Wer kann diese Mails deuten (Returning Message To Sender)?
Seit einigen Tagen bekomme ich immer wieder Mails mit dem Betreff: "Mail Delivery failed: returning message to sender" (siehe Bilder). Ca. 5-10 Mails jeden Tag.
Ich habe schon einen Virenscanner auf meinem PC laufen lassen. Er hat ein Problem gefunden (Bild). Dieses EXE hatte ich vor einigen Monaten mal gespeichert ohne es zu öffnen, um es mit einem Virenscanner zu prüfen. Anschließend habe ich es geloescht. Deshalb war es noch im Papierkorb.
Ich habe den PC schon mal 2 Tage runter gefahren. Es wurden in dieser Zeit aber trotzdem solche Mails generiert.
Ich habe zwei Mail-Adressen, die ich beide mit Outlook bediene. Die eine ist die T-Online-Adresse (xxxxt.xxxxr@t-online.de). Vom Namen her stimmt diese Adresse in der Mail genau überein.
Die zweite Adresse kommt in Teilen auch in der Mail vor. Allerdings stimmt hier nur der Teil hinter dem "@" überein (@xxxxpro.de). Der Wert "ffa8d0981" vor dem "@" sagt mir überhaupt nichts.
Ich habe gerade mal die Passwörter der beiden Mail-Accounts geändert. Bin mir noch nicht sicher, ob es was bringt.
Wie entstehen diese Nachrichten? Was haben sie zu bedeuten. Wie könnte man sie wieder los werden?
5 Antworten
Das ist wirklich interessant. Was Du vermutlich tun solltest: Eine Mail an abuse[at]ispgateway.de schreiben und diese komplette Nachricht, die Du als Bild hochgeladen hast, dranhängen (aber nicht als Bild, sondern als Text in der Mail, um es dem Admin leichter zu machen) und darum bitten, den Account des Users ffa8d0981 zu löschen und bei der Gelegenheit zu überprüfen, ob mit deinem Account bei xxxpro.de alles in Ordnung ist.
Das solltest Du aber jetzt sofort auch schon mal selbst prüfen. Sehr gut war, dass Du das Passwort geändert hast. Nun sieh aber auch nach, ob sonst etwas an den Kontoeinstellungen geändert wurde: Wurde eine Weiterleitung eingerichtet? Eine neue Kontaktadresse? Neue Sicherheitsfragen?
Vermute ich richtig, dass Du normalerweise Deine Mails, die an Deine xxxpro.de-Adresse gehen, an Deine T-Online-.Adresse weiterleiten lässt? Dann ist es ganz normal und korrekt, dass T-Online in diesem Fall, wo es sich offensichtlich um Spam handelt, die Annahme verweigert.
Das Problem liegt eindeutig nicht bei T-Online, sondern bei xxxpro.de
Ein mögliches Szenario wäre: Jemand kennt das Passwort Deines xxxpro.de-Accounts und hat sich dort ein Alias-Konto eingerichtet unter dem Namen ffa8d0981. Da dies nur ein anderer Name für Dein Konto ist, bekommst Du auch alle Mails, die an dieses Konto gehen bzw. alle Fehlermeldungen bezüglich der von dort verschickten Spam-Mails.
In dem Fall müssten die Fehlermeldung nach Deiner Passwortänderung jetzt weniger werden und bald ganz ausbleiben.
Zu klären wäre dann aber erstens wie schon gesagt, was sonst noch in Deinem Konto verändert wurde (z.B. bekommt der Spammer sofort eine Mail mit dem neuen Passwort geschickt?) und zweitens, woher der Spammer Dein Passwort hatte:
Hast Du einen Keylogger auf dem PC? Hast Du das Passwort auch für andere Dienste benutzt? Hast Du es in unsicherer Umgebung benutzt? War es zu schwach und leicht herauszufinden?
Übrigens steht in jeder Mail eine andere Mail-Adresse drin. Z. B.:
(...) Was ich vielleicht auch noch erwähnen hätte sollen: Ich habe eine Internet-Domain (Internet-Seite) mit dem Namen www.xxxpro.de
Ja, das hättest Du wirklich erwähnen sollen. Wende Dich so bald wie möglich an abuse[at]ispgateway.de und an support[at]df.eu
Vielen Dank,
werde ich machen. Was ich inzwischen auch noch rausgefunden habe. Im Kundenmenü von df.eu unter Kundencenter.Passwörter.Zugriffsreche für Kundenservice hatte ich eingestellt, daß Zugriffsrechte für Kundenservice nicht eingeschränkt sind.
Wenn dies der Fall ist steht weiter unten: "Die Passwortanzeige (z.B. für E-Mail-Adressen oder FTP-Accounts) im Kundenmenü ist aktiviert." D. h. somit könnten Df-Servicemitarbeiter meine Passwörter in Klarschrift anschauen!? Das würde wiederum heißen, daß es sehr leicht möglich ist, daß die Passwörter von einem Servicemitarbeiter missbraucht werden.
Zugeben wird das domainfactory vermutlich nicht. Ich habe die Zugriffsrechte jetzt eingeschränkt und hoffe daß ich nun meine Ruhe habe.
