Important Message Emails

[Bassman]

Hi

Ich erhalte seit einigen Wochen Werbemails von Bekannten, die aber wenn gefragt, nicht von denen sind. Ebenfalls erhalten Leute diese Mails angeblich von mir.

Die Mails haben immer denselben Inhalt mit verschiedenen Werbelinks:

===========================================================

Hey!

Important Message, please visit "......"

==========================================================

Darunter steht als Empfänger immer ein mir Bekannter aus verschiedenen Mailing Lists und sogar von mir selbst!

Im Quelltext steht als "From" und "To" meistens meine email Adresse.

Verschiedene Leute haben sich schon bei mir beschwert, aber ich verschicke keine Werbemails

Hab schon meine Emailpasswörter geändert, es ändert sich nichts. Seltsamerweise hab ich 8 verschiedene Familien Emails unter einem Konto, aber nur eines davon ist betroffen....

Kennt das jemand und weiss vielleicht auch jemand wie man das wieder weg bekommt??

Vielen Dank vorab
Bassman.

 

[areiland]

Da wird wohl jemand die E-Mail Adressen von Dir und Deinen Leuten als Absendeadresse missbrauchen. Der muss aber nur die Adressen in seine Mails eintragen, das kriegt jeder hin der das unbedingt will. Es muss also nichts mit einer Infektion zu tun haben - sondern der Spammer hat einfach nur diese Adressen abgefischt (z.B. aus euerer Mailinglist) und tarnt sich damit, damit keiner nachvollziehen kann von wem diese Mails tatsächlich stammen. Das ist ärgerlich, aber nicht zu verhindern. Also einfach in den Spamfilter stecken, indem ihr nach Betreff oder anderen Gemeinsamkeiten in den Mails filtern lasst.

Natürlich auch die Systeme checken - aber alle Betroffene, denn der Ursprung kann ja trotzdem bei einem von euch liegen. Und uns vielleicht auch mal den Mailheader einer dieser Mails hier posten, damit man sich den mal ansehen kann. Vielleicht findet man ja darüber was über den Verbreitungsweg der Mails.

 

[Bassman]

HI

Es sieht so aus, als stammen die Mails tatsächlich von mir, aber weder im Postausgang noch im Fach Gesendete hab ich was drin!!!

===========================================================================================================
X-Envelope-From: <[email protected]>
X-Envelope-To: <[email protected]>
X-Delivery-Time: 1443106524
X-UID: 60879
Return-Path: <[email protected]>
Authentication-Results: strato.com 1;
	spf=none
		smtp.mailfrom="[email protected]";
	dkim=none;
	domainkeys=none;
	dkim-adsp=none
		header.from="[email protected]"
X-Strato-MessageType: email
X-RZG-CLASS-ID: mi
Received-SPF: none
	client-ip=95.110.242.229;
	helo="dns.gammaufficio.eu";
	envelope-from="[email protected]";
	receiver=smtp.rzone.de;
	identity=mailfrom;
Received: from dns.gammaufficio.eu ([95.110.242.229])
	by smtp.rzone.de (RZmta 37.12 OK)
	with ESMTPS id z0739ar8OEtODGl
	(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (curve secp521r1 with 521 ECDH bits, eq. 15360 bits RSA))
	(Client CN "Parallels Panel", Issuer "Parallels Panel" (verification FAILED - certificate has expired))
	(Client hostname not verified)
	for <[email protected]>;
	Thu, 24 Sep 2015 16:55:24 +0200 (CEST)
Received: (qmail 6466 invoked from network); 24 Sep 2015 16:55:17 +0200
Received: from unknown (HELO WORLDST-UQ3K9Q0) (94.156.164.39)
  by dns.gammaufficio.eu with ESMTPSA (DHE-RSA-AES256-GCM-SHA384 encrypted, authenticated); 24 Sep 2015 16:55:17 +0200
From: William Lindfors <[email protected]>
To: 

[U][B]Diese Adressen hab ich gelöscht, es sind aber Adressen, die ich zum Grossteil nicht zu meinen Kontakten gehören[/B][/U]

Subject: Fw: important
Date: Thu, 24 Sep 2015 16:55:07 +0200
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0001_654C112B.1CB705DC"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdD4WR3k7pxw44s+S8A64bdfAL4faQ==
Content-Language: en-us

This is a multipart message in MIME format.

------=_NextPart_000_0001_654C112B.1CB705DC
=============================================================================================

Sehr seltsam!

Bassman

 

[kerberos]

Da hat wohl jemand deine E-Mailadresse von deiner Webseite abgefischt, und nutzt diese nun anderweitig.
Sieh mal in deinem Outlook nach, was sich sonst noch eingeschlichen hat, bzw. welche E-Mailadressen nicht von dir sind.

