1&1 Email Adressen senden Spam
 

Guten Abend zusammen,

ich habe nun schon einiges an Beiträgen im Forum gelesen und beziehe mich auf folgendes Thema: http://www.trojaner-board.de/171158-...t-gehackt.html

Ich habe bei 1&1 zwei @onlinehome.de Adressen die seit ca. mitte August Spam versenden.
Das Shema immer das selbe:

Absenderadresse: Eine meiner @onlinehome.de Adressen
Anzeigename: Willkürlich ein Name aus meinen gesendeten oder empfangenen Mails
Message: Hello! New message, please read / oder Important!...
Empfänger: Willkürliche Adressen aus meinen gesendeten oder empfangenen Mails

Abrufen tue ich mit Iphone6/Ipad und einem Win8.1 Notebook

1)
Iphone wurde neu aufgesetzt, Ipad wurde neu aufgesetzt Notebook wurde neu aufgesetzt.
Mailkennwörter und Kundencenterkennwort wurde geändert via Firmenrechner.
Fazit: Kein Erfolg

Konten wurden komplett von den Devices entfernt. Mails wurden nur noch über den Webmailer auf einem Firmenrechner (Großer Konzern mit sehr restriktiver Internetnutzung) abgerufen
Fazit: Kein Erfolg

1und1 sagt wie bei vielen anderen auch, Virenscanner laufen lassen bla bla bla.....

Ich bin verzweifelt/wütend und weiß nicht mehr weiter. Eine Anzeige gegen Unbekannt wird an dieser Stelle nicht weiterhelfen. Ich tippe auf eine Spoofing Attacke und einem vorigen unbefugten Zugriff auf die Mailserver von 1und1. Es sind hier ca. 90 % aller Betroffenen bei diesem Provider, das kann doch kein Zufall sein?!

Ich möchte dieses Thema nicht zu MEINEM machen sondern allen Betroffenen die Möglichkeit geben, Lösungsansätze zu posten die in unserer Lage eurer Meinung nach sinnvoll sind.

Vielen Dank für eure Unterstützung!
LG

Hi

Hilfreich wären die Kopfzeilen so einer Spammail - dann lässt sich sagen, ob tatsächlich über ein immer noch bzw schon wieder gekapertes E-Mailkonto - also über nen 1&1 Mailserver - gespammt wurde oder ob einfach nur Adressfälschung von den Spammern betrieben wurde....

Hier mal ein Beispiel:

Received: from VI1PR06CA0077.eurprd06.prod.outlook.com (10.163.160.45) by
AM3PR06MB1235.eurprd06.prod.outlook.com (10.163.9.17) with Microsoft SMTP
Server (TLS) id 15.1.286.20; Tue, 6 Oct 2015 01:21:22 +0000
Received: from DB3FFO11FD006.protection.gbl (2a01:111:f400:7e04::147) by
VI1PR06CA0077.outlook.office365.com (2a01:111:e400:533c::45) with Microsoft
SMTP Server (TLS) id 15.1.286.20 via Frontend Transport; Tue, 6 Oct 2015
01:21:21 +0000
Authentication-Results: spf=none (sender IP is 94.198.164.26)
smtp.mailfrom=onlinehome.de; tomorrowland.com; dkim=none (message not signed)
header.d=none;tomorrowland.com; dmarc=none action=none
header.from=onlinehome.de;
Received-SPF: None (protection.outlook.com: onlinehome.de does not designate
permitted sender hosts)
Received: from relay004.easyhost.be (94.198.164.26) by
DB3FFO11FD006.mail.protection.outlook.com (10.47.216.95) with Microsoft SMTP
Server id 15.1.286.14 via Frontend Transport; Tue, 6 Oct 2015 01:21:21 +0000
Received: from localhost (localhost [127.0.0.1])
by relay004.easyhost.be (Postfix) with ESMTP id 212F822931;
Tue, 6 Oct 2015 03:21:21 +0200 (CEST)
X-Virus-Scanned: amavisd-new at easyhost.be
X-Spam-Flag: NO
X-Spam-Score: 2.001
X-Spam-Level: **
X-Spam-Status: No, score=2.001 tagged_above=0 required=3 tests=[BAYES_80=2,
HTML_MESSAGE=0.001, RCVD_IN_DNSWL_NONE=-0.0001] autolearn=no
Received: from relay004.easyhost.be ([94.198.164.26])
by localhost (relay004.easyhost.be [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id vmvYK1+syUJa; Tue, 6 Oct 2015 03:21:20 +0200 (CEST)
Received: from leviticus.vibit.eu (leviticus.vibit.eu [78.40.96.174])
by relay004.easyhost.be (Postfix) with ESMTPS id 43B622291E;
Tue, 6 Oct 2015 03:21:20 +0200 (CEST)
Received: from fl1-118-108-145-189.stm.mesh.ad.jp ([118.108.145.189]:51111 helo=WIN-NPPN1JPV75J)
by leviticus.vibit.eu with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256)
(Exim 4.85)
(envelope-from <Blank@onlinehome.de>)
id 1ZjGwR-002Yo1-A7; Tue, 06 Oct 2015 03:21:20 +0200
From: <Blank@onlinehome.de>
To: Hier stehen die Empfänger
Subject: Fw: new message
Date: Mon, 5 Oct 2015 18:20:50 -0700
Message-ID: <00000606b562$8c64f56b$6934111e$@onlinehome.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0001_6B4605BF.65595EC2"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdERFiVIeOlVUMfsV9kSGzkky0r0wQ==
Content-Language: en-us
Return-Path: Blank@onlinehome.de
X-EOPAttributedMessage: 0
X-Microsoft-Exchange-Diagnostics: 1;DB3FFO11FD006;1:P0lwQ77ocU10lvC/IdMesNgSuiTffM96F/8WW+y7t7ILZSR6xU4Jumz8+/KBRVnTJ+9VWpMJ8cvUI5Rfrg1pONWrgDFzL+ahlygInwoxw97czPnMj37KQH7O1Vn4nY/cmVqpP+pWa0YnNCTMfDW+8D989codQyC+viwb8X+aTig4sqRRJAt4P7pulUUIPEQG43yKORkL452lRPygxjuZYt0LOKSwrvnSnLqnMGjkUz6vRBnoT7TZwCeXhgEJDNDQ6WebZsL8n8mNaqxFpOOUp y5GiwKr8q51UQdJMtNmuuY1vRUl1sAzwz6Lf0pheOwn2MPZa8/AB61VI+KVuR0V6aQn+wY/p+sjCKIi/rpzs97hMwbVac+2NEo6TLmEUqZKpN8QPxXCn/limRq57Vgo0g==
X-Forefront-Antispam-Report: CIP:94.198.164.26;CTRY:BE;IPV:NLI;EFV:NLI;
X-Microsoft-Exchange-Diagnostics: 1;AM3PR06MB1235;2:v0Dfi7p2dgN5bXp/jYjiHIRMRUK7ypcaSNvGYtLXm2bG4VAc+URbRZvUWfHROVex9rORp9rLn3RnQLFzLDQYtP5jMxkiU/mL1bt4q9wgGoiVbLopISE51csstulIXq2opn2dAAOI3q8Qgl0/122k52dckWaiQC8KDQm71RmNTIM=;3:BE/iYSiqgFoSPwEGWoi3e0gTajqQAJTH+1o8FrP8EQFjuSRk39wl1XOsghXG1VA+SFTWfQoUFIAWqgpb+EadI1MGE4+ZZbmmd0hH/z1ZffBT9EWx3DlhXHbOJUdBCzuOuwpN95Xw/aJd09hsnJfu4Upnle7thg0oliSg0mucYsg40fu+QDM3vGtRKnfy55AgCE/WCWVyJScRdsFp07BwZlvL0lU3unflmKP5BNdJ2IGB0ioaH0w+erXkzRm5xMrhwVGseQ/OggBb8FYQQO2r6Q==;25:3UPK9ee+eRz/ss3bq2WUgtQE4mSALGGSMRnrD/buWKw1yFj1Wlioamd5MKtADViDtHfGE4c4SJtAh6UyHPCfV8FXFD4CuMktfrgeX26EpOuqDf21cKYzcg5q2eoBLUQbqbxVj7n5PzdX+pmsNpZe2kxupA18As9i+oKNPWkpulDp+iZ51p3Q0cm+w/XdngehsiZgDzOqP/u08CoGE4o0u/OcfDn11BeBtEEyu353S0xzxjV/aqdpB79H6TZekBThBDIkmZIO8elzOXy0Kj2zyw==
X-Microsoft-Antispam: UriScan:;BCL:0;PCL:0;RULEID:(71701003)(71702001);SRVR:AM3PR06MB1235;

