Trojaner-Board - Offen Mailer Daemon - Undelivered Message - Von Nachrichten die nicht vom Account gesendet wurde

Trojaner-Board (https://www.trojaner-board.de/)

- Überwachung, Datenschutz und Spam (https://www.trojaner-board.de/uberwachung-datenschutz-spam/)

- -

Mailer Daemon - Undelivered Message - Von Nachrichten die nicht vom Account gesendet wurde (https://www.trojaner-board.de/160653-mailer-daemon-undelivered-message-nachrichten-account-gesendet-wurde.html)

Mailer Daemon - Undelivered Message - Von Nachrichten die nicht vom Account gesendet wurde

Ich erhalte momentan unmengen an Mailer-Daemons auf eine Emai-Adresse.
Der Inhalt der Mail ist Spam in Bezug auf nicht bezahlte (fingierte) Telekom oder Vodaphone-Rechnungen.

Hier der Quelltext der Nachricht:

Code:



Return-Path: <MAILER-DAEMON>

X-Original-To: info@mydomain.de

Delivered-To: info@mydomain.de

Received: by mail.myserver.de (Postfix)

        id 22EC32C80454; Wed, 12 Nov 2014 09:12:34 +0100 (CET)

Date: Wed, 12 Nov 2014 09:12:34 +0100 (CET)

From: MAILER-DAEMON@mail.myserver.de (Mail Delivery System)

Subject: Undelivered Mail Returned to Sender

To: info@mydomain.de

Auto-Submitted: auto-replied

MIME-Version: 1.0

Content-Type: multipart/report; report-type=delivery-status;

        boundary="8801D2C804F8.1415779954/mail.myserver.de"

Message-Id: <20141112081234.22EC32C80454@mail.myserver.de>
 

This is a MIME-encapsulated message.
 

--8801D2C804F8.1415779954/mail.myserver.de

Content-Description: Notification

Content-Type: text/plain; charset=us-ascii
 

This is the mail system at host mail.myserver.de.
 

I'm sorry to have to inform you that your message could not

be delivered to one or more recipients. It's attached below.
 

For further assistance, please send mail to postmaster.
 

If you do so, please include this problem report. You can

delete your own text from the attached returned message.
 

                   The mail system
 

<MAILER-DAEMON@ri-solution.com>: host mgate1.ri-solution.com[194.76.180.121]

    said: 550 #5.1.0 Address rejected. (in reply to RCPT TO command)
 

--8801D2C804F8.1415779954/mail.myserver.de

Content-Description: Delivery report

Content-Type: message/delivery-status
 

Reporting-MTA: dns; mail.myserver.de

X-Postfix-Queue-ID: 8801D2C804F8

X-Postfix-Sender: rfc822; info@mydomain.de

Arrival-Date: Wed, 12 Nov 2014 09:12:07 +0100 (CET)
 

Final-Recipient: rfc822; MAILER-DAEMON@ri-solution.com

Original-Recipient: rfc822;MAILER-DAEMON@ri-solution.com

Action: failed

Status: 5.0.0

Remote-MTA: dns; mgate1.ri-solution.com

Diagnostic-Code: smtp; 550 #5.1.0 Address rejected.
 

--8801D2C804F8.1415779954/mail.myserver.de

Content-Description: Undelivered Message

Content-Type: message/rfc822
 

Return-Path: <info@mydomain.de>

Received: from localhost (localhost.localdomain [127.0.0.1])

        by mail.myserver.de (Postfix) with ESMTP id 8801D2C804F8

        for <MAILER-DAEMON@ri-solution.com>; Wed, 12 Nov 2014 09:12:07 +0100 (CET)

X-Quarantine-ID: <gzOyoKqrTr64>

X-Virus-Scanned: Debian amavisd-new at 

X-Amavis-Alert: BAD HEADER SECTION, Missing required header field: "Date"

Received: from mail.myserver.de ([127.0.0.1])

        by localhost (mail.myserver.de [127.0.0.1]) (amavisd-new, port 10024)

        with ESMTP id gzOyoKqrTr64 for <MAILER-DAEMON@ri-solution.com>;

        Wed, 12 Nov 2014 09:11:47 +0100 (CET)

Received: from localhost (unknown [188.20.108.102])

        (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))

        (No client certificate requested)

        (Authenticated sender: info@mydomain.de)

        by mail.myserver.de (Postfix) with ESMTPSA id 36CED2C80076

        for <MAILER-DAEMON@ri-solution.com>; Wed, 12 Nov 2014 09:11:47 +0100 (CET)

