Illegaler Zugriff auf web.de über Apple Mail?

[XBenX]

Hallo zusammen,

seit zwei Tagen erhalte ich in meinem E-Mail-Postfach von web.de ständig fehlerhafte Sendeberichte. Angeblich sollte eine Mail verschickt werden, aber die Empfängeradresse sei ungültig. Zunächst dachte ich einfach an Spam, wurde dann aber doch misstrauisch, da web.de mein E-Mail-Postfach aus Sicherheitsgründen gesperrt hatte - und ich ein neues Passwort festlegen sollte.

Nachfolgend habe ich einen dieser kryptischen Sendeberichte einkopiert. Was mich beunruhigt, sind die Hinweise auf Apple Mail und Mac OS. Bisher dachte ich ja immer, der Mac sei sicher - daher habe ich auf keinem meiner Geräte eine Firewall oder einen Virenscanner installiert. Habe ich mir da nun doch etwas eingefangen?

Schon einmal vielen Dank, falls jemand diese Sicherheitslücke nachvollziehen kann.

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of
its recipients. This is a permanent error. The following address(es)
failed:

[XXXX]@aol.com:
SMTP error from remote server for MAIL FROM command, host: mx-aol.mail.gm0.yahoodns.net (66.218.85.151) reason: 553 5.7.2 [TSS06] All messages from 82.165.159.4 will be permanently defer
red; Retrying will NOT succeed. See https://help.yahoo.com/kb/postmast
er/SLN3436.html



--- The header of the original message is following. ---

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=web.de;
s=dbaedf251592; t=1556825967;
bh=MWLAEIrpIWAomo1xrlQ3im2XWiYox7lX+y6QBiLui0E=;
h=X-UI-Sender-Class:Subject:Fromate:To;
b=GdNBjTyfmSrchVx24hutKMNqdR10LLP1AHgvMapu0fQUXIbnrF5jgzb2OdDndQs3n
rc3M0SQ48yQs0XvUFnsz5gQw11gGPCDWl2l8btsPSvcIg+N3UN07uhWd7Jc0lAbFBO
LW/gIIbcKliZMjbgSvqg4XxAVbJC1C7QSKALINCk=
X-UI-Sender-Class: c548c8c5-30a9-4db5-a2e7-cb6cb037b8f9
Received: from [127.0.0.1] ([18.221.125.203]) by smtp.web.de (mrweb002
[213.165.67.108]) with ESMTPSA (Nemesis) id 0LdVha-1gvVIz09Z4-00ikPB for
<[XXX]@aol.com>; Thu, 02 May 2019 21:39:27 +0200
Content-Type: multipart/alternative;
boundary="Apple-Mail=_638F3A79F5-990D-95F8-F5FD-6DDF56334F1"
Mime-Version: 1.0 (Mac OS X Mail 8.2 \(2104\))
Subject: Russian Beauty Girls
From: [XXX]@web.de
Date: Thu, 2 May 2019 19:39:26 +0000
Message-Id: <CF08553F-8B37-E59E-ADB2-FA022D99506C@web.de>
To: [XXX]@aol.com
X-Mailer: Apple Mail (2.2104)
X-Provags-ID: V03:K1:LELzR75Ya0nCyL6kPHlnp0721JQbJLDPzrF0haFz7AgBrEUnc/T
Jwj7RYeAc11G9uSoomGOvEZ95PLU+IBNL7CTXHoJb0H0JM9lrqnO2+e0WAPRDuAfU9C04LB
ZuuQ4jeXgqQ21H5NDQL6ICuHRH89e11I0yB09gDzpWnddX0dG+ztvQK+8RxRQNmz3dIcRCX
1yXCSyzmYQ4TfZhSIPOPw==
X-Spam-Flag: YES
X-UI-Out-Filterresults: junk:10;V03:K0:6r50wyrbW+4=:R8wIJpwhQ9X1xUEaDXxgY4oY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 

[noodyn]

Ja, da scheint jemand auf deiner Adresse Spam zu verschicken. Sieht aber fast so aus, dass dies über einen Mac geschieht, was die Frage aufwirft, ob du dir irgendwelchen "Dreck" installiert hast und das Versenden tatsächlich von deinem Rechner geschieht. Dann hilft auch eine Kennwortänderung nichts, denn dein Mac kennt ja das neue Kennwort. War dein Mac gestern abend um 21:39 eingeschaltet?

