Guten Abend zusammen,

ich habe nun schon einiges an Beiträgen im Forum gelesen und beziehe mich auf folgendes Thema: http://www.trojaner-board.de/171158-...t-gehackt.html

Ich habe bei 1&1 zwei @onlinehome.de Adressen die seit ca. mitte August Spam versenden.
Das Shema immer das selbe:

Absenderadresse: Eine meiner @onlinehome.de Adressen
Anzeigename: Willkürlich ein Name aus meinen gesendeten oder empfangenen Mails
Message: Hello! New message, please read / oder Important!...
Empfänger: Willkürliche Adressen aus meinen gesendeten oder empfangenen Mails

Abrufen tue ich mit Iphone6/Ipad und einem Win8.1 Notebook

1)
Iphone wurde neu aufgesetzt, Ipad wurde neu aufgesetzt Notebook wurde neu aufgesetzt.
Mailkennwörter und Kundencenterkennwort wurde geändert via Firmenrechner.
Fazit: Kein Erfolg

Konten wurden komplett von den Devices entfernt. Mails wurden nur noch über den Webmailer auf einem Firmenrechner (Großer Konzern mit sehr restriktiver Internetnutzung) abgerufen
Fazit: Kein Erfolg

1und1 sagt wie bei vielen anderen auch, Virenscanner laufen lassen bla bla bla.....

Ich bin verzweifelt/wütend und weiß nicht mehr weiter. Eine Anzeige gegen Unbekannt wird an dieser Stelle nicht weiterhelfen. Ich tippe auf eine Spoofing Attacke und einem vorigen unbefugten Zugriff auf die Mailserver von 1und1. Es sind hier ca. 90 % aller Betroffenen bei diesem Provider, das kann doch kein Zufall sein?!

Ich möchte dieses Thema nicht zu MEINEM machen sondern allen Betroffenen die Möglichkeit geben, Lösungsansätze zu posten die in unserer Lage eurer Meinung nach sinnvoll sind.

Vielen Dank für eure Unterstützung!
LG

Hi

Hilfreich wären die Kopfzeilen so einer Spammail - dann lässt sich sagen, ob tatsächlich über ein immer noch bzw schon wieder gekapertes E-Mailkonto - also über nen 1&1 Mailserver - gespammt wurde oder ob einfach nur Adressfälschung von den Spammern betrieben wurde....

Hier mal ein Beispiel:

