Server geknackt - Rechner Infiziert?

guppy

Kotz gerade wieder mal richtig ab,

Ich bekomme regelmäßig solche mails, wo "meinedomain" steht richtiog auch meine domain. Sieht einer von den Wissenden, ob das automatisch über den Server oder über meinen Rechner gesendet wird? Oder miß braucht da wieder irgend

Code

Hi. This is the qmail-send program at lvps83-169-44-133.dedicated.hosteurope.de.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.


<meinedomain@t-online.de>:
194.25.134.8 failed after I sent the message.
Remote host said: 550-5.7.0 Message considered as spam or virus, rejected
550-5.7.0 Your IP: 83.169.44.133
550-5.7.0 Mailhost: mailin51.aul.t-online.de
550-5.7.0 Timestamp: 2016-01-29T16:34:53Z
550-5.7.0 Expurgate-ID: 149288::1454085293-000016BF-9795EA21/4935265151-0/0-3
550-5.7.0 Authenticator: 94E87E88A2AEC4805455814C030FAC6B783DE8C5C05E145E0715183A83E603D2DEF736AF
550-5.7.0
550-5.7.0 Your message has been rejected due to spam or virus classification.
550-5.7.0 If you feel this is inapplicable, please report the above error codes
550-5.7.0 back to FPR@RX.T-ONLINE.DE to help us fix possible misclassification.
550-5.7.0 We apologize for any inconvenience and thank you for your assistance!
550-5.7.0
550-5.7.0 Die Annahme Ihrer Nachricht wurde abgelehnt, da sie als Spam oder
550-5.7.0 Virus eingestuft wurde. Sollten Sie dies als unzutreffend ansehen,
550-5.7.0 senden Sie bitte obige Fehlercodes an FPR@RX.T-ONLINE.DE, damit wir
550-5.7.0 die Klassifizierung untersuchen koennen. Wir entschuldigen uns fuer
550 5.7.0 etwaige Unannehmlichkeiten und bedanken uns fÃŒr Ihre Unterstuetzung!


--- Below this line is a copy of the message.


Return-Path: <kopierer@meinedomain.de>
Received: (qmail 21685 invoked by uid 110); 29 Jan 2016 17:34:53 +0100
Delivered-To: meinedomain.de-chatfinanz@meinedomain.de
Received: (qmail 21681 invoked from network); 29 Jan 2016 17:34:52 +0100
Received: from 200-171-40-232.dsl.telesp.net.br (200.171.40.232)
  by n92-51-172-137.cnet.hosteurope.de with SMTP; 29 Jan 2016 17:34:50 +0100
Date: Fri, 29 Jan 2016 14:34:47 -0200
From: Kopierer@meinedomain.de
Subject: +49 22329499921
To: chatfinanz@meinedomain.de
Message-Id: <20160129171781704)db950.KOPIERER@meinedomain.de>
Mime-Version: 1.0
Content-Type: multipart/mixed;
    boundary="boundary Fri, 29 Jan 2016 14:34:47 -0200 boundary"
Content-Transfer-Encoding: 8bit


--boundary Fri, 29 Jan 2016 14:34:47 -0200 boundary
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: base64


LS0tLS0tLS0tLS0tLS0tLS0tLQ0KQ0RDIDE3MjVfRENDIDI3MjUNClswMDpjMDpl
ZTo3YTo3Zjo1MV0NCi0tLS0tLS0tLS0tLS0tLS0tLS0N
Cg==


--boundary Fri, 29 Jan 2016 14:34:47 -0200 boundary
Content-Type: application/vnd.ms-word;
    name="Fax+49 2232949992120160128232732.doc"
Content-Disposition: attachment;
    filename="Fax+49 2232949992120160128232732.doc"
Content-Transfer-Encoding: base64

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Alles anzeigen

Oder missbraucht da jemand "nur" meine emailadresse?

Synonym

Also irgendwie steige ich da noch nicht durch. Würde zwar denken, dass da nur einer Deine Adresse nutzt, aber wie gesagt, nicht wirklich erkennbar.

Da sind die Adressen leider zu sehr unkenntlich gemacht und auch noch unterschiedlich. Im Header stehen jetzt ja 5 verschiedene. Und bei der "chatfi....", war die so, also fehlte der Buchstabe am Anfang?

In welcher Verbindung stehen bei Dir denn die Adressen von t-online und die von @domain ?

Wie war denn der Betreff der Nachricht?

Der Code da oben, ist das der Originalcode der eingehenden Mail selbst oder stand der als Text in der Mail?

