rechner als spamserver ?!

#1 Hallo,

habe seit gestern das problem, dass ich zuhauf mails an meine adresse zurückkriege ( mail delivery subsystem ), wo die adresse oder der empfänger nicht erreichbar ist.

das problem:

ich habe diese mails nicht gesendet!

als absender der original-mail steht aber immer irgendein
blablabla@meine_email_adresse, wobei das blablabla immer anders heißt.

also habe ich wohl irgendeinen scheiß auf meinem rechner, der von hier aus sinnlose spammmails versendet.

ich weiß weder, was das ist, noch wie es den mist versendet ( übers outlook müsste man doch unter gesendete objekte was sehen, oder? )

Wie finde ich diesen kameraden und wie kriege ich sowas wieder los?

#2

Zitat

druckspecht postete
habe seit gestern das problem, dass ich zuhauf mails an meine adresse zurückkriege ( mail delivery subsystem ), wo die adresse oder der empfänger nicht erreichbar ist.

willkommen im Club! bin auch davon betroffen. Bei 150 "return-mails" pro Tag wirds langsam lästig!

> ich habe diese mails nicht gesendet!
siehe oben

> als absender der original-mail steht aber immer irgendein
> blablabla@meine_email_adresse, wobei das blablabla immer anders heißt.
siehe oben

> also habe ich wohl irgendeinen scheiß auf meinem rechner,
> der von hier aus sinnlose spammmails versendet.
Nein. Nicht unbedingt! da hat nur einer als "return" oder "absende"-Adresse deine Domain genommen. Die mails können nicht zugestellt werden (aus Gründen wie auch immer) und gehen dann zurück.


> Wie finde ich diesen kameraden und wie kriege ich sowas wieder los?
schaue Dir mal die Mail genauer an. Vielleicht hat der eine oder andere Server die Mail komplett zurückgeschickt. D.h. anhand des Ursprungsmailhaeders kannst du nachvollziehen ob du es tatsächklich warst...

#3 Also das ist alles, was da zu lesen ist:

---------------------------------------------------------------------
X-Envelope-From: <MAILER-DAEMON@post.webmailer.de>
X-Envelope-To: <aldridge_rl@ meine email-addy >
X-Delivery-Time: 1063441597
Received: from tpa2.isomedia.com (tpa2.isomedia.com [207.115.64.113])
by mailin.webmailer.de (8.12.8/8.8.7) with ESMTP id h8D8Qax6002476
for <aldridge_rl@meine email-addy>; Sat, 13 Sep 2003 10:26:36 +0200 (MEST)
Received: by tpa2.isomedia.com (Postfix)
id 288451CFB1; Sat, 13 Sep 2003 01:26:36 -0700 (PDT)
Date: Sat, 13 Sep 2003 01:26:36 -0700 (PDT)
From: MAILER-DAEMON@tpa2.isomedia.com (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: aldridge_rl@meine email-addy
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="01F131D690.1063441596/tpa2.isomedia.com"
Content-Transfer-Encoding: 8bit
Message-Id: <20030913082636.288451CFB1@tpa2.isomedia.com>
-----------------------------------------------------------------------

woran sehe ich nun, ob es von meinem rechner kommt oder nicht?

gesetzt den fall, es kommt nicht von meinem rechner:
inwieweit laufe ich dann gefahr, dass mir irgendwer mal wegen spamming an die karre fährt? immerhin steht meine email-addy in der nachricht.

thnx

#4 das ist nur der Mailheader von der Rückmail - manche Server schicken die Ursprungsmail als attachment zurück - danach kannst du sehen, wer die Mail verschickt hat. Im Feld Received: from. Hier ein Beispiel von vielen das ich seit vorgestern bekomme:

<schnipp>
Received: from pd9ec0220.dip0.t-ipconnect.de (HELO mountainweb.ca) (217.236.2.32)
by courteney.jpci.net with SMTP; 13 Sep 2003 10:29:09 -0000
To: dand@jpci.net
MIME-Version: 1.0
Message-ID: <3F63629F.EB9E10C9@rogon.de>
User-Agent: Mozilla/5.001 (windows; U; NT4.0; en-us) Gecko/25250101
From: "Pamela P. Lamb" <p_p_lamb_gh@rogon.de>
Date: Sat, 13 Sep 2003 18:31:59 퍍
Subject: =?iso-8859-1?b?MS8yIHByaWNlIFZpYWdyYQ==?=
Content-Type: text/html
Content-Transfer-Encoding: 8bit
</schnipp>

hier sieht schon ein Blinder, dass ich es nicht gewesen sein kann. Also es bleibt nur abzuwarten bis der Spuck vorbei ist. Zum Glück sind noch keine Beschwerden gekommen.

Sei tapfer! ;-)

#5 Wer die einschlägig bekannten Mailinglisten und NGs der letzten Wochen(n) verfolgt hat,weiss,das Sobig.f sich wahllos Adressen holt,die er als Absender einträgt.
Problem dabei sind die vielen Mailserver-Betreiber,die dies Problem noch nicht erkannt haben und weiterhin ihren Server automatisch bouncen lassen.

Irgendwer in eurem Umfeld hat ein grosses Problem in Form von Sobig, und ihr hattet das Pech,das eure Mailadresse in einer der von Sobig bevorzugten Dateien zur Adresssuche zu finden war.

Das ist zwar lästig,aber ändern könnte das nur euer ISP.

