xDSL.at

[4ss4ss1n]

Hallo,
da ich jetzt arbeitstechnisch auch mit mailservern zutun habe, bräuchte ich mal bitte hilfe.
Ein User bekommt täglich 100 - 200 Mails von [email protected] (irgendwer wo er keine email hinschickt), mit dem Betreff Undelivered Mail Returned to Sender.

Meine erste Annahme war, das sein Email Account gehackt wurde, bzw. ein Virus auf seinem PC ist, kann das stimmen?
Wie überprüfe ich das ganze am besten? Die Maillog habe ich durch ge grept, aber nicht wirklich was gefunden.

LG

[derFlo]

Was steht denn in der angehängten Mail drinnen bzw. wie sieht dort der Mail-Header aus?

[jutta]

> Meine erste Annahme war, das sein Email Account gehackt wurde, bzw. ein Virus auf seinem PC ist, kann das stimmen?

kann beides sein, muss aber nicht. der wahrscheinlichste grund ist imo, dass irgendein spammer die e-mail adresse deines users verwendet und die antworten deshalb bei deinem user landen.


> Wie überprüfe ich das ganze am besten? Die Maillog habe ich durch ge grept, aber nicht wirklich was gefunden.

ob das e-mail account gehackt wurde, koennte man am ehesten durch logins von ungewoehnlichen ip adressen feststellen. virus - mit den ueblichen virenscan-programmen oder auch, indem der rechner abgeschaltet / vom netz genommen / wird und dann geschaut wird, ob die mailer-daemons trotzdem weiter eintrudeln.
auffaelligen datenverkehr kann man auch mit einem netzwerksniffer entdecken. damit bin ich schon manchen virenaktivitaeten auf die spur gekommen.

vorsicht allerdings: da das ganze nicht deine privaten pcs sind, sondern im beruflichen umfeld, solltest du im eigenen interesse die betreffenden anwender, geschaeftsleitung oder vorgesetzte und betriebsrat informieren, bevor du den mailverkehr oder das netzwerk mit einem sniffer ueberwachst.

eventuell koenntest du auch die admins von dem mailserver um hilfe bitten, von denen die mailer-daemons kommen. die sollten in ihren logfiles ja sehen, durch welche mails die meldungen provoziert werden.

//ps: 2 minuten google zeigt, dass es die empfaengeradresse vor rund 10 jahren noch gegeben hat und dass sie in wissenschaftlichen texten online auffindbar ist http://www.google.at/search?q=orlandi%4 ... e-AT&gbv=1
diese adresse wird also in allen nur denkbaren spam-listen enthalten sein.

[4ss4ss1n]

Ein Beispiel von einer Aktuellen Email:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

[email protected]
SMTP error from remote mail server after end of data:
host mta6.am0.yahoodns.net [66.196.118.36]: 554 delivery error:
dd This user doesn't have a yahoo.com account ([email protected]) [0] - mta1292.mail.bf1.yahoo.com

------ This is a copy of the message, including all the headers. ------

Return-path: <HIER STEHT DIE EMAILADRESSE DES BETROFFENEN ACCOUNTS>
Received: from ip-151-224-238-178.static.contabo.net ([178.238.224.151]:58894 helo=localhost)
by capacityresources.webserversystems.com with esmtpa (Exim 4.82)
(envelope-from <HIER STEHT DIE EMAILADRESSE DES BETROFFENEN ACCOUNTS>)
id 1X4nYF-0008Tx-KV
for [email protected]; Wed, 09 Jul 2014 03:48:32 -0500
Message-ID: <748EC3B6FB2F01F22E2B62DFDB733353@ylnkmvp>
Reply-To: "Marina" <[email protected]>
From: "Marina" <HIER STEHT DIE EMAILADRESSE DES BETROFFENEN ACCOUNTS>
To: <[email protected]>
Subject: Good morning!
Date: Wed, 9 Jul 2014 09:48:31 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0CF7_01CF9B5A.F10F08D0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3528.331
X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3528.331

This is a multi-part message in MIME format.

------=_NextPart_000_0CF7_01CF9B5A.F10F08D0
Content-Type: text/plain;
charset="windows-1251"
Content-Transfer-Encoding: quoted-printable

I am glad, that the case was gave to me to write to you the letter! Whet=
her we can get=20
acquainted with you more close? I am not assured in true relations while =
people=20
do not investigate each other more close. Today I shall not speak about m=
e directly=20
in details. I wish to receive your answer then we can investigate each ot=
her more close.=20
pls reply to
I send you my photo. Marina

------=_NextPart_000_0CF7_01CF9B5A.F10F08D0
Content-Type: image/jpeg;
name="DSC_6481.jpg"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="DSC_6481.jpg"
< HIER FOLGT EIN JPG>


EDIT:
@Jutta: Es sind leider immer komplett unterschiedliche Email Accounts + MX Server an die gesendet wird, für mich siehts nach PW änderung + virenscan aus (hoffentlich nicht deine annahme das spammer die email adresse nehmen, wie könnte ich das denn dann unterbinden?)

[Starvirus]

Es gibt für dein Problem nur 2 Ursachen:

Trojaner,Virus auf deinem Rechner oder jemand hat deine Emailadresse missbraucht. Das kann man mit einem SPF Eintrag auf der Domain großteils unterbinden.

