Domain wird zum Spamversand missbraucht, was dagegen tun?

#1 Hallo zusammen,

ich habe ein Problem, bei dem ich auf die Mithilfe der Experten hier hoffe. Ich bin Einzelunternehmer und habe logischerweise auch eine Internetdomain. Nun habe ich heute eine Mail erhalten, in der mir mitgeteilt wurde, ich würde Spam versenden. Zuerst dachte ich an einen Virus, aber es war keine Datei angehängt, woraufhin ich mich mit dem Absender in Verbindung gesetzt habe.
Dieser hat mir bestätigt, dass er von meiner Domain eine Mail erhalten habe, mit der er nichts anfangen konnte (Warnung vor smss.exe, habe den betreffenden Sachverhalt über die Suche hier gefunden).

Auf meine Nachfrage hat mir der Absender eine Kopie der Mail zukommen lassen und ich musste feststellen, dass die Mails über eine E-Mail Adresse versendet wurden, die so bei meinem Provider nicht vorhanden ist.

Die Frage die mich nun natürlich quält ist was kann ich dagegen tun? Ich habe meinen Rechner bei einem der hier empfohlenen Onlinetestcenter checken lassen, aber es wurde nichts gefunden. Virenscanner ist auf dem neuesten Stand und die Firewall rennt auch immer mit.

Ich bin ehrlich gesagt etwas ratlos, vielleicht hat ja einer der hier anwesenden einen guten Rat für mich?

Vielen Dank im voraus für Eure Hilfe und in der Hoffnung auf eine rasche Antwort verbleibe ich mit freundlichen Grüßen

#2 Hmm, das ganze ist so schwer zu beurteilen. Es könnte natürlich trotz des Virenscanners und der FW ein Virus/Wurm sein der diese Mail versendet hat. Allerdings glaube ich es eher weniger wenn das alles auf neustem Stand ist.

Dann bleibt natürlich die Möglichkeit das wirklich jemand den Mailserver deiner Domain benutzt hat zum Versand. Das müßte man über die IP's im Mailheader sehen können. Ist das ganze ein eigener Server oder wird der gehostet. Und wenn ja verlangt der Hoster Authentifizierung (POP3 vor SMTP evtl.) zum versenden von Mails?

Die dritte Möglichkeit die oft am Wahrscheinlichsten ist wäre einfach das die Absenderdaten gefakt sind. Das ganze ist ja absolut einfach und kann eigentlich jeder. Gibt fertige Programme oder einfach ein Telnetprogramm und das SMTP RFC lesen
Aber auch hier würden die IP's im Mailheader Auskunft geben von wo die Mail verschickt wurde.

Am besten einfach mal ALLE Mailheader hier posten. Natülich persönliche Daten wie die Empfängermail usw. unkenntlich machen. Wie du an die ganzen Header rannkommst ist bei jedem Mailprogramm anders. Manchmal nennt sich das direkt Alle Header zeigen andere nennen das Source darstellen etc.

Die wichtigsten Zeilen wären diese:

Received: from [26.123.456.789]
by mail.xxyyzz.net id xyz

Die anderen "normalen" Header wie Datum, Betreff oder An kann ruhig gelöscht werden. Die sind absolut unwichtig und können beliebig gefakt werden.

#3 Hallo,

vielen Dank für die rasche Antwort.

1) Ja mein Provider verlangt eine Authentifizierung für den Empfang und VErsand von E-Mails.

2) Auch mein Provider ist der Meinung, dass wohl die Absendeadresse gefakt worden ist. Ich habe bei dem Empfänger der Spamnachricht der sich bei mir gemeldet hat mal nachgefühlt und dieser war bereit mir den Quelltext der Nachricht zu schicken.

Ich hänge den Quelltext jetzt einfach mal hier an und dann hoffe ich dass Du/Ihr in der Lage seid herauszufinden woher diese Nachricht verschickt wurde.

Egal ob es nun hinhaut oder nicht, auf alle Fälle vielen Dank für die rasche Antwort und die Bereitschaft mir weiterzuhelfen. Zum Glück gibt es im Netz auch noch hilfsbereite Menschen und nicht nur solche, die sich auf Kosten anderer einen Spass erlauben oder sich bereichern.

