Telekom sagt, mein Mac sendet SPAM ?!?

Drzeissler

Drzeissler

Aktives Mitglied
Thread Starter
Dabei seit
09.01.2009
Beiträge
3.352
Reaktionspunkte
519
Hallo,

ich mache mal einen neuen Thread auf. Aus einem Nachbar-Thread wurde ein Tool empfohlen um den Mac mal zu analysieren. Die Daten gibt es im Anhang.

Um was geht es hier konkret:

Ich bekomme seit einigen Tagen komisch Mails. Die Mails sehen optisch so aus, als ob ich mit meiner Mailadresse wahrlos SPAM-Mails versende.
Natürlich versende ich keine solchen Mails und habe diese eingehenden Zustellungsfehler-Mails daher einfach gelöscht. Da das aber anscheinend
kein Ende nimmt, habe ich das Abuse-Team der Telekom eingeschaltet und denen mal 30-50 solcher Mails gesendet.

hier mal so eine Mail von heute:
Code: 
This is the mail system at host [B]mailout10.t-online.de[/B].

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own text from the attached returned message.

                  The mail system

<adil@hispeed.ch>: host mx0.upcmail.net[213.46.255.200] said: 550 5.1.1 Invalid
   recipient: <adil@hispeed.ch> (in reply to RCPT TO command)
Reporting-MTA: dns; mailout10.t-online.de
X-Postfix-Queue-ID: B2BE047BCB8
X-Postfix-Sender: rfc822; [B]HIER STEHT MEIN NAME[/B]@t-online.de
Arrival-Date: Mon, 25 Aug 2014 19:15:55 +0200 (CEST)

Final-Recipient: rfc822; adil@hispeed.ch
Original-Recipient: rfc822;adil@hispeed.ch
Action: failed
Status: 5.1.1
Remote-MTA: dns; mx0.upcmail.net
Diagnostic-Code: smtp; 550 5.1.1 Invalid recipient: <adil@hispeed.ch>

Von: "Ralf Richter GmbH" <[B]HIER STEHT MEIN NAME[/B]@t-online.de>
Betreff: Neueste Stellenangebote garantiert in Ihrer Umgebung
Datum: 25. August 2014 19:15:53 MESZ
An: "Adrian" <adil@hispeed.ch>
Antwort an: <StacyRansongk@post.com>


Sehr geehrte/r Interessent/in,

hiermit wollen wir Ihnen eine Arbeitsstelle in unseren Unternehmen vorschlagen:

Sind Sie am liebsten Ihr eigener Boss?
Möchten Sie Ihre Beschäftigungszeit und Ihre Arbeitsstelle selbst bestimmen?

Gehen Sie gern spazieren oder sind Sie lieber mit dem Rad unterwegs?
Sind Sie Rentner oder arbeitslos?
Sind Sie nicht ganz ausgelastet und wollen nebenbei etwas dazu verdienen?

Dann sind Sie bei uns völlig richtig!

Wir sind ein dynamisches und energisches Betrieb, versuchen das Leben in den Städten und Dörfern sicherer und komfortabler zu gestalten. Gerade suchen wir überall in Europa neue Mitarbeiter die uns dabei behilflich sind und dazu noch richtig gut verdienen können.  Ob festangestellt oder selbstständig, bei uns verdienen Sie bis zu 20 Eu die Stunde, während Sie an Ihrem Wohnort spazieren gehen. Dabei werden keine spezielle Fähigkeiten gestellt und es kann praktisch jeder bei uns sofort anfangen Geld zu verdienen. Alles was Sie für diese Arbeit benötigen kriegen Sie von uns kostenlos gestellt. Sollten Sie an diesen Job Interesse haben, so schicken Sie uns ein knappes Bewerbungsschreiben an ColleenJaggersr@chemist.com und Sie erhalten weitere Infos. 
Mit freundlichen Grüßen

Ralf Richter Agentur

Das Abuseteam hat mir mitgeteilt, dass die entweder von meinem Mac oder über meinen Account atasächlich solche Mails versendet werden,
ich kann das einfach nicht glauben. Ich soll alle Zugangsdaten, die auf diesem Mac vorhanden sind, nach der Überprüfung/Säuberung ändern.