[jutta]

1. immer unterschiedliche adressen und trotzdem kommt der mailer-daemon immer vom selben server? oder war deine aussage "Ein User bekommt täglich 100 - 200 Mails von [email protected] (irgendwer wo er keine email hinschickt), mit dem Betreff Undelivered Mail Returned to Sender." anders gemeint als ich sie verstanden habe?

2. zugangsdaten des accounts aendern ist als sofortmaßnahme sicher nicht schlecht. falls dies das problem loest, war das account wahrscheinlich wirklich gehackt. dann bleibt noch das problem, rauszufinden, wie das passiert ist. siehe zb viewtopic.php?f=41&t=54757

3. dagegen, dass jemand fremder deine e-mail adresse verwendet, bist du leider machtlos. weniger wichtige adressen kann man von zeit zu zeit aufgeben, aber bei office@ und aehnlichen gibts diese moeglichkeit nicht.

4. virus auf dem rechner: wenn ein virus oder trajaner auf dem betreffenden rechner spam versendet, kann er das entweder ueber den firmen-smtp machen: dann muesstest du was im logfile finden. wahrscheinlicher versendet er aber direkt und das sollte man ueber die firewall unterbinden koennen. (dh keine outgoing smtp-verbindungen erlauben, ausser an euren eigenen server)

[4ss4ss1n]

1. immer unterschiedliche adressen und trotzdem kommt der mailer-daemon immer vom selben server? oder war deine aussage "Ein User bekommt täglich 100 - 200 Mails von [email protected] (irgendwer wo er keine email hinschickt), mit dem Betreff Undelivered Mail Returned to Sender." anders gemeint als ich sie verstanden habe?

War eine falsch Information, ist immer ein anderer Absender - sorry

2. zugangsdaten des accounts aendern ist als sofortmaßnahme sicher nicht schlecht. falls dies das problem loest, war das account wahrscheinlich wirklich gehackt. dann bleibt noch das problem, rauszufinden, wie das passiert ist. siehe zb viewtopic.php?f=41&t=54757

3. dagegen, dass jemand fremder deine e-mail adresse verwendet, bist du leider machtlos. weniger wichtige adressen kann man von zeit zu zeit aufgeben, aber bei office@ und aehnlichen gibts diese moeglichkeit nicht.

Die Emailadresse ist leider so eine die man nicht so einfach wechseln kann

4. virus auf dem rechner: wenn ein virus oder trajaner auf dem betreffenden rechner spam versendet, kann er das entweder ueber den firmen-smtp machen: dann muesstest du was im logfile finden. wahrscheinlicher versendet er aber direkt und das sollte man ueber die firewall unterbinden koennen. (dh keine outgoing smtp-verbindungen erlauben, ausser an euren eigenen server)

[foolala]

Anhand der Header der Mail kannst du feststellen ob es von deinen Server kommt oder nicht.
Wenn es von deinen Server kommt, Mail Server Mailversand deaktivieren und sofort jemand kommen lassen der sich damit auskennt. Kennwörter ändern, etc. aber wie geschrieben Profi holen.

Anhand der IPs die in der Nachricht stehen hat dies jedoch nichts mit deinen Netzwerk zu tun (oder seit ihr in DE?). Hier wurde lediglich die Mailadresse für einen Spamlauf verwendet. Dies liegt NICHT in deinem Einflussbereich. Nachrichten löschen und nach 1-2 Tagen ist der Spuk auch wieder vorbei.

Verbesserungsmaßnahmen kann man treffen indem für die Domain SPF, DomainKeys, etc. eingerichtet wird. Hierbei kann ein Mailserver prüfen ob der Absender diese Mailadresse überhaupt verwenden darf. Dies löst das Problem nicht zu 100% allerdings reduziert sich die Masse an Retourmails deutlich.

[jutta]

zu dem von Starvirus und foolala genannten SPF: http://de.wikipedia.org/wiki/Sender_Policy_Framework

einer der google-treffer zu SPF war uebrigens eine deutsche website, auf der es allerlei tools zur domain-verwaltung zum zum generieren von SPF-records gibt, die einem (vor allen unerfahreneren admins) also die arbeit erleichtern sollten. erstes hoppala: man soll im formular die gewuenschte *domain* eintragen. nach hoechst merkwuerdigen ergebnissen bin ich zum schluss gekommen, dass sie in wirklichkeit den hostname des mailservers (smtp-servers) meinen. is ja eh alles eins

deshalb verlinke ich die seite jetzt auch nicht.

[lordpeng]

ich habs jetzt nur überflogen

welcher mailserver läuft da?
wer hat den mailserver installiert?
ist auszuschliessen, dass client oder auch der server kompromittiert wurden?
gibts vielleicht irgendwelche wie auch immer gearteten weiterleitungen im betreffenden postfach?

[4ss4ss1n]

Habe nach dem Passwortwechsel von diesem User nichts mehr gehört, also nehme ich an der Account war gehackt.

[al]

Eine Mail mit gefälschtem Absender (envelope from) an eine nicht existente Emailadresse erzeugt einen Bounce an diesen gefälschten Absender. Viele solche Mails erzeugen viele Bounces. Dagegen hilft nur:

* mit dem Mailserver, der die Bounces verschickt, nicht mehr reden. Das verhindert aber nicht, dass man von jedem anderen Mailserver auf dieser Welt solche Bounces bekommt.

* die Mailadresse in die Mülltonne (deaktivieren, auf was anderes ändern).

Mit Hacken oder Verseuchung hat das nix zu tun.

/al