Received: from VI1PR06CA0077.eurprd06.prod.outlook.com (10.163.160.45) by
AM3PR06MB1235.eurprd06.prod.outlook.com (10.163.9.17) with Microsoft SMTP
Server (TLS) id 15.1.286.20; Tue, 6 Oct 2015 01:21:22 +0000
Received: from DB3FFO11FD006.protection.gbl (2a01:111:f400:7e04::147) by
VI1PR06CA0077.outlook.office365.com (2a01:111:e400:533c::45) with Microsoft
SMTP Server (TLS) id 15.1.286.20 via Frontend Transport; Tue, 6 Oct 2015
01:21:21 +0000
Authentication-Results: spf=none (sender IP is 94.198.164.26)
smtp.mailfrom=onlinehome.de; tomorrowland.com; dkim=none (message not signed)
header.d=none;tomorrowland.com; dmarc=none action=none
header.from=onlinehome.de;
Received-SPF: None (protection.outlook.com: onlinehome.de does not designate
permitted sender hosts)
Received: from relay004.easyhost.be (94.198.164.26) by
DB3FFO11FD006.mail.protection.outlook.com (10.47.216.95) with Microsoft SMTP
Server id 15.1.286.14 via Frontend Transport; Tue, 6 Oct 2015 01:21:21 +0000
Received: from localhost (localhost [127.0.0.1])
by relay004.easyhost.be (Postfix) with ESMTP id 212F822931;
Tue, 6 Oct 2015 03:21:21 +0200 (CEST)
X-Virus-Scanned: amavisd-new at easyhost.be
X-Spam-Flag: NO
X-Spam-Score: 2.001
X-Spam-Level: **
X-Spam-Status: No, score=2.001 tagged_above=0 required=3 tests=[BAYES_80=2,
HTML_MESSAGE=0.001, RCVD_IN_DNSWL_NONE=-0.0001] autolearn=no
Received: from relay004.easyhost.be ([94.198.164.26])
by localhost (relay004.easyhost.be [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id vmvYK1+syUJa; Tue, 6 Oct 2015 03:21:20 +0200 (CEST)
Received: from leviticus.vibit.eu (leviticus.vibit.eu [78.40.96.174])
by relay004.easyhost.be (Postfix) with ESMTPS id 43B622291E;
Tue, 6 Oct 2015 03:21:20 +0200 (CEST)
Received: from fl1-118-108-145-189.stm.mesh.ad.jp ([118.108.145.189]:51111 helo=WIN-NPPN1JPV75J)
by leviticus.vibit.eu with esmtpsa (TLSv1HE-RSA-AES256-SHA:256)
(Exim 4.85)
(envelope-from <Blank@onlinehome.de>)
id 1ZjGwR-002Yo1-A7; Tue, 06 Oct 2015 03:21:20 +0200
From: <Blank@onlinehome.de>
To: Hier stehen die Empfänger
Subject: Fw: new message
Date: Mon, 5 Oct 2015 18:20:50 -0700
Message-ID: <00000606b562$8c64f56b$6934111e$@onlinehome.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0001_6B4605BF.65595EC2"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdERFiVIeOlVUMfsV9kSGzkky0r0wQ==
Content-Language: en-us
Return-Path: Blank@onlinehome.de
X-EOPAttributedMessage: 0
X-Microsoft-Exchange-Diagnostics: 1;DB3FFO11FD006;1:P0lwQ77ocU10lvC/IdMesNgSuiTffM96F/8WW+y7t7ILZSR6xU4Jumz8+/KBRVnTJ+9VWpMJ8cvUI5Rfrg1pONWrgDFzL+ahlygInwoxw97czPnMj37KQH7O1Vn4nY/cmVqpP+pWa0YnNCTMfDW+8D989codQyC+viwb8X+aTig4sqRRJAt4P7pulUUIPEQG43yKORkL452lRPygxjuZYt0LOKSwrvnSnLqnMGjkUz6vRBnoT7TZwCeXhgEJDNDQ6WebZsL8n8mNaqxFpOOUp y5GiwKr8q51UQdJMtNmuuY1vRUl1sAzwz6Lf0pheOwn2MPZa8/AB61VI+KVuR0V6aQn+wY/p+sjCKIi/rpzs97hMwbVac+2NEo6TLmEUqZKpN8QPxXCn/limRq57Vgo0g==
X-Forefront-Antispam-Report: CIP:94.198.164.26;CTRY:BE;IPV:NLI;EFV:NLI;
X-Microsoft-Exchange-Diagnostics: 1;AM3PR06MB1235;2:v0Dfi7p2dgN5bXp/jYjiHIRMRUK7ypcaSNvGYtLXm2bG4VAc+URbRZvUWfHROVex9rORp9rLn3RnQLFzLDQYtP5jMxkiU/mL1bt4q9wgGoiVbLopISE51csstulIXq2opn2dAAOI3q8Qgl0/122k52dckWaiQC8KDQm71RmNTIM=;3:BE/iYSiqgFoSPwEGWoi3e0gTajqQAJTH+1o8FrP8EQFjuSRk39wl1XOsghXG1VA+SFTWfQoUFIAWqgpb+EadI1MGE4+ZZbmmd0hH/z1ZffBT9EWx3DlhXHbOJUdBCzuOuwpN95Xw/aJd09hsnJfu4Upnle7thg0oliSg0mucYsg40fu+QDM3vGtRKnfy55AgCE/WCWVyJScRdsFp07BwZlvL0lU3unflmKP5BNdJ2IGB0ioaH0w+erXkzRm5xMrhwVGseQ/OggBb8FYQQO2r6Q==;25:3UPK9ee+eRz/ss3bq2WUgtQE4mSALGGSMRnrD/buWKw1yFj1Wlioamd5MKtADViDtHfGE4c4SJtAh6UyHPCfV8FXFD4CuMktfrgeX26EpOuqDf21cKYzcg5q2eoBLUQbqbxVj7n5PzdX+pmsNpZe2kxupA18As9i+oKNPWkpulDp+iZ51p3Q0cm+w/XdngehsiZgDzOqP/u08CoGE4o0u/OcfDn11BeBtEEyu353S0xzxjV/aqdpB79H6TZekBThBDIkmZIO8elzOXy0Kj2zyw==
X-Microsoft-Antispam: UriScan:;BCL:0;PCL:0;RULEID71701003)(71702001);SRVR:AM3PR06MB1235;

