Dies ist die Lesebestätigung welche ich erhalten habe (The!Bat), warum zum Henker wird Adobe.com dort aufgeführt? (IP-Email Adressen geXt):

Received: from mailout-de.gmx.net (mailout-de.gmx.net [213.165.xxxxx])
by mail-in6-pp.ewetel.de (8.12.1/8.12.9) with SMTP id pAUMXoIQ032256
for <xxxxxx@xxxxx>; Wed, 30 Nov 2011 23:33:50 +0100
X-Envelope-To: <xxxxx@xxxxxt>
Received: (qmail invoked by alias); 30 Nov 2011 22:33:50 -0000
Received: from dslb-178-003-193-xxx.pools.arcor-ip.net (EHLO activate.adobe.com) [178.3.193.xxx]
by mail.gmx.net (mp012) with SMTP; 30 Nov 2011 23:33:50 +0100
X-Authenticated: #116644113
X-Provags-ID: V01U2FsdGVkX1+h6mpyBWKhpiboDsrn8xFLtgfXF9LWG7Msovapg/
GPaqUCoDwIpim4
Date: Wed, 30 Nov 2011 23:33:54 +0100

Dies ist die Lesebestätigung welche ich erhalten habe (The!Bat), warum zum Henker wird Adobe.com dort aufgeführt? (IP-Email Adressen geXt):

Received: from mailout-de.gmx.net (mailout-de.gmx.net [213.165.xxxxx])
by mail-in6-pp.ewetel.de (8.12.1/8.12.9) with SMTP id pAUMXoIQ032256
for <xxxxxx@xxxxx>; Wed, 30 Nov 2011 23:33:50 +0100
X-Envelope-To: <xxxxx@xxxxxt>
Received: (qmail invoked by alias); 30 Nov 2011 22:33:50 -0000
Received: from dslb-178-003-193-xxx.pools.arcor-ip.net (EHLO activate.adobe.com) [178.3.193.xxx]
by mail.gmx.net (mp012) with SMTP; 30 Nov 2011 23:33:50 +0100
X-Authenticated: #116644113
X-Provags-ID: V01U2FsdGVkX1+h6mpyBWKhpiboDsrn8xFLtgfXF9LWG7Msovapg/
GPaqUCoDwIpim4
Date: Wed, 30 Nov 2011 23:33:54 +0100

Weil du Adobe Produkte raubmordkopiert hast und den Hostnamen des Adobe Aktivierungsservers auf deine eigene IP umgeleitet hast um dabei nicht aufzufallen :)

Weil du Adobe Produkte raubmordkopiert hast und den Hostnamen des Adobe Aktivierungsservers auf deine eigene IP umgeleitet hast um dabei nicht aufzufallen :)
made my day ;D

Weil du Adobe Produkte raubmordkopiert hast und den Hostnamen des Adobe Aktivierungsservers auf deine eigene IP umgeleitet hast um dabei nicht aufzufallen :)

Die Adobe Adresse ist in der Hostdatei eingetragen, weil ich Adobe nicht traue!
Da sind noch viele andere Adressen von Adobe eingetragen, das hat nichts mit Raubkopiermordenden Strauchmördern zu tun. Und ist rein prophylaktisch :P

Aber danke für die Erklärung.

dslb-178-003-193-xxx.pools.arcor-ip.net
Das ist doch dein Server oder? Der hat sich eben mit activate.adobe.com gemeldet und darauf wollte Predator hinaus.
(EHLO = Hallo, ich bin der und der Server)

dslb-178-003-193-xxx.pools.arcor-ip.net
Das ist doch dein Server oder?

Die zu dem Zeitpunkt gültige IP, die mir mein Provider (Vodafone) zugewiesen hat.

Mein PC hat einen anderen Namen, falls es das ist was Du denkst.
Außerdem läuft auch kein E-Mail Server auf diesem Rechner o.ä.

