Spam vom Rechner oder GMX-Web gesendet?

zaeb · 7. August 2012

Hallo,

von der Email-Adresse meiner Eltern habe ich heute eine schöne Spammail erhalten. Der Header der Mail ist folgender:

Zitat

From - Tue Aug 07 17:54:41 2012
X-Account-Key: account3 X-UIDL: 02AY1Z-1ThDkT377j-010edn
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <MEINE ELTERN>
Delivered-To: GMX delivery to ICH Received: (qmail 29602 invoked by uid 0); 7 Aug 2012 15:45:50 -0000
Received: from 109.102.237.112 by www052.gmx.net with HTTP; Tue, 07 Aug 2012 17:45:47 +0200 (CEST) Content-Type: text/plain; charset="utf-8"
Date: Tue, 07 Aug 2012 17:45:47 +0200
From: MEINE ELTERN
Message-ID: <20120807154547.112320@gmx.net>
MIME-Version: 1.0
To:MEINE SCHWESTER, ICH
X-Authenticated: #22344155
X-Mailer: WWW-Mail 6100 (Global Message Exchange)
X-Priority: 3 X-Provags-ID: V01U2FsdGVkX1+/7EkYRnK/oOsVD7/ZBXFwhN0gLsACGnkbm1Xj15 RPgb03rgScA5qt/mT1hrZd+ihctXxhklMQfw== Content-Transfer-Encoding: 8bit
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=5D7Q89H36p5pPL85u5fNDhppNERYFKanlSIfSoiYL+o/hpFulIctWm5dVaPMD8Vew/Cd6 chlrSU4ImM2lMeZOZhvHMyewiHX0lNl0VZipZvja+8YjnNOAJhuahqVcdrEeTQNX5A/Rh9lJBXeK dlyv40vGkyNuTfM0zhFBKKqEd2GcorFFFO7GSfyinNpscsYOOEitd5wUkZaTabCXKEoT702u45Y2 GXNV1;

http://SPAMADRESSEFÜRGROSSEGLIEDERUNDSO

Alles anzeigen

Wenn ich das richtig interpretiere wurde die Mail im Webinterface von einem Rechner aus Romänien verschickt?
Unter gesendet bei GMX ist nichts zu finden. Die Empfänger sind aber definitiv alle aus dem Adressbuch, eine unzustellbare mit anderen Empfängern aus dem Adressbuch meiner Eltern ist auch eingetroffen.

Das GMX-Passwort ist jetzt ein anderes. Kann man noch was machen?

harlekyn · 7. August 2012

Re: Spam vom Rechner oder GMX-Web gesendet?

Zitat

Original geschrieben von zaeb
Wenn ich das richtig interpretiere wurde die Mail im Webinterface von einem Rechner aus Romänien verschickt?

Sieht so aus. Frag' doch mal beim Support was davon zu halten ist.

zaeb · 7. August 2012

Scheinbar kann man die nur per Hotline erreichen :flop:

Roadrunner0778 · 7. August 2012

Zitat

Original geschrieben von zaeb
Scheinbar kann man die nur per Hotline erreichen :flop:

Wo liegt denn das Problem??

zaeb · 7. August 2012

Das ich a) kein bock habe geld dafür auszugeben weil denen die passwörter abhanden kommen
und b) den header nicht einer tante am telefon diktieren möchte

Ein Mail-Adressenanbieter ohne Email-Adresse ist ja auch ein Kuriosum.

besetzt · 7. August 2012

Richtig, laut letzter Received-Zeile (die ist entscheidend) wurde GMX per HTTP (also Webinterface) von 109.102..etc genutzt. Diese IP-Adresse gehört zu ROMTelecom S.A., Rumänien.

Ein weiterer Hinweis ist "X-Authenticated: #2234..etc", diese Nummer müsste meines Wissens die Kundennummer bei GMX darstellen.

Allerdings können solche Header-Angaben teilweise auch gefälscht werden.

In dem von dir verlinkten Artikel heißt es "Die Angreifer kannten die Passworte also längst und wussten, für welchen Account sie gelten. Möglich wird das, wenn Nutzer unvorsichtig werden. Denn so mancher hat tatsächlich nur ein Passwort, das er überall angibt."

Also sind die Passwörter nicht GMX abhanden gekommen, sondern der Angreifer hat die Passwörter wahrscheinlich durch einen anderen kompromittierten Dienst erhalten können. Und in den Fällen, bei denen dort von den Usern das gleiche Passwort gewählt wurde wie bei GMX -> Freie Bahn für die Spammer. Das kann meiner Meinung nach nicht GMX angekreidet werden.

Eine andere denkbare Möglichkeit wäre ein Trojaner/Keylogger, der das Passwort beim letzten Login deiner Eltern abgefangen und weitergeleitet hat.

Ein Wechsel des Passworts in ein neues, das nirgendwo anders (!) verwendet wird, ist daher ratsam. Ebenso auch überall dort die PW zu wechseln, wo ebenfalls das gleiche Passwort verwendet wird/wurde. VORHER sollte aber noch eine Überprüfung des Rechners auf Schadsoftware erfolgen, denn falls ein Logger weiterhin alles abfangen sollte, so würde dieser natürlich auch das neue PW mitschneiden.

stonecold · 7. August 2012

eine Spam Mail habe ich auch von einer Bekannten bei GMX bekommen .. ,
auch IP aus Rumänien..
auch hier an alle aus dem Adressbuch..

89.120.20.240 by www003.gmx.net with HTTP

war nur ein Link drin.. der ging auf eine unterseite von "superdrive.com.br"
X-Authenticated: ist bei der SPAM sowie bei einer richtigen komplett Identisch

zaeb · 8. August 2012

Zitat

Original geschrieben von besetzt

Eine andere denkbare Möglichkeit wäre ein Trojaner/Keylogger, der das Passwort beim letzten Login deiner Eltern abgefangen und weitergeleitet hat.

Ein Wechsel des Passworts in ein neues, das nirgendwo anders (!) verwendet wird, ist daher ratsam. Ebenso auch überall dort die PW zu wechseln, wo ebenfalls das gleiche Passwort verwendet wird/wurde. VORHER sollte aber noch eine Überprüfung des Rechners auf Schadsoftware erfolgen, denn falls ein Logger weiterhin alles abfangen sollte, so würde dieser natürlich auch das neue PW mitschneiden.

Hallo,

die Rechner sind überprüft, nichts gefunden. Das PW hatte ich mal eingerichtet und überall anders sollte ein anderes sein. Sonst gibt es nur noch Skype und Facebook wo sich eingeloggt wird.

Nokiahandyfan · 28. Juni 2016

Meine GMX Adresse wird als Spamabsender verwendet. Rufe meine Mails ausschließlich online ab (kein Nutzung eines Mailprogramms). Passwort wurde mehrfach geändert. Im Postausgang ist nie etwas.

GMX meinte, ich könne da nichts machen. Ich erhalte aber immer diese mailer-deamon Mails. Kann man anhand dieser rausfinden, wer der Übeltäter ist und was dagegen unternehmen?

harlekyn · 28. Juni 2016

Nicht wirklich. Die Absenderdaten einer Mail lassen sich beliebig faelschen. Vermutlich werden die Mails ueber ein Botnet oder gekaperte Webserver versendet; abgestellt bekommst du das nicht.

Spam vom Rechner oder GMX-Web gesendet?

Jetzt mitmachen!

Teilen