------=_NextPart_000_0001_6B4605BF.65595EC2
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: 7bit

Hello!



New message, please read <hxxp://Queenofdropcards.com/mean.php?r6>

Ich seh da einiges, aber nichts, was offensichtlich von 1&1 sein könnte:

Code: Alles auswählenAufklappen

ATTFilter

VI1PR06CA0077.eurprd06.prod.outlook.com (10.163.160.45)
AM3PR06MB1235.eurprd06.prod.outlook.com (10.163.9.17)
DB3FFO11FD006.protection.gbl 			(2a01:111:f400:7e04::147)
VI1PR06CA0077.outlook.office365.com 	(2a01:111:e400:533c::45)


Authentication-Results: spf=none (sender IP is 94.198.164.26)
smtp.mailfrom=onlinehome.de; tomorrowland.com; dkim=none (message not signed)
header.d=none;tomorrowland.com; dmarc=none action=none

relay004.easyhost.be (94.198.164.26)

Received: from leviticus.vibit.eu (leviticus.vibit.eu [78.40.96.174])
Received: from fl1-118-108-145-189.stm.mesh.ad.jp ([118.108.145.189]:51111 helo=WIN-NPPN1JPV75J)
         

easyhost in Belgien? Hast du damit was am Hut? Tomorrowland?

Hallo Cosinus,

ich habe mich auch gewundert. Der gepostete Header ist das Attachment vom Mail Delivery System. Der Spammer schickt leider auch an die noreply@tomrrowland.com die mir dadurch das ich Karten gekauft hatte auch informationen hat zukommen lassen.

Ich habe hier nochmal einen anderen Header:

Received: from mx0.vr-web.de ([::ffff:192.168.27.8])
by loc.vr-web.de with ESMTP; Mon, 26 Oct 2015 17:54:03 +0100
id 00000000001A0009.00000000562E5AAB.00004B15
Received: from vrwf106.vrweb.de [192.168.27.9]
by BitDefender SMTP Proxy on localhost [127.0.0.1]
for vrw-b-01.noc.fiducia.de [192.168.30.5]; Mon, 26 Oct 2015 17:54:03 +0100 (CET)
Received: from mailscan2.extendcp.co.uk (mailscan3.extendcp.co.uk [::ffff:79.170.43.23])
(VExTOiBUTFN2MS9TU0x2MywyNTZiaXRzLEFFUzI1Ni1TSEE=)
by mx0.vr-web.de with ESMTPS; Mon, 26 Oct 2015 17:54:02 +0100
id 0000000000000A59.00000000562E5AAA.00001E86
Received: from mailscanlb0.hi.local ([10.0.44.160] helo=mailscan6.hi.local)
by mailscan-s92.hi.local with esmtp (Exim 4.80.1)
(envelope-from <Blank@onlinehome.de>)
id 1Zql22-0005iA-5N; Mon, 26 Oct 2015 16:54:02 +0000
Received: from mailscanlb0.hi.local ([10.0.44.160] helo=mail54.extendcp.co.uk)
by mailscan6.hi.local with esmtps (UNKNOWNHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.80.1)
(envelope-from <Blank@onlinehome.de>)
id 1Zql20-0002wq-28; Mon, 26 Oct 2015 16:54:00 +0000
Received: from [88.248.20.227] (helo=WIN-NPPN1JPV75J)
by mail54.extendcp.com with esmtpsa (UNKNOWNHE-RSA-AES256-SHA:256)
(Exim 4.80.1)
id 1Zql1x-0002Lx-P1; Mon, 26 Oct 2015 16:53:58 +0000
From: Ina <Blank@onlinehome.de>
To: "daniel.al-kabbani" <daniel.al-kabbani@gmx.de>,
"daniel.al" <daniel.al@hotmail.de>,
"daniel.albers" <daniel.albers@vr-web.de>,
"daniel.albert" <daniel.albert@toneart.de>
Subject: Fw: new message
Date: Mon, 26 Oct 2015 09:53:52 -0700
Message-ID: <0000ebb16181$dde97aae$904fc512$@onlinehome.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0001_1133243C.3A92E72E"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdEIp23DdARUgcxvOKi1EpCO94uWvw==
Content-Language: en-us
X-Authenticated-As: joe@acbofficeservices.co.uk
X-Extend-Src: mailout
X-BitDefender-Scanner: Clean, Agent: BitDefender Smtp Proxy 3.1.0 on
vrw-f-01.noc.fiducia.de, sigver: 7.63087
X-BitDefender-Spam: No (0)
X-BitDefender-SpamStamp: Build: [Engines: 2.15.6.879, Dats: 402792,
Stamp: 3], Multi: [Enabled, t: (0.000008,0.002251)], BW: [Enabled, t:
(0.000008,0.000001)], RBL DNSBL: [Enabled, Score: 0(0), t:
(0.000022)], APM: [Enabled, Score: 500, t: (0.004225), Flags:
17A2F75C; NN_TP_TAG_HTTP; NN_FORGED_OUTLOOK_1; NN_S_NIGG_ALERT_ADN;
NN_EXEC_H_DICTIONARY_EMAIL_ADDRESSES], SGN: [Enabled, t: (0.015278)],
URL: [Enabled, t: (0.000055)], RTDA: [Enabled, t: (0.077368), Hit: No,
Details: v2.2.17; Id: 2m1gj28.1a2if4m95.147n], total: 0(775)
X-BitDefender-CF-Stamp: none

This is a multipart message in MIME format.

------=_NextPart_000_0001_1133243C.3A92E72E
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: 7bit

Hello!



New message, please read <hxxp://nwcc-mt.com/mentioned.php?x>



Ina

Nachdem du das Passwort zum Mailaccount geändert hast ging das Spammen ja weiter. Teste mal, ob nach dieser Passwortänderung auch an neue Adressen gespammt wird, nachdem du diese ins Adressbuch neu eingetragen hast.

Ich kann so keine Hinweise sehen, dass die Spammer immer noch Zugriff auf dein Mailkonto haben, also nicht direkt über dein Account und damit über die Mailserver deines Providers spammen - aber das einmal "geklaute" Adressbuch von dir verwenden die immer noch.

Hallo, leider hat es mich auch erwischt, es ist meine 1und1 Email betroffen, die ich als Hauptaccount auch nutze.

Seit der letzten von meinem Account gesendeten Spamwelle war nach Passwortänderung 2 Wochen "Ruhe". Heute wieder eine Welle mit mehr als 200 Rückläufern.....

Heutiger Anruf bei 1 und 1:
Bitte das Passwort Ändern und warten ob was passiert.
Den von mir genutzten Hauptaccount können sie nicht löschen oder ändern.

Von meinem PC kann über diesen Acount nichts mehr gesendet werden den Ausgangsserver habe ich deaktiviert.

Ich bin echt verzweifelt.

Vielleicht wisst ihr hier Rat und Hilfe.

Danke im vorraus

Andreas

Moin ,

ich kann von derselben Problematik berichten.
Es werden Namen aus dem Outlook Adressbuch verwendet , wobei der Absender immer ein anderer ist ( ein lokales Konto).
Die Mails selbst kommen weder vom Rechner noch von 1und1. Es sind immer zufällige Server rund um den Globus. Rumänien , Nord Korea , Japan , Belgien um nur einige zu nennen.