 

[XBenX]

Mein iMac war gestern Abend nicht in Betrieb. Nur die mobilen Geräte (iPhone und iPad). Eigentlich dürfte auf dem Mac keine heikle Software installiert sein. Habe nur die Standardanwendungen und einige Apps, die ich über den Appstore geladen habe.

Da fällt mir ein: ich habe Steam installiert und vor rund einem Jahr hatte ich schon einmal einen Hackerangriff auf meinen Steamaccount. Damals wurden meine Zugangsdaten gestohlen, die ich dann über Google sehr schnell in einem russischen Forum gefunden hatte. Die Daten hatte ich natürlich sofort geändert, als ich den Betrug bemerkt hatte. Aber wie gesagt, war der Mac in den vergangenen zwei Tagen definitiv nicht in Betrieb (ich schalte ihn auch immer komplett ab und nicht nur in den Ruhemodus). Könnte da trotzdem ein Zusammenhang bestehen? Von meinen anderen E-Mail-Accounts (iCloud und Freenet) habe ich dieses Verhalten bisher nicht bemerkt. Aber vielleicht ändere ich vorsichtshalber doch mal mein Apple-ID-Passwort.

 

[XBenX]

Vielleicht ist dieser Hinweis noch nützlich: den oben gezeigten Fehlerbericht habe ich etwa vier Mal erhalten. Die darin genannte Empfängeradresse von aol ist immer die selbe (hatte sie aus Datenschutz vorsorglich mal unkenntlich gemacht). Mir ist diese Adresse nicht bekannt und ich finde sie in keinem meiner Kontaktverzeichnisse.

 

[oneOeight]

18.221.125.203 ec2-18-221-125-203.us-east-2.compute.amazonaws.com
hat die mail verschickt, die kam nicht von deinem rechner.
den mail client kann man genau wie den absender fälschen.
aber da die über web.de versendet wurde, ist dein passwort wohl auf einer der leak listen.
überprüf die web.de adresse doch mal auf
https://haveibeenpwned.com/
oder auch
https://sec.hpi.de/ilc/search?lang=de

 

[XBenX]

Danke für die Links. Allein über den ersten Link kamen mehrere Ergebnisse raus. Auch mein iCloud-Account wurde offenbar über eine Lücke in Dropbox und über die App "EyeEm" abgegriffen. Dann werde ich schnellstmöglich sämtliche Passwörter ändern.

 

[noodyn]

den mail client kann man genau wie den absender fälschen.

Kann man, dass er aber übereinstimmt, sollte man nicht außer Acht lassen.

Dass der Mac zum betreffenden Zeitpunkt jedoch gar nicht eingeschaltet war, schließt dieses als Ursache aus.
Ist das Problem denn seit dem Kennwortwechsel erneut aufgetreten?

Darüber hinaus spricht bei geleaktem Kennwort auch einiges dafür, dass ALLE deine Mails bei web.de den Betrügern zugänglich waren. Sofern du IMAP nutzt, solltest du nun dringend ALLE Kennworte (nicht nur web.de) ändern.

 

[XBenX]

Ob das Problem weiterhin auftritt, muss ich erst eine Weile beobachten. Den Kennwortwechsel hatte ich erst heute Morgen durchgeführt. Jetzt ändere ich gerade Schritt für Schritt sämtliche andere Passwörter ab. Zur Sicherheit auch meinen Login, hier im Forum.