Mailadresse gehackt - bloss wie ?

[maba_de]

Der Proxy kann sich als z.B. GMX.de ausweisen?

so trivial ist es dann doch nicht.
Du musst den HTTPS Stream aufbrechen, entschlüsseln und dann mit der Gegenstelle (Mailserver) mit einem anderen SSL Zertifikat verschlüsseln.
Vereinfacht ausgedrückt - trivial ist das nicht, aber möglich.

 

[bowman]

Zur Info ich nutze Imap

...ist ja toll. Viel wichtiger: Wurde das Passwort mit der Mailadresse als Anmeldename auch bei anderen Diensten benutzt?

 

[SteveHH]

Nein wurde es nicht. Interessanter Weise, ist es auch so, das meine Frau in keinen Foren ist, kein FB oder so. Sie shoppt bei bekannten Händler wie Amazon, Zalando und so.
Das einzigste was sie nutzt ist Instagram und Whats App auf Ihrem Iphone. Dort holt sie keine Mails ab.

Frage wo im Mailprogramm stelle ich denn den SSL Server ein. Port ist von All-inkl. vorgegeben.

 

[fa66]

Mein Mail Provider hat mich informiert das über die Mailadresse meiner Frau Mails aus Weissrussland etc. versendet wurden.

Hmm?
Was meint dein Emaildienstleister, wenn er schreibe, dass »über die Mailadresse« deiner »Frau Mails aus Weissrussland etc. versendet« worden seien?

– Sei dem Dienstleister bekannt geworden, dass (wie wörtlich) die Emailadresse unterstellterweise als Absenderadresse durch Dritte verwendet worden sei?
– Sei dem Dienstleister aufgefallen, dass jene Emails auch über die Server des Dienstleisters bzw. über das Emailkonto deiner Frau gelaufen seien?

Ersteres hätte gar nichts mit Hacken oder Cracken zu tun. Ärgerlich genug, aber das passiert einfach nur schon beim normalen Spammen.

 

[Holger721]

Der genaue Wortlaut der E-Mail oder sonstigen Information des Providers ist hier nicht uninteressant. Eventuell ist es eine SPAM Mail, und kommt gar nicht vom Provider?

 

[elChupete]

Welche Verschlüsselung / Authentifizierungsmethode habt Ihr denn bei Euren Konten eingestellt?

In einem Unverschlüsselten Hotel WLAN wäre ich bei IMAP/SMTP Verschlüsselung NONE und unter umständen bei STARTTLS und Methode PLAIN/LOGIN vorsichtig, da User und Passwort unverschlüsselt übertragen werden können (bei STARTTLS nur wenn es zu einer unverschlüsselten Verbindung kommt)

Das kann ggf. jeder mitlesen

Edit: geändert von SSL / STARTTLS auf Ohne Authentifizierung und unter umständen STARTTLS

 

[tocotronaut]

in den meisten fällen bekommen die Spammer das Passwort durch simples ausprobieren heraus.

-> Passwort ändern dann ist Schluss.

Indizien für den Spamversand sind vor allem "Mail delivery Failed" Nachrichten.
Der Mac selbst ist vermutlich nicht gehackt worden.

 

[bowman]

In einem Unverschlüsselten Hotel WLAN wäre ich bei SSL / StartTLS und Methode PLAIN vorsichtig, da USer und PAsswort unverschlüsselt übertragen werden.

Das kann ggf. jeder mitlesen

...nein. Wenn der Client das STARTTLS Schlüsselwort sendet, initiiert der Server eine TLS-Verbindung zum Client, über die dann - transportgesichert - das Passwort genauso wie der restliche Inhalt übertragen wird - der Sicherheitsstatus des Hotel-WLANs ist dabei bedeutungslos:

(https://tools.ietf.org/html/rfc2595#ref-SMTPTLS)

Example: S: * ACAP (SASL "CRAM-MD5") (STARTTLS)
C: a002 STARTTLS
S: a002 OK "Begin TLS negotiation now"
<TLS negotiation, further commands are under TLS layer>
S: * ACAP (SASL "CRAM-MD5" "PLAIN" "EXTERNAL")

