Angeblich verschickte Spam Mails von meiner Mail Adresse

[jonnyberlin]

Hallo,

ich hab von meinem Webspace Anbieter den Hinweis bekommen mein alter Mail Account würde Spam mails verschicken. Das Passwort wurde von denen geändert.

Seitdem tauchen ab und zu mails wie diese hier auf:

[I]This is the mail system at host [URL='http://msfrf2610.sfr.fr/']msfrf2610.sfr.fr[/URL].

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<[EMAIL]zet_ltd@mail.ru[/EMAIL]>: host [URL='http://mxs.mail.ru/']mxs.mail.ru[/URL][217.69.139.150] said: 550 spam message
rejected. Please visit
[URL]http://help.mail.ru/notspam-support/id?c=zud_nAPuChkbJ936ESnWYvpfM4s4cVR_BAAAAF_6AABdb58y[/URL]
or  report details to [EMAIL]abuse@corp.mail.ru[/EMAIL]. Error code:
9C7FE7CE190AEE03FADD271B62D629118B335FFA7F547138. ID:
000000040000FA5F329F6F5D. (in reply to end of DATA command)
Reporting-MTA: dns; [URL='http://msfrf2610.sfr.fr/']msfrf2610.sfr.fr[/URL]
X-SMTP-Server-Queue-ID: DEDA81C000C01
X-SMTP-Server-Sender: rfc822; [EMAIL='info@jkimages.net']info@meinemailadresse.net[/EMAIL]
Arrival-Date: Tue, 17 May 2016 05:52:12 +0200 (CEST)

Final-Recipient: rfc822; [EMAIL]zet_ltd@mail.ru[/EMAIL]
Original-Recipient: rfc822;[EMAIL]zet_ltd@mail.ru[/EMAIL]
Action: failed
Status: 5.0.0
Remote-MTA: dns; [URL='http://mxs.mail.ru/']mxs.mail.ru[/URL]
Diagnostic-Code: smtp; 550 spam message rejected. Please visit
[URL]http://help.mail.ru/notspam-support/id?c=zud_nAPuChkbJ936ESnWYvpfM4s4cVR_BAAAAF_6AABdb58y[/URL]
or  report details to [EMAIL]abuse@corp.mail.ru[/EMAIL]. Error code:
9C7FE7CE190AEE03FADD271B62D629118B335FFA7F547138. ID:
000000040000FA5F329F6F5D.

[B]Von: [/B]Фомин <[EMAIL='info@jkimages.net']info@meinemailadresse.net[/EMAIL]>
[B]Betreff: Приветствую Вас
Datum: [/B]17. Mai 2016 um 05:52:11 MESZ
[B]An: [/B]ТОО фирма "ЗЕТ "Ltd.\"" <[EMAIL]zet_ltd@mail.ru[/EMAIL]>


Для Вас, ТОО фирма "ЗЕТ Ltd." Важная информация
не пропустите [URL]http: // u.to/Li7XDg[/URL]

Ich hab sofort einen Virenscan über den Mac laufen lassen (normal ist kein Scanner installiert, ich öffne keine Anhänge und gehe auch nicht auf irgendwelche Websites wo ich mir was fangen könnte) und diverse Passwörter gewechselt.

Ich checke nicht wie es für die möglich war von meinem Mac bzw. von meinem Mail Account aus Spam zu verschicken.
Der E-Mail server ist bei all-inkl und beinhaltet auch meine Website.
Vielleicht hat ja wer eine Idee

Grüße,

Johannes[/I]

 

[Buckyball60]

Die Mail wurde weder von Deinem Mac noch Deiner Mailadresse verschickt.

 

[ProjectBuilder]

Ich checke nicht wie es für die möglich war von meinem Mac bzw. von meinem Mail Account aus Spam zu verschicken.
Der E-Mail server ist bei all-inkl und beinhaltet auch meine Website.

Jeder kann von jeder E-Mail Adresse aus Mails verschicken. Dagegen kannst du nichts machen. Das einzige, was ein bisschen was bringt, ist wenn deine Domain DKIM und/oder SPF unterstützt. Damit kann Spam zumindest etwas zuverlässiger erkannt werden.

