mails werden von eigenem Account ohne eigenes zutun verschickt (Spam)

Question

Hi Hi,

vorhin bekam ich eine ominöse Mail von meinem Nachbarn die er definitiv nicht selber versandt hat. Kurz später rief er mich an und meinte ich soll ihm ein paar Fragen beantworten.

Fazit: es werden von seinem Account massenhaft Spammails verschickt (aus dem eigenen Adressbuch). Er benutz zwei iOS devices und einen Windows 7 PC. Ein Mail Client ist auf dem Win7 PC nicht installiert. Die Mails werden via "webmail" bearbeitet/abgerufen.

Auf anderen Rechnern kann er sich in seinem Mailaccount einloggen. Das ändern des Passworts funktioniert jedoch nicht.
(Wenn jemand den Account übernommen hätte, hätte der jenige bestimmt das PW geändert)

Wie bitte kann so etwas geschehen? Imho kann das Problem doch nur beim Mailanbieter liegen.

Für Antworten immer zu haben bin.

Penorek

Answer 1

Was steht in dieser Email? Hat sie einen Anhang?
Warum kann das Passwort nicht geändert werden? Meldung?

Auf anderen Rechnern kann er sich in seinem Mailaccount einloggen

Aber mit seinem eigenen PC nicht? Warum? Kommen Meldungen?

Ein Mail Client ist auf dem Win7 PC nicht installiert.

Die Malware von Welt bringt sowas selber mit.

(Wenn jemand den Account übernommen hätte, hätte der jenige bestimmt das PW geändert)

Jemand der Spam verschickt hat kein Interesse einen Account zu übernehmen. Der möchte die IP des Opfers. Und er will möglichst lange unbemerkt bleiben.
Das verschicken von Mails an Adressen aus dem Adressbuch des Opfers ist eigentlich eine Domäne von Viren.

Answer 2

Hi,

kein Anhang. Header kann ich unter iOS nicht auslesen.

Beim PW ändern kommt keine Meldung. Browser rödelt .. nichts passiert.

Jemand der Spam verschickt hat kein Interesse einen Account zu übernehmen. Der möchte die IP des Opfers. Und er will möglichst lange unbemerkt bleiben.

Was hat die IP damit zu tun?

Danke für die Antwort. Der Rest ist Quatsch,



Penorek

Answer 3

Auch von meinem Account wurden mal Spam Mails versandt, bis ich irgendwann gesperrt wurde. - Mein Passwort wurde von dem oder den Tätern nicht geändert.

Ich habe beim Support angerufen und man wies mich an das Passwort zu ändern. Hat bei mir geklappt.

Probiert mal das Passwort mit einem anderen Browser zu ändern.
Wenn nichts hilft beim Support anrufen oder per Mail kontaktieren.

Answer 4

Hallo,

bevor über gekaperte Accounts gemutmasst wird, sollte man so eine Email unbedingt genauer ansehehen und sich erst mal den gesamten Rohtext anzeigen lassen, denn im Mailheader ist idR. zu sehen über welchen Mailserver versandt wurde.

Wenn der Versendesever (Relay, SMTP) aus einem anderen Netz kommt, wurde der Account mitnichten gekapert ...aber die Adresse als Absender missbraucht ...das erlauben viele Mailserver weltweit.

Und Provider schützen sich idR. (die "Bösen" eben nicht!) gegen SMTP-Missbrauch über diverse Filter, z.B. Anzahl der gesendeten Emails pro Minute oder Anzahl der Empfänger pro Sendevorgang, Anzahl der MX-Anfragen (Trojaner auf SMTP-Serversuche) was der Anbieter natürlich nicht kann, wenn der Emailversand bei einem anderen Provider stattfindet. Nur der eigene Kd. lässt sich dann bei Regelverstoss über IP zuordnen und sperren, was aktuell alle seriösen Provider praktizieren!

Wenn der Webmailer keine Rohtextanzeige erlaubt, leite die Email dahin weiter, wo Du die Mail mit einem Mailprogramm empfangen kannst. Ich sehe sonst keinen Sinn in weiterer Diskussion, wenn das nicht geklärt wird ...also wer tatsächlich der Versendeserver war.

mfg Ralf

Answer 5

Hallo Ralf,

thx für die Antwort. Wird jemand aus diesem Quelltext schlau? Heute Vormittag bekam ich von einem Kunden (selber Anbieter) auch eine Spammail. Es scheint das der Provider ein paar Probleme hat.




