Wieso wird aus einer MT-Benachrichtigungsmail zusätzlich noch eine SPAM-Mail?
Hallo Werkstatt!
Wieso wird aus einer MT-Benachrichtigungsmail zusätzlich noch eine SPAM-Mail?
Situation:
Ich habe einen Thread abonniert. Bei neuen Beiträgen erhalte ich eine Mail von MT. Und manchmal erhalte ich noch zusätzlich eine weitere Mail von dritter Seite, welche die komplette Benachrichtigungsmail von MT enthält. Mein Provider markiert diese als SPAM-Mail.
Ich habe testweise mein Mail-Adresse geändert, was jedoch nichts gebracht hat. Auch an diese für MT neue Mail-Adresse kommt neben dem Original eine Fälschung.
Ich habe von einem Mail-Paar die Rohdaten kopiert.
Aus der Original-Mail:
Return-Path: <return@werkstatt.motor-talk.de>
Received: from mail17-111.srv2.de ([193.169.180.111]) by ... for <"myinfo">; Sun, 14 Apr 2019 06:17:16 +0200
Aus der Fälschung:
Return-Path: <Benjamin.riwv@aol.de>
Received: from 036041.de ([45.169.108.51]) ...
Received: from [80.171.222.148] ([120.98.134.64]) ...
whois
"036041.de" = 45.169.108.51 = Brasilien, nserver: ...co.uk
"80.171.222.148" = HANSENET-ADSL, Telefonica Germany GmbH & Co. OHG ...
"120.98.134.64" = Asia Pacific Network Information Centre (APNIC) => TANET-NET, Ministry of Education Computer Center, 12F, ..., Taipei Taiwan 106
Wo und wie werden die Benachrichtigungsmails von MT abgegriffen?
Hat MT ein Leck?
VG myinfo
Edit: Ergänzung/Erklärung. Ich habe die hinterlegte Mail-Adresse durch meinen Usernamen ersetzt = <"myinfo">, da ich die Mail-Adresse nicht veröffentlichen wollte.
Beste Antwort im Thema
Mails sind halt wie Postkarten - jeder, der die Postkarte zwischen Absender und Empfänger in die Hände bekommt, kann sie lesen (und natürlich seine Schlüsse draus ziehen) ohne das der Empfänger das mitbekommt. Ein klassischer Man-in-the-Middle-Angriff. Aber das soll ja irgendwann dank MTA-STS Geschichte sein - so zumindest die Theorie.
Ich hatte letzte Woche bei einem Kunden (mal wieder) eine ziemlich fiese Emotet Attacke. Die Mail war wirklich gut und das perfide daran: der Kunde war aktuell tatsächlich in Korrespondenz mit diesem Kunden (besagte Mail war natürlich eine Fälschung). Mails sind leider immer noch (und immer mehr) das Haupteinfallstor für Schadsoftware. :-/
Gruß Tom
16 Antworten
Dies ist nur eine reguläre Spam e-mail, die Daten von MT wurden einfach verwendet.
Zitat:
@DJ BlackEagle schrieb am 14. April 2019 um 16:37:48 Uhr:
Dies ist nur eine reguläre Spam e-mail, die Daten von MT wurden einfach verwendet.
Und durch wen? Woher hat er diese Daten?
Oder willst Du damit sagen, dass MT selbst die Daten weitergegeben hat?
VG myinfo
Die Frage sollte sein: Wie kann der Spamer deinen Usernamen mit deiner Emailadresse bekommen haben? Wo ist die Verbindung? Der Username ist öffentlich, aber die dazugehörige Emailadresse nicht.
Zitat:
@myinfo schrieb am 14. April 2019 um 16:34:22 Uhr:
Wo und wie werden die Benachrichtigungsmails von MT abgegriffen?
Kannst du ausschließen, dass dein Mailaccount (oder der Mailserver auf dem er liegt) kompromittiert wurde?
Gruß Tom
Ähnliche Themen
Zitat:
@myinfo schrieb am 14. April 2019 um 16:34:22 Uhr:
..
Hat MT ein Leck?
.
Oder hat sich da möglicherweise auf dem eigenen PC ein "nach Hause telefonierender" Schädling eingenistet? Dafür könnte auch sprechen, dass eine Änderung der eigenen mail Adresse nichts bewirkt hat.
