Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Mit "Undelivered Mails" zugeschüttet (https://www.trojaner-board.de/34919-undelivered-mails-zugeschuettet.html)

Gratian 03.01.2007 15:29

Mit "Undelivered Mails" zugeschüttet
 
Hallo !

Seit einigen Tagen werde ich mit "undelivered Mails" zugeschüttet. Nun stellt sich mir die Frage, ob ich einfach nur zugespammt werde oder ob ohne mein Wissen emails von meinem Rechner versandt werden. Wie kann ich das zuverlässig herausfinden ?

Ich verwende Windows XP, Kaspersky Internet Security 6.0, Outlook 2003.

MfG

Gratian

Yopie 03.01.2007 16:12

Zitat:

Zitat von Gratian (Beitrag 246607)
Seit einigen Tagen werde ich mit "undelivered Mails" zugeschüttet. Nun stellt sich mir die Frage, ob ich einfach nur zugespammt werde oder ob ohne mein Wissen emails von meinem Rechner versandt werden. Wie kann ich das zuverlässig herausfinden ?

In den Meldungen sollte die Original-Mail samt Header-Zeilen enthalten sein. Wenn das nicht sofort ersichtlich ist, solltest du dir die gesamte Mail mal im Quelltext ansehen. Dort steht dann auch die IP-Adresse des absendenden Rechners.

Hier ein Beispiel einer Mail, die ständig bei mir aufschlägt, weil der empfangene Mailserver aufgrund der Absendeadresse denkt, ich hätte sie versandt:
Code:

Received: from localhost (localhost [127.0.0.1])
        by mr02.dvz-halle.de (Postfix) with ESMTP id 4AE282CB0CE
        for <++++++++++++>; Tue,  2 Jan 2007 02:22:39 +0100 (CET)
Received: from mr02.dvz-halle.de ([127.0.0.1])
 by localhost (mr02 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP
 id 01595-01 for <++++++++++++>; Tue,  2 Jan 2007 02:22:39 +0100 (CET)
Received: from hsbcmail.com (unknown [201.20.235.155])
        by mr02.dvz-halle.de (Postfix) with SMTP id C53942CB098
        for <+++++++++++++>; Tue,  2 Jan 2007 02:22:37 +0100 (CET)

In dem Fall ist der fettgedruckte Teil entscheidend. Die IP gehört lt. whois zu einem brasilianischen ISP, und da ich nicht in Brasilien sitze, scheide ich als Versender aus.

Mehr zu den Headerzeilen, und wie sie zu interpretieren sind, unter E-Mail-Header lesen und verstehen

Bei Fragen kannst du ja mal die Mail im Quelltext (wenn nicht zu lang) posten; aber E-Mail-Adressen bitte aus-ixen!

Gruß :daumenhoc
Yopie

Gratian 03.01.2007 18:50

Liste der Anhänge anzeigen (Anzahl: 1)
Hallo !

Erstmal Danke für die Antwort. Ich habe mir Deine Literaturempfehlung mal ausgedruckt und schon mal angefangen zu lesen. Trotzdem kann ich den Header nicht auflösen, da er leider nicht so schön übersichtlich ist, wie Dein Beispiel.

Zunächst aber mal eine andere hoffentlich nicht zu "doofe" Frage, wie öffne ich die email in Quelltext ?

Anliegend mal der Header einer der zahlreichen emails:

Code:

Return-Path: <>
Delivery-Date: Wed, 03 Jan 2007 13:23:05 +0100
Received-SPF: none (mxeu7: 200.75.19.146 is neither permitted nor denied by domain of mx.uahurtado.cl) client-ip=200.75.19.146; envelope-from=postmaster@mx.uahurtado.cl; helo=mx.uahurtado.cl;
Received: from [200.75.19.146] (helo=mx.uahurtado.cl)
        by mx.kundenserver.de (node=mxeu7) with ESMTP (Nemesis),
        id 0MKsxo-1H25960f19-00018J for wywct@xxxxx.de; Wed, 03 Jan 2007 13:23:05 +0100
Received: from localhost (localhost [127.0.0.1])
        by mx.uahurtado.cl (Postfix) with ESMTP id C4D3617F535
        for <wywct@xxxxx.de>; Wed,  3 Jan 2007 09:22:45 -0300 (CLST)
Received: from mx.uahurtado.cl ([127.0.0.1])
 by localhost (euclides.uahurtado.cl [127.0.0.1]) (amavisd-new, port 10024)
 with LMTP id 13889-01-31 for <wywct@xxxx.de>;
 Wed,  3 Jan 2007 09:22:45 -0300 (CLST)
Received: from uahurtado.cl (unknown [172.16.10.8])
        by mx.uahurtado.cl (Postfix) with ESMTP id 889E617F515
        for <wywct@xxxx.de>; Wed,  3 Jan 2007 09:22:45 -0300 (CLST)
From: postmaster@uahurtado.cl
To: wywct@xxxx.de
Date: Wed, 3 Jan 2007 09:23:01 -0300
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
        boundary="9B095B5ADSN=_01C724342A1BE41E0001E1F6uahurtado.cl"
X-DSNContext: 335a7efd - 4523 - 00000001 - 80040546
Message-ID: <idVcRihG000010e7f@uahurtado.cl>
Subject: Delivery Status Notification (Failure)
X-Virus-Scanned: amavisd-new at uahurtado.cl
Envelope-To: email@xxxx.de

In der Anlage auch ein Sreenshot der Email.

Vieleicht kann ja jemand von Euch das Auflösen.

MfG

Gratian

Yopie 03.01.2007 19:15

Mit dem Header kann man leider nicht so viel anfangen, denn da ist ja der Header der "Mail Delivery Notification". Interessant ist aber der Header der Originalmail, der u.U. mit der Delivery Notification mitgeliefert wird.

Wie das bei Outlook 2003 gehen soll, verrät Google, und führt dich zu thomas woelfers blog - Mail-Quelltext in Outlook 2003 lesen

(Warum das bei Outlook so kompliziert sein muss, bitte Microsoft fragen.)

Die Ursache für den massenhaften Erhalt solcher Mails ist in der Regel ein Spammer, der deine Mailadresse als Absendeadresse missbraucht. Wenn du eine eigene Domain hast, solltest du "Catch All" für den Mailempfang abschalten.

Gruß :daumenhoc
Yopie

Gratian 03.01.2007 20:47

Nochmals Danke Yopie !

Tja, die Originalmail war ja nicht dabei, es sei denn Sie versteckt sich in den Anhängen (siehe Bild letzter Beitrag). Die will ich aber nur ungern öffnen. Kaspersky hat zwar nicht gemeckert, aber man weiß ja nie. Vielen Dank auch für den zweiten Lesehinweis - ich hatte vorher auch gegooglt, muss dass aber übersehen haben. Trotzdem werde ich die beschriebene Lösung erst einmal nicht umsetzen, da ich nur ungern in der Registry schreibe. Aber Dein zweiter Hinweis ist natürlich gut, werde die Catch all-Funktion mal für eine Weile ausstellen.

MfG

Gratian


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131