From - Fri Mar 29 17:15:00 2013
X-Account-Key: account1
X-UIDL: 0001646845b727c7
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <romanxxxeiber@aol.com>
X-Original-To: xxx@wg15.de
Delivered-To: m0f1290@dd20518.kasserver.com
X-policyd-weight: NOT_IN_SPAMCOP=-1.5 IN_BARRACUDA=3.25 NOT_IN_IX_MANITU=-1.5 CL_IP_EQ_HELO_IP=-2 (check from: .aol. - helo: .oms-md03.mx.aol. - helo-domain: .aol.) FROM/MX_MATCHES_HELO(DOMAIN)=-2; rate: -3.75
Received: from oms-md03.mx.aol.com (oms-md03.mx.aol.com [64.12.81.148]) by dx20518.kasserver.com (Postfix) with ESMTP id 2CFD91A6FF for <xxx@wg15.de>; Fri, 29 Mar 2013 15:03:15 +0100 (CET)
Received: from mtaomg-db06.r1000.mx.aol.com (mtaomg-db06.r1000.mx.aol.com [172.29.51.204]) by oms-md03.mx.aol.com (AOL Outbound OMS Interface) with ESMTP id 75F4D38000B9B; Fri, 29 Mar 2013 10:03:14 -0400 (EDT)
Received: from core-mpe001a.r1000.mail.aol.com (core-mpe001.r1000.mail.aol.com [172.29.169.129]) by mtaomg-db06.r1000.mx.aol.com (OMAG/Core Interface) with ESMTP id 288C5E000081; Fri, 29 Mar 2013 10:03:14 -0400 (EDT)
To: <xxx19901@hotmail.com>,
<xxxhausdd@yahoo.de>,
<xxxdienst@resorthoppa.com>,
<xxx@xg15.de>,
<xxx@xeb.de>,
<xxx@xecker-immobilien-gmbh.de>,
<sven@xosmopolitan-club-berlin.de>,
<xxx@xotmail.de>,
<xxx@xelphinimperial.com>
Content-Transfer-Encoding: quoted-printable
Subject: [!! SPAM]
X-MB-Message-Source: WebUI
X-MB-Message-Type: User
MIME-Version: 1.0
From: "romano" <romanxxxreiber@aol.com>
Content-Type: text/plain;
charset="us-ascii"
X-Mailer: AOL Webmail 37605-MOBILE
Received: from 37.112.204.175 by webmail-d288.sysops.aol.com (205.188.93.234) with HTTP (WebMailUI); Fri, 29 Mar 2013 10:03:13 -0400
Message-ID: <8CFFA9D49D10D1F-FE0-2CEF6@webmail-d288.sysops.aol.com>
X-Originating-IP: [37.112.204.175]
Date: Fri, 29 Mar 2013 10:03:14 -0400 (EDT)
x-aol-global-disposition: S
X-SPAM-FLAG: YES
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mx.aol.com;s=20121107; t=1364565794;bh=JRknLZtJVM4gXrmINo6Pmz+DNHhQdnvv2TkihPLf2R4=;h=From:To:Subject:Message-Id:Date:MIME-Version:Content-Type;b=D6dkfNSXrzRUYpf1PZjUHAMkW5dY/iIh25oIkyPGL4/1AY388e2hSPZGaj2s631Xu zBUOTC6yBUOqxLmW7tidcE9ABitpjP2+m9RQe9NFrPPUghwBTNk5qn5ht/DjIoudYc efKetaz2hNoyE+XWs8RLVF6J9sZJUFBA70muBYV4=
X-AOL-SCOLL-SCORE: 0:2:162915952:93952408
X-AOL-SCOLL-URL_COUNT: 0
X-AOL-REROUTE: YES
x-aol-sid: 3039ac1d33cc51559f221e9c
X-KasLoop: m00f1290
X-Virus-Status: No
X-SpamFlt-Status: Spam
X-KASFlt-Status: Rate: 100
X-KASFlt-Status: {Content: Spam}
X-KASFlt-Status: Method: content [recent terms]
X-KASFlt-Status: Status: spam
X-KASFlt-Status: Lua profiles 44349 [Mar 29 2013]
X-KASFlt-Status: Version: 5.0.1
X-KASFlt-Status: {FROM: real name resembles email}
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
X-KasScanner: clean




Gruß Penorek

Answer 6

X-Mailer: AOL Webmail 37605-MOBILE
Received: from 37.112.204.175 by webmail-d288.sysops.aol.com (205.188.93.234) with HTTP (WebMailUI); Fri, 29 Mar 2013 10:03:13 -0400

WHOIS mit der IP 37.112.204.175 auf RIPE.NET ergab:

inetnum: 37.112.200.0 - 37.112.207.255
netname: ERTH-KRSK-PPPOE-15-NET
descr: CJSC "ER-Telecom Holding" Krasnoyarsk branch
descr: Krasnoyarsk, Russia
descr: PPPoE individual customers
country: RU

IP 37.112.204.175 ist RUSSISCH!

Gesendet wurde per AOL-Webmail, eingeloggt in Russland... Also scheint es doch um gehackte AOL-Zugangsdaten zu gehen. Kennwörter ändern und prüfen wo die Daten ausspioniert sein können ist angesagt. Oder gab es gab keine Spionage und Passwort ist zu unsicher, so dass es mit wenig ausprobieren erraten werden konnte??

viele Ostergrüsse
Ralf

Answer 7

Hallo Ralf,


vielen Dank für deine Mühen. (ich hätte nicht gewußt welche IP ich wo eingebe) Der Nachbar konnte sein Passwort nun ändern (nein es lautet nicht Passwort ;-)


Gruß Penorek