen

Return-Path: 	<>	
X-Flags: 	0000	
Delivered-To: 	GMX delivery to ****@gmx.de	
Received: 	(qmail 21798 invoked by uid 65534); 26 May 2004 21:44:57 -0000	
Received: 	from ftpbox.mot.com (EHLO ftpbox.mot.com) (129.188.136.101) by mx0.gmx.net (mx006) with SMTP; 26 May 2004 23:44:57 +0200	
Received: 	from az33exr02.mot.com (az33exr02.mot.com [10.64.251.232]) by ftpbox.mot.com (Motorola/Ftpbox) with ESMTP id i4QLik30007238 for <****@gmx.de>; Wed, 26 May 2004 14:44:46 -0700 (MST)	
Received: 	from localhost (localhost) by az33exr02.mot.com (Motorola/az33exr02) id i4QLhU4s001401; Wed, 26 May 2004 16:43:30 -0500	
Datum: 	Wed, 26 May 2004 16:43:30 -0500	
Von: 	Mail Delivery Subsystem <MAILER-DAEMON@az33exr02.mot.com>	
Message-Id: 	<200405262143.i4QLhU4s001401@az33exr02.mot.com>	
An: 	<****@gmx.de>	
MIME-Version: 	1.0	
Content-Type: 	multipart/report; report-type=delivery-status; boundary="i4QLhU4s001401.1085607810/az33exr02.mot.com"	
Betreff: 	Returned mail: see transcript for details	
Auto-Submitted: 	auto-generated (failure)	
X-GMX-Antivirus: 	-1 (not scanned, may not use virus scanner)	
X-GMX-Antispam: 	0 (Mail was not recognized as spam)

The original message was received at Wed, 26 May 2004 16:43:28 -0500
from motgate3.mot.com [144.189.100.103]
 
   ----- The following addresses had permanent fatal errors -----
<check@phx.mcd.mot.com>
    (reason: 550 5.1.1 <check@phx.mcd.mot.com>... User unknown)
 
   ----- Transcript of session follows -----
... while talking to busboy.phx.mcd.mot.com.:
>>> DATA
<<< 550 5.1.1 <check@phx.mcd.mot.com>... User unknown
550 5.1.1 <check@phx.mcd.mot.com>... User unknown
<<< 503 5.0.0 Need RCPT (recipient)

Reporting-MTA: 	dns; az33exr02.mot.com	
Received-From-MTA: 	DNS; motgate3.mot.com	
Arrival-Date: 	Wed, 26 May 2004 16:43:28 -050

Final-Recipient: RFC822; check@phx.mcd.mot.com

Action: failed

Status: 5.1.1

Remote-MTA: DNS; busboy.phx.mcd.mot.com

Diagnostic-Code: SMTP; 550 5.1.1 <check@phx.mcd.mot.com>... User unknown

Last-Attempt-Date: Wed, 26 May 2004 16:43:30 -0500

Return-Path: 	<****@gmx.de>	
Received: 	from motgate3.mot.com (motgate3.mot.com [144.189.100.103]) by az33exr02.mot.com (Motorola/az33exr02) with ESMTP id i4QLhS4s001342 for <check@phx.mcd.mot.com>; Wed, 26 May 2004 16:43:28 -0500	
Received: 	from dsl-201-128-251-233.prod-infinitum.com.mx (dsl-201-128-251-233.prod-infinitum.com.mx [201.128.251.233] (may be forged)) by motgate3.mot.com (Motorola/Motgate3) with SMTP id i4QLiZa5010317 for <check@phx.mcd.mot.com>; Wed, 26 May 2004 14:44:37 -0700 (MST)	
Datum: 	Thu, 27 May 2004 12:50:14 +0000	
Von: 	****<****@gmx.de>	
Betreff: 	Re: Hi there Check	
An: 	Check<check@phx.mcd.mot.com>	
References: 	<BDI9IIJ6AI05A669@phx.mcd.mot.com>	
In-Reply-To: 	<BDI9IIJ6AI05A669@phx.mcd.mot.com>	
Message-ID: 	<LL2239FCG71AH166@gmx.de>	
Antwort-pM: 	Cws <cws@aldersgate.com>	
MIME-Version: 	1.0	
Content-Type: 	text/html; charset=Windows-1251	
Content-Transfer-Encoding: 	8bit

Hi Check!
Here is the site yor asked before:



cheers
Adam check@phx.mcd.mot.com

weis nicht ob ich das alles mit den heathers so richtig gemacht hab. Hab die Mail aus meinem email- client stückweise kopiert.