Ich bin stark irritiert und wühle mich gerade durch unglaubliche Fluten an sinnlosen Protokollen und weis nicht, wie ich hier irgendwas brauchbares
rausbekomme.

Ich will erst sicher sein, dass der Mac wirklich in Ordnung ist, bevor ich irgend ein Kennwort ändere.

Aus lauter Verzweiflung habe ich im Appstore den Bitdefender heruntergeladen und lasse den jetzt laufeng. Parallel dazu habe ich am Synology-Nas
den vollständigen Systemscan gestartet, der jetzt sicher ca. eine Woche laufen wird.

Habt Ihr mal ein paar Tips für mich, was ich kontrollieren sollte?

Aufgefallen sind mir massive Anzahl an Kernelmeldungen, die ich gar nicht einschätzen kann. Tagsüber verteilt ein Paartausend stück, bei 500 Einträge bricht er immer ab.

Bespiel:
Code: 
25.08.14 19:05:01,000 kernel[0]: [0x4836e5000, 0x200000]
25.08.14 19:05:01,000 kernel[0]: [0x483be5000, 0x300000]
25.08.14 19:05:01,000 kernel[0]: [0x4841a5000, 0x1000000]
25.08.14 19:05:01,000 kernel[0]: [0x485285000, 0x200000]
25.08.14 19:05:01,000 kernel[0]: [0x485545000, 0x200000]
25.08.14 19:05:01,000 kernel[0]: [0x485845000, 0x1800000]
25.08.14 19:05:01,000 kernel[0]: [0x4871e5000, 0xc00000]
25.08.14 19:05:01,000 kernel[0]: [0x487e65000, 0x80000]
25.08.14 19:05:01,000 kernel[0]: [0x487de5000, 0x80000]
25.08.14 19:05:01,000 kernel[0]: [0x487f65000, 0x280000]
25.08.14 19:05:01,000 kernel[0]: [0x487ee5000, 0x80000]
25.08.14 19:05:01,000 kernel[0]: [0x5deb25000, 0x40000]
25.08.14 19:05:01,000 kernel[0]: [0x5964a5000, 0x20000]
25.08.14 19:05:01,000 kernel[0]: [0x5985a5000, 0x1f000]
25.08.14 19:05:01,000 kernel[0]: [0x0, 0x0]
...


Hier die Daten des Tools:

Code: 
EtreCheck version: 1.9.15 (52)
Report generated 25. August 2014 22:23:22 MESZ

Hardware Information: ?
	iMac (27-inch, Late 2012) (Verified)
	iMac - model: iMac13,2
	1 3.4 GHz Intel Core i7 CPU: 4 cores
	8 GB RAM

Video Information: ?
	NVIDIA GeForce GTX 680MX - VRAM: 2048 MB
		iMac 2560 x 1440

System Software: ?
	OS X 10.9.4 (13E28) - Uptime: 6 days 22:11:29

Disk Information: ?
	APPLE HDD WDC WD10EALX-408EA0 disk1 : (1 TB)
	S.M.A.R.T. Status: Verified
		EFI (disk1s1) <not mounted>: 209,7 MB 
		disk1s2 (disk1s2) <not mounted>: 999,35 GB 
		Recovery HD (disk1s3) <not mounted>: 650 MB 

	APPLE SSD SM128E disk0 : (121,33 GB)
	S.M.A.R.T. Status: Verified
		EFI (disk0s1) <not mounted>: 209,7 MB 
		disk0s2 (disk0s2) <not mounted>: 120,99 GB 
		Boot OS X (disk0s3) <not mounted>: 134,2 MB 

USB Information: ?
	VIA Labs, Inc.          USB3.0 Hub              
	VIA Labs, Inc.          USB2.0 Hub              
	Samsung Electronics Co., Ltd. SCX-3400 Series 
	Apple Inc. FaceTime HD Camera (Built-in) 
	Elgato Systems EyeTV Sat 
	Apple Inc. MacBook Air SuperDrive 
	Apple Inc. BRCM20702 Hub 
		Apple Inc. Bluetooth USB Host Controller 