Hat das nun mit dem Blocken der IPs in der Hosts Datei zu tun (da sind einige Adobe Adressen geblockt - und die Aufgeführte ist die Erste)? Falls nicht, was denn dann?

Noch einmal für die Vorschnellen: Adobe-Adressen sind in der Hosts Datei geblockt, etwa 15+ müssten das sein, das hat nichts damit zu tun das ich Raubkopiermordende Strauchdiebe laufen habe, sondern nur damit zu tun, dass ich den Kontakt mit Adobe.com möglichst unterbinden möchte!

Received: (qmail invoked by alias); 30 Nov 2011 22:33:50 -0000
Received: from dslb-178-003-193-xxx.pools.arcor-ip.net (EHLO activate.adobe.com) [178.3.193.xxx]
by mail.gmx.net (mp012) with SMTP; 30 Nov 2011 23:33:50 +0100
X-Authenticated: #116644113
Dieses Email - in dem Fall wie Du sagt eine Lesebestätigung wurde vom abschickeneden PC an den GMX Server mittels SMTP Authentication abgesetzt.
Und dabei hat sich der Client PC beim HELO/EHLO mit dem Namen "activate.adobe.com" gemeldet.

Woher der den hat/nimmt weiss ich nicht. Kommt auch drauf an was für ein Mailclient der Absender einsetzt und/oder was für einen Virenscanner er einsetzt. (viele Mail-Virenscanner arbeiten im Proxy Modus und machen daher die Verbindung gen aussen auf und nicht das Mailproggi)

Die zu dem Zeitpunkt gültige IP, die mir mein Provider (Vodafone) zugewiesen hat.

Mein PC hat einen anderen Namen, falls es das ist was Du denkst.
Außerdem läuft auch kein E-Mail Server auf diesem Rechner o.ä.mmm...

Dein PC hat dann einen anderen Namen. Jeder bekommt von seinem Provider bei einer dynamischen IP einen eigenen Namen zugewiesen. Deinen aktuellen Namen im Internet kannst du zum Beispiel unter https://www.grc.com/x/ne.dll?bh0bkyd2 sehen.

Ich überlege gerade, wie die Reihenfolge beim Lesen der Received- Meldungen ist. Eigentlich müsste der Absender die active.adobe.com- Meldung erzeugt haben. Das bedeutet, von dem, dem du die Lesebestätigung erhalten hast, hat sie so versendet. Schau mal andere EMails von dieser Person an, ob dort alles klar ist.

@Lokadamus: Er hat doch selbst gesagt, dass es seine zugewiesene IP ist.
Also a: Der Threadstarter betreibt einen Mailserver, der falsch konfiguriert
b) Der Threadstarter betreibt einen Mailserver, den er selbst nicht kennt, der falsch konfiguriert ist - infizierter Rechner?

@Lokadamus: Er hat doch selbst gesagt, dass es seine zugewiesene IP ist.
Also a: Der Threadstarter betreibt einen Mailserver, der falsch konfiguriert
b) Der Threadstarter betreibt einen Mailserver, den er selbst nicht kennt, der falsch konfiguriert ist - infizierter Rechner?

a) Nein, wie ich schon schrieb, es läuft kein HTTP/Mailserver oder irgendein Server BEWUSST!

b) Jetzt kommen wir wieder zum Anfangsposting zurück, was gut ist.

Es läuft Kaspersky IS 2012 auf meinen Rechnern, mit den aktuellsten Updates des Programms und natürlich der Virensignatur! Fullscan auf höchsten Einstellungen verlief ohne Befund. Noch einmal um das endgültig zu klären:

Hat es damit zu tun das Adobe Adressen in der Hosts Datei geblockt sind?
Wenn nicht ... Könnte Adobe Wege benutzen die sie eigentlich nicht benutzen dürfen, um nach Hause zu telefonieren?! Sprich einen eigenen Mailserver vorschieben?! Das wäre natürlich ein Skandal.

mmm...