In diesem Sinne, vielen Dank und viele Grüße

und hier nun der Quelltext (Empfänger ge*****!)
_______________________________________________________________

X-Envelope-From: <berger@hs-idl.de>
X-Envelope-To: <****************>
X-Delivery-Time: 1077641715
Received: from MIKE.de (pD9E9258F.dip.t-dialin.net [217.233.37.143])
by mailin.webmailer.de (8.12.10/8.12.10) with ESMTP id i1OGt8Nu008384
for <*********************>; Tue, 24 Feb 2004 17:55:08 +0100 (MET)
Date: Tue, 24 Feb 2004 17:55:08 +0100 (MET)
From: berger@hs-idl.de
To: *****************************
Subject: Ein Trojaner ist auf Ihrem Rechner!
X-MailScanner: Nothing was found
Importance: Normal
Message-ID: <84c795c6f30728.cfde3qmail@hs-idl.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="_MIKE_Mime_002.fb639633044676484"
_________________________________________________________________

#4 So, ich habe gerade mal den Mailserver dort getestet und der Verlangt KEINE Authentifizierung zum versenden. Nur für den POP3 wie überall aber nicht für SMTP. Somit ist es ohne Probleme möglich diesen Mailserver zum senden gefakter Mails zu mißbrauchen. Zum Glück verbietet der Server immerhin relaying aber da deine Domain ja dort gehostet wird kann man dir dadrüber direkt gefakte Mails schicken.

Für mich sieht es auf jeden fall nach einer gefakten Mail auf die von einem T-Online Kunden erstellt wurde. Leider ist es bei so großen Anbietern immer schwer was zu erreichen. Aber man kann ja sehen da es ein normaler Einwahlaccount (t-dialin.net) mit der IP 217.233.37.143 war. Denke nicht das die IP gespooft wurde. Ist zu schwer und dann würde man sich eine andere aussuchen

Denke mal ausser das ganze zu ignorieren (Nachfragen bei T-Online bringt leider absolut nichts. Hab denen schon öfters mal Logfileauszüge geschickt. Leider wird auf sowas nichtmal reagiert. Haben es wohl nicht nötig und ihr Kunde zahlt ja sicher weiter.)

Aber du solltest mal deinen Anbieter anschreiben das sie den SMTP Mailserver so konfigurieren das er das versenden erst erlaubt wenn eine Authentifizierung per POP3 erfolgt ist. Ist ein einfacher aber relativ guter Schutz gegen Fakemails vom eigenen Server. Zwar kann man dann immernoch von anderen Server schicken aber mann kann dan schneller sehen das die ganz klar gefälscht wurde.

#5 Mal wieder vielen Dank an dieser Stelle,

ich habe zu Deinem letzten Post noch die eine oder andere Frage. Nimm es mir bitte nicht krumm wenn ich hier vermutlich nochmal nach Grundlagen frage, aber ich bin BWL'er den Rest kannst Du Dir vermutlich denken...

Verstehe ich Dich richtig, dass Du den Server getestet hast von dem die Spam Mail kam, oder hast Du Dir den Server vorgenommen auf dem meine Domain liegt?

Was muss ich meinem Provider da genau schicken, damit der weiss was ich von ihm will? (Ich bin bei 1und1 und bei denen ist nur der E-Mail Support kostenlos und da würde ich gerne eine Mail mit "Hand und Fuss" schicken, weil die sonst ewig rückfragen werden).

Vielleicht kannst Du Dir ja noch die Zeit nehmen und mir noch das eine oder andere Stichwort um die Ohren hauen, damit ich bei denen nicht auflaufe.

Vielen Dank auf alle Fälle und ein schönes Wochenende.

