Hilfe Email für Spams mißbraucht

Gnosius · Nov 28, 2015

Ich wende mich an hier an die Cracks, weil mein E-Mail-Provider Strato nicht mehr weiter kommt.
Seit 2 Monaten werden von meinem E-Mail-Account und dem meiner Frau (und mittlerweile auch von dem einiger Freunde) etwa alle 2 Wochen Spam-Mails verschickt, von denen dann etwa 100 mit mail-delivery-failed wieder zurück kommen.
Die Spams gehen an sämtliche Leute & Firmen, an die ich jemals Emails geschickt habe, oder von denen ich welche bekommen habe (z.B. auch Newsletter-Adressen).

Betreff ist immer FWD: new message oder important message und Inhalt
ein Link wie dieser:

New message, please read http://entreprisekiidi.ca/let.php

Ich vermute, dass man sich da noch was einfangen kann, wenn man den Link öffnet.

Die Spammails sind aber nicht im versendet Ordner des Strato-Communicator zu finden (das ist das online E-Mail-Interface, das ich nie nutze). Dort sind aber ansonsten alle Mails zu sehen, die wir von Android-Handies, Windows 7-PC oder Windows 8-Tablet senden und bekommen.

Habe überall Virenscanner laufen lassen, ohne Befund.

Die E-Mail-Passwörter wurden mittlerweile geändert, ohne Erfolg.

Nach Rücksprache mit Strato wurde in den Einstellungen der TXT record SPF auf Standard Strato Mail Server eingestellt, der das Problem beheben sollte. Ohne Erfolg.

Bei der letzten Spam-Welle waren PC und Tablet schon einige Tage offline.
Daher vermute ich, dass die Spams, wenn überhaupt unsere Geräte benutzt werden, von den Android-Handies versendet werden.

Nun frage ich mich folgendes:

1. Hatten die Spammer je mein Passwort oder brauchen die das gar nicht?
2. Wenn ja, wie kamen Sie dran, bzw. wie an das geänderte Passwort?
3. Warum finden die Virusscanner nichts?
4. Wenn Sie das Passwort nicht benötigten, wie kommen Sie an meine E-Mail-Adressen aus Posteingang/-ausgang?
5. Wieso erscheinen die Spam-Mails nicht in meinem gesendet Ordner?
6. Was kann ich unternehmen, um diese Mails zu unterbinden?

Ein längerfristiges Deaktivieren der E-Mail-Adressen kommt nicht in Frage, da sie Vorname@Nachname.de lauten.

Die E-Mail-Adressen sind auch auf unserer Homepage veröffentlich.
Ich frage mich, ob die Spammer dies ausnutzen konnten.

Über Hilfe wäre ich sehr dankbar.

SchwarzeBeere · Nov 29, 2015

Email-Spoofing ist einfach, da bei SMTP die Absenderadresse nicht geprüft wird. Das bedeutet, dass man über ein beliebiges, offenes Mail-Relay mit einer beliebigen Absenderadresse Mails versenden kann. Existiert eine Empfängeradresse nicht, so generieren Empfängerserver meist eine Fehlernachricht an den Sender, wie z.B. hier beschrieben.

Was kann man dagegen machen? Meines Wissens nach wenig bis nichts. Als Empfängerserver kann man natürlich prüfen, ob sich das Mailrelay, über das Email kam, auf einer Blackliste befindet, z.B. hier, und die Mail ggf. auch ohne Bounce Nachricht abweisen. Ist das Relay nicht auf einer Blacklist, dann könnte man es entweder bei einer oder mehrer melden, wenn du an die Header der originalen Nachricht kommst, oder direkt den Serveradmin anschreiben (mögliche Relays findest du z.B. hier). Eventuell bietet Strato ja auch ein Spam-Gateway an, das Nachrichten mit bestimmten Inhalten, z.B. NDNs mit bestimmten Inhalten wie dem o.g. Link, blockieren kann. Oder du konfigurierst das selbst in deinem Email-Client.

Wie sie an die Adressen gekommen sind, das kann ich dir auch nicht sagen. Dass die Virenscanner nichts finden, sagt leider nichts aus. Auch die in der Mail genannte Website enthält malicious content, der nicht von jedem Scanner als solcher erkannt wird, siehe hier und hier. Es hilft also nur noch eine Neuinstallation aller Systeme, um wirklich sicher zu gehen.

Gnosius · Nov 29, 2015

Danke für die zügige Antwort.