Der ganze Humbug hat irgendwann Mitte August angefangen und seitdem kommen immer wieder mal einige hundert Spam mails.

Passwort ändern und Löschen des Email Accounts hilft nicht .
Es sind immer Wellen , mal ist eine Woche Ruhe , dann geht es wieder von vorne los.

Mein Verdacht : Es wurde (vllt durch einen Trojaner) das Adressbuch und Accountinformationen auf dem Rechner ausgelesen.

Viele haben dieses Problem aber es gibt wohl keine Abhilfe.
Bleibt nur die Hoffnung dass es irgendwann aufhört ?

Good luck

Vllt wurden auch Passwörter ausgespäht. Aber auf jeden Fall das Adressbuch.

Das erklärt, warum manche berichten, dass nicht an alle aus dem Adressbuch gespammt wurde, sondern eine offensichtlich veraltete Liste benutzt wurde => altes Adressbuch des Anwenders

Und das erklärt auch, warum munter weiter gespammt wird, trotz Passwortänderung: denn die Spammer nutzen nur alte Adressbuchdaten als Spamempfänger. Gesendet wird über irgendwelche offenen Relays oder so. Aber nicht über den Mailserver des Providers des Anwenders. Und als Absenderadresse können die Spammer sich beliebige Adressen ausdenken.

Soweit ich feststellen konnte wurden - zumindest bei mir - die Mailordner auf dem Server ausgeforscht.

Die Adressaten waren in keinem Adressbuch, sondern stammten aus verschiedenen Foldern meiner Mailbox.

Eigentlich rufe ich Mails ab und an vom Rechner zuhause ab und alles was älter als x Tage ist wird dabei vom Server gelöscht. Dachte daher zuerst an ein Problem auf meinem Rechner Zuhause, da z.T. sehr alte Adressen dabei waren. Die Mailadressen wären dann aber recht willkürlich zusammengewürfelt aus alt und neu.

Im Webmailer ist mir dann aber aufgefallen, dass neben dem normalen Posteingang, Gesendete Objekte etc. (was tatsächlich bereinigt wird), noch ein paar andere Ordner auf dem Server liegen (Ausgang, Gesendet, Sent, Trash - alle als Unterordner von "Meine Ordner"). Diese Ordner werden scheinbar von diversen Mailprogrammen angelegt und werden nicht Synchronisiert/Bereinigt. Lösche ich auf meinen Androids Mails, landen die nicht im "normalen" Papierkorb - sondern z.B. in Trash als Unterordner von "Meine Ordner".

Kurzum, genau in diesen Ordnern fand ich die Mailadressen, an die der Spam ging. Und ums Rund zu machen - auch eine, die ich nie vom PC abgerufen hatte (Handy für meinen Sohn eingerichtet und eine Testmail an mich geschickt).

Zwischenzeitlich habe ich mein Onlinepostfach ordentlich aufgeräumt, das Passwort geändert (ich gebe zu - trotz Großbuchstaben, Kleinbuchstaben, Zahlenkombination - das Alte hätte sicherer sein können). Hab nur noch Mails der letzten Woche online. Natürlich geht das Spoofing weiter - die haben ja die Adressen. Allerdings sind die zumindest so "nett" nur so einmal im Monat meine Absenderadresse zu verwenden - die Anzahl der Empfänger scheint auch deutlich geringer worden zu sein. Vermute die bekommen sogar mit, was aktive Adressen sind und bereinigen. Habe auch noch den DNS Eintrag bei 1und1 gesetzt.

Vermute, mein Password war zu einfach + ich hab zu viel Müll auf dem Server gehabt . Auf welchem Weg der Zugriff erfolgte ist mir aber noch nicht klar. Der Webmailer könnte eine Schwachstelle sein - ein einfaches Password reicht da aus. Bei Google gibts ja z.B. die zusätzliche SMS Pin wenn man von einem neuen Device zugreift.