Mit freundlichen Grüßen

#6 In deinen Headern ist der eizig wirklich wichtige Eintrag dieser hier:

Zitat

Received: from MIKE.de (pD9E9258F.dip.t-dialin.net [217.233.37.143])
by mailin.webmailer.de (8.12.10/8.12.10) with ESMTP id i1OGt8Nu008384
for <*********************>; Tue, 24 Feb 2004 17:55:08 +0100 (MET)

Da steht das der Benutzer pD9E9258F.dip.t-dialin.net [217.233.37.143] den Server mailin.webmailer.de benutz hat um an **** eine Mail zu verschicken. Normalerweise stehen in Mails mehrere solche Received Zeilen da maistens nie der Server der die Mail animmt sie auch direkt ausliefern kann. Wenn jemand von AOL an T-Online schickt nimmt ja erst der von AOL die Mail an und dann geht die Mail teilweise über meherer Server bis sie bei T-Online ausgeliefert wird in das Postfach. Und jeder dieser Server verewigt sich mit solch einer Received Zeile im Header. Guck dir gerne mal deine Mails an wie das normal aussieht.

Ich habe mich jetzt einfach per Telnet direkt mit dem Mailserver mailin.webmailer.de auf Port 25 (SMTP) verbunden und ihm befohlen mir eine Mail zu verschicken was er einwandfrei machen wollte. Zwar nimmt der Mailserver keine Mails für fremde Kunden entgegen (Relaying denied) aber er verlangt von mir keine Authentifizierung. Somit kann ich also jederzeit mit diesem Server Mails faken die von dort auch gehosteten Domains (wie deiner) zu kommen schein.

Ich denke aber nicht das du da bei 1&1 etwas erreichen wirst. Ich habe mit denen persönlich sehr schlechte Erfahrungen gemacht und kann sie absolut nicht empfehlen. Sowohl technisch wie auch der Service. Ich laß jetzt lieber alles un USA hosten da günstiger und haufenweise mehr Service und Möglichkeiten. Alleine der komplett konfigurierbare DNS und Spamfilter serverseitig sind Gold wert. Aber deutsche Firmen und Service ist ja ein anderes Thema

Ich schick dir sonst per PM mal meine ICQ/AIM Namen falls du noch Fragen haben solltest.

#7 Hallo nochmal,

ich hoffe Du hattest ein schönes Wochenende?!
Vielen Dank für die detaillierte Antwort und dein Angebot mir auch persönlich weiterzuhelfen. Leider nutze ich weder ICQ noch AIM aber vielleicht kannst du mir ja an dieser Stellen nochmal weiterhelfen.

Ich habe Deine Antwort dazu genutzt mal bei der Denic eine Anfrage zu starten wer den diesen Server hosted und als Ergebnis kam Strato heraus. Das würde sich ja mit den Aussagen meines Providers decken, dass die Mails nicht von einem 1und1 Server rausgingen, oder habe ich da jetzt irgendwas durcheinander gebracht? (Ich bin halt der klassische User, ich weiss wo ich drückeb muss damit was passiert, aber am Hintergrundverständnis mangelt es noch ein bischen).

Was den Service bei 1und1 angeht konnte ich bisher nicht klagen, aber wer weiss, vielleicht hatte ich bislang ja auch nur Glück.

Wie dem auch sei, vielen Dank.

Mit freundlichen Grüßen...

Edit: Was ich nun vergessen hatte zu fragen, meinst Du es ist sinnvoll die Strato Admins darauf hinzuweisen, dass der gefakte Mailversand von Ihren Servern möglich ist. Ich meine das jetzt nicht unter dem Gesichtspunkt von Schadenersatz oder soetwas, sonder vielmehr mit der Tatsache im Hinterkopf dasss man auf diese Weise vielleicht ein Loch schliessen kann und den Spammern so ein wenig das Leben schwieriger macht?

Dank und Gruss

#8 Das anschreiben von Strato würde ich abschreiben. Ich war da auch mal Kunde vor einiger Zeit bis ich gemerkt habe wie schlecht meine Entscheidung war Allerdings hat Strato eine POP3 vor SMTP Authentifizierung die aber leider nichts hilft wenn der Spamversender selbst bei Strato Kunde ist. Und das sind ja immerhin einige tausende Menschen.