Viel Spass beim Müll entsorgen,Auggie
__________
Du hast keine Chance,aber nutze sie!

#6 > Wer die einschlägig bekannten Mailinglisten und NGs der
> letzten Wochen(n) verfolgt hat,weiss,das Sobig.f sich
> wahllos Adressen holt,die er als Absender einträgt.
Nein, die Mails die mir "freundlicherweise" zurückgeschickt
wurden hatten gar kein Attachment oder der gleichen. Die
meisten hatten Viagra und Penis-Verlängerung im Angebot.

> Problem dabei sind die vielen Mailserver-Betreiber,die
> dies Problem noch nicht erkannt haben und weiterhin ihren
> Server automatisch bouncen lassen.
Das Problem ist, dass viele Mailserver a) offen sind und
somit relaying erlauben, b) viele Server prüfen die ausgehenden
Mails nicht auf die eingetragene Domain und c) viele Server
prüfen nicht die übereinstimmung der Absenderadresse mit
dem Adressbereich des Absenders.

> Irgendwer in eurem Umfeld hat ein grosses Problem in Form
> von Sobig, und ihr hattet das Pech,das eure Mailadresse in
> einer der von Sobig bevorzugten Dateien zur Adresssuche zu
> finden war.
siehe oben. Es hatte nichts mit sobig etc zu tun.

> Das ist zwar lästig,aber ändern könnte das nur euer ISP.
Entschuldige, das ist Blödsinn hoch drei. Die Mail die ich
zurückbekomme (also Returned Mail) ist vollkomm in Ordnung!
Ist also auch kein Spam! Kannst du mir erklären wie du es
von den "normalen" Returned Mails unterscheiden willst?

Grüsse

#7 Das Problem mit Sobig hatte ich auch. (falls es doch euer Problem ist)
Ich hab dann die Ip des Absenders genommen und mir die Bildschirmnachrichten zur Hilfe genommen.
Hatte sogar Glück und nach 1 Stunde kammen keine return mails.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#8 @spunki:

un nu erklärs mal gaaaaaanz laaaangsaaam.
ich wills auch verstehen

#9 Du musst als erstes die Ip des Absenders rausbekommen dann kann man dir weiterhelfen
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#10 In den Return-Mails steht unter "received from" bei jeder Mail eine andere IP- Nummer. Ich geh mal davon aus, dass diese die Absender- IP ist.


The original message was received at Sun, 14 Sep 2003 01:12:04 -0400 (EDT)
from pool-162-84-233-71.ny5030.east.verizon.net [162.84.233.71]


oder in einem Attachement stehts dann so:


Reporting-MTA: dns; mta201.xtra.co.nz
Arrival-Date: Sun, 14 Sep 2003 14:59:43 +1200
Received-From-MTA: dns; web4-rme.xtra.co.nz (210.86.15.141)

#11

Zitat

druckspecht schrieb
habe seit gestern das problem, dass ich zuhauf mails an meine adresse zurückkriege ( mail delivery subsystem ), wo die adresse oder der empfänger nicht erreichbar ist.

[x] same here. In den letzten 2 Tagen ca. 150 Mails.

Zitat

RealNexus schrieb
Kannst du mir erklären wie du es von den "normalen" Returned Mails unterscheiden willst?

Wenn das derselbe Viagra-Spam ist, den ich erhalte, müsste in der beworbenen URL ein "ID=omni" enthalten sein, auf das man filtern kann. Manchmal ist bei mir zusätzlich auch der Aufruf einer Bilddatei names "gv1.gif" zu finden.
Falls das nicht hilft, könnte man vorübergehend auch darauf filtern, dass die eigentliche E-Mail-Adresse des Mail-Accounts nicht enthalten ist bzw. beim Webhoster die Catch-All-Funktion deaktivieren (lassen).

Mehr zu diesem Thema in der Newsgroup de.admin.net-abuse.mail: "Spammer benutzt meinen Domainnamen fuer Adresse".

#12

Zitat

[x] same here. In den letzten 2 Tagen ca. 150 Mails.

oh je, ich dachte immer, mir kann sowas nicht passieren! shit shit...

Zitat

Wenn das derselbe Viagra-Spam ist, den ich erhalte,

yep, das ist der gleiche Mist! Auch "omni" und "gv1.gif" sind vorhanden.
Über den body_check werden die bereits rausgefiltert, nur die Returned
Mails die keine Attachments bzw. diese Keywords beinhalten werden noch
zugestellt. Auf Catch-All-Funktion kann ich leider nicht verzichten, da
es auch ein Teil meines check4spam-Programms ist...

also bleibt nur abzuwarten! Heute Nacht waren es wieder so um die 80
Returned Mails...

Viele Grüsse

#13 Naja, derselbe sch... kommt auch bei mir an.

_______________________________________________
<html><body>
<center><!--3a93ginq4j8l1--><a href="http://www.refer34.com/host/default.asp?ID=omni"><img src="http://visithere3.com/pics/gv1.gif" height="270" width="405"></a></center>
</html></body>

<html><body>
<center><!--uclphudo3nv--><a href="http://www.currency4.com/host/default.asp?ID=omni"><img src="http://discountrate2.com/pics/gv1.gif" height="270" width="405"></a></center>
</html></body>

_________________________________________________

heute gehts aber mit der Menge der Mails, liegt wohl am Wochenende

#14 http://www.heise.de/newsticker/data/uma-15.09.03-000/

Tja Pech
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}