debianforum.de

Weiß nicht, ob das vielleicht doch in "Sicherheit" gehört, aber es hat eigentlich nix mit Debian zu tun.

Ein Freund von mir hat heute Abend fast 400 "Mailer Daemon" Mails bekommen - also Antworten von Mail-Servern, dass der jeweilige Empfänger nicht existiert. Es handelte sich offensichtlich um Spam im Namen meines Freundes. Wenn 400 Mails nicht treffen, wurden vermutlich mehrere 10.000 Mails erfolgreich zugestellt.

Wie geht man mit so einer Situation um? Was bedeutet das?
Klar kann man die Dinger jetzt erstmal Filtern, ok. Absender sind leicht zu fälschen - es muss also nicht bedeuten, dass der Account selbst geknackt wurde.

Mir ist das noch nie passiert. Klar sind meine Adressen auch in irgendwelchen Datenbanken - ich bekomme schließlich Spam. Aber Spam in meinem Namen viel mir noch nicht auf. Auf welcher Grundlage treffen die Spamer solche Entscheidungen, welche der zich Adressen, sie als Absender missbrauchen?

Oder einfach Aussitzen? Irgendwann hört es schon wieder auf?

Das einzige was mir dazu einfällt, dass dein Freund von einem Rechner aus der sicher ist (nicht sein eigener) sein Passwort ändert. Vorsichtshalber könnte man neuinstallieren, allerdings ist das bei Windows ein ziemlicher Aufwand - wenn man ein Linuxsystem hat ist ja eine Infektion unwahrscheinlich, aber wenn man trotzdem Neuinstallieren will, geht es wesentlich schneller. Ich hatte das auch einmal, ich änderte mein Passwort ein oder zweimal, dann war irgendwann Ruhe. Ich nehme an, dein Freund hat keine Nachricht von seinem Mailprovider bekommen, dass sich jemand von einem fremden Rechner aus angemeldet hat? Dieses Verfahren ist ja heute eigentlich Standart. Kürzlich war noch ein Vorfall, da versuchte sich jemand von einem Apple-Handy aus bei meinem Facebook Account anzumelden. Ein Patentrezept habe ich aber auch nicht.

Falls das gefälschte Absender von Mails externer Server sind: SPF-Record im DNS setzen. Dann werden die Fake-Mails bei einem Grossteil der Empfänger gleich weggeworfen - Also bei den Servern, die SPF prüfen.

heisenberg hat geschrieben:

21.02.2018 22:19:16

SPF-Record im DNS setzen

Ohne genau zu wissen, was das bedeutet, vemute ich jedoch, dass ich hierfür Besitzer der Mail-Domian sein müsste?

buhtz hat geschrieben:

21.02.2018 23:13:03

heisenberg hat geschrieben:

21.02.2018 22:19:16

SPF-Record im DNS setzen

Ohne genau zu wissen, was das bedeutet, vemute ich jedoch, dass ich hierfür Besitzer der Mail-Domian sein müsste?

Korrekt. Man muss der der Domain-Besitzer sein und einen TXT-Record dort anlegen.

Es ist schon ein paar Jahre her, dass ich mich mit Mailservern beschäftigt habe.

Mir ist noch nicht klar, ob die Mails mit dem Absender deines Freundes, überhaupt von deinem Freund kamen.
Wenn mein Mailserver so tut, als würde er Mails von deinem Freund ausliefern, der nächste Mailserver bemerkt, dass er das nicht ausliefern kann, und nicht überprüft, dass ich gar nicht der Mailserver deines Freundes bin, dann bekommt dein Freund von ihm so eine Antwort.
Der Fehler liegt dann bei ihm. Er müsste die Emails, die mein Mailserver weiterleitet, ignorieren, statt deinen Freund zu belästigen.

Gewöhnlich enthalten diese Antworten den Anfang des auslösenden Emails. Daran kannst du erkennen, von wem der antwortende Mailserver das auslösende Email angeblich (der kann auch lügen) bekommen hat.

buhtz hat geschrieben:

21.02.2018 21:48:48

Ein Freund von mir hat heute Abend fast 400 "Mailer Daemon" Mails bekommen - also Antworten von Mail-Servern, dass der jeweilige Empfänger nicht existiert. Es handelte sich offensichtlich um Spam im Namen meines Freundes. Wenn 400 Mails nicht treffen, wurden vermutlich mehrere 10.000 Mails erfolgreich zugestellt.

Wie geht man mit so einer Situation um? Was bedeutet das?

Oder einfach Aussitzen? Irgendwann hört es schon wieder auf?

Vor Jahren hatte ich eine ähnliche Situation. Ich glaube, dass ich da noch das grosse "Fenster XP" hatte.
Auf jeden Fall war nach einer Neuinstallation des Systems der Spuk vorbei.
Daher vermute ich, dass ich damals (und Dein Freund heute) irgend eine EMail mit schadhaftem Anhang geöffnet habe, die sich dann auf dem System eingenistet hat.
ClamAV hat damals irgend einen Befall gemeldet. Das sind aber auch schon mindestens 10 Jahre her.
Weder auf meinen openSUSE- noch Debian-Rechnern ist so ein Problem wieder aufgetreten.
Daher denke ich, dass Aussitzen nicht die richtige Lösung ist.

Müsste im Mail-Header nicht dann die IP des Kumpels stehen?