Noch was rausgefunden:
Unter df.kundenmenü.Stammdaten.Kontaktdaten.E-Mail habe ich meine T-Online-E-Mail-Adresse eingetragen. Werde da mal meine DF-Mail-Adresse eintragen.
Ist das üblich, daß Service-Mitarbeiter defaultmäßig die Passwörter in Klarschrift lesen können?
Jetzt habe ich den Catchall gefunden:
Unter df.Kundencenter.Allgemeines.Domaineinstellungen.subdomains hatte ich für meine subdomain xxxpro.de als Catchall-E-Mail-Adresse meine T-Online-Adresse eingestellt.
Dort steht als Kommentar:
"E-Mails an nicht existierende E-Mail-Adressen unter dieser Subdomain können abgewiesen und an den Absender zurückgeschickt (Catchall deaktiviert) oder an eine andere E-Mail-Adresse weitergeleitet werden (Catchall aktiviert)."
Ich habe dort nun auch meine df-Mail-Adresse eingetragen.
(Ist schon Jahre her dass ich das mal eingerichtet hatte :-) )
es muss sich nicht unbedingt um spam handeln. wenn Du eine mail an z.B. viele leute verschickt hast und einer der mail adressen falsch ist oder das postfach voll ist usw. generiert der empfänger-mail server eine fehlermeldung und sendet diese an deinen mailprovider (t-online) zurück, damit du weißt, dass es mit dem versand etwas nicht funktioniert hat. Ein bild sollte dabei allerdings nicht anhängen. oftmals sieht man in dem fachchinesisch der mail (fehler nr bla bla bla) auch schon schnell die mail adresse, um die es sich handelt. lg knuxi
Das ist mir klar. Solche Mails bekomme ich auch, wenn das Postfach des Empfängers voll ist. Dann steht aber der korrekte Betreff/Mail des Empfaengers usw. drin.
Aber in diesem Fall stammt rein gar nichts von mir, außer die beiden Mail-Adressen. Also weder der Betreff noch Mail-Programme (X-Mailer)
Das bedeutet, das die Mail, die du gesendet hast, nicht zugestellt wurde, weil die Adresse wohl nicht stimm.
Ich habe aber keine derartigen Mails versendet! Und schon gar nicht mir diesen Betreffzeilen:
Subject: Administrative Assistant Leerstand X-Mailer: Microsoft Outlook 15.0
Subject: Administrative Assistant Position X-Mailer: Microsoft Windows Live Mail 15.4.3508.1109
Subject: Teilzeitarbeit X-Mailer: Microsoft Office Outlook 11
Jeder Spammer kann als Absendeadresse deine Mailadresse verwenden. Wenn der Adressat nicht existiert oder sein Spamfilter die Mail abweist, geht die Mail mit der Fehlermeldung nicht an den Spammer, sondern an DICH.
Dieser Spammer stammt übrigens evtl. aus Mexiko. (IP: http://cqcounter.com/traceroute/?query=201.148.55.85)
Also das heißt mein PC hat keine Mails ohne mein Wissen versandt (Spam Mails).
Was könnte ich ansonsten dagegen unternehmen? Mir andere Mail-Accounts zulegen?
Seltsam ist aber dennoch, warum meine beiden Mail-Adressen in der Mail vorkommen!? (Meine T-Online-Adresse und Teile meiner anderen Adresse/Meine Internet-Seite)
Also das heißt mein PC hat keine Mails ohne mein Wissen versandt (Spam Mails).
Du schriebst doch selbst, dass er tagelang nicht eingeschaltet war. DIESE Mails kann er dann ja wohl kaum verschickt haben. Natürlich kann es auch sein, dass vorher deine Accountdaten für dein Mailkonto durch Malware ausgespäht oder anderweitig erraten wurden. Dann hat der Spammer direkten Zugriff auf dein Konto. In dem Fall hilft nur das Ändern der Passwörter über einen ANDEREN, garantiert sauberen Rechner. Wenn du sie über den betroffenen PC änderst, steht zu befürchten, dass das ein Krimineller nachvollziehen kann, weil eben doch noch Malware bei dir läuft.
Ich habe das eine Bild mal auf Directupload hochgeladen, da es nur schlecht zu lesen ist:
Ok, vielen Dank für die vielen Informationen. Fürchte da muß ich noch einige Zeit in das Thema investieren.
Übrigens steht in jeder Mail eine andere Mail-Adresse drin. Z. B.:
ffa8d0981@xxxpro.de
fb0252616@xxxpro.de
d96f2d87@xxxpro.de
cf3891f57b7e1d449@xxxpro.de
f58c4690811cd65@xxxpro.de
Was ich vielleicht auch noch erwähnen hätte sollen: Ich habe eine Internet-Domain (Internet-Seite) mit dem Namen www.xxxpro.de. Diese Seite ist bei Domainfactory gehostet. (Die xxx sind nur Platzhalter)
Wüsste nicht das ich eine Weiterleitung von xxxpro.de an meine T-Online-Adresse eingerichtet habe. Ich rufe beide Mail-Accounts getrennt per Outlook ab.