[emge]

Da verwendet ein Spammer "nur" deine E-Mail-Adresse als Absender. Ist zwar beschissen, aber nichts ungewöhnliches. Dein GMX-Account ist nicht gehackt.

Grüße, Marco

[larus]

Da verwendet ein Spammer "nur" deine E-Mail-Adresse als Absender. Ist zwar beschissen, aber nichts ungewöhnliches. Dein GMX-Account ist nicht gehackt.

Grüße, Marco

Aber ich würde trotzdem die Adresse wechseln. Sonst hast du noch Klagen oder so am Hals


ggl larus

[emge]

Aber ich würde trotzdem die Adresse wechseln. Sonst hast du noch Klagen oder so am Hals

Wohl wahr. Die Adresse kann man jetzt in die Tonne treten.

Ob man aber dafür haftbar gemacht wird, wage ich doch zu bezweifeln. Aus der E-Mail geht ja eindeutig hervor, wo die herkommt. Und vielleicht ist ja sogar der Provider von dsl-201-xxx-xxx-233.prod-infinitum.com.mx bereit, irgendetwas zu unternehmen. Ich vermute aber einen Kampf gegen Windmühlen.

Wenn ich es mir aber recht überlege, bei der heutzutage anzutreffenden Klagewut muss man auf alles gefasst sein. Da hat man vielleicht doch mal eine Klage am Hals, auch wenn die nicht mal ansatzweise Chancen auf Erfolg hat.

Grüße, Marco

[tylerD]

Wieso wechseln? Dann müßte man ja alle 3 Minuten die Addresse wechseln. Wenn man einen Domain hat, ist das noch schlimmer, da bleibt es fast zwangsläufig nicht aus, das Addressen aus dem eigenen Namensraum als Absender genommen werden. Gegen die Leute, die ihren Mailserver so konfiguriert haben, dass er bei einer eingehenden Virusemail den Absender benachrichtigt, sollte man wegen Spaming vorgehen. Welche Spam/Virusemail schreibt denn den richtigen Absender rein? Lächerlich...

cu

[emge]

Wieso wechseln? Dann müßte man ja alle 3 Minuten die Addresse wechseln. Wenn man einen Domain hat, ist das noch schlimmer, da bleibt es fast zwangsläufig nicht aus, das Addressen aus dem eigenen Namensraum als Absender genommen werden. Gegen die Leute, die ihren Mailserver so konfiguriert haben, dass er bei einer eingehenden Virusemail den Absender benachrichtigt, sollte man wegen Spaming vorgehen. Welche Spam/Virusemail schreibt denn den richtigen Absender rein? Lächerlich...

So gesehen, haste natürlich recht. ZzLeCzZ, behalt also die Adresse und bau dir ein paar brauchbare Filterregeln.

Grüße, Marco

[ZzLeCzZ]

besteht nicht auch die gefahr das ich auf irgend eine spam liste gerate und so keiner mehr meine mails bekommt?
und wie kann man denn mails mit falschem absender verschicken?

[emge]

besteht nicht auch die gefahr das ich auf irgend eine spam liste gerate und so keiner mehr meine mails bekommt?
und wie kann man denn mails mit falschem absender verschicken?

Gefahr dürfte gering sein. Blacklists (Listen, die von Mailservern ausgewertet werden, welche E-Mails angenommen werden oder nicht) werden nur auf der Ebene von Mailservern und Domains geführt. D.h. da steht dann beispielsweise drin, dass Mails, die mir der Mailserver bla.mail.com schicken will nicht angenommen werden, weil der als Spam-Server bekannt ist.

In eine E-Mail kann man erstmal beliebige Absender-Adressen reinschreiben. Es ist eine Frage der Konfiguration des Mailservers (der mir die E-Mails abnimmt), ob er darauf achtet, dass diese Adressen auch halbwegs stimmen (mail.gmx.net macht das z.B. so). Es gibt im Netz genug falsch Konfigurierte Server die sich (absichtlich oder nur aus Versehen) nicht um solche Sicherheitsbelange kümmern. Genau das ist auch ein Teil des Problems, aus dem uns die ganze Spam-Schei** entgegenschwappt.

Grüße, Marco

[tylerD]

besteht nicht auch die gefahr das ich auf irgend eine spam liste gerate und so keiner mehr meine mails bekommt?

