Mailpostfach gehackt
 

Hallo,

ich hoffe, es geht gut. :-)

Ich brauch mal Ihren Rat:

die E - Mail meiner Eltern gehackt.

Am Freitag konnte ich eine E - Mail nicht verschicken, der Empfänger lehnte die Zustellung ab, weil die Mail, bzw die IP des Versenders auf einer Blacklist steht. So in etwa stand es in der automatischen Rückantwort.

Dachte, dass sei ein Fehler, also das der, der die IP zuvor von 1 und 1 hatte - die ändert sich ja täglich - die vielleicht für Spam missbraucht hatte. Zustellung der Mail gelang dann auch beim 2. Versuch, zumindest kam die Meldung dann nicht mehr.

Sonntag früh dann waren alle Mail aus dem Posteingang gelöscht, auch der Papierkorb leer, auf dem Server, also wenn ich mich auf der GMX Seite direkt einlogge, hätten sie noch liegen müssen, alles weg.



Scans mit Antivirenprogramm ( Bullguard) und Mailwarebytes ohne Befund.

PW der Emailpostfächer habe ich geändert und werde bei dem gmx Postfach auch 2 Faktoren Verifizierung einrichten.

Was kann ich sonst noch tun ? Bin verunsichert.

Randnotiz: der Drucker hatte sich vergangene Woche mit einer kryptischen Fehlermeldung aufgehängt, ging dann nach Neustart aber wieder. Und am Router gab es einen erfolglosen Anmeldeversuch mit einer unbekannten MAC.
Aber das hat damit wohl nichts zu tun ( ? )


Grüsse

Diese Nacherzählung hilft so nicht wirklich. Bitte den exakten Wortlaut posten.
Relevant sind die beteiligten Mailserver. Du als Endanwender schickst ja nicht direkt eine Mail per SMTP an den Mailserver deines Empfängers, sondern du versendest über den Mailaccount und damit über den GMX-Mailserver. Und jetzt ist die Frage welcher Mailserver was abgelehnt hat: Die IP-Adresse des GMX-Mailservers oder tatsächlich deine WAN-IP.

Das Ganze hat aber wenig bis garnichts mit einem gehackten Mailaccount zu tun.

Leider ist die Mail, die da kam ja auch gelöscht.
Die Abweisung bezog sich aber auf das Gmx Postfach, also deren IP. Soviel erinnere ich mich, weil ich im Nachgang auf gmx geschaut hatte, welche die verwenden. Es war die, soweit ich mich erinnere 212.227.17.20

Ja, das passiert immer wieder, dass so mancher Mailserver die Mailserver-IPs von Freemailern wie web.de oder GMX ablehnt. Dagagen kannst du garnix machen, außer den Mailprovider wechseln.

Danke für Dein Feedback.

Aber warum waren dann einen Tag später alle Mails im Posteingang - auch auf dem Server - gelöscht ? Der Papierkorb übrigens auch ?

Gibt es noch ein Tool, was ich mal laufen lassen sollte, um auf Viren zu prüfen ?

Das eine hat mit dem anderen nichts zu tun. Wieso deutelst du da irgendwas rein?

Und was soll noch ein Virenscan, deine Aussage war doch schon:

Wenn du trotzdem noch so eine Panik schiebst dann setz halt dein System komplett neu auf :wtf:

ich bin halt Laie und sowas stresst und verunsichert mich enorm.
Also dein Fazit als Fachmann: Kein Grund zur Panik, soweit ok, weitermachen … richtig ?
Danke Dir.

Ja aber deswegen bitte nicht gleich alles in den Topf werfen!
Wenn ein Mailserver mails von GMX ablehnt, ist das was völlig anderes als ein (vermuteter) Einbruch in Postfach. Und falls da wirklich jemand ins PF eingebrochen ist, wird er sich nicht von deinem Rechner aus da reingegangen sein.

Nein, nicht mit dieser Unwissenheit weiter machen. Das wäre schlecht. Wenn E-Mails "verloren" sind, deutet es darauf hin, dass es keine Backups gibt. Und wenn es keine Backups gibt, haben wir ein nicht vorhandenes oder nicht funktionierendes Backup-Konzept!

Lokale Sicherung der E-Mails einspielen, via IMAP synchronisieren. Resultat: Innerhalb weniger Minuten ist on- wie offline alles wiederhergestellt.

- Wie stark oder schwach waren die Passwörter denn?
- Waren sie bei allen E-Mail-Accounts stark unterschiedlich oder identisch?
- Wird eines der Passwörter auch noch für andere Logins irgendwo im Web verwendet?
- Und wie sieht es diesbezüglich nun aus?

Das grundsätzliche Backup- und Sicherheitskonzept überprüfen. Ganz offenbar liegt da ja Deiner Schilderung zufolge ganz unabhängig von Deinen aktuellen Beobachtungen so einiges im Argen.

Weil gerade bei den Freemailern Speicherplatz und Vorhaltezeiträume begrenzt sein können. Abgesehen davon, gibt es viele verschiedene weitere mögliche Ursachen:
-> https://hilfe.gmx.net/email/emails-nicht-finden.html
Zitat Ende. Von daher auch nicht wundern, wenn im Papierkorb nichts mehr liegt.

Nachtrag:

Habe mir vorhin mal meinen Router angeschaut.

In der Fritzbox 7390 ( ich weiss, wird mal Zeit für eine. Neuen) tauchen Einträge auf:
—- Fritzboxeinstellungen wurden über die Benutzeroberfläche geändert. —-Das passiert meist, kurz nachdem ich mich eingeloggt habe. Habe das heute über Tag mehrmals gemacht.

Das Ding ist, ich ändere nichts an der Benutzeroberfläche - ausser mich einzuloggen - und kann auch keine Veränderungen der Einstellungen erkennen. Bin alle Menüpunkte durchgegsngen.