------=_NextPart_000_0001_6B4605BF.65595EC2
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: 7bit

Hello!



New message, please read <hxxp://Queenofdropcards.com/mean.php?r6>

Ich seh da einiges, aber nichts, was offensichtlich von 1&1 sein könnte:

easyhost in Belgien? Hast du damit was am Hut? Tomorrowland?

Hallo Cosinus,

ich habe mich auch gewundert. Der gepostete Header ist das Attachment vom Mail Delivery System. Der Spammer schickt leider auch an die noreply@tomrrowland.com die mir dadurch das ich Karten gekauft hatte auch informationen hat zukommen lassen.

Ich habe hier nochmal einen anderen Header:

Received: from mx0.vr-web.de ([::ffff:192.168.27.8])
by loc.vr-web.de with ESMTP; Mon, 26 Oct 2015 17:54:03 +0100
id 00000000001A0009.00000000562E5AAB.00004B15
Received: from vrwf106.vrweb.de [192.168.27.9]
by BitDefender SMTP Proxy on localhost [127.0.0.1]
for vrw-b-01.noc.fiducia.de [192.168.30.5]; Mon, 26 Oct 2015 17:54:03 +0100 (CET)
Received: from mailscan2.extendcp.co.uk (mailscan3.extendcp.co.uk [::ffff:79.170.43.23])
(VExTOiBUTFN2MS9TU0x2MywyNTZiaXRzLEFFUzI1Ni1TSEE=)
by mx0.vr-web.de with ESMTPS; Mon, 26 Oct 2015 17:54:02 +0100
id 0000000000000A59.00000000562E5AAA.00001E86
Received: from mailscanlb0.hi.local ([10.0.44.160] helo=mailscan6.hi.local)
by mailscan-s92.hi.local with esmtp (Exim 4.80.1)
(envelope-from <Blank@onlinehome.de>)
id 1Zql22-0005iA-5N; Mon, 26 Oct 2015 16:54:02 +0000
Received: from mailscanlb0.hi.local ([10.0.44.160] helo=mail54.extendcp.co.uk)
by mailscan6.hi.local with esmtps (UNKNOWN:DHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.80.1)
(envelope-from <Blank@onlinehome.de>)
id 1Zql20-0002wq-28; Mon, 26 Oct 2015 16:54:00 +0000
Received: from [88.248.20.227] (helo=WIN-NPPN1JPV75J)
by mail54.extendcp.com with esmtpsa (UNKNOWN:DHE-RSA-AES256-SHA:256)
(Exim 4.80.1)
id 1Zql1x-0002Lx-P1; Mon, 26 Oct 2015 16:53:58 +0000
From: Ina <Blank@onlinehome.de>
To: "daniel.al-kabbani" <daniel.al-kabbani@gmx.de>,
"daniel.al" <daniel.al@hotmail.de>,
"daniel.albers" <daniel.albers@vr-web.de>,
"daniel.albert" <daniel.albert@toneart.de>
Subject: Fw: new message
Date: Mon, 26 Oct 2015 09:53:52 -0700
Message-ID: <0000ebb16181$dde97aae$904fc512$@onlinehome.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0001_1133243C.3A92E72E"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdEIp23DdARUgcxvOKi1EpCO94uWvw==
Content-Language: en-us
X-Authenticated-As: joe@acbofficeservices.co.uk
X-Extend-Src: mailout
X-BitDefender-Scanner: Clean, Agent: BitDefender Smtp Proxy 3.1.0 on
vrw-f-01.noc.fiducia.de, sigver: 7.63087
X-BitDefender-Spam: No (0)
X-BitDefender-SpamStamp: Build: [Engines: 2.15.6.879, Dats: 402792,
Stamp: 3], Multi: [Enabled, t: (0.000008,0.002251)], BW: [Enabled, t:
(0.000008,0.000001)], RBL DNSBL: [Enabled, Score: 0(0), t:
(0.000022)], APM: [Enabled, Score: 500, t: (0.004225), Flags:
17A2F75C; NN_TP_TAG_HTTP; NN_FORGED_OUTLOOK_1; NN_S_NIGG_ALERT_ADN;
NN_EXEC_H_DICTIONARY_EMAIL_ADDRESSES], SGN: [Enabled, t: (0.015278)],
URL: [Enabled, t: (0.000055)], RTDA: [Enabled, t: (0.077368), Hit: No,
Details: v2.2.17; Id: 2m1gj28.1a2if4m95.147n], total: 0(775)
X-BitDefender-CF-Stamp: none