Die Gefahr besteht immer. Da mittlerweile viele versuchen dieser unsäglichen Spamflut her zu werden, werden teilweise auch reicht komische Filterregeln angelegt und manche Admins sind dann nicht mehr so auf der Höhe. Letztens hatte sogar ein Mailserver eine Email von mir abgelehnt, weil Freenet, mein Relay, auf dessen Blacklist war. Zum Glück hatte die sich in 24h wieder geändert.

Es bleibt allso nur das übliche zu tun. Aufpassen, wo mann seine Email veröffentlicht. Die Freunde die man hat auch ein bischen zum Thema Sicherheit erziehen (viele solcher Mails, entstehen, weil der Freund der ein im Addressbuch hat, sich nen Virus eingefangen hat| nicht immer diese "lustigen" Mails mit dem gesamten Addressbuch im To Feld usw).
Und halt selbst einen Spamfilter verwenden...

cu

[pil]

Wohl wahr. Die Adresse kann man jetzt in die Tonne treten.

Ist wirklich nicht notwendig, wie tylerD sagt. Da müsste ich jeden Tag die Adresse mehrmals wechseln.
Es ist bekannt, dass sich viele Viren mit irgend einer Absender-Adresse aus dem Outlook (Express) Adress-Buch versenden.
Das beste aber ist, wenn man dann die Hinweise von Firmen und Organisationen erhält: In Ihrer Mail wurde ein Virus gefunden. Bitte installieren Sie den neuesten Patch von Soundso oder wenden Sie sich an den Systemadministrator.

Wenns nicht so häufig vorkommen würde, wärs nur lächerlich.

[LittleBoy]

Ich würde sogar sagen, der Spammer verwendet die E-Mail Adresse nicht als "Absender" - der Bounce wird wohl eingeplant:

Wenn meine Adresse auf einer RPL steht, dann kann ich nicht mehr so leicht spammen. Also suche ich mir einen Host, der nicht auf einer RBL steht aber selber keine RBL einsetzt (wie in diesem Fall der Mailserver von Motorola). Jetzt sende ich eine Mail an diesen Mailserver mit:
a) einer nicht vorhandenen E-Mail Adresse und
b) meinem eigentlichen Ziel als Absender.
Der Mail-Server wird die Mail bouncen, und an den gefakten Absender zustellen. Der Mail-Server vom Spam-Opfer kommt nur mit dem motorola-Host in Kontakt und der steht wiederum in keiner RBL und stellt somit dem Spam zu...

Ergo: Ein sehr leichter Weg, sämtliche RBLs ad absurdum zu führen - zumal sich der Mailserver von Motorola korrekt verhält...

[emge]

...
Ergo: Ein sehr leichter Weg, sämtliche RBLs ad absurdum zu führen - zumal sich der Mailserver von Motorola korrekt verhält...

Der Mailserver von Motorola verhält sich vielleicht bezüglich seiner eigenen Konfiguration korrekt. Mehr aber auch nicht. Er wäre in dem von dir beschriebenen Szenario schlichtweg falsch konfiguriert.

Wäre ja noch schöner, wenn in einem Gemeinwesen jeder nur an seine eigenen Regeln hällt und alles andere ignoriert. Ob mit oder ohne Absicht ist dabei völig egal.

Grüße, Marco

P.S. Bitte unterstellt mir jetzt nicht die Absicht, alles und jedes im Internet durch Vorschriften regeln zu wollen. Im Allgemeinen herrscht ja Konsens über das korrekte Verhalten (bzgl. Spam, Viren, der Sicherung von Rechnern,...). Viele machen es aber den schwarzen Schafen durch eine zu blauäugige Herangehensweise an das Medium zu leicht.

[tylerD]

Es wird Zeit für ein neues Emailprotokoll. Die Probleme sind wohl mit smtp nicht mehr zu lösen und das sind alles nur Workarounds, die diejenigen beeinträchtigen die dieses Medium für ihre Kommuniktaion nutzen wollen und von den Spammern eh gleich wieder umgangen werden.

cu

[tylerD]

Der Mailserver von Motorola verhält sich vielleicht bezüglich seiner eigenen Konfiguration korrekt. Mehr aber auch nicht. Er wäre in dem von dir beschriebenen Szenario schlichtweg falsch konfiguriert.

Nein, er verhält sich laut RFC [1] korrekt. Ein Emailserver(der Spammer) versuch eine Email für einen User zu senden. Der Mot-Server sagt, den User gibt es bei mir nicht und schickt die entsprechende Antwort zurück. Völlig korrekt.

