GMX eigenartige Spoof Mail

[Kenmeri]

Hallo alle zusammen,

habe gerade gesehen das ich eine eigenartige Email in meinem Spam Ordner (GMX) habe, die von mir aus gesendet wurden sein soll (GMX). "...Computer wurde gehackt, bla bla.. soll in bitcoin zahlen, bla bla, sonst intime Videos von mir veröffentlich blabla.."
Ja ne is klar...


Macht mich doch gerade nervös, bin mir gerade unsicher ob ich gehackt wurde oder nicht. Bis jetzt gab es keine Anzeichen für einen Hack. Bis jetzt hatte ich als Sicherheit meine Handnummer hinterlegt gehabt. Diese ist noch korrekt. Zugriff habe ich noch auf mein Konto und kann eine Zwei Faktor Authentifizerugn einrichten/fertig.

Email Header gibt es nicht, unter Informationen zur Email kommt der folgende Text:
(Meine Klar-Email Adresse habe ich entfernt und durch "Meine Email Adresse" fürs Forum ersetzt.)

Return-Path:<Meine EMAIL Adresse >

Authentication-Results:gmx.net; dkim=none; spf=softfail smtp.mailfrom= Meine EMAIL Adresse; dmarc=fail header.from=gmx.de policy.dmarc=quarantine; iprev=pass policy.iprev=44.202.169.39

Received:from omta040.useast.a.cloudfilter.net ([44.202.169.39]) by mx-ha.gmx.net (mxgmx007 [212.227.15.135]) with ESMTPS (Nemesis) id 1MwgK8-1xNsqz1934-00vA5I for < Meine EMAIL Adresse >; Wed, 17 Jun 2026 08:40:31 +0200

Received:from eig-obgw-6006b.ext.cloudfilter.net ([10.0.30.211]) by cmsmtp with ESMTPS id Zb50wqfE5VGUKZjddwbNb3; Wed, 17 Jun 2026 06:20:37 +0000

Received:from sh00150.hostgator.com.br ([69.6.249.108]) by cmsmtp with ESMTPS id ZjdawzltsWBahZjdbwINaI; Wed, 17 Jun 2026 06:20:36 +0000

Message-ID: ZjdawzltsWBahZjdbwINaI(ÄT)eig-obgw-6006b.ext.cloudfilter.net

X-Authority-Analysis:v=2.4 cv=Y9D4sgeN c=1 sm=1 tr=0 ts=6a323cb4 a=Fict5Tb4r5GknE9uoSE5lQ==:117 a=Fict5Tb4r5GknE9uoSE5lQ==:17 a=HpEJnUlJZJkA:10 a=DBwwDor5xuMA:10 a=FelO9ux0wxsA:10 a=5KLPUuaC_9wA:10 a=x7bEGLp0ZPQA:10 a=HHXBq1MJ6nAA:10 a=Hs0ZBB8FgYht661sk9MA:9 a=P1cDrSiwIbUaDMJ2:21 a=_W_S_7VecoQA:10 a=QEXdDO2ut3YA:10 a=eZ-7zr8fNUier3stml9v:22

Received:from [45.7.140.81] (port=33430 helo=dhavvjthxvqftit) by sh00150.hostgator.com.br with esmtpsa (TLS1.3) tls TLS_AES_256_GCM_SHA384 (Exim 4.99.2) (envelope-from < Meine EMAIL Adresse >) id 1wZjdU-00000002xrj-3hC6 for Meine EMAIL Adresse; Wed, 17 Jun 2026 03:20:29 -0300

Content-Type:multipart/alternative; boundary="===============5595472361407388365=="

MIME-Version:1.0

From: Meine EMAIL Adresse

To: Meine EMAIL Adresse

Subject:foxs2g01

X-Priority:1

X-Message-Flag:Follow up

X-AntiAbuse:This header was added to track abuse, please include it with any abuse report

X-AntiAbuserimary Hostname - sh00150.hostgator.com.br

X-AntiAbuse:Original Domain - gmx.de

X-AntiAbuse:Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse:Sender Address Domain - gmx.de