Schön.... nicht alleine zu sein

Ich hatte im anderen Thread auch schon berichtet über die Spam-Mails aber über den Swisscom-Provider. Das letzte Mal war bei mir Ende September und nun gestern wieder erneut.

Inzwischen hatte ich PC und Android-Smartphone neu aufgesetzt, Passwörter geändert usw.

Was mir aber auch aufgefallen ist, die Empfängerliste wurde viel kleiner oder evtl. auch nur weniger Adressen in der Empfängerzeile.

Leicht amüsierend, der Swisscom-Supporter hat dasselbe Problem mit seiner Adresse..

Hallo!
Ich bin auch betroffen, hatte bis zum ersten Angriff ein zu einfaches Passwort. Trojaner auf meinem PC kann ich ausschließen (Kaspersky aktiv, auch mit Avira Rescue CD keine Funde).
Ich kann zum Thread mitteilen, dass das Adressbuch im 1Und1 Webmailer bei mir völlig leer ist, ich maile immer mit Windows Live Mail 2012 bzw. von meinem Androiden. Die Adressen stammen m.E. aus den bei 1Und1 gespeicherten Mails (gesendete oder in IMAP Ordnern abgelegte). Nach dem Passwortwechsel gab es noch mehrere Wellen von diesem SPAM, aber es waren keine neu angelegten bzw. erstmals angemailte Adressen dabei.
Nebenbei, auch ein web.de Konto von mir ist betroffen, aber keine Mailkonten von Providern außerhalb von United Internet. Mir sieht das Ganze nach einem erfolgreichen Hack bei United Internet selbst aus, was natürlich United Internet nie zugeben, sondern als Verleumdung qualifizieren wird. Daher formuliere ich hiermit ausdrücklich keinen Verdacht, sondern nur eine mögliche Ursache für das Problem.
KunoDD

Nun möchte ich mich auch nochmal zu Wort melden.
Ich gehe definitiv nicht von einem Trojaner auf den Rechnern aus sondern einem Leck bei den Providern. Zumindest für das Abgreifen der Empfängeradressen, denn es ist in den meisten Fällen ganz klar Spoofing!

Die Vorgehensweise war vermutlich so:
1) Der 1und1 Mailserver wurde ausgelesen (Absender und Empfängeradressen)
2) Die betroffene Mailadresse wird fürs Spoofing missbraucht
3) Die ausgelesenen Adressen werden als Empfänger eingesetzt
4) Somit ist sichergestellt, dass bei einer Kennwortänderung weiterhin an bekannte Personen mit der bekannten Mailadresse gesendet werden kann

Was tun? Tjaa.....
Wäre es nicht möglich die Routen zurückzuverfolgen und die Leute hochzunehmen?
Meint ihr es handelt sich hier um mehrere "Hacker" oder nur um einen der irgendwo in der Walachei sitzt und sich ins Fäustchen lacht?

Normalerweise hätten doch die Provider ein interesse daran, dass niemand mit deren Domains Spoofing betreibt oder irre ich mich dort?

Hallo zusammen,

bei mir sind ebenfalls zwei web.de Adressen von dem Phänomen betroffen. Bisher gab es ca. jede Woche seit etwa September eine Spam-Welle unter Nutzung meiner Adressen im Header und meines Namens (bzw. von befreundeten Personen) als "Unterschrift".
Zunächst hatte ich auch die Hoffnung, dass der Verteiler von Welle zu Welle abnimmt, die letzte vom 21.11.15 war jedoch heftig und es wurde an neue, mir teilweise gänzlich unbekannte Empfänger gesendet (habe ich durch die Mail-delivery failed Rückläufer gesehen).

Habt Ihr irgendwelche neuen Erkenntniss oder Ideen, wie man wieder Herr der Lage wird?
Werde die Adressen wohl löschen aber was, wenn danach munter weiter in meinem Namen gespamt wird?

