Spam von meiner eigenen E-Mail Adresse

[hurga_gonzales]

Hallo,

ich kenne diesen Thread, aber der wird dem Problem meiner Meinung nach nicht ganz gerecht:
https://www.computerbase.de/forum/threads/bekomme-spam-von-meiner-eigenen-email-adresse.497459/

Ich bekomme Spam von mir selbst. Dieser ist natürlich NICHT durch mich, sondern durch einen offenen Mailserver oder einen infizierten PC versendet worden.

Dabei nutze ich Outlook 2007 für meine Arbeiten. Und hier sieht der Mailheader tatsächlich so aus, als würde der Mail Absender meine Adresse sein.

Received: from s208-180-198-235.grvlcmta01.gnvlms.by.sta.suddenlink.net ([208.180.198.235])
        by mail.meinMailServer.de (CSE Secure Mail) with ESMTP id RRI81220
        for <meineadresse@meinedomain.de>; Tue, 09 Feb 2010 16:51:20 +0100
Received: from 208.180.198.235 by mx-vh.fr.clara.net; Tue, 9 Feb 2010 09:50:41 -0600
Message-ID: <000d01caa99f$a2068170$6400a8c0@gunnedhz551>
From: "ICS Monitoring Team" <meineadresse@meinedomain.de>
To: <meineadresse@meinedomain.de>
Subject: [virus Win32/TrojanDownloader.Bredolab.AN Trojaner] Your internet access is going to get suspended

Aber da wundert es mich, denn mein Spam Assassine würde erkennen, ob der fremde Server überhaupt berechtigt ist, über meine E-Mail Adresse Mails zu versenden, noch dazu an mich selbst.

Also habe ich die Logdateien am Server gecheckt und hier finde ich den Eintrag, allerdings sendet mir eine ganz andere E-Mail Adresse diese Mail:

208.180.198.235 [0F44] 16:51:20 >>> 250-mail.meinMailserver.de Hello s208-180-198-235.grvlcmta01.gnvlms.by.sta.suddenlink.net [208.180.198.235], pleased to meet you.
208.180.198.235 [0F44] 16:51:20 <<< MAIL FROM: <gunnedhz551@resonate-mp4.com>
208.180.198.235 [0F44] 16:51:20 >>> 250 2.1.0 <gunnedhz551@resonate-mp4.com>... Sender ok
208.180.198.235 [0F44] 16:51:20 <<< RCPT TO: <meineadresse@meinedomain.de>
208.180.198.235 [0F44] 16:51:20 >>> 250 2.1.5 <meineadresse@meinedomain.de>... Recipient ok
208.180.198.235 [0F44] 16:51:20 <<< DATA
208.180.198.235 [0F44] 16:51:20 >>> 354 Enter mail, end with "." on a line by itself
208.180.198.235 [0F44] 16:51:22 *** <gunnedhz551@resonate-mp4.com> <meineadresse@meinedomain.de> 1 13738 00:00:01 OK RRI81220
208.180.198.235 [0F44] 16:51:22 >>> 250 2.6.0 13738 bytes received in 00:00:01; Message id RRI81220 accepted for delivery
208.180.198.235 [0F44] 16:51:22 Disconnected

Und da ist es mir klar, warum mein Mailserver die Nachricht weiterleitet (abgesehen davon, dass der Antivirus die Bedrohung noch nicht kannte und gefiltert hat), denn der Absender ist ja ein normaler User.

Und die Preisfrage kennt Ihr sicher schon:
Wie macht der das, dass der Mailserver den richtigen Absender angezeigt bekommt, ein Outlook aber mich selbst, quasi den Empfänger als Absender, anzeigt?

Bitte nur ernst gemeinte Meinungen, denn, dass ich das nur löschen muss, dass ich es im Endeffekt nicht verhindern kann und und und, weiß ich alles selbst.

Bin gespannt.

Viele Grüße
Hurga

 

[[F]L4SH]

dito!