Das Problem ist, das die Antwortaddress (die From aus der eigentlichen Mail) gefakt ist, jetzt der Mot-Mailserver als Absender fungiert (steht in keiner Blacklist, vertrauenswürdig) und somit unbeabsichtigt als Spamschleuder dient.

Viele schalten solch ein Verhalten ab, was gegen den Spammer gut ist, aber eigentlich laut RFC unkorrekt.

cu

[1] http://www.faqs.org/rfcs/rfc821.html

[emge]

Der Mailserver von Motorola verhält sich vielleicht bezüglich seiner eigenen Konfiguration korrekt. Mehr aber auch nicht. Er wäre in dem von dir beschriebenen Szenario schlichtweg falsch konfiguriert.

Nein, er verhält sich laut RFC [1] korrekt. Ein Emailserver(der Spammer) versuch eine Email für einen User zu senden. Der Mot-Server sagt, den User gibt es bei mir nicht und schickt die entsprechende Antwort zurück. Völlig korrekt.....

So wie ich das sehe, sollte der Mailserver von Motorola aber die E-Mail gar nicht erst annehmen, da sie von einem (zumindest in dem Szenario von LittleBoy) in einer Blacklist auftauchenden Mailserver kommt.

Also ist der Mailserver nach dem verbreiteten Konsens (nur Mails von vertrauenswürdigen Mailservern annehmen) falsch konfiguriert.

Grüße, Marco

[tylerD]

So wie ich das sehe, sollte der Mailserver von Motorola aber die E-Mail gar nicht erst annehmen, da sie von einem (zumindest in dem Szenario von LittleBoy) in einer Blacklist auftauchenden Mailserver kommt.

Blacklisten und solche Sachen sind in smtp nicht vorgesehen. Manche Server machen diese Dinge, um der Spamflut irgendwie her zu werden. Eigentlich verhalten sich diese Server die solche Sachen verwenden nicht korrekt. Laut RFC.

cu

[emge]

So wie ich das sehe, sollte der Mailserver von Motorola aber die E-Mail gar nicht erst annehmen, da sie von einem (zumindest in dem Szenario von LittleBoy) in einer Blacklist auftauchenden Mailserver kommt.

Blacklisten und solche Sachen sind in smtp nicht vorgesehen. Manche Server machen diese Dinge, um der Spamflut irgendwie her zu werden. Eigentlich verhalten sich diese Server die solche Sachen verwenden nicht korrekt. Laut RFC.

Hmgrmmhmll. Dass es lt. RFC durchaus korrekt ist will ich ja gar nicht in Abrede stellen. Ich denke aber, dass wir uns einig sind, dass darüber hinausgehende Massnahmen (Blacklists in diesem Falle), mehr als notwendig sind.

Grüße, Marco

P.S. ein neues E-Mail-Protokoll wäre wirklich schön. Aber selbst, wenn sich alle Beteiligten zusammenreissen, wird das frühestens in einigen Jahren einsatzbereit sein. Bis dahin haben uns die Spammer zugeschi**en, wenn keine Gegenmassnahmen aufbauen auf den vorhandenen Möglichkeiten ergriffen werden.

[LittleBoy]

Nein, Blacklists sind ein ganz heisses Eisen: Viele der Teile sind falsch konfiguriert, und man landet sehr leicht auf so einem Teil. Es hat schon durchaus seinen Grund, warum sich diese Listen (die es schon sehr lange gibt) nicht durchgesetzt haben...

[Bert]

Ich finde das mit den RBL auch nicht wirklich so toll. Und die besch.. machen das ganze Medium email Kaputt. Früher bekamm einen delivery error, wenn die Zieladresse fasch war (da man sich vielleicht vertippt ha). Heut wird das stillschweigend verworfen und man wundert sich, wieso die Gegenseite nicht antwortet

[Joghurt]

Und die besch.. machen das ganze Medium email Kaputt.

Die Spammer, oder die, die darauf reagieren?

Es ist ja leider so: wenn niemand Spams beachten würde, gäbe es keine...

[Bert]

Und die besch.. machen das ganze Medium email Kaputt.

Die Spammer, oder die, die darauf reagieren?

Die Spammer natürlich. war doch schon etwas spät...

Es ist ja leider so: wenn niemand Spams beachten würde, gäbe es keine...

Ich kann es auch immer kaum glauben, daß überhaupt jemand auf Spam reagiert.