Dein PC hat dann einen anderen Namen. Jeder bekommt von seinem Provider bei einer dynamischen IP einen eigenen Namen zugewiesen. Deinen aktuellen Namen im Internet kannst du zum Beispiel unter https://www.grc.com/x/ne.dll?bh0bkyd2 sehen.

Da sehe ich nur meine IP. Um meinen Namen zu sehen, müsste wohl die Firewall deaktiviert werden in KIS und auch im Router (FBox 7390). Aber das möchte ich so nicht.

Unter System/Computername (Win7) steht zumindest der Name, den ich meinen PCs auch zugewiesen habe + indiv. Arbeistgruppe.

Port 443 (SSL) und 21 (FTP) sind bei dem Scan offen. 21 Macht Sinn, da ich über die FBox einen FTP laufen habe für Bekannte. 443 vermutlich wegen der Fernwartung, die in der FBox konfiguriert ist.

Kurze Recherche: Kaspersky pfuscht da rein (http://www.batboard.net/board5-therapiepl-tze/board103-therapieplatz-version-4-x/9512-ehlo-localhost/) :wink:

Kurze Recherche: Kaspersky pfuscht da rein (http://www.batboard.net/board5-therapiepl-tze/board103-therapieplatz-version-4-x/9512-ehlo-localhost/) :wink:

Ahhh, das Thema ist von 2009 ... Mal sehen ob sich mit der 2012 version was geändert hat, wenn man die E-Mail Überwachung komplett deaktiviert.

Werde es testen.

Die Antwort war um einiges hilfreicher als die Erste ;) .

-EDIT- Den E-Mail Part von KIS auszuschalten war nicht erfolgreich. Allerdings scheint es nun zu funktionieren (im Gegensatz zu dem 2009 Thread) KIS komplett zu deaktivieren, dann wird auch der korrekte Name des PCs angezeigt! Allerdings irgendwie ... unbefriedigend.

Hat dein Kaspersky die Anti-Spam Funktion aktiviert? Die klemmt sich definitiv in den Mailverkehr.

Hat dein Kaspersky die Anti-Spam Funktion aktiviert? Die klemmt sich definitiv in den Mailverkehr.

Nein, jetzt nicht mehr, ist deaktiviert - passiert dennoch.
Ich habe auch die Plugins von Kaspersky (Spam und AV) komplett aus TheBat deinstalliert - passiert dennoch.

Als "Workaround" habe ich nun einen Phantasienamen in der Hosts Datei an den Anfang geschrieben, der wird nun auch angezeigt ... Was ein Mist!

Naja, wir sind dem ganzen doch ganz nahe.
Schau mal, was du noch installiert haben könntest, was in den Mailverkehr eingreift. Du könntest auch mal schauen, was bei deinem Rechner auf Port 25 und 587 lauscht.
TCP View (http://technet.microsoft.com/de-de/sysinternals/bb897437) zeigt das an.

Immerhin benutzt das Ding smtp, das grenzt die Möglichkeiten ein.

Als "Workaround" habe ich nun einen Phantasienamen in der Hosts Datei an den Anfang geschrieben, der wird nun auch angezeigt ... Was ein Mist!mmm...

Kurz gefragt: Was steht/ stand am Anfang in der Hosts- Datei?
127.0.0.1 activate.adobe.com?
Wenn ja, hat dein PC versucht so seinen Namen aufzulösen und hat diesen übermittelt.

Ein Ping -a 127.0.0.1 könnte hier hilfreich sein.
Eigentlich wird das immer mit Localhost aufgelöst, aber da niemand weiß, wie du deine Datei bearbeitet hast, lässt sich das aus der Ferne heraus schlecht sagen.

Das hat er so schon erläutert. activate.adobe.com stand ganz oben, nun hat er abcxyz (oder ähnliches) als ersten Eintrag erstellt und nun taucht das als helo auf.
Daher ist jetzt interessant, was auf dem smtp Port bei ihm lauscht.