Aber bei mir nur bei meiner Mülladresse... sollte man immer Trennen. Eine wichtige und die andere mit den ganzen Accounts und Newslettern. Wüsste aber echt gern mal woran das liegt. Ist ne @onlinehome.de

 

[PCTüftler]

Hallo,

ich habe eine eigene HP und bekomme auch immer über meine eigenen Adressen Spam. Wüsste gern wie man das abstellen kann.

Wer weiß wer noch alles Spam von meiner Domain bekommt

 

[eigs]

Es gab doch mal das bei Outlook, wenn man Spam bekommen hat und ungelesen gelöscht hat dann wurde eine Versandbestätigung (weil er das angefordert hat) gesendet und die konnte nicht zugestellt werden da es die Absenderadresse nicht gab. Deswegen bekam man von Mailserver eine Nachricht zurück weils nicht ging.

 

[[F]L4SH]

Da ist irgendwas infiziert. Aber die Frage ist: Ist es ein Botnet?! Wenn ja... f**k

 

[ekin06]

Was für einen Mailserver hast du? Ein paar Infos wären nicht schlecht, denn ich würde gerne wissen ob ich dir überhaupt helfen kann. Linux/Postfix, trifft das auf dich zu?

Den Mailheader kann man beliebig verändern, gibs auch glaub ich Programme dafür.

Musst du dich Authentifizieren wenn du Mails verschicken willst? Was hast du für restrictions gesetzt? Es gibt Blacklists die in die restrictions eingebunden werden können.

Es gäbe mit Postfix (postfwd http://www.postfwd.org/quick.html) auch die Möglichkeit Mails abzulehnen wo Sender=Empfänger und vieles mehr.

 

[hurga_gonzales]

Wie man am Mailserver Log sieht, stammen die Mails ja nicht wie von meinem Outlook gezeigt, von mir, sondern von der Adresse "gunnedhz551@resonate-mp4.com". Das ist ein normaler Mailuser irgendwo da draussen, der

a) entwerder infiziert ist
oder
b) die Mail gar nicht versendet hat, sondern seine Mailadresse auf einem offenen Relay als Absender mißbraucht wurde

Den Mailserver möchte ich hier ungern nennen, aus Sicherheitsgründen. Aber es ist ein sehr leistungsfähiger Mailserver mit Spam Assassine im Einsatz. Das Ganze ist eigentlich sehr gut eingestellt.

Mich würde im Endeffekt nur interessieren, wie meinem Outlook vorgegaukelt wird, dass ich selbst der Absender bin.

Das Spam, der übrigens über "Undeliverable Mail..." versendet wurde wird BackScatter genannt und resultiert aus Technik, welche die Spammer vor einiger Zeit in Umlauf gebracht haben. Dabei wurden Mails über reale Adressen unter Nutzung offener Relays und infizierter Rechner an erfundene Empfänger gesendet. Unzureichend abgesicherte Mailserver sandten dann die normale "Undeliverable Mail.." Meldung an den Absender zurück, den es ja gab und schon fand der Spam in Form der Undeliverable Mail sein Ziel.

Glücklicherweise gibt es Blacklisten und Einstellungen gegen sowas, aber durch diese Technik wanderten jede Menge ansonsten integre Mailserver auf Blacklisten.

 

[ekin06]

Wie man am Mailserver Log sieht, stammen die Mails ja nicht wie von meinem Outlook gezeigt, von mir, sondern von der Adresse "gunnedhz551@resonate-mp4.com". Das ist ein normaler Mailuser irgendwo da draussen, der

a) entwerder infiziert ist
oder
b) die Mail gar nicht versendet hat, sondern seine Mailadresse auf einem offenen Relay als Absender mißbraucht wurde

Ist mir schon klar, er muss gar nicht infiziert sein, kann einfach ne Adresse sein die dafür missbraucht wird.

Anhand dieses Artikel sieht man wie dreist die Leute sind und in solche Mails schreiben nur damit der Anhang geöffnet wird in welchem sich ein Virus befindet.
http://www.xomba.com/ics_monitoring_team

Den Mailserver möchte ich hier ungern nennen, aus Sicherheitsgründen. Aber es ist ein sehr leistungsfähiger Mailserver mit Spam Assassine im Einsatz. Das Ganze ist eigentlich sehr gut eingestellt.

Du sollst mir nicht den Namen des Mailservers nennen, sondern was du für ein MTA benutzt ;=). Aus den Logfiles heraus konnte ich erkennen das es kein Postfix oder Sendmail ist... ist das Exchange?

Mich würde im Endeffekt nur interessieren, wie meinem Outlook vorgegaukelt wird, dass ich selbst der Absender bin.

Wie gesagt, der Mailheader, welcher letztlich von einem Mailclient interpretiert wird, kann beliebig angepasst werden (auch durch Scripts realisierbar). Deshalb ist es wichtig das der Mailserver durch bestimmte Restrictions das gröbste aussortiert/zuordnet. Woher die Mail wirklich kommt weiss nur der Mailserver. Falls die Herkunft unbekannt ist kann auch hier durch Restrictions vorgebeugt werden. Das Spamprogramm, welches im Verarbeitungsweg eingebunden ist, sollte dann den Rest erledigen, wobei dieses auch nicht immer 100% zuverlässig "handelt".

Das Spam, der übrigens über "Undeliverable Mail..." versendet wurde wird BackScatter genannt und resultiert aus Technik, welche die Spammer vor einiger Zeit in Umlauf gebracht haben.
Dabei wurden Mails über reale Adressen unter Nutzung offener Relays und infizierter Rechner an erfundene Empfänger gesendet. Unzureichend abgesicherte Mailserver sandten dann die normale "Undeliverable Mail.." Meldung an den Absender zurück, den es ja gab und schon fand der Spam in Form der Undeliverable Mail sein Ziel.
Glücklicherweise gibt es Blacklisten und Einstellungen gegen sowas, aber durch diese Technik wanderten jede Menge ansonsten integre Mailserver auf Blacklisten.

Du sagst es, unzureichend abgesichert. Das kann man alles verhindern indem man den Mailserver richtig konfiguriert (Stichwort "unbekannte Empfänger ablehnen").

 

[hurga_gonzales]

Das würde ja bedeuten, dass der Mailheader erst in meinem Outlook durch ein Skript geändert würde, denn der Absender am Mailserver kommt ja noch "echt" an.
Es würde also nix bringen, am Mailserver Mails von Adressen and dieselbe Adresse zu unterbinden, denn die Mail kommt ja von einem legitimen Absender.

Der Server ist ein IseWarp Mailserver. Auf dem Ding werden derzeit rund 4.000 Accounts gehostet und durch die wirklich hervorragende Spam Assassine Integration, haben wir eigentlich so gut wie gar keine Probleme mit Spam.

Wir beobachten die Sache weiter und werden uns mal Gedanken darüber machen, wie man das blocken kann.

 

[ekin06]

Nein. Lese dir mal hier http://th-h.de/faq/headerfaq.php den ersten abschnitt (1. SMTP-Envelope) durch, dass allein sollte eigentlich schon ausreichen um deine Frage zu klären. Generell ist aber die gesamte Arbeit empfehlenswert und sollte bei Interesse unbedingt gelesen werden.

Kurzfassung:
Eine Email besteht aus 3 Teilen. Dem "SMTP-Envelope", "Header" und dem "Body". Das was der Mailclient zu Gesicht bekommt, ist der "Header" und der "Body". Der 1. Teil der Mail ist für die Zustellung wichtig und wird nur vom Mailserver interpretiert.

Bemerkung von mir:
Wenn du mal über Telnet eine Mail verschickst, hast du genau den selben Aufbau und musst Schritt für Schritt die Punkte abarbeiten. Es gibt 2 Punkte wo du deine Mail angeben musst/kannst. Einmal MAIL FROM: dierichtigeadresse@domain.de (muss) im SMTP-Envelope und einmal FROM: virtuelleadresse@domaindienichtexistierenmuss.de (kann) im DATA-Bereich (Header).

SMTP-Envelope
{ - Server Authentifizierung mittels HELO/EHLO
- übergabe MAIL FROM: / RCTP TO:
- persönliche Auth.-daten
}
Header
{ - Übergabe From/To/Subject wie es dann im Mailclient zu sehen ist
}
Body
{ - Eigentliche Textnachricht
}