Thunderbolt Information: ?
	Apple Inc. thunderbolt_bus

Gatekeeper: ?
	Mac App Store and identified developers

Kernel Extensions: ?
	[not loaded]	com.elgato.driver.DontMatchAfaTech (1.1) Support
	[not loaded]	com.elgato.driver.DontMatchCinergy450 (1.1) Support
	[not loaded]	com.elgato.driver.DontMatchCinergyXS (1.1) Support
	[not loaded]	com.elgato.driver.DontMatchEmpia (1.1) Support
	[not loaded]	com.elgato.driver.DontMatchVoyager (1.1) Support

Problem System Launch Agents: ?
	[loaded]	com.VTech.AgentMonitor.plist Support

Launch Daemons: ?
	[loaded]	com.adobe.fpsaud.plist Support
	[running]	com.bjango.istatmenusdaemon.plist Support
	[loaded]	com.microsoft.office.licensing.helper.plist Support
	[running]	com.VTechLLNService.plist Support

Launch Agents: ?
	[running]	com.bjango.istatmenusagent.plist Support
	[running]	com.bjango.istatmenusnotifications.plist Support

User Launch Agents: ?
	[loaded]	com.valvesoftware.steamclean.plist Support

User Login Items: ?
	Steam
	iTunesHelper
	EyeTV Helper
	EyeTV
	Mac Game Store Helper

Internet Plug-ins: ?
	SharePointBrowserPlugin: Version: 14.4.3 - SDK 10.6 Support
	FlashPlayer-10.6: Version: 14.0.0.176 - SDK 10.6 Support
	Flash Player: Version: 14.0.0.176 - SDK 10.6 Support
	QuickTime Plugin: Version: 7.7.3
	JavaAppletPlugin: Version: 14.9.0 - SDK 10.7 Check version
	Default Browser: Version: 537 - SDK 10.9

Audio Plug-ins: ?
	BluetoothAudioPlugIn: Version: 1.0 - SDK 10.9
	AirPlay: Version: 2.0 - SDK 10.9
	AppleAVBAudio: Version: 203.2 - SDK 10.9
	iSightAudio: Version: 7.7.3 - SDK 10.9

iTunes Plug-ins: ?
	Quartz Composer Visualizer: Version: 1.4 - SDK 10.9

3rd Party Preference Panes: ?
	Flash Player  Support

Time Machine: ?
	Time Machine not configured!

Top Processes by CPU: ?
	     1%	WindowServer
	     1%	EyeTV
	     1%	Bitdefender Virus Scanner
	     0%	SystemUIServer
	     0%	fontd

Top Processes by Memory: ?
	221 MB	com.apple.WebKit.Networking
	205 MB	Bitdefender Virus Scanner
	188 MB	Safari
	188 MB	WindowServer
	139 MB	Mail

Virtual Memory Information: ?
	92 MB	Free RAM
	3.05 GB	Active RAM
	2.97 GB	Inactive RAM
	1020 MB	Wired RAM
	4.86 GB	Page-ins
	64 MB	Page-outs
 
Das Abuse-Team hat das Senden von meinem Mailaccount gesperrt. Alles weitere liegt jetzt bei mir.
Wenn die Telekom Recht hat, dann dürfte keine solcher Mails mehr bei mir eingehen, da diese ja
nur nach dem aktiven Senden als "Nichtzustellung" zurückkommen.

Es muss ja nicht zwingend der Mac sein, es kann auch der Router sein, oder das Synology-NAS, wobei ich bei dem NAS keine Zugangsdaten eingegeben habe und das NAS wohl nur den Mac nutzt, wenn es selbst Firmwareupdates etc. macht.

Wenn mein Mac wirklich sendet, muss es doch Spuren in irgendwelchen LOGS geben.

Ich bin für jeden Tipp dankbar.
 
Ganz einfach: du bekommst doch Zustellungsfehler-Mails. Schalte mal deine Geräte nacheinander ab, bis du dir sicher bist, dass es das Gerät (nicht) sein kann. Und trenne die Geräte am besten vom Strom bzw. Internet ganz (Kabel ziehen).
 
