Firmenaccount (über Strato Webmailer) versendet Spam
 

Hallo zusammen, über meine Firmenadresse werden Spammails verschickt.
Ich habe versucht:
-Virenscanner (G-Data) findet nichts.
-mehrmals Passwort geändert.
-ich benutze nur den Strato Webmailer, kein Outlook.
Die Spammails befinden sich nich im Ordner gesendet.
Die Spammails werden immer an unterschiedliche Adressen versendet.
Leider bin ich in solchen Sachen überhaupt kein Profi und wäre für jeden Tip/Hilfe dankbar.
Einen Beispiel Header habe ich unten angefügt und einige Logs.
Das es sich um meine Firmenadresse handelt, beschweren sich auch schon Kunden bei mir.
Viele Grüße
Frank

Malwarebytes Anti-Malware
www.malwarebytes.org

Suchlaufdatum: 18.02.2016
Suchlaufzeit: 16:54
Protokolldatei:
Administrator: Ja

Version: 2.2.0.1024
Malware-Datenbank: v2016.02.18.03
Rootkit-Datenbank: v2016.02.17.01
Lizenz: Testversion
Malware-Schutz: Aktiviert
Schutz vor bösartigen Websites: Aktiviert
Selbstschutz: Deaktiviert

Betriebssystem: Windows 7 Service Pack 1
CPU: x64
Dateisystem: NTFS
Benutzer: Chef 2

Suchlauftyp: Bedrohungssuchlauf
Ergebnis: Abgeschlossen
Durchsuchte Objekte: 429267
Abgelaufene Zeit: 43 Min., 45 Sek.

Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Aktiviert
PUM: Aktiviert

Prozesse: 0
(keine bösartigen Elemente erkannt)

Module: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswerte: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Dateien: 0
(keine bösartigen Elemente erkannt)

Physische Sektoren: 0
(keine bösartigen Elemente erkannt)


(end)

Hier noch eine Spammail von heute morgen

X-Envelope-From: <>
X-Envelope-To: <info@maler-kissing.de>
X-Delivery-Time: 1455773419
X-UID: 15404
Authentication-Results: strato.com 1;
iprev=permerror
iprev=95.85.61.75;
spf=none
smtp.helo="lxwebinc2";
dkim=none;
domainkeys=none;
dkim-adsp=nxdomain
header.from="Mailer-Daemon@lxwebinc2"
X-Strato-MessageType: email
X-RZG-CLASS-ID: mi
Received-SPF: none
client-ip=95.85.61.75;
helo="lxwebinc2";
envelope-from="";
receiver=smtp.rzone.de;
identity=helo;
Received: from lxwebinc2 ([95.85.61.75])
by smtp.rzone.de (RZmta 37.18 OK)
with ESMTPS id Y00a42s1I5UJAtb
(using TLSv1.2 with cipher DHE-RSA-AES256-SHA256 (2048 DH bits)
(Client did not present a certificate)
for <info@maler-kissing.de>;
Thu, 18 Feb 2016 06:30:19 +0100 (CET)
Received: from Debian-exim by lxwebinc2 with local (Exim 4.82)
id 1aWHAR-000455-FP
for info@maler-kissing.de; Thu, 18 Feb 2016 05:30:19 +0000
X-Failed-Recipients: info@amzehnhoff-gmbh.de
Auto-Submitted: auto-replied
From: Mail Delivery System <Mailer-Daemon@lxwebinc2>
To: info@maler-kissing.de
Subject: Mail delivery failed: returning message to sender
Message-Id: <E1aWHAR-000455-FP@lxwebinc2>
Date: Thu, 18 Feb 2016 05:30:19 +0000

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

info@amzehnhoff-gmbh.de
SMTP error from remote mail server after RCPT TO:<info@amzehnhoff-gmbh.de>:
host mx00.netclusive.de [89.110.132.161]: 421 4.7.1 Client host rejected:
cannot find your reverse hostname, [95.85.61.75]:
retry timeout exceeded

