Hier sind die drei letzten Mails. Immer unterschiedliche IPs aus unterschiedlichsten Ecken, die zu unterschiedlichsten Provider gehören... Das nennt sich dann wohl Bot-net, oder?
So ein E-Mail Header Analyzer ist ganz nett um da durchzusehen, aber helfen tuts noch nicht.

Code: Alles auswählenAufklappen

ATTFilter

Return-path: <xyz@t-online.de>
Received: from fwd13.aul.t-online.de (fwd13.aul.t-online.de )
        by mailout09.t-online.de with smtp
        id 1Ucg6r-0000ab-SX; Wed, 15 May 2013 20:07:29 +0200
Received: from ullibuero (rCgb6yZ1whflyI0-7QJXNeK0K5q-5UioeI2ORMwcIgChoLU4L-AGn7K90A7CfGAg3V@[91.56.39.219]) by fwd13.t-online.de
        with esmtp id 1Ucg6i-0zjkn20; Wed, 15 May 2013 20:07:20 +0200
From: "Plus Online AG Inkasso" <heikeschade@t-online.de>
To: "Jankugler" <jankugler@hotmail.de>
Subject: Rechnung 15.05.2013 Plus Online
Date: Wed, 15 May 2013 18:06:41 GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XCCE30054C"
Message-ID: <1Ucg6i-0zjkn20@fwd13.t-online.de>
X-ID: rCgb6yZ1whflyI0-7QJXNeK0K5q-5UioeI2ORMwcIgChoLU4L-AGn7K90A7CfGAg3V
X-TOI-MSGID: e286e3df-c283-4fe0-bb9e-1d52b459e578
         

Code: Alles auswählenAufklappen

ATTFilter

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  dj.mawa@web.de
    SMTP error from remote mail server after RCPT TO:<dj.mawa@web.de>:
    host mx-ha03.web.de [213.165.67.104]: 550 Requested action not taken:
    mailbox unavailable

------ This is a copy of the message, including all the headers. ------
------ The body of the message is 87039 characters long; only the first
------ 16384 or so are included here.

Return-path: <xyz@t-online.de>
Received: from fwd04.aul.t-online.de (fwd04.aul.t-online.de )
        by mailout01.t-online.de with smtp
        id 1Ucfi4-0004hd-Sp; Wed, 15 May 2013 19:41:52 +0200
Received: from Klaus (STPaF8ZEohPhp2RpSTwgjAtyLOYGCjwpMCTDO2dwn6-G8E2fOMhsuIamqHen6qzQ1n@[84.184.173.241]) by fwd04.t-online.de
        with esmtp id 1Ucfhz-4dNl0C0; Wed, 15 May 2013 19:41:47 +0200
From: "Sportscheck Online Rechnungsstelle" <heikeschade@t-online.de>
To: "Dj.mawa" <dj.mawa@web.de>
Subject: Vertrag Sportscheck Shop
Date: Wed, 16 May 2012 17:43:48 GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XCC1516273"
Message-ID: <1Ucfhz-4dNl0C0@fwd04.t-online.de>
X-ID: STPaF8ZEohPhp2RpSTwgjAtyLOYGCjwpMCTDO2dwn6-G8E2fOMhsuIamqHen6qzQ1n
X-TOI-MSGID: 447a3cfa-ecb8-4899-8f7c-59b9d7c0b11c

--=-XCC1516273
         

Code: Alles auswählenAufklappen

ATTFilter

  hase.joerg@gmx.de
    SMTP error from remote mail server after RCPT TO:<hase.joerg@gmx.de>:
    host mx00.gmx.net [213.165.67.99]: 550 Requested action not taken:
    mailbox unavailable

------ This is a copy of the message, including all the headers. ------
------ The body of the message is 87122 characters long; only the first
------ 16384 or so are included here.