 

[elChupete]

Wenn der Client das STARTTLS Schlüsselwort sendet, initiiert der Server eine TLS-Verbindung zum Client, über die dann - transportgesichert - das Passwort genauso wie der restliche Inhalt übertragen wird - der Sicherheitsstatus des Hotel-WLANs ist dabei bedeutungslos:

OK bei SSL hast Du Recht, Danke. Bei STARTTLS kann es aber schon zu einer unverschlüsselten Verbindung kommen, wenn der Client zwar die Anfrage sendet, aber der Server nicht kann oder will. Dann erfolgt die Kommunikation, für den User unentdeckt, unverschlüsselt.

Habe meinen Original Post geändert in

In einem Unverschlüsselten Hotel WLAN wäre ich bei IMAP/SMTP Verschlüsselung NONE und unter umständen bei STARTTLS und Methode PLAIN/LOGIN vorsichtig, da User und Passwort unverschlüsselt übertragen werden können (bei STARTTLS nur wenn es zu einer unverschlüsselten Verbindung kommt)

 

[KOJOTE]

Apropos haveibeenpownd: Wenn ich es richtig einordne ist es vollkommen egal, dass die eigene E-Mail-Adresse in einer öffentlichen Datenbank auftaucht - wenn auch nicht angenehm. Es genügt wenn man sein starkes Passwort regelmäßig ändert.

 

[lulesi]

Nein wurde es nicht. Interessanter Weise, ist es auch so, das meine Frau in keinen Foren ist, kein FB oder so. Sie shoppt bei bekannten Händler wie Amazon, Zalando und so.
.

Ohne Deine Frau zu kennen, aber meine Frau ist nicht in der Lage zu erkennen ob sie jetzt gerade bei Amazon, Zalonda oder einem Fakeshop rumsurft wenn Sie shopt. Meine Frau geht häufig über die Google Bildersuche und landet auf den merkwürdigsten Shops.

Ansonsten ist nicht wirklich klar was denn nun passiert ist?
- Sind Spams mit angeblich deiner Absenderadresse versendet worden?
- Sind Spams über deinen gehackten Mailaccount versendet worden?
- Ist der Rechner Deiner Frau gehackt worden?
- Ist die Email die Du bekommen hast Spam?

Die generelle Massnahme 1 ist immer das Password zu ändern.

Es wäre wirklich hilfreich wenn Du die Email deines Providers einmal einstellen würdest, natürlich mit gelöschten persönlichen daten.

 

[AgentMax]

Apropos haveibeenpownd: Wenn ich es richtig einordne ist es vollkommen egal, dass die eigene E-Mail-Adresse in einer öffentlichen Datenbank auftaucht - wenn auch nicht angenehm. Es genügt wenn man sein starkes Passwort regelmäßig ändert.

Das regelmäßig ändern bringt bei einem starken Passwort nicht wirklich was.

 

[picknicker1971]

Mal nach Phishing Mails geschaut (auch im Papierkorb), auf die Deine Frau reingefallen sein könnte?

 

[SteveHH]

Mal nach Phishing Mails geschaut (auch im Papierkorb), auf die Deine Frau reingefallen sein könnte?

Sowas kann antürlich immer sein. Sie ist schon sehr misstrauisch und fragt mich lieber dreimal mehr als einmal zu wenig .

Um nocheinmal hier mit einem Missverständnis aufzuräumen :

Ich denke nicht das der Laptop meiner Frau oder von mir gehackt wurde. Ich denke auch ehr das das PW des Mailkontaktes irgendwie ausspioniert wurde.
Das mit dem VPN ist eine gute Idee. Ich nutze ja manchmal NordVPN damit ich in den USA was bestellen kann, das sollte als Schutz ja schon mal gut sein.

Im Übrigen ist das der Orginaltext von All-inkl den ich bekommen habe als Warnung wegen des Email Account :

Sie erhalten diese automatische E-Mail von unserem SMTP-Überwachungssystem, da soeben Ihr E-Mail-Account XXXXXX kompromittiert wurde.

