PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Absender der Email?


medi
2012-07-31, 22:46:03
Hi,

von euch kennt sich da doch bestimmt einer aus. Meine Freundin hat ne Mail bekommen, die scheinbar von mir stammt - ich hab ihr aber definitiv keine geschickt. Thunderbird zeigt mir diesen Quellcode:

Return-path: <meineEMailAdresse@gmx.de>
Delivery-date: Tue, 31 Jul 2012 13:49:43 +0200
Received: from [195.4.92.16] (helo=6.mx.freenet.de)
by mbox53.freenet.de with esmtpa (ID exim) (Exim 4.76 #6)
id 1SwAxL-0005gE-LD
for EMailMeinerFreundin@01019freenet.de; Tue, 31 Jul 2012 13:49:43 +0200
Received: from mailout-de.gmx.net ([213.165.64.23]:60745)
by 6.mx.freenet.de with smtp (port 25) (Exim 4.76 #1)
id 1SwAxL-0004Qs-FX
for EMailMeinerFreundin; Tue, 31 Jul 2012 13:49:43 +0200
Received: (qmail 13304 invoked by uid 0); 31 Jul 2012 11:49:43 -0000
Received: from 178.233.138.58 by www016.gmx.net with HTTP;
Tue, 31 Jul 2012 13:49:42 +0200 (CEST)
Content-Type: text/plain; charset="utf-8"
Date: Tue, 31 Jul 2012 13:49:42 +0200
From: "meinAlias" <meineEMailAdresse@gmx.de>
Message-ID: <20120731114942.19160@gmx.net>
MIME-Version: 1.0
To: andereMirBekannteEmailAdresse@gmx.net, EMailMeinerFreundin@freenet.de
X-Authenticated: #8644086
X-Flags: 0001
X-Mailer: WWW-Mail 6100 (Global Message Exchange)
X-Priority: 3
X-Provags-ID: V01U2FsdGVkX194YRVRrYp4laNybXX/RQIPQO/1h88hSHMqvfGbFP
BchoTEyOSAFg+VgGGVsowkLiFcfAJcB9j0QA==
Content-Transfer-Encoding: 8bit
X-GMX-UID: AaNlcBhmeSEqM5eG6HQhkbZ+IGRvbwD2
X-purgate-ID: 149285::1343735383-0000066D-883DF848/0-0/0-0
Delivered-To: EMailMeinerFreundin@freenet.de
Envelope-to: EMailMeinerFreundin@freenet.de
Delivered-To: EMailMeinerFreundin@01019freenet.de

http://thehempfactor.com/wordpress/shop.php?police208.png

Faked hier jetzt einer "nur" meine Adresse oder hat hier sogar einer Zugang zu meinem Account?

Hardwaretoaster
2012-07-31, 23:20:26
Bin nicht so tief in der Materie: Mail kam von der IP http://www.utrace.de/ip-adresse/178.233.138.58; die wohl in die Türkei gehört - damit bist du vermutlich raus ;)

Wie es GMX mit den X-headern handhabt (welche ausgewertet werden, etc.). Ggf. eine Support-Mail an GMX dazu ob der authentifizierte user deiner war?

Im Zweifel schadet ein neues PW proaktiv aber nicht.

Birdman
2012-07-31, 23:25:41
Sofern du nicht grad in der Türkei Urlaub machst, oder der Header nicht gefaked ist, so kommt diese Email nicht von Dir. (IP 178.233.138.58 gehört zu "Turksat Uydu-Net Internet")
Das ganze wurde angeblich über eine HTTP-Schnittstelle (vermutlich das Webmail) von GMX verschickt.

Ob mit dienem Login war könntest Due vtl. rausfinden wenn Du selber mal eine Email damit verschickst.
Sollte die Zeile "X-Authenticated: #8644086" übereinstimmen, wird es wohl dein Login sein, ansonsten eher nicht.

sei laut
2012-07-31, 23:39:26
@Hardwaretoaster: Ja, fast.
Received: (qmail 13304 invoked by uid 0); 31 Jul 2012 11:49:43 -0000
Received: from 178.233.138.58 by www016.gmx.net with HTTP;

Das sind die Zeilen des Absender-Mailservers und was soll man dazu sagen, sehr fantasievoll. Die obere Zeile mag noch stimmen (wohl eher nicht), bei der unteren würde ich sogar die IP anzweifeln. So oder so, die kommt definitiv nicht von medi.

@medi: Allerdings muss irgendwoher der Zusammenhang zwischen deiner GMX und ihrer Freenet Adresse bekannt geworden sein. Da würde ich aber eher das Adressbuch deiner Freundin vermuten, bekommt sie noch mehr Spam von Leuten aus ihrem Adressbuch?

medi
2012-08-01, 06:57:48
@Hardwaretoaster: Ja, fast.
Received: (qmail 13304 invoked by uid 0); 31 Jul 2012 11:49:43 -0000
Received: from 178.233.138.58 by www016.gmx.net with HTTP;

Das sind die Zeilen des Absender-Mailservers und was soll man dazu sagen, sehr fantasievoll. Die obere Zeile mag noch stimmen (wohl eher nicht), bei der unteren würde ich sogar die IP anzweifeln. So oder so, die kommt definitiv nicht von medi.

