Mails kommen zurück ohne je versendet worden zu sein
 

Hallo zusammen,
dieses Forum hat mir schon oft geholfen, und nun brauche ich eure Hilfe wieder. Bei uns in der Firma kommen Mails an die niemand gesendet hat. Oft werden diese Mails mitten in der Nacht versendet, wo eh niemand arbeitet. Es ist auch jedesmal das gleiche, die Mails können nicht zugestellt werden da die Empfänger unbekannt sind. Die Domain dr Mails ist pro Mail die gleiche, nur der Name ändert sich.
Beispiel:
<vorname.nachname@subdomain.domin.net>:
Sorry, no mailbox here by that name. (#5.1.1)
Es ändert sich nur der Name, die Domain und Subdomain bleiben gleich. Jedenfalls bei einem "rundruf" der mails. Ich will sagen, dass es täglich an andere Domains geschickt wird.

Ich habe hier auch HijackThis-Logfile gepostet, jedoch bin ich nicht wirklich geübt im lesen dieser Logfiles und habe daher vielleicht etwas übersehen. Es wäre nett wenn ein erfahrerner Leser mir helfen könnte.

===============================================
Logfile of HijackThis v1.99.1
Scan saved at 14:47:40, on 21.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\VS KEN!\AVWUPSRV.EXE
C:\Programme\Canon\VDC\AuVdc.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Firebird\FIREBI~1\bin\fbguard.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Firebird\FIREBI~1\bin\fbserver.exe
C:\WINNT\Explorer.EXE
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\KEN!\kentbcli.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\Programme\Hewlett-Packard\Toolbox\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\VS KEN!\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\ADOBE\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\PROGRAMME\VS KEN!\AVGUARD.EXE
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=xxx.xxx.xxx.xxx:xxx;https=xxx.xxx.xxx.xxx:xxx;ftp=xxx.xxx.xxx.xxx:xxx;socks=xxx.xxx.xxx.xxx:xxxx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [MBGroup] "C:\Programme\Allianz\BSA\VPMSRun\dll.32\MBGroup.exe" "C:\Programme\Allianz\BSA\VPMSRun\VFrame32\Menu\MenuBera.ini" "C:\Programme\Allianz\BSA\VPMSRun\dll.32\mb.log"
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINNT\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [StatusClient 2.5] C:\Programme\Hewlett-Packard\Toolbox\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\VS KEN!\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\ADOBE\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\ADOBE\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: kqstarter.lnk = C:\Programme\Stuttgarter\.kevuSSLV\SAS\kqstarter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxxx.xxx.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{C145601A-BDDA-4832-B7C1-20C26ABD8C1C}: NameServer = xxx.xxx.xxx.xxx
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxxx.xxx.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxxxxx.xxx.de
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Virenschutz für KEN! Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\VS KEN!\AVGUARD.EXE
O23 - Service: Virenschutz für KEN! Update Service (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\VS KEN!\AVWUPSRV.EXE
O23 - Service: Canon NetSpot Suite Service - CANON INC. - C:\Programme\Canon\VDC\AuVdc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\PROGRA~1\Firebird\FIREBI~1\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\PROGRA~1\Firebird\FIREBI~1\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe
===============================================
Vielen Dank im Voraus!


Gruß vom kleinen Virus

Ohne das Logfile näher zu beachten:

Irgendjemand versendet irgendwo Spam oder Würmer, und nutzt dafür, warum auch immer, eure Absendeadresse.
Da natürlich nicht alle Empfänger existieren, bekommt nun der vermeintliche Absender die Nachricht, das die Mail nicht zustellbar war. Das müsst ihr nun ausbaden, und könnt eigentlich nichts dagegen tun, ausser zu filtern.

Näheres weiß dazu euer Mailadmin.

Gruß :daumenhoc
Yopie

Steht denn überhaupt fest, daß die Mails tatsächlich von innerhalb eurer Firma verschickt wurden? Mit anderen Worten, hat sich mal jemand die "Received: from...by...-Historie" im Mailheader genauer angeschaut?

Weitere Informationen hier:

http://www.stopspam.org/email/headers.html (englisch)
http://www.th-h.de/faq/headerfaq.php (deutsch)

Falls der erste (unterste) Received: from ...by...-Eintrag auf eine Adresse außerhalb der Firma verweist, sind das ganze normale Wurmmails mit gefälschten Absendern und (nichtexistierenden) Adressen, wie sie jeder bekommt.

Cobra

Siehe auch: Mailwürmer-FAQ von Markus Klaffke.

Hallo,
erstmal danke für die antworten. Ich habe mir die Header mal angesehen, also die "Received: from ...by..."-Einträge sind keine richtigen Adressen. Also zB sowas: Received: from unknown (HELO aypjt.de) (<IP Adresse>).

Also wenn das nicht aus unserem Netzwerk kommt, können wir da auch nicht viel tun - ausser zu filtern, oder? Das wäre ja zum :heulen:

Gruß - kleiner Virus