Return-path: <xyz@t-online.de>
Received: from fwd04.aul.t-online.de (fwd04.aul.t-online.de )
        by mailout01.t-online.de with smtp
        id 1UcfI2-0006wo-Lj; Wed, 15 May 2013 19:14:58 +0200
Received: from lars-avtyn682xd (EAvUPGZcwh5SIX7tjiBQV28aHCYc7KMY2kYy6aYVgow8NShN5xdCw1xZcH8BDsuQ-l@[178.25.95.140]) by fwd04.t-online.de
        with esmtp id 1UcfHz-1aVuKW0; Wed, 15 May 2013 19:14:55 +0200
From: "HM GmbH Online Support" <heikeschade@t-online.de>
To: "Hase.joerg" <hase.joerg@gmx.de>
Subject: Abrechnung 15.05.2013 HM GmbH
Date: Wed, 15 May 2013 17:14:54 GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC7214897D"
Message-ID: <1UcfHz-1aVuKW0@fwd04.t-online.de>
X-ID: EAvUPGZcwh5SIX7tjiBQV28aHCYc7KMY2kYy6aYVgow8NShN5xdCw1xZcH8BDsuQ-l
X-TOI-MSGID: ae65e906-f37d-4a68-a96f-662723d1330e
         

Edit: Hast du schon einmal was von "Sender Policy Framework" gehört und könnte das an diesem Punkt weiterhelfen?

Es sieht nicht so aus, als wenn dein Anschluss diesen SPAM rausballert. Wenn dem so ist, dann bleiben meiner Meinung nach nur zwei Möglichkeiten

1) Die spammer fälschen die Absendeadresse
2) Die kennen dein Passwort zum Mailkonto und missbrauchen es

(2) sollte unwahrscheinlich sein, da du das Passwort je geändert hast. Außerdem hätte bei der Menge dein Provider auf den Missbrauch auch mal stoßen müssen oder hast du schon derartige Hinweise vom Provider bekommen?

Aber wenn das wirklich nicht nur Spammer sind, sondern wenn das ein Bot-netz ist, dann kann das ja ewig so weitergehen...

Edit: nein, der Provider hat noch nicht geschrieben, glücklicherweise. Aber mit einer Sprerrung müsste man da irgendwann rechnen können, bei dem Auflauf an Spam...

Gegen Adressfälschung kannst du nichts machen.
Und jeder Spammer setzt in seinem ureigenen Interesse Botnetze ein. Oder würdest du strafbare Handlungen über deinen privaten Inet Anschluss machen, wo du in Nullkommanix zurückverfolgbar bist?

mja... Dann werd ich mich mal an den Support von t-online wenden, wenn man da sonst nix machen kann. Seid ihr im Kontakt mit Anbietern/Foren, die sich speziell mit solchen Problemen auseinandersetzen? (Edit: hab das mal rausgenommen, bin etwas gefrustet, aber gut...)
Trotzdem nochmal danke für die ausführliche Hilfe. Hier hab ich immer das Gefühl, ich bin gut aufgehoben mit solchen Sachen.

Beste Grüße,

Atina

Ich möchte nochmail ein Update geben:

Telekom/T-online hat sich gestern noch um 23(!) Uhr rückgemeldet mit einer recht ausführlichen, aber vermutlich als Standardmail formulierten, Antwort:
Zwei Punkte wurden angesprochen, die sich im Wesentlichen auf Passwörter ändern und auf "Schadwsoftware beseitigen" beschränken.

Zu erstens: "Bitte prüfen Sie deshalb zu Ihrer eigenen Sicherheit *alle* (!) Rechner
und ändern Sie auch *alle* Passworte!"
Ok, ich soll alle Rechner des internen Netzes oder alle Rechner überprüfen, mit denen man sich jemals auf dem speziellen Emailkonto angemeldet wurde und ich soll alle Passwörter auf den Rechner überprüfen?

Zitat:

"Auch wenn Sie Ihren Rechner bereinigt haben, kann weiterer Schaden durch
den Missbrauch bereits gestohlener Zugangsdaten entstehen. Daher raten
wir Ihnen, *alle* Passwörter zu ändern, vergessen Sie dabei nicht
etwaige Passwörter für Onlinebanking, eBay, Amazon & Co., falls Sie
solche Dienste nutzen."

Selbst die Zugangsdaten zum Router sollen geändert werden:
"Das neue 'Persönliche Kennwort' nach der Änderung bitte auch für den
Internetzugang z. B. im Router eintragen:"
Ist das nicht etwas übertrieben? Aber gut.
Zu zweitens wird ein Microsofttool, Malwarebytes, der "DE-Cleaner", gmer und die "DE-Cleaner Rettungssystem CD" von Avira," empfohlen.
Na gut, dann werde ich nochmal ausführlich alle Passwörter ändern und schreib T-online nochmal. Was soll ich denen noch sagen, damit ich verdeutlichen kann, dass auf dem Rechner nichts mehr drauf ist an Schadsoftware?

Beste Grüße,

Atina