 

[Olivetti]

rätselhaft ist aber, warum ihm all-inkl das pw ändert und eine mitteilung verschickt (wenn er nix mit sfr.fr zu tun hat).

 

[kos]

Ich hänge mich hier mal mit ran. In meinem Namen werden ebenfalls ständig Spam-Mails verschickt, mein Anbieter hat mir folgendes geschickt:

Sehr geehrter Nutzer,

zum Schutz der Integrität unserer E-Mail-Infrastruktur wurde der Versand von
E-Mails (SMTP) über das im Betreff benannte E-Mail-Postfach gesperrt.
Bei einer übermäßig hohen Anzahl von Sendungen aus verschiedenen Netzen über
ein Login/Postfach erfolgt diese Sperrung automatisiert.

Aus Sicherheitsgründen und um eine hohe Verfügbarkeit unserer Produkte
zu gewährleisten und Schaden von unseren Kunden und Dritten
fernzuhalten, sind wir auf solche Maßnahmen angewiesen.

Mit einer gewissen Wahrscheinlichkeit haben sich Dritte Zugriff auf das
E-Mail-Passwort dieses Postfachs verschafft und nutzen es für den Versand von
unerwünschten Nachrichten (Spam). Um dies zu ermöglichen werden erfahrungsgemäß
die Endgeräte, mit welchen Sie auf Ihre E-Mails zugreifen, mit Schadsoftware
infiziert, die Zugangsdaten ausspäht und an Dritte übermittelt. Es besteht
auch die Möglichkeit, dass das Passwort keine ausreichende Stärke aufweist
(z.B. bei der Verwendung einfacher Wörter aus dem Wörterbuch) und damit
vergleichsweise leicht erraten werden kann.

Nun finde ich keine Nachrichten im gesendet Ordner, gut ... die könnten ja vom Spammer gelöscht werden. Das meine Adresse nur missbraucht wurde und nicht über meinen Account versendet wurde schließe ich durch diese Nachricht und die Auswahl der Adressen aus. Die No-Reply/Failed Delivery Nachrichten sind fast alles bekannte E-Mail Adressen die in meinem Adressbuch zu finden sein dürften. Meinen Mac habe ich mit Avira und mit Malwarebytes durchsucht und nichts finden können. Ebenfalls habe ich bei LittleSnitch keine auffälligen Adressen entdecken können. Ein anderes Gerät, ausser meinem iPhone, hat keinen Zugriff auf das Mailkonto. Ein ändern des Passworts hilft nichts, nach 1-2 Tagen geht die Show wieder von vorne los, also wird es irgendwo abgegriffen.


Was jetzt? OSX neu aufsetzen?

 

[ProjectBuilder]

Was jetzt? OSX neu aufsetzen?

Anbieter wechseln

 

[signalgrau]

Kennwort sofort ändern und vor allem ein komplexes nehmen.

 

[Hausbesetzer]

rätselhaft ist aber, warum ihm all-inkl das pw ändert und eine mitteilung verschickt (wenn er nix mit sfr.fr zu tun hat).

Es gibt so viele Leute, von deren PC wirklich Spam verschickt wird, so dass all-inkl nicht jede Anfrage einzeln prüfen will sondern einfach pauschal erstmal zu macht

 

[Olivetti]

Was jetzt? OSX neu aufsetzen?

wer ist dein anbieter?
kannst du das konto 2-3 tage, mit über einen sicheren browser geändertem passwort, ruhen lassen?

@Hausbesetzer
das meinst du jetzt aber nicht ernst (hast du genauere infos?). die prüfen das hoffentlich korrekt und im einzelfall, was ja auch automatisiert möglich ist.

 

[kos]

Kennwort sofort ändern und vor allem ein komplexes nehmen.

Schon mehrmals gemacht, sehr komplexe Passwörter.

Das Konto ruhen lassen kann ich machen, müsste dann über iPhone das Passwort ändern und mal schauen. iOS sollte ja sicher sein... Ist kein JailBreak o.ä drauf.

 

[Olivetti]

iOS sollte ja sicher sein

wenn du dir eine tails.boum.org-cd/usb machst (an einem vertrauenswürdigen pc), kannst du wirklich sicher sein.
oder hast du ein weiteres i-device in der familie/freundeskreis (auf dem mindestens dein konto *nicht* eingerichtet ist)?