X-BWhitelist:no

X-Source-IP:45.7.140.81

X-Source-L:No

X-Exim-ID:1wZjdU-00000002xrj-3hC6

X-Source:

X-Source-Args:

X-Source-Dir:

X-Source-Senderdhavvjthxvqftit) [45.7.140.81]:33430

X-Source-Auth: contato(ÄT)superherobrasil.com.br

X-Email-Count:17

X-Org:HG=hgshared_br;ORG=latam;

X-Source-Cap:cmhhbnNsNzA7cmhhbnNsNzA7c2gwMDE1MC5ob3N0Z2F0b3IuY29tLmJy

X-Local-Domain:no

X-CMAE-Envelope:MS4xfPH+Ju+0dSvOPYfIusK/C389GPGO5ly3DqEIYMGH7c645O6QzPdG1yrUaEQ4+rxB49atG1WEDipC0eGIVlbtbVQqahrRsHPU5KhybBmXEgR0qA34JiMm Or5nww8nahknwG9DuYQZnCh9Wgzhh1L/rGTw6YzDkrdJ1ch4+9YZdmY1Mlgiq93jK9ZShlHJRF4S3w43IIzc/WKOchyMkXdi+sw=

Envelope-To:< Meine EMAIL Adresse >

X-Spam-Flag:YES

UI-InboundReport:junk:10;M010:3mz45jyjGQY=;kj+..... nur Zeichen/Buchstaben


Eigentlich ist ja immer der Header verräterisch, nur gibs den hier nicht, das ist gerade Next Level für mich.

Edit: Sorry kann die Links nicht entfernen, trotz entfernen sind die nach dem speichern immer noch da. @ durch (ÄT) ersetzt

 

[R4ID]

Einfach normaler Spam wie wir ihn alle kennen.....
Bei mir täglich.....Apple Cloud Speicher voll letzte Warnung, Paypal Konto eingeschränkt, handeln erforderlich usw.

 

[BFF]

Kommt hier oft taeglich rein.

Computer wurde gehackt, bla bla.. soll in bitcoin zahlen, bla bla, sonst intime Videos von mir veröffentlich blabla.."

Schick mal den Mail Header ueber ein Analyse-Tool.

https://mxtoolbox.com/EmailHeaders.aspx

Wirst merken das der Sender nicht Du warst sondern ein Jemand alles in der Mail gefaelscht hat was faelschbar ist. Ausser halt seinen Absenderserver.

Anyway.
Das Ding war schon im Spam. Warum noch drueber nach denken?

 

[Kenmeri]

Leider nicht so allgemeiner Spam, den ich bekomme.
Wie gesagt der Unterschied ist:
Der Header bin ich selbst, jedenfalls zeigt mir GMX das an, wenn ich mit der Maus drauf gehe.
GMX sagt sogar das die Adresse im Adressbuch gespeichert ist. Ist ja klar, weils meine eigene Mail Adresse ist.

Zum allgemeinen Verständniss was ist genau der Header? Nur die Mail Adresse vom Absender? Oder mehr?
Das habe ich schon bei einem Analyse Tool hochgeladen, Ergebniss 0.

Ich bin ja nicht vom Hintern Mond und fall auf den Prinzen von Ghana rein...
Das ist was neues für mich.

From: und Return: ist meine MAIL Adresse, sollte es aber nicht sein, laut STRATOS oder Verbrauccherschutzzentrale, wenns SPAM ist.
Klar ist der Eintrag unter X-Source-Auth: "contato(ÄT)superherobrasil.com.br" irgendwo verdächtig.

 

[PC295]

und der Absender bin ich selbst.

Nein bist du nicht.
Die Absender-Daten lassen sich manipulieren.

 

[BFF]

Erzaehl jetzt keinen Bullshit. @Kenmeri
Den Header hast Du bereits als Text gepostet und dadrin sieht man der Sendestandort Brasilien von der Domain aber vermutlich Venezuela von der IP her war.