Ich bilde mir ein, in der Vergangenheit kam diese Meldung nicht.

Was ist Deine Einschätzung / Rat ?


Hat sich da vielleicht doch einer eingeschlichen ?

Ich schrieb ja in meinem ersten Post bereits, dass vor ein paar Tagen mein Drucker gesponnen hat. Kryptische Fehlermeldung, nach Druckerneusrart ging es wieder.
Das Ding ist ins heimische W - lan eingebunden, ggf über den Drucker was eingefangen ?

Danke für Deine Hilfe :-)

Nicht wird, sondern war schon lange! Das Ding ist über elf Jahre alt! Bitte nicht immer am Router sparen. Dafür gibt es schon lange keine frische Firmware mehr. Dies kann sich auch nachteilig auf die Internetverbindung auswirken, da wichtige Feature-Updates, die in Bezug z.B. auf aktuelle Outdoor-DSLAM-Firmware sinnvoll bis erforderlich sind, fehlen. Schau Dir bitte mal die Verbesserungen alleine der letzten Monate und wenigen Jahre bei einem aktuellen Modell an (dort mal bitte aufmerksam bis unten durchscrollen):
-> FB 7530 ChangeLogs

All das geht an der 7390 schon lange vorbei!

Dann steht es auch direkt mit Deinen Aufrufen der Konfig-Oberfläche im Zusammenhang:
-> https://service.avm.de/help/de/FRITZ...lfe_syslog_502

Sehe ich nicht als damit im Zusammenhang stehend. Mir scheint viel eher, dass da strukturell einiges im Argen liegt. Außerdem ist "kryptische Fehlermeldung" nicht verwertbar. Das ist in etwa so, als wenn Du bei einer Täterbeschreibung angibst: 1,80m groß, schlank, Jeans, Sonnenbrille.

Es fehlen außerdem leider sämtliche Detailangaben zur Hard- und Software sowie Gerätefirmware, um den Gesamtzustand beurteilen zu können.

Auch erstmal für eine Beurteilung der Gesamtzustände der betroffenen Systeme:
-> https://www.trojaner-board.de/69886-...-beachten.html

Das Ding ist, die Mails wurden ja auch vom Server gelöscht, obwohl sie da - also wenn ich mich direkt bei der GMX Seite einlogge, ja noch liegen müssten. ( Eingestellt ist Löschung erst nach 6 Monaten) Dort sind sie auch gelöscht.


Passwörter überall unterschiedlich, 12 oder mehr Zeichen, Zahlen, sonderzwichen.
Wo es geht ( Amazon und Co 2 Faktoren)
Bei dem betroffenen Postfach - das meiner Eltern - werde ich 2 Faktoren Sicherheit am Wochenende einrichten.



Ich werde mich um einen neuen Router kümmern, welche Empfehlung gibst Du ?

Ok, also ist diese Meldung in den Ereignissen unbedenklich, verstehe ich das richtig ?

Was mir noch auffält: Geräte, die schon offline sind, werden im Router noch als online angezeigt.
Aktuallisiern der Ansicht bringt nichts.


Die Scans mach ich am Wochenende.

Danke.

Muss jetzt los.



edit
Bitte KEINE Vollzitate mehr und die Zitatfunktion richtig benutzen - keine Antworten mitten ins Zitat einbauen! :kloppen:
/edit cosinus

Das hängt natürlich von deinem Geldbeutel ab und davon was du alles konfigurieren willst. Ich bin ein Mensch der gerne viel konfiguriert (DHCP+DNS intern macht mein RaspberryPi mit pihole), aber da reicht mir auch der Router von der Telekom aus. Ist z.Z. ein Speedport W925W. Kann man auch für ein Appel und ein Ei im Monat mieten.

Hatte in einer anderen Wohnung auch mal nen Router von TP-Link, mit dem ich auch sehr zufrieden war. Die sind auch recht günstig. Oder muss es ne FritzBox sein? Brauchst du Smarthome? VPN-Zugriff auf deine Geräte wenn du unterwegs bist?

Hallo, naja, ich möchte schon gern wieder eine Fritzbox, weil ich da die Benutzeroberfläche kenne usw. Was Einfaches genügt. Smarthome usw habe ich nicht. Dachte jetzt an AVM FRITZ!Box 7530.


Nochmal zu dem anderen Punkt: Ein Gerät, was nachweislich aus ist, wird in der FB als aktiv angezeigt. Auch aktuallisieren der Ansicht bringt nichts.

Was kann das sein ?

Auch wenn die Scans nichts ergeben haben, ich bin aktuell echt verunsichert…

Schönen Donnerstag ;-)

Ergänzung: Wenn das Mac - Spoofing ist und sich jemand eingeschlichen hat, was muss man dann tun ?

Oder kann es einfach nur eine Verzögerung in der Anzeige des Routers sein. Wobei das Gerät da schon lange aus war.

Ich bin erst morgen wieder zu Hause und schmeiss das Gerät dann mal aus der Liste - nur zum Test - wenn es mir dann immernoch als aktiv angezeigt wird, wäre das doch der Beweis, dass sich jemand als dieses Gerät ausgibt und in meinem Netzwerk schnüffelt, oder ?

Was dann ? Alles - inklusive Router - platt machen und neu aufsetzten ?

(Am Montag wird der neue Router geliefert FRITZ!Box 7590)

Wer soll denn zu so was Unkonkretem eine genau Antwort geben?
Prüfe die IP- und MAC-Adresse des angeblich angezeigten Geräts. Das kann nur ein Gerät bei dir im Netzwerk sein. Alles andere ist unmöglich weil MAC-Adressen nicht über Internet geroutet werden. (MAC=Layer2, IP=Layer3)