Solange es nicht dein eigener Server ist kannst du da nicht viel ändern. Ich würde das ganze wenn es nur vereinzelt passiert einfach ignorieren. Jeden tag gehen Millionen gefakter Mails durch Internet und manchmal erwischt es eben die eigene Domain. Das wird sich erst ändern wenn es keine frei zugänglichen Mailserver mehr gibt. Und das wird wohl nie der Fall sein

#9

Zitat

MacDefender postete
Allerdings hat Strato eine POP3 vor SMTP Authentifizierung die aber leider nichts hilft wenn der Spamversender selbst bei Strato Kunde ist. Und das sind ja immerhin einige tausende Menschen.

Hm, heisst das, ich kann mich bei einem Account A mit pop3 authentifizieren und bei einem Account B per SMTP eine eMail verschicken?
Ich war bislang der Meinung dass die Accounts identisch sein muessen...
Wenn das wahr ist nuetzt ja das ganze pop3 vor SMTP nix . Also sollte man sich einem IMAP Provider suchen- aber den finde mal.
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#10 Jup, da ist es ganz egal welche Account man benutzt. Sobal man sich mit einem POP3 Account eingeloggt hatte war die eigene IP zur Benutzung des SMTP Servers freigegeben. Und was ich dann mit dem SMTP Server mache kann ja keiner mehr so leicht feststellen da der keine weitere Authentifizierung besitzt, Konnte man dann jede Absenderadresse benutzen.

Aber das ganze ist ja nicht so schlimm. Mehr als das jemand gefakte Mails in meinem Namen verschickt kann ja nicht passieren. Und da ich jederzeit beweisen könnte anhand der IP die ja geloggt wird das ich das nicht war stört es mich nicht so. Zwar könnte man das ganze auch mit meiner echten IP blind spoofen aber wer das kann sucht sich was besseres raus

#11 Hallo zusammen,
ich hoffe, ich bin im richtigen Forum. Ich habe heute gerade festgestellt, dass nicht meine domaine (hoffe ich zumindest) benutz wird, sondern die mails, die versendet werden lassen den Eindruck entstehen, diese kämen von mir. folgendes steht drin:Dear user of Ms-walsrode.de,

Some of our clients complained about the spam (negative e-mail content)
outgoing from your e-mail account. Probably, you have been infected by
a proxy-relay trojan server. In order to keep your computer safe,
follow the instructions.

For further details see the attach.

For security reasons attached file is password protected. The password is "18251".

The Management,
The Ms-walsrode.de team http://www.ms-walsrode.de

Im Betreff: Warning about your e-mail account.

Im Anhang ist dann ein Virus. der W32.Beagle@mml.zip

der e-mail Header sieht folgendermaßen aus:
Original E-Mail-Header:

Return-Path: <mf@runningman.at>
Received: from 213.165.64.20:110
by KEN! DSL (192.168.114.254:4576) with POP3
; Fri, 5 Mar 2004 09:34:38 +0100
Received: (qmail 29525 invoked by uid 65534); 4 Mar 2004 14:31:01 -0000
Received: from natgoatfounder.rzone.de (EHLO natgoatfounder.rzone.de) (81.169.145.160)
by mx0.gmx.net (mx046) with SMTP; 04 Mar 2004 15:31:01 +0100
Received: from multiple-iiv7zv (chello080110024073.205.12.vie.surfer.at [80.110.24.73])
by mailin.webmailer.de (8.12.10/8.12.10) with SMTP id i24EUvqr027033
for <info@ms-walsrode.de>; Thu, 4 Mar 2004 15:30:57 +0100 (MET)
Date: Thu, 04 Mar 2004 15:30:55 +0100
From: support@ms-walsrode.de
Subject: Warning about your e-mail account.
To: info@ms-walsrode.de
Message-Id: <hqinbqibqshqmhmggvy@ms-walsrode.de>
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="--------neuyvxmtfcmqsmpnehst"
X-Flags: 1001
Delivered-To: GMX delivery to gagla@gmx.de
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)

Ich bin bei strato. Meine Frage: Was kann ich dagegen tun? Hafte ich dafür?

#12 Kann man nur immer wieder sagen das man dagegen fast machtlos ist. Die können jeden offenen Mailserver der Welt benutzen um dann Mails in deinem Namen zu fälschen. Und Strato beitzt ja sogar schon eine primitive Authentifizierung. Zumindest muss der Sender sich bei Strato im POP3 Server einloggen damit der den SMTP Server benutzen kann.