Wirst merken das der Sender nicht Du warst sondern ein Jemand alles in der Mail gefaelscht hat was faelschbar ist. Ausser halt seinen Absenderserver.

Leider nicht so allgemeiner Spam, den ich bekomme.
Es gibt keinen Header und der Absender bin ich selbst.
Sowas hatte ich noch nicht und auch nich nicht gehört.

• Es ist mittlerweile seit Jahren bekannter allgemeiner SPAM.
• Doch es gibt.
• Ich kenn den Krams seit mehr als 15 Jahren.

Und nochmal.
Wenn GMX bei Dir das freiwillig nach SPAM schiebt, sind auch deren Filter der Meinung das es SPAM ist und Du den einfach da laesst wo er gerade ist. 😉

 

[olEn]

Ich muss Kenmeri in Schutz nehmen: Ich hab die gleichen Mails bekommen, die sehen in der GMX-App sogar so aus wie meine eigenen (mit Symbolbild, die ich mir selbst gesendet hätte, liegt aber wohl an der App). Hat mich auch sehr erschreckt, aber das scheint nur gut gemacht zu sein, so dass es wirklich aussieht, als ob die Mail vom eigenen Konto kommt. Bei anderen Spammails war es immer sofort zu erkennen. Das waren die ersten Spam Mails, bei denen ich tatsächlich kurz Panik hatte.

 

[Kenmeri]

Nein bist du nicht.
Die Absender-Daten lassen sich manipulieren.

Ja das ist mir bekannt, aber wo sehe ich das genau? Ich habe da nicht so viel Ahnung und würde es gern wissen. Um spätestens auch meine Eltern vor schlimmeren zu bewaren.

 

[prayhe]

@Kenmeri Du siehst es daran:

dkim=none; spf=softfail smtp.mailfrom= Meine EMAIL Adresse; dmarc=fail header.from=gmx.de policy.dmarc=quarantine

E‑Mail wurde ursprünglich ohne Authentifizierungsmechanismen entwickelt. Deshalb kann technisch gesehen jeder einfach seine Absenderadresse beliebig wählen. Erst durch Techniken wie SPF und DKIM kann man am Ende bestimmten, dass der Absender auch tatsächlich derjenige ist, der er vorgibt zu sein. Diese Checks sind hier fehlgeschlagen. Heißt im Endeffekt, dass du definitiv NICHT der Absender bist.
https://www.cloudflare.com/de-de/learning/email-security/dmarc-dkim-spf/

 

[Micha-]

Wenn du eine Mail von dir selbst erhält, die du gar nicht gesendet hast, dann ist sie gefälscht. Ganz einfach. Ist die Mail auch unter "gesendete" zu finden? Warum wohl nicht?

 

[redjack1000]

@Kenmeri

Hast Du eine Kamera an deinem Rechner?

CU
redjack

 

[Kenmeri]

Erzaehl jetzt keinen Bullshit. @Kenmeri
Den Header hast Du bereits als Text gepostet und dadrin sieht man der Sendestandort Brasilien von der Domain aber vermutlich Venezuela von der IP her war.

• Es ist mittlerweile seit Jahren bekannter allgemeiner SPAM.
• Doch es gibt.
• Ich kenn den Krams seit mehr als 15 Jahren.

Und nochmal.
Wenn GMX bei Dir das freiwillig nach SPAM schiebt, sind auch deren Filter der Meinung das es SPAM ist und Du den einfach da laesst wo er gerade ist. 😉

Ich habe leider deine Erfahrung und Wissen dazu nicht, auch wenn ich seit 20 Jahren Computer benutze und zusammen baue. Habe da noch nicht alles erlebt. Jeder ist da individuell.
Ich will mich nicht auf den kostenlosen Schutz verlassen und kontrolliere lieber selber nach.

@prayhe danke.

@Micha- definitv ein Punkt, da nachzusehen. Habe da nicht dran gedacht.

@redjack1000 an den Lappis ja. Die klebe ich aber seit Jahren ab. Das ist mir bekannt das Webcams gehackt werden. Deswegen hatte ich ja auch "Ja ne is klar" nach der Drohung das intime Videos veröffentlicht werden geschrieben.
Außer Whatsapp- und Facebookprofilbild gibt es zu meiner Person nichts im Intenet.