Kommt denn "SPAM" in dieser Form nur "von MT" oder auch von anderer Seite?
Zitat:
@SPM2004 schrieb am 14. April 2019 um 17:01:28 Uhr:
Die Frage sollte sein: Wie kann der Spamer deinen Usernamen mit deiner Emailadresse bekommen haben? Wo ist die Verbindung? Der Username ist öffentlich, aber die dazugehörige Emailadresse nicht.
Danke für den Hinweis, ich habe dies im Ausgangspost noch ergänzt/erklärt. 😉
"Ich habe die hinterlegte Mail-Adresse durch meinen Usernamen ersetzt = <"myinfo">, da ich die Mail-Adresse nicht veröffentlichen wollte."
VG myinfo
Das du die Mail durch deinen Usernamen ersetzt hast ist klar und gut. Die hat hier öffentlich auch nichts zu suchen.
Zitat:
@boisbleu schrieb am 14. April 2019 um 17:08:07 Uhr:
(...)
Kannst du ausschließen, dass dein Mailaccount (oder der Mailserver auf dem er liegt) kompromittiert wurde?
(...)
Gute Frage. Ich nutze gmx. Für MT habe ich einen Alias eingerichtet. Andere Auffälligkeiten gibt es nicht. Das Passwort werde ich erneut ändern. Hrg.
VG myinfo
Zitat:
@fwcruiser schrieb am 14. April 2019 um 17:08:44 Uhr:
(...)
Oder hat sich da möglicherweise auf dem eigenen PC ein "nach Hause telefonierender" Schädling eingenistet? Dafür könnte auch sprechen, dass eine Änderung der eigenen mail Adresse nichts bewirkt hat.Kommt denn "SPAM" in dieser Form nur "von MT" oder auch von anderer Seite?
Nur von MT.
Alle lokalen Tests verliefen negativ, d.h. ohne Befund.
Ich sehe diese SPAM-Mail im Posteingang auf dem Server.
Ich sehe nur die Kopfdaten und lösche die Mails normalerweise.
Auf das Gerät, mit dem ich in den Posteingang schaue, werden diese Mails nicht übertragen.
Als ich heute nach Mails geschaut habe, sah ich im Posteingang des GMX-Kontos Benachrichtigungen von MT und auch eine neue SPAM-Mail.
Von dieser habe ich mir dann direkt die Rohdaten angeschaut.
Welcher Absender und welche Benachrichtigungsmal wird dieses Mal benutzt?
Usw.
Sun, 14 Apr 2019 06:17:16 +0200
Meine Geräte waren zu dieser Zeit und danach aus.
Auf dem Smartphone nutze ich weder gmx noch MT in irgendeiner Form.
Entweder ist mein GMX-Postfach kompromittiert oder bei MT läuft etwas schief.
Ich ändere mal das GMX-Passwort.
VG myinfo
@all: Danke!
Update
GMX:
- Passwort geändert
- neuen Alias für MT angelegt
MT:
- Passwort geändert
- neue Mail-Adresse hinterlegt
Mal sehen, wie es weitergeht.
VG myinfo
Mails sind halt wie Postkarten - jeder, der die Postkarte zwischen Absender und Empfänger in die Hände bekommt, kann sie lesen (und natürlich seine Schlüsse draus ziehen) ohne das der Empfänger das mitbekommt. Ein klassischer Man-in-the-Middle-Angriff. Aber das soll ja irgendwann dank MTA-STS Geschichte sein - so zumindest die Theorie.
Ich hatte letzte Woche bei einem Kunden (mal wieder) eine ziemlich fiese Emotet Attacke. Die Mail war wirklich gut und das perfide daran: der Kunde war aktuell tatsächlich in Korrespondenz mit diesem Kunden (besagte Mail war natürlich eine Fälschung). Mails sind leider immer noch (und immer mehr) das Haupteinfallstor für Schadsoftware. :-/
Gruß Tom
Zitat:
@myinfo schrieb am 14. April 2019 um 16:47:00 Uhr:
Zitat:
@DJ BlackEagle schrieb am 14. April 2019 um 16:37:48 Uhr:
Dies ist nur eine reguläre Spam e-mail, die Daten von MT wurden einfach verwendet.
