Probleme mit PC

Optimist schrieb:Mir gings mehr darum, herauszufinden, woran es liegen könnte

Aus irgendeinem Grund scheint Opera zu denken das mehrere Profile auf dem Rechner sind. Vielleicht ein Fehler in einer Konfigursationsdatei. Also so wie @gastric bereits schrieb.

@Hawkster
aha, danke.

Schön, dann kann ich also ein Virus ausschließen. :)

@DerFremde
@Hawkster
@gastric
@mayday
@LucyDolphin
@-Therion-
@define
@der-Ferengi
@Fennek
@Namah
@schelm1

Wieder mal ein Problem.
In meinem Postfach kommen seit paar Tagen laufend Mails an, die so wirken, als hätte ich eine Mail an eine Adresse geschickt, die nicht existiert (also die Info, dass diese nicht angekommen ist).
Ich hatte aber in letzter Zeit niemanden eine Mail geschickt, die nicht angekommen war.

Die Texte unterscheiden sich alle, es ist also nicht jedes Mal genau die gleiche Mail.
Im Spam-Ordner sind auch paar reingeflattert.

So siehts in meinem Postfach aus:
Original anzeigen (0,4 MB)

Hat jemand von Euch eine Erklärung?

@Optimist

Schau da mal rein.

http://kundenservice.freenet.de/artikel/1785;jsessionid=42FCB405D7E9E7F8091D73311D74EDC4

@DonFungi
danke dir.

Wenn das eigene Postfach mit einer großen Anzahl solcher E-Mails überhäuft wird, dann hat das in der Regel eine der folgenden Ursachen:
1. Der Account wird zum Versand von Spam oder Viren missbraucht
2. Die E-Mail Adresse wird von Dritten als Absenderadresse missbraucht
...
Der erste Fall ist ohne Zweifel der Schlimmere.
...
Der zweite Fall ist vergleichsweise harmlos, da lediglich der Umstand ausgenutzt wird, dass sich E-Mail Absenderadressen sehr leicht fälschen lassen.

Mal 2 Fagen dazu:

Lässt sich anhand meines Fotos abschätzen, ob 1. oder 2. wahrscheinlicher ist? (in meinem Freenet-Account ist alles okay)

"dass sich Absenderadressen sehr leicht fälschen lassen. "
-> Wie ist das zu verstehen, wie muss ich mir das vorstellen?

@Optimist
Das kann ich nicht beurteilen, aber es scheint so oder so ein Eingreifen notwendig zu sein.
Ich würd mal so vorgehen wie im Link beschrieben.

@DonFungi
okay.

Optimist schrieb:"dass sich Absenderadressen sehr leicht fälschen lassen. "

weißt du zufällig wie das gemeint ist?

@Optimist

Man kann bei der E-Mail Absendeadresse eine x beliebige Adresse verwenden. Welche E-Mail Adresse dort eingetragen wird, ist in den meisten Fällen völlig egal. Sie wird für jede gesendete E-Mail verwendet.

Das ist wie bei einer Absenderadresse auf einem Brief, weder die Post noch der Empfänger kann sich sicher sein das die Angaben stimmen. (Gefälschte Adresse)

@DonFungi

DonFungi schrieb:Man kann bei der E-Mail Absendeadresse eine x beliebige Adresse verwenden.

Für diese muss man aber vorher eine Account angelegt haben?

Oder hast du gemeint, ich könnte einfach zB mit "fake@web.de" irgendjemanden was schicken, OHNE dass ich für diese Fantasie-Adresse VORHER einen Account eingerichtet hätte?
In meinem Outlook und auch auf der Anbieterseite kann ich zumindest immer nur über DIE Adressen schicken, die ich auch eingerichtet bzw. angelegt hatte, also nur Adressen, welche tatsächlich existieren.

@Optimist

Die Adresse existiert ja, sie benutzen deine. Das dient erst einmal zur verschleierung der Identität. Bzw. geben sie deine als ihre Absenderadresse aus oder haben zugriff auf dein Postfach und verschicken so ihre Mails. Dann hast du allerdings einen Käfer oder sonst was in der art der dir im System wühlt.

@DonFungi

DonFungi schrieb:oder haben zugriff auf dein Postfach

Das verstehe ich.
Habe es aber so aufgefasst, als könne jemand meine Adresse benutzen OHNE meinen Account zu hacken?
-->
So wie du es hier schreibst:

DonFungi schrieb:geben sie deine als ihre Absenderadresse aus

wie funktioniert das denn?
Ich könnte doch auch nicht einfach deine Adresse benutzen (wenn ich deinen Account NIICHT gehackt habe)?