@medi: Allerdings muss irgendwoher der Zusammenhang zwischen deiner GMX und ihrer Freenet Adresse bekannt geworden sein. Da würde ich aber eher das Adressbuch deiner Freundin vermuten, bekommt sie noch mehr Spam von Leuten aus ihrem Adressbuch?

Ah ok danke!
Sie meinte, sie hätte vor einiger Zeit schon einmal ne Mail mit der selben Adresse erhalten. Hat dann wer Zugriff auf ihren Account oder woher haben die meine Adresse und die meiner Mutter (ist die gmx.net Adresse)
Das Ding sieht halt aus als hätte ich ne mail an meine Freundin und meine Mutter geschickt - das macht die ja so authentisch .... fehlt eigentlich nur noch meine Schwester in der Empfängerliste... :rolleyes:

Mein pw hab ich schon geändert. Die anderen beiden muss ich noch dazu nötigen.

-Saphrex-
2012-08-01, 09:46:48
http://www.heise.de/security/meldung/Ueber-300-000-GMX-Accounts-kompromittiert-1637510.html

medi
2012-08-01, 11:28:56
Wie es aussieht war mein Account gehackt, die Mails gingen an alle Adressen in meinem Adressbuch ... 4 Fehllogins seit ich gestern Abend das PW geändert hab. Wie auch immer das möglich war denn das Passwort war recht sicher und auch sonst nirgends im Einsatz gewesen.
Damit sollte das "Rätsel" wohl gelöst sein.

Arbeitskollege war btw. auch betroffen.

Danke für Ihre Mitarbeit! ;)

sei laut
2012-08-01, 11:50:09
GMX streitet es zwar ab, aber es ist immer offensichtlicher, dass die ein Datenloch hatten. (wobei erst spekuliert wurde, ob die Daten von einem Hack bei Yahoo stammen - Yahoo hatte zugegeben, dass Passwörter im Klartext geklaut wurden, auch mit Mailadressen anderer Anbieter)

Surrogat
2012-08-01, 12:26:48
Im Zweifel vielleicht mal die Mailbox im Urlaub vom Hotel-PC oder Internetcafe abgerufen? Oder ein Hotel-Wlan o.ä. genutzt? Auch USB-Sticks würde ich im Ausland nirgends reinstecken ;)

Annator
2012-08-01, 13:03:25
Wie es aussieht war mein Account gehackt, die Mails gingen an alle Adressen in meinem Adressbuch ... 4 Fehllogins seit ich gestern Abend das PW geändert hab. Wie auch immer das möglich war denn das Passwort war recht sicher und auch sonst nirgends im Einsatz gewesen.
Damit sollte das "Rätsel" wohl gelöst sein.

Arbeitskollege war btw. auch betroffen.

Danke für Ihre Mitarbeit! ;)

Eben PW geändert 2 Minuten später hatte ich auch genau 4 fehlversuche.

THEaaron
2012-08-01, 13:15:25
Vor dem GMX Leck gab es ja auch noch den Klau mit League of Legends, last.fm und noch zwei größeren Anbietern im Netz. Wer da korrespondierende Logininformationen hatte wurd auch als Spamschleuder auf GMX Konten missbraucht.

medi
2012-08-01, 14:37:47
Im Zweifel vielleicht mal die Mailbox im Urlaub vom Hotel-PC oder Internetcafe abgerufen? Oder ein Hotel-Wlan o.ä. genutzt? Auch USB-Sticks würde ich im Ausland nirgends reinstecken ;)

Mach ich alles prinzipiell nicht.

FeuerHoden
2012-08-01, 16:57:54
Auch sichere Passwörter schützen vor Keyloggern nicht und Antivirenprogramme schützen vor Keyloggern nicht. Ja tun sie schon, aber verwetten würd ich nichts drauf.

medi
2012-08-01, 20:05:31
In diesem Fall imo unwahrscheinlich. Der GMX Account meiner Schwester war auch betroffen, wie auch der GMX Account meines Arbeitskollegen. Schon "komisch" das es bei allen Betroffenen nur die GMX Accounts erwischt hat.
Es wird schon was mit dem Heise Bericht zu tun haben.

Actionhank
2012-08-01, 20:32:16
Bei meiner Freundin war es der hotmail-account. War glaube auch eine Meldung in der Presse. Hier war es aber wohl kein Leck, sondern es wurden wohl nur Accounts mit schwachem Passwort "gehackt". Aber damit wurde dann auch erst einmal Spam an alle im Adressbuch versendet.

Annator
2012-08-01, 21:51:48
Meine Freundin hatte bis vor einen halben Jahr "start" überall als PW.... wirklich überall...