This is a multipart message in MIME format.

------=_NextPart_000_0001_1133243C.3A92E72E
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: 7bit

Hello!



New message, please read <hxxp://nwcc-mt.com/mentioned.php?x>



Ina

Nachdem du das Passwort zum Mailaccount geändert hast ging das Spammen ja weiter. Teste mal, ob nach dieser Passwortänderung auch an neue Adressen gespammt wird, nachdem du diese ins Adressbuch neu eingetragen hast.

Ich kann so keine Hinweise sehen, dass die Spammer immer noch Zugriff auf dein Mailkonto haben, also nicht direkt über dein Account und damit über die Mailserver deines Providers spammen - aber das einmal "geklaute" Adressbuch von dir verwenden die immer noch.

Auch ein betroffener
 

Hallo, leider hat es mich auch erwischt, es ist meine 1und1 Email betroffen, die ich als Hauptaccount auch nutze.

Seit der letzten von meinem Account gesendeten Spamwelle war nach Passwortänderung 2 Wochen "Ruhe". Heute wieder eine Welle mit mehr als 200 Rückläufern.....

Heutiger Anruf bei 1 und 1:
Bitte das Passwort Ändern und warten ob was passiert.
Den von mir genutzten Hauptaccount können sie nicht löschen oder ändern.

Von meinem PC kann über diesen Acount nichts mehr gesendet werden den Ausgangsserver habe ich deaktiviert.

Ich bin echt verzweifelt.

Vielleicht wisst ihr hier Rat und Hilfe.

Danke im vorraus

Andreas

new message , important...etc
 

Moin ,

ich kann von derselben Problematik berichten.
Es werden Namen aus dem Outlook Adressbuch verwendet , wobei der Absender immer ein anderer ist ( ein lokales Konto).
Die Mails selbst kommen weder vom Rechner noch von 1und1. Es sind immer zufällige Server rund um den Globus. Rumänien , Nord Korea , Japan , Belgien um nur einige zu nennen.

Der ganze Humbug hat irgendwann Mitte August angefangen und seitdem kommen immer wieder mal einige hundert Spam mails.

Passwort ändern und Löschen des Email Accounts hilft nicht .
Es sind immer Wellen , mal ist eine Woche Ruhe , dann geht es wieder von vorne los.

Mein Verdacht : Es wurde (vllt durch einen Trojaner) das Adressbuch und Accountinformationen auf dem Rechner ausgelesen.

Viele haben dieses Problem aber es gibt wohl keine Abhilfe.
Bleibt nur die Hoffnung dass es irgendwann aufhört ?

Good luck

Vllt wurden auch Passwörter ausgespäht. Aber auf jeden Fall das Adressbuch.

Das erklärt, warum manche berichten, dass nicht an alle aus dem Adressbuch gespammt wurde, sondern eine offensichtlich veraltete Liste benutzt wurde => altes Adressbuch des Anwenders

Und das erklärt auch, warum munter weiter gespammt wird, trotz Passwortänderung: denn die Spammer nutzen nur alte Adressbuchdaten als Spamempfänger. Gesendet wird über irgendwelche offenen Relays oder so. Aber nicht über den Mailserver des Providers des Anwenders. Und als Absenderadresse können die Spammer sich beliebige Adressen ausdenken.

Soweit ich feststellen konnte wurden - zumindest bei mir - die Mailordner auf dem Server ausgeforscht.

Die Adressaten waren in keinem Adressbuch, sondern stammten aus verschiedenen Foldern meiner Mailbox.

Eigentlich rufe ich Mails ab und an vom Rechner zuhause ab und alles was älter als x Tage ist wird dabei vom Server gelöscht. Dachte daher zuerst an ein Problem auf meinem Rechner Zuhause, da z.T. sehr alte Adressen dabei waren. Die Mailadressen wären dann aber recht willkürlich zusammengewürfelt aus alt und neu.

Im Webmailer ist mir dann aber aufgefallen, dass neben dem normalen Posteingang, Gesendete Objekte etc. (was tatsächlich bereinigt wird), noch ein paar andere Ordner auf dem Server liegen (Ausgang, Gesendet, Sent, Trash - alle als Unterordner von "Meine Ordner"). Diese Ordner werden scheinbar von diversen Mailprogrammen angelegt und werden nicht Synchronisiert/Bereinigt. Lösche ich auf meinen Androids Mails, landen die nicht im "normalen" Papierkorb - sondern z.B. in Trash als Unterordner von "Meine Ordner".

Kurzum, genau in diesen Ordnern fand ich die Mailadressen, an die der Spam ging. Und ums Rund zu machen - auch eine, die ich nie vom PC abgerufen hatte (Handy für meinen Sohn eingerichtet und eine Testmail an mich geschickt).