------ This is a copy of the message, including all the headers. ------

Return-path: <info@maler-kissing.de>
Received: from [84.47.248.118] (helo=zlaif.com)
by lxwebinc2 with esmtpa (Exim 4.82)
(envelope-from <info@maler-kissing.de>)
id 1aUfOs-00048y-3u; Sat, 13 Feb 2016 18:58:34 +0000
From: <info@maler-kissing.de>
To: "Harald Retzlaff" <malerretzlaff-wat@web.de>, "Heinz Amzehnhoff GmbH Co KG" <info@amzehnhoff-gmbh.de>, "Heinz Lindemann GmbH" <info@lindemann-gmbh.de>, "Hermann Winkler e. K. Inhaber Michael Lauruschat"
<h-winkler-bochum@t-online.de>, "Horst Schafmeister"
<horst.schafmeister@gmx.de>
Subject: Fw: new message
Date: Sun, 14 Feb 2016 02:54:07 -0800
Message-ID: <0000b236e70c$f1531526$351dc9ab$@maler-kissing.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0001_3FD2B2FB.57432CE9"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdFx96485NI3n0yM5vgqUagMsLpnvg==
Content-Language: en-us

This is a multipart message in MIME format.

------=_NextPart_000_0001_3FD2B2FB.57432CE9
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: 7bit

Hey!



Open message <hxxp://vintannaphotography.com/public.php?c>



info@maler-kissing.de


------=_NextPart_000_0001_3FD2B2FB.57432CE9
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

<html xmlns:v=3D"urn:schemas-microsoft-com:vml" xmlns:o=3D"urn:schemas=
-microsoft-com:office:office" xmlns:w=3D"urn:schemas-microsoft-com:off=
ice:word" xmlns:m=3D"hxxp://schemas.microsoft.com/office/2004/12/omml"=
xmlns=3D"hxxp://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV=3D"C=
ontent-Type" CONTENT=3D"text/html; charset=3Dus-ascii"><meta name=3DGe=
nerator content=3D"Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri",sans-serif;
color:windowtext;}
=2EMsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:2.0cm 42.5pt 2.0cm 3.0cm;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext=3D"edit" spidmax=3D"1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext=3D"edit">
<o:idmap v:ext=3D"edit" data=3D"1" />
</o:shapelayout></xml><![endif]--></head><body lang=3DEN link=3D"#0563=
C1" vlink=3D"#954F72"><div class=3DWordSection1><p class=3DMsoNormal><=
span lang=3DEN-US>Hey!<o:p></o:p></span></p><p class=3DMsoNormal><span=
lang=3DEN-US><o:p>&nbsp;</o:p></span></p><p class=3DMsoNormal><span l=
ang=3DEN-US><b>Open message</b> <a href=3D"hxxp://vintannaphotography.=
com/public.php?c">hxxp://vintannaphotography.com/public.php</a><o:p></=
o:p></span></p><p class=3DMsoNormal><span lang=3DEN-US><o:p>&nbsp;</o:=
p></span></p><p class=3DMsoNormal><span lang=3DEN-US>info@maler-kissin=
g.de<o:p></o:p></span></p></div></body></html>

------=_NextPart_000_0001_3FD2B2FB.57432CE9--

84.47.248.118 => IP aus dem Iran

zlaif.com und lxwebinc2 => irgendein random Müll.

Aus den Mailheadern ist nicht ersichtlich, dass der Spam über dein Konto/Postfach ging. Zudem wurde das Passwort zu deinem Account ja mehrmals geändert. Ich gehe deswegen von mailspoofing aus. Dagegen kannst du nix tun. Stell dir Mail als einen Brief (eigentlich eher ne Postkarte) vor, wo der Absender irgendeine ausgedachte Adresse (oder eben deine) als Absenderadresse raufschreiben kann.

Die erste Mail wurde vom zuständigen Mailserver nicht angenommen (reject = Annahme verweigert) weil die (russische) IP 95.85.61.75 sich nicht rückwärts auflösen ließ. Das ist ein typisches merkmal bei Spam.

Hallo cosinus,

das ist ja eine schlechte Nachricht. Ich danke Dir für deine Hilfe.

Viele Grüße
Frank

??????

Was ist denn daran schlecht? Das ist doch nur mailspoofing! Nix mit gehacktem Konto!

Schlecht ist, dass dieses Spaming wohl nicht aufhören wird. Oder?

wer weiß :glaskugel:

Wie gesagt kann man rein garnix gegen Adressfälschung tun. Und du bist der einzige der betroffen ist.