Trojaner-Board - Mit "Undelivered Mails" zugeschüttet

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Mit "Undelivered Mails" zugeschüttet (https://www.trojaner-board.de/34919-undelivered-mails-zugeschuettet.html)

Mit "Undelivered Mails" zugeschüttet

Hallo !

Seit einigen Tagen werde ich mit "undelivered Mails" zugeschüttet. Nun stellt sich mir die Frage, ob ich einfach nur zugespammt werde oder ob ohne mein Wissen emails von meinem Rechner versandt werden. Wie kann ich das zuverlässig herausfinden ?

Ich verwende Windows XP, Kaspersky Internet Security 6.0, Outlook 2003.

MfG

Gratian

Zitat:

Zitat von Gratian (Beitrag 246607)

Seit einigen Tagen werde ich mit "undelivered Mails" zugeschüttet. Nun stellt sich mir die Frage, ob ich einfach nur zugespammt werde oder ob ohne mein Wissen emails von meinem Rechner versandt werden. Wie kann ich das zuverlässig herausfinden ?

In den Meldungen sollte die Original-Mail samt Header-Zeilen enthalten sein. Wenn das nicht sofort ersichtlich ist, solltest du dir die gesamte Mail mal im Quelltext ansehen. Dort steht dann auch die IP-Adresse des absendenden Rechners.

Hier ein Beispiel einer Mail, die ständig bei mir aufschlägt, weil der empfangene Mailserver aufgrund der Absendeadresse denkt, ich hätte sie versandt:

Code:

Received: from localhost (localhost [127.0.0.1])

        by mr02.dvz-halle.de (Postfix) with ESMTP id 4AE282CB0CE

        for <++++++++++++>; Tue,  2 Jan 2007 02:22:39 +0100 (CET)

Received: from mr02.dvz-halle.de ([127.0.0.1])

 by localhost (mr02 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP

 id 01595-01 for <++++++++++++>; Tue,  2 Jan 2007 02:22:39 +0100 (CET)

Received: from hsbcmail.com (unknown [201.20.235.155])

        by mr02.dvz-halle.de (Postfix) with SMTP id C53942CB098

        for <+++++++++++++>; Tue,  2 Jan 2007 02:22:37 +0100 (CET)

In dem Fall ist der fettgedruckte Teil entscheidend. Die IP gehört lt. whois zu einem brasilianischen ISP, und da ich nicht in Brasilien sitze, scheide ich als Versender aus.

Mehr zu den Headerzeilen, und wie sie zu interpretieren sind, unter E-Mail-Header lesen und verstehen

Bei Fragen kannst du ja mal die Mail im Quelltext (wenn nicht zu lang) posten; aber E-Mail-Adressen bitte aus-ixen!

Gruß :daumenhoc
Yopie

Hallo !

Erstmal Danke für die Antwort. Ich habe mir Deine Literaturempfehlung mal ausgedruckt und schon mal angefangen zu lesen. Trotzdem kann ich den Header nicht auflösen, da er leider nicht so schön übersichtlich ist, wie Dein Beispiel.

Zunächst aber mal eine andere hoffentlich nicht zu "doofe" Frage, wie öffne ich die email in Quelltext ?

Anliegend mal der Header einer der zahlreichen emails:

Code:

Return-Path: <>

Delivery-Date: Wed, 03 Jan 2007 13:23:05 +0100

Received-SPF: none (mxeu7: 200.75.19.146 is neither permitted nor denied by domain of mx.uahurtado.cl) client-ip=200.75.19.146; envelope-from=postmaster@mx.uahurtado.cl; helo=mx.uahurtado.cl;

Received: from [200.75.19.146] (helo=mx.uahurtado.cl)

        by mx.kundenserver.de (node=mxeu7) with ESMTP (Nemesis),

        id 0MKsxo-1H25960f19-00018J for wywct@xxxxx.de; Wed, 03 Jan 2007 13:23:05 +0100

Received: from localhost (localhost [127.0.0.1])

        by mx.uahurtado.cl (Postfix) with ESMTP id C4D3617F535

        for <wywct@xxxxx.de>; Wed,  3 Jan 2007 09:22:45 -0300 (CLST)

Received: from mx.uahurtado.cl ([127.0.0.1])

 by localhost (euclides.uahurtado.cl [127.0.0.1]) (amavisd-new, port 10024)

 with LMTP id 13889-01-31 for <wywct@xxxx.de>;

 Wed,  3 Jan 2007 09:22:45 -0300 (CLST)

Received: from uahurtado.cl (unknown [172.16.10.8])

        by mx.uahurtado.cl (Postfix) with ESMTP id 889E617F515

        for <wywct@xxxx.de>; Wed,  3 Jan 2007 09:22:45 -0300 (CLST)

From: postmaster@uahurtado.cl

To: wywct@xxxx.de

Date: Wed, 3 Jan 2007 09:23:01 -0300

MIME-Version: 1.0

Content-Type: multipart/report; report-type=delivery-status;

        boundary="9B095B5ADSN=_01C724342A1BE41E0001E1F6uahurtado.cl"

X-DSNContext: 335a7efd - 4523 - 00000001 - 80040546

Message-ID: <idVcRihG000010e7f@uahurtado.cl>

Subject: Delivery Status Notification (Failure)

X-Virus-Scanned: amavisd-new at uahurtado.cl

Envelope-To: email@xxxx.de

In der Anlage auch ein Sreenshot der Email.

Vieleicht kann ja jemand von Euch das Auflösen.

MfG

Gratian

Mit dem Header kann man leider nicht so viel anfangen, denn da ist ja der Header der "Mail Delivery Notification". Interessant ist aber der Header der Originalmail, der u.U. mit der Delivery Notification mitgeliefert wird.

Wie das bei Outlook 2003 gehen soll, verrät Google, und führt dich zu thomas woelfers blog - Mail-Quelltext in Outlook 2003 lesen

(Warum das bei Outlook so kompliziert sein muss, bitte Microsoft fragen.)

Die Ursache für den massenhaften Erhalt solcher Mails ist in der Regel ein Spammer, der deine Mailadresse als Absendeadresse missbraucht. Wenn du eine eigene Domain hast, solltest du "Catch All" für den Mailempfang abschalten.

Gruß :daumenhoc
Yopie

Nochmals Danke Yopie !

Tja, die Originalmail war ja nicht dabei, es sei denn Sie versteckt sich in den Anhängen (siehe Bild letzter Beitrag). Die will ich aber nur ungern öffnen. Kaspersky hat zwar nicht gemeckert, aber man weiß ja nie. Vielen Dank auch für den zweiten Lesehinweis - ich hatte vorher auch gegooglt, muss dass aber übersehen haben. Trotzdem werde ich die beschriebene Lösung erst einmal nicht umsetzen, da ich nur ungern in der Registry schreibe. Aber Dein zweiter Hinweis ist natürlich gut, werde die Catch all-Funktion mal für eine Weile ausstellen.

MfG

Gratian