Mißbrauch von Emailadressen

Hallo Hildegard,

auf die Schnelle ein paar Ansätze:
* Die Mails liegen auf dem Server im Postausgang und werden versucht zu versenden?
* Wie konnten diese Mails generiert werden?
* Prüft dein Postausgangs-Server ob die E-Mail von deinem System stammt?

..das sieht nach einem gehäkelten Server aus.

First Aid:
* Postausgang bzw. das senden komplett unterbinden (dienst abschalten)
* Das generieren neuer E-Mails unterdrücken(sendmail für php nicht erreichbar machen).
* In den Logfiles schauen, ob ein Client eine ungewöhnliche Datei auf deinem Server aufruft. (gerne sind es index.php files in nem Bilderordner).

Hallo Roman,

danke für Deine schnelle Antwort. Möglicherweise habe ich mich falsch ausgedrückt.

romacron schrieb:

* Die Mails liegen auf dem Server im Postausgang und werden versucht zu versenden?
* Wie konnten diese Mails generiert werden?
* Prüft dein Postausgangs-Server ob die E-Mail von deinem System stammt?

Nein, die Mails liegen nicht bei uns bzw. bei unserem Hoster auf dem Server; dort ist alles sauber. Unser Hoster ist eh ein Sicherheitsfreak und das bisher glücklicherweise immer erfolgreich.

Ich vermute, es wurde z.B. mit php und mail() o.ä. gearbeitet. Dort kann man ja mit Leichtigkeit einen beliebigen Absender eintragen.

Nur der Neugier halber: was ist denn ein "gehäkelter" Server?

Gruß
Hildegard

Hallo Hildegard,

gehäkelt= mit zarter Hand etwas extra-quellcode in die Seite eingewoben

Mit Vermutungen ist man schnell im Bereich der Spekulationen...
Sicherheitsüberprüfungen werden in der Regel mit "das kann ich zu x% ausschließen weil"... durchgeführt.

Ein Blick in die E-Mail-Header könnte Aufschluss geben ob diese E-Mails von deinem System kamen.
Falls sie nicht von deinem System kamen, warum wurden diese als valide "Return-Mails" auf deinem Server angenommen.

Viele Grüße

Hallo Roman,

romacron schrieb:

gehäkelt= mit zarter Hand etwas extra-quellcode in die Seite eingewoben

danke! (Ich war schon immer ein Handarbeitsfan… )

romacron schrieb:

Ein Blick in die E-Mail-Header könnte Aufschluss geben ob diese E-Mails von deinem System kamen.
Falls sie nicht von deinem System kamen, warum wurden diese als valide "Return-Mails" auf deinem Server angenommen.

Im Header stehen fremde IPs, u.a. die aus Lima. Ich habe eine an unseren Hoster weitergeleitet und hoffe/vermute, er wird sich zeitnah melden. Deine Frage, warum er sie als valide Return-Mails annimmt, werde ich gleich noch weitergeben.

Danke für Deine wie immer guten Tips!!

Guten Rutsch + Gruß
Hildegard

Vielen Dank und wünsche ich ebenso.

Das Airgebnis von dem merkwürdigen Verhalten interessiert mich.. Vielleicht
könntest du abschließend einen Text "daran lags" schreiben.

)

Hallo zusammen,

leider geht es weiter; heute hatte ich wieder ein paar hundert Retouren, die nicht von mir stammen.

Zum Emailadressenmißbrauch gibt es einen Artikel des Bundesamtes für Sicherheit in der Informationstechnik:

www.bsi-fuer-buerger.de/BSIFB/DE/GefahrenImNetz/GefaelschteAbsenderadressen/gefaelschteabsenderadressen_node.html

Gleiche Info bietet antispam-ev: www.antispam-ev.de/wiki/Meine_Emailadresse_wurde_als_Absender_missbraucht

Hallo zusammen,

für alle, die auf dem Laufenden bleiben wollen: Es waren mehr als 2000 "Retouren" heute, die meisten mit dem Vermerk "message has been blocked" oder "Connected to xxxxx but sender was rejected. Remote host said: 550 mail not accepted from blacklisted IP address [xxxxx].

Anscheinend hat der Versender es inzwischen geschafft, mit einer seiner IPs auf einer Blacklist zu landen, sodaß der ganze Krempel unmittelbar zu mir als vermeintlichem Absender "zurück"-geschickt wird.

Als Interimslösung habe ich die Absenderadresse für die Retouren auf die Email-Blacklist gesetzt. Jetzt ist erst mal Ruhe – wohin die ganzen Emails dann wohl gehen?

Gruß
winelady