 

[ungarnjoker]

[...]
Hab schon meine Emailpasswörter geändert, es ändert sich nichts. Seltsamerweise hab ich 8 verschiedene Familien Emails unter einem Konto, aber nur eines davon ist betroffen....

Da hat jemand Deine Mailadresse abgegriffen und nutzt die nun als Absenderadresse für Spam. Woher das gesendet wird, kann man nur dem Mailheader entnehmen. Den hast Du ja leider etwas verkürzt.

Da hilft oft nur Abwarten. Solche Spams hört nach einiger Zeit von ganz alleine auf. Wenn Du nicht so lange warten willst, könntest Du die betroffene Mailadresse mal für eine Weile aussetzen (löschen und hinterher wieder einrichten) und nebenbei zusätzlich so wie HIER verfahren. Weiterhin könntest Du eine Beschwerdemail an [email protected] senden und ihnen erklären, daß die dort gehostete Site dns.gammaufficio.eu ([95.110.242.229]), bzw. DNS, anscheinen gehacked wurde und darüber nun Spam versendet wird.

 

[Bassman]

Moin

Da hat jemand Deine Mailadresse abgegriffen und nutzt die nun als Absenderadresse für Spam. Woher das gesendet wird, kann man nur dem Mailheader entnehmen. Den hast Du ja leider etwas verkürzt.

Ich hab lediglich die "TO" Adressen gelöscht, die müssen ja nicht ihre Namen hier lesen

Mir erschien der Header auch verkürzt, aber ich weiss nicht wie ich den gesamten einsehen kann. Bei LiveMail gibt's da keine andere Ansicht....
Mit einem Hexeditor vielleicht??

Mal kucken...

Bassman.

HI

Hier mal die komplette .eml

Am Schluss steht was von Microsoft Word und Office, ich hab das bei mir nicht installiert, arbeite mit Libre Office.
Die ganzen TO Adressen kenne ich gar nicht, keine Bekannten, also auch nicht aus meinem Adressbuch!

Kriegt man nicht raus, woher das wirklich kommt?? Das Einzigste ist diese IP Adresse

94.156.164.39

Mit der fang ich aber nichts an....

Oki, hier die EML:

==============================================================================================
X-Envelope-From: <[email protected]>
X-Envelope-To: <[email protected]>
X-Delivery-Time: 1443106524
X-UID: 60879
Return-Path: <[email protected]>
Authentication-Results: strato.com 1;
	spf=none
		smtp.mailfrom="[email protected]";
	dkim=none;
	domainkeys=none;
	dkim-adsp=none
		header.from="[email protected]"
X-Strato-MessageType: email
X-RZG-CLASS-ID: mi
Received-SPF: none
	client-ip=95.110.242.229;
	helo="dns.gammaufficio.eu";
	envelope-from="[email protected]";
	receiver=smtp.rzone.de;
	identity=mailfrom;
Received: from dns.gammaufficio.eu ([95.110.242.229])
	by smtp.rzone.de (RZmta 37.12 OK)
	with ESMTPS id z0739ar8OEtODGl
	(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (curve secp521r1 with 521 ECDH bits, eq. 15360 bits RSA))
	(Client CN "Parallels Panel", Issuer "Parallels Panel" (verification FAILED - certificate has expired))
	(Client hostname not verified)
	for <[email protected]>;
	Thu, 24 Sep 2015 16:55:24 +0200 (CEST)
Received: (qmail 6466 invoked from network); 24 Sep 2015 16:55:17 +0200
Received: from unknown (HELO WORLDST-UQ3K9Q0) (94.156.164.39)
  by dns.gammaufficio.eu with ESMTPSA (DHE-RSA-AES256-GCM-SHA384 encrypted, authenticated); 24 Sep 2015 16:55:17 +0200
From: William Lindfors <[email protected]>
To: 
Subject: Fw: important
Date: Thu, 24 Sep 2015 16:55:07 +0200
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0001_654C112B.1CB705DC"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdD4WR3k7pxw44s+S8A64bdfAL4faQ==
Content-Language: en-us

This is a multipart message in MIME format.

------=_NextPart_000_0001_654C112B.1CB705DC
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: 7bit

Hey!

 

Important message, please visit <http://yqny.net/morning.php?x>

 

William Lindfors


------=_NextPart_000_0001_654C112B.1CB705DC
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