Okay da hab ich wieder was gelernt, worauf zu achten ist. Ich war haupsächlich wegen dem ganzen Headerkram nervös, der anders sein sollte. Wegen dem Inhalt weniger, da hab ich nicht zu befürchten. Bin wenig aktiv im Internet.

 

[BFF]

aber wo sehe ich das genau?

Im Mail Header, wenn Du den dir als Quelltext anzeigst.
Das hast Du bereits gemacht. Und das hier ist einer der zwei Werte die ein Spamsender nicht faelschen kann.

X-Source-IP:45.7.140.81

Fuer diese Absender IP, dass ist die IP welche an GMX die Mail per "sh00150.hostgator.com.br" uebergeben hat, ist diese IP ist hier lokalisiert.

Kopiere mal den Header Deiner Mail (ohne Veraenderungen) hier rein.

https://mxtoolbox.com/EmailHeaders.aspx

Anyway.
Wie bereits getippt.
Wenn GMX mit seinem laxen Spamfilter das aussortiert, ist es definitiv bekannter SPAM.

 

[redjack1000]

an den Lappis ja. Die klebe ich aber seit Jahren ab.

Und wie konnte derjenige, wie in der Mail behauptet, Dich dabei beobachten, wie Du "schlimme" Sachen machst, also an Dir rumspielst? Denke mal drüber nach!

Ich bekomme wegen dieser "Mail" mehrfach die Woche anrufe und stelle dem Gegenüber die gleiche Frage.

CU
redjack

 

[shadowrid0r]

Ich hatte vor Jahren für diverse solcher emails im Outlook ein Poison Ordner gemacht. Und ein bissel gesammelt.
Dann habe ich ´Meine Diamanten Mine in Afrika ohne Erben´ weiter geleitet an ein Russisches Mädel was um Geld betteln wollte und umgekehrt. Alle habe ich auch weiter geleitet an ein ´Operator´ der ein Konto gefunden hat mit Millionen Dollar drauf wo aber der Inhaber gestorben sei ohne Erben. Eine Freigabe der Millionen an mich würde er für nur 100.000€ organisieren.

-pfff- Da gab es noch weit mehr Koriositäten... Wenn man die emails ohne was anzuklicken darin, weiter leitet an andere von diesen Spezialisten, hört das einfach irgendwann auf. Sie merken es von selbst.
Das meiste hat später auch der Defender gelöscht.

 

[input_iterator]

Eigentlich muss man in Deinem Fall nur auf eines schauen:

SPF = softfail, DKIM = none, DMARC = fail

Da sieht man schon eindeutig dass die Mail ncit über deinen GMX Account versendet worden sein kann.
SPF softfail, das heißt, der sendende Server ist nicht autorisiert, für deine Adresse zu senden, DKIM none ist keine gültige Signatur, also nicht von Deinem Mail Provider GMX, DMARC fail, GMX sagt diese Mail entspricht NICHT unseren Regeln, also ist sie gefälscht. Und deshalb wurde sie auch gleich in den Spam aussortiert.

 

[Kenmeri]

Was der Header genau ist, habe ich ja mehrfach gefragt.
Für mich war das immer der Header. Einfach die Kopfzeile= HEAD

Aha also ist das der eigentliche Header? Oder die ausfürhliche Variante "Absenderbericht/Herkunftsbericht"?

@redjack1000 wie ich geschrieben habe:

@redjack1000 an den Lappis ja. Die klebe ich aber seit Jahren ab. Das ist mir bekannt das Webcams gehackt werden.....
Außer Whatsapp- und Facebookprofilbild gibt es zu meiner Person nichts im Intenet.
....Wegen dem Inhalt weniger, da hab ich nicht zu befürchten. Bin wenig aktiv im Internet.

Der Inhalt der Drohung war ohne Bedeutung, die Möglichkeit eines Hacks war in dem Moment von Bedeutung.