Zwischenzeitlich habe ich mein Onlinepostfach ordentlich aufgeräumt, das Passwort geändert (ich gebe zu - trotz Großbuchstaben, Kleinbuchstaben, Zahlenkombination - das Alte hätte sicherer sein können). Hab nur noch Mails der letzten Woche online. Natürlich geht das Spoofing weiter - die haben ja die Adressen. Allerdings sind die zumindest so "nett" nur so einmal im Monat meine Absenderadresse zu verwenden - die Anzahl der Empfänger scheint auch deutlich geringer worden zu sein. Vermute die bekommen sogar mit, was aktive Adressen sind und bereinigen. Habe auch noch den DNS Eintrag bei 1und1 gesetzt.

Vermute, mein Password war zu einfach + ich hab zu viel Müll auf dem Server gehabt :headbang:. Auf welchem Weg der Zugriff erfolgte ist mir aber noch nicht klar. Der Webmailer könnte eine Schwachstelle sein - ein einfaches Password reicht da aus. Bei Google gibts ja z.B. die zusätzliche SMS Pin wenn man von einem neuen Device zugreift.

Schön.... nicht alleine zu sein

Ich hatte im anderen Thread auch schon berichtet über die Spam-Mails aber über den Swisscom-Provider. Das letzte Mal war bei mir Ende September und nun gestern wieder erneut.

Inzwischen hatte ich PC und Android-Smartphone neu aufgesetzt, Passwörter geändert usw.

Was mir aber auch aufgefallen ist, die Empfängerliste wurde viel kleiner oder evtl. auch nur weniger Adressen in der Empfängerzeile.

Leicht amüsierend, der Swisscom-Supporter hat dasselbe Problem mit seiner Adresse..

Es ist nicht das Adressbuch des Webmailers
 

Hallo!
Ich bin auch betroffen, hatte bis zum ersten Angriff ein zu einfaches Passwort. Trojaner auf meinem PC kann ich ausschließen (Kaspersky aktiv, auch mit Avira Rescue CD keine Funde).
Ich kann zum Thread mitteilen, dass das Adressbuch im 1Und1 Webmailer bei mir völlig leer ist, ich maile immer mit Windows Live Mail 2012 bzw. von meinem Androiden. Die Adressen stammen m.E. aus den bei 1Und1 gespeicherten Mails (gesendete oder in IMAP Ordnern abgelegte). Nach dem Passwortwechsel gab es noch mehrere Wellen von diesem SPAM, aber es waren keine neu angelegten bzw. erstmals angemailte Adressen dabei.
Nebenbei, auch ein web.de Konto von mir ist betroffen, aber keine Mailkonten von Providern außerhalb von United Internet. Mir sieht das Ganze nach einem erfolgreichen Hack bei United Internet selbst aus, was natürlich United Internet nie zugeben, sondern als Verleumdung qualifizieren wird. Daher formuliere ich hiermit ausdrücklich keinen Verdacht, sondern nur eine mögliche Ursache für das Problem.
KunoDD

Nun möchte ich mich auch nochmal zu Wort melden.
Ich gehe definitiv nicht von einem Trojaner auf den Rechnern aus sondern einem Leck bei den Providern. Zumindest für das Abgreifen der Empfängeradressen, denn es ist in den meisten Fällen ganz klar Spoofing!

Die Vorgehensweise war vermutlich so:
1) Der 1und1 Mailserver wurde ausgelesen (Absender und Empfängeradressen)
2) Die betroffene Mailadresse wird fürs Spoofing missbraucht
3) Die ausgelesenen Adressen werden als Empfänger eingesetzt
4) Somit ist sichergestellt, dass bei einer Kennwortänderung weiterhin an bekannte Personen mit der bekannten Mailadresse gesendet werden kann

Was tun? Tjaa.....
Wäre es nicht möglich die Routen zurückzuverfolgen und die Leute hochzunehmen?
Meint ihr es handelt sich hier um mehrere "Hacker" oder nur um einen der irgendwo in der Walachei sitzt und sich ins Fäustchen lacht?

Normalerweise hätten doch die Provider ein interesse daran, dass niemand mit deren Domains Spoofing betreibt oder irre ich mich dort?

Spoofing-Attacken, web.de/ 1und1 Email Adressen senden Spam
 

Hallo zusammen,

bei mir sind ebenfalls zwei web.de Adressen von dem Phänomen betroffen. Bisher gab es ca. jede Woche seit etwa September eine Spam-Welle unter Nutzung meiner Adressen im Header und meines Namens (bzw. von befreundeten Personen) als "Unterschrift".
Zunächst hatte ich auch die Hoffnung, dass der Verteiler von Welle zu Welle abnimmt, die letzte vom 21.11.15 war jedoch heftig und es wurde an neue, mir teilweise gänzlich unbekannte Empfänger gesendet (habe ich durch die Mail-delivery failed Rückläufer gesehen).

Habt Ihr irgendwelche neuen Erkenntniss oder Ideen, wie man wieder Herr der Lage wird?
Werde die Adressen wohl löschen aber was, wenn danach munter weiter in meinem Namen gespamt wird?

Von dem Angiff sind nach meinen Recherchen wohl mehrere Provider weltweit betroffen, umso verrückter, dass es keine Lösung gibt.

Echt nervig...

Hey an alle,

also bei mir ist eine @t-online.de Adresse betroffen. Es werden weiterhin in Wellen Mails an meine Bekannten versendet, wobei ich selber kein Adressbuch angelegt habe, weswegen ich vermute, dass die Adressen aus meinen Emfpangen und Gesendet Ordnern entnommen wurden, die ich leider alle auf dem Server hinterlegt hatte. In der Zwischenzeit habe ich alle E-Mails vom Server genommen und alle Mailprogramme, die mit der Adresse verbunden waren, von dieser getrennt. Allerdings hört die Welle immer noch nicht auf, da wohl einfach weiterhin mein Absender gefälscht wird und mein Adressbuch eben schon in deren Besitz ist.