 

[Olivetti]

wenn in deinem gesendet-ordner keine mails liegen, heisst das nicht, dass kein missbrauch stattfand. die kopie wird vom mailprogramm auf wunsch angelegt und spammer vermeiden das ja in der regel, um möglichst lange unentdeckt zu bleiben.
kommst du an eine, angeblich, über deinen smtp versandte mail? da wären die header ja aussagekräftig.

 

[kos]

Ich kopiere mal eine von den failed-delivery mails, abgesendete Mails kann ich keine finden. Mein Anbieter ist übrigens United-Domains, dort habe ich die Domain registriert und nutze deren kostenlos E-Mail Paket.

This is the mail system at host shinsei-inc.com.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<humblebundle.com@mail143.atl21.rsgsv.net>: host
mail.mail143.atl21.rsgsv.net[205.201.133.143] said: 550 5.7.1 relaying
denied for recipient in "RCPT TO:<humblebundle.com@mail143.atl21.rsgsv.net>
ORCPT=rfc822;humblebundle.com@mail143.atl21.rsgsv.net" (in reply to RCPT TO
command)

<humblebundle.com@mail144.atl21.rsgsv.net>: host
mail.mail144.atl21.rsgsv.net[205.201.133.144] said: 550 5.7.1 relaying
denied for recipient in "RCPT TO:<humblebundle.com@mail144.atl21.rsgsv.net>
ORCPT=rfc822;humblebundle.com@mail144.atl21.rsgsv.net" (in reply to RCPT TO
command)
Reporting-MTA: dns; shinsei-inc.com
X-Postfix-Queue-ID: A754ACC0718B
X-Postfix-Sender: rfc822; MEINE MAIL-ADRESSE HIER
Arrival-Date: Mon,  6 Jun 2016 21:49:05 +0900 (JST)

Final-Recipient: rfc822; humblebundle.com@mail143.atl21.rsgsv.net
Original-Recipient: rfc822;humblebundle.com@mail143.atl21.rsgsv.net
Action: failed
Status: 5.7.1
Remote-MTA: dns; mail.mail143.atl21.rsgsv.net
Diagnostic-Code: smtp; 550 5.7.1 relaying denied for recipient in "RCPT
TO:<humblebundle.com@mail143.atl21.rsgsv.net>
ORCPT=rfc822;humblebundle.com@mail143.atl21.rsgsv.net"

Final-Recipient: rfc822; humblebundle.com@mail144.atl21.rsgsv.net
Original-Recipient: rfc822;humblebundle.com@mail144.atl21.rsgsv.net
Action: failed
Status: 5.7.1
Remote-MTA: dns; mail.mail144.atl21.rsgsv.net
Diagnostic-Code: smtp; 550 5.7.1 relaying denied for recipient in "RCPT
TO:<humblebundle.com@mail144.atl21.rsgsv.net>
ORCPT=rfc822;humblebundle.com@mail144.atl21.rsgsv.net"

Von: <MEINE MAILADRESSE HIER>
Betreff: last news
Datum: 6. Juni 2016 um 14:48:53 MESZ
An: "Humble Bundlecontact" <humblebundle.com@mail143.atl21.rsgsv.net>, "Humble Bundlecontact" <humblebundle.com@mail144.atl21.rsgsv.net>, "Humble Bundlecontact" <humblebundle.com@mail145.atl21.rsgsv.net>, "Humble Bundlecontact" <humblebundle.com@mail147.atl21.rsgsv.net>, "Humble Bundlecontact" <humblebundle.com@mail148.atl21.rsgsv.net>

Hi,
Here are some news since we've met last time, just read'em here http://phekarduji.seekmobiles.com/lnigy
Yours faithfully, MEINE MAILADRESSE HIER

 

[Olivetti]

nee, das ist eine normale bounce message. da kannst du nicht sehen, ob das tatsächlich von dir geliefert wurde oder nicht (meistens ja nicht).
aber auch hier wäre ich erstaunt, wenn united, auch nach einer abuse-meldung, einfach die kunden rannimmt.