Seitdem die Telekom das "Senden" von meinem Account abgestellt hat ist Ruhe.
Es hängt nur ein NAS und der iMac dran. Das NAS hat keine Mailzugangsdaten, nur der iMac.

Sowohl Bitdefender, als auch ClamXav melden keine Viren/Trojaner...

Ich weis nicht weiter. Ich glaube aber, dass die Telekom Recht hat, denn es ist Ruhe.

Doc
 
sicher das nicht einer von außerhalb einfach deine E-Mail adresse nutzt ohne ein gerät von dir zu nutzen?
das du nur die nicht zustellbaren e-mail bekommst weil halt deine E-Mail adresse benutzt wurde, oder so ausgegeben wurde?

ansonsten alles vom LAN klemmen und System neu aufspielen und dann nur mal den mac dran klemmen, wenn es dann immer noch ist dann kann es ja nur router oder extern sein
 
Andy15073 schrieb:
sicher das nicht einer von außerhalb einfach deine E-Mail adresse nutzt ohne ein gerät von dir zu nutzen?
das du nur die nicht zustellbaren e-mail bekommst weil halt deine E-Mail adresse benutzt wurde, oder so ausgegeben wurde?

ansonsten alles vom LAN klemmen und System neu aufspielen und dann nur mal den mac dran klemmen, wenn es dann immer noch ist dann kann es ja nur router oder extern sein
Zum Vergrößern anklicken....

wenn das der fall ist, müssten weiterhin diese zustellungsmails kommen; bisher kommen keine, das ist SEHR eigenartig und lässt bisher nur den Schluss zu, dass tatsächlich der Mac der Versender ist; aber ich kann es nicht glauben...ich brauche Beweise.
 
ja dann gleich mal wireshark runterladen und mal schön alles mitschreiben was bei dir im LAN so rumfunkt.

und mal nach ports filtern:
Übersicht über die Ports bei Standardnutzung ohne Verschlüsselung:

POP 110

IMAP 143

SMTP (25 / Alternativ 587) - Authentifzierung erforderlich

Übersicht über die verschiedenen Server bei SSL/TLS Verschlüsselung und die dazugehörigen Ports:

SSL POP 995

SSL IMAP 993

SSL SMTP 465 - Authentifzierung erforderlich

TLS POP 110

TLS IMAP 143

TLS SMTP (25 / Alternativ 587) - Authentifzierung erforderlich
Zum Vergrößern anklicken....

Quelle: http://blog.onsite.org/blog/index.p...dard-Ports-fuer-POP3SMTP-mit-SSLSTARTTLS.html
 
Habe ich gelesen, war nix drin, die Log sagte auch nix.
 
du musst das eine zeit einfach mitlaufen lassen und "hoffen" das dann wärend der aufnahme der spam in deinem fall verschickt wird.
dieses Log kannst du dann in wireshark dann filtern und druchsuchen. es wird dir nicht sagen können welches programm auf dienem mac den drins versendet, aber es hilft einzuschätzen ob es überhaupt der mac ist. und evtl welche technik es nutzt. Daran kann man dann evtl erkennen was für ein programm es sein kann.
als tipp wireshark würde ich nur laufen lassen wenn du nichts am Mac machst, heißt jegliche netzwerkverbindung zu laufwerken trennen und alles beenden was im internet ist, damit so wenig wie möglich traffic aufnimmst. macht das leben einfacher ;)
und ja erschlagen kann das programm gut, vieeeel lesen udn vieeel einarbeiten ^^sage schon mal eine gute nacht :p
 
Ich habe jetzt schon gefühlte 2000 Einträge, wie finde ich heraus, was verdächtig ist.

OK, lasse den Mac mal schlafen und Morgen wissen wir mehr.
Das NAS läuft mit dem Fullscan, es sind aber keine Laufwerke gemountet.

Bisher wie gesagt 0,0 SPAM-Zustellungsfehler, was aber nicht heisst, dass mein Mac nicht weiterhin versucht zu senden
was er ja nicht mehr kann, da das Senden durch die Telekom gesperrt wurde, aber den Versuch will ich sehen.