Von dem Angiff sind nach meinen Recherchen wohl mehrere Provider weltweit betroffen, umso verrückter, dass es keine Lösung gibt.

Echt nervig...

Hey an alle,

also bei mir ist eine @t-online.de Adresse betroffen. Es werden weiterhin in Wellen Mails an meine Bekannten versendet, wobei ich selber kein Adressbuch angelegt habe, weswegen ich vermute, dass die Adressen aus meinen Emfpangen und Gesendet Ordnern entnommen wurden, die ich leider alle auf dem Server hinterlegt hatte. In der Zwischenzeit habe ich alle E-Mails vom Server genommen und alle Mailprogramme, die mit der Adresse verbunden waren, von dieser getrennt. Allerdings hört die Welle immer noch nicht auf, da wohl einfach weiterhin mein Absender gefälscht wird und mein Adressbuch eben schon in deren Besitz ist.

Hier mal ein Beispielhafter Header einer Mail:

Zitat:

Received: from lyehv.com ([114.47.140.37]) by mrelayeu.kundenserver.de
(mreue104) with ESMTPSA (Nemesis) id 0MZV1R-1ZmVWu3Rvh-00LH7E; Tue, 24 Nov
2015 01:11:55 +0100
From: XXXX <XXXX@t-online.de>
To: XXXX
Subject: Fw: new message
Date: Tue, 24 Nov 2015 08:09:00 -0800
Message-ID: <00007b6239bd$514dc320$5bd208db$@t-online.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0001_41474347.6359B26A"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdEoNuAtlClLuI1spqT249HLEw8eqg==
Content-Language: en-us
X-Antivirus: avast! (VPS 151123-1, 2015/11/24), Outbound message
X-Antivirus-Status: Clean
X-Provags-ID: V03:K0:1TDaTxtgYhQAr8JC5iYoxMaqfZZtjqnYx29fdxl4j4Bqi2XZelx
WC48956c5H9HPyQ2p7/QHFyvOc9uXbFIKmxU6g9420CL+crlVsxbBeVM1hB/Zq0eHmDs4In
NKsl2j1OOEIfwOgCXFZjaClk7cETcBE4pRzSqA28ctpq8apLEiyrxhX3GTbd+kYFX8dLemr
GuoDvbEisi/kjO36Gqocg==

IP-Adresse liegt in Taiwan, habe auch andere mit Adressen in Mexiko, Serbien etc. So wie ich das sehe werden die Mails also nicht von meinem Account aus geschickt, dieser ist also safe (abgesehen davon, dass ich ihn sowieso nicht mehr benutze), würdet ihr mir da zustimmen? Interessant ist, dass auch bei mir als X-Mailer Microsoft Outlook 15 angegeben wird (ich selbst benutze Outlook 16), wie es auch bei vielen anderen der Fall zu sein scheint.
In jedem Fall muss kurzzeitig jemand Zugriff auf mein Mailkonto gehabt haben, um die Adressen meiner Bekannten herauszufinden, in der Zwischenzeit scheint das aber nicht mehr der Fall zu sein, nur einmal Kontakte geklaut, immer Kontakte geklaut. Ich werde also allen meinen Kontakten raten meine Mail Adresse als Spam einzustufen und auf einen neuen Account umsteigen. Die Sicherheitsvorkehrungen von T-Online scheinen mir doch auch sehr lax zu sein.

Ich werde mal bei T-Online Anfragen, ob ich das Login Protokoll meines Accounts einsehen kann, um zu sehen ob es eine Anfrage gab. Falls dem so sein sollte ist mir immer noch nicht ganz klar wie das passieren konnte, da ich zum Abrufen meiner Mails immer nur Outlook 15 bzw. 16 auf Win 7 und Aquamail auf Android 6 benutze, meien Passwort also nirgends eingegeben habe. Kurz vor dem ersten Angriff habe ich das allerdings einmal gemacht und zwar auf einem PC der mir nicht selbst gehört, vielleicht wurde dort mein Passwort abgegriffen oder es war schlichtweg nicht sicher genug.

Liebe Grüße
Steini