Hier mal ein Beispielhafter Header einer Mail:

IP-Adresse liegt in Taiwan, habe auch andere mit Adressen in Mexiko, Serbien etc. So wie ich das sehe werden die Mails also nicht von meinem Account aus geschickt, dieser ist also safe (abgesehen davon, dass ich ihn sowieso nicht mehr benutze), würdet ihr mir da zustimmen? Interessant ist, dass auch bei mir als X-Mailer Microsoft Outlook 15 angegeben wird (ich selbst benutze Outlook 16), wie es auch bei vielen anderen der Fall zu sein scheint.
In jedem Fall muss kurzzeitig jemand Zugriff auf mein Mailkonto gehabt haben, um die Adressen meiner Bekannten herauszufinden, in der Zwischenzeit scheint das aber nicht mehr der Fall zu sein, nur einmal Kontakte geklaut, immer Kontakte geklaut. Ich werde also allen meinen Kontakten raten meine Mail Adresse als Spam einzustufen und auf einen neuen Account umsteigen. Die Sicherheitsvorkehrungen von T-Online scheinen mir doch auch sehr lax zu sein.

Ich werde mal bei T-Online Anfragen, ob ich das Login Protokoll meines Accounts einsehen kann, um zu sehen ob es eine Anfrage gab. Falls dem so sein sollte ist mir immer noch nicht ganz klar wie das passieren konnte, da ich zum Abrufen meiner Mails immer nur Outlook 15 bzw. 16 auf Win 7 und Aquamail auf Android 6 benutze, meien Passwort also nirgends eingegeben habe. Kurz vor dem ersten Angriff habe ich das allerdings einmal gemacht und zwar auf einem PC der mir nicht selbst gehört, vielleicht wurde dort mein Passwort abgegriffen oder es war schlichtweg nicht sicher genug.

Liebe Grüße
Steini

Ich reihe mich mal bei den betroffenen ein. :schrei:
Provider ist 1und1 und seit Mitte August 2015 werden im zwei bis vier Wochentakt ca. 50 Mails raus mit meiner Email Adresse an mir bekannte Empfänger raus gehauen. Die letzte Welle vor 2 Tagen war bisher am schlimmsten. Nutzen tue ich Win7 mit Outlook14 und aktuellem Norton Internet. Ich habe mittlerweile 4 oder 5 verschiedene VirenProgramme über den Rechner laufen lassen ohne Ergebnis. Emailpasswort hatte ich gleich geändert. Wenn man sich die Header der nicht zustellbaren Mails (wegen Spam) anschaut sind die IPs der Absender kreuz und Quer über die Welt verteilt, nur meine Email-Adresse wird als Absender genutzt und an meine Bekannten und teilweise sogar mir Unbekannte(keine Emailverkehr, aber namentlich schon gehört), aber aus der Region versendet.
In meinem Outlook sind weitere Email Adressen (andere Domainen und Provider) hinterlegt, die nicht betroffen sind und auch nicht ausgelesen wurden.
Ich gehe mittlerweile auch davon aus dass der Hacker direkten Zugriff auf den Server hatte, sich dort die Adressen abgegriffen hat und jetzt munter von irgendwo (nicht 1und1 Server) versendet.
Als Lösung sehe ich derzeit ebenfalls nur noch die Email Adresse aufzugeben und auf eine neue umzuziehen. Sehr ärgerlich weil ich Adresse schon 15 Jahre nutze. Da ich sowieso von 1und1 weg wollte ist das eine passende Gelegenheit. :daumenrunter:

In einem anderen Thread zum Thema wurde seitens 1und1 eine DNS EinstellungsÄnderung empfohlen. Wie das aber das Problem lösen soll ist mir ein Rätsel. Ich hatte gehofft das gibt sich wieder und der Spam hört auf, aber das Kind scheint in den Brunnen gefallen zu sein.

Als Ergänzung zu dem oben und den Artikel im August zu gehackten Mobilzugriffen. Ich nutze noch per Iphone und Onboard App den Emailzugriff auf das 1und1 Postfach. Ich überlege gerade was die gemacht haben. Haben die Hacker auf dem Port mitgehört? Da waren die trotzdem drin im Server.

Und was genau soll dir das bringen? Du hast doch selbst gesagt, dass nur noch Adressfälschung in Frage kommen kann. Gibst du deine jetzige Mailadresse auf, verwenden die Spammer die weiterhin als Absender. Und irgendwann wird deine neue Adresse auch überall geläufig sein - das wird diese auch irgendwann als gefälschte Absendeadresse genutzt.

iPhones genießen einen sicheren Ruf. Solange da kein Jailbreak gemacht wurde.

Nö kein kein Jail Break auf dem Iphone.
Mit umziehen meine ich natürlich eine komplett neue Adresse. Die alte scheint mindestens bei GMX schon gesperrt zu sein. Eine Testmail die ich vor 30 min gesendet hatte ist immer noch nicht angekommen. Bei einem der Spamrückläufer hatte ich schon so einen ähnlichen Hinweis, daher auch der Test. Kann ich wohl endgültig zu den Akten legen die alte Adresse.

Die Referenz von einem Rückläufer: hxxp://www.spamhaus.org/sbl/query/SBL254216

Ich glaub da bringst du jetzt einiges durcheinander. Dein Spamproblem durch Adressfälschung hat so nix damit zu tun, dass Spamhouse die Mailserver von UI (= United Internet => web.de, GMX, 1&1 ) geblacklistet hat.

Der Sinn und Zweck einer anderen Mailadresse ist so immer noch fragwürdig. Oder willst du komplett zu einem anderen Provider, damit die Mails über andere Mailserver abgewickelt werden? Wenn ja, musst du United Internet meiden wenn du dich schon auf spamhouse verlassen willst. => http://winfuture.de/news,83180.html

Ich habe in der Zwischenzeit auch die Mailadresse geändert und denke dass das schon aus zweierlei Gründen sinnvoll sein kann:

1. Diese ist mit Sicherheit nicht unter den Adressen, die im ersten Schritt geklaut wurden, das heißt, ich glaube kaum dass diese als Absenderadresse benutzt wird, da sie ja vollkommen unabhängig ist.
2. Bin ich zu einem Provider gewechselt der höhere Sicherheitsstandards hat (z.B. Zwei Faktor Authentifizierung), die zwar auch keinen 100%igen Schutz bieten aber doch noch besser sind als reiner Passwortschutz

Die Begründung ist für mich nicht nachvollziehbar.
Irgendwie hab ich den Eindruck, dass hier nicht allen klar ist, was für die Adressfälschung benötigt wird: Mehr als deine E-Mail-Adresse muss der Spammer nicht kennen, um sich als dich auszugeben.