Vielleicht kann dir der Artikel es besser erklären als ich :)
Ich bin an sich eher der Bastler.

Wikipedia: Mail-Spoofing

@Optimist

.DonFungi schrieb:
geben sie deine als ihre Absenderadresse aus
wie funktioniert das denn?
Ich könnte doch auch nicht einfach deine Adresse benutzen (wenn ich deinen Account NIICHT gehackt habe)?

Hallo doch kannst du.

eMail ist beinahe 1:1 mit dem Postkarten /Briefversand zu vergleichen.

1.Du kannst jmd einen Brief schreiben.
2.Du kannst die Empfänger Adresse frei wählen - egal ob sie existiert oder nicht.

3.Du kannst die Absender Adresse frei wählen d.h. eine existierende, aber nicht deine Adresse / Identität.
Oder eine frei erfundene...oder deine eigene Adresse.
4. Du musst jmd finden der den Brief oder die email entgegen nimmt, transportiert und zu stellt. (z.B. Post oder dein "email provider")

Als Beispiel jmd schreibt einen Brief an Mr. Donald NonExistent und gibt als Absender Optimist inkl Adresse an.

Was passiert? Die beteiligten Postunternehmen nehmen den Brief an und versuchen zuzustellen...was nicht klappt und der Brief geht irgendwann an den Absender der auf dem Brief vermerkt ist zurück.

Optimist als vermeindlicher Absender wundert sich...

Um hier eine Schwierigkeit den Spammern und des Betrugs einzubauen ist man dazu über gegangen die Versand emailserver (Postunternehmen die den Brief annehmen)
so einzustellen, dass sie die email nur annehmen nachdem man sich ihnen gegenüber authentifiziert hat.
Im realen Leben würde der Mensch am Postschalter die Absender Adresse auf dem Brief mit dem Personen o.ä. abgleichen. Der Briefeinwurfkasten genauso den Brief nur annehmen wenn der Absender vorher identifiziert
wird.


Jetzt beginnt die Schwierigkeit für den Spamversender.
Was macht der spamversender...

Versucht den Ausweis zu kopieren und gibt sich als wahrer Absender aus. Der Postschalter Mitarbeiter akzeptiert den Brief an und leitet ihn weiter...
( Situation dass der Betrüger die emaildresse, Benutzernamen und das zugehörige Passwort kennt -> Passwort bzw zugangsdaten gehackt...ganz schlecht da die emails i.d.R. auch gelesen werden können)

Oder der Spamversender sucht sich ein Postunternehmen, dass die Briefe weiterhin ohne Authentifizierung annimmt und versucht zuzustellen bzw transportieren. Dieses Postunternehmen könnte im Ausland sein, und hat z.B. andere Regeln..
D.h. auf email bezogen der Server nimmt einfach alles an und leitet es weiter ohne nachzufragen wer hier versendet.

Weitere Möglichkeit er gründet ein Postunternehmen und transportiert selbst die Post ... Spammer hat eigenen Server oder hat die Kontrolle über einen email Server und missbraucht ihn.



Wie auch am Poststempel auf der Briefmarke normalerweise zu erkennen ist wo ein Brief eingeliefert wurde - ist am email header zu erkennen wann die email verschickt wurde und wer alles am Transportweg beteiligt ist.

Im header musste man versuchen herauszufinden welcher der erste Server war der die email zum weiter Transport angenommen hat. Ist des der eigene bzw der des eigenen emailproviders und dieser authentifiziert ... dann dürfte das Postfach bzw die Kennungen gehackt sein.

Ist es ein fremder Server aus xy-Land ... blöd gelaufen. Man könnte versuchen den zuständigen provider der Betreiber darauf hinweisen.

Btw t-online bzw deren server hat grundsätzlich die Absender Adresse mit den tatsächlichen Kundendaten d.h. der dirt registrierten email adresse überschrieben.


Google mal nach spoofing und den RFCs zu SMTP und email header dort sollte einiges erklärt sein.

@Tiho
@DonFungi

vielen Dank euch.

@Tiho, sehr schöne Metapher mit der Post - so verstehe ich das alles ganz gut. :)

Nur das kapiere ich noch nicht:

Tiho schrieb:3.Du kannst die Absender Adresse frei wählen d.h. eine existierende, aber nicht deine Adresse / Identität.