Welche Adresse hat die Mail empfangen?

guppy

Zitat von Synonym

Wem sagst Du das

[QUOTE]
Da sind die Adressen leider zu sehr unkenntlich gemacht und auch noch unterschiedlich. Im Header stehen jetzt ja 5 verschiedene. Und bei der "chatfi....", war die so, also fehlte der Buchstabe am Anfang?

Ich schick mal die komplette Nachricht per pn.

Das to: und das received wechselt häufig.

guppy

Achso ankommen tun die mails auf domain@t-online.de, hat eigentlich nichts mit der domain selber zu tun. Aber Servermeldungen gehen auf domain@t-online.de

guppy

scheint sich auch erledigt zu haben, jedenfalls kommt derzeit nichtsw mehr an, vorher alle 3 min.

Synonym

Hm, also ich würde sagen da nutzt einer Deine Adresse, aber das noch nicht mal in echt, sondern eher dafür, dass Du die Bounce bekommst. Hatte ich am 7.12.15 bei einer Domäne auch, da wurde ich mit Mails fast erschlagen.

Der Einlieferer ist ja von "from host?bb.wishnetkolkata.com". Wenn das nicht Deine IP ist, dann sollte es keine Probleme geben: 223.223.131.xxx Von dort kommt die Mail, wird direkt bei HE eingereicht als Dich als Empfänger und Sender zugleich. Und empfangen hat Du ja nicht die Mail an sich, sondern den Bounce von T-Online.

guppy

thx, bin ich ja beruhigt.

Synonym

Passt nun nur teilweise dazu. Aber die Mailanbieter, darunter gmx und web scheinen ihre Mailserver aktuell umzustellen, um die Spamflut einzudämmen. Wenn ich die Mail von Strato richtig verstehe, legen die nun mehr Wert auf die DNS-Auflösung und der Versand von IP direkt oder Hostnamen wie h123456.stratoserver.net soll nicht mehr möglich sein.

Kann also gut sein, dass die das genau deswegen machen. Im Grunde hat der Spam seit ca. 3 Monaten ja wieder extrem zugenommen. Fraglich nur, was dann mit den Mail passiert. Einfach entfernen oder kommt dann auch ein Bounce ....

chris21

Also erstmal: das ist wieder mal einfaches Adressspoofing, immer als angeblicher Absender &amp;amp;amp;amp;amp;quot;kopierer@{deinedomain.tld&amp;amp;amp;amp;amp;quot;} und wird zum Versand von Viren verwendet (daher viel wichtiger: Angebliches Fax/Scan .doc/.zip/etc-Dokument/Archiv etc. nicht öffnen, falls doch mal eine durchflutscht). Es ziehlt auf jene Unternehmen ab, die im internen Netzwerk einen Kopierer stehen haben und dessen Scans/Faxe etc. intern per Mail weiterleiten. Da t-online.de die nun als Spam klassifiziert und daher an den Absender schickt, landen sie wieder bei Dir, weil Du die bounces wiederum auf deine domain@t-online weiterleitest.

Das GMX und Co. da gerade gegegnsteuern ist nur zu begrüßen, weil das Adressspoofing gerade wieder extrem zunimmt.

Synonym

ach Mist, jetzt wo Du das schreibst [USER="96"]chris21[/USER] , da ergibt sich mir auch der Sinn von "kopierer" Hatte das die ganze Zeit als Kopierer im Sinne von "Adressenkopierer" aufgefasst ... Klar, so macht die Adresse auch Sinn.

Wegen GMX und Co. bin ich echt mal gespannt. Strato sendet sicherlich nicht aus Witz eine Warnung an alle Kunden, dass die ihren Reverse-DNS ändern sollen. Die Mail kam am 26.1.

guppy

Jetzt kommt dieser Dreck von einem türkischen Server - zum kotzen - alle 2 min eine.

Alex07

hast du nen Server? Check mal deine Mailq!
Nicht das da ein PHP Script im Hintergrund läuft...

Ansonsten bitte einfach mal per FTP drauf gehen und nach verdächtigen Sachen suchen...

guppy

Normalerweise neige ich nicht zur Gewalt, aber wenn ich die Drecksäcke identifizieren könnte, würde ich ein Schein locker machen, dass denen jemand die Finger bricht. Scheint ein ganzes Netz zu sein, habe 2 abuse@server.tdl angeschrieben, die haben die entsprechenden Seiten gesperrt, jetzt kommt der Mist aus Kolumbien, Giechenland, Türkei. Immer so 15 oder 20 von einer IP, dann die nächste. Und als return immer irendwasanderes@meinedomain.tdl

Alex07

Kannste gerne hier melden:
https://beispiel.rocks/spam-email.org

Ist meine, allerdings noch im Aufbau. Weiss noch nicht wie ich "Prangern" dulde. Auch ist es technisch noch nicht 100% fertig.

Benutzer online in diesem Thema