Kein Passwort, kein Hack, keine malware, garnix. Der Spammer kann auch frei erfundene oder von Scripten generierte Adressen als Absender verwenden. Und es kann auch vorkommen, dass die Scripte der Spammer zufällig existente E-Mail-Adressen ausspucken.

Die Adressfälschung kann man wie du ja gesehen hast, über die Kopfzeilen der Mail entlarven. E-Mail hat aber noch nen anderen Nachteil, denn es wird idR alles im Klartext übertragen (falls die Mailserver untereinander kein SSL/TLS machen); die Mail wird auf jeden Fall im Klartext im Postfach des Empfängers gespeichert, der Mailserveradmin bzw-. Mailprovider könnte daher problemlos die Mails lesen.
Für echte Ende-zu-Ende-Verschlüsselung gibt es deswegen zB gnupg, einfach mit Mozilla Thunderbird über die Erweiterung Enigmail zu nutzen. Damit lassen sich Mails signieren und verschlüsseln. Würde man konsequenterweise jede Mail signieren, hätten die Spammer mit der Adressfälschung keine Chance mehr, da sie ohne den privaten Schlüssel keine gültige Signatur erzeugen können.

Andere Domaine und anderer Provider. Mal eine Frage: Wenn ich bei der gehackten EMailadresse einen Autoresponder mit meiner neuen Adresse rein mache dürfte das doch kein Problem sein? Die Hacker kümmert es wahrscheinlich nicht, falls der überhaupt je eine Mail vom Responder erhalten sollten. Bitte mal eure Meinung dazu, ob da etwas dagegen spricht.

Was hast du immer mit deiner "gehackten E-Mail-Adresse" :wtf: E-Mail-Adressen lassen sich nicht hacken/cracken, aber der Absender lässt sich fälschen

Ich kann doch auch Postkarten oder Briefe an jedermann verschicken und als Absender einfach deinen Namen und deine Adresse verwenden (wenn ich Name und Adresse denn kenne) - bin ich deswegen ich deine Wohnung eingebrochen oder hab ich deine Adresse deswegen gehackt? :wtf: :blabla:

Du kannst deine Provider, Mailserver, Domains/MX records oder E-Mail-Adressen so oft ändern wie du willst, damit kannst du nicht verhindern, dass irgendein Spammerhonk meint, deine E-Mail-Adresse als Absender nehmen zu müssen.

Und wie gesagt, wenn du Wert darauf legst, dass man deine Mails auf Authentizität überprüfen kann, musst du deine Mails signieren. Macht bei dem einen oder anderen Kunden auch nen sehr guten Eindruck.

Deine Hilfe ist wertvoll Cosinus, aber Du brauchst nicht so verkrampft sein. Bitte nicht für übel nehmen. Natürlich im übertragenen Sinne von Server gehackt. Nur so nebenbei, ich habe vor etwa 20 Jahren meinen ersten Email Server aufgesetzt und bin nicht ganz so unbedarft, wie es vielleicht den Anschein hat. Der letzte ist allerdings schon etwa 10 Jahre her, daher bin ich nicht mehr ganz so tief im Thema.

Das hat ja nun nix mit verkrampft sein zu tun wenn ich schreibe, dass man E-Mail-Adressen nicht hacken kann. Wann du vor wie vielen Jahren mal nen Mailserver aufgesetzt hast, hat damit auch nix zu tun.

Was wolltest du jetzt eigentlich sagen, denn auf meine Infos im letzten Posting bis du überhaupt nicht eingegangen...

Spoofing bei 1und1
 

Hallo,
gerade kam eine Email von 1und1, mit dem Hinweis dass einer meiner Accounts gehackt wurde:


Sie erhalten heute eine dringende Nachricht zu Ihrem 1&1 Postfach " ... @online.de".

Unsere Sicherheitsmechanismen haben festgestellt, dass es in den letzten Minuten Spam-E-Mails versendet hat. Wie haben wir das festgestellt? Mindestens zehn empfangende Mailserver haben den Empfang mit einer automatischen Server-Antwort abgelehnt. Die Server-Antworten werten wir automatisch aus.

Wir gehen davon aus, dass Hacker die Zugangsdaten über einen Virus ausspioniert haben. Anschließend haben Sie auf Ihr Postfach zugegriffen und Spam-E-Mails versendet.


Interessanterweise habe ich diesen einen Account schon seit mindestens einem Jahr nicht mehr benutzt. Es gab also keine Möglichkeit, das Passwort in letzter Zeit irgendwo abzugreifen. Trojaner oder ähnliches scheiden damit aus.

Was dann?

Möglichkeit 1:
Mein Passwort wurde gehackt. Möglich, aber unwahrscheinlich. Ich habe mehrere Konten mit dem gleichen Passwort. Nur dieses eine Konto hat offenbar das Problem.

Möglichkeit 2:
Bei 1und1 selbst ist eingebrochen worden. Sehr viel wahrscheinlicher weil alle anderen Postfächer eine Weiterleitung haben. In diesen anderen Postfächern liegen daher keine Mails mit Namen und Adressen herum, welche für Spammer von Wert wären. Nur das eine Account mit den alten Emails wurde offenbar durchsucht und benutzt.

Irgendwas übersehen?

Und wieder eine Welle,
 

Also ich bin auf jeden Fall für die Sicherheitlücke @ United Internet :taenzer:

ne im Ernst bei mir ist ne adresse betroffen die ich sofort vom Postfach zur Weiterleitung degradiert hatte

heute kam ne neue Welle, (dummerweise schickt ich mir ja dabei immer selber mails zu ^^)
allerdings werden sie immmer kleiner, was für heißt, dass wirklich aussortiert wird

dazu bin ich darüber gestolpert und das wird vermutlich nicht das einzige gewesen sein...
hxxp://www.sueddeutsche.de/digital/e-mail-portale-sicherheitsluecke-bei-webde-gmx-und-geschlossen-1.2611603


bb
und grüße
Oli

Habe heute das 2. Mal im Bekanntenkreis dieses Problem zu lösen versucht, und bin auf der Suche nach der Lösung/Erklärung auf diesen Thread gestoßen.