Das scheint für mich Nichtprofi zu schwierig zu sein (hab mir auch den Link von DonFungi angeschaut) :)

Im normalen Mail-Fenster (da wo man eine neue Mail schreibt) finde ich keine Option zum eintragen einer anderen Adresse.
Also bliebe vielleicht nur das Fenster wo man die Mail-Konten bearbeitet?
Da hatte ich aber auch nichts gesehen, wo man eine andere Adresse eïntragen könnte.

Aber gut, ich will ja auch keinen Betrug machen und es reicht ja zu wissen, dass das leider möglich ist.

@Tiho
@DonFungi

Tiho schrieb:Im header musste man versuchen herauszufinden welcher der erste Server war der die email zum weiter Transport angenommen hat. Ist des der eigene bzw der des eigenen emailproviders und dieser authentifiziert ... dann dürfte das Postfach bzw die Kennungen gehackt sein.

hab mal bei so einer Mail den Header geöffnet:

Return-path:
Delivery-date: Fri, 16 Dec 2016 08:50:17 +0100
Received: from [195.4.92.27] (helo=mx17.freenet.de) by mbox131.freenet.de with
esmtpa (ID exim) (Exim 4.85 #1) id 1cHnHV-0001g2-Bu for
f.....@01019freenet.de; Fri, 16 Dec 2016 08:50:17 +0100
Received: from mjail1.freenet.de ([2001:748:100:40::5:3]:54534) by
mx17.freenet.de with esmtpa (ID exim) (port 25) (Exim 4.85 #1) id
1cHnHV-0000w4-6n for p...@freenet.de; Fri, 16 Dec 2016 08:50:17 +0100
Received: from Debian-exim by mjail1.freenet.de with local (Exim 4.85 #1) id
1cHnHV-00072m-21 for p...@freenet.de; Fri, 16 Dec 2016 08:50:17 +0100
X-Failed-Recipients: carolyngal@comcast.net
Auto-Submitted: auto-replied
From: "Mail Delivery System" <Mailer-Daemon@freenet.de>
To: p...@freenet.de
Subject: Mail delivery failed: returning message to sender
Message-ID: <E1cHnHV-00072m-21@mjail1.freenet.de>
Date: Fri, 16 Dec 2016 08:50:17 +0100
X-purgate-ID: 149285::1481874617-00000401-A1FF7644/0/0
Delivered-To: p...@01019freenet.de
Delivered-To: f...@freenet.de
Envelope-to: p...@freenet.de
X-Originated-At: unknown
Delivered-To: f...@01019freenet.de

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

carolyngal@comcast.net
Blocked spam-message

------ This is a copy of the message, including all the headers. ------

Return-path: <p....@freenet.de>
Received: from localhost ([::1]:54696 helo=mjail1.freenet.de)
by mjail1.freenet.de with esmtpa (ID p...@freenet.de) (Exim 4.85 #1)
id 1cHnHU-00071Y-TG
for carolyngal@comcast.net; Fri, 16 Dec 2016 08:50:16 +0100
Received: from mx2.freenet.de ([195.4.92.12]:60533)
by mjail1.freenet.de with esmtpa (ID p...@freenet.de) (Exim 4.85 #1)
id 1cHnFS-0002gH-2x
for carolyngal@comcast.net; Fri, 16 Dec 2016 08:48:10 +0100
Received: from [46.219.97.19] (port=35822 helo=localhost.localdomain)
by mx2.freenet.de with esmtpsa (ID p...@freenet.de) (TLSv1.2:DHE-RSA-AES128-GCM-SHA256:128) (port 587) (Exim 4.85 #1)
id 1cHnFR-0000Bo-SZ
for carolyngal@comcast.net; Fri, 16 Dec 2016 08:48:10 +0100
From: BloodPressure_QJWx <p...@freenet.de>
Reply-To: <p...@freenet.de>
To: "" <carolyngal@comcast.net>
Date: Fri, 16 Dec 2016 07:48:09 +0100
List-Unsubscribe: <mailto:p...@freenet.de>
Precedence: bulk
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.0.14) Gecko/20071210 Thunderbird/1.5.0.14
X-Sender: p....@freenet.de
MIME-Version: 1.0
X-Priority: 3 (Normal)
Subject: Discount = Consume max used Blue units.
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: 8bit
Message-ID: <1cHnFR-0000Bo-SZ@mx2.freenet.de>
X-purgate-ID: 149285::1481874490-000003A7-57108929/0/0
X-Originated-At: 46.219.97.19!35822
X-MJail-Date: 1481874490
X-MJail-Recipients: 1
X-MJail-CID: emo.302789328
X-MJail-Warning: Message contains spam signature (149285::1481874616-000002F4-AB180C20/17/37645)
X-MJail-Rescanned: 1481874616

Effective drug to Cure the ED is Blue elements.