<html xmlns:v=3D"urn:schemas-microsoft-com:vml" xmlns:o=3D"urn:schemas=
-microsoft-com:office:office" xmlns:w=3D"urn:schemas-microsoft-com:off=
ice:word" xmlns:m=3D"http://schemas.microsoft.com/office/2004/12/omml"=
 xmlns=3D"http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV=3D"C=
ontent-Type" CONTENT=3D"text/html; charset=3Dus-ascii"><meta name=3DGe=
nerator content=3D"Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
	{font-family:"Cambria Math";
	panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
	{font-family:Calibri;
	panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
	{margin:0cm;
	margin-bottom:.0001pt;
	font-size:11.0pt;
	font-family:"Calibri",sans-serif;
	mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
	{mso-style-priority:99;
	color:#0563C1;
	text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
	{mso-style-priority:99;
	color:#954F72;
	text-decoration:underline;}
span.EmailStyle17
	{mso-style-type:personal-compose;
	font-family:"Calibri",sans-serif;
	color:windowtext;}
=2EMsoChpDefault
	{mso-style-type:export-only;
	font-family:"Calibri",sans-serif;
	mso-fareast-language:EN-US;}
@page WordSection1
	{size:612.0pt 792.0pt;
	margin:2.0cm 42.5pt 2.0cm 3.0cm;}
div.WordSection1
	{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext=3D"edit" spidmax=3D"1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext=3D"edit">
<o:idmap v:ext=3D"edit" data=3D"1" />
</o:shapelayout></xml><![endif]--></head><body lang=3DEN link=3D"#0563=
C1" vlink=3D"#954F72"><div class=3DWordSection1><p class=3DMsoNormal><=
span lang=3DEN-US>Hey!<o:p></o:p></span></p><p class=3DMsoNormal><span=
 lang=3DEN-US><o:p> </o:p></span></p><p class=3DMsoNormal><span l=
ang=3DEN-US><b>Important message, please visit</b> <a href=3D"http://y=
qny.net/morning.php?x">http://yqny.net/morning.php</a><o:p></o:p></spa=
n></p><p class=3DMsoNormal><span lang=3DEN-US><o:p> </o:p></span>=
</p><p class=3DMsoNormal><span lang=3DEN-US>William Lindfors<o:p></o:p=
></span></p></div></body></html>

------=_NextPart_000_0001_654C112B.1CB705DC--
====================================================================================

Bassman.


P.S. Am 13.09 kamen 15 Mails mit angeblichem Absender Amazon.de, aber im Header wieder ich als Absender, und von mir wurde keine verschickt.

 

[dau0815]

Aber wie schon erwähnt: Meinst grabben die Spammer die Adressen aus dem Internet und dazu gehören auch EMailadressen auf Homepages im Klartext.
Zu Deiner eigenen Sicherheit empfehle ich Dir, die Klartext-Version zu entfernen. Erst Maßnahme wäre das "@" durch einen Text zu ersetzen. Z.B. "(at)" oder "(bei)" und vorne und hinten dran 1, 2 Leerzeichen zu setzen. Noch besser ist es, die Angabe durch eine Grafik zu ersetzen.
Durch diese Maßnahmen wird verhindert, dass Webcrawler die Adresse abfischen können.

 

[ungarnjoker]

HI

Hier mal die komplette .eml

Am Schluss steht was von Microsoft Word und Office, ich hab das bei mir nicht installiert, arbeite mit Libre Office.
Die ganzen TO Adressen kenne ich gar nicht, keine Bekannten, also auch nicht aus meinem Adressbuch!

Logisch, das sind ja auch nur weitere gegrabbte Adressen, die alle den gleichen Spam kriegen.

Kriegt man nicht raus, woher das wirklich kommt?? Das Einzigste ist diese IP Adresse

94.156.164.39

Mit der fang ich aber nichts an....

Eine IP aus Bulgarien. Eines der Länder in Europa, aus denen extrem viel Spam versendet wird.

Oki, hier die EML:

Die Adressen hinter To, From und For usw. solltest Du hier alle nachträglich löschen oder unkenntlich machen, sonst sind sie wieder eine Grabberquelle!

[...]

P.S. Am 13.09 kamen 15 Mails mit angeblichem Absender Amazon.de, aber im Header wieder ich als Absender, und von mir wurde keine verschickt.

Das ist ja das Schlimme. Eine Email-Adresse ist nur die Adresse auf dem Briefumschlag. Die kann jeder fälschen. Es ist so, als würdest Du einen Brief mit einem falschen Absender in den Briefkasten stecken und an jemanden verschicken. Der wahre Absender steht dann nur im Brief selbst und in diesem Fall ist es ein Versender aus BG.

 

[Gast]

Hallo,

Ich bin auch betroffen von der Spam-Welle. Es gibt eine Gemeinsamkeit aller "important"-Spam-Headers: "HELO WORLDST-UQ3K9Q0
Einfach mal googlen.

 

[ungarnjoker]

Damit könnte man ja den Spamfilter füttern. Man kann dann auch ganze IP-Blöcke sperren, wenn man aus dem Bereich (z.B. aus Bulgarien) keine Mails erwartet. Auf diese Weise ist mein Postfach relativ spamfrei. Was dann trotzdem noch durchkommt, landet ebenfalls im Filter und schon ist wieder für eine Weile Ruhe. Gleichzeitig werden Spammer bei SpamCop.net eingetragen.