Subject: Ihre Mobilfunk-Rechnung vom 12.11.2014 im Anhang als PDF

From: "Vodafone <33073474_3474414-L3ajXU3g2{3X3307m{aXM0@rechnung.voda"<info@mydomain.de>

To: MAILER-DAEMON@ri-solution.com

X-Mailer: Microsoft Office Outlook 12.0

X-Copyright: AOL Webmail STANDARD

Mime-version: 1.0

Content-Type: text/html; charset=utf-8

Message-Id: <20141112081207.8801D2C804F8@mail.myserver.de>

Date: Wed, 12 Nov 2014 09:12:07 +0100 (CET)
 

<HTML>

<HEAD>

<title>Vodafone-OnlineRechnung

</title>

<META content="text/html; charset=utf-8" http-equiv=Content-Type>

</HEAD>

<BODY bottomMargin=0 leftMargin=0 rightMargin=0 topMargin=0>
 
 

### Schnip Schnapp, Inhalt unwichtig, daher entfernt###
 

</BODY></HTML>
 

--8801D2C804F8.1415779954/mail.myserver.de--

Kann mir jemand ein wenig Hilfestellung geben, wie man die Mail-Header richtig liest, um daraus wertvolle Schlüsse ziehen zu können?

also mail.mydomain.de ist "mein Mailserver", und die die Mailadresse info@mydomain.de ist jene, welche mit den MailerDaemons zugemüllt wird.

Also intuitiv würde ich schon mal an den letzten Header gehen, und dort den Wert für Recieved auslesen. Heist das auftauchen von 127.0.0.1, dass die Mail auch ursprünglich von meinem Server gekommen ist, also ggf. mein Mailserver gehackt oder ein Kundenmailkonto bzw. ein Kontaktformular einer Webseite auf dem gleichen Server gehackt wurde?

Hallo rethus,

Zitat:

Heist das auftauchen von 127.0.0.1, dass die Mail auch ursprünglich von meinem Server gekommen ist, also ggf. mein Mailserver gehackt oder ein Kundenmailkonto bzw. ein Kontaktformular einer Webseite auf dem gleichen Server gehackt wurde?

Im Normalfall eher nicht - denn meist handelt es sich um eine Adressfälschung, d.h., "sie" haben einfach deine Adresse zum Spammen benutzt.....

Liebe Grüße, Alois

Post © Alois 2014 – Alle Rechte vorbehalten – kein Teil darf in irgendeiner Form ohne schriftliche Genehmigung des Autors kritisiert werden! :aufsmaul:

Habe folgendes Tool gefunden um Mailheader lesbarer zu machen: hxxp://www.gaijin.at/olsmailheader.php

Heißt das im vorliegenden Fall, bei meinen Headern, dass:

ursprünglich 188.20.108.102 die Spammail (mit meiner Adresse als Absender) gesendet hat
MAILER-DAEMON@ri-solution.com seine Message an meinen Server zurücksendet

Die letzen beiden Header verstehe ich nicht, wenn die Mail schon bei mir eingegangen ist, warum werden dann 2 Header noch hinzugefügt... oder bekommt er beim internen Zustellen auch jeweils einen weiteren Header?

Ich gehe nun auch davon aus, das über einen fremden Server der Spam versendet wurde, und meine Mail als Absendeadresse eingetragen wurde.

Die Frage ist, warum macht jemand sowas? Ist das Zufall? Im vorliegenden Fall handelt es sich um eine Domain für Seniorenbetreuung. Ich gehe nicht davon aus, das ein Konkurent die Adresse eingetragen hat um Ärger zu machen...
Themenverwand ist die Maildomain und der Inhalt des Spams ja auch nicht (Telefonrechnung von ner Seniorenbetreuung :wtf:)?!

Und die letzte Frage, wie schützt man sich vor so etwas... also dass der Server nicht mit diesen MailerDeamon-Messages belastet wird (greift da fail2ban irgendwie)?

Hallo rethus,

wenn du noch Zugriff auf deinen Account hast - dann war es Adressfälschung - bei einem echten Hack wird meist sofort das Passwort geändert.....

Nun zu deinen Fragen:

1) Wenn jemand Spam oder Malware verschicken will, tut er es sicher nicht mit seiner eigenen Adresse

2) Ja, es werden Header hinzugefügt, je nach System

3) Ja, es ist mehr oder weniger Zufall - ich würde es eher Pech nennen.....(gezielte Aktionen dieser Art gibt es fast nur in der "Szene")

Noch ein Rat: Aus Sicherheitsgründen solltest du deinen Rechner einmal auf Malware überprüfen (lassen) - das geht zum Beispiel auch hier. :daumenhoc

Liebe Grüße, Alois