<form action="http://surfe.be/rax" method="post" target="_blank"><input
value="Our Bestsellers" type="submit"></form>

CLICK or COPYPASTE ===> http://surfe.be/rax



Your personal Discount Coupon: XMas2017

Tiho schrieb: welcher der erste Server war

Sieht für mich aus wie Freenet, oder?

->

Received: from [195.4.92.27] (helo=mx17.freenet.de) by mbox131.freenet.de with

@Tiho
@DonFungi


So, Passwort hatte ich geändert, nun hat der Spuk aufgehört :)

Dass jetzt keine solche Mail mehr kommt, spricht das für 1. oder für 2. ? -->

Optimist schrieb: Wenn das eigene Postfach mit einer großen Anzahl solcher E-Mails überhäuft wird, dann hat das in der Regel eine der folgenden Ursachen:

1. Der Account wird zum Versand von Spam oder Viren missbraucht
2. Die E-Mail Adresse wird von Dritten als Absenderadresse missbraucht
...
Der erste Fall ist ohne Zweifel der Schlimmere.
...
Der zweite Fall ist vergleichsweise harmlos, da lediglich der Umstand ausgenutzt wird, dass sich E-Mail Absenderadressen sehr leicht fälschen lassen.

wenn der komplette Header vorliegt, dann dürfte das der interessante Teil sein:

"Received: from [46.219.97.19] (port=35822 helo=localhost.localdomain)
by mx2.freenet.de with esmtpsa (ID p...@freenet.de) (TLSv1.2:DHE-RSA-AES128-GCM-SHA256:128) (port 587) (Exim 4.85 #1)
id 1cHnFR-0000Bo-SZ"

from [46.219.97.19] - mx2.freenet.de with esmtpsa

esmtpsa ist in diesem Fall doof - weil es heisst der Absender hat sich legitimiert.
-> also der Absender hat dein Mail Passwort.

46.219.97.19 - nachsehen zu wem die IP gehört...vielleicht die eigene zu dem Zeitpunkt des Versendens?

Ändern, aber auch herausfinden, warum oder wie es abhanden gekommen ist.
eigener Rechner/Handy infiziert etc.

Tiho schrieb:46.219.97.19 - nachsehen zu wem die IP gehört.

http://www.what-is-my-address-ip.com/whois-address-ip-46.219.97.0.html

War mal in der Ukraine


IP Location Ukraine Ukraine Kiev Freenet Ltd.
ASN Ukraine AS31148 FREENET-AS , UA (registered Mar 09, 2004)
Resolve Host 46.219.97.19.freenet.com.ua

@Bishamon
@Tiho

danke.

Also es hat evtl. jemand in der Ukraine jemand mein Passwort rausbekommen.
Außer dass am laufendem Band blöde Mails ankamen, hatte der aber ansonsten nichts mit meinem Account angestellt.

Nun hätte ich mal paar Fragen dazu:

1.: Gehe ich recht in der Annahme, dass der an irgendjemanden - über meiner Mailadresse - Mails verschickt hatte und die Mails die ich laufend bekam, kamen deshalb zu mir, weil sie beim Adressaten nicht angekommen waren?

2.: kann ich davon ausgehen, dass ein weiterer Schaden für mich nicht zu erwarten ist, weil ich ja jetzt das Passwort geändert habe?

3.: Wie kam der eigentlich ausgerechnet auf mich (also MEINE Adresse zu nehmen) - ist sowas Zufall?


4.: Kann mir nicht vorstellen, dass mein PC durch Mails infiziert wurde, weil ich grundsätzlich keine Links und Anhänge öffne, wenn ich nicht ganz genau weiß, wer es ist.

Es kam allerdings auch mal eine Mail an, wo kein einziger Link und Anhang drïn war, sondern nur 3 Zeilen Text (KEINE Steuerzeichen enthalten) - könnte sowas auch Schädlinge enthalten?
Und falls ja, wo und wie verstecken die sich? (in normalen Text können die doch nicht sen?)

Naja, werde dann trotzdem mal den Virenscanner laufen lassen.