Beide Male wurden email-Kontakte (vermutlich) aus Windows live mail ausgelesen, beide Male wurden als Absenderadressen nur gmx.xx oder web.de Adressen zum Spammen von vermutlich gehackten Servern verwendet, obwohl auch noch andere Accounts angelegt waren.

Die Rechner wurden gründlichst gescannt, da ist garantiert keine Schadsoftware drauf (was nicht heißt, dass keine drauf war).

An gemeinsamen Fakten der 2 Benutzer habe ich:
- Beide nutzen Windows life mail
- Beide nutzen auch Windows Phones
- Zum Spammen wurden nur die gmx.xxx und web.de Adressen benutzt, obwohl auch noch andere Accounts angelegt waren
- Der Spammer kennt keine Umlaute

Die Wahrscheinlichkeit, dass irgendwo bei 1&1/GMX/WEB.DE die Daten direkt abgegriffen werden, schätze ich als sehr gering ein.

Es wäre für mich hilfreich, wenn die, die auch von diesem Angriff betroffen sind, posten könnten, ob sie a) windows life mail und b) unter Windows Phone laufende Smartphones nutzen.

Das ist, denke ich, fast allen klar.
In den zwei mir bekannten Fällen wurden aber gezielt die den Absenderadressen zugeordneten Kontakte gespammt. Was für mich eigentlich heißt, dass die lokalen Adressbücher ausgelesen wurden. Nur finde ich auf den betroffenen Rechnern absolut nichts.

Ist es auch möglich, dass über den Empfänge reiner Nachricht, dessen Gerät kompromittiert ist, die "anderen Mail Adressen" abgegriffen werden? D.h. diejenigen Adressen die im CC mitgeliefert werden?


Gruß
Marcus

kein windows Mail, kein Windows Phone
und es wurden auch keine Adressbücher ausgelesen sondern immer nur die Empfängerlisten aus Mails.

Dann wurde meistens immer die erste aus der Liste als Absender eingesetzt.

für mich sieht das so aus, als wurden irgendwo einfach Mails abgefangen

Und an dieser Geschichte mit der Sicherheitslücke bei United Internet und T-Com wo es möglich war über einen Mobilen Browser, wenn keine Cookies akzeptiert wurden Daten auszulesen ohne erneut ein Passwort eingeben zu müssen, wird schon was dran sein.
Das Smartphone ist die Lücke...

Garnicht mal so abwegig wenn man überlegt wie viele uralte Android-Versionen sich da auf den Geräten noch breitmachen und nicht aktualisiert werden können :balla:

Nein, definitiv nicht.

Der Zugriff muss auf den Windows-Rechner oder auf das Windows-Phone erfolgt sein.
(Theoretisch wäre natürlich auch ein Angriff auf die Microsoft Dienste, über die die Konten synchronisiert werden, möglich.)

Der Spam wurde dann über den (vermutlichen gehackten) Server eines türkischen Reisebüros verschickt, der Link in den Spam-mails zeigte auf ein php-Script, das auf der Seite einer Bildungseinrichtung in den USA abgelegt war (das Script war zu dem Zeitpunkt, als ich mir das angeschaut habe, schon gelöscht)

Was mich so stutzig macht, ist, dass in beiden Fällen keinerlei Einbruchspuren auf den Windows-Rechnern zu finden sind. (Mit dem Windows-Phone System kenne ich mich null aus, habe aber beim Recherchieren bis jetzt keinen Hinweis gefunden, dass es da Einbrüche gab.)
Mich würde es schon weiter bringen, wenn ich wüßte, ob der Angriff nur Windows-Live-mail betrifft.

Genau dasselbe Muster ist bei den zwei mir bekannten Fällen zu sehen. Und sonderbarerweise werden da auch nur die gmx- und web.de-Adressen als Absender benutzt.
Nutzt du auch ein Windows Phone?

Dazu hätte ein Zugriff mittels Browser auf die mobilen Portale des Providers erfolgen müssen. Trifft bei mir in beiden Fällen nicht zu, beide greifen über imap auf ihre Konten zu.

Sorry ich benutze gar kein....
 

Sorry Fluffy du schaust an der falschen Ecke.
ich benutze keinen Windoof Microsoft Scheiss Dreck nich bei Mail und nicht beim Smartphone
und bei mir sind zwei Adressen betroffen (gewesen)
beide Adressen existierten in Mailinglisten / irgendwelche Vereine und so Zeugs (durch diese Listen wurden neue Spammails generiert)

Du wirst auf Seite deiner Bekannten vermutlich nichts festellen.
Denn wie schon irgendwo erwähnt sind es imapkonten also alles fein säuberlich beim Provider abgelegt. Nicht auf dem lokalen PC.
Der PC- geift ja nur auf die Daten vom Provider (sprich Mailkonto) zu, und das kann normalerweise jeder der das Passwort dafür, oder eine Lücke gefunden hat.
nun ist es so das es ja nicht nur wenige, sonder viele betrifft. Und wer jetzt seinen Kopf einschaltet kann aufhören irgendwas lokales zu suchen.
Aber jeder soll das tun was er für richtig hält :)

Fakt ist auf jeden Fall: betroffen sind nur Kunden von United Internet und T-Com, von anderen Providern habe ich bisher nichts darüber nachlesen können
Das ist eine Lücke in deren (einem) System, wie die genau aussieht und wie das genau zustande gekommen ist wird vermutlich nie rauskommen. Vielleicht wars ja wirklich eine App auf dem Smartphone die den browser geöffnet hat, oder auch ein Lauschangriff auf "DE-Mail" (sind ja zufällig genau diese Anbieter betroffen)
wer weiß.

Was ich aber nicht glaube, ist dass es so viele viele Idioten gibt deren Passwort gehackt wurde. Zumal ich ja einer dieser Idioten sein müsste. Das schließe ich aber defenitiv aus - da ich mein Geld damit verdiene.
Es gibt manchmal Dinge auf die man keinen Einfluss hat und damit muss man sich abfinden.