Ich habe mal eine zurück gekommene Mail kopiert:

This is the mail system at host smtp311.phy.lolipop.jp.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.
The mail system

<-removed-@t-online.de>: delivery temporarily suspended: host
mx02.t-online.de[194.25.134.9] refused to talk to me: 554 IP=210.157.22.79
- A problem occurred. (Ask your postmaster for help or to contact
-removed-@rx.t-online.de to clarify.) (BL)

Müsste ich also host smtp311.phy.lolipop.jp. sperren lassen?

Wenn das geht, bedeutet das, das alle meine E-Mail-Kontakte keine Spams mehr bekommen oder nur, dass dann keine undelivered Mail mein Postfach zumüllt?

SchwarzeBeere · Nov 29, 2015

Gnosius hat gesagt.:
<-removed-@t-online.de>: delivery temporarily suspended: host
mx02.t-online.de[194.25.134.9] refused to talk to me: 554 IP=210.157.22.79
- A problem occurred. (Ask your postmaster for help or to contact
-removed-@rx.t-online.de to clarify.) (BL)

Die IP ist bereits auf einigen Blacklisten eingetragen, siehe hier. Nach einem offenen Relay sieht es aktuell allerdings nicht aus. Jedoch wurde die ursprüngliche Nachricht von T-Online bereits geblockt ("..t-online...refused to talk to me.."), weswegen das Mailrelay eine Delivery-Failed-Nachricht an dich gesendet hat. Wenn du bei Strato den Host meldest und Strato ihn direkt sperrt, so würdest du zumindest die Delivery-Failed-Nachrichten von diesem Relay unterbinden können. Mails, die an deine Kollegen über dieses Relay gesendet werden, wie z.B. an die in der Meldung genannte Empfängeradresse, die werden dann blockiert, wenn deren Email-Provider ebenfalls über das gefährliche Relay in Kenntnis gesetzt wird.

Gnosius · Nov 29, 2015

Vielen Dank,

ich gebe Deine Antwort mal an Strato weiter. Vielleicht können die ja die IP sperren.

Ich weiß nicht, ob es was bringen könnte, meine E-Mail mal temporär für ein paar Tage zu deaktivieren.

Wenn dann wieder Spammails verschickt werden, würden die ja nicht durchgehen. Die Frage ist, ob das der Versender dann erkennt und meine E-Mail löscht.

SchwarzeBeere · Nov 29, 2015

Gnosius hat gesagt.:
Ich weiß nicht, ob es was bringen könnte, meine E-Mail mal temporär für ein paar Tage zu deaktivieren.

Um dein Konto geht es nicht. Die Daten, die dort gespeichert sind, sind wahrscheinlich eh schon kompromittiert, daher konnte der Sender auch Spam an die Empfänger aus deinem Adressbuch senden. Und daher auch die Empfehlung, deine Systeme neu aufzusetzen oder ein Backup einzuspielen.

Die Spam-Emails werden nicht über dein Konto versendet, sondern über offene oder gehackte Mail-Relays. Ob dein Konto aktiviert, deaktiviert oder nicht existent ist, das ist dem Spam-Sender egal und der Empfänger kann das nicht prüfen. Du kannst also bis auf die Meldung an Strato oder eine Warnung an deine Kollegen nichts weiter machen.

Da du nur einer von Millionen bist, wird der Sender sich auch nicht die Arbeit machen und sie löschen, falls du sie durch eine neue ersetzen wirst. Hier hilft also nur sperren, warnen und warten, bis der Spamer durch die Strafverfolgung gefangen wird oder aus anderen Gründen das Interesse an seiner Datensammlung verliert.

Gnosius · Nov 29, 2015

Okay, dann ist das wohl dumm gelaufen, wenn man da nichts weiter machen kann.

Chromatin · Nov 30, 2015

Die Spam-Emails werden nicht über dein Konto versendet, sondern über offene oder gehackte Mail-Relays.

Mail-Bots liefern direkt an Mailserver aus. Man braucht keine Mail-Relays.
Beim direkten einliefern werden dann idR. randomisiert irgendwelche (echten) Absenderadressen verwendet. Die Checks auf "dynamic IPs" werden noch nicht von allen Mailservern durchgeführt.

Okay, dann ist das wohl dumm gelaufen, wenn man da nichts weiter machen kann.

Richtig. Diese Art "Welle" geht vorbei. Du kannst aber helfen, indem du entsprechende Foren aufsuchst und die Header postest. Im deutschen Antispam Forum hilft man dir sicher weiter