Von unterschiedlichen IP-Adressen aus Belarus, Poland, Norway, Moldova wurden E-Mails über Ihr Mail-Login versendet. Ihre Zugangsdaten wurden also sehr wahrscheinlich von einem Virus oder Trojaner auf einem Ihrer Computer ausgelesen.

Aus diesem Grund haben wir das Passwort des betreffenden Postfachs XXXXX geändert. Die jetzt aktuellen Login-Daten finden Sie in Ihrem technischen Verwaltungsbereich KAS unter dem Menüpunkt "E-Mail -> E-Mail-Postfach". Klicken Sie dort neben dem betroffenen Benutzerkonto auf "Bearbeiten" und Sie können sich ein neues, eigenes Passwort hinterlegen.

Bitte überprüfen Sie umgehend Ihre Systeme! Durchsuchen Sie Ihre Computer auf jegliche Bedrohungen wie Viren, Trojaner, Malware oder Hijacker. Nutzen Sie dazu auch andere Virenscanner, als Sie bisher verwenden, da es naheliegend ist, dass die von Ihnen aktuell verwendeten Systeme einen Befall nicht verhindern konnten.


Stephan

 

[picknicker1971]

All-Inkl ist ein Web-Hoster und bietet m.W. nicht „reinen“ e-mail Service, sondern nur in Verbindung mit einer Domain.
Habt Ihr eine Webseite über die eventuell ein Angriff erfolgt sein und Deine e-Mail (oder die Deiner Frau - whatever) kompromittiert worden ist..?

 

[SteveHH]

Ja klar webseite ist da, aber da erscheint die mailadressen nicht.
www.tietchen.de

 

[efx]

Schau mal hier eventuell wurde die Mailadresse von woanders geklaut: https://haveibeenpwned.com

 

[SteveHH]

Ja habe ich schon geschaut.

Die von meiner Frau war nicht gelistet.

meine ja von 2013 bei Adobe und 2012 bei Last.fm. ich weiss da war auch ein Vorfall.

 

[WirbelFCM]

Sie erhalten diese automatische E-Mail von unserem SMTP-Überwachungssystem, da soeben Ihr E-Mail-Account XXXXXX kompromittiert wurde.

Von unterschiedlichen IP-Adressen aus Belarus, Poland, Norway, Moldova wurden E-Mails über Ihr Mail-Login versendet. Ihre Zugangsdaten wurden also sehr wahrscheinlich von einem Virus oder Trojaner auf einem Ihrer Computer ausgelesen.

Aus diesem Grund haben wir das Passwort des betreffenden Postfachs XXXXX geändert. Die jetzt aktuellen Login-Daten finden Sie in Ihrem technischen Verwaltungsbereich KAS unter dem Menüpunkt "E-Mail -> E-Mail-Postfach". Klicken Sie dort neben dem betroffenen Benutzerkonto auf "Bearbeiten" und Sie können sich ein neues, eigenes Passwort hinterlegen.

Bitte überprüfen Sie umgehend Ihre Systeme! Durchsuchen Sie Ihre Computer auf jegliche Bedrohungen wie Viren, Trojaner, Malware oder Hijacker. Nutzen Sie dazu auch andere Virenscanner, als Sie bisher verwenden, da es naheliegend ist, dass die von Ihnen aktuell verwendeten Systeme einen Befall nicht verhindern konnten.

Klingt für mich schwer nach SPAM-/Fishing-Mail!
Das findest Du am einfachsten heraus, wenn Du Dir a) mal die Absender-Adresse dieser Email GENAU anschaust und b) einfach mal bei Deinem Hoster anrufst und nachfragst, ob diese Email wirklich von denen ist.

 

[SteveHH]

Klingt für mich schwer nach SPAM-/Fishing-Mail!
Das findest Du am einfachsten heraus, wenn Du Dir a) mal die Absender-Adresse dieser Email GENAU anschaust und b) einfach mal bei Deinem Hoster anrufst und nachfragst, ob diese Email wirklich von denen ist.

Den Kontakt hatte ich schon. Die Mail ist von denen.