Witzig ist das 1und1 einen SPF Eintrag vorschlägt um zumindest etwas vorzubeugen.
Sowas würde ich Dir auch mal als erstes Empfehlen wenn es kein Free Account ist.
Seit ich die Einträge drin hab scheint Ruhe zu sein...

Viel Glück noch

Ich nutze auch kein Windows Microsoft und habe dasselbe Problem dass seit ein paar Wochen in unregelmäßigen Abständen über meine gmx-Adresse spam-mails verschickt werden an Kontakte aus meinem Adressbuch. Ich nutze kein Outlook o.ä., sondern logge mich direkt über gmx ein. Übers daas Handy (Android) mit der gmx-app. Ich habe einen free account bei gmx, kann ich dem spam irgendwie Abhilfe schaffen?

Vielen Dank!

ich glaube bei Freemail Accounts wirst du keine DNS Einstellungen bearbeiten können
das wird vermutlich eh global bei denen gesetzt werden:
laut diesem Beitrag ist das sogar so... hxxp://www.golem.de/0404/30731.html
aber der Empfänger muss das auch unterstützen, sonst geht die Mail durch

Moin,
ich hoffe das ist ok wenn ich hier mitmache?
Ich hab folgendes Problem. Meine Ehefrau hat von einer Kollegin eine Mail bekommen. Einige Tage später erhält die Kollegin eine Spammail (mit Virus drin).
Absender, der Benutzername meiner Frau und dann @irgendwas.
Der Punkt ist: das war das erste mal, das die Kollegin einen Mail geschickt hat.
Der Kollegin ihre Mailadresse hab ich nirgends gespeichert.
Wie geht das???

Mails werden ausschließlich mit Laptop mit Betriebs System Ubuntu 14.04 und E-Mail-Client Thunderbird verwaltet.

Mailaccount bei Yahoo. Keine Kontakte dort gespeichert. Wurde nicht gehackt. Es wurden von dort keine Spammails verschickt.

Seit Jahren hab ich das Problem mit Spammails wie ihr. Ich war aber der Meinung, das es daran lag, das ich mal Thunderbird auf einem nicht sicheren Netbook installiert hatte, danach bekamen meine Kontakte Spammail. Darum bin ich auf Ubuntu umgestiegen.

Nun frage ich mich was ich noch machen kann, oder was ich übersehen habe.

Ich würde gerne denn Anbieter wechseln und die Adresse verändern, nur ob das was bringt?

Vielen Dank für Eure Hilfe

muss nicht an deiner Frau liegen, kann ja auch das Postfach der Kollegin sein.
Sie schickt Mail. Mail liegt im Postausgang mit Adresse Deiner Frau.
Bot geht zum Postfach und fischt Mail mit Adresse deiner Frau raus.
Bot generiert Mail mit gefaktem Absender Deiner Frau in Richtung Kollegin.

Ganz einfach - finde die Lücke jetzt auf Deinem Rechner etc.
findest Du nicht...

Also ist theoretisch kein Anbieter sicher weils ja gar nicht dein Anbieter ist ;)

Danke,
das, war das, was ich übersehen habe.

1&1 Email Adressen senden Spam
 

Hallo zusammen,

da ich diesen thread zur Information sehr interessant finde, möchte ich hier auch unsere betroffenen Adressen schildern.

Zuerst die mail Adresse meines Sohnes, der Account liegt in einem webhosting Paket von 1und1.
Diese Adresse wurde für den Alltag genutzt (private Kommunikation, Foren, Dienste, etc.). Als mail client diente Outlook, Thunderbird und iOS Telefon sowie tablet. Mein Sohn ist von mir sehr darauf geimpft sich nicht bei jedem Mist anzumelden und hält sich da im Allgemeinen auch daran.
Angefangen hat die Misere im Oktober 2015, Interessant war, dass offensichtlich keine Adressbucheinträge verwendet wurden (diese liegen nur in den mailclients, im webmailer ist das Adressbuch leer) sondern die Adressen aus dem mail Eingang und Ausgang.
Diese mail Adresse ist zwischenzeitlich gelöscht, wir sind da nicht zimperlich ;), trotzdem hatte ich vor wenigen Tagen wieder eine spam mail von der alten, nicht mehr existenten, mail Adresse erhalten (löschen bringt also nix, die mails an Bekannte bleiben).

Bei der zweiten Adresse handelt es sich um meine "schmerzlos" Adresse bei GMX. Hier ist die Situation noch viel überschaubarer bzgl. der Fehlereingrenzung.
Verwendet wird diese Adresse nur für Foren, Spiele, Newsletter u.ä.. Das besondere hier, der Account wird nur über den webmailer bedient, ein Adressbuch existiert nicht. Spamempfänger sind Adressen aus dem mail Eingang und Ausgang.
Beginn der spam mails war hier jedoch erst März 2016! Da wird wohl aus Beständen gearbeitet…

Anfangs vollführte Passwortänderungen brachten keine Besserung, Virenscans waren negativ.
In den mail headern ist ersichtlich, dass die spam mails über provider rund um den Globus verschickt werden, Japan, Russland, Südamerika,…

Da lief / läuft offensichtlich beim Provider etwas schief. Und wenn ich daran denke, dass ich auch einige gewerbliche Adressen bei United Internet liegen habe, wird mir etwas unwohl. Werden diese Adressen ebenfalls zu spam Schleudern, entsteht hier durchaus ein finanzieller Schaden.
Da muss United Internet aktiv werden, keine Ahnung wie, aber abwarten und zuschauen dürfte die falsche Wahl sein. Die Lösung / Schuld, den Fehler auf den Anwender abwälzen dürfte zeitlich nur begrenzt funktionieren... Was ich so lese interessiert das UI nicht wirklich, bei privaten Adressen passiert schon nicht viel, in deren Augen. Sollte ein solches Verhalten jedoch auf einer oder mehreren gewerblichen mail Adresse auftreten, dürfte sich das durchaus drehen, bei mir in jedem Fall.

Bin Gespannt wie das weitergeht…