Danke
Doc
 
filter nach den ports, wenn du keine e-mails verschickst oder empfägst, und das mail programm nicht an ist sollte eigl kaum was zu finden sein bis nichts. wenn wenn was findest würde ich mir den inhalt der pakete anschene, das siehst du ja im unterem fensterteil dann. und daran kannst evtl was erkennen.

sollte alles was e-mail programm aussieht aus sein und sehr viel im log sein, auf den ports, dann stimmt da was gewaltig nicht würde ich jetzt so grob mal sagen ...
 
Ich hatte das E-Mail Programm aktiv, so wie immer. Meinst Du das muss gar nicht aktiv sein und kann dennoch Mails senden ?
 
das kann ich dir nicht sagen, in dem fall der fälle das da irgend was drauf ist das so spam versendet, dann muss das e-mail programm nicht an sein. aber das jetzt seeeeehr theo...

wie gesagt würde alles beenden das du nur mal den finder und wireshark an hast. dann mal checken, wenn da nix an ist dann einfach mal stück für stück mal die programme checken. aber schon mal gesagt, das keine "schnell" lösung.
 
Drzeissler schrieb:
Seitdem die Telekom das "Senden" von meinem Account abgestellt hat ist Ruhe.
Zum Vergrößern anklicken....
Ja, natürlich - weil auch die Unzustellbarkeitsbenachrichtigungen Dich nicht mehr erreichen.

Drzeissler schrieb:
Es hängt nur ein NAS und der iMac dran. Das NAS hat keine Mailzugangsdaten, nur der iMac.

Sowohl Bitdefender, als auch ClamXav melden keine Viren/Trojaner...

Ich weis nicht weiter. Ich glaube aber, dass die Telekom Recht hat, denn es ist Ruhe.

Doc
Zum Vergrößern anklicken....

Die Telekom vermutet, dass Dein Mac die SPAM-Schleuder ist, weil sie das von den PCs nicht anders kennt. Aber damit liegen sie ziemlich sicher falsch.
Ich habe schon mehrere Kunden mit dem selben Problem unterstützt - in allen Fällen war das Kennwort des Mail-Accounts geknackt. Das Ändern des Mail-Passworts hat sofort für Ruhe im Karton gesorgt.
 
Danke, ich finde auch nix und dem Mitschreibprogramm.

Aber wie können die das Mailpasswort haben ?

Ich habe seit einem Jahr LTE und verwende noch das Standardpasswort, was mir die Telekom mitgegeben hat. Ich verwende dieses Passwort nur bei dem Mailaccount, sonst nirgends. Es wird nie eingegeben es ist nur hinterlegt.

Die Unzustellbar-SPAM-Mails sind doch EINGÄNGE, die durch das Versenden kommen. Wenn mein Mac tatsächlich der SENDER der Ursprungsmail war, dann ist es logisch, dass wenn die Telekom das Senden sperrt, dass keine Unzustellbar-SPAM-Mail Eingänge mehr zu verzeichnen sind.

Ich kann meinen Mailaccount von Aussen erreichen und die Mails werden zugestellt. Ich kann nur nix mehr senden, dann kommt eine Fehlermeldung.

WENN tatsächlich das Passwort bekannt wäre und mein Mac nicht der Sender ist, dann müssten weitere unzustellbar-SPAM-Mails eingehen, das tun sie aber nicht.

Kurzum; eventuell ist doch der Mac die Mailschleuder ?

Oder habe ich da was falsch verstanden?

THX
DOC
 
Den unzweideutigen Hinweisen dein Passwort endlich zu ändern solltest du dann mal nachkommen. Viel mehr kannst du eh nicht machen. Web 2.0 ;-)

Was da so genau im Hintergrund abläuft wird neben der Tagespresse hier auch gut dargestellt:

http://www.bsi.bund.de/cae/servlet/contentblob/487422/publicationFile/31009/antispam_pdf.pdf

Wenn du dich da unsicher fühlst leg einen neuen Nutzer an oder aktivier den Gast Account und nutz den oder eben eine Linux Live CD/DVD oder via CMD+R den Browser und änder das PW des Email Accounts. Am Mac und der Software liegt es so nicht. Die Konsoleneinträge kommen vermutlich von deinem Wacom Dingens Zeichengerät.
 
Zurück
Oben Unten