Allerdings sieht das ganze etwas komisch aus. Laut der Serverliste sieht est erstmal aus als wenn die Mail vom User chello080110024073.205.12.vie.surfer.at an den Stratoserver gegeben wurde. Allerdings sagt der nächste Eintrag schon aus das der GMX Server die Mail von natgoatfounder.rzone.de bekommen hat.
Da frage ich mich wie die Mail von Starto nach natgoatfounder.rzone.de gekomen ist. Allerdings passen die Zeiten der Eintragungen gut zusammen. Sieht aber schon etwas merkwürdig aus als hätte da ein Zwischenserver "vergessen" sich einzutragen.

Evtl. sollte man mal nachsehen was es mit dieser Adresse auf sich hat: Return-Path: <mf@runningman.at>
Man könnte dorthin z.B. auch mal eine Mail mit "Tracer"-Link schicken im die IP des Empfängers zu bekommen. Evtl. ist das dann ja sogar der Versender.

Am besten erstmal einfach ignorieren. Haftbar bist du dafür jedenfalls nicht da du nachweisen kannst das diese Mail nicht von dir ist. Und solange es noch Windows gibt wird es auch solche Viren und Würmer geben die sich per gefakter Mail weiterverschicken. Müßt ihr mit leben oder ein besseres System benutzen

Mein Mailserver filtert komplett alle Mails die nur irgendein Microsoft Format enthalten. Möchte jemand eine Mail senden/empfangen mit .exe, .ppt, .doc, .pif.... geht das einfach nicht weil der Server die sofort löscht. Ganz einfach und effektiv. So kann man keine Viren bekommen und keiner mit meinem Server welche verschicken. Ich bin nur froh das mir in DE keiner so einen Service anbieten wollte (weil angeblich technisch nicht lösbar). Jetzt zahle ich in USA die Hälfte für viel mehr Leistung

#13

Zitat

Man könnte dorthin z.B. auch mal eine Mail mit "Tracer"-Link schicken im die IP des Empfängers zu bekommen.

vielen Dank für Deine Antwort.
Ich gehöre leider auch "nur zu den Anwendern" ;-) deshalb weiß ich gar nicht, wie man das macht.

Zitat

Jetzt zahle ich in USA die Hälfte für viel mehr Leistung

Was für ein Anbieter ist das?

#14 Mein Anbieter jetzt ist Webmasters ( http://www.webmasters.com/ ).

Wegen der Mail brauchst du einen eigenen Webserver wo du z.B. ein Bild raufpacken kannst. Dann mußt du diese Bild dort in deine Mail einbinden die du verschickst. Dann kann man im Serverlog sehen von welcher IP aus das Mailprogramm dieses Bild geladen hat. Ich habe mir das ganze persönlich noch etwas verbessert über ein PHP Script was dort auf meinem Server läuft und dort erst das Bild generiert wenn es eingebunden wird. So etwas ist heute auch in fast jeder Spam drin. Deshalb ist es auch egal ob man da antwortet usw. Sobald das Mailprogramm die öffnet und das Bild (oft 1x1 Pixel Transparent) lädt wissen sie das diese Adresse aktiv ist. Deshalb werden hier nie eingebundenen Objekte selbstständig geladen.

Wer kein Webplatz besitzt könnte notfalls auch seine eigene IP dort angeben und seine FireWall so konfigurieren das sie den Verbindungsaufbau an Port 80 dann meldet. Dann bekommt der andere dort zwar kein Bild angezeigt aber das war ja auch nicht der Sinn der Übung Nur müßte dann auch der eigene Rechner so lange online bleiben mit dieser IP bis das gegenüber sie abholt. Man kann da schon "lustige" Sachen machen wie ja auch schon viele Spam's vorführen.

Aber wenn das mit den Mails sich nicht häuft am besten einfach ignorieren.

#15

Zitat

MacDefender postete
Aber das ganze ist ja nicht so schlimm. Mehr als das jemand gefakte Mails in meinem Namen verschickt kann ja nicht passieren. Und da ich jederzeit beweisen könnte anhand der IP die ja geloggt wird das ich das nicht war stört es mich nicht so.

__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds