Telekom Sicherheitteam Auffälligkeiten am Anschluss Abuse

[smashcb]

Hallo

ich bekomme seit ca 4 Monaten hin und wieder einen Hinweis vom Telekomsicherheitsteam, dass von meinem Anschluss aus verdächtige Emails versendet wurden.

Immer mit dem Hinweis " Es wurden über Ihren Internetzugang schadhafte E-Mails versendet. IP-Informationen; xx.xxx.xxx.xxx" " Wir haben den E-Mail-Versand über Ihren Internetanschluss gesperrt. " .

Absender ist immer abuse@telekom.de

Ich dachte es wären die IP Kameras gewesen. Deswegen hab ich die alle geupdatet und den Internetzugang gesperrt. Jetzt hatte ich 2 Monate diese Email nicht mehr bekommen hab.

Jetzt gab es am 6.12 den erneuten Versand von schadhaften Emails und am 8.12 wurde der Email-Versand gesperrt.

Ich bin mir unsicher, was genau die Telekom damit meint. Meine Email jedenfalls funktionieren uneingeschränkt. (Thunderbird)

Ein sehr kurzes Telefonat mit dem Abuse Team bei dem ersten Hinweis, war nicht sehr zielführend. Die Dame konnte mir keine Details nennen. Kein Inhalt bspw. oder den Absender.

Wie find ich denn jetzt raus, welches Gerät das Problem ist ? Die Uhrzeiten sind komplett random, da gibt es keinen Zusammenhang.

Das Netzwerk wird auch von anderen Leuten benutzt, aber auch da seh ich keinen zeitlichen Zusammenhang.

Was macht man denn wenn die Emails vom Browser aus versandt werden? Hat der dann immer noch meine IP ? Vermutlich ja eher nicht.

Wie geht man sowas am besten an um die Ursache rauszufinden ?

 

[Sephe]

Wenn die Telekom meldet, dass E-Mails von deinem Internetanschluss aus versendet werden, so bedeutet es, dass aus deinem Netzwerk (mit deiner öffentlichen IP) per SMTP E-Mails versendet werden. (Das ganze läuft unabhängig von deinem E-Mail Konto und dem Browser.)

Es ist nicht Aufgabe der Telekom und für die technisch auch nicht möglich zu sagen, welches Gerät es in deinem Netzwerk ist.

Dafür bist du als Anschlussinhaber verantwortlich.

War zu der besagten Zeit dein PC eingeschaltet? Wenn nicht, dann war es schonmal nicht dein PC.

-> Auf allen Geräten im Netzwerk die neuste Software/Firmware installieren, auf PCs einen Virenscan durchführen und auf unerwünschte Software prüfen.

 

[sNo0k]

Du könntest Dich mal mit Wireshark beschäftigen und so den Ursprung der Mailpakete lokalisieren.

 

[Mar1u5]

Falls du nicht nur eine Fritz!Box oder so hast sondern etwas professionelleres, dann TCP/25 ausgehend loggen und schauen welches Gerät die Verbindungen verursacht bzw. den Traffic evtl. sperren.

 

[Phil_81]

Port 25 ausgehend sperren und alle Programme/Geräte, die Mails versenden müssen auf verschlüsselten Versand umstellen. Ansonsten wie die Vorredner schon geschrieben haben, Geräte auf Virenbefall usw. prüfen.

 

[klalar]

Guck doch mal unter gesendet, was bei dir so an Mails rausgeht. Wenn dein PC ein ZombieBot ist der SPAM verteilt wirst du es dort sehen: Je nachdem wie sorgfältig die Schadsoftware programmiert ist. Ein Virenscan wie oben vorgeschlagen wäre sinnvoll. Checke auch "have i been pwned" ob deine Mail im Darknet unterwegs ist...

 

[KnolleJupp]

Da würde ich als erstes mal
Malwarebytes https://de.malwarebytes.com/mwb-download/thankyou/
und
AdwCleaner https://downloads.malwarebytes.com/file/adwcleaner
runterladen und laufen lassen.

Dann kannst du deine eMail-Adressen hier
https://haveibeenpwned.com/
mal eingeben und gucken was dabei herauskommt.

 

[BorstiNumberOne]

Das ist teils etwas unglücklich ausgedrückt. Das ist nicht der Anschluss selbst, sondern oftmals der Mailzugang. Ich hatte diese Briefe auch immer mal, aber bei mir immer so alle drei bis vier Jahre. Ein klärendes Telefonat brachte da nichts, auch nicht die Kommunikation mit dem Sicherheitsteam. Jetzt nach dem dritten Mal, habe ich mal näher geschaut und gesehen, dass der Mailzugang bei der Telekom noch einmal extra verwaltet werden muss, speziell das Passwort. Und dieses war noch ein uraltes, leicht zu knackendes. Der Postausgang war da eben auch voll von irgendwelchen Spammails, sowie auch der Posteingang, mitsamt einer Mail des Hackers, dass mein PW doch leicht zu knacken gewesen ist und dass er gegen eine Überweisung von 450 Euro alles vergessen macht. 🤣
Ich habe jetzt dort das Passwort in deren EMail Portal neu mit entsprechender Sicherheit gesetzt und die Maildomäne auf .magenta geändert. Mir war das halt nicht so bewusst, weil ich das T-Online Konto mal vor fünfzehn Jahren eingerichtet habe, aber ich selbst den Login als E-Mail auch nur im Kundencenter oder im Telekom Hilft Forum verwende sowie dachte, dass dieser auch für die EMail so gilt.
BTW: Die Abuse Briefe hat mein Vater auch schon bekommen und auch ein Kollege, der nur Retro Hardware (mit neuem Morph OS) und keinerlei Windows Geräte nutzt bekommen. Da hat der auch schon mit der Telekom ordentlich rumdiskutiert. 😉

 

[smashcb]

Das ist teils etwas unglücklich ausgedrückt. Das ist nicht der Anschluss selbst, sondern oftmals der Mailzugang.

Ok. ich bin mir garnicht bewusst einen Emailzugang bei der Telekom zu haben. Ich nutze keinerleit @t-online.de oder telekom.de Email Adressen.

Bei der Einrichtung des Anschlusses hab ich auch sowas nicht eingerichtet.

Ich werde das mal prüfen, wenn ich heute abend wieder zuhause bin.

Kann man diesen Zugang nicht dauerhaft sperren ?

 

[BorstiNumberOne]

Ja, lass ihn einfach "eingeschränkt", so wie die das in den Mails schreiben. Eine Mail hast Du per default eigentlich, da da Deine Rechnungen hingehen. Ich lasse diese jetzt auf meine reguläre Mail senden und nutze die Telekom EMail gar nicht mehr.

Ergänzung (11. Dezember 2023)

Es ist nicht Aufgabe der Telekom und für die technisch auch nicht möglich zu sagen, welches Gerät es in deinem Netzwerk ist.

Jein, sehe ich nicht ganz so. Wenn Du so eine Mail an ältere Leute schreibst, wird da gar nichts passieren. Mein Vater hat die angerufen und denen gesagt, was er mit diesem Mist jetzt anfangen soll und die doch bitte präzise werden sollen. Dann hat er den Brief zerrissen und weggeworfen - passiert ist nichts. Das war vor zwei Jahren.
Ich selbst bin damals aufs Abuse Team zugegangen und da kommt nur Larifari zurück. Auf Auflistung aller gemachten Maßnahmen (Virenscans, BIOS Updates, Secure Boot und weiss der Kuckuck - was ich sowieso per Default immer mache und auch gemacht habe), kommen keine präzisen Antworten zurück. Erst als ich sie auf den Mailzugang gestoßen habe, kam ein "Ach ja... da war ja noch was" zurück.
Dann hatte ich auch mal eine Tante dran, die meinte, dass ihr externes Sicherheitsteam bzw. einer dessen Provider "da was gefunden hat" (Ja was denn???) und man gefälligst mehrere, kostenpflichtige Virenscanner zu nutzen hat. Auf weiteres Diskutieren, ist es dann in Streit eskaliert und die Dame hat aufgelegt. Sorry, aber so einen Tünnef nehme ich nicht ernst. Wenn ich da den Themen nachgehe, dann brauche ich auch Informationen.
BTW: Ich bin selbst in der Automobilindustrie für ein Produktionssystem weltweit zuständig, IT Sec Themen sind gang und gebe unseres täglichen Doings. Aber wenn ich von solchen "Sec Abteilungen", die zT nur Listenpflege Ingenieure beschäftigen, eine unscharfe Meldung bekomme, dann schmettere ich die ohne Zögern zurück. Die haben präzise ihre Monitoring Ergebnisse uns mitzuteilen, ansonsten macht man dann nur alles auf Verdacht und Vermutung, löscht dann noch an falscher Stelle und produziert ggf. noch einen Produktionsstillstand.

 

[Nero FX]

Hier geht es nicht um einen T-Online Account.

1. Würde dann nicht die Telekom sich melden da T-Online seite Jahren nicht mehr zur Telekom gehört
2. Es wird ganz klar von Internetanschluss und IP Adresse gesprochen

In deinem Netzwerk ist ein Gerät vorhanden das auf Anweisung SPAM und Virenmails versendet.
Dann hat nichts mit deiner eMail Adresse/deinem Thunderbird zu tun.

Du bist verpflichtet dem Nachzugehen da du für Schäden die durch deinen Anschluss entstehen verantwortlich bist. Morgen sind es dann ggf. keine SPAM Mails mehr sondern Kinderpornografisches Material und dann bekommst du Besuch von der Polizei und co.

Wenn du nicht weiß was es ist WLAN Name/Kennwort ändern und dann nur Stück für Stück nach einer Überprüfung wieder ins Netz lassen. Es kann Alles betroffen sein auch Streaming-Boxen, Smartphones etc.

 

[M-X]

Sorry, so ein Tünnef nehme ich nicht ernst.

Ziemliche krasse Erwartungshaltung. Die Telekom verantwortet Millionen an Anschlüssen da ist eine Einzelbeatmung mit detalierte Loganalyse einfach garnicht machbar. Die Kosten für sowas überstiegen um Welten das was mit deiner Anschluss Gebühr rein geholt wird. Als jemand der mit "IT Sec" zu tun hat wirst du auch wissen das dort viel automatisch abläuft, es kann auch sein das Externe gemeldet haben das deine IP ihre System vollspammt oder angreift, da hat die Telekom ggf. gar keine detaillierten Logs. Kannst froh sein das sie dir den Anschluss nicht einfach dicht machen.

Zum Thema:
Ich denke auch das hier ein Gerät in deinem Netzwerk unfung treibt und as nichts mit deiner Telekom Email zu tun hat.

 

[BorstiNumberOne]

@M-X: Nein, keine krasse Erwartungshaltung, sondern ganz normaler Selbstschutz. Ich kann nicht a la "Seht her, ich habe Feuer gemacht!!!" eine Meldung rauspusten und hoffen, dass es von anderen angenommen und gelöst wird. Was soll man denn mit dem Marketinggeschwätz "Unser Super Mega Sicherheitsteam, dessen super guter Provider, hat da WAS gefunden" anfangen?!? Und ja, die können schon die Logs vorhalten, die betreiben ihr Netz und sollten Lösungen für Probleme bzw. Dinge bereitstellen, welche deren Ursachenanalyse hilfreich machen würden. Und ja, ich weiß, dass da viel automatisch aufläuft und ja, der jeweilige Monitor wird mit Sicherheit ein Ergebnis aufzeigen können, denn er wurde ja auch einer entsprechenden Metrik auf eine entsprechende Überwachungsvariable eingerichtet.
Der TE kann jetzt damit anfangen, sein gesamtes Netzwerk und seinen Rechner zu zerlegen oder sich erstmal mit der Mailadresse befassen. Die Sache "mit dem Anschluss" steht immer in diesen Mails/Briefen vom Abuse Team drin, im Klartext dann später von der Mailadresse. Bei mir war das Spam Zeug ja auch alles in der Mailbox bei der Telekom. Deshalb diese auf jeden Fall auch ändern und mit einem neuen Passwort versehen... neben den natürlichen Sachen am Rechner und im Netzwerk (FW Updates, Ports sperren, BIOS Update, Sec Boot einrichten, Virenscanner im Offline Mode durchlaufen lassen und weiß der Kuckuck).

Ergänzung (11. Dezember 2023)

Du bist verpflichtet dem Nachzugehen da du für Schäden die durch deinen Anschluss entstehen verantwortlich bist. Morgen sind es dann ggf. keine SPAM Mails mehr sondern Kinderpornografisches Material und dann bekommst du Besuch von der Polizei und co.

Dieses lehrerhafte Blabla bringt doch dem TE nichts. Fakt ist, er wird keine Info von der Telekom bekommen, wo denn der Hase im Pfeffer liegt und die braucht er aber. Und selbst wenn er sich kümmert, dann hat er keine Gewissheit, dass seine Maßnahmen von Erfolg gekrönt sind. Er kann zwar danach gern nochmal an abuse@telekom.de schreiben, aber da wird nur blablup blablup zurückommen, genau wie in den Mails zuvor an ihn.

Edit: BTW hat ein Freund von mir mal wirklich eine Malware bei sich draufgehabt, die Spammails wirklich über den Anschluss versendet. Da kam dann aber ein Brief vom BSI mit exakten Details über Anschluss, IPs und auch dem Gerät, dass die Ursache ist. Und da war der Root Cause und die Beseitung an der Stelle auch zielgerichtet möglich.

 

[M-X]

Er hat doch Datum und was passiert ist: "Email Versand","Datum xy". Mehr kann dir die Telekom auch nicht sagen weil sie nicht in dein lokales Netz schauen wollen und können, sie wissen daher nicht WELCHES deiner Geräte das Problem verursacht.

 

[BorstiNumberOne]

Dann erst recht den Mailzugang im Telekom Portal zuerst überprüfen, da waren bei mir damals die hunderten Spammails zu finden.. Wie gesagt, alles andere ist nur Try & Error ohne jeglichen Wirksamkeitsnachweis. Wie ich noch editierte hatte:

BTW hat ein Freund von mir mal wirklich eine Malware bei sich draufgehabt, die Spammails wirklich über den Anschluss versendet. Da kam dann aber ein Brief vom BSI mit exakten Details über Anschluss, IPs und auch dem Gerät, dass die Ursache ist. Und da war der Root Cause und die Beseitung an der Stelle auch zielgerichtet möglich.

 

[M-X]

Da kam dann aber ein Brief vom BSI mit exakten Details über Anschluss

Wann war das ? 2001 ? Wenn das BSI heute Briefe für jeden Anschluss mit Malware schickt dann haben die aber viel zu tun. Das war dann wohl ein Sonderfall weil ggf ein Verfahren gelaufen ist oder es ist ewig her. Heute schickt da keiner Briefe, das ist bei der schieren Anzahl an verseuchten Kisten nicht leistbar.

 

[BorstiNumberOne]

Wann war das ? 2001 ?

Nein so 2016-18 rum. Nicht sooo lange her. Den Rechner hat er noch, ist ein i5 4th Gen, der Rechner wurde so 2014-15 rum gebaut. Bei so einem Fall war es an der Stelle schon leistbar.

 

[Bob.Dig]

1. Würde dann nicht die Telekom sich melden da T-Online seite Jahren nicht mehr zur Telekom gehört

E-Mail über t-online wird leider nach wie vor von der Telekom betrieben. Nur die Website (Portal) mit News, Werbung usw. betreibt wer anders.

 

[smashcb]

Wenn ich mich jetzt bei meinem Telekomaccount einlogge und dort auf "Emailcenter" klicke, dann fragt er mich nach einer "Wunschemailadresse@t-online.de"

ergo hab ich eigentlich garkeine ? Obwohl mir im Kopf rumschwirrt, dass man automatisch eine hat? kundennummer@t-online.de oder so ?

Bissel mehr Infos wären natürlich ein Traum. Inhalt der Spammail bspw oder Absender usw.

Die werden die Infos auch nicht haben, sondern nur Rückmeldung von anderen Providern wie web.de etc bekommen, mit empfindlicheren Spamfiltern.

 

[BorstiNumberOne]

Probier doch mal bitte, ob Vorname.Nachmame@t-online.de bei Passwort zurücksetzen funktioniert. Bei mir war die EMail damals noch per Default dabei und an diese gingen auch meine Rechnungen, bis ich es manuell geändert habe. Verwendest Du noch andere EMails Clients oder Portale? Schau mal bitte bei jeder dieser in die gesendeten Nachrichten rein, ob da massenweise Spam zu finden ist. So war es bei mir und auch bei meinem Vater bzw. auch meinem Kollegen, nur halt im Telekomportal. Thunderbird und andere Clients, die alle möglichen Mails auf den Rechner laden, hattest Du auch nicht oder? Und welche Komponenten hast Du im Netzwerk bzw. über welchen Router gehst Du ins Netz? Denkbar wäre noch irgendein IoT Device, der zu einem Botnetz gehört.
Rechner hast Du aktuell bzgl. Win Updates gehalten? Und auch das BIOS plus SecBoot?