Und durch wen? Woher hat er diese Daten?Oder willst Du damit sagen, dass MT selbst die Daten weitergegeben hat?
VG myinfo
MT gibt keine Daten weiter.
Oft generieren Spamer die E-Mail Adressen per Zufall und senden die einfach. Diese Vorgänge sind alle automatisiert, da sitzt keine Tage lang dahinter um E-Mails zu senden.
Wenn wirklich MT gehackt wurde, würde das mehr auffallen. In der E-Mail müssten Sachen drin stehen, die man nicht einfach zu zuordnen sind.
Wenn der Nickname der gleich ist wie die E-Mail Adresse.
Z.b. Nickname: HAnsGuckt und die E-Mail Adresse lautet: hansguckt@gmx.local (habe .local extra so geschrieben). Ist es leicht zu erraten. 😉
Es gibt dann die Möglichkeit das dein Rechner verseucht ist, oder via MIT den E-Mail Verkehr abgreift. Oft reden z.b. Mail Server nicht verschlüsselt, sondern unverschlüsselt. Dann lässt sich alles lesen in der E-Mail, bzw abzugreifen zu ändern usw.
Da du die Kennwörter, E-Mail Adresse geändert hast und den alten alias gelöscht hast. Solltest du Ruhe bekommen.
Empfehlen würde ich, den Rechner einfach zu überprüfen. 😉
Zitat:
@DJ BlackEagle schrieb am 15. April 2019 um 13:22:51 Uhr:
Empfehlen würde ich, den Rechner einfach zu überprüfen. 😉
Genau, und zwar mit irgendwas wie Desinfect und nicht mit dem verdächtigen System am laufen.
Gruß Metalhead
@all: Danke für eure Hilfe bzw. den Input!
Zitat:
@DJ BlackEagle schrieb am 15. April 2019 um 13:22:51 Uhr:
(...)Wenn wirklich MT gehackt wurde, würde das mehr auffallen. In der E-Mail müssten Sachen drin stehen, die man nicht einfach zu zuordnen sind.
Daher die Nachfrage per Thread hier. 😉 Zum Auffallen, wer SPAM-Mails automatisch entsorgen lässt, bekommt davon nichts mit. Zur SPAM-Mail, diese enthält auch die komplette Benachrichtigungsmail von MT. 😰
Nochmal für mich zum Verständnis. Am Sonntag Morgen war die Kiste aus. MT hat zu dieser Zeit diverse Benachrichtigungen versendet. Als ich mittags den Rechner anwarf und in den Posteingang auf dem Server schaute, lagen da diverse Benachrichtungen von MT sowie eine neue SPAM-Mail.
Das bedeutet doch, dass die Benachrichtigungsmail schon vorher irgendwo abgegriffen wurde. Also nicht bei mir lokal. Oder wie seht ihr dies?
Zitat:
(...)
Es gibt dann die Möglichkeit das dein Rechner verseucht ist, oder via MIT den E-Mail Verkehr abgreift. Oft reden z.b. Mail Server nicht verschlüsselt, sondern unverschlüsselt. Dann lässt sich alles lesen in der E-Mail, bzw abzugreifen zu ändern usw.
Den Rechner habe ich schon auf links gedreht, da war nix. Die Software wurde auch schon deinstalliert, eine andere testweise verwendet und dann doch wieder installiert, da alle nichts gefunden haben. Als Live-System habe ich das kostenlose ESET (Ubuntu) verwendet, da mein Desinfec't irgendwo unterwegs aka verschollen ist und ich die gleiche Version nicht noch einmal kaufen wollte.
Zitat:
Da du die Kennwörter, E-Mail Adresse geändert hast und den alten alias gelöscht hast. Solltest du Ruhe bekommen.
Empfehlen würde ich, den Rechner einfach zu überprüfen. 😉
Im Posteingang liegen jetzt über 60 neue Benachrichtigungsmails von MT. Ich lösche sie nicht, damit ich das Original habe, falls nochmal SPAM kommen sollte. Bisher kam nichts mehr. Dennoch fuchst mich das Ganze.
Ich will wissen, wie und wo die Benachrichtigungsmail von MT an mich abgegriffen wurde. 😠😉
VG myinfo